Come configuro un'entità predefinita per kinit (acquisizione del ticket Kerberos)?

9

Quando si utilizza kinitper acquisire un ticket Kerberos, l'ho configurato per utilizzare un dominio predefinito, ad esempio GERT.LANmodificando /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

È fantastico dal momento che non devo fornirlo sempre dalla riga di comando.

⟫ kinit
gert@GERT.LAN's Password:

Tuttavia, il mio nome utente locale gertnon corrisponde al nome utente remoto gertvdijk. Ora devo fornire il nome principale completo come argomento. Se questo è solo kinit potrei creare un alias bash, ma più strumenti Kerberos sembrano provare il mio nome utente locale. Ad esempio Kredentials non mi consente di utilizzare un valore diverso da quello predefinito.

Quindi, fondamentalmente, quello che voglio è creare una mappatura tra l'utente locale gerte il principale remoto gertvdijk@GERT.LAN.

Ironia della sorte, quando si utilizza una configurazione più complicata con PAM sono in grado di raggiungere questo obiettivo. In krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Ma non voglio più utilizzare il modulo Kerberos PAM poiché mi sono bloccato così tante volte pensando che il server Kerberos non è raggiungibile e sto cercando di inserire la password locale ...

Quindi, per farla breve, c'è un modo per configurare un principal predefinito o una mappatura da nomi utente locali?

kerberos 
gertvdijk
fonte

Risposte:

4

L'entità predefinita può essere impostata in ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Quindi kinit lo userà come identità predefinita.

Varie
fonte
Dolce! Inoltre, è possibile visualizzare una configurazione maggiore: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk,
Ho appena impostato kerberos sulla mia macchina che punta a istituire kdc per testarlo. Non funziona per me. :(
Mahesh,
Impostazione del valore del realm insieme alle opere principali.
Mahesh,
2
In pratica non funziona per me; seleziona ancora gert@GERT.LANcome principale. Sto usando il heimdal-clientspacchetto che mi fornisce /usr/bin/kinit. La versione MIT sembra non funzionare sul dominio Windows, quindi non posso provarlo.
gertvdijk,
Inoltre, al momento non funziona con i parenti del MIT krb5. kinitnon terrà conto di questo file. Credo che la documentazione menzioni che questo è per la richiesta di biglietti per un servizio, non quando si richiede il TGT iniziale. Bummer.
gertvdijk,
0

Usa un dominio predefinito e usa una mappatura utente /etc/krb5.confcome questa:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Ora kinit/ kpasswdmapperà questo quando lo invocherà come utente locale e lo mapperà su un nome utente di dominio.

gertvdijk
fonte
Hmm, questo non è sopravvissuto al riavvio in qualche modo. Investigherà ulteriormente in un secondo momento.
gertvdijk,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.