Kerberos 是否可以仅使用keytab更新密码过期的帐户上的密码?
假设我有一个帐户的keytab文件,它是使用我帐户的最后一个有效密码生成的。如果密码已过期,当尝试使用键选项卡Kerberos 是否可以仅使用keytab更新密码过期的帐户上的密码?,kerberos,Kerberos,假设我有一个帐户的keytab文件,它是使用我帐户的最后一个有效密码生成的。如果密码已过期,当尝试使用键选项卡kinit时,会导致kinit:password在获取初始凭据时已过期 现在尝试在不使用keytab的情况下扭结它会提示输入旧密码,然后会要求输入新密码。然而,我希望我的服务基本上能够在不存储密码的情况下“丢弃”密码,但它必须能够适应密码过期。据我所知,kerberos中不支持这种情况 是否只需使用键盘就可以重置过期密码?我认为这是不可能的。Keytabs包含一组密钥,相当于密码 据文件
kinitkinit:password在获取初始凭据时已过期是否只需使用键盘就可以重置过期密码?我认为这是不可能的。Keytabs包含一组密钥,相当于密码 据文件说, Kerberos密钥表文件包含Kerberos主体之间的映射 从使用的密码派生的名称和DES加密密钥 登录Kerberos密钥分发中心(KDC)。目的 Keytab文件允许用户访问不同的Kerberos 服务,而不在每次服务时提示输入密码 kinit程序使用用户的密钥解密TGT,该密钥存在于keytab中,如果未提供keytab,则会提示
客户端使用TGT从运行在KDC上的票证授予服务(TGS)请求服务的票证
显然,如果keytab中的密钥过期,kinit无法解密用户的TGT。没有TGT,就无法执行任何AD操作,包括更新密码 密钥表文件通常是为服务用户而不是最终用户生成的。
一般原则是启用设置-1)密码永不过期2)用户不能更改自己的密码我认为这是不可能的。Keytabs包含一组密钥,相当于密码 据文件说, Kerberos密钥表文件包含Kerberos主体之间的映射 从使用的密码派生的名称和DES加密密钥 登录Kerberos密钥分发中心(KDC)。目的 Keytab文件允许用户访问不同的Kerberos 服务,而不在每次服务时提示输入密码 kinit程序使用用户的密钥解密TGT,该密钥存在于keytab中,如果未提供keytab,则会提示
客户端使用TGT从运行在KDC上的票证授予服务(TGS)请求服务的票证
显然,如果keytab中的密钥过期,kinit无法解密用户的TGT。没有TGT,就无法执行任何AD操作,包括更新密码 密钥表文件通常是为服务用户而不是最终用户生成的。
一般原则是启用设置-1)密码永不过期2)用户不能更改自己的密码