1

Я установил компьютер с Ubuntu 16.04 и интегрировал его в среду домена Active Directory Windows, используя это руководство: https://www.unixmen.com/how-to-join-an-ubuntu-desktop-into-an-active- каталог-домен /

Я использую аутентификацию Kerberos для нескольких сервисов (cifs, http и т.д.)

Вход в систему работает нормально, и с помощью $ klist я вижу действующий билет после входа в систему, который действителен в течение 10 часов и может быть продлен на 7 дней. Участник службы: krbtgt/EXAMPLE.COM@EXAMPLE.COM

Машина должна быть в сети 24/7, и мне нужно запросить новый билет, прежде чем он станет недействительным. Я обновляю свой билет с помощью krenew deamon с $ krenew -i -K 10 при входе в систему. Это тоже отлично работает!

Но это работает только до истечения срока действия продления.

Я могу вручную запросить билет с $ kinit но мне нужно ввести пароль пользователя.

У меня вопрос, как я могу автоматизировать запрос билетов каждые 5 дней?

Я прочитал о $ kinit -v, который должен использовать текущий кэш учетных данных для аутентификации запроса билета, но он не работает:

kinit: KDC can't fulfill requested option while validating credentials

Я также прочитал, что мне нужно будет создать keytab в этом случае. Это правда? Если да - как его создать?

Кто-нибудь может помочь?

1 ответ1

0

Используйте keytab для получения TGT? Вы должны быть очень осторожны, хотя. В случае утечки это имеет тот же эффект, что и утечка пароля. ktutil - ваш друг, точнее, его подкоманды addent и wkt.

user@host ~ $ ktutil 
ktutil:  addent -password  -p PRINCIPAL@REALM -e  arcfour-hmac -k 1
Password for PRINCIPAL@REALM: 
ktutil:  wkt test.keytab
ktutil: q
user@host ~ $ ls -l test.keytab 
-rw------- 1 user user 59 Feb 15 00:05 test.keytab

мимо того keytab к kinit, чтобы получить TGT.

Плагин auks для slurm имеет скрипт, который делает что-то подобное (https://github.com/hautreux/auks/blob/master/src/auksd/aukspriv)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .