Я автоматизирую подготовку виртуальной машины в кеберизованной среде. После того, как новый сервер создан, он должен присоединиться к сети. Для этого мне нужно войти на сервер kerberos, используя kinit, а затем использовать net ads join.
проблема для меня заключается в том, где мне хранить пароль принципала, который мне нужно передать в kinit, и как мне его безопасно получить. Конечно, требование заключается в том, чтобы программа автоматизации была единственной, которая может получить пароль от того места, где он хранится. Варианты, которые я рассмотрел до сих пор: 1) Я уже знаю, как сохранить пароль в хранилище (Hashicorp, Cyber Ark и т. Д.), Но его реализация / управление занимает слишком много времени, а затем это дорого. 2) Сохраните зашифрованный пароль в другой виртуальной машине (в той же частной сети) в переменной среды и во время выполнения ssh в эту виртуальную машину и получите пароль, расшифруйте его, а затем передайте его на вновь созданную виртуальную машину.
Есть ли у кого-нибудь из экспертов по безопасности проблемы с (2)? Если да, то что это? Какие еще варианты существуют, если таковые имеются?
Заранее спасибо