创建一个keytab在Windows下与kinit一起使用

Question

我正在编写一个pGina插件，以便在登录时从我们的KDC获得AFS令牌和Kerberos TGT，同时我发现kinit的'特性'是它不会让你提供任何输入除非它来自键盘，那么我的想法只是重定向标准输入...

有人建议使用主体的keytab文件，这似乎超级简单，直到我意识到我只会在linux上使用kutil并且在使用ktpass.exe的Windows版本时遇到困难。我已经有大量的参数组合的多次试图创建一个密钥表，但都没有绝对的成功至今，当前的命令，我发出的是：

ktpass /out key.tab /mapuser user$@MERP.EDU /princ user.merp.edu@MERP.EDU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

不幸的是这一切的输出是

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

根据我的研究，这是一个认证/加密问题，我已与其他d试了一下ES设置，但这似乎也不工作...任何人都有任何经验/想法如何这可能工作？

Answer 1

ktpass.exe确实很糟糕;我不使用它。所以，应该使用ktutil在Unix上创建一个匹配的密钥表独立使用的密码，例如：

$ ktutil 
ktutil: addent -password -p foo@BAR -k 1 -e aes128-cts-hmac-sha1-96 
Password for foo@BAR: 
ktutil: l 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
    1 1         foo@BAR 
ktutil: wkt /tmp/zz 
$ klist -ek /tmp/zz 
Keytab name: WRFILE:/tmp/zz 
KVNO Principal 
---- -------------------------------------------------------------------------- 
    1 foo@BAR (aes128-cts-hmac-sha1-96) 

LDAP绑定错误指示的ktpass无法验证你的域控制器;当这种情况发生时，您是否登录了域帐户？它必须是一个域帐户，而不是一个本地帐户（它必须被授权对AD进行必要的更改，尽管缺乏这会给权限错误而不是绑定）。

FWIW，我们采取了不同的方法：我们在Unix和AD领域之间使用跨领域信任。用户登录后的AD TGT就足以获得Unix领域中服务的凭证;例如，我可以使用PuTTY将SSH SSH转换为Unix主机，Firefox/Chrome/IE以对Unix Web服务（Apache/mod_auth_kerb）进行身份验证等。