Как настроить основной субъект по умолчанию для kinit (получение билета Kerberos)?


9

При использовании kinitдля получения билета Kerberos я настроил его для использования области по умолчанию, например, GERT.LANпутем редактирования /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Это здорово, так как мне не нужно постоянно указывать это в командной строке.

⟫ kinit
gert@GERT.LAN's Password:

Однако мое локальное имя пользователя gertне соответствует удаленному имени пользователя gertvdijk. Теперь я должен предоставить полное имя участника в качестве аргумента. Если это просто kinit, я мог бы создать псевдоним bash, но появилось больше инструментов Kerberos, чтобы попробовать мое локальное имя пользователя. Например, Kredentials не позволяет мне использовать принцип, отличный от основного.

Итак, в общем, я хочу создать сопоставление между локальным пользователем gertи удаленным принципалом gertvdijk@GERT.LAN.

По иронии судьбы, при использовании более сложной настройки с PAM я могу добиться этого. В krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Но я больше не хочу использовать модуль PAM Kerberos, так как я так много раз блокировал себя, полагая, что сервер Kerberos недоступен, и я пытаюсь ввести локальный пароль ...

Итак, короче говоря, есть ли способ настроить принципал по умолчанию или отображение из локальных имен пользователей?

Ответы:


4

Основной участник по умолчанию может быть установлен в ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Тогда kinit будет использовать его как личность по умолчанию.


Сладкий! Также возможна дополнительная настройка: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk

Просто установите Kerberos на моей машине, указывая на институт KDC, чтобы проверить это. Не работает для меня :(
Махеш

Установка стоимости области наряду с основными работами.
Махеш

2
Не работает для меня на практике; по-прежнему выбирает в gert@GERT.LANкачестве основного. Я использую heimdal-clientsпакет, предоставляющий мне /usr/bin/kinit. Версия MIT не работает в домене Windows, поэтому я не могу это проверить.
gertvdijk

Это также не работает с Kinit MIT krb5 на данный момент. kinitне будет принимать этот файл во внимание. Я считаю, что в документации упоминается, что это для запроса билетов на услугу, а не при запросе первоначального TGT. Облом.
gertvdijk

0

Используйте область по умолчанию и используйте сопоставление пользователей в вашем /etc/krb5.confвиде:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Теперь kinit/ kpasswdотобразит это при вызове в качестве локального пользователя и сопоставит это с именем пользователя домена.


Хм, это не пережило перезагрузку как-то. Будем расследовать дальше, позже.
gertvdijk
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.