Como configuro um principal padrão para o kinit (adquirindo o tíquete Kerberos)?

Ao usar kinitpara adquirir um tíquete Kerberos, eu o configurei para usar um domínio padrão, GERT.LANpor exemplo , editando /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Isso é ótimo, já que não preciso fornecer isso o tempo todo na linha de comando.

⟫ kinit
[email protected]'s Password:

No entanto, meu nome de usuário local gertnão corresponde ao nome de usuário remoto gertvdijk. Agora eu tenho que fornecer o nome principal completo como argumento ainda. Se este for apenas kinit, eu poderia criar um alias do bash, mas mais ferramentas Kerberos aparecerão para tentar meu nome de usuário local. Por exemplo, o Kredentials não me permite usar outro que não seja o principal padrão.

Então, basicamente, o que eu quero é criar um mapeamento entre o usuário local gerte o principal remoto [email protected].

Ironicamente, ao usar uma configuração mais complicada com o PAM, sou capaz de conseguir isso. Em krb5.conf:

[appdefaults]
        pam = {
                mappings = gert [email protected]
        }

Mas não quero mais usar o módulo Kerberos PAM, pois me bloqueei tantas vezes pensando que o servidor Kerberos não está acessível e estou tentando inserir a senha local ...

Então, para encurtar a história, existe uma maneira de configurar um principal padrão ou um mapeamento a partir de nomes de usuários locais?

kerberos gertvdijk
fonte

Respostas:

O principal padrão pode ser definido em ~ / .k5identity

$ cat .k5identity
[email protected]

Então o kinit irá usá-lo como uma identidade padrão.

Diversos
fonte

Doce! Também mais configuração é possível que eu vejo: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/...

gertvdijk

Basta configurar o kerberos na minha máquina apontando para instituir o kdc para testar isso. Não funciona para mim. :(

Mahesh

Definindo o valor da região juntamente com as principais obras.

Mahesh

Não funciona para mim na prática; ainda seleciona [email protected]como principal. Estou usando o heimdal-clientspacote que me fornece /usr/bin/kinit. A versão do MIT parece não funcionar no domínio do Windows, então não posso testar isso.

gertvdijk

Também não funciona com o kit do MIT krb5 a partir de agora. kinitnão levará esse arquivo em consideração. Acredito que a documentação menciona que isso é para solicitar tickets para um serviço, não ao solicitar o TGT inicial. Vadio.

Gertvdijk

Use uma região padrão e use um mapeamento de usuário /etc/krb5.confcomo este:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Agora kinit/ kpasswdmapeá-lo-á ao invocá-lo como usuário local e mapeá-lo para um nome de usuário de domínio.

gertvdijk
fonte

Hmm, isso não sobreviveu a uma reinicialização de alguma forma. Irá investigar mais tarde.

Gtvdijk