kinit(Kerberosチケットの取得)のデフォルトプリンシパルを構成するにはどうすればよいですか?


9

を使用kinitしてKerberosチケットを取得するとき、デフォルトのレルムを使用するように設定しました。たとえばGERT.LAN、次のように編集し/etc/krb5.confます。

[libdefaults]
        default_realm = GERT.LAN

コマンドラインで常にそれを指定する必要がないため、これはすばらしいことです。

⟫ kinit
gert@GERT.LAN's Password:

ただし、ローカルユーザー名gertがリモートユーザー名と一致しませんgertvdijk。ここで、引数として完全なプリンシパル名を指定する必要があります。これが単なるkinitの場合は、bashエイリアスを作成できますが、ローカルユーザー名を試すKerberosツールがさらに表示されます。たとえば、クレデンシャルでは、デフォルト以外のプリンシパルを使用できません。

したがって、基本的には、ローカルユーザーgertとリモートプリンシパル間のマッピングを作成する必要がありますgertvdijk@GERT.LAN

皮肉なことに、PAMでより複雑なセットアップを使用すると、これを実現できます。でkrb5.conf

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

しかし、Kerberosサーバーに到達できず、ローカルパスワードを入力しようとしていると思って何度も自分自身をロックアウトしたため、Kerberos PAMモジュールを使用したくありません。

簡単に言えば、ローカルのユーザー名からデフォルトのプリンシパルまたはマッピングを構成する方法はありますか?

回答:


4

デフォルトのプリンシパルは〜/ .k5identityで設定できます

$ cat .k5identity
user@EXAMPLE.COM

次に、kinitはそれをデフォルトのIDとして使用します。


甘い!また、より多くの設定が可能である私は、次を参照してください。web.mit.edu/kerberos/krb5-devel/doc/user/user_config/...
gertvdijk

これをテストするためにkdcを設定するように私のマシンにkerberosを設定するだけです。私にはうまくいきません。:(
Mahesh

主な作品と一緒に領域値を設定します。
Mahesh、2014年

2
実際には機能しません。まだgert@GERT.LANプリンシパルとして選択します。私がheimdal-clients提供するパッケージを使用しています/usr/bin/kinit。MITバージョンはWindowsドメインでは動作しないようなので、テストすることはできません。
gertvdijk 2014年

また、現時点ではMIT krb5のkinitでも機能しません。kinitこのファイルは考慮されません。ドキュメントには、これがサービスのチケットを要求するためのものであり、最初のTGTを要求するためのものではないと記載されていると思います。残念。
gertvdijk 2018年

0

デフォルトのレルムを使用し、次の/etc/krb5.confようにユーザーマッピングを使用します。

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

これでkinit/ kpasswdは、ローカルユーザーとして呼び出すときにこれをマップし、ドメインユーザー名にマップします。


うーん、これはどういうわけか再起動に耐えられませんでした。後でさらに調査します。
gertvdijk
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.