Kerberos Authentifizierung nur mit root

[jfried]

Hallo,

ich habe hier einen Kerberos (MIT) Server (Protokoll 4 und 5) installiert der auch soweit ganz gut funktioniert.
Ich kann mich auch mit den Clients authentifizieren allerdings bekomme ich ~nur~ als root ein Ticket zugewiesen.

Code:

jfried@jan 13:56 jfried$ ssh root@192.168.0.16
Password for root@EGOTEC.NET:
Last login: Fri Apr 21 12:30:55 2006 from 192.168.0.21
kiwano:~# klist
Ticket cache: FILE:/tmp/krb5cc_0_e1iygo
Default principal: root@EGOTEC.NET

Valid starting     Expires            Service principal
04/21/06 13:56:20  04/21/06 23:56:18  krbtgt/EGOTEC.NET@EGOTEC.NET


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
kiwano:~#

Wenn ich mich jetzt allerdings mit einem anderen Benutzer anmelde bekomme ich kein Ticket:

Code:

jfried@jan 14:04 jfried$ ssh jan@192.168.0.16
Password for jan@EGOTEC.NET:
Linux kiwano 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

Last login: Fri Apr 21 12:15:26 2006 from 192.168.0.21
jan@kiwano:~$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1002)


Kerberos 4 ticket cache: /tmp/tkt1002
klist: You have no tickets cached
jan@kiwano:~$

Meine pam einstellungen sehen wie folgt aus:

Code:

kiwano:~# cat /etc/pam.d/common-auth
auth    sufficient      pam_krb5.so forwardable
auth    required        pam_unix.so nullok_secure

und

Code:

kiwano:~# cat /etc/pam.d/common-password
password   sufficient   pam_krb5.so use_authtok
password   sufficient   pam_unix.so nullok obscure min=4 max=8 md5

in der Datei /etc/login.defs habe ich noch folgendes gesetzt:

Code:

#
# Enable pam_close_session() calling. When using normal (pam_unix.so)
# session handling modules, this is not needed. However with modules
# (such as kerberos or other persistent session models), login and su
# need to fork and wait for the shell to exit so that sessions can be
# cleaned up.
#
CLOSE_SESSIONS yes

Server-System: Debian Sarge
Client-System: Debian Sarge

[jfried]

Ok, das Problem ist gelöst!

Ich musste in meiner PAM Konfiguration noch folgendes anpassen:

common-session:
session sufficient pam_krb5.so forwardable


common-account:
account sufficient pam_krb5.so forwardable

Gruss
jfried