https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory
Instalación y configuración de libpam-krb5
[logging]
Default = FILE:/var/log/krb5.log
[libdefaults]
default_realm = DOMINIO.COM
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
DOMINIO.COM = {
kdc = server1.dominio.com
kdc = server2.dominio.com
admin_server = server1.dominio.com:88
default_domain = dominio.com
}
[domain_realm]
.DOMINIO.COM = DOMINIO.COM
DOMINIO.COM = DOMINIO.COM
[login]
krb4_convert = true
krb4_get_tickets = false
Prueba con kinit
Probamos nuestro usuario de pruebas contra el dominio:
kinit usuario@dominio.com
Revisión de archivos de PAM
Por defecto, se crean las líneas de pam para aceptar krb5:
Prueba con login
login usuario
en el log se debe ver algo como
tail -f /var/log/auth.log Mar 17 13:15:14 puppettest login[20778]: pam_krb5(login:auth): user usuario authenticated as usuario@dominio.com
Pasos a seguir
Crear localmente los usuarios que van a usar su autenticación mediante kerberos.