PAM Ke rberos 和 RStudio
我試圖讓 Kerberos PAM 在 CentOS 7 上的 RStudio 登錄後提取票證而不是銷毀它。
我的
rstudio文件/etc/pam.d/看起來像:#%PAM-1.0 auth required pam_krb5.so retain_after_close debug session requisite pam_krb5.so retain_after_close debug account required pam_krb5.so debug我知道 RStudio 與 PAM 堆棧通信良好,因為如果我刪除第一行,RStudio 將無法登錄。我還做了其他操作,讓我知道兩者是同步的。
根據 RStudio 文件,如果我執行以下命令:
pamtester --verbose rstudio <user> authenticate setcred open_session輸入我的密碼後,會在
/tmp呼叫中創建一張票,krb5cc_(uid)這是我所期望的。setcred我可以通過刪除告訴我這是關鍵組件的標誌來使上述 pamtester 行無法拉票。在 Keberos PAM 文件中查看說,它的執行與命令標誌
session相同,auth但它使用命令pam_setcred(PAM_ESTABLISH_CRED)標誌執行,這正是我想要的。相同的文件說,如果我添加,retain_after_close那麼應該保留票。然而,這並沒有發生,我什至不確定它是否真的在拉票。感謝您提供任何幫助,我已經盡可能嘗試了 PAM 文件中標誌和參數的所有組合,但無濟於事。Kerberos 是一場噩夢。LMK 我還有什麼可以幫助的。不幸的是,日誌文件沒有用,因為如果不理解某行,PAM 會“靜默失敗”,因此它們不會記錄錯誤。
CentOS 的 pam_krb5 不支持 retain_after_close。
我幾乎逐字逐句地談論同樣的問題。結果
rstudio-server是執行 Web 伺服器的使用者沒有對/etc.創建票證時,使用者正在嘗試寫入該目錄並且無法寫入。
測試儀工作正常,因為它以提升的權限執行。