在没有用户干预的情况下更新kerberos票据

Question

我们已经找到了最优秀的程序，它将允许我们的OSX机器通过我们的Windows打印服务器打印。(ksmbprint来自http://deploystudio.com/)

该程序允许smb通过kerberos身份验证将smb打印到服务器--消除了每次打印作业不断输入AD用户名和密码的需要，而且我们不必在使用lpadmin打印的300多台机器上设置特定的打印机。

问题是，kerberos票的有效期为10个小时。10小时1秒，打印作业就会转到以太上--看上去好像要通过，但却没有结果。

在测试中，我可以进入密钥链访问->票证查看器，然后在输入我的AD密码后更新该票证。这对于测试人员来说很好，但对用户来说却不是这样。

我已经找到了一个脚本来检查，当一个用户在他们的票证上剩下不到30分钟时，它会要求他们重新认证。将其设置为启动代理，直到要求用户重新进行身份验证，它才能工作。这部分在作为代理运行时不会发生。

寻找一种方法，以重新授权的票与尽可能少的用户干预。如果我能让启动代理像刚运行时那样工作，我可以在第一次运行时这样做，但我真的很想找到一种方法来悄悄地重新验证kerberos票证。

与域管理员交谈，他们不建议增加票务时间，经过讨论后我们意识到，无论我们把它设定为过期时间，都会有某个人的票证过期，所以我们最好找到一个更好的解决方案。

编辑:我已经让启动代理开始工作，但仍在寻找一种方法来进行无用户干预。当这个随机框出现并输入他们的域密码时，要求用户信任我们的想法出现在我们不该要求用户做的事情列表中。

Answer 1

kinit -R似乎为我做了这件事。我很想建议使用一个运行这个命令的LaunchAgent，它的StartInterval为7200秒(2小时)；您可能会变得更喜欢这个命令(例如，首先测试网络连接性，在TGT临近到期时调整重试频率等)，但我认为您通常会花费很多时间或工作来避免一点计算开销。