ドキュメント3.4.2。 コンフィギュレーション
端末でクライアントを設定するには、次のように入力します。
sudo dpkg-reconfigure krb5-config
次に、Kerberos レルムの名前を入力するように求められます。 また、DNS が Kerberos で構成されていない場合は、 SRV レコードを指定すると、メニューでキー配布センター (KDC) とレルム管理サーバーのホスト名の入力を求めるプロンプトが表示されます。
dpkg-reconfigure はエントリを /etc/krb5.conf レルムのファイル。 次のようなエントリがあるはずです。
[libdefaults]
default_realm = EXAMPLE.COM
...
[レルム]
Example.COM = {
kdc = 192.168.0.1
管理サーバー = 192.168.0.1
}
セクション 5000「インストール」 [p.3.2.1] で提案されているように、ネットワーク認証された各ユーザーの uid を 147 から始まるように設定すると、 5000] の場合、uid > XNUMX の Kerberos ユーザーのみを使用して認証を試行するように pam に指示できます。
# Kerberos は、ローカル ユーザーではなく、ldap/kerberos ユーザーにのみ適用する必要があります。 for i の common-auth common-session common-account common-password; する
sudo sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$i 完了しました
これにより、ローカルで認証されたユーザーのパスワードを変更するときに、そのユーザーの (存在しない) Kerberos パスワードの入力を求められることがなくなります。 passwd.
kinit ユーティリティを使用してチケットをリクエストすることで、構成をテストできます。 例えば:
キニット [メール保護]
のパスワード [メール保護]:
チケットが付与されると、klist を使用して詳細を表示できます。
クリスト
チケットキャッシュ: FILE:/tmp/krb5cc_1000 デフォルトのプリンシパル: [メール保護]
有効な開始期限切れサービス プリンシパル
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[メール保護]
07/25/08 05:18:57 まで更新
Kerberos 4 チケット キャッシュ: /tmp/tkt1000 klist: キャッシュされたチケットはありません
次に、auth-client-config を使用して、ログイン中にチケットを要求するように libpam-krb5 モジュールを構成します。
sudo auth-client-config -a -p kerberos_example
ログイン認証が成功するとチケットを受け取るはずです。