У меня здесь есть машина CentOS 6, и я хочу предоставить SSH-доступ для пользователей из другого доверенного леса. У меня есть временное решение:
1) измените содержимое в /etc/pam.d/vncserver на
auth include password-auth
2) добавьте эти две строки /etc/pam.d/password-auth
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
так это выглядит:
%PAM-1.0
This file is auto-generated.
User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_krb5.so use_first_pass
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nis nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_krb5.so
3) добавить новое доменное имя в /etc/krb5.conf
4) перезапустите демон SSH
-> Работает нормально, но после каждой системной конфигурации-аутентификации (authconfig -update_all) изменения из 2) перезаписываются (отменяются), и тогда SSH-соединение отклоняется.
Мой вопрос в том, где добавить дополнительный новый домен, чтобы он работал постоянно. Простая замена не сработает, так как старый домен / лес тоже все еще используется.
Простое добавление нового домена только в /etc/krb5.so не поможет, поскольку тогда проверяется только домен по умолчанию, который не является «NEW.DOMAIN.NET». Любая идея приветствуется ...
С уважением, Томас
Для этого вы можете использовать функцию синхронизации FreeIPAs AD. На самом деле это не то же самое, но выполняет ту же работу, и им намного проще управлять и контролировать.