¿Cómo configuro un principal predeterminado para kinit (adquisición del ticket Kerberos)?


9

Al usar kinitpara adquirir un ticket Kerberos, lo configuré para usar un reino predeterminado, GERT.LANpor ejemplo, editando /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Eso es genial ya que no tengo que proporcionar eso todo el tiempo en la línea de comando.

⟫ kinit
gert@GERT.LAN's Password:

Sin embargo, mi nombre de usuario local gertno coincide con el nombre de usuario remoto gertvdijk. Ahora tengo que proporcionar el nombre principal completo como argumento todavía. Si esto es solo kinit, podría crear un alias bash, pero parece que hay más herramientas Kerberos para probar mi nombre de usuario local. Por ejemplo, Kredentials no me permite usar otro que no sea el principal predeterminado.

Entonces, básicamente, lo que quiero es crear una asignación entre el usuario local gerty el principal remoto gertvdijk@GERT.LAN.

Irónicamente, cuando uso una configuración más complicada con PAM, puedo lograr esto. En krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Pero ya no quiero usar el módulo PAM de Kerberos ya que me he bloqueado tantas veces al pensar que no se puede acceder al servidor Kerberos y estoy tratando de ingresar la contraseña local ...

Entonces, para resumir, ¿hay alguna manera de configurar un principal predeterminado o una asignación de nombres de usuario locales?

Respuestas:


4

El principal predeterminado se puede establecer en ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Entonces kinit lo usará como identidad predeterminada.


¡Dulce! También es posible más configuración. Veo: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk

Simplemente configure kerberos en mi máquina apuntando a instituir kdc para probar esto. No funciona para mi :(
Mahesh

Establecer el valor del reino junto con las obras principales.
Mahesh

2
No me funciona en la práctica; Todavía se selecciona gert@GERT.LANcomo principal. Estoy usando el heimdal-clientspaquete que me proporciona /usr/bin/kinit. La versión MIT parece no funcionar en el dominio de Windows, por lo que no puedo probar eso.
gertvdijk

Tampoco funciona con el kinit de MIT krb5 a partir de ahora. kinitno tendrá en cuenta este archivo. Creo que la documentación menciona que esto es para solicitar boletos para un servicio, no cuando se solicita el TGT inicial. Gorrón.
gertvdijk

0

Use un reino predeterminado y use un mapeo de usuario /etc/krb5.confcomo este:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Ahora kinit/ kpasswdasignará esto cuando lo invoque como usuario local y lo asignará a un nombre de usuario de dominio.


Hmm, esto no sobrevivió a un reinicio de alguna manera. Investigará más en un momento posterior.
gertvdijk
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.