Назад | Перейти на главную страницу

Продление билета Kerberos без вмешательства пользователя

Мы нашли самую лучшую программу, которая позволит нашим машинам OSX печатать через наши серверы печати Windows. (ksmbprint из http://deploystudio.com/)

Программа позволяет выполнять smb-печать на серверах через аутентификацию Kerberos - избавляя от необходимости постоянно вводить имя пользователя и пароль AD для каждого задания печати, и нам не нужно настраивать определенные принтеры на примерно 300 машинах, которые будут печатать с помощью lpadmin.

Дело в том, что билет Kerberos действует 10 часов. 10 час 1 секунда и задание на печать уходит в эфир - вроде как проходит, но никуда не уходит.

Во время тестирования я могу перейти в Keychain Access -> Ticket Viewer, затем обновить билет после ввода моего пароля AD. Это нормально для тестировщика, но не для пользователя.

Я нашел скрипт, который проверяет, и когда у пользователя остается менее 30 минут в билете, он просит его повторно пройти аутентификацию. Настройте его как агент запуска, и он работает - до тех пор, пока пользователь не попросит повторно пройти аутентификацию. Этого не происходит при работе в качестве агента.

Ищете способ повторно авторизовать заявку с минимальным вмешательством пользователя. Если я смогу заставить агент запуска работать так же, как при простом запуске, я согласен с этим при первом запуске, но мне бы очень хотелось получить способ незаметной повторной аутентификации билета Kerberos.

Поговорили с администраторами домена, и они не предлагают увеличивать время тикета, и после обсуждения мы поняли, что независимо от того, в какое время мы установим его истечение, будет кто-то, чей билет истечет, поэтому нам лучше найти лучшее решение .

Изменить: у меня работает агент запуска, но я все еще ищу способ сделать это без вмешательства пользователя. Мысль о том, чтобы просить пользователей просто доверять нам, когда появляется это случайное поле и вводит пароль своего домена, входит в список вещей, которые мы не должны просить пользователей делать.

kinit -R кажется, помогает мне. Я хочу предложить просто LaunchAgent, который запускает эту команду с StartInterval, скажем, 7200 секунд (2 часа); вы могли бы стать более интересными (например, сначала проверить подключение к сети, отрегулировать частоту повторных попыток по мере приближения срока действия вашего TGT и т. д.), но я думаю, что вы в основном будете много работать или работать, чтобы избежать крошечных вычислительных затрат.