47.9. Aktivieren der PAM-Unterstützung für Kerberos

SUSE® Linux Enterprise wird mit einem PAM-Modul namens pam_krb5 geliefert, das die Kerberos-Anmeldung und das Kennwort-Update unterstützt. Dieses Modul kann von Anwendungen verwendet werden, wie der Konsolenanmeldung, su und grafischen Anmeldeanwendungen, wie KDM, bei der der Benutzer ein Passwort eingeben muss und verlangt, dass die authentifizierende Anwendung ein anfängliches Kerberos-Ticket für ihn abholt.

Das pam_unix2-Modul unterstützt ebenfalls die Kerberos-Authentifizierung und die Passwort-Aktualisierung. Zum Aktivieren der Kerberos-Unterstützung von pam_unix2, müssen Sie der Datei /etc/security/pam_unix2.conf folgende Zeilen hinzufügen:

auth:       use_krb5 nullok
account:    use_krb5
password:   use_krb5 nullok
session:    none

Danach verwenden alle Programme, die auf die Einträge in dieser Datei zugreifen, Kerberos als Benutzerauthentifizierung. Bei einem Benutzer, der über keinen Kerberos-Prinzipal verfügt, verwendet pam_unix2 wieder die normale Passwort-Authentifizierung. Alle Benutzer mit einem Prinzipal können nun ihre Kerberos-Passwörter transparent ändern, indem sie den Befehl passwd verwenden.

Wenn Sie Feineinstellungen für die Verwendung der Datei pam_krb5 vornehmen möchten, bearbeiten Sie die Datei /etc/krb5.conf und fügen Sie pam die Standardanwendungen hinzu. Genauere Einzelheiten finden Sie auf der Manualpage man 5 pam_krb5.

Das pam_krb5-Modul ist nicht für Netzwerkdienste geeignet, die Kerberos-Tickets als Teil der Benutzerauthentifizierung verwenden. Das ist ein völlig anderes Thema und wird im Folgenden behandelt.