Ich habe eine Gruppe von Maschinen, auf denen CentOS 7.3 ausgeführt wird. Kerberos, DNS, LDAP usw. werden durch die Verwendung von FreeIPA 4.4 einheitlich verwendet.
Ich habe einen bestimmten Benutzer, der automatisierte Tests ausführt. Daher muss dieser Benutzer ein Ticket Granting Ticket ohne Kennworteingabe erhalten können. Ich habe versucht, dies zu erreichen, indem ich ein Keytab erstellte und das Passwort effektiv vorab eingab. Allerdings kann ich nicht kinit die keytab verwenden, wie unten gezeigt.
[root@kdc.example.com ~]# kadmin.local -q 'get_principal myuser@EXAMPLE.COM' Authenticating as principal root/admin@EXAMPLE.COM with password. Principal: myuser@EXAMPLE.COM Expiration date: [never] Last password change: Mon Jul 16 06:54:59 CDT 2018 Password expiration date: Tue Jul 23 06:54:59 CDT 2019 Maximum ticket life: 1 day 00:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Mon Jul 16 06:54:59 CDT 2018 (kadmind@EXAMPLE.COM) Last successful authentication: Mon Jul 23 11:03:38 CDT 2018 Last failed authentication: Mon Jul 23 14:40:57 CDT 2018 Failed password attempts: 1 Number of keys: 2 Key: vno 3, aes256-cts-hmac-sha1-96:special Key: vno 3, aes128-cts-hmac-sha1-96:special MKey: vno 1 Attributes: REQUIRES_PRE_AUTH Policy: [none] myuser@client-host.example.com$ cd /home/myuser myuser@client-host.example.com$ mkdir .krb5 myuser@client-host.example.com$ chmod 700 .krb5 myuser@client-host.example.com$ cd /home/myuser/.krb5 myuser@client-host.example.com$ ktutil ktutil: addent -password -p myuser@EXAMPLE.COM -k 3 -e aes256-cts Password for myuser@EXAMPLE.COM: ktutil: list slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 1 myuser@EXAMPLE.COM ktutil: wkt myuser.keytab ktutil: exit myuser@client-host.example.com$ klist -kte myuser.keytab Keytab name: FILE:myuser.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 1 07/23/2018 14:33:30 myuser@EXAMPLE.COM (aes256-cts-hmac-sha1-96) myuser@client-host.example.com$ klist klist: Credentials cache keyring 'persistent:4866486744:krb_ccache_rGHfj38' not found myuser@client-host.example.com$ kinit myuser@EXAMPLE.COM -k -t /home/myuser/.krb5/myuser.keytab kinit: Password incorrect while getting initial credentials Wo gehe ich beim Einrichten des Keytab für diesen Benutzer falsch vor?
Ich bin immer noch nicht sicher, warum die Verwendung von ktutil auf dem Client nicht funktioniert hat, die Verwendung von kadmin.local auf dem Server jedoch:
kadmin.local kadmin.local: ktadd -k myuser.keytab -norandkey myuser@EXAMPLE.com kadmin.local: exit Verschieben Sie diese Datei sicher in ein sicheres Verzeichnis auf dem Client.
Verwenden Sie diese Keytab-Datei auf dem Client wie folgt:
kinit -k -t myuser.keytab myuser@EXAMPLE.COM