Akira's Tech Notes

Java/JVM | GNU/Linux | Emacs/Lisp | 知的好奇心駆動

header-icon
ネイティブでない日本語で思い付くことや気になることをダラダラ書く、体裁とかは気にしない。読みづらいと感じた時に随時更新する。

[レシピ]Kerbroseパスワード変更ためのPAM設定

前の記事で pam_krb5 モジュールでKerbrose認証を実現しました。ここで passwd コマン ドラインでKDCに登録されたプリンシバル鍵のパスワードを変更する方法を紹介します。

passwd コマンド実行時に裏で動いているのはPAMモジュールですので、 /etc/pam.d./passwdpam_kbr5 モジュールを適用するようにすれば、パスワード変更時 に自動的にKDCのデータベースに反映されます。

/etc/pam.d./passwd 

#%PAM-1.0
password        requisite       pam_cracklib.so retry=3 difok=1 minlen=8 dcredit=-1
password        sufficient      pam_unix.so sha512 shadow nullok use_authtok
password        sufficient      pam_krb5.so   ★ここです
password        required        pam_deny.so

パスワード変更を実行してみましょう。 

[kbr_u01@mimi ~]$ passwd
Kerberos 5 パスワード:                     ★現在のパスワードが聞かれる
新しいパスワード:
新しいパスワードを再入力してください:
passwd: パスワードは正しく更新されました
[kbr_u01@mimi ~]$

パスワード変更時のシスログ 

Aug 16 19:01:38 mimi passwd[15359]: pam_unix(passwd:chauthtok): user "kbr_u01" does not exist in /etc/passwd
Aug 16 19:01:38 mimi passwd[15359]: pam_krb5[15359]: password changed for kbr_u01@JIZAI-DOMAIN.JP
Aug 16 19:01:38 mimi passwd[15359]: pam_krb5[15359]: TGT verified using key for 'host/mimi.jizai-domain.jp@JIZAI-DOMAIN.JP'

KDCサーバ側のログ 

2014-08-16T19:34:36+09:00 pipi local5 info krb5kdc[28554]:  AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185276, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for kadmin/changepw@JIZAI-DOMAIN.JP
2014-08-16T19:34:36+09:00 pipi local5 info krb5kdc[28554]:  AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185276, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for kadmin/changepw@JIZAI-DOMAIN.JP

2014-08-16T19:34:59+09:00 pipi local5 info krb5kdc[28554]:  AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185299, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for krbtgt/JIZAI-DOMAIN.JP@JIZAI-DOMAIN.JP
2014-08-16T19:34:59+09:00 pipi local5 info krb5kdc[28554]:  AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185299, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for krbtgt/JIZAI-DOMAIN.JP@JIZAI-DOMAIN.JP
2014-08-16T19:34:59+09:00 pipi local5 info krb5kdc[28554]:  TGS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185299, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for host/mimi.jizai-domain.jp@JIZAI-DOMAIN.JP
2014-08-16T19:34:59+09:00 pipi local5 info krb5kdc[28554]:  TGS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.100.10: ISSUE: authtime 1408185299, etypes {rep=18 tkt=18 ses=18}, kbr_u01@JIZAI-DOMAIN.JP for host/mimi.jizai-domain.jp@JIZAI-DOMAIN.JP

Comments