Linux
CentOS 6 AD Authentication with SSSD: 為什麼要在加入域後獲取基於主機的票證
以下來自 Red Hat 的兩份文件解釋了將伺服器添加到 AD 域的過程。RHEL 版本不同,但步驟適用於兩者。
步驟 3-d,將系統添加到域,然後列出主機密鑰表中的密鑰以確保主機主體密鑰存在:
# klist -k
本文件中的說明不要求使用主機密鑰表獲取 TGT。
根據“ https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf ”的第 61 頁第 7 步,通過執行獲得基於主機的 TGT :
# kinit -k <hostname>$
我們在哪裡使用這個基於主機的 TGT?
無論有沒有主機 TGT,我都可以將 Linux 伺服器添加到 AD 域,並讓使用者使用他們的 AD 憑據登錄。
AD每30天輪換一次機器密碼時,它對主機keytab的更新有什麼作用嗎?
另一個相關問題是,當我列出主機密鑰時,我看到過期(並且續訂日期已過)票證仍然列出:
# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: TESTHOST$@AD.EXAMPLE.COM Valid starting Expires Service principal 06/10/17 12:59:41 06/10/17 22:59:41 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM renew until 06/11/17 12:59:41 # date Mon Jun 12 14:14:21 UTC 2017
klist列印過期主機票正常嗎?klist 何時將它們從列印中刪除?
謝謝
關於與主機主體的 kinit —— 這只是一個健全性檢查。有太多人在他們的主機上放置了偽造的 keytab,然後抱怨“sssd 已損壞”,我們不得不進行明確的檢查以盡快發現錯誤的 keytab。
關於 klist——這真的取決於 ccache 後端是什麼。使用文件,憑據即使在過期後仍保留在文件中,因此 klist 僅顯示它們。例如,使用 KEYRING(RHEL-7 使用),憑證在到期時會消失,因此不會顯示任何內容。無論哪種方式都沒有害處。