Saat ini saya sedang menulis modul boneka untuk mengotomatiskan proses bergabung dengan server RHEL ke domain AD, dengan dukungan untuk Kerberos.
Saat ini, saya memiliki masalah dengan secara otomatis mendapatkan dan melakukan cache tiket melalui pemberian Tiket Kerberos kinit
. Jika ini dilakukan secara manual, saya akan melakukan ini:
kinit [email protected]
Ini meminta kata sandi pengguna AD, karenanya ada masalah dengan mengotomatiskan ini.
Bagaimana saya bisa mengotomatisasi ini? Saya telah menemukan beberapa tulisan yang disebutkan digunakan kadmin
untuk membuat database dengan kata sandi pengguna AD di dalamnya, tetapi saya tidak beruntung.
linux
active-directory
authentication
kerberos
merobek-
sumber
sumber
echo -n "$PASS" | kinit "$USER"
jangan tampilkan trailing newlineMeskipun Anda bisa memasukkan kode sandi ke dalam otomatisasi Anda, cara Kerberos yang lebih tepat untuk melakukan ini adalah dengan membuat keytab untuk kepala sekolah dan kemudian menggunakannya untuk otentikasi.
kinit
mendukung otentikasi dari keytab menggunakan-k -t <keytab-path>
opsi.Keuntungan utama keytab adalah bahwa ia mengisolasi kredensial dalam file terpisah dan dapat digunakan langsung oleh berbagai perangkat lunak Kerberos (jadi Anda tidak perlu menambahkan kode untuk membaca kata sandi dari file terpisah). Itu juga dapat dibuat dengan perintah standar (dengan AD KDC, gunakan
ktpass
). Ada beberapa keuntungan lebih jika Anda memiliki KDC Linux, seperti kunci acak yang disimpan di tab kunci daripada menggunakan kata sandi yang lebih lemah.sumber
-norandkey
bendera di ktadd jika Anda tidak ingin membatalkan kata sandi yang ada.Menurut halaman manual yang dapat Anda gunakan:
Jadi Anda mungkin memberikan kata sandi Anda melalui file.
sumber