Red Hat Training

A Red Hat training course is available for RHEL 8

3.5.2. Uso del complemento de autorización local para MIT Kerberos

El servicio winbind proporciona usuarios de Active Directory al miembro del dominio. En determinadas situaciones, los administradores desean permitir que los usuarios del dominio se autentiquen en servicios locales, como un servidor SSH, que se ejecutan en el miembro del dominio. Si utiliza Kerberos para autenticar a los usuarios del dominio, habilite el complemento winbind_krb5_localauth para asignar correctamente los principales de Kerberos a las cuentas de Active Directory a través del servicio winbind.

Por ejemplo, si el atributo sAMAccountName de un usuario de Active Directory está configurado como EXAMPLE y el usuario intenta iniciar sesión con el nombre de usuario en minúsculas, Kerberos devuelve el nombre de usuario en mayúsculas. Como consecuencia, las entradas no coinciden y la autenticación falla.

Utilizando el complemento winbind_krb5_localauth, los nombres de las cuentas se asignan correctamente. Tenga en cuenta que esto sólo se aplica a la autenticación GSSAPI y no para obtener el ticket inicial de concesión (TGT).

Requisitos previos

  • Samba está configurado como miembro de un Directorio Activo.
  • Red Hat Enterprise Linux autentifica los intentos de inicio de sesión contra Active Directory.
  • El servicio winbind está funcionando.

Procedimiento

Edite el archivo /etc/krb5.conf y añada la siguiente sección:

[plugins]
localauth = {
     module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
     enable_only = winbind
}

Recursos adicionales

  • Consulte la página de manual winbind_krb5_localauth(8).