현재 Kerberos를 지원하여 RHEL 서버를 AD 도메인에 가입시키는 프로세스를 자동화하기 위해 꼭두각시 모듈을 작성 중입니다.
현재을 통해 Kerberos 티켓 부여 티켓을 자동으로 가져와 캐시하는 데 문제가 있습니다 kinit. 이 작업을 수동으로 수행하는 경우 다음과 같이하십시오.
kinit aduser@REALM.COM
AD 사용자 암호를 묻는 메시지가 표시되므로이를 자동화하는 데 문제가 있습니다.
이것을 자동화하려면 어떻게해야합니까? kadminAD 사용자 암호가 포함 된 데이터베이스를 만드는 데 사용 하는 것에 대한 언급이 있지만 운이 없었습니다.
답변:
암호를 자동화에 하드 코딩 할 수 있지만보다 정확한 Kerberos 방법은 보안 주체에 대한 키탭을 만든 다음이를 사용하여 인증하는 것입니다. 옵션을 kinit사용하여 키탭에서 인증을 지원합니다 -k -t <keytab-path>.
키탭의 주요 장점은 자격 증명을 별도의 파일로 격리하고 다양한 Kerberos 소프트웨어에서 직접 사용할 수 있다는 것입니다 (따라서 별도의 파일에서 암호를 읽는 코드를 추가 할 필요가 없음). 표준 명령을 사용하여 만들 수도 있습니다 (AD KDC 사용 ktpass). Linux KDC를 사용하는 경우 약한 비밀번호를 사용하지 않고 키탭에 저장된 키를 무작위로 무작위 화하는 등의 이점이 있습니다.
-norandkey경우 기존 비밀번호를 무효화하지 않으려면 ktadd 에서 플래그 를 사용해야 합니다.
맨 페이지에 따르면 다음을 사용할 수 있습니다.
kinit --password-file="~/my.secret" aduser@REALM.COM
따라서 파일을 통해 비밀번호를 제공 할 수도 있습니다.
echo -n "$PASS" | kinit "$USER"후행 줄 바꿈을 출력하지 마십시오