使用keytab从cron作业访问kerberized

Question

我在Ubuntu22.04上，它是由sssd加入到2016年Active Directory中的。我可以通过kerberos访问几个网络资源:文件共享、oracle和postgres数据库。一切都很好。但我也希望能够从cron工作中访问这些资源。

我希望能够使用keytab和k5start来实现这一点。但我不能让键签开始工作。

我检测到相关的kvno

kinit -c filex
kvno -c filex  krbtgt/XXX.LOCAL@XXX.LOCAL

然后我使用ktutil (加号提示输入密码)创建我的keytab。

ktutil
addent -password -p yyy@XXX.LOCAL -k 3 -e aes256-cts
wkt ./yyy.keytab
quit

测试keytab

kinit -c filex -k -t keytab yyy@XXX.LOCAL

结果：

kinit: Preauthentication failed while getting initial credentials

谷歌告诉我，这意味着密码是不正确的，但它不是。

我做错什么了吗？

Answer 1

我自己问题的答案是，在指定用户名(主名称)时，您必须非常小心。用户名的情况必须与Active中的sAMAccountName大小写相匹配。在我的示例中，我指定了yyy@XXX.LOCAL，实际上它应该是YYY@XXX.LOCAL，无论是在创建键签时还是在使用它时。