[devel] ScreenLock и kerberos

[Max Ivanov]

Хочу вынести на обсуждение следующий вопрос.
Сейчас ПП идет семимильными шагами в сторону Kerberos, это хорошо, но
есть  проблема с скринсейверами.

Когда они лочат экран, то введеный пользователем пороль прогоняется
через PAM. Сложность в том, что в случае с Kerberos обычно включают
verify_ap_req_nofail в  krb5.conf (иначе клиент будет слепо доверять
любому представившемуся KDC), что ведет к необходимости иметь
/etc/krb5.keytab с ключами принципала host/<hostname>.<domainname>.
Естественно этот файл имеет права 0400, чтобы юзеры не могли его
потырить и использовать в корыстных целях.

В итоге всё выливается в то, что когда скринсейвер прогоняет пароль
через PAM он делает это от имени пользователя, что ведет к
невозможности его проверки, т.к. /etc/krb5.keytab не доступен на
чтение.

Для себя решил проблему просто - в /etc/pam.d/krb4-kscreensaver делаю
"auth include system-auth-ldap", т.е. проверяю пароль через ldap, где
никаких особых прав пользователю не надо.

Нигде баги не вешаю, т.к. непонятно куда вешать, как это будет решено
в дистрибутиве не знаю, но сейчас из коробки оно нерабочее, учитывая
что lock экранов в корпоративной среде дело не только
распространенное, но и обязательное проблему считаю довольно
серьезной.