我试图设置一个使用kickstart的主机块,并且有两个需要input密码的命令。 一个是kinit,对于那个,只需要生成一个keytab文件并使用-t传递它,而另一个是在执行authconfig命令时间接调用的networking连接。
有没有办法通过凭证文件或使用密码哈希来交付密码? 很明显,我不想把它作为纯文本传递。
@ewwhite感谢您的链接,我会看看。 我不确定任何事情,而且我绝对不反对使用SSSD,如果它能让我完成同样的事情,并且它允许无人值守configuration。 我使用桑巴/ Winbind有更多的关于我的舒适水平。 你能build议我怎么去做同样的事情使用SSSD记住,我不想手动input密码?
相关kickstart内容:
cat << EOF > /etc/samba/smb.conf [global] encrypt passwords = yes # logs split per machine log file = /var/log/samba/log.%m # max 50KB per log file, then rotate max log size = 50 passdb backend = tdbsam EOF chkconfig smb on chkconfig nmb on service smb restart service nmb restart cat << EOF > /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = AD.DOMAIN.NET dns_lookup_realm = true dns_lookup_kdc = true allow_weak_crypto = false ticket_lifetime = 24h renew_lifetime = 7d rdns = false forwardable = true [realms] AD.DOMAIN.NET = { admin_server = dc01.ad.domain.net default_domain = ad.domain.net kdc = dc01.ad.domain.net } [domain_realm] .ad.domain.net = AD.DOMAIN.NET ad.domain.net = AD.DOMAIN.NET EOF net time set -S dc01.ad.domain.net /usr/bin/kinit -k -t addom.keytab [email protected] authconfig --update \ --kickstart \ --enablewinbind \ --enablewinbindauth \ --smbsecurity=ads \ --smbrealm=AD.DOMAIN.NET \ [email protected] \ --winbindtemplatehomedir=/home/DOMAIN/%U \ --winbindtemplateshell=/bin/bash \ --enablewinbindusedefaultdomain \ --enablelocauthorize \ --smbservers=dc01.ad.domain.net \ --enablemkhomedir \ --smbidmaprange=100000-200000 有很多select…请参阅: 有关Linux服务器Active Directory身份validation的常识。
有了EL6,你确定要去Samba / Winbind路线吗? 现在,精心devise的authconfigstring和SSSDconfiguration( /etc/sssd/sssd.conf )文件几乎是你所需要的一切…(除非你想要集成主目录)
你的kickstart现在是什么?
结果net命令有一个选项使用kerberos密钥表,只需要阅读手册页比我以前更好。 以下是对我有用的东西:
在域控制器上
ktpass princ host/[email protected] mapuser AD\Administrator -pass * out test.keytab
在计算机上进行连接
kinit -k -t /tmp/test.keytab net ads join -k