現在、Kerberosをサポートして、RHELサーバーをADドメインに参加させるプロセスを自動化するパペットモジュールを作成しています。
現在、kinit
経由でKerberosチケット許可チケットを自動的に取得してキャッシュすることに問題があります。これを手動で行う場合は、次のようにします。
kinit [email protected]
これにより、ADユーザーパスワードの入力を求められるため、自動化に問題があります。
これを自動化するにはどうすればよいですか? kadmin
を使用してADユーザーのパスワードを含むデータベースを作成することについて言及している投稿をいくつか見つけましたが、うまくいきませんでした。
ばかげて、あなたは単純に次のコマンドを使うことができます:
echo "password" | kinit aduser@REALM
パスワードを自動化にハードコーディングすることもできますが、これを行うためのより正確なKerberosの方法は、プリンシパルのキータブを作成し、それを使用して認証することです。 kinit
は、-k -t <keytab-path>
オプションを使用したキータブからの認証をサポートしています。
キータブの主な利点は、資格情報を別のファイルに分離し、さまざまなKerberosソフトウェアで直接使用できることです(そのため、別のファイルからパスワードを読み取るためのコードを追加する必要はありません)。また、標準コマンドで作成することもできます(AD KDCでは、ktpass
を使用)。 Linux KDCを使用している場合は、弱いパスワードを使用するのではなく、キータブに格納されたキーを簡単にランダム化するなど、いくつかの利点があります。
あなたが使用するかもしれないmanページによると:
kinit --password-file="~/my.secret" [email protected]
したがって、ファイルを介してパスワードを提供するだけです。