Jak skonfigurować domyślną nazwę użytkownika dla kinit (pobieranie biletu Kerberos)?

9

Podczas kinituzyskiwania biletu Kerberos skonfigurowałem go tak, aby używał domyślnej dziedziny, np. GERT.LANEdytując /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

To świetnie, ponieważ nie muszę tego cały czas podawać w wierszu poleceń.

⟫ kinit
[email protected]'s Password:

Jednak moja lokalna nazwa użytkownika gertnie zgadza się ze zdalną nazwą użytkownika gertvdijk. Teraz muszę podać pełną nazwę główną jako argument. Jeśli to tylko kinit, mógłbym utworzyć alias bash, ale wydaje się, że więcej narzędzi Kerberos próbuje mojej lokalnej nazwy użytkownika. Na przykład Kredentials nie pozwala mi korzystać z innego niż domyślny zleceniodawcy.

Zasadniczo chcę utworzyć odwzorowanie między użytkownikiem lokalnym gerta zdalnym zleceniodawcą [email protected].

Jak na ironię, używając bardziej skomplikowanej konfiguracji z PAM, jestem w stanie to osiągnąć. W krb5.conf:

[appdefaults]
        pam = {
                mappings = gert [email protected]
        }

Ale nie chcę już używać modułu Kerberos PAM, ponieważ tyle razy się blokowałem, myśląc, że serwer Kerberos jest nieosiągalny i próbuję wprowadzić hasło lokalne ...

Krótko mówiąc, czy istnieje sposób na skonfigurowanie domyślnej nazwy użytkownika lub mapowanie na podstawie lokalnych nazw użytkowników?

kerberos gertvdijk
źródło

Odpowiedzi:

4

Domyślną zasadę można ustawić w ~ / .k5identity

$ cat .k5identity
[email protected]

Następnie kinit użyje go jako domyślnej tożsamości.

Misc
źródło
Słodkie! Możliwa jest także większa konfiguracja. Widzę: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk
Po prostu skonfiguruj Kerberos na mojej maszynie, wskazując na ustanowienie kdc, aby to przetestować. Nie działa dla mnie. :(
Mahesh
Ustawianie wartości dziedziny obok głównych prac.
Mahesh
2
W praktyce nie działa dla mnie; nadal wybiera [email protected]jako główny. Korzystam z heimdal-clientsdostarczonego pakietu /usr/bin/kinit. Wygląda na to, że wersja MIT nie działa w domenie Windows, więc nie mogę tego przetestować.
gertvdijk
Na razie nie działa również z kinit MIT krb5. kinitnie weźmie tego pliku pod uwagę. Uważam, że w dokumentacji wspomniano, że dotyczy to zamawiania biletów na usługę, a nie podczas żądania wstępnego biletu TGT. Porażka.
gertvdijk
0

Użyj domyślnej dziedziny i użyj mapowania użytkowników w /etc/krb5.confnastępujący sposób:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Teraz kinit/ kpasswdzamapuje to podczas wywoływania go jako użytkownika lokalnego i zamapuje to na nazwę użytkownika domeny.

gertvdijk
źródło
Hmm, to jakoś nie przetrwało restartu. Później zbada dalej.
gertvdijk