只对SSO使用Kerberos

Question

我已经在托管内部应用程序的Debian机器上安装了Kerberos，以便能够使用它来根据我们的AD验证用户。

这个很管用。

但是，Kerberos似乎也有责任管理该机器上的linux用户帐户，并告诉管理员在试图更改用户密码时输入“当前Kerberos密码”。

由于我不需要也不希望linux用户由Kerberos管理，那么是否有一种方法可以这样配置Kerberos，即它只在Apache要求时起作用？

我意识到/etc/pam.d/中有一些设置，但我不确定会保存哪些更改。

Answer 1

用于passwd的pam配置通常是/etc/pam.d/chpasswd直接或作为pam_krb5.so语句的一部分对pam_krb5.so进行调用。

用于HTTP的Kerberos (GSSAPI/SPNEGO)是在pam之外处理的，这是最方便的解决方案，可以将其完全从pam配置中删除(希望使用类似于放置它的方法)。