Создание нового пользователя Kerberos

Kerberos - это система аутентификации; он проверяет, является ли пользователь тем, кем они себя называют. Однако это не система авторизации; он не имеет особого значения, кому и что разрешено (включая вход в систему).

В частности, для входа в систему Linux вам потребуются все записи passwd из NSS (переключатель службы имен). Таким образом, этому пользователю нужно указать домашний каталог, uid, основной gid и оболочку по умолчанию. В обычной системе Linux эту информацию обычно предоставляет /etc/passwd. Однако NSS позволяет использовать другие типы служб для предоставления этой информации, что обычно имеет место в сетевых средах. Эта информация может поступать из локальных файлов, LDAP, NIS, winbind (samba) или чего-то еще. NSS можно настроить в /etc/nsswitch.conf. Просмотр этого файла должен показать, откуда берется информация passwd. Запуск команды getent passwd username запрашивает nss для получения информации passwd, связанной с указанным пользователем.

Если керберос работает, kinit username должен позволить вам получить учетные данные для пользователя. (Пользователь klist для просмотра учетных данных, kdestroy чтобы удалить их)

Если NSS работает, getent passwd username должен показать действительную запись passwd для этого пользователя.

Если PAM настроен правильно (в /etc/pam.d, вероятно, с модулем pam_krb5), а NSS и kerberos работают, пользователь должен иметь возможность войти в систему.

Если войти по-прежнему не удается, возможно, стоит проверить вход в систему из командной строки, а не в графическом режиме (если это еще не сделано). Неправильные разрешения или несуществующий домашний каталог могут вызвать проблемы для графической среды, но не являются проблемой для входа в оболочку.