19.4. Kerberos y PAM

Actualmente, los servicios Kerberizados no hacen uso de PAM (Pluggable Authentication Modules) — un servidor kerberizado omite PAM completamente. Sin embargo, las aplicaciones que usan PAM pueden hacer uso de Kerberos para autentificación si el módulo pam_krb5 (proporcionado en el paquete pam_krb5) está instalado. El paquete pam_krb5 contiene archivos de configuración de ejemplo que permiten servicios como login y gdm autentificar usuarios así como obtener credenciales iniciales usando sus contraseñas. Si el acceso a los servidores de red siempre se realiza mediante servicios kerberizados (o servicios que usan GSS-API, como IMAP), la red puede ser considerada razonablemente segura.

SugerenciaSugerencia
 

Los administradores deberían tener cuidado de no permitir a los usuarios autentificarse a servicios de red usando claves Kerberos. La mayoría de los protocolos no encriptan las contraseñas antes de enviarlas sobre la red, destruyendo así los beneficios del sistema Kerberos. Por ejemplo, a los usuarios no se les debería permitir autenticarse usando contraseñas Kerberos sobre Telnet.