SUSE® Linux Enterprise wird mit einem PAM-Modul namens pam_krb5
geliefert, das die Kerberos-Anmeldung und das Kennwort-Update unterstützt. Dieses Modul kann von Anwendungen verwendet werden, wie der Konsolenanmeldung, su und grafischen Anmeldeanwendungen, wie KDM, bei der der Benutzer ein Passwort eingeben muss und verlangt, dass die authentifizierende Anwendung ein anfängliches Kerberos-Ticket für ihn abholt.
Das pam_unix2
-Modul unterstützt ebenfalls die Kerberos-Authentifizierung und die Passwort-Aktualisierung. Zum Aktivieren der Kerberos-Unterstützung von pam_unix2
, müssen Sie der Datei /etc/security/pam_unix2.conf
folgende Zeilen hinzufügen:
auth: use_krb5 nullok account: use_krb5 password: use_krb5 nullok session: none
Danach verwenden alle Programme, die auf die Einträge in dieser Datei zugreifen, Kerberos als Benutzerauthentifizierung. Bei einem Benutzer, der über keinen Kerberos-Prinzipal verfügt, verwendet pam_unix2
wieder die normale Passwort-Authentifizierung. Alle Benutzer mit einem Prinzipal können nun ihre Kerberos-Passwörter transparent ändern, indem sie den Befehl passwd verwenden.
Wenn Sie Feineinstellungen für die Verwendung der Datei pam_krb5
vornehmen möchten, bearbeiten Sie die Datei /etc/krb5.conf
und fügen Sie pam
die Standardanwendungen hinzu. Genauere Einzelheiten finden Sie auf der Manualpage man 5 pam_krb5
.
Das pam_krb5
-Modul ist nicht für Netzwerkdienste geeignet, die Kerberos-Tickets als Teil der Benutzerauthentifizierung verwenden. Das ist ein völlig anderes Thema und wird im Folgenden behandelt.