תיעוד3.4.2. תצורה
כדי להגדיר את הלקוח במסוף הזן:
sudo dpkg-configure krb5-config
לאחר מכן תתבקש להזין את השם של ממלכת Kerberos. כמו כן, אם אין לך DNS מוגדר עם Kerberos SRV רשומות, התפריט יבקש ממך את שם המארח של מרכז הפצת המפתחות (KDC) ושרת ניהול התחום.
ה-dpkg-reconfigure מוסיף ערכים ל- /etc/krb5.conf קובץ עבור הממלכה שלך. אמורים להיות לך ערכים דומים לערכים הבאים:
[libdefaults]
default_realm = EXAMPLE.COM
...
[ממלכות]
EXAMPLE.COM = {
kdc = 192.168.0.1
admin_server = 192.168.0.1
}
אם תגדיר את ה-uid של כל אחד מהמשתמשים המאומתים ברשת שלך להתחיל ב-5000, כפי שהוצע בסעיף 3.2.1, "התקנה" [עמ'. 147], לאחר מכן תוכל לומר ל-pam לנסות לבצע אימות רק באמצעות משתמשי Kerberos עם uid > 5000:
# יש להחיל Kerberos רק על משתמשי ldap/kerberos, לא על מקומיים. עבור i ב-common-author-session common-account common-password; לַעֲשׂוֹת
sudo sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$i בוצע
זה ימנע מהתבקשות של סיסמת Kerberos (שלא קיימת) של משתמש מאומת מקומי בעת שינוי הסיסמה שלו באמצעות פסח.
אתה יכול לבדוק את התצורה על ידי בקשת כרטיס באמצעות כלי השירות kinit. לדוגמה:
קיניט [מוגן בדוא"ל]
סיסמה עבור [מוגן בדוא"ל]:
כאשר ניתן כרטיס, ניתן לצפות בפרטים באמצעות קליסט:
קליסט
מטמון כרטיסים: FILE:/tmp/krb5cc_1000 עיקרי ברירת מחדל: [מוגן בדוא"ל]
תקף מתחיל פג תוקף שירות מנהל
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[מוגן בדוא"ל]
לחדש עד 07/25/08 05:18:57
מטמון הכרטיסים של Kerberos 4: /tmp/tkt1000 klist: אין לך כרטיסים בקובץ שמור
לאחר מכן, השתמש ב-auth-client-config כדי להגדיר את מודול libpam-krb5 לבקש כרטיס במהלך הכניסה:
sudo auth -client -config -a -p kerberos_example
כעת תקבל כרטיס לאחר אימות התחברות מוצלח.