Как настроить основной субъект по умолчанию для kinit (получение билета Kerberos)?

При использовании kinitдля получения билета Kerberos я настроил его для использования области по умолчанию, например, GERT.LANпутем редактирования /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Это здорово, так как мне не нужно постоянно указывать это в командной строке.

⟫ kinit
gert@GERT.LAN's Password:

Однако мое локальное имя пользователя gertне соответствует удаленному имени пользователя gertvdijk. Теперь я должен предоставить полное имя участника в качестве аргумента. Если это просто kinit, я мог бы создать псевдоним bash, но появилось больше инструментов Kerberos, чтобы попробовать мое локальное имя пользователя. Например, Kredentials не позволяет мне использовать принцип, отличный от основного.

Итак, в общем, я хочу создать сопоставление между локальным пользователем gertи удаленным принципалом gertvdijk@GERT.LAN.

По иронии судьбы, при использовании более сложной настройки с PAM я могу добиться этого. В krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Но я больше не хочу использовать модуль PAM Kerberos, так как я так много раз блокировал себя, полагая, что сервер Kerberos недоступен, и я пытаюсь ввести локальный пароль ...

Итак, короче говоря, есть ли способ настроить принципал по умолчанию или отображение из локальных имен пользователей?

Основной участник по умолчанию может быть установлен в ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Тогда kinit будет использовать его как личность по умолчанию.

Используйте область по умолчанию и используйте сопоставление пользователей в вашем /etc/krb5.confвиде:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Теперь kinit/ kpasswdотобразит это при вызове в качестве локального пользователя и сопоставит это с именем пользователя домена.