Наработки и интересные статейки ... каша в общем:
Почем не отрабатывает команда "kinit --renew"
Источник: http://forum.lissyara.su/viewtopic.php?f=53&t=36884#p328801Авторизация FreeBSD heimdal в AD используя ключи. (Согласен с автором ... 3 вариант самый оптимальный, но FreeNAS после ребута не хотел принимать старый билетик и приходилось опять же ручками получать новый)
Мои наработки:
В вебке нужно запустить и залогиниться в AD (В "Управлении службами" в вебадминке настроить службу "Active Directory" и запустить ее) иначе в файлик /etc/kb5.conf не прописывается параметры "kdc = out;" и " admin_server = out;" ==> ЭТА ОШИБКА ИСПРАВЛЕНА В FreeNAS 8.3.0 <==
Получаем билетики прям с АД-шки
# net -U storage-adm ads keytab ADD HOST
Авторизуемся с помощью этих билетиков
# kinit -k HOST/storage@DOMAIN
Забираем оба файлика /etc/krb5.conf и /etc/krb5.keytab и кладем куданить в другое место (где они не перезатрутся)
Автоматизация ... самая банальная ... создадим скрипт:
#!/bin/bash
cp -fr /mnt/zpool_data/data_domain/krb5.* /etc/
cp -fr /mnt/zpool_data/data_domain/krb5cc_0 /tmp/krb5cc_0
chown root:wheel /etc/krb5.*
chown root:wheel /tmp/krb5cc_0
chmod 600 /tmp/krb5cc_0
chmod 644 /etc/krb5.conf
chmod 600 /etc/krb5.keytab
kinit --renewable -k HOST/storage@DOMAIN
cp -fr /etc/krb5.* /mnt/zpool_data/data_domain/
cp -fr /tmp/krb5cc_0 /mnt/zpool_data/data_domain/
Моя строчка в CRONTAB (это все лучше запихнуть в отдельный скрипт и кинуть хотяпы в папку с ограниченным доступом ... т. к. здесь пароль в открытом виде получается):
cp -fr /mnt/zpool_data/data_domain/krb5.conf /etc/ ; chmod 644 /etc/krb5.conf ; echo YOUR_PASSWORD > /tmp/storage-adm.pwd ; kinit --password-file=/tmp/storage-adm.pwd storage-adm@DOMAIN ; rm -fr /tmp/storage-adm.pwd
# ktutil - просмотр редактирование *.keytab файликов (с помощью них можно организовать получение билетиков без пароля).
Основные ее полезные применения:
# ktutil list - просмотр основного krb5.keytab (с помощью доп параметра можно просмотреть keytab находящийся в любом месте в системе)
С помощью "ktutil copy" можно производить слияние нескольких ketab-ов к примеру в основной krb5.keytab:
# ktutil copy mykeytab-1 krb5.keytab
# ktutil copy mykeytab-2 krb5.keytab
# ktutil copy mykeytab-3 krb5.keytab
Полезные команды:
# kdestroy - удалить полученные билетики (просмотреть их можно командой "klist")# ktutil - просмотр редактирование *.keytab файликов (с помощью них можно организовать получение билетиков без пароля).
Основные ее полезные применения:
# ktutil list - просмотр основного krb5.keytab (с помощью доп параметра можно просмотреть keytab находящийся в любом месте в системе)
С помощью "ktutil copy" можно производить слияние нескольких ketab-ов к примеру в основной krb5.keytab:
# ktutil copy mykeytab-1 krb5.keytab
# ktutil copy mykeytab-2 krb5.keytab
# ktutil copy mykeytab-3 krb5.keytab