ฉันจะกำหนดค่าหลักการเริ่มต้นสำหรับ kinit (การรับตั๋ว Kerberos ได้อย่างไร)

เมื่อใช้kinitเพื่อรับตั๋ว Kerberos ฉันได้กำหนดค่าให้ใช้อาณาจักรเริ่มต้นเช่นGERT.LANโดยการแก้ไข/etc/krb5.conf:

[libdefaults]
        default_realm = GERT.LAN

มันเยี่ยมมากเพราะฉันไม่จำเป็นต้องให้มันตลอดเวลาบนบรรทัดคำสั่ง

⟫ kinit
gert@GERT.LAN's Password:

อย่างไรก็ตามชื่อผู้ใช้ท้องถิ่นของฉันไม่ตรงกับชื่อผู้ใช้ระยะไกลgert gertvdijkตอนนี้ฉันต้องระบุชื่อเต็มเป็นอาร์กิวเมนต์ ถ้านี่เป็นเพียง kinit ฉันสามารถสร้างนามแฝงทุบตีได้ แต่มีเครื่องมือของ Kerberos มากกว่าที่จะลองใช้ชื่อผู้ใช้ท้องถิ่นของฉัน ตัวอย่างเช่นKredentialsไม่อนุญาตให้ฉันใช้สิ่งอื่นนอกเหนือจากเงินต้นเริ่มต้น

ดังนั้นโดยทั่วไปสิ่งที่ฉันต้องการคือการสร้างการแมประหว่างผู้ใช้ท้องถิ่นและเงินต้นระยะไกลgertgertvdijk@GERT.LAN

กระแทกแดกดันเมื่อใช้การตั้งค่าที่ซับซ้อนยิ่งขึ้นกับ PAM ฉันสามารถทำสิ่งนี้ได้ ในkrb5.conf:

[appdefaults]
        pam = {
                mappings = gert gertvdijk@GERT.LAN
        }

แต่ฉันไม่ต้องการใช้โมดูล Kerberos PAM อีกต่อไปเนื่องจากฉันปิดกั้นตัวเองหลายครั้งด้วยการคิดว่าเซิร์ฟเวอร์ Kerberos ไม่สามารถเข้าถึงได้และฉันพยายามป้อนรหัสผ่านท้องถิ่น ...

เรื่องสั้นสั้น ๆ มีวิธีกำหนดค่าหลักการเริ่มต้นหรือการแมปจากชื่อผู้ใช้ท้องถิ่นหรือไม่

หลักการเริ่มต้นสามารถตั้งค่าใน ~ / .k5identity

$ cat .k5identity
user@EXAMPLE.COM

จากนั้น kinit จะใช้เป็นข้อมูลเริ่มต้น

ใช้ขอบเขตเริ่มต้นและใช้การจับคู่ผู้ใช้ใน/etc/krb5.confลักษณะนี้:

[libdefaults]
    default_realm = GERT.LAN

[realms]
    GERT.LAN = {
        auth_to_local_names = {
            gert = gert.vandijk
        }
    }

ตอนนี้kinit/ kpasswdจะจับคู่สิ่งนี้เมื่อเรียกใช้ในฐานะผู้ใช้ในพื้นที่และจับคู่กับชื่อผู้ใช้โดเมน