Comment configurer un principal par défaut pour kinit (acquisition d'un ticket Kerberos)?


9

Lors de l'utilisation kinitpour acquérir un ticket Kerberos, je l'ai configuré pour utiliser un domaine par défaut, GERT.LANpar exemple en modifiant /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

C'est super car je n'ai pas à fournir cela tout le temps sur la ligne de commande.

⟫ kinit
gert@GERT.LAN's Password:

Cependant, mon nom d'utilisateur local gertne correspond pas au nom d'utilisateur distant gertvdijk. Maintenant, je dois encore fournir le nom principal principal comme argument. Si c'est juste kinit, je pourrais créer un alias bash, mais plus d'outils Kerberos semblent essayer mon nom d'utilisateur local. Par exemple, Kredentials ne me permet pas d'utiliser un autre que le principal par défaut.

Donc, fondamentalement, ce que je veux, c'est créer un mappage entre l'utilisateur local gertet le principal distant gertvdijk@GERT.LAN.

Ironiquement, lorsque j'utilise une configuration plus compliquée avec PAM, je suis en mesure d'y parvenir. Dans krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Mais je ne veux plus utiliser le module Kerberos PAM car je me suis verrouillé tant de fois en pensant que le serveur Kerberos n'est pas accessible et j'essaye d'entrer le mot de passe local ...

Donc, pour faire court, existe-t-il un moyen de configurer un principal par défaut ou un mappage à partir de noms d'utilisateur locaux?

Réponses:


4

Le principal par défaut peut être défini dans ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Ensuite, kinit l'utilisera comme identité par défaut.


Doux! De plus, une configuration supplémentaire est possible, je vois: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk

Configurez juste des kerberos sur ma machine pointant pour instituer kdc pour tester ceci. Ça ne marche pas pour moi. :(
Mahesh

Définition de la valeur du domaine aux côtés des œuvres principales.
Mahesh

2
Ne fonctionne pas pour moi dans la pratique; sélectionne toujours gert@GERT.LANcomme principal. J'utilise le heimdal-clientspackage qui me fournit /usr/bin/kinit. La version MIT ne semble pas fonctionner sur le domaine Windows, donc je ne peux pas tester cela.
gertvdijk

Il ne fonctionne pas non plus avec la kinit du MIT krb5 pour l'instant. kinitne tiendra pas compte de ce fichier. Je crois que la documentation mentionne qu'il s'agit de demander des billets pour un service, pas lors de la demande du TGT initial. Bummer.
gertvdijk

0

Utilisez un domaine par défaut et utilisez un mappage utilisateur dans votre /etc/krb5.confcomme ceci:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Maintenant kinit/ kpasswdmappera ceci lors de son invocation en tant qu'utilisateur local et le mappera à un nom d'utilisateur de domaine.


Hmm, cela n'a pas survécu à un redémarrage. Enquêtera plus loin à une date ultérieure.
gertvdijk
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.