Inoltro dei ticket con -f e -F

Come descritto in "Introduzione ai comandi basati su Kerberos", alcuni comandi permettono di inoltrare i ticket con l'opzione -f o -F. L'inoltro dei ticket permette di "concatenare" le transazioni di rete; è possibile, ad esempio, eseguire rlogin in un sistema e quindi un altro rlogin da questo sistema ad un terzo. L'opzione -f permette di inoltrare un ticket, mentre l'opzione -F permette di reinoltrare un ticket inoltrato.

Nella Figura 6-2, l'utente davide ottiene un TGT non inoltrabile con kinit. (Il ticket non è inoltrabile perché non è stata specificata l'opzione -f.) Nello scenario 1, egli può eseguire rlogin sul sistema B, ma non può andare oltre. Nello scenario 2, il comando rlogin -f non riesce perché egli cerca di inoltrare un ticket non-inoltrabile.

Figura 6-2 Uso di ticket non-inoltrabili

(In realtà, nella configurazione predefinita, i file di configurazione di SEAM sono impostati in modo che kinit ottenga ticket inoltrabili. È però possibile che la configurazione utilizzata sia differente. Per ragioni di chiarezza, in questo esempio si presume che kinit non ottenga TGT inoltrabili a meno che non venga utilizzato il comando kinit -f. Si noti, a questo riguardo, che kinit non dispone di un'opzione -F; i TGT possono essere inoltrabili o non-inoltrabili.)

Nella Figura 6-3, davide ottiene TGT inoltrabili con kinit -f. Nello scenario 3, egli può raggiungere il sistema C poiché utilizza un ticket inoltrabile con rlogin. Nello scenario 4, il secondo rlogin non riesce perché il ticket non è reinoltrabile. Usando invece l'opzione -F, come nello scenario 5, il secondo rlogin riesce e il ticket può essere reinoltrato al sistema D.

Figura 6-3 Uso dei ticket inoltrabili