Làm cách nào để định cấu hình tiền gốc mặc định cho kinit (mua vé Kerberos)?

Khi sử dụng kinitđể có được vé Kerberos, tôi đã cấu hình nó để sử dụng một lĩnh vực mặc định, ví dụ: GERT.LANbằng cách chỉnh sửa /etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

Điều đó thật tuyệt vì tôi không phải cung cấp tất cả thời gian trên dòng lệnh.

⟫ kinit
gert@GERT.LAN's Password:

Tuy nhiên, tên người dùng cục bộ của tôi gertkhông khớp với tên người dùng từ xa gertvdijk. Bây giờ tôi phải cung cấp tên chính đầy đủ như một đối số vẫn còn. Nếu đây chỉ là kinit tôi có thể tạo bí danh bash, nhưng nhiều công cụ Kerberos xuất hiện để thử tên người dùng cục bộ của tôi. Ví dụ, Kredentials không cho phép tôi sử dụng khác với tiền gốc mặc định.

Vì vậy, về cơ bản, điều tôi muốn là tạo ra một ánh xạ giữa người dùng cục bộ gertvà hiệu trưởng từ xa gertvdijk@GERT.LAN.

Trớ trêu thay, khi sử dụng một thiết lập phức tạp hơn với PAM tôi có thể đạt được điều này. Trong krb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

Nhưng tôi không muốn sử dụng mô-đun Kerberos PAM nữa vì tôi đã tự khóa mình rất nhiều lần bằng cách nghĩ rằng máy chủ Kerberos không truy cập được và tôi đang cố nhập mật khẩu cục bộ ...

Vì vậy, câu chuyện dài, có cách nào để định cấu hình hiệu trưởng mặc định hoặc ánh xạ từ tên người dùng cục bộ không?

Hiệu trưởng mặc định có thể được đặt ở ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

Sau đó, kinit sẽ sử dụng nó như một danh tính mặc định.

Sử dụng một lĩnh vực mặc định và sử dụng bản đồ người dùng theo cách /etc/krb5.confnhư sau:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

Bây giờ kinit/ kpasswdsẽ ánh xạ cái này khi gọi nó là người dùng cục bộ và ánh xạ nó tới tên người dùng tên miền.