<div dir="auto">If it's an interactive account, users should kinit and enter a password or use a smart key etc to authenticate themselves.<div dir="auto"><br></div><div dir="auto">System/service accounts generally have a krb5 keytab that is used to request valid service tokens. Often you need some other script renewing those tokens, it depends how krb5 aware the service is. I've just used Cron in the past (there are many examples of how to do this, from memory!)</div><div dir="auto"><br></div><div dir="auto">/Chris</div><div dir="auto"><br></div><div dir="auto">/Chris</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 16 Jul 2020, 1:45 pm Alex, <<a href="mailto:alex@spottedmouse.com">alex@spottedmouse.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Chris,<br>
<br>
Thanks for your help.<br>
<br>
kinit shows:<br>
kinit: Client 'saas@mydomain.local' not found in Kerberos database while getting initial credentials<br>
<br>
klist shows:<br>
klist: Credentials cache keyring 'persistent:5050:5050' not found<br>
<br>
I think you are right in that I need a ticket. What is the best way to associate one to a system account in way that ticket expiration is handled seamlessly. I did consider running kinit every couple of hours, but this feels like a horrible solution. Are there any other options of maintaining a valid ticket.<br>
<br>
Kind regards<br>
Alex<br>
<br>
<br>
On 2020-07-16 13:19, Chris Hoy Poy wrote:<br>
> What's kinit show for your second user? It sounds like it needs a <br>
> token (or access to one).<br>
> <br>
> Usually every user that requires access needs a ticket (so kinit needs <br>
> to reflect that, or it will bounce)<br>
> <br>
> /Chris<br>
> <br>
> On Thu, 16 Jul 2020, 1:16 pm Alex, <<a href="mailto:alex@spottedmouse.com" target="_blank" rel="noreferrer">alex@spottedmouse.com</a>> wrote:<br>
> <br>
>> Hi all,<br>
>> <br>
>> I am looking at running a service under a local system account on a <br>
>> linux server, but need to be able to access a NFS v4 share with <br>
>> Kerberos enabled security. As root user I can see that using the <br>
>> machine’s Kerberos ticket access to the share works successfully.<br>
>> However as soon as I try to access the share using another local <br>
>> system account access to the share is denied.<br>
>> <br>
>> I am hoping we have a local Kerberos expert who might be able to <br>
>> point me in the direction on how this is usually done. Any pointers <br>
>> on how to allow local system users access to the Kerberos tickets and <br>
>> the share would really help me out.<br>
>> <br>
>> Kind regards<br>
>> <br>
>> Alex_______________________________________________<br>
>> PLUG discussion list: <a href="mailto:plug@plug.org.au" target="_blank" rel="noreferrer">plug@plug.org.au</a> <br>
>> <a href="http://lists.plug.org.au/mailman/listinfo/plug" rel="noreferrer noreferrer" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
>> Committee e-mail: <a href="mailto:committee@plug.org.au" target="_blank" rel="noreferrer">committee@plug.org.au</a> PLUG Membership: <br>
>> <a href="http://www.plug.org.au/membership" rel="noreferrer noreferrer" target="_blank">http://www.plug.org.au/membership</a><br>
> _______________________________________________<br>
> PLUG discussion list: <a href="mailto:plug@plug.org.au" target="_blank" rel="noreferrer">plug@plug.org.au</a> <br>
> <a href="http://lists.plug.org.au/mailman/listinfo/plug" rel="noreferrer noreferrer" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
> Committee e-mail: <a href="mailto:committee@plug.org.au" target="_blank" rel="noreferrer">committee@plug.org.au</a> PLUG Membership: <br>
> <a href="http://www.plug.org.au/membership" rel="noreferrer noreferrer" target="_blank">http://www.plug.org.au/membership</a><br>
<br>
</blockquote></div>