• 

и . Программа , которая обсуждалась ранее, позволяет пользователю после регистрации в системе переходить к другой учетной записи. Программа делает то же самое, используя аутентификацию Kerberos, однако аналогичные результаты можно получить, создав файл РАМ для . Файл управляет взаимодействием с утилитой .

• 

. Этот файл настраивает РАМ так, что информация об изменении пароля, выполненном с помощью программы , передается KDC.

• 

. Программа блокирует консоль, не завершая при этом сеанс работы пользователя. Чтобы разблокировать консоль, необходимо ввести пароль. Как нетрудно догадаться, данный файл обеспечивает аутентификацию путем обращения программы к KDC.

• 

и . Программы с такими именами предназначены для блокирования сеанса X Window (т.е. они выполняют действия, аналогичные ). Программа xscreensaver автоматически блокирует сеанс, если в течение определенного периода времени пользователь не выполняет никаких действий.

Возможно, вы захотите настроить и другие программы для взаимодействия с Kerberos; при этом вам придется отредактировать соответствующие конфигурационные файлы РАМ. Если какой-то из серверов уже сконфигурирован для работы с Kerberos, вам не надо модифицировать файлы РАМ. Например, если у вас уже установлен керберизованный FTP-сервер, вам не следует изменять файл

. Подобные программы могут взаимодействовать с KDC, минуя РАМ; при работе с ними нет необходимости вводить имя пользователя и пароль, как это приходится делать, используя программы, взаимодействующие посредством РАМ.

Если некоторая программа использует РАМ, то для обеспечения ее совместной работы с Kerberos вам необходимо добавить или заменить некоторые строки в конфигурационном файле РАМ. В составе такого файла содержатся записи, определяющие основные действия, связанные с аутентификацией:

(аутентификация пользователя), (проверка корректности учетной записи), (изменение пароля) и (начало и завершение сеанса). В листинге 6.4 показано содержимое файла , входящего в состав Kerberos РАМ для Red Hat.

Листинг 6.4. Пример конфигурационного файла РАМ для поддержки Kerberos

На заметку

В разных системах модули РАМ настраиваются по-разному, поэтому содержимое конфигурационного файла может отличаться от приведенного в листинге 6.4. Часто настройка сводится к включению строки, указывающей на

pam_krb.so

, и удалению ссылки на другой модуль.

В данном примере наиболее важны последняя запись

и вторая запись , которые настраивают РАМ для использования Kerberos при регистрации пользователя и завершении его работы. В записи содержится параметр , который сообщает Kerberos РАМ о том, что для поддержки сеанса используется первый пароль. В результате модуль действует подобно , получая и сохраняя TGT. Аналогично могут быть настроены многие модули РАМ, но для установки конфигурации некоторых из них необходимо выполнить дополнительные действия. Так, например, может потребоваться дополнительная запись , которая помещается после существующих и имеет следующий вид:

Это необходимо в случае, если модуль

используется программой , которая изменяет пароль, но не выполняет аутентификацию пользователя. В некоторых файлах не должны присутствовать записи , так как это приведет к разрушению билетов. Например, недопустимо, чтобы модули и разрушали билеты; при завершении соответствующих программ возобновляется текущий сеанс, в котором билеты должны быть действительны.