3.5.2. Usando o plug-in de autorização local para o MIT Kerberos
O serviço winbind
fornece aos usuários do Active Directory para o membro do domínio. Em certas situações, os administradores querem permitir que os usuários do domínio se autentiquem nos serviços locais, como um servidor SSH, que estão rodando no membro do domínio. Ao usar Kerberos para autenticar os usuários do domínio, habilite o plug-in winbind_krb5_localauth
para mapear corretamente os diretores do Kerberos para as contas do Active Directory através do serviço winbind
.
Por exemplo, se o atributo sAMAccountName
de um usuário do Active Directory estiver configurado para EXAMPLE
e o usuário tentar logar com o nome de usuário em minúsculas, Kerberos retorna o nome de usuário em maiúsculas. Como conseqüência, as entradas não correspondem a uma autenticação falha.
Usando o plug-in winbind_krb5_localauth
, os nomes das contas são mapeados corretamente. Note que isto só se aplica à autenticação GSSAPI e não para a obtenção do bilhete inicial de concessão do bilhete (TGT).
Pré-requisitos
- O Samba é configurado como membro de um Active Directory.
- O Red Hat Enterprise Linux autentica as tentativas de login contra o Active Directory.
-
O serviço
winbind
está funcionando.
Procedimento
Edite o arquivo /etc/krb5.conf
e adicione a seguinte seção:
[plugins] localauth = { module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so enable_only = winbind }
Recursos adicionais
-
Veja a página de manual
winbind_krb5_localauth(8)
.