kinit-keytab

Rola Ansible do uwierzytelniania w domenie Windows i uzyskiwania biletu kerberos za pomocą pliku keytab.

Wymagania

Ta rola wymaga, abyś miał działającą konfigurację klienta kerberos. Zapoznaj się z przewodnikiem Ansible dotyczącego Windows, aby upewnić się, że masz wszystkie biblioteki i konfiguracje potrzebne do połączenia z hostami Windows. Dodatkowo musisz mieć włączone WinRM na swoim hoście Windows (patrz ten sam przewodnik Ansible dotyczący Windows) oraz plik keytab dla swojego konta Active Directory. Możesz wygenerować plik keytab w następujący sposób:

### na linux
ktutil
addent -password -p username@YOURDOMAIN.LOCAL -k 1 -e rc4-hmac
# WPROWADŹ HASŁO
wkt username.keytab
quit

### na OSX
ktutil -k username.keytab add -p username@YOURDOMAIN.LOCAL
# Wprowadź "arcfour-hmac-md5" bez cudzysłowów jako typ szyfrowania
# Wprowadź "1" bez cudzysłowów jako wersję klucza
# Wprowadź i potwierdź hasło

Zachowuj się z plikiem wynikowym tak, jakby to był klucz SSH. Umożliwia on dostęp do domeny AD jako Ty, bez konieczności podawania hasła.

Zmienne Roli

keytab_file: Ścieżka do pliku keytab użytkownika
username: Nazwa użytkownika kerberos z uwzględnieniem realm (np. user@name@YOURDOMAIN.LOCAL)
krb_ticket_lifetime: Czas ważności biletu w sekundach (s), minutach (m) lub godzinach (h) - domyślnie: 5m

Zależności

Brak

Przykładowy Playbook

    - hosts: localhost
      connection: local
      gather_facts: false
      roles:
        - { role: mortiz.kinit-keytab,
            username: [email protected],
            keytab_file: /home/username/username.keytab,
            krb_ticket_lifetime: 60s  }

Licencja

Apache