Gestion des tickets

Cette section explique comment obtenir, afficher et détruire les tickets. Pour une introduction sur les tickets, voir "Comment SEAM fonctionne-t-il ?".

Devez-vous vous préoccuper des tickets ?

Une fois SEAM installé, Kerberos est intégré à la commande login, et vous obtiendrez des tickets automatiquement lors de la connexion. Les commandes compatibles Kerberos rsh, rcp, telnet et rlogin sont habituellement configurées de manière à transférer des copies de vos tickets aux autres ordinateurs ; vous n'avez donc pas besoin de demander explicitement des tickets pour accéder à ces ordinateurs. (Il est possible que votre configuration SEAM n'inclue pas ce transfert automatique, mais il s'agit du comportement par défaut.) Voir "Aperçu des commandes compatibles Kerberos" et "Transfert de tickets avec les options -f et -F" pour de plus amples renseignements sur le transfert des tickets.

La plupart des commandes compatibles Kerberos détruisent automatiquement vos tickets lorsqu'elles se terminent. Vous pouvez cependant détruire explicitement vos tickets Kerberos au moyen de la commande kdestroy lorsque vous n'en avez plus besoin, à des fins de sécurité. Voir "Comment détruire des tickets" pour de plus amples renseignements sur kdestroy.

Pour des renseignements sur la durée de vie des tickets, voir "Durée de vie des tickets".

Comment créer un ticket

Normalement, un ticket est créé automatiquement lorsque vous vous connectez, et vous n'avez pas besoin d'effectuer une opération spéciale pour en obtenir un. Il peut toutefois s'avérer nécessaire de créer un ticket dans les cas suivants :

• Votre ticket expire.

• Vous devez utiliser un principal différent de votre principal par défaut. (Par exemple, si vous utilisez rlogin -l pour vous connecter à un ordinateur en adoptant une autre identité.)

Pour créer un ticket, utilisez la commande kinit.

% /usr/krb5/bin/kinit 
 

kinit vous demande de taper votre mot de passe. Pour connaître la syntaxe complète de la commande kinit, consultez la page de manuel kinit(1).

Exemple -- Création d'un ticket

Cet exemple illustre comment un utilisateur, julie, crée un ticket sur son propre système.

% kinit
Mot de passe de julie@ENG.ACME.COM:  <Tapez le mot de passe>
 

Ici, l'utilisateur david crée un ticket valable durant trois heures avec l'option -l :

% kinit -l 3h david@ACME.ORG
Mot de passe de david@ACME.ORG:  <Tapez le mot de passe>
 

Cet exemple montre comment david crée un ticket transférable (avec l'option -f) pour lui-même. Avec ce ticket transférable, il peut (par exemple) se connecter à un deuxième système, puis exécuter la commande telnet vers un troisième système.

% kinit -f david@ACME.ORG
Mot de passe de david@ACME.ORG:     <tapez le mot de passe>
 

Pour plus de détails sur le transfert de tickets, voir "Transfert de tickets avec les options -f et -F" et "Types de tickets".

Comment afficher les tickets

Les tickets ne sont pas tous semblables. Par exemple, certains tickets sont transférables, d'autres sont postdatés, ou les deux. Pour savoir quels tickets vous possédez et quels sont leurs attributs, utilisez la commande klist avec l'option -f :

% /usr/krb5/bin/klist -f

Les symboles suivants indiquent les attributs associés à chaque ticket, tels qu'affichés par la commande klist :

"Types de tickets" décrit les divers attributs qu'un ticket peut posséder.

Exemple -- Affichage de tickets

Cet exemple indique que l'utilisateur julie possède un ticket initial, lequel est transférable (F) et postdaté (d), mais pas encore validé (i) :

% /usr/krb5/bin/klist -f
Cache des tickets: /tmp/krb5cc_74287
Principal par défaut: juliem@ENG.ACME.COM

Valide à partir du            Expiration           Principal du service 
09 Mar 99 15:09:51  09 Mar 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM 
        renouveler jusqu'au 10 Mar 99 15:12:51, Indicateurs: Fdi
 

L'exemple ci-dessous montre que l'utilisateur david possède deux tickets qui ont été transférés (f) à son hôte à partir d'un autre hôte. Les tickets sont également (re)transférables (F) :

% klist -f
Cache des tickets: /tmp/krb5cc_74287
Principal par défaut: david@ACME.SUN.COM
Valide à partir du             Expiration             Principal du service
07 Mar 99 06:09:51  09 Mar 99 23:33:51  host/ACME.COM@ACME.COM
        renouveler jusqu'au 10 Mar 99 17:09:51, Indicateurs : fF

Valide à partir du             Expiration             Principal du service
08 Mar 99 08:09:51  09 Mar 99 12:54:51  nfs/ACME.COM@ACME.COM
        renouveler jusqu'au 10 Mar 99 15:22:51, Indicateurs : fF

Comment détruire des tickets

Les tickets sont généralement détruits automatiquement lors de la terminaison des commandes qui les ont créés. Vous pourriez cependant souhaiter détruire explicitement vos tickets Kerberos lorsque vous n'en avez plus besoin, à des fins de sécurité. Les tickets peuvent être volés ; en pareil cas, la personne qui les détient peut les utiliser jusqu'à leur expiration (bien que les tickets volés doivent être déchiffrés).

Pour détruire vos tickets, utilisez la commande kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy détruit tous vos tickets. Vous ne pouvez pas l'utiliser pour détruire sélectivement un ticket particulier.

Si vous n'allez pas utiliser votre système durant un certain temps et ne voulez pas qu'un intrus se serve de vos permissions, vous pouvez employer la commande kdestroy ou un écran de veille qui verrouille l'écran.

Une façon de vous assurer que les tickets sont toujours détruits consiste à ajouter la commande kdestroy dans le fichier .logout situé dans votre répertoire de base.

Si le module d'authentification enfichable a été configuré (le cas par défaut), les tickets sont automatiquement détruits lors de la sortie ; vous n'avez donc pas besoin d'ajouter un appel à kdestroy dans votre fichier .login. Toutefois, si le module d'authentification enfichable n'a pas été configuré, ou si vous ne savez pas s'il l'a été, vous pouvez ajouter kdestroy dans votre fichier .login pour vous assurer que les tickets seront détruits lorsque vous sortirez de votre système.