Wie konfiguriere ich ein Standardprinzipal für kinit (Erwerb eines Kerberos-Tickets)?

9

Bei der Verwendung kinitzum Erwerb eines Kerberos-Tickets habe ich es so konfiguriert, dass es einen Standardbereich verwendet, z. B. GERT.LANdurch Bearbeiten von /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Das ist großartig, da ich das nicht immer in der Kommandozeile angeben muss.

⟫ kinit
[email protected]'s Password:

Mein lokaler Benutzername gertstimmt jedoch nicht mit dem Remote-Benutzernamen überein gertvdijk. Jetzt muss ich noch den vollständigen Hauptnamen als Argument angeben. Wenn dies nur kinit ist, könnte ich einen Bash-Alias ​​erstellen, aber es scheinen mehr Kerberos-Tools meinen lokalen Benutzernamen zu testen. Zum Beispiel erlaubt mir Kredentials nicht, einen anderen als den Standardprinzipal zu verwenden.

Im Grunde möchte ich also eine Zuordnung zwischen dem lokalen Benutzer gertund dem Remote-Prinzipal erstellen [email protected].

Ironischerweise kann ich dies erreichen, wenn ich ein komplizierteres Setup mit PAM verwende. In krb5.conf:

[appdefaults]
        pam = {
                mappings = gert [email protected]
        }

Aber ich möchte das Kerberos PAM-Modul nicht mehr verwenden, da ich mich so oft gesperrt habe, weil ich dachte, der Kerberos-Server sei nicht erreichbar und ich versuche, das lokale Passwort einzugeben ...

Kurz gesagt, gibt es eine Möglichkeit, ein Standardprinzipal oder eine Zuordnung aus lokalen Benutzernamen zu konfigurieren?

gertvdijk
quelle

Antworten:

4

Der Standardprinzipal kann in ~ / .k5identity festgelegt werden

$ cat .k5identity
[email protected]

Dann verwendet kinit es als Standardidentität.

Sonstiges
quelle
Süss! Auch mehr Konfiguration ist möglich Ich sehe: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk
Richten Sie einfach Kerberos auf meinem Computer ein und zeigen Sie auf das Institut kdc, um dies zu testen. Funktioniert bei mir nicht :(
Mahesh
Festlegen des Realm-Werts neben den Hauptwerken.
Mahesh
2
Funktioniert bei mir in der Praxis nicht; wählt immer noch [email protected]als Auftraggeber. Ich verwende das heimdal-clientsPaket, das mir zur Verfügung gestellt wird /usr/bin/kinit. Die MIT-Version scheint in der Windows-Domäne nicht zu funktionieren, daher kann ich das nicht testen.
Gertvdijk
Es funktioniert auch nicht mit dem Kinit von MIT krb5. kinitwird diese Datei nicht berücksichtigen. Ich glaube, in der Dokumentation wird erwähnt, dass dies für die Anforderung von Tickets für einen Dienst gilt, nicht für die Anforderung der ersten TGT. Schade.
Gertvdijk
0

Verwenden Sie einen Standardbereich und eine Benutzerzuordnung /etc/krb5.confwie folgt:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Jetzt ordne kinit/ kpasswddies zu, wenn es als lokaler Benutzer aufgerufen wird, und ordne dies einem Domänenbenutzernamen zu.

gertvdijk
quelle
Hmm, das hat einen Neustart irgendwie nicht überstanden. Wird zu einem späteren Zeitpunkt weiter untersucht.
Gertvdijk