現在、Kerberosをサポートして、RHELサーバーをADドメインに参加させるプロセスを自動化するパペットモジュールを作成しています。
現在、を介してKerberosチケット認可チケットを自動的に取得してキャッシュすることに問題がありますkinit。これを手動で行う場合は、次のようにします。
kinit aduser@REALM.COM
これにより、ADユーザーパスワードの入力を求められるため、自動化に問題があります。
どうすればこれを自動化できますか?kadminADユーザーのパスワードを使用してデータベースを作成する方法について言及している投稿をいくつか見つけましたが、うまくいきませんでした。
回答:
パスワードを自動化にハードコードすることもできますが、これを行うためのより正確なKerberosの方法は、プリンシパルのキータブを作成し、それを使用して認証することです。 オプションkinitを使用したキータブからの認証をサポートし-k -t <keytab-path>ます。
キータブの主な利点は、資格情報を別のファイルに分離し、さまざまなKerberosソフトウェアで直接使用できることです(そのため、別のファイルからパスワードを読み取るためのコードを追加する必要はありません)。また、標準のコマンドで作成することもできます(AD KDCでは、を使用ktpass)。Linux KDCを使用している場合は、弱いパスワードを使用するのではなく、キータブに格納されたキーを簡単にランダム化するなど、いくつかの利点があります。
-norandkey、既存のパスワードを無効にしたくない場合は、必ずktadd のフラグを使用してください。
あなたが使用するかもしれないmanページによると:
kinit --password-file="~/my.secret" aduser@REALM.COM
したがって、ファイルを介してパスワードを提供するだけかもしれません。
echo -n "$PASS" | kinit "$USER"末尾の改行を出力しない