Kerberos on OSX

1.Kerberos的认证体系

Kerberos是希腊神话中的地狱三头犬，熟悉希腊神话，或者看过哈利波特1的朋友可能见过这个形象。MIT的一个认证服务体系，也用了这个名字，并且用一个短剧的形式很好的说明了这个系统——这个短剧，直到最后两段话之前，我都很好的理解了……最后功亏一篑，还在看。

这个认证系统是为了向服务器证明，你是你（而不是一个伪装成你的人）的一个体系。

基于这个系统，在*Nix下，有一套命令，在MIT那边也有详细的API。

2.遇到的问题

我最近在对接一套API，用同事的话来说，非常的tricky。在使用HTTP请求调用之前，你需要在命令行里运行kinit命令，输入你的密码进行一次身份校验。然后在请求中，使用negotiate的方式进行请求，server在多次握手的过程中，读取你的校验token，完成验证。

那么问题来了，Kinit的token，有效期是10H，也就是如果你想让server持续的能够调取API，就必须每隔10H左右，登录它，进行身份校验。这不是开玩笑么。我们尊贵的用户，怎么能做这种明显可以自动登录的事情呢。

于是我就需要一套自动登录的小程序。

3.解决过程

Kinit无密码登录，其实不是什么新鲜事。哪怕在百度上，也有人提出过：只要使用ktutil这个命令（included in the command-set I mentioned above），就可以生成一个.keytab文件，下次运行kinit登录时，就只需要提供keytab文件了。然而问题来了，我用的是OS X，这套命令，不一样！

于是我就又想简单粗暴的在控制台自动输入这个密码。Nodejs其实也有stdin的接口。不过我发现kinit这个命令是在stderr中提示输入密码，我本来试图用stderr的监听事件来进行进行stdin的write和close，也失败了。

于是我返回了第一种方法。既然命令格式不对而非命令不执行，还是有可能的，恰逢此时我的两封求救信都无功而返，于是我开始查man page，结果倒是发现了一些方法，然而除了让我更好的使用Ktutil这个工具之外，倒是没有很大帮助。

天无绝人之路，我在此在网上搜索时，一篇文章映入眼帘，是Apple论坛对Kinit的讨论，随后我去论坛继续搜，不一会儿就找到了这个——https://discussions.apple.com/message/28414767#28414767

4.解决方案与遗留问题

于是，解决方案如下，使用kinit+你的完整账号登录，如果是你的本机用户，也可以直接kinit。

之后运行

```

security add-generic-password -a "你的名字" -l "服务器 (你的名字)" -s "服务器" -w '密码' -c "aapl" -T "/usr/bin/kinit"

```

即可。

在OS X下，会提示存储和使用Keychain，同意即可。

遗留问题：

我后来想到了，stdin可以监听readable事件，可以在里面进行输入，或许可以解决这个问题。然而我已经配置好了，等下次迁移环境的时候再测试吧。