-f と -F によるチケットの転送

「Kerberos 化されたコマンドの概要」で説明されているとおり、一部のコマンドでは -f または -F のオプションでチケットを転送できます。チケットを転送すると、ネットワークトランザクションを「連鎖」させることができます。たとえば、あるマシンに rlogin を実行して、次に、そのマシンからさらに別のマシンに rlogin を実行できます。-f オプションではチケットを転送できますが、-F オプションでは転送したチケットをさらに転送 (再転送) できます。

図 6-2 では、ユーザー david が kinit で転送可能でないチケット許可チケット (TGT) を取得しています (-f オプションを指定していないため、このチケットは転送可能ではありません)。1 の場合では、david はマシン B に rlogin を実行できますが、それ以上のマシンには rlogin できません。2 の場合では、転送可能でないチケットを転送しようとしているため、rlogin -f コマンドは失敗します。

図 6-2 転送可能でないチケットの使い方

実際には、SEAM 構成ファイルはデフォルトで、kinit が転送可能チケットを取得するように設定されています。しかし、この構成は変更できます。ここでは説明のため、kinit -f で呼び出さなければ、kinit が転送可能 TGT を取得できないと仮定しています。またここでは、kinit には -F オプションはありません。したがって、TGT は転送可能であるか、あるいは転送可能でないかのいずれかです。

図 6-3 では、david が kinit -f で転送可能 TGT を取得しています。3 の場合では、david は rlogin で転送可能チケットを使用しているため、マシン C にログインできます。4 の場合では、チケットは再転送可能ではないため、2 番目の rlogin は失敗します。5 の場合では、-f オプションではなく -F オプションを使用しているため、2 番目の rlogin が成功し、チケットはマシン D に再転送できます。

図 6-3 転送可能チケットの使い方