Bash / perl脚本验证kerberos主体密码

时间:2012-08-09 20:28:08

标签: perforce kerberos

我正在尝试编写一个脚本,通过参数和密码通过stdin获取用户名。我想要脚本联系kerberos服务器并验证密码。我将使用它通过auth-check触发器对perforce用户进行身份验证。虽然bash和perl已安装在(centos 5)系统上,但我并不太喜欢任何特定的语言。

非常感谢任何提示/建议。

谢谢,

芬斯特

3 个答案:

答案 0 :(得分:1)

这篇Perforce文章提供了一些有用的入门链接。

http://kb.perforce.com/article/74

我认为Kerberos会在您正在进行身份验证的计算机上保存票证,因此Perforce的SSO框架可能会更好。看看这个项目:

http://www.assembla.com/spaces/sso-p4/wiki

答案 1 :(得分:1)

请注意,有效验证密码需要的不仅仅是做kinit(AS交换)。这对KDC欺骗攻击是开放的:攻击者向您提供密码,然后将您的KDC请求重定向到他自己的KDC,该密码是正确的。

防止这种情况的通常方法是验证者拥有自己的服务主体;它会对用户的委托人进行处理,然后使用获取的TGT为其自己的委托人获取服务票证并验证该票证。这可以确保它与同一个KDC交谈。

答案 2 :(得分:0)

在谷歌代码上遇到pwauth。它可以配置为使用pam界面验证系统密码。看起来它的设计考虑了apache,但应该适用于任何可编写脚本的情况。本周试图设置一下。我会在尝试时报告。

注意,公开您的系统帐户存在风险,因此该链接会首先将您引导至风险页面。