Я предполагаю, что есть простое решение этой проблемы, но я предпочитаю спросить, прежде чем испортить наш интранет-сервер. Во время сеанса поддержки мы с коллегой поняли, что можем войти в систему с нашими учетными данными Kerberos через SSH, но не через консоль (в данном случае это клиент VI для ESXi, но это не имеет особого значения). Итак, могу ли я просто изменить авторизоваться Конфигурация PAM?
Текущее состояние:
# PAM configuration for the "sshd" service
#
# auth
#auth sufficient pam_opie.so no_warn no_fake_prompts
#auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_ssh.so no_warn try_first_pass
auth sufficient pam_krb5.so try_first_pass
auth required pam_unix.so try_first_pass
# account
#account required pam_nologin.so
#account required pam_login_access.so
account sufficient pam_krb5.so try_first_pass
account required pam_unix.so
# password
#password sufficient pam_krb5.so no_warn try_first_pass
#password required pam_unix.so no_warn try_first_pass
password required pam_permit.so
# session
#session optional pam_ssh.so
#session required pam_permit.so
session required pam_permit.so
#
#
# PAM configuration for the "login" service
#
# auth
auth sufficient pam_self.so no_warn
auth include system
# account
account requisite pam_securetty.so
account required pam_nologin.so
account include system
# session
session include system
# password
password include system
Любые подсказки и подсказки приветствуются.
Ваш инстинкт верен - решение: "Сделайте свой login конфигурация PAM сервиса выглядит как ваша SSH конфигурация PAM сервиса "
Не совсем так, заметьте - убедитесь, что вы все еще можете войти в систему, используя логины, отличные от Kerberos, как root, например, на случай, если вам нужно перейти на консоль в экстренной ситуации. PAM отлично подходит для такой резервной конфигурации.
Для получения дополнительных сведений / справки см. Справочные страницы для рассматриваемых модулей PAM, а также man pam.conf для получения подробной информации о формате файла конфигурации PAM.