Gestione dei ticket
In questa sezione viene spiegato come ottenere, visualizzare e distruggere i ticket. Per un'introduzione ai ticket, vedere "Funzionamento di SEAM".
Quando è richiesta la gestione dei ticket?
Quando SEAM è installato, Kerberos è integrato nel comando login, e i ticket si ottengono automaticamente quando si effettua il login. I comandi Kerberos rsh, rcp, telnet e rlogin sono normalmente configurati in modo da inoltrare una copia dei ticket agli altri sistemi, perciò non è necessario richiedere esplicitamente i ticket per accedere a questi sistemi. (Questa è la configurazione predefinita, ma è possibile che la configurazione di SEAM in uso non preveda questo inoltro automatico.) Per maggiori informazioni sull'inoltro dei ticket, vedere "Introduzione ai comandi basati su Kerberos" e "Inoltro dei ticket con -f e -F".
La maggior parte dei comandi basati su Kerberos distrugge automaticamente i ticket all'uscita dal servizio. Tuttavia è possibile, per maggiore sicurezza, distruggere esplicitamente i ticket Kerberos con il comando kdestroy. Per maggiori informazioni su kdestroy, vedere "Distruggere i ticket".
Per informazioni sulla durata dei ticket, vedere "Durata dei ticket".
Creare un ticket
Normalmente, i ticket vengono creati automaticamente quando si esegue il login, e non è necessario compiere operazioni particolari per ottenerli. Può tuttavia essere necessario creare un ticket nei seguenti casi:
-
Quando il ticket è scaduto.
-
Quando occorre usare un nome principale differente da quello predefinito. (Ad esempio, per usare rlogin -l per accedere a un sistema come altro utente.)
Per creare un ticket, usare il comando kinit.
% /usr/krb5/bin/kinit |
kinit richiede di inserire una password. Per informazioni sulla sintassi del comando kinit, vedere la pagina man kinit(1).
Esempio: Creazione di un ticket
In questo esempio, l'utente giovanna crea un ticket sul proprio sistema:
% kinit Password per giovanna@EURO.SPA.IT: <inserire la password> |
In questo esempio, l'utente davide crea un ticket valido per tre ore con l'opzione -l:
% kinit -l 3h davide@SPA.ORG Password per davide@SPA.ORG: <inserire la password> |
In questo esempio, davide crea un ticket inoltrabile (con -f) per se stesso. Con questo ticket, egli potrà (ad esempio) eseguire il login su un secondo sistema e quindi accedere con telnet ad un terzo sistema.
% kinit -f davide@SPA.ORG Password per davide@SPA.ORG: <inserire la password> |
Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F" e "Tipi di ticket".
Visualizzare i ticket
Non tutti i ticket sono uguali. Ad esempio, alcuni ticket sono inoltrabili, altri sono postdatati, altri ancora possono avere entrambe le caratteristiche. Per visualizzare i ticket di cui si dispone, e i relativi attributi, usare il comando klist con l'opzione -f:
% /usr/krb5/bin/klist -f |
I seguenti simboli indicano gli attributi associati ai ticket visualizzati con il comando klist:
|
F |
Inoltrabile |
|
f |
Inoltrato |
|
P |
Delegabile |
|
p |
Proxy |
|
D |
Postdatabile |
|
d |
Postdatato |
|
R |
Rinnovabile |
|
I |
Iniziale |
|
i |
Non valido |
La sezione "Tipi di ticket" descrive i vari attributi dei ticket.
Esempio: Visualizzazione dei ticket
In questo esempio, l'utente giovanna ha un ticket iniziale che è inoltrabile (F) e postdatato (d) ma non è ancora valido (i):
% /usr/krb5/bin/klist -f
Cache dei ticket: /tmp/krb5cc_74287
Nome principale predefinito: giovannam@EURO.SPA.IT
Valido dal Valido fino al Nome principale del servizio
09 mar 99 15:09:51 09 mar 99 21:09:51 nfs/EURO.SPA.IT@EURO.SPA.IT
rinnovo fino al 10 mar 99 15:12:51, Flag: Fdi
|
Nell'esempio seguente, l'utente davide ha due ticket che sono stati inoltrati (f) al suo host da un altro host. I ticket sono anche (re)inoltrabili (F):
% klist -f
Cache dei ticket: /tmp/krb5cc_74287
Nome principale predefinito: davide@EURO.SPA.IT
Valido dal Valido fino al Nome principale del servizio
07 mar 99 06:09:51 09 mar 99 23:33:51 host/SPA.IT@SPA.IT
rinnovo fino al 10 mar 99 17:09:51, Flag: fF
Valido dal Valido fino al Nome principale del servizio
08 mar 99 08:09:51 09 mar 99 12:54:51 nfs/SPA.IT@SPA.IT
rinnovo fino al 10 mar 99 15:22:51, Flag: fF
|
Distruggere i ticket
In genere, i ticket vengono distrutti all'uscita dai comandi che li avevano creati; tuttavia, per maggiore sicurezza, è possibile distruggere esplicitamente i ticket Kerberos dopo averli utilizzati. I ticket possono infatti essere rubati e utilizzati impropriamente fino alla loro scadenza (anche se i ticket rubati devono comunque essere decifrati).
Per distruggere i ticket, usare il comando kdestroy.
% /usr/krb5/bin/kdestroy |
kdestroy distrugge tutti i ticket. Non è possibile utilizzarlo per distruggere un determinato ticket in modo selettivo.
Se ci si deve allontanare dal proprio sistema e si teme che qualche utente non autorizzato possa usare le proprie autorizzazioni, è consigliabile usare kdestroy o un salvaschermo che blocchi l'accesso al sistema.
Nota -
Un modo sicuro per distruggere sempre i ticket è quello di aggiungere il comando kdestroy al file .logout nella propria directory iniziale.
Se è stato configurato il modulo PAM (come nella configurazione predefinita), i ticket vengono distrutti automaticamente al logout, perciò non è necessario aggiungere una chiamata a kdestroy nel proprio file .login. Tuttavia, se il modulo PAM non è stato configurato, o se non si è certi della sua configurazione, si potrà aggiungere kdestroy al proprio file .login per avere la certezza che i ticket vengano distrutti all'uscita dal sistema.
- © 2010, Oracle Corporation and/or its affiliates