Як автоматизувати процес кініту для отримання TGT для Kerberos?

В даний час я пишу ляльковий модуль для автоматизації процесу приєднання серверів RHEL до домену AD з підтримкою Kerberos.

Наразі у мене проблеми з автоматичним отриманням та кешуванням квитка на надання Керберосу через kinit. Якби це було зроблено вручну, я зробив би це:

kinit aduser@REALM.COM

Це вимагає ввести пароль користувача AD, отже, існує проблема з автоматизацією цього.

Як я можу це автоматизувати? Я знайшов кілька публікацій, в яких згадується використання kadminбази даних із паролем користувачів AD в ньому, але мені не пощастило.

Дурний мене, ти можеш просто використовувати таку команду:

echo "password" | kinit aduser@REALM

Хоча ви можете просто ввести жорсткий код пароля в автоматизацію, більш правильний спосіб Kerberos зробити це - створити клавішу для основного ключа, а потім використовувати його для автентифікації. kinitпідтримує автентифікацію з клавішної кнопки за допомогою -k -t <keytab-path>параметрів.

Основна перевага keytab полягає в тому, що він ізолює облікові дані в окремому файлі і може використовуватися безпосередньо різним програмним забезпеченням Kerberos (тому вам не доведеться додавати код, щоб прочитати пароль з окремого файлу). Його також можна створити за допомогою стандартних команд (з AD KDC, використання ktpass). Є ще кілька переваг, якщо у вас був Linux KDC, наприклад, легко рандомізувати ключі, що зберігаються в клавіатурі, а не використовувати слабший пароль.

Відповідно до чоловічої сторінки, яку ви можете використовувати:

kinit --password-file="~/my.secret" aduser@REALM.COM

Тож ви просто можете надати свій пароль через файл.