kadmin不使用kinit进行身份验证？

Question

首先，我使用keytab文件运行kinit {principal} -k -t {keytabfile}。

其次，我运行klist来检查是否存在TGT。

一切看起来都很好，但是当我运行kadmin -p {principal}时，键签或密码仍然需要。

这是否意味着kadmin不使用kinit进行身份验证？

Answer 1

这是kadmin服务主体(对于明显的安全性)只接受直接为该服务获得的票证的默认策略。如果你愿意，但不推荐，你可以改变它。

如果您签入kdc日志，您会注意到

Jun 18 01:17:27 aron krb5kdc[21377](info): TGS_REQ (4 etypes {18 17 16 23}) 192.168.1.56: TGT BASED NOT ALLOWED: authtime 0, root/DOMAIN.NET for kadmin/@DOMAIN.NET, KDC policy rejects request

下面是对此默认策略上的文档的引用

https://github.com/krb5/krb5/blob/50a3c3cbeab32577fba2b21deb72a64015c48ec7/doc/kadm5/api-funcspec.tex#L775

在与Admin系统通信时存在两个Kerberos主体: kadmin/admin和kadmin/changepw。两个主体的属性中都设置了KRB5_KDB_DISALLOW_TGT_BASED位，因此只能通过基于密码的(AS_REQ)请求获取它们的服务票。此外，kadmin/changepw设置了KRB5_KDB_PWCHANGE_SERVICE位，以便具有过期密码的主体仍然可以获得它的服务票证。