Como configuro um principal padrão para o kinit (adquirindo o tíquete Kerberos)?

9

Ao usar kinitpara adquirir um tíquete Kerberos, eu o configurei para usar um domínio padrão, GERT.LANpor exemplo , editando /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Isso é ótimo, já que não preciso fornecer isso o tempo todo na linha de comando.

⟫ kinit
gert@GERT.LAN's Password:

No entanto, meu nome de usuário local gertnão corresponde ao nome de usuário remoto gertvdijk. Agora eu tenho que fornecer o nome principal completo como argumento ainda. Se este for apenas kinit, eu poderia criar um alias do bash, mas mais ferramentas Kerberos aparecerão para tentar meu nome de usuário local. Por exemplo, o Kredentials não me permite usar outro que não seja o principal padrão.

Então, basicamente, o que eu quero é criar um mapeamento entre o usuário local gerte o principal remoto gertvdijk@GERT.LAN.

Ironicamente, ao usar uma configuração mais complicada com o PAM, sou capaz de conseguir isso. Em krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Mas não quero mais usar o módulo Kerberos PAM, pois me bloqueei tantas vezes pensando que o servidor Kerberos não está acessível e estou tentando inserir a senha local ...

Então, para encurtar a história, existe uma maneira de configurar um principal padrão ou um mapeamento a partir de nomes de usuários locais?

kerberos 
gertvdijk
fonte

Respostas:

4

O principal padrão pode ser definido em ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Então o kinit irá usá-lo como uma identidade padrão.

Diversos
fonte
Doce! Também mais configuração é possível que eu vejo: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/...
gertvdijk
Basta configurar o kerberos na minha máquina apontando para instituir o kdc para testar isso. Não funciona para mim. :(
Mahesh
Definindo o valor da região juntamente com as principais obras.
Mahesh
2
Não funciona para mim na prática; ainda seleciona gert@GERT.LANcomo principal. Estou usando o heimdal-clientspacote que me fornece /usr/bin/kinit. A versão do MIT parece não funcionar no domínio do Windows, então não posso testar isso.
gertvdijk
Também não funciona com o kit do MIT krb5 a partir de agora. kinitnão levará esse arquivo em consideração. Acredito que a documentação menciona que isso é para solicitar tickets para um serviço, não ao solicitar o TGT inicial. Vadio.
Gertvdijk
0

Use uma região padrão e use um mapeamento de usuário /etc/krb5.confcomo este:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Agora kinit/ kpasswdmapeá-lo-á ao invocá-lo como usuário local e mapeá-lo para um nome de usuário de domínio.

gertvdijk
fonte
Hmm, isso não sobreviveu a uma reinicialização de alguma forma. Irá investigar mais tarde.
Gtvdijk
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.