Bagaimana cara mengonfigurasi prinsipal default untuk kinit (memperoleh tiket Kerberos)?


9

Saat menggunakan kinituntuk mendapatkan tiket Kerberos, saya telah mengonfigurasinya untuk menggunakan ranah default, misalnya GERT.LANdengan mengedit /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Itu bagus karena saya tidak harus menyediakan itu sepanjang waktu di baris perintah.

⟫ kinit
gert@GERT.LAN's Password:

Namun, nama pengguna lokal saya gerttidak cocok dengan nama pengguna jarak jauh gertvdijk. Sekarang saya harus memberikan nama pokok lengkap sebagai argumen. Jika ini hanya kinit saya bisa membuat alias bash, tetapi lebih banyak alat Kerberos muncul untuk mencoba nama pengguna lokal saya. Misalnya Kredentials tidak mengizinkan saya untuk menggunakan selain dari prinsipal default.

Jadi, pada dasarnya, yang saya inginkan adalah membuat pemetaan antara pengguna lokal gertdan kepala sekolah jarak jauh gertvdijk@GERT.LAN.

Ironisnya, ketika menggunakan pengaturan yang lebih rumit dengan PAM saya dapat mencapai ini. Dalam krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Tetapi saya tidak ingin menggunakan modul PAM Kerberos lagi karena saya telah mengunci diri berkali-kali dengan berpikir server Kerberos tidak dapat dijangkau dan saya mencoba memasukkan kata sandi lokal ...

Jadi, singkatnya, apakah ada cara untuk mengkonfigurasi prinsipal default atau pemetaan dari nama pengguna lokal?

Jawaban:


4

Prinsipal default dapat diatur dalam ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Maka kinit akan menggunakannya sebagai identitas default.


Manis! Juga lebih konfigurasi mungkin saya lihat: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/...
gertvdijk

Cukup atur kerberos di mesin saya yang menunjuk ke institut kdc untuk menguji ini. Tidak bekerja untuk saya. :(
Mahesh

Menetapkan nilai ranah di samping pekerjaan utama.
Mahesh

2
Tidak bekerja untuk saya dalam praktik; masih memilih gert@GERT.LANsebagai kepala sekolah. Saya menggunakan heimdal-clientspaket yang menyediakan saya /usr/bin/kinit. Versi MIT tampaknya tidak berfungsi di domain Windows, jadi saya tidak bisa mengujinya.
gertvdijk

Itu juga tidak bekerja dengan kinit MIT krb5 seperti yang sekarang. kinittidak akan memasukkan file ini ke akun. Saya percaya dokumentasi menyebutkan bahwa ini untuk meminta tiket layanan, bukan ketika meminta TGT awal. Kekecewaan.
gertvdijk

0

Gunakan ranah default dan gunakan pemetaan pengguna di /etc/krb5.confseperti Anda ini:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Sekarang kinit/ kpasswdakan memetakan ini ketika memanggilnya sebagai pengguna lokal dan memetakannya ke nama pengguna domain.


Hmm, ini entah bagaimana tidak selamat dari reboot. Akan menyelidiki lebih lanjut di lain waktu.
gertvdijk
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.