Bagaimana cara mengotomatiskan proses kinit untuk mendapatkan TGT untuk Kerberos?

Saat ini saya sedang menulis modul boneka untuk mengotomatiskan proses bergabung dengan server RHEL ke domain AD, dengan dukungan untuk Kerberos.

Saat ini, saya memiliki masalah dengan secara otomatis mendapatkan dan melakukan cache tiket melalui pemberian Tiket Kerberos kinit. Jika ini dilakukan secara manual, saya akan melakukan ini:

kinit aduser@REALM.COM

Ini meminta kata sandi pengguna AD, karenanya ada masalah dengan mengotomatiskan ini.

Bagaimana saya bisa mengotomatisasi ini? Saya telah menemukan beberapa tulisan yang disebutkan digunakan kadminuntuk membuat database dengan kata sandi pengguna AD di dalamnya, tetapi saya tidak beruntung.

Bodoh saya, Anda cukup menggunakan perintah berikut:

echo "password" | kinit aduser@REALM

Meskipun Anda bisa memasukkan kode sandi ke dalam otomatisasi Anda, cara Kerberos yang lebih tepat untuk melakukan ini adalah dengan membuat keytab untuk kepala sekolah dan kemudian menggunakannya untuk otentikasi. kinitmendukung otentikasi dari keytab menggunakan -k -t <keytab-path>opsi.

Keuntungan utama keytab adalah bahwa ia mengisolasi kredensial dalam file terpisah dan dapat digunakan langsung oleh berbagai perangkat lunak Kerberos (jadi Anda tidak perlu menambahkan kode untuk membaca kata sandi dari file terpisah). Itu juga dapat dibuat dengan perintah standar (dengan AD KDC, gunakan ktpass). Ada beberapa keuntungan lebih jika Anda memiliki KDC Linux, seperti kunci acak yang disimpan di tab kunci daripada menggunakan kata sandi yang lebih lemah.

Menurut halaman manual yang dapat Anda gunakan:

kinit --password-file="~/my.secret" aduser@REALM.COM

Jadi Anda mungkin memberikan kata sandi Anda melalui file.