sssdকার্বেরোস টিজিটি কাজ করে AD ব্যাকএন্ডের সাহায্যে ফ্রিবিএসডি 10.0-তে উইন্ডোজ সার্ভার 2012 আর 2 এ চলছে এমন একটি অ্যাক্টিভ ডিরেক্টরি থেকে ব্যবহারকারীদের অনুমোদনের প্রয়োজনীয় পদক্ষেপগুলি কি ?
sssdকার্বেরোস টিজিটি কাজ করে AD ব্যাকএন্ডের সাহায্যে ফ্রিবিএসডি 10.0-তে উইন্ডোজ সার্ভার 2012 আর 2 এ চলছে এমন একটি অ্যাক্টিভ ডিরেক্টরি থেকে ব্যবহারকারীদের অনুমোদনের প্রয়োজনীয় পদক্ষেপগুলি কি ?
উত্তর:
বক্স-এর বাইরে সমস্ত কিছু কার্যকর করার জন্য কিছু কৌশলগত বিবেচনা রয়েছে। ফ্রিবিএসডি sssdএই মুহূর্তে কেবল 1.9.6 সংস্করণ সমর্থন করে । সুতরাং এন্টারপ্রাইজ অধ্যক্ষ নামগুলির জন্য কোনও সমর্থন নেই।
আপনার যদি ম্যাচবিহীন ইউপিএন সহ একটি ডোমেন থাকে তবে এটি লগইন করতে ব্যর্থ হবে, যেহেতু কার্বেরোস প্রমাণীকরণ প্রক্রিয়া চলাকালীন ব্যর্থ হবে, এমনকি ফ্রিবিএসডি কার্বেরোসের সাথে এন্টারপ্রাইজ অধ্যক্ষ নামগুলি সমর্থন করেও, এই কেসটি sssdপরিচালনা করতে পারে না।
সুতরাং আপনার প্রকৃত সংস্করণে sssdএকই ডোমেন নামের মধ্যে ব্যবহারকারীর প্রিন্সিপাল নাম সীমাবদ্ধ রয়েছে, উদাহরণস্বরূপ:
Domain Name = example.com
NetBIOS Name = EXAMPLE
User Principal Name:
username@example.com sAMAccountName: username
এটি জেনে আমরা ফ্রিবিএসডি-তে AD থেকে ব্যবহারকারীদের সফলভাবে প্রমাণীকরণের পদক্ষেপগুলি বর্ণনা করতে পারি।
/etc/krb5.confনিম্নলিখিত বিষয়বস্তু দিয়ে ফাইলটি তৈরি করুন :
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes
সাম্বা ৪.১ ইনস্টল করুন:
$ pkg install samba41
/usr/local/etc/smb4.confনিম্নলিখিত বিষয়বস্তু দিয়ে ফাইলটি তৈরি করুন :
[global]
security = ads
realm = EXAMPLE.COM
workgroup = EXAMPLE
kerberos method = secrets and keytab
client signing = yes
client use spnego = yes
log file = /var/log/samba/%m.log
প্রশাসক কার্বেরোস টিকিটের জন্য জিজ্ঞাসা করুন:
$ kinit Administrator
তারপরে ডোমেনে যোগদান করুন এবং একটি কীট্যাব তৈরি করুন
$ net ads join createupn=host/server-hostname.example.com@EXAMPLE.COM -k
$ net ads keytab create -k
প্রয়োজনীয় প্যাকেজ ইনস্টল করুন:
$ pkg install sssd cyrus-sasl-gssapi
/usr/local/etc/sssd/sssd.confএই সেটিংসটির সাথে মেলে ফাইলটি সম্পাদনা করুন :
[sssd]
config_file_version = 2
services = nss, pam
domains = example.com
[nss]
[pam]
[domain/example.com]
# Uncomment if you need offline logins
#cache_credentials = true
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
# Comment out if the users have the shell and home dir set on the AD side
default_shell = /bin/tcsh
fallback_homedir = /home/%u
# Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
#ldap_sasl_mech = GSSAPI
#ldap_sasl_authid = SERVER-HOSTNAME$@EXAMPLE.COM
/etc/nsswitch.confএই সেটিংসটির সাথে মেলে ফাইলটি সম্পাদনা করুন :
group: files sss
passwd: files sss
হোম ডিরেক্টরি তৈরির জন্য packagesচ্ছিক প্যাকেজগুলি ইনস্টল করুন:
$ pkg install pam_mkhomedir
PAMএই সেটিংসের সাথে মেলে প্রয়োজনীয় ক্ষেত্রগুলি পরিবর্তন করুন :
auth sufficient /usr/local/lib/pam_sss.so
account required /usr/local/lib/pam_sss.so ignore_unknown_user
session required /usr/local/lib/pam_mkhomedir.so mode=0700
session optional /usr/local/lib/pam_sss.so
password sufficient /usr/local/lib/pam_sss.so use_authtok
$ pkg remove -f openldap-client
$ pkg install openldap-sasl-client
$ getent passwd <username>
আপনি এখানে কোন কার্বেরোস ব্যবহার করছেন? এমআইটি থেকে অন্তর্নির্মিত ওয়ান বা সুরক্ষা / কেআরবি 5?
এসএসডি ইনস্টল করার সময়, সুরক্ষা / krb5 ইনস্টল করা দরকার যা এই মুহুর্তে এখনও ফ্রিবিএসডি-তে পরীক্ষামূলক হিসাবে বিবেচিত হয়। এইভাবে এই প্রশ্ন।
'জেন্টেন্ট' কমান্ড কার্যকর করতে গিয়ে AD ব্যবহারকারী / গোষ্ঠীগুলি পাওয়ার কোনও ভাগ্য আমার নেই। নেটবায়সের নামটি ডোমেন নাম থেকে আমার ক্ষেত্রে পৃথক হওয়ার কারণে এটি হতে পারে - ডোমেনের নাম dawnsign.com এবং নেটবিওএসের নাম ডিএসপি।
আমি কেবলমাত্র pam.d লগইন মডিউলটি কনফিগার করেছি। সফল প্রমাণীকরণের জন্য আর কোন প্যাম মডিউলগুলি সম্পাদনা করতে হবে?
কোনও অতিরিক্ত তথ্য ব্যাপকভাবে প্রশংসা করা হবে!
পোর্টগুলি থেকে সাম্বা 4 পুনরায় সংমিশ্রণ করা লিনাক্সের মতো উইন্ডবাইন্ড অটেনটিকেশন এমনকি এসএসডি ছাড়াই ব্যবহার করা সম্ভব। স্যাসল এলডিএপ সক্ষম করার পরে পোর্টগুলি থেকে কেবল সাম্বা 4 পুনরায় কম্পাইল করুন
pkg remove samba41
pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb
pkg remove -f openldap-client
pkg install openldap-sasl-client
cd /usr/ports/security/sssd && make install
এটি সাম্বাকে পুনরায় সংকলন করবে সমস্ত প্রয়োজনীয় সহায়তার সাথে (gssapi, ldap, kerberos) তারপরে nsswitch.conf সম্পাদনা করুন
passwd: files winbind
group: files winbind
হ্যালো,
এটি sssd v1.11.7 ব্যবহারের জন্য একটি ছোট আপডেট
যদি আপনি "id_provider = বিজ্ঞাপন" ব্যবহার করেন এবং আপনি এসএসডি লগফাইলে নিম্নলিখিত ত্রুটিটি দেখতে পান:
/var/log/sssd/sssd_example.com.log
(Sun Oct 5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0020): ldap_sasl_bind failed (-12)[Not Supported]
(Sun Oct 5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0080): Extended failure message: [unknown error]
আপনি এই সমস্যাটি সমাধান করতে এবং AD সংহতিকে সঠিকভাবে কাজ করতে নিম্নলিখিত পদ্ধতিটি ব্যবহার করতে পারেন। এখন সাম্বা সমর্থন সহ sssd v1.11.7 তৈরি করুন, src এসএসডি থেকে বিল্ডিং প্রয়োজন তাই এটি libsasl2 এর সাথে যুক্ত
pkg remove samba41
pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb
pkg remove -f openldap-client
pkg install openldap-sasl-client
cd /usr/ports/security/sssd && make install
ইনস্টলেশন (এবং মজাদার প্যাকেজিং এবং নির্ভরতার বিষয়গুলি)
/usr/binএবং অন্যটি ইন করে থাকেন তবে এটি আপনাকে দুটি সেট কার্বেরোস কমান্ড সহ রেখে যাবে
/usr/local/bin। যেহেতু বেস সিস্টেম ফাইলগুলির কোনওই প্যাকেজে নেই বলে আপনি কেবল হিমডাল কেআরবি স্টাফ সরাতে পারবেন না। কিছু সচেতন হতে হবে।বিভিন্ন প্যাকেজগুলির ফরওয়ার্ড নির্ভরতা (সাহসী মজাদার মধ্যে আকর্ষণীয় ডেপস, সাহসী ইটালিকসে বিবাদী ডেপস):
net-mgmt/adcli:net/openldap24-sasl-clientsecurity/cyrus-sasl2-gssapi: security/cyrus-sasl2net/openldap24-sasl-client: security/cyrus-sasl2security/sssd: security/nsssecurity/sssd:security/krb5security/sssd: security/cyrus-sasl2security/sssd:net/openldap24-clientsecurity/sssd: lang/python27security/sssd: lang/python2security/sssd: dns/c-aressecurity/sssd: devel/teventsecurity/sssd: devel/tallocsecurity/sssd: devel/poptsecurity/sssd: devel/pcresecurity/sssd: devel/libunistringsecurity/sssd: devel/libinotifysecurity/sssd: devel/gettext-runtimesecurity/sssd: devel/ding-libssecurity/sssd: devel/dbussecurity/sssd: databases/tdbsecurity/sssd: databases/ldbবিভিন্ন প্যাকেজের বিপরীত নির্ভরতা:
net/openldap24-sasl-client: sysutils/msktutilnet/openldap24-sasl-client: net/nss-pam-ldapd-saslnet/openldap24-sasl-client: net-mgmt/adcli
sssdনিজেই এমআইটি কার্বেরোস প্রয়োজন, যদিও আমাদের কাছে বেস প্যাকেজ হিসাবে হিমডাল রয়েছেadcliচায় openldap-sasl-client, তবে অন্যান্য প্যাকেজগুলি (এর উপ-নির্ভরতা সহ sssd) টানতে পারে openldap-client, যা স্যাসল ক্লায়েন্টের সাথে মিটেক্স (যে কোনও কারণেই হোক না কেন)। এটি বাইনারি প্যাকেজগুলির ন্যূনতম সেট সহ এমনকি ইনস্টলেশনটিকে কিছুটা ব্যথা করে।এই লেখার হিসাবে, ফ্রিবিএসডি-র জন্য এসএসএসডি-র বাইনারি পিকেজি এসএসএসডি তে AD সমর্থন অন্তর্ভুক্ত করে না
SMBadcliবিদ্যমান, কিন্তু এই লেখার হিসাবে, কাজ করে না।
GSSAPI_MITcyrus-sasl-gssapi প্রয়োজনীয়, তবে পিকেজি বাইনারি সংস্করণটি কাজ করে না এবং এর মধ্যে বিজোড় নির্ভরতা সম্পর্কিত সমস্যা রয়েছে যার কারণে এটি এসএসএসডি অপসারণ করে।
GSSAPI_MITopenldap-sasl-client কার্যকারিতার জন্য প্রয়োজনীয় তবে এসএসএসডি ওপেনড্যাপের নন এসএএসএল সংস্করণটি টানতে চায়।
openldap-sasl-clientদিয়ে কনফিগার করুন ।GSSAPImake configpkg remove –f openldap-client
openldap-clientঅন্য কোনও প্যাকেজ (যেমন এসএসএসডি) এর অটোমোরোগগুলি না করে সরিয়ে ফেলবে এবং এসএএসএল সংস্করণ স্থাপনের অনুমতি দেবেopenldap-sasl-client
pkg remove –f sssd
(Alচ্ছিক) একবার সবকিছু কাজ করে যাচাই করা হয়ে গেলে, আপনি pkg createচারটি প্যাকেজগুলির যথাযথ বিকল্পগুলি সক্ষম করে বাইনারি প্যাকেজ তৈরি করতে ব্যবহার করতে পারেন এবং প্রতিটি সিস্টেমে পোর্টে এগুলি তৈরির পরিবর্তে সেগুলি ব্যবহার করতে পারেন। বাইনারি ইনস্টলেশন বন্দরগুলি নির্মাণের প্রক্রিয়াটির অনুরূপ প্যাটার্ন অনুসরণ করে:
pkg install sssd-1.11.7_8.txz
pkg add অন্যান্য প্যাকেজগুলি (ইনস্টল করা হয় না, যোগ করা হয় না), শেষের জন্য ওপেনড্যাপ প্যাকেজ সংরক্ষণ করে।openldap-sasl-clientএকটিpkg remove –f openldap-client
pkg add openldap-sasl-client-2.4.44.txz
pkg createউপর নির্ভরতা প্রতিস্থাপন openldap-clientসঙ্গে openldap-sasl-clientএই সরান / পুনরায় ইনস্টল করতে প্রয়োজন মুছে ফেলার জন্য। এটি করার জন্য আমার খোঁজ করার সময় হয়নি।
openldap-client, সুতরাং আপনাকে সেগুলিও ঠিক করতে হবে।কার্বেরোস কনফিগারেশন:
[Libdefaults]
ডিফল্ট_আরলম = MYDOMAIN.NET
ফরওয়ার্ডযোগ্য = সত্য
ডিএনএস এসআরভি রেকর্ডের পরে # সাধারণত একটি এডি পরিবেশে আপনার সমস্ত প্রয়োজন
# এডি / কেআরবি সার্ভার / পরিষেবাগুলি সনাক্ত করবে। আপনি মন্তব্য যদি
# আপনার AD সার্ভারটিতে ম্যানুয়ালি নির্দেশ করতে চান
dns_lookup_kdc = সত্য
[রাজ্য]
MYDOMAIN.NET = {
# যদি আপনি ম্যানুয়ালি ডিএনএসের চেয়ে আলাদা কোনও এডি সার্ভারের দিকে ইশারা করছেন
# অ্যাডমিন_সার্ভার = adserver.mydomain.net
# কেডিসি = adserver.mydomain.net
}
[Domain_realm]
mydomain.net = MYDOMAIN.NET
.mydomain.net = MYDOMAIN.NET
[SSSD] config_file_version = 2 ডোমেনগুলি = MYDOMAIN.NET পরিষেবাদি = এনএসএস, প্যাম, প্যাক ফলব্যাক_হোমডির = / হোম /% ইউ [DOMAIN / MYDOMAIN.NET] id_provider = বিজ্ঞাপন অ্যাক্সেস_প্রভাইডার = বিজ্ঞাপন auth_provider = বিজ্ঞাপন chpass_provider = বিজ্ঞাপন # এডি পসিক্স বৈশিষ্ট্যগুলি ব্যবহার করুন, আপনি যদি স্বয়ংক্রিয়ভাবে উত্পন্ন হয় তবে মন্তব্য করুন # ইউআইডি এবং জিআইডি ldap_id_mapping = মিথ্যা cache_credentials = সত্য ad_server = adserver.mydomain.net # যদি আপনার কাছে বাশ না থাকে বা AD অ্যাকাউন্টের লগইনশেলে যা আছে # বৈশিষ্ট্য ইনস্টল করা হয়েছে ওভাররাইড_শেল = / বিন / টিসিএস
/etc/pam.dফ্রিবিএসডি এর সাথে এসএসএসডি কাজ করতে আমাকে যে ফাইলগুলি সংশোধন করতে হয়েছিল তা এখানে তালিকাবদ্ধ করা হয়েছে :/etc/pam.d/sshd:
# # $ ফ্রিবিএসডি: রিলেঞ্জ / 11.0 / ইত্যাদি / প্যাম.ডি / এসএসডি 197769 2009-10-05 09: 28: 54Z দেশ $ # "Sshd" পরিষেবার জন্য পাম কনফিগারেশন # # লেখক যথেষ্ট পরিমাণে পাম_পপি.সো না_ সতর্কতার সাথে_ফেক_প্রম্পটস অনুমোদনের জন্য প্রয়োজনীয় পাম_পিয়্যাকসেস.সেই নো ওয়ার্ন এক্সট_লোকাল #auth পর্যাপ্ত pam_krb5.so No_warn try_first_pass # এথ পর্যাপ্ত পম_এসএইচ.সো না_আরবান চেষ্টা_প্রথম_পাস যথেষ্ট পরিমাণে পাম_উনিক্স.স্বরূপ_আপনার চেষ্টা_প্রথম_পাস নুলোক যথেষ্ট পরিমাণে পাম_এসএস.সুলভ ব্যবহার_প্রথম_পাস লেখককে পাম_উনিক্স প্রয়োজন # অ্যাকাউন্ট অ্যাকাউন্ট প্রয়োজন pam_nologin.so # অ্যাকাউন্ট প্রয়োজন পাম_ক্রেবি 5.so অ্যাকাউন্ট প্রয়োজন pam_login_access.so অ্যাকাউন্ট প্রয়োজন pam_unix.so অ্যাকাউন্ট যথেষ্ট পরিমাণে pam_sss.so # সেশন # নির্ধারণ optionচ্ছিক পাম_এসএইচ.ও চাই_এজেন্ট সেশন alচ্ছিক pam_sss.so অধিবেশন প্রয়োজন pam_mkhomedir.so মোড = 0700 অধিবেশন প্রয়োজন pam_permit.so # পাসওয়ার্ড # পাসওয়ার্ডে পর্যাপ্ত পাম_ক্রিব 5.সো না_সওয়ার্ড_প্রথম_পাস # পাসওয়ার্ডে পর্যাপ্ত পাম_উনিক্স.সামার চেষ্টা_প্রথম_পাস ব্যবহার_আউথটোক নুলোক পাসওয়ার্ড পর্যাপ্ত pam_unix.so চেষ্টা_প্রথম_পাস ব্যবহার_আউথটোক পাসওয়ার্ড পর্যাপ্ত pam_sss.so ব্যবহার_আউথটোক
/etc/pam.d/system:
# # $ ফ্রিবিএসডি: রিলেঞ্জ / 11.0 / ইত্যাদি / প্যাম.ডি / সিস্টেম 197769 2009-10-05 09: 28: 54Z দেশ $ # # সিস্টেম-ব্যাপী ডিফল্ট # # লেখক যথেষ্ট পরিমাণে পাম_পপি.সো না_ সতর্কতার সাথে_ফেক_প্রম্পটস অনুমোদনের জন্য প্রয়োজনীয় পাম_পিয়্যাকসেস.সেই নো ওয়ার্ন এক্সট_লোকাল #auth পর্যাপ্ত pam_krb5.so No_warn try_first_pass # এথ পর্যাপ্ত পম_এসএইচ.সো না_আরবান চেষ্টা_প্রথম_পাস # অউথের পাম_উনিক্স প্রয়োজন so যথেষ্ট পরিমাণে পাম_উনিক্স.সু না_আপনার চেষ্টা_প্রথম_পাস যথেষ্ট পরিমাণে পাম_এসএস.সুলভ ব্যবহার_প্রথম_পাস প্রমাণীকরণের প্রয়োজন pam_deny.so # অ্যাকাউন্ট # অ্যাকাউন্ট প্রয়োজন পাম_ক্রেবি 5.so অ্যাকাউন্ট প্রয়োজন pam_login_access.so অ্যাকাউন্ট প্রয়োজন pam_unix.so অ্যাকাউন্ট যথেষ্ট পরিমাণে pam_sss.so # সেশন # নির্ধারণ optionচ্ছিক পাম_এসএইচ.ও চাই_এজেন্ট অধিবেশন প্রয়োজন pam_lastlog.so No_fail সেশন alচ্ছিক pam_sss.so অধিবেশন প্রয়োজন pam_mkhomedir.so মোড = 0700 # পাসওয়ার্ড # পাসওয়ার্ডে পর্যাপ্ত পাম_ক্রিব 5.সো না_সওয়ার্ড_প্রথম_পাস # পাসওয়ার্ডের জন্য পাম_উনিক্স প্রয়োজন পাসওয়ার্ড পর্যাপ্ত pam_unix.so no_warn try_first_pass নূलोক ব্যবহার_আউথটোক পাসওয়ার্ড পর্যাপ্ত pam_sss.so ব্যবহার_আউথটোক # পাসওয়ার্ডের প্রয়োজন পাম_ডেনি.সো
/etc/pam.d/su:
# # $ ফ্রিবিএসডি: রিলেঞ্জ / 11.0 / ইত্যাদি / প্যাম.ডি / সু 219663 2011-03-15 10: 13: 35Z ডেস $ # "Su" পরিষেবার জন্য # পিএএম কনফিগারেশন # # লেখক পর্যাপ্ত পরিমাণে pam_rootok.so নো ওয়ার্ন যথেষ্ট পরিমাণে পাম_সেটে.সো নো ওয়ার্ন প্রমাণীকরণ আবশ্যক pam_group.so ন_ ওয়ার্ন গোষ্ঠী = চাকা রুট_আপনি ব্যর্থ_সেফ রুসার লেখার মধ্যে system.dist অন্তর্ভুক্ত রয়েছে # অ্যাকাউন্ট অ্যাকাউন্টে system.dist অন্তর্ভুক্ত রয়েছে # সেশন অধিবেশন প্রয়োজন pam_permit.so
(ইন্ডেন্ট)
system.distস্টক /etc/pam.d/systemফাইলের একটি অনুলিপি । এটি /etc/pam.d/susu কমান্ডের সাথে সমস্যাগুলি রোধ করতে উপরের ফাইলটিতে অন্তর্ভুক্ত করা হয়েছে ।suরুট হিসাবে এডি অ্যাকাউন্টে সক্ষম হয় , একবার থেকে রুট হওয়ার পরে, suপ্রমাণীকরণের প্রয়োজন হয় না এবং অ্যাকাউন্টের তথ্য এসএসএসডি এর মাধ্যমে নাম পরিষেবা স্যুইচটির মাধ্যমে টানা হয়।sudoএকা একা সুরক্ষার কারণে ব্যবহার করা উচিতksuএবং এটি ব্যবহারকারী এ থেকে ব্যবহারকারী বিতে স্যুইচ করার জন্য কাজ করে
ksu(ইন /usr/bin) ডিফল্টরূপে SID সেট নেই
ksuকাজ করতে ,chmod u+s /usr/bin/ksukrb5প্যাকেজ ইনস্টল করা /usr/local/bin) হ'ল ইনস্টল করার নির্দেশিকা রয়েছে/usr/local/binআগে /usr/bin, ইত্যাদিksu লক্ষ্যবস্তু ব্যবহারকারীর এডি / কার্বেরোস পাসওয়ার্ডের জন্য ব্যবহারকারীকে অনুরোধ জানাবেpasswdআপনি pam_sss.soপাসডাব্লুড পিএএম ফাইল যুক্ত করলেও আপনার এডি / কার্বেরোস পাসওয়ার্ড পরিবর্তন করতে কাজ করবে না । passwdবাইনারি শুধুমাত্র স্থানীয় ও NIS ব্যবহার সমর্থন করে kpasswd/ কার্বারোস সার্ভার (গুলি) বিজ্ঞাপনটিতে আপনার পাসওয়ার্ড পরিবর্তন করতে।নাম পরিষেবা স্যুইচ:
/etc/nsswitch.confফাইল passwd কোন এবং দলের জন্য SSS পরিষেবাটি ব্যবহার করার জন্য কনফিগার করা উচিত। উদাহরণ:
group: files ssspasswd: files sssএকটি ডোমেনে যোগদান:
adcli
kinitব্যবহারের আগে কোনও কাজ করার প্রয়োজন হয় না , এটি সরবরাহ করা শংসাপত্রের ভিত্তিতে এটি করে for
adcli join -D mydomain.net -U Administrator--show-details –vadcli join –H adclient.mydomain.net -D mydomain.net -U Administrator --show-details -v
netইউটিলিটি
netউপযোগ সাম্বা স্যুট অংশ।smb.confকনফিগারেশন ফাইলে সেট আপ করা দরকার যা বিশেষ করে অ-ইন্টারেক্টিভভাবে ব্যবহার করা আরও জটিল এবং অসুবিধে করে।kinit। আবার এটি আরও অসুবিধাগুলি এবং স্ক্রিপ্টে অ-ইন্টারেক্টিভভাবে ব্যবহার করা কিছুটা আরও কঠিন করে তোলে, কারণ একের পরিবর্তে দুটি পদক্ষেপ রয়েছে।
এসএসএইচডি বিবেচনা:
/etc/ssh/sshd_config
GSSAPIAuthentication yes
PasswordAuthentication yes
ChallengeResponseAuthentication yes
PasswordAuthentication noএই বিকল্পটি ব্যবহার করার সময় আপনি কনফিগার করেছেন তা নিশ্চিত করুন ।/bin/passwdকরে যা এনআইএস এবং স্থানীয় পাসডব্লু ফাইল ব্যতীত অন্য কোনও কিছুই সমর্থন করে না।GSSAPICleanupCredentials yes
kdestroyলগআউট করতে হবেGSSAPIStrictAcceptorCheck no
host/<FQDN>@REALMকেডিসির সাথে কথা বলার জন্য ব্যবহার করবে তবে কখনও কখনও এটি ভুল হয়ে যায় (উদাহরণস্বরূপ, হোস্টের নামটি যদি এসএসএইচ সার্ভারের ডিএনএস নামের সাথে মেলে না)। এই বিকল্পটি এসএসএইচডিটিকে /etc/krb5.keytabফাইলের কোনও অধ্যক্ষ ব্যবহার করার অনুমতি দেয় , যার মধ্যে যথাযথ অন্তর্ভুক্ত রয়েছেhost/<FQDN>@REALMssh -K <ip>পাসওয়ার্ড না প্রেরণে কাজ করার জন্য আপনার হোস্টের আইপিভি 4 এবং আইপিভি 6 ঠিকানাগুলির জন্য কেডিসিতে হোস্ট প্রিন্সিপাল যুক্ত করতে বা প্রয়োজন নাও হতে পারে (ধরে নেওয়া যায় যে আপনি ইতিমধ্যে 'কিনিট' করেছেন, অবশ্যই).