我正在尝试编写一个脚本,该脚本通过参数获取用户名,并通过标准输入获取密码。我希望脚本联系 kerberos 服务器并验证密码。我将使用它通过 auth-check 触发器对 perforce 用户进行身份验证。尽管相关的(centos 5)系统上已经安装了 bash 和 perl,但我并不太喜欢任何特定的语言。
任何提示/建议将不胜感激。
谢谢,
芬斯特
这篇 Perforce 文章有一些有用的开始链接。
http://kb.perforce.com/article/74
我认为 Kerberos 会在您进行身份验证的机器上保存一张票,所以也许 Perforce 的 SSO 框架会更好。看看这个项目:
请注意,有效验证密码不仅仅需要执行 kinit(AS 交换)。这对 KDC 欺骗攻击是开放的:攻击者给你一个密码,然后将你的 KDC 请求重定向到他自己的 KDC,它说密码是正确的。
防止这种情况的通常方法是让验证者拥有自己的服务主体;它启动用户的主体,然后使用获取的 TGT 为其自己的主体获取服务票证并验证该票证。这可确保它与同一个 KDC 对话。
只是在谷歌代码上遇到pwauth。它可以配置为使用 pam 接口验证系统密码。它看起来像是在设计时考虑到了 apache,但应该适用于任何可编写脚本的情况。本周将尝试设置它。当我尝试过时会报告。
请注意,暴露您的系统帐户存在风险,因此该链接首先将您引导至风险页面。