web-dev-qa-db-ja.com

Kerberosとキーホルダーを統合する

kinitに私ではなくキーチェーンにパスワードを要求させることは可能ですか?

19
tig

Mac OSXのkinitは(10.9以降、おそらくそれ以前に)--keychain引数を介してパスワードをキーチェーンに保存するためのサポートが組み込まれており、ポールの答えと同じことを実現します。

kinit --keychainを使用して認証します。認証が成功すると、パスワードが保存されます。

kinit --keychain
# or
kinit --keychain [email protected]

後続のkinit呼び出し(--keychain引数を必要としない)は、入力を求める代わりに、キーチェーンから保存されたパスワードを自動的に取得します。

20
Miles

実際には可能です。レルム「MY.REAL.COM」にパスワード「mypasswd」のアカウント「bob」があるとします。次に、1行のターミナルタイプで

security add-generic-password -a "bob" -l "MY.REAL.COM (bob)" -s "MY.REALM.COM" -w "mypasswd" -c "aapl" -T "/usr/bin/kinit"

これにより、デフォルトのキーチェーンに「MY.REALM.COM(bob)」という名前のアイテムがKerberos資格情報で作成され、アクセスが許可されます。 -T "/fulpath/program"スイッチはいくつでも追加でき、それぞれが特定のプログラムにアクセスして、Kerberos資格情報を使用できるようにします。たとえば、-T "/Applications/Mail.app/Contents/MacOS/Mail"はMail.appへのアクセスを追加します。

詳細については、man securityをご覧ください。

その後、kinit [email protected]はパスワードの入力を求めませんが、キーチェーンからパスワードを取得します。

14
paul