Obecnie piszę moduł lalek, aby zautomatyzować proces dołączania serwerów RHEL do domeny AD, z obsługą Kerberos.
Obecnie mam problemy z automatycznym uzyskiwaniem i buforowaniem biletu przydziału biletów Kerberos za pośrednictwem kinit. Gdyby to zrobić ręcznie, zrobiłbym to:
kinit [email protected]
Powoduje to podanie hasła użytkownika AD, dlatego istnieje problem z automatyzacją tego.
Jak mogę to zautomatyzować? Znalazłem kilka postów o używaniu kadmindo tworzenia bazy danych z hasłem użytkowników AD, ale nie miałem szczęścia.
linux
active-directory
authentication
kerberos
rozerwać
źródło
źródło
echo -n "$PASS" | kinit "$USER"nie wypisuj końcowego nowego wierszaChociaż możesz po prostu zakodować hasło na stałe w automatyzacji, bardziej poprawnym sposobem Kerberos jest utworzenie pliku kluczy dla zleceniodawcy, a następnie użycie go do uwierzytelnienia.
kinitobsługuje uwierzytelnianie z keytab przy użyciu-k -t <keytab-path>opcji.Podstawową zaletą keytab jest to, że izoluje on poświadczenia w osobnym pliku i może być używany bezpośrednio przez różne oprogramowanie Kerberos (więc nie musisz dodawać kodu, aby odczytać hasło z oddzielnego pliku). Można go również utworzyć za pomocą standardowych poleceń (z AD KDC, użyj
ktpass). Istnieje kilka innych zalet, jeśli masz Linux KDC, takich jak łatwe losowe klucze przechowywane w keytabie zamiast używania słabszego hasła.źródło
-norandkeyflagi w ktadd, jeśli nie chcesz unieważniać istniejącego hasła.Według strony podręcznika, której możesz użyć:
Więc możesz podać swoje hasło za pomocą pliku.
źródło