SUSE Linux EnterpriseŽ 附带名为 pam_krb5 的 PAM 模块,它支持 Kerberos 登录和密码更新。控制台登录、su 和图形登录应用程序(如 KDM)等应用程序都可以使用此模块,在使用过程中,用户提交一个密码并希望认证应用程序代表它获得一个初始 Kerberos 票证。
pam_unix2 模块也支持 Kerberos 身份验证和密码更新。要在 pam_unix 中启用 Kerberos 支持,请编辑文件 /etc/security/pam_unix2.conf,使它包含以下行:
auth: use_krb5 nullok account: use_krb5 password: use_krb5 nullok session: none
此后,对此文件中的项求值的所有程序均使用 Kerberos 来进行用户身份验证。对于不具有 Kerberos 主体的用户,pam_unix2 会采用常规密码身份验证机制。对于具有主体的用户,现在应该能够使用 passwd 命令透明地更改他们的 Kerberos 密码。
要对使用 pam_krb5 的方式进行微调,请编辑文件 /etc/krb5.conf 并将默认应用程序添加到 pam。有关细节,请使用 man5 pam_krb5 来参见手册页。
pam_krb5 模块明确地不用于接受 Kerberos 票据作为部分用户身份验证的网络服务。这一点很特别,后面还将进行讨论。