使用 PAM 进行身份验证
SUSE Manager 支持使用可插入身份验证模块 (PAM) 的基于网络的身份验证系统。PAM 是一个库套件,可用于将 SUSE Manager 与集中式身份验证机制集成,从而无需记住多个口令。SUSE Manager 支持 LDAP、Kerberos 和其他使用 PAM 的基于网络的身份验证系统。
在用户名中,除了字母数字字符外,还允许使用 |
-
在
/etc/pam.d/susemanager
中创建一个 PAM 服务文件。文件名必须采用小写,并且可以由tomcat
用户读取。SUSE Manager 使用此文件来加载正确的 PAM 配置文件:#%PAM-1.0 auth include common-auth account include common-account password include common-password session include common-session
Listing 1. 在 SUSE Manager Server 上的命令提示符下,以 root 身份添加sss
PAM 模块:pam-config -a --sss
此命令将模块添加到
/etc/pam.d/common-auth
配置文件。我们不建议直接编辑此文件。 -
通过将下面一行内容添加到
/etc/rhn/rhn.conf
来强制使用服务文件:pam_auth_service = susemanager
在此示例中,PAM 服务文件名为
susemanager
。 -
更改配置后重启动 SUSE Manager 服务。
-
在 SUSE Manager Web UI 中,导航到
,并允许新用户或现有用户使用 PAM 进行身份验证。 -
选中
可插入身份验证模块 (PAM)
复选框。该复选框位于口令和口令确认字段下方。
在 SUSE Manager Web UI 中更改口令只会更改 SUSE Manager Server 上的本地口令。如果为该用户启用 PAM,则可能根本不会使用本地口令。例如,在上面的示例中,Kerberos 口令并未更改。使用网络服务的口令更改机制来更改这些用户的口令。 |
要配置系统范围的身份验证,可以使用 YaST。需要安装 yast2-auth-client
软件包。
有关配置 PAM 的详细信息,请参见《SUSE Linux Enterprise Server 安全指南》,其中提供了一个通用示例,该示例同样适用于其他基于网络的身份验证方法。其中还介绍了如何配置 Active Directory 服务。有关详细信息,请参见 https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.html。