当然可以！你完全不需要依赖/etc/krb5.keytab，通过交互式输入密码的方式完成Kerberos认证是完全可行的，核心思路是利用Kerberos的凭证缓存机制，或者直接触发交互式密码输入流程。下面给你两种实用的方案：

方案1：手动提前获取凭证（最直接） #

先通过系统自带的kinit命令在终端完成交互式认证，之后代码直接复用已有的凭证缓存：

1. 在终端执行：

   kinit your_principal@YOUR_REALM
   

   执行后会提示你输入Kerberos密码，认证成功后，Kerberos会把凭证存储在默认的本地缓存（通常是/tmp/krb5cc_<你的用户ID>）。
2. 修改你的Python代码，不需要指定keytab相关配置，直接读取缓存中的凭证：

   import gssapi
   
   # 如果需要指定特定主体，先创建Name对象
   server_name = gssapi.Name('your_principal@YOUR_REALM', name_type=gssapi.NameType.kerberos_principal)
   # 直接从缓存获取凭证，无需依赖keytab
   server_creds = gssapi.Credentials(usage='init', name=server_name)
   

   如果你的代码只需要当前用户的默认Kerberos凭证，甚至可以简化为：

   server_creds = gssapi.Credentials(usage='init')
   

方案2：在代码中自动触发交互式认证 #

如果不想每次手动执行kinit，可以在代码中添加逻辑：当检测到没有可用的凭证缓存时，自动调用kinit触发密码输入，之后再获取凭证。示例代码如下：

import gssapi
import subprocess

def get_interactive_kerberos_creds(principal):
    try:
        # 尝试从缓存获取凭证
        name = gssapi.Name(principal, name_type=gssapi.NameType.kerberos_principal)
        creds = gssapi.Credentials(usage='init', name=name)
        return creds
    except gssapi.exceptions.GSSError as e:
        # 捕获无缓存或无keytab的错误，触发交互式认证
        error_msg = str(e)
        if 'No credentials cache found' in error_msg or 'Key table file not found' in error_msg:
            # 调用kinit让用户输入密码
            subprocess.run(['kinit', principal], check=True)
            # 认证成功后重新获取凭证
            return gssapi.Credentials(usage='init', name=name)
        # 其他错误直接抛出
        raise

# 使用示例
your_principal = "your_username@YOUR_KERBEROS_REALM"
server_creds = get_interactive_kerberos_creds(your_principal)

关键注意事项 #

• 确保你的系统Kerberos配置正确：/etc/krb5.conf中需要正确设置default_realm和kdc地址，否则kinit无法找到Kerberos服务器。
• 交互式认证依赖终端环境：如果是GUI应用，可能需要额外配置Kerberos使用GUI密码弹窗，但终端环境下kinit默认会在终端提示输入密码。
• 凭证缓存会在一段时间后过期，过期后再次执行代码会重新触发密码输入，完全符合你“每次认证都输入密码”的需求。

内容的提问来源于stack exchange，提问作者vdudouyt