1

У меня есть кластер машин под управлением CentOS 7.3. Kerberos, DNS, LDAP и т.д. Используются унифицированно с помощью FreeIPA 4.4.

У меня есть конкретный пользователь, который запускает автоматизированные тесты. Следовательно, эти пользователи должны иметь возможность получить билет для выдачи билета без ввода пароля. Я попытался сделать это, создав таблицу ключей и эффективно «предварительно введя» пароль. Тем не менее, я не могу kinit, используя keytab, как показано ниже.

ПОЛУЧИТЕ КЛЮЧЕВУЮ ВЕРСИЮ НОМЕР (KVNO) от KDC

[root@kdc.example.com ~]# kadmin.local -q 'get_principal myuser@EXAMPLE.COM'
Authenticating as principal root/admin@EXAMPLE.COM with password.
Principal: myuser@EXAMPLE.COM
Expiration date: [never]
Last password change: Mon Jul 16 06:54:59 CDT 2018
Password expiration date: Tue Jul 23 06:54:59 CDT 2019
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mon Jul 16 06:54:59 CDT 2018 (kadmind@EXAMPLE.COM)
Last successful authentication: Mon Jul 23 11:03:38 CDT 2018
Last failed authentication: Mon Jul 23 14:40:57 CDT 2018
Failed password attempts: 1
Number of keys: 2
Key: vno 3, aes256-cts-hmac-sha1-96:special
Key: vno 3, aes128-cts-hmac-sha1-96:special
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH
Policy: [none]

СОЗДАЙТЕ КЛАВИАТУРУ, ИСПОЛЬЗУЯ КВНО С ВЫШЕ, НА КЛИЕНТСКОЙ МАШИНЕ

myuser@client-host.example.com$ cd /home/myuser
myuser@client-host.example.com$ mkdir .krb5
myuser@client-host.example.com$ chmod 700 .krb5
myuser@client-host.example.com$ cd /home/myuser/.krb5
myuser@client-host.example.com$ ktutil
ktutil:  addent -password -p myuser@EXAMPLE.COM -k 3 -e aes256-cts
Password for myuser@EXAMPLE.COM:
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1                    myuser@EXAMPLE.COM
ktutil:  wkt myuser.keytab
ktutil:  exit

СПИСОК КЛАВИШ, КОТОРЫЙ МЫ ПРОСТО СОЗДАЛИ НА КЛИЕНТСКОЙ МАШИНЕ

myuser@client-host.example.com$ klist -kte myuser.keytab
Keytab name: FILE:myuser.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   1 07/23/2018 14:33:30 myuser@EXAMPLE.COM (aes256-cts-hmac-sha1-96)

ПЫТАЙТЕСЬ ИСПОЛЬЗОВАТЬ КЛАВИАТУРУ НА МАШИНЕ КЛИЕНТА

myuser@client-host.example.com$ klist
klist: Credentials cache keyring 'persistent:4866486744:krb_ccache_rGHfj38' not found
myuser@client-host.example.com$ kinit myuser@EXAMPLE.COM -k -t /home/myuser/.krb5/myuser.keytab
kinit: Password incorrect while getting initial credentials

Где я ошибаюсь при настройке keytab для этого пользователя?

|источник

1 ответ1

0

Я все еще не уверен, почему использование ktutil на клиенте не работает, но использование kadmin.local на сервере делает:

kadmin.local
kadmin.local: ktadd -k myuser.keytab -norandkey myuser@EXAMPLE.com
kadmin.local: exit

Надежно переместите этот файл в безопасный каталог на клиенте.

На клиенте используйте этот файл ключей следующим образом:

kinit -k -t myuser.keytab myuser@EXAMPLE.COM
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .