我正在尝试编写一个脚本,通过参数和密码通过stdin获取用户名。我想要脚本联系kerberos服务器并验证密码。我将使用它通过auth-check触发器对perforce用户进行身份验证。虽然bash和perl已安装在(centos 5)系统上,但我并不太喜欢任何特定的语言。
非常感谢任何提示/建议。
谢谢,
芬斯特
答案 0 :(得分:1)
这篇Perforce文章提供了一些有用的入门链接。
http://kb.perforce.com/article/74
我认为Kerberos会在您正在进行身份验证的计算机上保存票证,因此Perforce的SSO框架可能会更好。看看这个项目:
答案 1 :(得分:1)
请注意,有效验证密码需要的不仅仅是做kinit(AS交换)。这对KDC欺骗攻击是开放的:攻击者向您提供密码,然后将您的KDC请求重定向到他自己的KDC,该密码是正确的。
防止这种情况的通常方法是验证者拥有自己的服务主体;它会对用户的委托人进行处理,然后使用获取的TGT为其自己的委托人获取服务票证并验证该票证。这可以确保它与同一个KDC交谈。
答案 2 :(得分:0)
在谷歌代码上遇到pwauth。它可以配置为使用pam界面验证系统密码。看起来它的设计考虑了apache,但应该适用于任何可编写脚本的情况。本周试图设置一下。我会在尝试时报告。
注意,公开您的系统帐户存在风险,因此该链接会首先将您引导至风险页面。