kinit-keytab

Роль Ansible для аутентификации в домене Windows и получения kerberos-тикета с использованием файла kerberos keytab.

Требования

Эта роль требует наличия работающей конфигурации клиента kerberos. Пожалуйста, ознакомьтесь с руководством Ansible по Windows, чтобы убедиться, что у вас есть все необходимые библиотеки и конфигурации для подключения к хостам Windows. Кроме того, вам нужно включить WinRM на вашем хосте Windows (см. то же руководство Ansible по Windows) и иметь файл kerberos keytab для вашей учетной записи Active Directory. Вы можете создать файл keytab следующим образом:

### на linux
ktutil
addent -password -p [email protected] -k 1 -e rc4-hmac
# ВВЕДИТЕ ПАРОЛЬ
wkt username.keytab
quit

### на OSX
ktutil -k username.keytab add -p [email protected]
# Введите "arcfour-hmac-md5" без кавычек для типа шифрования
# Введите "1" без кавычек для версии ключа
# Введите и подтвердите пароль

Относитесь к полученному файлу так же, как вы относитесь к SSH-ключу. Он позволяет получить доступ к домену AD от вашего имени без необходимости ввода пароля.

Переменные роли

keytab_file: Путь к файлу keytab пользователя
username: Имя пользователя Kerberos с указанием области (т.е., user@[email protected])
krb_ticket_lifetime: Срок действия тикета в секундах (s), минутах (m) или часах (h) - по умолчанию: 5m

Зависимости

Отсутствуют

Пример плейбука

    - hosts: localhost
      connection: local
      gather_facts: false
      roles:
        - { role: mortiz.kinit-keytab,
            username: [email protected],
            keytab_file: /home/username/username.keytab,
            krb_ticket_lifetime: 60s  }

Лицензия

Apache