Zintegruj Kerberos i Brelok

18

Czy można kinitpoprosić Keychain o hasło, a nie mnie?

Tig
źródło

Odpowiedzi:

19

kinitw Mac OS X teraz (od 10.9, być może wcześniej) ma wbudowaną obsługę zapisywania hasła do pęku kluczy za pomocą --keychainargumentu, osiągając to samo, co odpowiedź Paula.

Uwierzytelnij za pomocą kinit --keychain; hasło zostanie zapisane po pomyślnym uwierzytelnieniu:

kinit --keychain
# or
kinit --keychain [email protected]

Kolejne kinitwywołania (które nie wymagają --keychainargumentu) automatycznie otrzymają zapisane hasło z pęku kluczy zamiast monitować o jego wpisanie.

Miles
źródło
Wow, opcja nawet nie wymieniona na kinitstronie podręcznika i działa dobrze. Ładny.
rogerdpack
14

Właściwie jest to możliwe. Powiedzmy, że masz konto „bob” w dziedzinie „MY.REAL.COM” z hasłem „mypasswd”. Następnie w typie terminala w jednej linii

security add-generic-password -a "bob" -l "MY.REAL.COM (bob)" -s "MY.REALM.COM" -w "mypasswd" -c "aapl" -T "/usr/bin/kinit"

Spowoduje to utworzenie elementu w domyślnym pęku kluczy o nazwie „MY.REALM.COM (bob)” z poświadczeniami Kerberos i kinit, który będzie upoważniony do dostępu do niego. Możesz dodać tyle -T "/fulpath/program"przełączników, ile chcesz, każdy zapewni dostęp do określonego programu, który będzie używał twoich danych uwierzytelniających Kerberos. Na przykład -T "/Applications/Mail.app/Contents/MacOS/Mail"doda dostęp do Mail.app.

Więcej szczegółów z man security.

Po tym kinit [email protected]nie poprosi Cię o hasło, ale dostanie je z pęku kluczy.

Paweł
źródło
1
To jest flippin 'rad!
jathanism
1
Nie mogłem tego zrobić, ale działa to z odpowiedzią Milesa
Brice,
-1

Przy tylko kinit jest to niemożliwe.

Będziesz musiał napisać lub poprosić kogoś innego o utworzenie oddzielnego interfejsu, który korzysta z interfejsu API Keychain Services do przechowywania haseł i uzyskiwania do nich dostępu.

surfasb
źródło
Po prostu nie rozumiem, dlaczego Keychain jest zintegrowany, więc pamięta hasło dla klucza ssh, ale nie pamiętam hasła do Kerberos.
tig
To dlatego, że nikt nie zadał sobie trudu, aby go zaprogramować.
surfasb