Недавно я пытался настроить новую серверную среду Ubuntu, мы хотели настроить систему единого входа, которая работает аналогично старой доброй Windows AD. В этом случае вы будете использовать SSH с именем пользователя и паролем Kerberos, и вы аутентифицируетесь как обычно, и создали локальный домашний каталог, если у вас его еще нет, и вы можете продолжить работу как обычный локальный пользователь.
В этом случае все наши серверы - это Ubuntu Server 16.04 / 16.10, и это нельзя изменить.
Я следил и изучал книгу О'Рейли «Kerberos: The Definitive Guide», и отсюда мне удалось правильно настроить свой KDC и DNS, насколько я могу судить. Проблема возникает, когда Я пытаюсь настроить клиента. Я засовываю файл krb5.conf в нужные места, проверяю, есть ли у меня участники, но всякий раз, когда я пытаюсь войти в систему, он на секунду зависает, а затем происходит сбой аутентификации с ошибкой: Decrypt integrity check failed в auth.log
В этом случае я использую модуль PAM pam_krb5.so и pam_mkhomedir.so для создания нового домашнего каталога пользователя. Они были установлены с использованием Ubuntu pam-auth-update утилита.
Я могу получить билеты Kerberos в порядке, если я вручную kinit с клиентской машины, но войти в систему не удалось.
Какое-то время мы пытались оценить FreeIPA, но это показалось нам впечатляющим и безвозвратным на Ubuntu для нас, казалось, больше проблем, чем пользы.
Я действительно не уверен, что мне здесь не хватает, и каждый раз, когда я пытаюсь найти информацию по этому вопросу, мне кажется, что я упускаю какой-то важный шаг, которого от меня ждут, но, кажется, никто мне не говорит?
Спасибо!