Al usar kinit
para adquirir un ticket Kerberos, lo configuré para usar un reino predeterminado, GERT.LAN
por ejemplo, editando /etc/krb5.conf
:
[libdefaults]
default_realm = GERT.LAN
Eso es genial ya que no tengo que proporcionar eso todo el tiempo en la línea de comando.
⟫ kinit
[email protected]'s Password:
Sin embargo, mi nombre de usuario local gert
no coincide con el nombre de usuario remoto gertvdijk
. Ahora tengo que proporcionar el nombre principal completo como argumento todavía. Si esto es solo kinit, podría crear un alias bash, pero parece que hay más herramientas Kerberos para probar mi nombre de usuario local. Por ejemplo, Kredentials no me permite usar otro que no sea el principal predeterminado.
Entonces, básicamente, lo que quiero es crear una asignación entre el usuario local gert
y el principal remoto [email protected]
.
Irónicamente, cuando uso una configuración más complicada con PAM, puedo lograr esto. En krb5.conf
:
[appdefaults]
pam = {
mappings = gert [email protected]
}
Pero ya no quiero usar el módulo PAM de Kerberos ya que me he bloqueado tantas veces al pensar que no se puede acceder al servidor Kerberos y estoy tratando de ingresar la contraseña local ...
Entonces, para resumir, ¿hay alguna manera de configurar un principal predeterminado o una asignación de nombres de usuario locales?
[email protected]
como principal. Estoy usando elheimdal-clients
paquete que me proporciona/usr/bin/kinit
. La versión MIT parece no funcionar en el dominio de Windows, por lo que no puedo probar eso.kinit
no tendrá en cuenta este archivo. Creo que la documentación menciona que esto es para solicitar boletos para un servicio, no cuando se solicita el TGT inicial. Gorrón.Use un reino predeterminado y use un mapeo de usuario
/etc/krb5.conf
como este:Ahora
kinit
/kpasswd
asignará esto cuando lo invoque como usuario local y lo asignará a un nombre de usuario de dominio.fuente