Làm cách nào để tự động hóa quy trình kinit để có được TGT cho Kerberos?

Tôi hiện đang viết một mô-đun con rối để tự động hóa quá trình tham gia các máy chủ của RHEL vào miền AD, với sự hỗ trợ cho Kerberos.

Hiện tại, tôi có vấn đề với việc tự động lấy và lưu trữ vé cấp vé Kerberos qua kinit. Nếu điều này được thực hiện thủ công, tôi sẽ làm điều này:

kinit aduser@REALM.COM

Điều này nhắc nhở mật khẩu người dùng AD, do đó có vấn đề với việc tự động hóa việc này.

Làm thế nào tôi có thể tự động hóa điều này? Tôi đã tìm thấy một số bài viết đề cập đến việc sử dụng kadminđể tạo cơ sở dữ liệu với mật khẩu người dùng AD trong đó, nhưng tôi không gặp may.

Tôi thật ngốc, bạn chỉ cần sử dụng lệnh sau:

echo "password" | kinit aduser@REALM

Mặc dù bạn chỉ có thể mã hóa mật khẩu vào tự động hóa của mình, cách Kerberos chính xác hơn để làm điều này là tạo một keytab cho hiệu trưởng và sau đó sử dụng nó để xác thực. kinithỗ trợ xác thực từ một keytab bằng cách sử dụng các -k -t <keytab-path>tùy chọn.

Ưu điểm chính của keytab là nó cách ly thông tin đăng nhập trong một tệp riêng biệt và có thể được sử dụng trực tiếp bởi nhiều phần mềm Kerberos (vì vậy bạn không phải thêm mã để đọc mật khẩu từ một tệp riêng biệt). Nó cũng có thể được tạo bằng các lệnh tiêu chuẩn (với AD KDC, sử dụng ktpass). Có một số lợi thế hơn nếu bạn có Linux KDC, chẳng hạn như dễ dàng chọn ngẫu nhiên các khóa được lưu trữ trong keytab thay vì sử dụng mật khẩu yếu hơn.

Theo trang nam bạn có thể sử dụng:

kinit --password-file="~/my.secret" aduser@REALM.COM

Vì vậy, bạn chỉ có thể cung cấp mật khẩu của bạn thông qua một tập tin.