Kerberos on OSX

1.Kerberos的认证体系

Kerberos是希腊神话中的地狱三头犬,熟悉希腊神话,或者看过哈利波特1的朋友可能见过这个形象。MIT的一个认证服务体系,也用了这个名字,并且用一个短剧的形式很好的说明了这个系统——这个短剧,直到最后两段话之前,我都很好的理解了……最后功亏一篑,还在看。

这个认证系统是为了向服务器证明,你是你(而不是一个伪装成你的人)的一个体系。

基于这个系统,在*Nix下,有一套命令,在MIT那边也有详细的API。

2.遇到的问题

我最近在对接一套API,用同事的话来说,非常的tricky。在使用HTTP请求调用之前,你需要在命令行里运行kinit命令,输入你的密码进行一次身份校验。然后在请求中,使用negotiate的方式进行请求,server在多次握手的过程中,读取你的校验token,完成验证。

那么问题来了,Kinit的token,有效期是10H,也就是如果你想让server持续的能够调取API,就必须每隔10H左右,登录它,进行身份校验。这不是开玩笑么。我们尊贵的用户,怎么能做这种明显可以自动登录的事情呢。

于是我就需要一套自动登录的小程序。

3.解决过程

Kinit无密码登录,其实不是什么新鲜事。哪怕在百度上,也有人提出过:只要使用ktutil这个命令(included in the command-set I mentioned above),就可以生成一个.keytab文件,下次运行kinit登录时,就只需要提供keytab文件了。然而问题来了,我用的是OS X,这套命令,不一样!

于是我就又想简单粗暴的在控制台自动输入这个密码。Nodejs其实也有stdin的接口。不过我发现kinit这个命令是在stderr中提示输入密码,我本来试图用stderr的监听事件来进行进行stdin的write和close,也失败了。

于是我返回了第一种方法。既然命令格式不对而非命令不执行,还是有可能的,恰逢此时我的两封求救信都无功而返,于是我开始查man page,结果倒是发现了一些方法,然而除了让我更好的使用Ktutil这个工具之外,倒是没有很大帮助。

天无绝人之路,我在此在网上搜索时,一篇文章映入眼帘,是Apple论坛对Kinit的讨论,随后我去论坛继续搜,不一会儿就找到了这个——https://discussions.apple.com/message/28414767#28414767

4.解决方案与遗留问题

于是,解决方案如下,使用kinit+你的完整账号登录,如果是你的本机用户,也可以直接kinit。

之后运行

```

security add-generic-password -a "你的名字" -l "服务器 (你的名字)" -s "服务器" -w '密码' -c "aapl" -T "/usr/bin/kinit"

```

即可。

在OS X下,会提示存储和使用Keychain,同意即可。

遗留问题:

我后来想到了,stdin可以监听readable事件,可以在里面进行输入,或许可以解决这个问题。然而我已经配置好了,等下次迁移环境的时候再测试吧。

你可能感兴趣的:(Kerberos on OSX)