以下两份来自 Red Hat 的文档解释了将服务器添加到 AD 域的过程。RHEL 版本不同,但步骤都适用。
步骤 3-d,将系统添加到域,然后列出主机密钥表中的密钥以确保主机主体密钥存在:
# klist -k
本文档中的说明不要求使用主机 keytab 获取 TGT。
根据第 61 页第 7 步“https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf",通过运行以下命令获取基于主机的 TGT:
# kinit -k <hostname>$
我们在哪里使用这个基于主机的 TGT?
无论有没有主机 TGT,我都可以将 Linux 服务器添加到 AD 域并让用户使用他们的 AD 凭据登录。
当 AD 每 30 天轮换一次机器密码时,它在主机 keytab 的更新中起到什么作用?
另一个相关的问题是,当我列出主机密钥时,我看到仍然列出已过期(并且续订日期已过)的票:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
06/10/17 12:59:41 06/10/17 22:59:41 krbtgt/[email protected]
renew until 06/11/17 12:59:41
# date
Mon Jun 12 14:14:21 UTC 2017
klist 打印过期的主机票是否正常?klist 何时会将其从打印中删除?
谢谢
答案1
关于主机主体的 kinit —— 这只是一次健全性检查。有太多人将伪造的 keytab 放在他们的主机上,然后抱怨“sssd 坏了”,因此我们不得不进行明确检查以尽快捕获坏的 keytab。
关于 klist —— 这实际上取决于 ccache 后端是什么。使用文件时,凭证即使过期仍会保留在文件中,因此 klist 只会显示它们。例如,使用 KEYRING(RHEL-7 使用),凭证在过期后就会消失,因此不会显示任何内容。无论哪种方式都没有害处。