自动化TGT更新

时间:2017-11-10 08:51:12

标签: kerberos gssapi

我正在自动化需要访问kerberized资源的服务。 带密钥表的无密码kinit可以正常工作。然后连接资源 使用SASL。

有没有办法,可能通过GSSAPI或libkrb5,以确保TGT存在 什么时候访问资源?在每次访问之前分叉kinit 这似乎是务实的事情。但是,之间存在明显的竞争 TGT获取的时间及其用于获取我想避免的TGS。

我想像收到一个有效身份验证的fd 保证,直到用户关闭。

我宁愿远离像 sssd 这样的重型解决方案来自动续订 TGT

1 个答案:

答案 0 :(得分:2)

答案结果是提供了libkrb5的客户端密钥表 KRB5_CLIENT_KTNAME参数:

If no existing tickets are available for the desired name, but the name
has an entry in the default client keytab, the krb5 mechanism will
acquire initial tickets for the name using the default client keytab.

来自MIT Kerberos docs

wiki还有一个write-up of the implementation