Как я могу убрать Kerberos для passwd?

Содержание

Вопрос или проблема
1. Сообщения об ошибках Lsass
2. Измененный nsswitch.conf
Обходной путь?
Ответ или решение
Теория
Пример и источник проблемы
Применение решения
Шаги по устранению Kerberos:

Вопрос или проблема

Когда я ввожу команду для смены пароля, как в данном случае:

sudo passwd huahsin

Система запрашивает у меня:

Текущий пароль Kerberos:

Я не знаю, что именно я сделал с конфигурацией системы. Как я могу убрать эту штуку с Kerberos, когда меняю пароль?

Простой способ (обходной путь?), который сработал для меня:

sudo -s
pam-auth-update
passwd <yourusername>

Во время выполнения pam-auth-update используйте пробел, чтобы отключить аутентификацию Kerberos.

Эта проблема, вероятно, связана с установкой продукта для интеграции с Active Directory (AD) для аутентификации, называемого LikeWise. Насколько мне известно, этот продукт больше не доступен.

Вы можете прочитать больше об этом в статье под названием: Как подключить сервер Linux к Active Directory в сети SBS 2008. Также это перечислено на странице Википедии о продуктах, поддерживающих SMB, а также на странице Википедии о Active Directory.

Здесь приведены два метода для определения установки этого продукта.

1. Сообщения об ошибках Lsass

20111006152006:ОШИБКА: Ошибка Lsass [ERROR_BAD_NET_NAME]
Сетевое имя не найдено.. Ошибка поиска имени домена, заканчивающегося на “.local”, может быть результатом настройки разрешения имени хоста локальной системы (или эквивалентного) для использования мультикастового DNS

2. Измененный nsswitch.conf

И эти изменения в вашем файле /etc/nsswitch.conf.

passwd: compat winbind lsass
group: compat winbind lsass
shadow: compat

Обходной путь?

Вы можете безопасно оставить его установленным и изменить файл конфигурации переключателя сервиса имен (nsswitch.conf), чтобы он использовал только ваши локальные файлы для аутентификации.

passwd: files
group:  files
shadow: files

Я также нашел баг на Launchpad, который охватывает удаление LikeWise-open. Есть некоторые вещи, которые он не делает для возврата вашей системы после его удаления. Они изложены в этом баге вместе с инструкцией, как вручную отменить установку.

Удаление LikeWise, блокировка входа в систему

NSS настраивает PAM для обращения к LDAP и локальным учетным записям, когда настраивается Kerberos.

*Изменение минимального uid KRB5 в настройках аутентификации PAM решит эту проблему:

sudo sed -i 's/minimum_uid=1000\b/minimum_uid=10000/g' /etc/pam.d/common-*

Ответ или решение

Для решения вопроса об устранении использования Kerberos при смене пароля в системе, важно понимать контекст и источники проблемы. Начнем с теоретического аспекта проблемы.

Теория

Kerberos представляет собой протокол сетевой аутентификации, который был разработан для обеспечения безопасности путем проверки подлинности пользователей и служб в интернете. Это ключевой компонент в пятом поколении прочих систем безопасности сетевой аутентификации и широко применяется в корпоративных сетях, где активируется с помощью службы Active Directory.

Когда система запрашивает "Current Kerberos password", это может означать, что ваша система настроена для работы с оригинальной конфигурацией Kerberos или другой системой, которая интегрирует Kerberos, такой как интеграция с Active Directory через продукты как Likewise.

Пример и источник проблемы

Если ваша система запрашивает Kerberos при изменении пароля, это возможно из-за модуля PAM (Pluggable Authentication Module), настроенного на использование Kerberos для аутентификации. Указанное поведение, когда система запрашивает "Current Kerberos password", указывает на активное использование PAM-модуля, который может взаимодействовать с сетью, использующей Kerberos, например, с Active Directory.

Связь с Kerberos может быть установлена посредством настроек в /etc/nsswitch.conf, который используется для конфигурации NSS (Name Service Switch) для выбора источников данных о пользователях, группах и других сущностях.

Применение решения

Чтобы отключить систему от использования Kerberos при изменении паролей, следует несколько шагов.

Шаги по устранению Kerberos:

Обновление конфигурации NSS:

Откройте файл конфигурации NSS /etc/nsswitch.conf и измените строки, отвечающие за passwd, group и shadow, чтобы использовать только локальные файлы для аутентификации:
```
passwd: files
group:  files
shadow: files
```
Это действие отключит внешние системы аутентификации и будет использовать только локальные UF¬¬-файлы, что должно помочь избежать вопросов о Kerberos.
Отключение модуля PAM для Kerberos:

Используйте команду pam-auth-update для отключения поддержки Kerberos. Запустите:
```
sudo -s
pam-auth-update
```
Следуйте инструкциям на экране, используя пробел для отключения поддержки аутентификации Kerberos.
Проверка установки продуктов наподобие Likewise:

Данный продукт может быть причиной обнаруженной проблемы. Если на вашей системе установлен Likewise (или его альтернатива для интеграции с AD), вам нужно его удалить или правильно настроить. Так как Likewise больше не поддерживается, удаление будет наиболее подходящим шагом, чтобы избежать конфликтов.
Ручное удаление записи из PAM:

Иногда нужно отдельно проверить файл PAM для ядра /etc/pam.d/common-*, чтобы убедиться, что минимум uid исправлен на стандартное значение. Это можно сделать командой:
```
sudo sed -i 's/minimum_uid=1000\b/minimum_uid=10000/g' /etc/pam.d/common-*
```

Помните, что перед тем, как вносить изменения в систему безопасности и конфигурацию, рекомендуется делать резервные копии изменяемых файлов для возможности возврата к исходным параметрам, если возникнут непредвиденные проблемы.

Внедрение вышеприведенных шагов и корректировка конфигурации должны устранить запрос Kerberos и позволить управлять паролями, избегая сети AD или реализаций Kerberos. После выполнения этих действий ваша система будет основываться на локальных механизмах аутентификации и управления пользователями.