Здравствуйте. Я бы хотел , чтобы на машине введенной в домен было настроено автологирование под определенным пользователем, при этом он получал kerberos тикет. Проблема в том, что все способы которые я нашел в интернете делают автологирование возможным, но тикет не получатеся (предполагаю потому что ни в одном из них не подразумевается ввод пароля).
решения я нашел 2:
- генерирую кейтаб и при входе в .bashrc делаю
kinit -kt *путь до кейтаб файла*В этом способе мне не нравится, что кейтаб файл можно скопировать и пользоваться тикетом уже на другом компьютере. Мне бы хотелось этого избежать - Скрипт который при входе тоже сделает kinit в зашифрованном виде, чтобы не палить пароль. Тут проблема в общем то та же.
Можно на контроллере домена определить пул компьютеров , с которых можно заходить доменному пользователю, но похоже это срабатывает только в интерактивном режиме. Т.е если я пытаюсь зайти через ввод логина пароля меня не пускает, однако при автологировании пускает и применяя тикет через kinit он тоже прекрасно получается.
Как мне сделать правильно , чтобы было автологирование при этом нельзя было утащить возможность под этим пользователем заходить на другом компьютере без админских прав?