Anmeldung am AFS mit PAM
Anmelden am AFS kann man sich auch wunderbar per PAM. Das erspart dem User sowohl kinit als auch aklog.
Auf Debian werden hierfür zwei Pakete benötigt:
/etc/pam.d/common-auth:
auth optional pam_krb5.so forwardable debug
auth sufficient pam_unix.so use_first_pass nullok_secure
auth required pam_deny.so
/etc/pam.d/common-session:
session optional pam_krb5.so debug
session optional pam_openafs_session.so
session required pam_unix.so
Damit das auch über SSH funktioniert, noch eine kleine Änderung an der SSHd-Config.
/etc/ssh/sshd_config:
ChallengeResponseAuthentication yes
UsePAM yes
Im Falle dieser Beispiel-Config ist es wichtig, daß Kerberos-Passwörter und lokale Unix-Passwörter überein stimmen. Ändern läßt sich das z.B. per LDAP. root kann sich immer anmelden, selbst wenn das KDC nicht erreichbar ist.
Das Keyword “debug” kann entfernt werden, sobald per /var/log/authlog geklärt ist, daß der Login funktioniert.
Related:
