Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger <Christoph.Pleger@uni-dortmund.de>]

Hallo,

On Sun, 10 Jul 2005 13:20:00 +0200 (CEST)
Jens Ruehmkorf <ruehmkorf@informatik.uni-koeln.de> wrote:

> habe doch die Haelfte vergessen. Aus der sshd_config (5), evtl. musst
> Du auch die Option UsePAM anschalten. 
> 
> UsePAM:
> Enables PAM authentication (via challenge-response) and
> session set up.  If you enable this, you should probably disable
> PasswordAuthentication.  If you enable then you will not be
> able to run sshd as a non-root user.  The default is ``no''.
> 
> UsePrivilegeSeparation:
> Specifies whether sshd separates privileges by creating an
> unprivileged child process to deal with incoming network traffic. 
> After successful authentication, another process will be created that
> has the privilege of the authenticated user.  The goal of privilege
> separation is to prevent privilege escalation by containing any
> corruption within the unprivileged processes.  The default is ``yes''.

UsePAM war schon eingeschaltet. Aber der Hinweis auf
"UsePrivilegeSeparation" war gut, denn ich habe das jetzt mal auf "no"
gesetzt und siehe da, ich habe ein Kerberos Ticket bekommen.

Es ist nur schade, dass durch "UsePrivilegeSeparation no" die Sicherheit
reduziert wird.

Christoph