¿Cómo configuro un principal predeterminado para kinit (adquisición del ticket Kerberos)?

9

Al usar kinitpara adquirir un ticket Kerberos, lo configuré para usar un reino predeterminado, GERT.LANpor ejemplo, editando /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Eso es genial ya que no tengo que proporcionar eso todo el tiempo en la línea de comando.

⟫ kinit
[email protected]'s Password:

Sin embargo, mi nombre de usuario local gertno coincide con el nombre de usuario remoto gertvdijk. Ahora tengo que proporcionar el nombre principal completo como argumento todavía. Si esto es solo kinit, podría crear un alias bash, pero parece que hay más herramientas Kerberos para probar mi nombre de usuario local. Por ejemplo, Kredentials no me permite usar otro que no sea el principal predeterminado.

Entonces, básicamente, lo que quiero es crear una asignación entre el usuario local gerty el principal remoto [email protected].

Irónicamente, cuando uso una configuración más complicada con PAM, puedo lograr esto. En krb5.conf:

[appdefaults]
        pam = {
                mappings = gert [email protected]
        }

Pero ya no quiero usar el módulo PAM de Kerberos ya que me he bloqueado tantas veces al pensar que no se puede acceder al servidor Kerberos y estoy tratando de ingresar la contraseña local ...

Entonces, para resumir, ¿hay alguna manera de configurar un principal predeterminado o una asignación de nombres de usuario locales?

gertvdijk
fuente

Respuestas:

4

El principal predeterminado se puede establecer en ~ / .k5identity

$ cat .k5identity
[email protected]

Entonces kinit lo usará como identidad predeterminada.

Misceláneos
fuente
¡Dulce! También es posible más configuración. Veo: web.mit.edu/kerberos/krb5-devel/doc/user/user_config/…
gertvdijk
Simplemente configure kerberos en mi máquina apuntando a instituir kdc para probar esto. No funciona para mi :(
Mahesh
Establecer el valor del reino junto con las obras principales.
Mahesh
2
No me funciona en la práctica; Todavía se selecciona [email protected]como principal. Estoy usando el heimdal-clientspaquete que me proporciona /usr/bin/kinit. La versión MIT parece no funcionar en el dominio de Windows, por lo que no puedo probar eso.
gertvdijk
Tampoco funciona con el kinit de MIT krb5 a partir de ahora. kinitno tendrá en cuenta este archivo. Creo que la documentación menciona que esto es para solicitar boletos para un servicio, no cuando se solicita el TGT inicial. Gorrón.
gertvdijk
0

Use un reino predeterminado y use un mapeo de usuario /etc/krb5.confcomo este:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Ahora kinit/ kpasswdasignará esto cuando lo invoque como usuario local y lo asignará a un nombre de usuario de dominio.

gertvdijk
fuente
Hmm, esto no sobrevivió a un reinicio de alguna manera. Investigará más en un momento posterior.
gertvdijk