我正在尝试使用kickstart设置一个主机块,并且有两个命令需要输入密码.一个是kinit,对于那个,很容易生成一个keytab文件并使用-t传递它,另一个是在执行authconfig命令时间接调用的net join.
有没有办法通过凭证文件或使用密码哈希来提交密码?显然我不想把它作为纯文本传递.
@ewwhite感谢您的链接,我来看看.我不确定是什么,我绝对不反对使用SSSD,如果它让我完成同样的事情,它允许无人值守的配置.我使用Samba / Winbind更多地与我的舒适程度有关.你能否建议我如何使用SSSD做同样的事情,记住我不想手动输入密码?
相关的kickstart内容:
cat << EOF > /etc/samba/smb.conf [global] encrypt passwords = yes # logs split per machine log file = /var/log/samba/log.%m # max 50KB per log file,then rotate max log size = 50 passdb backend = tdbsam EOF chkconfig smb on chkconfig nmb on service smb restart service nmb restart cat << EOF > /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = AD.DOMAIN.NET dns_lookup_realm = true dns_lookup_kdc = true allow_weak_crypto = false ticket_lifetime = 24h renew_lifetime = 7d rdns = false forwardable = true [realms] AD.DOMAIN.NET = { admin_server = dc01.ad.domain.net default_domain = ad.domain.net kdc = dc01.ad.domain.net } [domain_realm] .ad.domain.net = AD.DOMAIN.NET ad.domain.net = AD.DOMAIN.NET EOF net time set -S dc01.ad.domain.net /usr/bin/kinit -k -t addom.keytab Administrator@AD.DOMAIN.NET authconfig --update \ --kickstart \ --enablewinbind \ --enablewinbindauth \ --smbsecurity=ads \ --smbrealm=AD.DOMAIN.NET \ --winbindjoin=administrator@AD.DOMAIN.NET \ --winbindtemplatehomedir=/home/DOMAIN/%U \ --winbindtemplateshell=/bin/bash \ --enablewinbindusedefaultdomain \ --enablelocauthorize \ --smbservers=dc01.ad.domain.net \ --enablemkhomedir \ --smbidmaprange=100000-200000
解决方法
很多选择……见:
Common wisdom about Active Directory authentication for Linux Servers?
有了EL6,你确定要去Samba / Winbind路线吗?目前,精心设计的authconfig字符串和SSSD配置(/etc/sssd/sssd.conf)文件几乎都是您需要的…(除非您尝试集成主目录)
现在你的kickstart里有什么?
