Bei der Verwendung kinitzum Erwerb eines Kerberos-Tickets habe ich es so konfiguriert, dass es einen Standardbereich verwendet, z. B. GERT.LANdurch Bearbeiten von /etc/krb5.conf:
[libdefaults]
default_realm = GERT.LAN
Das ist großartig, da ich das nicht immer in der Kommandozeile angeben muss.
⟫ kinit
[email protected]'s Password:
Mein lokaler Benutzername gertstimmt jedoch nicht mit dem Remote-Benutzernamen überein gertvdijk. Jetzt muss ich noch den vollständigen Hauptnamen als Argument angeben. Wenn dies nur kinit ist, könnte ich einen Bash-Alias erstellen, aber es scheinen mehr Kerberos-Tools meinen lokalen Benutzernamen zu testen. Zum Beispiel erlaubt mir Kredentials nicht, einen anderen als den Standardprinzipal zu verwenden.
Im Grunde möchte ich also eine Zuordnung zwischen dem lokalen Benutzer gertund dem Remote-Prinzipal erstellen [email protected].
Ironischerweise kann ich dies erreichen, wenn ich ein komplizierteres Setup mit PAM verwende. In krb5.conf:
[appdefaults]
pam = {
mappings = gert [email protected]
}
Aber ich möchte das Kerberos PAM-Modul nicht mehr verwenden, da ich mich so oft gesperrt habe, weil ich dachte, der Kerberos-Server sei nicht erreichbar und ich versuche, das lokale Passwort einzugeben ...
Kurz gesagt, gibt es eine Möglichkeit, ein Standardprinzipal oder eine Zuordnung aus lokalen Benutzernamen zu konfigurieren?
[email protected]als Auftraggeber. Ich verwende dasheimdal-clientsPaket, das mir zur Verfügung gestellt wird/usr/bin/kinit. Die MIT-Version scheint in der Windows-Domäne nicht zu funktionieren, daher kann ich das nicht testen.kinitwird diese Datei nicht berücksichtigen. Ich glaube, in der Dokumentation wird erwähnt, dass dies für die Anforderung von Tickets für einen Dienst gilt, nicht für die Anforderung der ersten TGT. Schade.Verwenden Sie einen Standardbereich und eine Benutzerzuordnung
/etc/krb5.confwie folgt:Jetzt ordne
kinit/kpasswddies zu, wenn es als lokaler Benutzer aufgerufen wird, und ordne dies einem Domänenbenutzernamen zu.quelle