При использовании kinitдля получения билета Kerberos я настроил его для использования области по умолчанию, например, GERT.LANпутем редактирования /etc/krb5.conf:
[libdefaults]
default_realm = GERT.LAN
Это здорово, так как мне не нужно постоянно указывать это в командной строке.
⟫ kinit
gert@GERT.LAN's Password:
Однако мое локальное имя пользователя gertне соответствует удаленному имени пользователя gertvdijk. Теперь я должен предоставить полное имя участника в качестве аргумента. Если это просто kinit, я мог бы создать псевдоним bash, но появилось больше инструментов Kerberos, чтобы попробовать мое локальное имя пользователя. Например, Kredentials не позволяет мне использовать принцип, отличный от основного.
Итак, в общем, я хочу создать сопоставление между локальным пользователем gertи удаленным принципалом gertvdijk@GERT.LAN.
По иронии судьбы, при использовании более сложной настройки с PAM я могу добиться этого. В krb5.conf:
[appdefaults]
pam = {
mappings = gert gertvdijk@GERT.LAN
}
Но я больше не хочу использовать модуль PAM Kerberos, так как я так много раз блокировал себя, полагая, что сервер Kerberos недоступен, и я пытаюсь ввести локальный пароль ...
Итак, короче говоря, есть ли способ настроить принципал по умолчанию или отображение из локальных имен пользователей?
gert@GERT.LANкачестве основного. Я используюheimdal-clientsпакет, предоставляющий мне/usr/bin/kinit. Версия MIT не работает в домене Windows, поэтому я не могу это проверить.kinitне будет принимать этот файл во внимание. Я считаю, что в документации упоминается, что это для запроса билетов на услугу, а не при запросе первоначального TGT. Облом.Используйте область по умолчанию и используйте сопоставление пользователей в вашем
/etc/krb5.confвиде:Теперь
kinit/kpasswdотобразит это при вызове в качестве локального пользователя и сопоставит это с именем пользователя домена.источник