Atualmente, estou escrevendo um módulo fantoche para automatizar o processo de associação de servidores RHEL a um domínio do AD, com suporte para Kerberos.
Atualmente, tenho problemas para obter e armazenar em cache automaticamente o ticket de concessão de tíquetes Kerberos via kinit. Se isso fosse feito manualmente, eu faria o seguinte:
kinit [email protected]
Isso solicita a senha do usuário do AD, portanto, há um problema com a automatização disso.
Como posso automatizar isso? Encontrei algumas postagens mencionando o uso kadminpara criar um banco de dados com a senha de usuários do AD, mas não tive sorte.
linux
active-directory
authentication
kerberos
rasgou-
fonte
fonte
echo -n "$PASS" | kinit "$USER"não gera nova linha finalEnquanto você pode apenas codificar a senha na sua automação, a maneira mais correta do Kerberos de fazer isso é criar um keytab para o principal e usá-lo para autenticar.
kinitsuporta autenticação de um keytab usando as-k -t <keytab-path>opçõesA principal vantagem de um keytab é que ele isola as credenciais em um arquivo separado e pode ser usado diretamente por vários softwares Kerberos (para que você não precise adicionar código para ler uma senha de um arquivo separado). Também pode ser criado com comandos padrão (com um AD KDC, use
ktpass). Há mais algumas vantagens se você tiver um KDC Linux, como chaves aleatórias facilmente armazenadas na aba de chaves em vez de usar uma senha mais fraca.fonte
-norandkeysinalizador no ktadd se não quiser invalidar a senha existente.De acordo com a página de manual, você pode usar:
Então você pode fornecer sua senha através de um arquivo.
fonte