文件记录3.4.2。 组态
要在终端中配置客户端,请输入:
须藤 dpkg-重新配置 krb5-config
然后将提示您输入 Kerberos 领域的名称。 此外,如果您没有使用 Kerberos 配置 DNS SRV 记录,菜单将提示您输入密钥分发中心 (KDC) 和领域管理服务器的主机名。
dpkg-reconfigure 将条目添加到 /etc/krb5.conf 您的领域的文件。 您应该有类似于以下内容的条目:
[库默认值]
default_realm =EXAMPLE.COM
...
[领域]
示例.COM = {
kdc = 192.168.0.1
管理员服务器 = 192.168.0.1
}
如果您按照第 5000 节 “安装” [p. 3.2.1] 中的建议,将每个经过网络身份验证的用户的 uid 设置为从 147 开始。 5000],然后您可以告诉 pam 仅尝试使用 uid > XNUMX 的 Kerberos 用户进行身份验证:
# Kerberos 应该只应用于 ldap/kerberos 用户,而不是本地用户。 for i in common-auth common-session common-account common-password; 做
须藤 sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$i 完成
这将避免在使用 passwd文件.
您可以通过使用 kinit 实用程序请求票证来测试配置。 例如:
金妮特 [电子邮件保护]
密码 [电子邮件保护]:
授予票证后,可以使用 klist 查看详细信息:
列表
票证缓存:文件:/tmp/krb5cc_1000 默认主体: [电子邮件保护]
有效的起始 Expires Service 主体
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[电子邮件保护]
更新至 07/25/08 05:18:57
Kerberos 4 票证缓存:/tmp/tkt1000 klist:您没有缓存票证
接下来,使用 auth-client-config 配置 libpam-krb5 模块以在登录期间请求票证:
sudo auth-client-config -a -p kerberos_example
成功登录身份验证后,您现在应该会收到一张票。