Gestión de claves de hosts vmware en esxi 6

Las reglas de complejidad de claves en esxi 6, cambian entre las versiones.

A nivel de archivos en los hosts, se almacena en /etc/pam.d/passwd

Este era el nivel por defecto en esxi 5.5:

password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6

El nivel que sale por defecto en esxi6:

password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7

Para hacer cambios, se debe hacer a través del interfaz web. En la versión anterior sí se hacía a través de archivos.

esxi_change_security

Para cambiar de forma descentralizada todas las claves de los hosts, recomiendo usar un script de powercli:

Esta opción no deja log

https://deangrant.wordpress.com/2014/07/15/powercli-changing-esxi-host-root-password/

Mucho más completo, el script de definit.co.uk que exporta un log con el resultado:

http://www.definit.co.uk/2013/06/changing-esxi-root-passwords-the-smart-way-via-powercli/

Autenticación en máquinas linux mediante kerberos

https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory

Instalación y configuración de libpam-krb5

[logging]
        Default = FILE:/var/log/krb5.log
[libdefaults]
        default_realm =  DOMINIO.COM
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true
[realms]
        DOMINIO.COM = {
                kdc = server1.dominio.com
                kdc = server2.dominio.com
                admin_server = server1.dominio.com:88
                default_domain = dominio.com
        }
[domain_realm]
        .DOMINIO.COM = DOMINIO.COM
        DOMINIO.COM = DOMINIO.COM
[login]
        krb4_convert = true
        krb4_get_tickets = false

Prueba con kinit

Probamos nuestro usuario de pruebas contra el dominio:

kinit  usuario@dominio.com

Revisión de archivos de PAM

Por defecto, se crean las líneas de pam para aceptar krb5:

http://www.debian-administration.org/article/570/MIT_Kerberos_installation_on_Debian#PAM_configuration

Prueba con login

login usuario

en el log se debe ver algo como

tail -f /var/log/auth.log
Mar 17 13:15:14 puppettest login[20778]: pam_krb5(login:auth): user usuario authenticated as usuario@dominio.com

Pasos a seguir

Crear localmente los usuarios que van a usar su autenticación mediante kerberos.