批处理作业(例如,cron、at 和 batch)是延迟执行进程。在 Kerberos 环境中,包括延迟执行进程在内的所有进程都需要凭证。但是,用户凭证的有效期相对较短。缺省情况下,用户凭证的有效期为 8 小时,最多可将其更新到一周。这些时间设置用于限制敏感密钥暴露给恶意用户,但会导致无法在任意时间执行作业。
在 Oracle Solaris 中,访问 Kerberos 服务的批处理作业可在不曝光用户的长期密钥的情况下运行。此解决方案涉及将以下凭证信息存储到基于会话的用户凭证高速缓存:Kerberos 服务、用户名和客户机主机名。PAM 模块用于验证批处理作业。可以将主机能够获取其票证的服务集中存储到 LDAP 目录服务器。
有关更多信息,请参见 pam_krb5_keytab(5) 和 pam_gss_s4u(5) 手册页以及为 Kerberos 服务访问配置延迟执行。