Jak zautomatyzować proces Kinit, aby uzyskać TGT dla Kerberos?

Obecnie piszę moduł lalek, aby zautomatyzować proces dołączania serwerów RHEL do domeny AD, z obsługą Kerberos.

Obecnie mam problemy z automatycznym uzyskiwaniem i buforowaniem biletu przydziału biletów Kerberos za pośrednictwem kinit. Gdyby to zrobić ręcznie, zrobiłbym to:

kinit aduser@REALM.COM

Powoduje to podanie hasła użytkownika AD, dlatego istnieje problem z automatyzacją tego.

Jak mogę to zautomatyzować? Znalazłem kilka postów o używaniu kadmindo tworzenia bazy danych z hasłem użytkowników AD, ale nie miałem szczęścia.

Głupie mnie, możesz po prostu użyć następującego polecenia:

echo "password" | kinit aduser@REALM

Chociaż możesz po prostu zakodować hasło na stałe w automatyzacji, bardziej poprawnym sposobem Kerberos jest utworzenie pliku kluczy dla zleceniodawcy, a następnie użycie go do uwierzytelnienia. kinitobsługuje uwierzytelnianie z keytab przy użyciu -k -t <keytab-path>opcji.

Podstawową zaletą keytab jest to, że izoluje on poświadczenia w osobnym pliku i może być używany bezpośrednio przez różne oprogramowanie Kerberos (więc nie musisz dodawać kodu, aby odczytać hasło z oddzielnego pliku). Można go również utworzyć za pomocą standardowych poleceń (z AD KDC, użyj ktpass). Istnieje kilka innych zalet, jeśli masz Linux KDC, takich jak łatwe losowe klucze przechowywane w keytabie zamiast używania słabszego hasła.

Według strony podręcznika, której możesz użyć:

kinit --password-file="~/my.secret" aduser@REALM.COM

Więc możesz podać swoje hasło za pomocą pliku.