18.4. Kerberos und PAM

Derzeit verwenden die kerberisierten Dienste keinerlei PAM (Pluggable Authentication Modules) — Kerberisierte Server überspringen PAM vollständig. Applikationen, die PAM verwenden, können Kerberos jedoch zur Authentifizierung nutzen, sofern das Modul pam_krb5 (im Paket pam_krb5 enthalten) installiert ist. Das Das Paket pam_krb5 enthält Beispielkonfigurationsdateien, durch die Dienste wie login und gdm in der Lage sind, Benutzer zu authentifizieren und unter Verwendung ihrer Passwörter erste Berechtigungsnachweise zu erhalten. Unter der Voraussetzung, dass der Zugriff auf Netzwerkserver immer über kerberisierte Dienste oder über Dienste vorgenommen wird, die GSS-API verwenden, wie z.B. IMAP, kann das Netzwerk als relativ sicher bezeichnet werden.

TippTipp
 

Administratoren sollten vorsichtig sein, es Benutzern nicht zu erlauben zu den meisten Services mit Kerberos-Passwörtern zu authentifizieren. Viele der von diesen Services verwendeten Protokolle verschlüsseln die Passwörter nicht, bevor sie diese über das Netzwerk versenden. Dies hebt die Vorteile eines Kerberos Systems auf. Benutzern sollte es, zum Beispiel, nicht erlaubt sein, deren Kerberos-Passwörter über Telnet zu authentifizieren.