假设我有四台电脑,Laptop、Server1、Server2、Kerberos 服务器:
描述所有重要的 SSH 和 KRB5 协议交换:“L 向 S1 发送用户名”,“K 向 S1 发送……”等。
(此问题旨在进行社区编辑;请为非专家读者改进它。)
我有一个有效的 AD/Linux/LDAP/KRB5 目录和身份验证设置,但有一个小问题。当账户被禁用时,SSH 公钥认证仍然允许用户登录。
很明显,kerberos 客户端可以识别禁用的帐户,因为 kinit 和 kpasswd 返回“客户端凭据已被撤销”,无需进一步的密码/交互。
是否可以配置 PAM(在 sshd_config 中使用“UsePAM yes”)以禁止禁用帐户登录,其中身份验证由公钥完成?这似乎不起作用:
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
请不要在您的回答中引入 winbind - 我们不使用它。