使用Kerberos5实现统一认证（一）

　　有几个为Kerberos 5准备的PAM可用，它们都叫pam_krb5。因为在MIT Kerberos 5 1.3版本中有一些API发生了变化，它们中的大部分都不再工作，你现在最好的选择是使用来自你的Linux发行版中的PAM模块，请查看前面的小节了解如何从源代码创建一个PAM模块。

　　现在，通过编辑文件/etc/pam.d/system-auth (在Red Hat系统上)来添加一个新的PAM模块到你的系统认证堆栈：

auth　required　　/lib/security/$ISA/pam_env.so
auth　sufficient　/lib/security/$ISA/pam_unix.so likeauth nullok
auth　sufficient　/lib/security/$ISA/pam_krb5.so use_first_pass
auth　required　　/lib/security/$ISA/pam_deny.so
account　 required　　　/lib/security/$ISA/pam_unix.so
account　 [default=bad success=ok user_unknown=ignore
↪service_err=ignore system_err=ignore]
↪/lib/security/$ISA/pam_krb5.so
password　required　　/lib/security/$ISA/pam_cracklib.so
↪retry=3 type=
password　sufficient　/lib/security/$ISA/pam_unix.so
↪nullok use_authtok md5 shadow
password　sufficient　/lib/security/$ISA/pam_krb5.so
↪use_authtok
password　required　　/lib/security/$ISA/pam_deny.so
session　 required　　/lib/security/$ISA/pam_limits.so
session　 required　　/lib/security/$ISA/pam_unix.so
session　 optional　　/lib/security/$ISA/pam_krb5.so

　　这些改变使每个程序都要使用system-auth PAM堆栈（它的配置文件在/etc/pam.d/目录下）完成Kerberos认证。