啟用 Kerberos 的 PAM 支援

SUSE Linux EnterpriseŽ 附帶名為 pam_krb5 的 PAM 模組,可支援 Kerberos 登入與密碼更新。此模組可由應用程式使用,如主控台登入、su 和 KDM 之類的圖形登入應用程式,其中使用者提供密碼,希望驗證中的應用程式為他取得起始 Kerberos 票證。

pam_unix 模組也支援 Kerberos 驗證與密碼更新。若要啟用 pam_unix2 中的 Kerberos 支援,請編輯 /etc/security/pam_unix2.conf 檔案,讓它包含下列這幾行:

auth:       use_krb5 nullok
account:    use_krb5
password:   use_krb5 nullok
session:    none

接下來,所有評估此檔案中項目的程式均使用 Kerberos 進行使用者驗證。對於沒有 Kerberos 主體的使用者,pam_unix2 會回到一般密碼驗證機制。對於有主體的使用者,現在應該可以使用 passwd 指令,直接變更其 Kerberos 密碼。

若要微調使用 pam_krb5 方式,請編輯 /etc/krb5.conf 檔案並新增預設應用程式到 pam。如需詳細資訊,請使用 man 5 pam_krb5 參考手冊頁面。

pam_krb5 模組不是特別為接受 Kerberos 票證做為使用者驗證的一部分之網路服務所設計。這是完全不一樣的事情,將於以下討論。