Я автоматизирую службу, которой требуется доступ к ресурсу с поддержкой Kerberos. Беспарольный kinit
с keytab работает нормально. Затем ресурс подключается с использованием SASL.
Есть ли способ, возможно, через GSSAPI или libkrb5, обеспечить наличие TGT при каждом доступе к ресурсу? Разветвление kinit
перед каждым доступом кажется прагматичным. Тем не менее, существует очевидная гонка между временем приобретения TGT и его использованием для приобретения TGS, чего я хотел бы избежать.
Я представляю что-то вроде получения fd для аутентификации, действительность которого гарантируется до тех пор, пока он не будет закрыт пользователем.
Я бы предпочел держаться подальше от ресурсоемких решений, таких как sssd, для автоматического продления TGT.