sssdKerberos TGT çalışırken AD arka ucuyla birlikte FreeBSD 10.0'da Windows Server 2012 R2 üzerinde çalışan bir Active Directory'den kullanıcıların kimliğini doğrulamak için gerekli adımlar nelerdir ?

Her şeyin kullanıma hazır hale getirilmesi için bazı zor noktalar var. FreeBSD sssdşu anda yalnızca 1.9.6 sürümünü desteklemektedir . Dolayısıyla, Kurumsal Asıl Adları için destek yoktur.

Eşleşmeyen UPN'leri olan bir etki alanınız varsa, Kerberos kimlik doğrulaması işlem sırasında başarısız olacağından, Kerberos ile Kurumsal Ana Adları destekleyen FreeBSD ile bile, sssdbu durum işlenemez.

Dolayısıyla, gerçek sürümünüzde sssdaynı Alan Adında Kullanıcı Asıl Adı olması sınırlıdır, örneğin:

Domain Name = example.com
NetBIOS Name = EXAMPLE
User Principal Name:
username@example.com sAMAccountName: username

Bunu bilerek, FreeBSD'de AD'den kullanıcıların kimliğini doğrulamak için adımları açıklayabiliriz.

1. Kerberos'u yapılandırın

Dosyayı /etc/krb5.confaşağıdaki içerikle oluşturun:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = yes

2. Samba 4.1'i yükleyin ve Etki Alanına katılmak için yapılandırın

Samba 4.1'i yükleyin:

$ pkg install samba41

Dosyayı /usr/local/etc/smb4.confaşağıdaki içerikle oluşturun:

[global]
    security = ads
    realm = EXAMPLE.COM
    workgroup = EXAMPLE

    kerberos method = secrets and keytab

    client signing = yes
    client use spnego = yes
    log file = /var/log/samba/%m.log

Yönetici Kerberos Bileti isteyin:

$ kinit Administrator

Ardından etki alanına katılın ve bir keytab oluşturun

$ net ads join createupn=host/server-hostname.example.com@EXAMPLE.COM -k
$ net ads keytab create -k

3. sssd paketini ve Kerberos destekli Cyrus SASL'yi yükleyin

Gerekli paketleri kurun:

$ pkg install sssd cyrus-sasl-gssapi

Dosyayı /usr/local/etc/sssd/sssd.confbu ayarlarla eşleşecek şekilde düzenleyin :

[sssd]
    config_file_version = 2
    services = nss, pam
    domains = example.com

[nss]

[pam]

[domain/example.com]
    # Uncomment if you need offline logins
    #cache_credentials = true

    id_provider = ad
    auth_provider = ad
    access_provider = ad
    chpass_provider = ad

    # Comment out if the users have the shell and home dir set on the AD side
    default_shell = /bin/tcsh
    fallback_homedir = /home/%u

    # Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
    #ldap_sasl_mech = GSSAPI
    #ldap_sasl_authid = SERVER-HOSTNAME$@EXAMPLE.COM

4. nsswitch.conf dosyasına sssd desteği ekleyin

Dosyayı /etc/nsswitch.confbu ayarlarla eşleşecek şekilde düzenleyin :

group: files sss
passwd: files sss

5. sssd kimlik doğrulamasına izin vermek ve giriş dizini oluşturma işlemlerini gerçekleştirmek için PAM'ı yapılandırın

Giriş dizini oluşturmak için isteğe bağlı paketler yükleyin:

$ pkg install pam_mkhomedir

Gerekli PAMalemleri bu ayarlarla eşleşecek şekilde değiştirin :

auth            sufficient      /usr/local/lib/pam_sss.so
account         required        /usr/local/lib/pam_sss.so        ignore_unknown_user
session         required        /usr/local/lib/pam_mkhomedir.so  mode=0700
session         optional        /usr/local/lib/pam_sss.so
password        sufficient      /usr/local/lib/pam_sss.so        use_authtok

6. SASL özellikli OpenLDAP İstemcisi'ne geçin

$ pkg remove -f openldap-client
$ pkg install openldap-sasl-client

7. Sonunda her şeyin çalıştığını doğrulayın

$ getent passwd <username>

Burada hangi Kerberos kullanıyorsunuz? MIT'ten yerleşik olan mı yoksa güvenlik / krb5 mi?

Sssd'yi yüklerken, şu anda FreeBSD'de hala deneysel kabul edilen güvenlik / krb5'in yüklenmesi gerekir. Böylece bu soru.

'Getent' komutlarını yürütürken AD kullanıcılarını / gruplarını alma şansım yok. NETBIOS adının -ie etki alanımdan farklı olması nedeniyle, etki alanı adı dawnsign.com ve NETBIOS adı DSP olabilir.

Yalnızca pam.d giriş modülünü yapılandırdım. Başarılı bir kimlik doğrulamanın gerçekleşmesi için başka hangi pam modüllerinin düzenlenmesi gerekir?

Herhangi bir ek bilgi büyük mutluluk duyacağız!

Samba4'ü bağlantı noktalarından derlemek, sssd olmadan bile linux gibi winbind yetkilendirmesini kullanmak mümkündür. Sasl Ldap'ı etkinleştirdikten sonra samba4'ü bağlantı noktalarından kolayca yeniden derleyin

    pkg remove samba41 
    pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb 
    pkg remove -f openldap-client 
    pkg install openldap-sasl-client 
    cd /usr/ports/security/sssd && make install

Bu, samba'yı gerekli tüm destekle (gssapi, ldap, kerberos) yeniden derleyecek ve nsswitch.conf'u bu şekilde düzenleyecek

passwd: files winbind
group: files winbind

Merhaba

Bu sssd v1.11.7 kullanımı ile ilgili küçük bir güncelleme

"İd_provider = ad" kullanıyorsanız ve sssd günlük dosyasında aşağıdaki hatayı görüyorsanız:

/var/log/sssd/sssd_example.com.log
(Sun Oct  5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0020): ldap_sasl_bind failed (-12)[Not Supported]
(Sun Oct  5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0080): Extended failure message: [unknown error]

Bu sorunu çözmek ve AD entegrasyonunun düzgün çalışmasını sağlamak için aşağıdaki yordamı kullanabilirsiniz. Şimdi sssd v1.11.7'yi Samba desteği ile inşa edin, src sssd'den bina gereklidir, böylece libsasl2 ile bağlantılıdır

​pkg remove samba41
pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb
pkg remove -f openldap-client
pkg install openldap-sasl-client
cd /usr/ports/security/sssd && make install

İşte bu yazı yazılırken FreeBSD'nin bu sürümleriyle SSSD üzerinden AD entegrasyonu ile ilgili kılavuzum (6/2017)

• FreeBSD 10.3 ve 11.0 (10.3-SERBEST BIRAKMA-p18 & 11.0-SERBEST BIRAKMA-p9)

• Kurulum (ve eğlenceli paketleme ve bağımlılık sorunları)

  • Gerekli paketler Heimdal Kerberos ile uyumlu görünmüyor, bu nedenle MIT Kerberos bayrakları etkinken bir şeyler kurulmalı ve derlenmelidir. Bu, gerçek bir uyumluluk sorunundan ziyade ambalaj bağımlılığı sorunudur.
  • Kerberos komutları iki set ile bu yapraklar sizi sen MİT Kerberos, tek yılında seti yüklerseniz bu yüzden Heimdal, taban sistemi ile yüklenir /usr/binve diğer in /usr/local/bin. Temel sistem dosyalarının hiçbiri bir pakette görünmediğinden, Heimdal KRB öğelerini kaldıramazsınız. Dikkat edilmesi gereken bir şey.

  • Çeşitli paketlerin ileriye bağımlılıkları (kalın italik olarak ilginç bölümler, kalın italik olarak çakışan bölümler):

    • net-mgmt/adcli:net/openldap24-sasl-client
    • security/cyrus-sasl2-gssapi: security/cyrus-sasl2
    • net/openldap24-sasl-client: security/cyrus-sasl2
    • security/sssd: security/nss
    • security/sssd:security/krb5
    • security/sssd: security/cyrus-sasl2
    • security/sssd:net/openldap24-client
    • security/sssd: lang/python27
    • security/sssd: lang/python2
    • security/sssd: dns/c-ares
    • security/sssd: devel/tevent
    • security/sssd: devel/talloc
    • security/sssd: devel/popt
    • security/sssd: devel/pcre
    • security/sssd: devel/libunistring
    • security/sssd: devel/libinotify
    • security/sssd: devel/gettext-runtime
    • security/sssd: devel/ding-libs
    • security/sssd: devel/dbus
    • security/sssd: databases/tdb
    • security/sssd: databases/ldb

  • Çeşitli paketlerin ters bağımlılıkları:

    • net/openldap24-sasl-client: sysutils/msktutil
    • net/openldap24-sasl-client: net/nss-pam-ldapd-sasl
    • net/openldap24-sasl-client: net-mgmt/adcli
      • Gördüğümüz sssdgibi, Heimdal'ı temel paket olarak görsek de, MIT Kerberos'u gerektirir
      • adcliistiyor openldap-sasl-client, ancak diğer paketler (alt bağımlılıkları dahil sssd)openldap-client , sasl istemcisi ile muteksi olan (aptalca bir nedenden dolayı) . Bu, minimum ikili paketlerle bile kurulumu biraz acı haline getirir.
      • Bu bağımlılıklar hem ikili repo paketleri hem de paketler bağlantı noktaları ağacında oluşturulmuşsa mevcuttur. Bu, ihtiyacımız olan her şeyi elde etmek için can sıkıcı özel bir kurulum yöntemi gerektirir (aşağıda ele alınmıştır).

  • Bu yazı itibariyle, FreeBSD için SSSD'nin ikili paketi, SSSD'ye AD desteği içermez

    • SSSD'nin bağlantı noktası sürümü, uygun (yapılandırma yap) seçenekleri etkin olarak oluşturulmalıdır:
      • SMB
    • SSSD ayrıca, düzgün çalışması için openldap-sasl-client'a gerçekten ihtiyaç duyduğunda openldap-istemcisini de çekmek istiyor.
  • Pkg ikili sürümü adcli var, ancak bu yazı itibariyle çalışmıyor.
    • Yine, bağlantı noktaları sürümü uygun seçenekler etkinleştirilerek derlendi:
      • GSSAPI_MIT
  • cyrus-sasl-gssapi gereklidir, ancak pkg ikili sürümü çalışmaz ve SSSD'yi kaldırmasına neden olan garip bağımlılık sorunları vardır.
    • MIT-KRB5 seçeneği etkinken bağlantı noktalarından oluşturun:
      • GSSAPI_MIT
  • openldap-sasl-client işlevsellik için gereklidir, ancak SSSD openldap'ın SASL olmayan sürümünü almak istiyor.
    • Bu işi yapmak için
      • portlarda seçili ( ) seçenek openldap-sasl-clientile yapılandırın .GSSAPImake config
      • Oluşturmak için portlarda olun
      • Kurulum yapmadan önce, pkg remove –f openldap-client
        • Bu, openldap-clientdiğer paketlerin (SSSD gibi) otomatik modlarını almadan kaldırılır ve SASL sürümünün yüklenmesine izin verir
      • İçin bir make install yapın openldap-sasl-client
        • Bu sisteme kuracaktır
  • Bu, AD özellikli işlevsel bir SSSD için gerekeni sağlayacaktır.
  • SSSD'yi bağlantı noktalarından derlerseniz, bunların oluşturulmasına neden olacak ve yapılandırma seçeneklerinin seçilmesini gerektiren çok sayıda bağımlılık çekeceğini lütfen unutmayın.
    • İkili paketi önce pkg install sssd ile kurmanız ve ardından kaldırmanız önerilir. pkg remove –f sssd
      • Bu, SSSD'nin çekilmesi gereken çoğu şey için ikili paketlere neden olur ve bunların tümünü inşa etme ihtiyacını ortadan kaldıran bağlantı noktalarına bağlıdır, bu da biraz zaman alır.
    • SSSD kaldırıldıktan sonra, yukarıda belirtilen seçeneklerin etkin olduğu bağlantı noktalarından yeniden yükleyin ve çalışan bir kurulum elde etmek için yalnızca yukarıda belirtilen dört paketi yeniden oluşturmanız gerekir.

  • (İsteğe bağlı) Her şey çalışıp doğrulandıktan sonra pkg create, uygun seçeneklerin etkinleştirildiği dört paketin ikili paketlerini oluşturmak için kullanabilir ve bunları her sistemdeki bağlantı noktalarına kurmak yerine kullanabilirsiniz. İkili kurulum, bağlantı noktaları oluşturma işlemine benzer bir desen izler:

    • pkg install sssd-1.11.7_8.txz
      • Sürümünüz elbette farklı olabilir
      • Bu, SSSD için ikili paketi kuracak ve ihtiyaç duyduğu her şeyi FreeBSD deposundan çekecektir.
    • pkg add openldap paketini son olarak kaydederek diğer paketleri (kurmayın, eklemeyin)
    • Eklemeden önce openldap-sasl-clientdo apkg remove –f openldap-client
      • Bu, SASL olmayan sürümden kurtulur ve sürümümüzün yüklenmesine izin verir
    • pkg add openldap-sasl-client-2.4.44.txz
      • Yine, sürümünüz farklı olabilir
    • Gerekli paketler takılıyken kurmalısınız.
    • Olabilir yapmadan önce SSSD ikili için meta verileri değiştirmek mümkün pkg createolan bağlılığı yerine openldap-clientbirlikteopenldap-sasl-client bu kaldırma / yeniden yapmak ihtiyacı ortadan kaldırmak için. Bunu yapmak için zamanım olmadı.
      • Ayrıca, SSSD'nin de içeri çeken alt bağımlılıkları vardır openldap-client, bu yüzden bunları da düzeltmeniz gerekir.
    • Bu notlardan olan tüm bağlantı noktaları ağaçta Bu paketlerin sürümleri gibidir unutmayınız bu yazı olarak ve bağımlılıkları bunlarla ilişkili olması. FreeBSD bağlantı noktaları ağacını ve ikili dosyaları güncelledikçe bu durum değişebilir. Belki bir gün, AD işlevselliği için yapılandırılmış uygun seçeneklerle tüm doğru bağımlılıkları çeken her şeyin ikili bir sürümüne sahip oluruz.

  • Kerberos Yapılandırması:

    • Örnek /etc/krb5.conf dosyası:

[Libdefaults]
   default_realm = MYDOMAIN.NET
   forwardable = true
# Normalde bir AD ortamında ihtiyacınız olan her şey, çünkü DNS SRV kayıtları
# AD / KRB sunucularını / hizmetlerini tanımlayacaktır. Eğer yorum yap
# manuel olarak AD sunucunuzu işaret etmek istiyor
dns_lookup_kdc = true
[Alemleri]
   MYDOMAIN.NET = {
# Manuel olarak DNS'dekinden farklı bir AD sunucusuna işaret ediyorsanız
# admin_server = adserver.alanadim.net
# kdc = adserver.alanadim.net
   }
[Domain_realm]
   mydomain.net = MYDOMAIN.NET
   .mydomain.net = MYDOMAIN.NET

• (Girinti)
  • SSSD Yapılandırması:
    • Bu örnekte, AD'de genellikle UID ve GID oluşturmuş olan mevcut bir ortamın değiştirilmesi gerektiğinde gereken kullanıcılar ve gruplar için POSIX öznitelikleri varsayılmaktadır.
    • Örnek /usr/local/etc/sssd/sssd.conf dosyası:

[SSSD]
config_file_version = 2
etki alanları = MYDOMAIN.NET
hizmetleri = nss, pam, pac
fallback_homedir = / ana sayfa /% u

[Alan / MYDOMAIN.NET]
id_provider = reklam
access_provider = reklam
auth_provider = reklam
chpass_provider = reklam
# AD POSIX özniteliklerini kullanın, otomatik olarak oluşturulan
# UID'ler ve GID'ler.
ldap_id_mapping = Yanlış
cache_credentials = doğru
ad_server = adserver.alanadim.net
# bash yoksa veya AD hesabının login'inde ne varsa
# özellik yüklendi
geçersiz kılma_ kabuğu = / bin / tcsh

• (Girinti)
  • PAM Yapılandırması:
    • FreeBSD'deki PAM yapılandırması, OpenPAM'in çalışma şekli nedeniyle biraz zor. Ayrıntılara girmeyeceğim, ancak SSSD için pam_sss kullanmak ve çalışmasını sağlamak ve ayrıca passwd oturum açma çalışması yapmak için, pam_unix'i dosyaya iki kez koymanız gerekir. Anladığım kadarıyla, bu ikinci pam_unix modülünün geçmesini gerektiren "sahne arkasında" yapılan ikincil bir kontrol ile ilgilidir.
      • /etc/pam.dSSSD'nin FreeBSD ile çalışmasını sağlamak için değiştirmek zorunda olduğum dosyaların listesi :

/etc/pam.d/sshd:

#
FreeBSD: releng / 11.0 / etc / pam.d / sshd 197769 2009-10-05 09: 28: 54Z des $
#
# "Sshd" hizmeti için PAM yapılandırması
#

# auth
auth yeterli pam_opie.so no_warn no_fake_prompts
kimlik doğrulama gerekli pam_opieaccess.so no_warn allow_local
#auth yeterli pam_krb5.so no_warn try_first_pass
#auth yeterli pam_ssh.so no_warn try_first_pass
auth yeterli pam_unix.so no_warn try_first_pass nullok
auth yeterli pam_sss.so use_first_pass
kimlik doğrulama gerekli pam_unix.so no_warn use_first_pass

# hesap
hesap gerekli pam_nologin.so
#account gerekli pam_krb5.so
hesap gerekli pam_login_access.so
hesap gerekli pam_unix.so
hesap yeterli pam_sss.so

# oturum, toplantı, celse
#session isteğe bağlı pam_ssh.so want_agent
oturum isteğe bağlı pam_sss.so
oturum gerekli pam_mkhomedir.so modu = 0700
oturum gerekli pam_permit.so

# parola
#parola yeterli pam_krb5.so no_warn try_first_pass
#parola yeterli pam_unix.so try_first_pass use_authtok nullok
şifre yeterli pam_unix.so try_first_pass use_authtok
şifre yeterli pam_sss.so use_authtok

/etc/pam.d/system:

#
FreeBSD: releng / 11.0 / etc / pam.d / system 197769 2009-10-05 09: 28: 54Z des $
#
# Sistem genelinde varsayılanlar
#

# auth
auth yeterli pam_opie.so no_warn no_fake_prompts
kimlik doğrulama gerekli pam_opieaccess.so no_warn allow_local
#auth yeterli pam_krb5.so no_warn try_first_pass
#auth yeterli pam_ssh.so no_warn try_first_pass
#auth required pam_unix.so no_warn try_first_pass nullok
yetki yeterli pam_unix.so no_warn try_first_pass
auth yeterli pam_sss.so use_first_pass
kimlik doğrulama gerekli pam_deny.so

# hesap
#account gerekli pam_krb5.so
hesap gerekli pam_login_access.so
hesap gerekli pam_unix.so
hesap yeterli pam_sss.so

# oturum, toplantı, celse
#session isteğe bağlı pam_ssh.so want_agent
oturum gerekli pam_lastlog.so no_fail
oturum isteğe bağlı pam_sss.so
oturum gerekli pam_mkhomedir.so modu = 0700

# parola
#parola yeterli pam_krb5.so no_warn try_first_pass
#parola gerekli pam_unix.so no_warn try_first_pass
şifre yeterli pam_unix.so no_warn try_first_pass nullok use_authtok
şifre yeterli pam_sss.so use_authtok
#parola gerekli pam_deny.so

/etc/pam.d/su:

#
# $ FreeBSD: releng / 11.0 / etc / pam.d / su 219663 2011-03-15 10: 13: 35Z des $
#
# "Su" hizmeti için PAM yapılandırması
#

# auth
auth yeterli pam_rootok.so no_warn
auth yeterli pam_self.so no_warn
kimlik doğrulama gerekli pam_group.so no_warn grup = tekerlek root_only fail_safe ruser
auth include system.dist

# hesap
hesap dahil system.dist

# oturum, toplantı, celse
oturum gerekli pam_permit.so

• (Girinti)

  • Notlar:
    • system.diststok /etc/pam.d/systemdosyasının bir kopyasıdır . /etc/pam.d/suSu komutuyla ilgili sorunları önlemek için yukarıdaki dosyaya eklenmiştir .
    • suKök suolarak kimlik doğrulaması gerekmediğinden ve hesap bilgileri SSSD aracılığıyla ad hizmeti anahtarından alındığından , biri hala AD hesaplarını root olarak yapabilir .
    • Gerçekten bir kullanıcıdan (kökten değil) farklı bir kullanıcıya geçmek istiyorsanız, sudogüvenlik nedenleriyle tek başına kullanılmalıdır.
    • Ayrıca ksuA kullanıcısından B kullanıcısına geçmek için de kullanabilirsiniz.
      • Heimdal'ın ksu(in /usr/bin) varsayılan olarak SUID'si yok
        • Heimdal'ı çalıştırmak için ksu,chmod u+s /usr/bin/ksu
      • MIT Kerberos ( krb5paket kurulu /usr/local/bin) kurulumda SUID
    • Heimdal temel paketin bir parçası olduğundan, her iki Kerberos ikili setine sahip olacaksınız.
      • Varsayılan yolları /usr/local/binönceden /usr/bin, vb. Olacak şekilde ayarlamak isteyebilirsiniz.
    • ksu kullanıcıdan hedef kullanıcının AD / Kerberos şifresini isteyecektir
    • passwdpam_sss.sopasswd PAM dosyasına ekleseniz bile AD / Kerberos şifrenizi değiştirmek için çalışmaz . passwdİkili sadece yerel ve NIS kullanın destekleyen kpasswdAD şifrenizi değiştirmek için / Kerberos sunucusu (ler).

  • İsim Hizmet Anahtarı:

    • /etc/nsswitch.confDosya passwd ve gruplar için sss hizmeti kullanmak için yapılandırılmalıdır. Misal:
      • group: files sss
      • passwd: files sss

  • Bir Etki Alanına Katılma:

    • Linux kutunuza katılmak için * nix'lerde iki ana araç vardır
      • adcli
        • Bu benim tercih ettiğim araç. Çok iyi çalışıyor ve her şey tek bir komut satırında yapılabilir. Kimlik bilgileri etkileşimli olmayan şekilde verilebilir (stdin vb. Aracılığıyla)
        • kinitKullanmadan önce yapmayı gerektirmez , sağlanan kredilere göre sizin için yapar.
          • Misal:
            • adcli join -D mydomain.net -U Administrator--show-details –v
            • adcli join –H adclient.mydomain.net -D mydomain.net -U Administrator --show-details -v
              • Yardımcı program her zaman FQDN'yi doğru bir şekilde anlayamadığı için bu form önerilir. Ana bilgisayar için hem ileri hem de geri DNS ile eşleşen FQDN'yi sağladığınızda, ilkeler doğru şekilde oluşturulur. Yardımcı program yanlış ana bilgisayar adı kullanıyorsa (örneğin, DNS etki alanını içermiyorsa), bazı hizmet ilkeleri oluşturulmaz ve ana bilgisayara SSH gibi şeyler başarısız olabilir.
      • Samba netyardımcı programı
        • Yardımcı netprogram Samba paketinin bir parçasıdır.
        • Bu yardımcı program, smb.confyapılandırma dosyasında etki alanı ayrıntılarının ayarlanmasını gerektirir , bu da özellikle etkileşimli olmayan şekilde kullanımı daha zor ve zahmetli hale getirir.
        • Bu araçlar ayrıca, kullanmadan önce Kerberos bileti almanızı gerektirir kinit. Yine, bu daha elverişsizdir ve bir komut dosyasında etkileşimli olmayan şekilde kullanılmasını biraz daha zorlaştırır, çünkü bir yerine iki adım vardır.
          

  • SSHD ile ilgili düşünceler:

    • SSHD'nin AD ve SSSD ile çalışmasını sağlamak genellikle oldukça basittir
    • Aşağıdaki seçeneklerin eklenmesi gerekir /etc/ssh/sshd_config
      • GSSAPIAuthentication yes
        • SSHD için GSS API kimlik doğrulamasını açın. Bu, SSHD'nin AD KDC'ye karşı kimlik doğrulamasına neden olur
      • PasswordAuthentication yes
        • Kullanıcıların şifrelerle giriş yapmasına izin ver. Kullanıcının girişte KRB5 bileti almasını istiyorsanız gereklidir. Bu etkinleştirilmezse, sistem KDC tarafından gönderilen TGT'nin şifresini çözemez.
      • ChallengeResponseAuthentication yes
        • FreeBSD için bu yöntem en iyi sonucu verir.
          • PasswordAuthentication noBu seçeneği kullanırken yapılandırdığınızdan emin olun .
          • Bu, FreeBSD için oturum açtığımda süresi dolmuş bir parolayı değiştirmeye çalışan tek yöntemdir. Diğerini kullanırsanız, /bin/passwdNIS ve yerel passwd dosyası dışında hiçbir şeyi desteklemez.
      • GSSAPICleanupCredentials yes
        • (isteğe bağlı) kdestroyOturumu kapattıktan sonra yapılacak
      • GSSAPIStrictAcceptorCheck no
        • (isteğe bağlı) SSHD kendi ana bilgisayar adı hakkında karışıksa veya birden çok ana bilgisayara bağlıysa vb. ya da KDC ile iletişim kurmak için başka bir hizmet sorumlusu kullanıyorsa bu seçenek genellikle gereklidir. Normalde SSHD, hizmet yöneticisini host/<FQDN>@REALMKDC ile konuşmak için kullanır , ancak bazen yanlış anlar (örneğin, ana bilgisayar adı SSH sunucusunun DNS adıyla eşleşmiyorsa). Bu seçenek, SSHD'nin /etc/krb5.keytabdosyadaki uygun olan herhangi bir prensibi kullanmasına izin verir.host/<FQDN>@REALM
    • Kullandığınız seçeneklerin birleşimine bağlı olarak, ssh -K <ip>parola sormadan çalışmak üzere ana makinenizin IPv4 ve IPv6 adresleri için KDC'ye ana bilgisayar ilkeleri eklemeniz gerekebilir veya gerekmeyebilir (zaten bir 'kinit' yaptığınızı varsayarak, elbette).