lib/libpam/modules/pam_krb5/README

   1 $FreeBSD: src/lib/libpam/modules/pam_krb5/README,v 1.1.2.2 2001/07/29 18:57:30 markm Exp $
   2 $DragonFly: src/lib/libpam/modules/pam_krb5/Attic/README,v 1.2 2003/06/17 04:26:50 dillon Exp $
   3
   4 This is the README for pam_krb5, a PAM module which support Kerberos 5
   5 authentication.
   6
   7 This software is Copyright (c) 1999-2000 Frank Cusack.
   8 All Rights Reserved.
   9
  10 See the COPYRIGHT file, included with this distribution, for copyright
  11 and redistribution information.
  12
  13 Author:
  14 Frank Cusack
  15 <fcusack@fcusack.com>
  16
  17
  18 I. Kerberos notes
  19
  20 This PAM module requires the MIT 1.1+ release of Kerberos, or the Cygnus
  21 CNS distribution. It has not been tested against heimdal or any other
  22 Kerberos distributions.
  23
  24 Unlike other PAM Kerberos 5 modules out there, this one does not
  25 use any private Kerberos interfaces. Thus, you need only the
  26 header files and libraries that are part of the Kerberos distribution.
  27
  28
  29 II. OS notes
  30
  31 This software has been tested against Solaris 2.6. It should compile
  32 against Linux (distributions?) with minimal (if any) changes. Reports
  33 of OS [in]compatibilities are welcomed.
  34
  35 dtlogin on Solaris doesn't support xrealm logins (probably a good thing).
  36
  37 III. PAM notes/open issues
  38
  39 auth module:
  40 When is pam_sm_setcred() ever called with flags other than PAM_ESTABLISH_CRED?
  41 It would be fairly easy to support PAM_DELETE_CRED.
  42
  43 acct module:
  44 I believe this to be complete.
  45
  46 session module:
  47 This is complete (both functions just return success).
  48
  49 passwd module:
  50 When is pam_sm_chauthtok() ever called with flags other than
  51 PAM_UPDATE_AUTHTOK?
  52
  53
  54 IV. Usage
  55
  56 Simply change /etc/pam.conf to include this module. Make sure to include
  57 the acct category whenever you use the auth category, or .k5login will
  58 not get checked.
  59
  60 You probably want to make this module "sufficient", before your unix
  61 (or other) module(s).
  62
  63
  64 V. Acknowledgements
  65
  66 Thanks to Naomaru Itoi <itoi@eecs.umich.edu>,
  67 Curtis King <curtis.king@cul.ca>, and Derrick Brashear <shadow@dementia.org>,
  68 all of whom have written and made available Kerberos 4/5 modules.
  69 Although no code in this module is directly from these author's modules,
  70 (except the get_user_info() routine in support.c; derived from whichever
  71 of these authors originally wrote the first module the other 2 copied from),
  72 it was extremely helpful to look over their code which aided in my design.
  73