使用 SSSD/AD 自动更新 kerberos 票

我一直在尝试使用几种方法让用户的缓存文件自动更新，但这两种方法都不适合我。这是一个 debian 11 盒子。我的首选选项是使用 SSSD 配置选项在没有 cron 作业的情况下自动更新票证。第二个选择是由个人用户设置的 cron 作业。

1.使用this answer底部的配置参数，我通过将以下内容添加到

/etc/krb5.conf

部分并重新启动机器来编辑我的

[libdefaults]

文件：

ldap_krb5_init_creds = True
krb5_ccname_template = FILE:/tmp/krb5cc_%U
krb5_lifetime           =  86400
krb5_renewable_lifetime = 604800
krb5_renew_interval     =   7200

预期的行为是我的 ccache 文件在重新启动时将显示为 krb5cc_username 但更改没有明显的效果 - 我继续在

/tmp

中看到一个带有随机字母数字的文件（如“krb5cc_123456789_7mabEj”）。当我运行

klist

时会显示此文件，但我相信它是在我最初登录机器时创建的。据我所知，这台机器满足使用 SSSD 对抗 Active Directory 的先决条件，这个解决方案才能工作。

2. 我还尝试设置一个 cronjob 以使用我的密钥表运行

   kinit -fkt

   。我从终端测试了它，它确实有效，但从 cron 来看，它只是一种工作——我看到一个文件在

   /tmp

   内每分钟（按计划进行测试）重新创建。然而，这个文件有一个意想不到的名字（附加随机数字字符——比如“krb5cc_1922807467”），它是在我登录到盒子时获得的初始 ccache 文件旁边/之外创建的，并且这个文件是 not showing when I跑

   klist

   。为了使 cron 解决方案起作用，我需要使用/更新 klist 显示的预期票证缓存文件名。

如果有人能指出我在解决方案 1（最佳）或解决方案 2 中可能做错了什么，我将不胜感激 - 提前谢谢。