Início / coding / Perguntas / 79030096
Accepted
calkulius
Asked: 2024-09-27 14:32:53 +0800 CST

Automatizar a entrada no Active Directory (AD) usando o keytab do Kerberos?

  • 772

Estou usando realmdpara ingressar em um domínio do Active Directory e estou obtendo sucesso ao usar o comando:

sudo realm join -U [email protected] domain.com

Ele solicita a senha e funciona.

Agora estou tentando automatizar o processo. Gostaria de executar o comando acima (ou alguma variação dele) sem ser solicitado a digitar uma senha.

Tentei criar um keytab Kerberos. Executei o kinitcomando e consigo ver o usuário usando klist. Dados úteis de klist:

Default principal: [email protected]
Service principal: krbtgt/[email protected]

Executei o comando sudo realm joinesperando que ele lesse o keytab, mas recebo o seguinte:

$ sudo realm join
Password for Administrator:

Sou solicitado a fornecer uma senha para o Administrador, que não é meu usuário. Com base nas fontes que encontrei on-line, ele não deve me solicitar uma senha se o Kerberos tiver sido configurado. Sinto que realmdnem está lendo o usuário inicializado. Você tem alguma ideia de como posso consertar isso? Há algo mais que eu deva fazer no nível das configurações do Kerberos ou do RealMD?

active-directory

1 respostas

  1. Best Answer

    As credenciais de administrador são usadas somente para criar uma conta de computador. Então, em vez de distribuir suas credenciais de administrador de domínio para cada máquina (o que é arriscado), use adcliem seu sistema local para pré-criar essas contas de máquina – o que permite que você entre usando --one-time-passwordou --no-password.

    Se você realmente quiser usar um keytab, no entanto, lembre-se de que os caches de tíquetes do Kerberos são geralmente por usuário, e o objetivo do sudo é alternar para um usuário diferente. Então, não é suficiente que klistfuncione; você também precisa que sudo klistfuncione – o que provavelmente precisará KRB5CCNAME=que um seja especificado para que o klist/realm possa encontrar seu cache enquanto estiver sendo executado sob um UID diferente.

    sudo KRB5CCNAME=FILE:/tmp/krb5cc_1234 klist
sudo KRB5CCNAME=FILE:/tmp/krb5cc_1234 realm join

    O local de cache padrão é mostrado no seu klist. Se o seu SO tiver como padrão um cache "KEYRING", você precisará primeiro alternar manualmente para um baseado em arquivo, pois os caches keyring não podem ser usados ​​em UIDs.

    export KRB5CCNAME=FILE:/tmp/krb5cc_admin
kinit -k -t admin.keytab
sudo KRB5CCNAME="$KRB5CCNAME" klist
    • 0

relate perguntas