Capitolo 6 Uso di SEAM

Questo capitolo si rivolge agli utenti che abbiano già installato SEAM sul proprio sistema. Viene spiegato come usare i comandi basati su Kerberos disponibili in SEAM: ftp, rcp, rlogin, rsh e telnet. Prima di leggere le istruzioni di questo capitolo, si dovrebbe già avere una conoscenza di base di questi comandi (nella versione non basata su Kerberos). Le versioni basate su Kerberos e quelle non basate su Kerberos sono essenzialmente uguali, e in molti casi possono essere usate in modo intercambiabile. Le differenze riguardano l'uso delle funzioni che sfruttano le caratteristiche di Kerberos (ad esempio, l'inoltro di un ticket quando si utilizza rlogin).

Poiché questo capitolo si rivolge a tutti i tipi di utenti, esso include informazioni riguardo alle operazioni di acquisizione, visualizzazione e distruzione dei ticket. Contiene inoltre informazioni sulla scelta o sulla modifica delle password per Kerberos.

Per una descrizione generale di SEAM, vedere il Capitolo 1.

In questo capitolo vengono trattati i seguenti argomenti:

• "Quando è richiesta la gestione dei ticket?"

• "Creare un ticket"

• "Visualizzare i ticket"

• "Distruggere i ticket"

• "Modifica della password"

• "Suggerimento per la scelta della password"

• "Concessione dell'accesso al proprio account"

• "Introduzione ai comandi basati su Kerberos"

• "Esempi: Uso di comandi basati su Kerberos"

Gestione dei ticket

In questa sezione viene spiegato come ottenere, visualizzare e distruggere i ticket. Per un'introduzione ai ticket, vedere "Funzionamento di SEAM".

Quando è richiesta la gestione dei ticket?

Quando SEAM è installato, Kerberos è integrato nel comando login, e i ticket si ottengono automaticamente quando si effettua il login. I comandi Kerberos rsh, rcp, telnet e rlogin sono normalmente configurati in modo da inoltrare una copia dei ticket agli altri sistemi, perciò non è necessario richiedere esplicitamente i ticket per accedere a questi sistemi. (Questa è la configurazione predefinita, ma è possibile che la configurazione di SEAM in uso non preveda questo inoltro automatico.) Per maggiori informazioni sull'inoltro dei ticket, vedere "Introduzione ai comandi basati su Kerberos" e "Inoltro dei ticket con -f e -F".

La maggior parte dei comandi basati su Kerberos distrugge automaticamente i ticket all'uscita dal servizio. Tuttavia è possibile, per maggiore sicurezza, distruggere esplicitamente i ticket Kerberos con il comando kdestroy. Per maggiori informazioni su kdestroy, vedere "Distruggere i ticket".

Per informazioni sulla durata dei ticket, vedere "Durata dei ticket".

Creare un ticket

Normalmente, i ticket vengono creati automaticamente quando si esegue il login, e non è necessario compiere operazioni particolari per ottenerli. Può tuttavia essere necessario creare un ticket nei seguenti casi:

• Quando il ticket è scaduto.

• Quando occorre usare un nome principale differente da quello predefinito. (Ad esempio, per usare rlogin -l per accedere a un sistema come altro utente.)

Per creare un ticket, usare il comando kinit.

% /usr/krb5/bin/kinit 
 

kinit richiede di inserire una password. Per informazioni sulla sintassi del comando kinit, vedere la pagina man kinit(1).

Esempio: Creazione di un ticket

In questo esempio, l'utente giovanna crea un ticket sul proprio sistema:

% kinit
Password per giovanna@EURO.SPA.IT:  <inserire la password>
 

In questo esempio, l'utente davide crea un ticket valido per tre ore con l'opzione -l:

% kinit -l 3h davide@SPA.ORG
Password per davide@SPA.ORG:  <inserire la password>
 

In questo esempio, davide crea un ticket inoltrabile (con -f) per se stesso. Con questo ticket, egli potrà (ad esempio) eseguire il login su un secondo sistema e quindi accedere con telnet ad un terzo sistema.

% kinit -f davide@SPA.ORG
Password per davide@SPA.ORG:     <inserire la password>
 

Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F" e "Tipi di ticket".

Visualizzare i ticket

Non tutti i ticket sono uguali. Ad esempio, alcuni ticket sono inoltrabili, altri sono postdatati, altri ancora possono avere entrambe le caratteristiche. Per visualizzare i ticket di cui si dispone, e i relativi attributi, usare il comando klist con l'opzione -f:

% /usr/krb5/bin/klist -f

I seguenti simboli indicano gli attributi associati ai ticket visualizzati con il comando klist:

La sezione "Tipi di ticket" descrive i vari attributi dei ticket.

Esempio: Visualizzazione dei ticket

In questo esempio, l'utente giovanna ha un ticket iniziale che è inoltrabile (F) e postdatato (d) ma non è ancora valido (i):

% /usr/krb5/bin/klist -f
Cache dei ticket: /tmp/krb5cc_74287
Nome principale predefinito: giovannam@EURO.SPA.IT
 
Valido dal          Valido fino al      Nome principale del servizio
09 mar 99 15:09:51  09 mar 99 21:09:51  nfs/EURO.SPA.IT@EURO.SPA.IT
        rinnovo fino al 10 mar 99 15:12:51, Flag: Fdi
 

Nell'esempio seguente, l'utente davide ha due ticket che sono stati inoltrati (f) al suo host da un altro host. I ticket sono anche (re)inoltrabili (F):

% klist -f
Cache dei ticket: /tmp/krb5cc_74287
Nome principale predefinito: davide@EURO.SPA.IT
 
Valido dal          Valido fino al      Nome principale del servizio
07 mar 99 06:09:51  09 mar 99 23:33:51  host/SPA.IT@SPA.IT
        rinnovo fino al 10 mar 99 17:09:51, Flag: fF
 
Valido dal          Valido fino al      Nome principale del servizio
08 mar 99 08:09:51  09 mar 99 12:54:51  nfs/SPA.IT@SPA.IT
        rinnovo fino al 10 mar 99 15:22:51, Flag: fF

Distruggere i ticket

In genere, i ticket vengono distrutti all'uscita dai comandi che li avevano creati; tuttavia, per maggiore sicurezza, è possibile distruggere esplicitamente i ticket Kerberos dopo averli utilizzati. I ticket possono infatti essere rubati e utilizzati impropriamente fino alla loro scadenza (anche se i ticket rubati devono comunque essere decifrati).

Per distruggere i ticket, usare il comando kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy distrugge tutti i ticket. Non è possibile utilizzarlo per distruggere un determinato ticket in modo selettivo.

Se ci si deve allontanare dal proprio sistema e si teme che qualche utente non autorizzato possa usare le proprie autorizzazioni, è consigliabile usare kdestroy o un salvaschermo che blocchi l'accesso al sistema.

Un modo sicuro per distruggere sempre i ticket è quello di aggiungere il comando kdestroy al file .logout nella propria directory iniziale.

Se è stato configurato il modulo PAM (come nella configurazione predefinita), i ticket vengono distrutti automaticamente al logout, perciò non è necessario aggiungere una chiamata a kdestroy nel proprio file .login. Tuttavia, se il modulo PAM non è stato configurato, o se non si è certi della sua configurazione, si potrà aggiungere kdestroy al proprio file .login per avere la certezza che i ticket vengano distrutti all'uscita dal sistema.

Gestione delle password

Dopo l'installazione di SEAM, l'utente possiede due password: la password normale di Solaris e una password per Kerberos. Le due password possono essere uguali o differenti.

I comandi non basati su Kerberos, come login, vengono normalmente configurati mediante il modulo PAM in modo da autenticarsi sia con Kerberos che con UNIX. Se si utilizzano password differenti, è necessario inserirle entrambe per eseguire il login con l'autenticazione appropriata. Se però le due password sono uguali, la prima password inserita per UNIX verrà accettata anche da Kerberos.

Purtroppo, l'uso di una stessa password può compromettere la sicurezza. Infatti, se qualcuno dovesse scoprire la password per Kerberos di un utente, egli scoprirà automaticamente anche la sua password per UNIX. In ogni caso, l'uso della stessa password per UNIX e Kerberos offre sempre una maggiore sicurezza rispetto a un sito senza Kerberos, poiché in ambiente Kerberos le password non vengono trasmesse attraverso la rete. In genere, ogni sito avrà definito una serie di criteri per indirizzare gli utenti nella scelta delle impostazioni.

La password è l'unico modo con cui Kerberos può verificare l'identità dell'utente. Se questa password viene scoperta, la protezione di Kerberos diventa inutile, poiché l'identità dell'utente "derubato" può essere usata da un altro utente (per inviare messaggi, leggere, modificare o eliminare i file o eseguire il login in altri sistemi) senza che nessuno possa scoprirlo. Per questa ragione, è assolutamente essenziale scegliere una buona password e tenerla segreta. Se occorre concedere a un altro utente l'accesso al proprio account, si può concederlo usando Kerberos senza rivelare la propria password (vedere "Concessione dell'accesso al proprio account"). Non rivelare mai la propria password ad altri utenti, neppure all'amministratore di sistema. È inoltre buona norma cambiare la password frequentemente, in particolare ogni volta che si teme che qualcuno possa averla scoperta.

Suggerimento per la scelta della password

Le password possono includere quasi tutti i caratteri (ad eccezione dei tasti di controllo e del tasto Return). Una buona password deve essere facile da ricordare per l'utente, ma difficile da indovinare per tutti gli altri. Si sconsiglia di usare come password:

• Parole che si trovano nel vocabolario

• Nomi comuni o molto diffusi

• Nomi di persone o personaggi famosi

• Il nome dell'utente in qualunque forma (scritto al contrario, ripetuto due volte, ecc.)

• Nomi del coniuge, dei figli o dei propri animali

• La propria data di nascita o quella di un parente

• Il proprio codice fiscale, il numero della patente o del passaporto o altri numeri di identificazione

• Le password di esempio usate in questo o in altri manuali

Una buona password dovrebbe essere formata da almeno otto caratteri, e dovrebbe includere lettere maiuscole e minuscole, numeri e simboli di punteggiatura. Si consiglia ad esempio di utilizzare:

• Acronimi, come "HlmcaSF" (per "Ho lasciato il mio cuore a San Francisco")

• Parole senza senso che siano facili da pronunciare, come "BumpaBum" o "Scuppiripicchio!"

• Parole scritte deliberatamente in modo errato, come "6inponto" o "GrrandeFfrattelllo"

Non usare questi esempi. Le password che compaiono nei manuali sono le prime ad essere provate dagli utenti malintenzionati.

Modifica della password

La password di Kerberos può essere cambiata in due modi:

• Con il normale comando passwd di UNIX. Quando SEAM è installato, il comando passwd di Solaris richiede automaticamente anche una nuova password per Kerberos.

  L'uso di passwd è preferibile all'uso di kpasswd poiché permette di impostare entrambe le password (per UNIX e Kerberos) con una stessa operazione. In genere, tuttavia, non è necessario cambiare entrambe le password con passwd; in molti casi, si può cambiare solo la password di UNIX senza modificare la password di Kerberos o viceversa.

  ---

  Nota -

  Il comportamento di passwd dipende dalla configurazione del modulo PAM. In alcune configurazioni può essere necessario cambiare entrambe le password. Per alcuni siti è necessario cambiare la password di UNIX, mentre altri richiedono la modifica della password di Kerberos.

  ---

• Con il comando kpasswd. kpasswd è molto simile a passwd, ma kpasswd cambia solo le password di Kerberos, mentre per cambiare la password di UNIX è necessario usare passwd.

  Un'altra differenza consiste nel fatto che kpasswd può cambiare una password per un nome principale di Kerberos che non corrisponde a un utente UNIX valido. Ad esempio, davide/admin è un nome principale di Kerberos, ma non è un utente UNIX effettivo, perciò in questo caso è necessario usare kpasswd invece di passwd.

Dopo aver cambiato la password, occorre qualche tempo perché questa modifica venga propagata nell'intero sistema (soprattutto se la rete è molto estesa). A seconda della configurazione del sistema, tale tempo può variare da pochi minuti a un'ora o più. Se occorre acquisire nuovi ticket Kerberos poco dopo la modifica della password, provare prima la nuova password. Se la nuova password non funziona, riprovare usando quella vecchia.

Kerberos V5 permette agli amministratori di sistema di impostare i criteri per le password accettabili per ogni utente. Tali criteri possono essere definiti a livello di utente singolo (o mediante un insieme di criteri predefinito), per maggiori informazioni sui criteri, vedere "Amministrazione dei criteri". Ad esempio, si supponga che i criteri associati a giovanna (denominati crigio) impongano che la password debba avere una lunghezza minima di otto caratteri e debba includere almeno due tipi di caratteri. In questo caso, kpasswd rifiuterà i tentativi di usare una password come "falena":

% kpasswd
kpasswd: Modifica della password per giovanna@EURO.SPA.IT.
Vecchia password:   <giovanna inserisce la sua password corrente>
kpasswd: La password di giovanna@EURO.SPA.IT è controllata dai 
criteri crigio che richiedono almeno 8 caratteri di almeno 2 classi 
(le cinque classi sono lettere minuscole, lettere maiuscole, 
numeri e tutti gli altri caratteri).
Nuova password: <giovanna inserisce 'falena'>
Nuova password (ripetere):  <giovanna reinserisce 'falena'>
kpasswd: La nuova password è troppo corta.
Scegliere una password che contenga almeno 8 caratteri.

A questo punto, giovanna sceglie la password "falena1949". 'falena1949' soddisfa i criteri specificati, poiché ha una lunghezza maggiore di otto lettere e contiene due tipi differenti di caratteri (numeri e lettere minuscole):

% kpasswd
kpasswd: Modifica della password per giovanna@EURO.SPA.IT.
Vecchia password:  <giovanna inserisce la sua password corrente>
kpasswd: La password di giovanna@EURO.SPA.IT è controllata dai 
criteri crigio che richiedono almeno 8 caratteri di almeno 2 classi 
(le cinque classi sono lettere minuscole, lettere maiuscole, 
numeri e tutti gli altri caratteri).
Nuova password:  <giovanna inserisce 'falena1949'>
Nuova password (ripetere):  <giovanna reinserisce 'falena1949'>
Password per Kerberos modificata.

Esempi: Modifica della password

Nell'esempio seguente, davide modifica sia la sua password UNIX che la sua password Kerberos con passwd.

% passwd
	passwd:  Changing password for davide
	Enter login (NIS+) password:         <inserire la password UNIX corrente>
	New password:                        <inserire la nuova password UNIX>
	Re-enter password:                   <confermare la nuova password UNIX>
	Old KRB5 password:                   <inserire la password Kerberos corrente>
	New KRB5 password:                   <inserire la nuova password Kerberos>
	Re-enter new KRB5 password:          <confermare la nuova password Kerberos>
 

Nell'esempio precedente, passwd chiede di inserire sia la password UNIX che la password Kerberos; tuttavia, se nel modulo PAM è abilitata l'opzione try_first_pass, la password Kerberos verrà impostata in modo automatico come uguale alla password UNIX. (Questa è la configurazione predefinita.) In questo caso, davide dovrà usare kpasswd per impostare una stringa diversa come password Kerberos, come mostrato nell'esempio seguente.

In questo esempio, davide cambia solo la sua password Kerberos con kpasswd:

% kpasswd
kpasswd: Modifica della password per davide@EURO.SPA.IT.
Vecchia password:           <inserire la password Kerberos corrente>
Nuova password:           <inserire la nuova password Kerberos>
Nuova password (ripetere):   <confermare la nuova password Kerberos>
Password per Kerberos modificata.
 

In questo esempio, davide cambia la password per il nome principale Kerberos davide/admin (che non è un utente UNIX valido). A questo scopo, egli deve utilizzare kpasswd.

% kpasswd davide/admin
kpasswd:  Modifica della password per davide/admin.
Vecchia password:		   	     <inserire la password Kerberos corrente>
Nuova password:			       <inserire la nuova password Kerberos>
Nuova password (ripetere):	   <confermare la nuova password Kerberos>
Password per Kerberos modificata. 
 

Concessione dell'accesso al proprio account

Con Kerberos, è possibile concedere a un altro utente l'accesso al proprio account (con la relativa identità), senza bisogno di rivelare la password, collocando un file .k5login nella propria directory iniziale. Il file .k5login contiene un elenco di uno o più nomi principali Kerberos corrispondenti alle persone a cui si desidera concedere l'accesso al proprio account. (Ogni nome principale deve trovarsi su una riga diversa.)

Si supponga che l'utente davide abbia un file .k5login nella propria directory iniziale con il seguente contenuto:

giovanna@EURO.SPA.IT
mario@SPA.ORG  

Questo file permette agli utenti giovanna e mario di assumere l'identità di davide, purché abbiano già i ticket Kerberos necessari nei rispettivi settori. Ad esempio, giovanna può eseguire rlogin sul sistema di davide (torino), con l'identità di davide, senza dover inserire la sua password:

Figura 6-1 Uso del file .k5login

(Se la directory iniziale di davide fosse attivata via NFS, con i protocolli Kerberos V5, da un altro (terzo) sistema, giovanna, per poter accedere alla sua directory iniziale, dovrebbe avere un ticket inoltrabile. Per un esempio dell'uso dei ticket inoltrabili, vedere "Creare un ticket".)

Se si prevede di dover eseguire il login in altri sistemi attraverso la rete, può essere comodo includere il proprio nome principale Kerberos nei file .k5login di questi sistemi.

L'uso di un file .k5login è molto più sicuro della rivelazione della propria password, in quanto:

• L'accesso può essere revocato in qualunque momento rimuovendo i nomi principali degli altri utenti dal proprio file .k5login.

• Anche se gli utenti nominati nel file .k5login della directory iniziale di un utente hanno pieno accesso all'account di quell'utente sul sistema (o su più sistemi, se il file .k5login è condiviso, ad esempio tramite NFS), essi non ereditano i suoi privilegi di rete: i servizi basati su Kerberos autorizzano infatti l'accesso in base all'identità dell'utente richiedente, non in base a quella dell'utente che concede l'accesso. Questo significa che giovanna potrà eseguire il login nel sistema di mario ed eseguire operazioni su quel sistema, ma, se userà un programma basato su Kerberos come ftp o rlogin, dovrà farlo come se stessa.

• Kerberos registra in un log gli utenti che ricevono i ticket, perciò l'amministratore di sistema potrà scoprire. all'occorrenza, chi possa usare l'identità di un certo utente in un dato momento.

Un modo comune di usare il file .k5login è quello di collocarlo nella directory iniziale di root, assegnando l'accesso root per il sistema ai nomi principali Kerberos elencati. Questo permette agli amministratori di sistema di diventare root localmente, o di eseguire un login remoto come root senza dover rivelare la password di root, e senza che nessuno debba digitare la password di root attraverso la rete.

Esempi: Uso del file .k5login

Si supponga che giovanna decida di eseguire il login nel sistema torino.spa.it come root. Avendo una voce per il suo nome principale nel file .k5login della directory iniziale di root su torino.spa.it, essa non avrà bisogno di digitare la sua password:

% rlogin torino.spa.it -l root -x
Questa sessione rlogin utilizza la cifratura DES per tutte le 
trasmissioni di dati.  
Ultimo login: gio 20 giu 16:20:50 da plutone  
SunOS Release 5.7 (GENERIC) #2: Tue Nov 14 18:09:31 EST 1998  
torino[root]% 

Comandi di SEAM

Kerberos V5 è un sistema ad autenticazione singola. Questo significa che è sufficiente inserire la propria password una sola volta perché i programmi Kerberos V5 effettuino automaticamente le operazioni di autenticazione (ed eventualmente di cifratura); Kerberos è infatti integrato in tutti i programmi di rete più diffusi. Le applicazioni Kerberos V5 sono versioni di programmi di rete UNIX preesistenti a cui sono state aggiunte le funzioni di Kerberos.

Ad esempio, quando un utente utilizza un programma basato su Kerberos per connettersi a un host remoto, il programma, il KDC e l'host remoto eseguono una serie di negoziazioni rapide. Se queste negoziazioni vengono completate, significa che il programma ha dimostrato l'identità dell'utente all'host remoto, e quest'ultimo gli ha concesso l'accesso.

Si noti che i comandi basati su Kerberos provano prima ad eseguire l'autenticazione con Kerberos. Se l'autenticazione Kerberos non riesce, viene generato un errore o viene provata l'autenticazione UNIX, a seconda delle opzioni specificate con il comando. Per informazioni più dettagliate, vedere la sezione Kerberos Security nelle pagine man per i comandi Kerberos.

Introduzione ai comandi basati su Kerberos

I servizi di rete basati su Kerberos sono i programmi che si collegano ad altri sistemi su Internet. Questi programmi si trovano in /usr/krb5/bin; impostare la variabile PATH in modo che questi programmi precedano le versioni non basate su Kerberos:

• ftp

• rcp

• rlogin

• rsh

• telnet

Questi programmi offrono tutte le funzioni originali delle versioni corrispondenti non basate su Kerberos. Dispongono anche di funzioni aggiuntive che utilizzano in modo trasparente i ticket Kerberos degli utenti per negoziare l'autenticazione (ed eventualmente la cifratura) con l'host remoto. Nella maggior parte dei casi, l'utente noterà solo che non dovrà più digitare la password per utilizzarli, poiché Kerberos dimostrerà per suo conto la sua identità.

I programmi di rete Kerberos V5 offrono la possibilità di:

• Inoltrare i propri ticket a un altro host (se i ticket acquisiti inizialmente erano inoltrabili)

• Cifrare i dati trasmessi tra il proprio sistema e l'host remoto

In questa sezione, si presume che l'utente abbia già una buona conoscenza delle versioni non basate su Kerberos di questi programmi, e verranno descritte solo le funzionalità aggiunte dal package Kerberos V5. Per informazioni dettagliate dei comandi qui descritti, vedere le relative pagine man.

Qui di seguito sono elencate le opzioni Kerberos aggiunte a ftp, rcp, rlogin, rsh e telnet:

-a

Prova ad eseguire un login automatico usando i ticket esistenti dell'utente. Utilizza il nome utente restituito da getlogin(), a meno che questo sia differente dall'ID utente corrente. (Per maggiori dettagli, vedere la pagina man telnet(1).)

-f

Inoltra un ticket non-reinoltrabile a un host remoto. Questa opzione non può essere usata insieme all'opzione -F (vedere sotto) nello stesso comando.

L'inoltro di un ticket può essere utile se si ritiene di doversi autenticare per altri servizi basati su Kerberos su un terzo host; ad esempio, se si desidera eseguire un rlogin su un altro sistema e quindi un altro rlogin da qui su un terzo sistema.

L'uso dei ticket inoltrabili è necessario quando la propria directory iniziale sull'host remoto è attivata via NFS mediante Kerberos V5; diversamente, non sarà possibile accedere alla propria directory iniziale. (Ad esempio, si supponga che un utente esegua il login inizialmente su Sistema 1. Da Sistema 1, egli esegue rlogin nel proprio sistema iniziale, Sistema 2, che attiva la sua directory iniziale da Sistema 3. Senza utilizzare l'opzione -f o -F con rlogin, l'utente non potrà accedere alla sua directory iniziale, perché il suo ticket non potrà essere inoltrato a Sistema 3.)

Nella configurazione predefinita, kinit ottiene TGT inoltrabili; è possibile però che la propria configurazione SEAM sia impostata diversamente.

Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F".

-F

Inoltra una copia reinoltrabile del TGT dell'utente a un sistema remoto. Questa opzione è simile a -f (vedere sopra), ma permette di accedere a un ulteriore (quarto o quinto) sistema. L'opzione -F può perciò essere considerata un sovrainsieme dell'opzione -f. L'opzione -F non può essere usata insieme all'opzione -f nello stesso comando.

Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F".

-k settore

Richiede i ticket per l'host remoto nel settore specificato, anziché determinare il settore direttamente usando il file krb5.conf.

-K

Usa i ticket dell'utente per autenticarlo presso l'host remoto, ma non esegue automaticamente il login.

-m meccanismo

Specifica il meccanismo di sicurezza GSS-API da utilizzare, in base al contenuto del file /etc/gss/mech. Il meccanismo predefinito è kerberos_v5.

-x

Cifra la sessione corrente.

-X tipo_autenticazione

Disabilita il tipo di autenticazione specificato con tipo_autenticazione.

La Tabella 6-1 indica quali comandi hanno le opzioni specificate (una "X" indica che il comando dispone dell'opzione).

Oltre a questo, ftp permette di impostare il livello di protezione per le sessioni:

clear

Imposta il livello di protezione "clear" (nessuna protezione). È l'impostazione predefinita.

private

Imposta il livello di protezione "private". La trasmissione dei dati viene protetta a livello di riservatezza e integrità mediante la cifratura. È possibile, tuttavia, che il servizio di riservatezza non sia disponibile per tutti gli utenti di SEAM.

safe

Imposta il livello di protezione "safe". La trasmissione dei dati viene protetta a livello di integrità mediante un checksum crittografico.

È anche possibile impostare il livello di protezione dal prompt ftp specificando protect seguito da uno dei livelli di protezione sopra descritti (clear, private o safe).

Inoltro dei ticket con -f e -F

Come descritto in "Introduzione ai comandi basati su Kerberos", alcuni comandi permettono di inoltrare i ticket con l'opzione -f o -F. L'inoltro dei ticket permette di "concatenare" le transazioni di rete; è possibile, ad esempio, eseguire rlogin in un sistema e quindi un altro rlogin da questo sistema ad un terzo. L'opzione -f permette di inoltrare un ticket, mentre l'opzione -F permette di reinoltrare un ticket inoltrato.

Nella Figura 6-2, l'utente davide ottiene un TGT non inoltrabile con kinit. (Il ticket non è inoltrabile perché non è stata specificata l'opzione -f.) Nello scenario 1, egli può eseguire rlogin sul sistema B, ma non può andare oltre. Nello scenario 2, il comando rlogin -f non riesce perché egli cerca di inoltrare un ticket non-inoltrabile.

Figura 6-2 Uso di ticket non-inoltrabili

(In realtà, nella configurazione predefinita, i file di configurazione di SEAM sono impostati in modo che kinit ottenga ticket inoltrabili. È però possibile che la configurazione utilizzata sia differente. Per ragioni di chiarezza, in questo esempio si presume che kinit non ottenga TGT inoltrabili a meno che non venga utilizzato il comando kinit -f. Si noti, a questo riguardo, che kinit non dispone di un'opzione -F; i TGT possono essere inoltrabili o non-inoltrabili.)

Nella Figura 6-3, davide ottiene TGT inoltrabili con kinit -f. Nello scenario 3, egli può raggiungere il sistema C poiché utilizza un ticket inoltrabile con rlogin. Nello scenario 4, il secondo rlogin non riesce perché il ticket non è reinoltrabile. Usando invece l'opzione -F, come nello scenario 5, il secondo rlogin riesce e il ticket può essere reinoltrato al sistema D.

Figura 6-3 Uso dei ticket inoltrabili

Esempi: Uso di comandi basati su Kerberos

L'esempio seguente illustra il funzionamento delle opzioni dei comandi basati su Kerberos.

Esempio: Uso delle opzioni -a, -f e -x con telnet

In questo esempio, l'utente davide ha già eseguito il login, e vuole eseguire telnet sul sistema milano.spa.it. Egli utilizza l'opzione -f per inoltrare i ticket esistenti, l'opzione -x per cifrare la sessione e l'opzione -a per eseguire il login automaticamente. Poiché non prevede di dover utilizzare i servizi di un terzo host, egli può usare -f invece di -F.

% telnet -a -f -x milano.spa.it 
Connessione con 128.0.0.5... 
Connesso a milano.spa.it. Il carattere di escape è '^]'. 
[ Kerberos V5 accetta l'utente come "davide@euro.spa.it" ] 
[ Kerberos V5 ha accettato le credenziali inoltrate ] 
SunOS 5.7: mar 21 mag 21 00:31:42 MET 1999  Welcome to SunOS 
%

Si noti che il sistema di davide ha usato Kerberos per autenticare l'utente su milano.spa.it, ed ha eseguito il login automaticamente con la sua identità. davide aveva così aperto una sessione cifrata, disponeva di una copia dei suoi ticket già in attesa e non ha mai dovuto inserire la sua password. Se avesse utilizzato una versione non-Kerberos di telnet, avrebbe dovuto inserire la sua password, e questa sarebbe stata inviata attraverso la rete in forma non cifrata -- rischiando di essere carpita da un altro utente.

Se si decide di inoltrare i propri ticket Kerberos, si ricordi che telnet (e gli altri comandi qui descritti) li distruggono all'uscita dal comando.

Esempio: Uso di rlogin con l'opzione -F

In questo esempio, l'utente giovanna esegue il login sul proprio sistema, torino.spa.it. Essa inoltra i suoi ticket esistenti con -F, e cifra la sessione con -x. giovanna sceglie di usare -F invece di -f perché, dopo il login in torino, essa prevede di dover eseguire altre transazioni di rete che richiedano il reinoltro dei ticket. Inoltre, poiché i ticket inoltrati erano già esistenti, giovanna non dovrà inserire la sua password.

% rlogin torino.spa.it -F -x
Questa sessione rlogin utilizza la cifratura DES per tutte le 
trasmissioni di dati.
Ultimo login: lun 19 mag 19 15:19:49 da plutone 
SunOS Release 5.7 (GENERIC) #2 Tue Nov 14 18:09:3 EST 1998 
%

Esempio: Impostazione del livello di protezione in ftp

Si supponga ora che mario voglia usare ftp per richiamare la sua mail dalla directory ~mario/MAIL del sistema milano.spa.it, cifrando la sessione. Lo scambio avverrà in questo modo:

% ftp -f milano.spa.it
Connesso a milano.spa.it
220 milano.spa.org FTP server (Version 6.0) ready.
334 Using authentication type GSSAPI; ADAT must follow
GSSAPI accettato come tipo di autenticazione 
Autenticazione GSSAPI eseguita Nome (plutone.spa.org:mario) 
232 GSSAPI user mario@MELPOMENE.SPA.IT is authorized as mario
230 User mario logged in.
Il sistema remoto è di tipo UNIX.
Verrà usata la modalità BINARY per il trasferimento dei file.
ftp> protect private
200 Protection level set to Private
ftp> cd ~mario/MAIL
250 CWD command successful.
ftp> get RMAIL
227 Entering Passive Mode (128,0,0,5,16,49)
150 Opening BINARY mode data connection for RMAIL (158336 bytes).
226 Transfer complete. 158336 bytes received in 1.9 seconds (1.4e+02 Kbytes/s)
ftp> quit
% 

Per cifrare la sessione, mario imposta il livello di protezione su private.