由于某些要求,我使用的一组机器需要在/etc/krb5.conf中定义2个KDC。最重要的是,必须将不包含用户原则(仅主机和服务主体)的域指定为libdefaults下的默认域。
用户主体存储在另一个域中,ssh应该通过该域工作。 sshd配置也使用PAM。在PAM中,我使用realm=MY_SECOND_REALM覆盖帐户界面的默认域,我的ssh登录现在可以正常工作。
唯一的问题是我的登录现在需要密码 - 尽管我有MY_SECOND_REALM的有效门票。
我也在使用sssd。相当一个设置!
我是否想念一些简单的事情?
答案 0 :(得分:1)
在使用我的pam auth模块玩了几个小时后,我找到了一种方法来解决问题,方法是使用realm=MY_SECOND_REALM作为account部分中pam_krb行的参数。
来自pam_krb5手册页:
境界=境界 覆盖/etc/krb5.conf中设置的默认域, 哪个> pam_krb5.so将尝试对用户进行身份验证。