Como automatizar o processo kinit para obter o TGT para Kerberos?

Atualmente, estou escrevendo um módulo fantoche para automatizar o processo de associação de servidores RHEL a um domínio do AD, com suporte para Kerberos.

Atualmente, tenho problemas para obter e armazenar em cache automaticamente o ticket de concessão de tíquetes Kerberos via kinit. Se isso fosse feito manualmente, eu faria o seguinte:

kinit aduser@REALM.COM

Isso solicita a senha do usuário do AD, portanto, há um problema com a automatização disso.

Como posso automatizar isso? Encontrei algumas postagens mencionando o uso kadminpara criar um banco de dados com a senha de usuários do AD, mas não tive sorte.

Me estúpido, você pode simplesmente usar o seguinte comando:

echo "password" | kinit aduser@REALM

Enquanto você pode apenas codificar a senha na sua automação, a maneira mais correta do Kerberos de fazer isso é criar um keytab para o principal e usá-lo para autenticar. kinitsuporta autenticação de um keytab usando as -k -t <keytab-path>opções

A principal vantagem de um keytab é que ele isola as credenciais em um arquivo separado e pode ser usado diretamente por vários softwares Kerberos (para que você não precise adicionar código para ler uma senha de um arquivo separado). Também pode ser criado com comandos padrão (com um AD KDC, use ktpass). Há mais algumas vantagens se você tiver um KDC Linux, como chaves aleatórias facilmente armazenadas na aba de chaves em vez de usar uma senha mais fraca.

De acordo com a página de manual, você pode usar:

kinit --password-file="~/my.secret" aduser@REALM.COM

Então você pode fornecer sua senha através de um arquivo.