Come automatizzare il processo kinit per ottenere TGT per Kerberos?

Attualmente sto scrivendo un modulo fantoccio per automatizzare il processo di unione dei server RHEL a un dominio AD, con supporto per Kerberos.

Attualmente, ho problemi con l'ottenimento e la memorizzazione automatica dei ticket di concessione ticket Kerberos tramite kinit. Se ciò dovesse avvenire manualmente, farei questo:

kinit aduser@REALM.COM

Questo richiede la password dell'utente AD, quindi c'è un problema con automatizzare questo.

Come posso automatizzare questo? Ho trovato alcuni post che menzionano l'uso kadminper creare un database con la password degli utenti AD, ma non ho avuto fortuna.

Stupido, puoi semplicemente usare il seguente comando:

echo "password" | kinit aduser@REALM

Mentre puoi semplicemente codificare la password nella tua automazione, il modo più corretto di Kerberos per farlo è creare un keytab per il principale e quindi usarlo per autenticarti. kinitsupporta l'autenticazione da un keytab usando le -k -t <keytab-path>opzioni.

Il vantaggio principale di un keytab è che isola le credenziali in un file separato e può essere utilizzato direttamente da vari software Kerberos (quindi non è necessario aggiungere codice per leggere una password da un file separato). Può anche essere creato con comandi standard (con un AD KDC, utilizzare ktpass). Ci sono alcuni altri vantaggi se si ha un KDC Linux, come la randomizzazione semplice delle chiavi memorizzate nel keytab piuttosto che l'utilizzo di una password più debole.

Secondo la pagina man potresti usare:

kinit --password-file="~/my.secret" aduser@REALM.COM

Quindi potresti semplicemente fornire la tua password tramite un file.