Renovação do ticket do kerberos sem intervenção do usuário

4

Encontramos o programa mais excelente que permitirá que nossas máquinas OSX imprimam através de nossos servidores de impressão do Windows. (ksmbprint do link )

O programa permite a impressão de smb com os servidores através da autenticação Kerberos - eliminando a necessidade de inserir constantemente o nome de usuário e a senha do AD em cada trabalho de impressão e não precisar configurar impressoras específicas nos 300 ou mais máquinas que imprimirão usando lpadmin.

A questão é que o bilhete do kerberos dura 10 horas. 10 horas 1 segundo e o trabalho de impressão vai para o éter - parece que passa, mas vai para lugar nenhum.

No teste, posso ir para o Acesso às Chaves - > Ticket Viewer, em seguida, renovar o ticket, depois de digitar minha senha do AD. Isso é bom para o testador, mas não para o usuário.

Encontrei um script que verifica e, quando um usuário tiver menos de 30 minutos no ticket, ele pedirá para que ele seja autenticado novamente. Configure isso como um agente de lançamento e ele funcionará - até solicitar que o usuário se autentique novamente. Esta parte não acontece quando se corre como agente.

Procurando uma maneira de autorizar novamente o ticket com o mínimo de intervenção possível do usuário. Se eu conseguir que o agente de lançamento funcione como quando é executado, estou bem com isso para a primeira execução, mas gostaria muito de uma maneira de autenticar silenciosamente o ticket do kerberos.

Falamos com os administradores de domínio e eles não sugerem aumentar o tempo do ingresso e após a discussão, percebemos que não importa a hora que expiramos, haverá alguém cujo ingresso expirará, então é melhor encontrarmos uma solução melhor.

Editar: eu tenho o agente de lançamento para trabalhar, mas ainda estou procurando uma maneira de fazer isso sem a intervenção do usuário. O pensamento de pedir aos usuários que confiassem em nós apenas quando esta caixa aleatória aparece e digitar sua senha de domínio está na lista de coisas que não devemos pedir aos usuários.

    
por eric.s 22.10.2010 / 04:04

1 resposta

0

kinit -R parece fazer o truque para mim. Estou tentado a sugerir apenas ter um LaunchAgent que execute este comando com um StartInterval de, digamos, 7200 segundos (2 horas); você pode ficar mais chique (por exemplo, testar a conectividade de rede primeiro, ajustar a frequência de tentativas à medida que seu TGT estiver mais perto de expirar, etc.), mas acho que você estaria indo muito para trabalhar ou evitar um pouco de despesas computacionais. / p>     

por 25.10.2010 / 08:57