Introduzione ai comandi basati su Kerberos
I servizi di rete basati su Kerberos sono i programmi che si collegano ad altri sistemi su Internet. Questi programmi si trovano in /usr/krb5/bin; impostare la variabile PATH in modo che questi programmi precedano le versioni non basate su Kerberos:
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Questi programmi offrono tutte le funzioni originali delle versioni corrispondenti non basate su Kerberos. Dispongono anche di funzioni aggiuntive che utilizzano in modo trasparente i ticket Kerberos degli utenti per negoziare l'autenticazione (ed eventualmente la cifratura) con l'host remoto. Nella maggior parte dei casi, l'utente noterà solo che non dovrà più digitare la password per utilizzarli, poiché Kerberos dimostrerà per suo conto la sua identità.
I programmi di rete Kerberos V5 offrono la possibilità di:
-
Inoltrare i propri ticket a un altro host (se i ticket acquisiti inizialmente erano inoltrabili)
-
Cifrare i dati trasmessi tra il proprio sistema e l'host remoto
Nota -
In questa sezione, si presume che l'utente abbia già una buona conoscenza delle versioni non basate su Kerberos di questi programmi, e verranno descritte solo le funzionalità aggiunte dal package Kerberos V5. Per informazioni dettagliate dei comandi qui descritti, vedere le relative pagine man.
Qui di seguito sono elencate le opzioni Kerberos aggiunte a ftp, rcp, rlogin, rsh e telnet:
- -a
-
Prova ad eseguire un login automatico usando i ticket esistenti dell'utente. Utilizza il nome utente restituito da getlogin(), a meno che questo sia differente dall'ID utente corrente. (Per maggiori dettagli, vedere la pagina man telnet(1).)
- -f
-
Inoltra un ticket non-reinoltrabile a un host remoto. Questa opzione non può essere usata insieme all'opzione -F (vedere sotto) nello stesso comando.
L'inoltro di un ticket può essere utile se si ritiene di doversi autenticare per altri servizi basati su Kerberos su un terzo host; ad esempio, se si desidera eseguire un rlogin su un altro sistema e quindi un altro rlogin da qui su un terzo sistema.
L'uso dei ticket inoltrabili è necessario quando la propria directory iniziale sull'host remoto è attivata via NFS mediante Kerberos V5; diversamente, non sarà possibile accedere alla propria directory iniziale. (Ad esempio, si supponga che un utente esegua il login inizialmente su Sistema 1. Da Sistema 1, egli esegue rlogin nel proprio sistema iniziale, Sistema 2, che attiva la sua directory iniziale da Sistema 3. Senza utilizzare l'opzione -f o -F con rlogin, l'utente non potrà accedere alla sua directory iniziale, perché il suo ticket non potrà essere inoltrato a Sistema 3.)
Nella configurazione predefinita, kinit ottiene TGT inoltrabili; è possibile però che la propria configurazione SEAM sia impostata diversamente.
Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F".
- -F
-
Inoltra una copia reinoltrabile del TGT dell'utente a un sistema remoto. Questa opzione è simile a -f (vedere sopra), ma permette di accedere a un ulteriore (quarto o quinto) sistema. L'opzione -F può perciò essere considerata un sovrainsieme dell'opzione -f. L'opzione -F non può essere usata insieme all'opzione -f nello stesso comando.
Per maggiori informazioni sull'inoltro dei ticket, vedere "Inoltro dei ticket con -f e -F".
- -k settore
-
Richiede i ticket per l'host remoto nel settore specificato, anziché determinare il settore direttamente usando il file krb5.conf.
- -K
-
Usa i ticket dell'utente per autenticarlo presso l'host remoto, ma non esegue automaticamente il login.
- -m meccanismo
-
Specifica il meccanismo di sicurezza GSS-API da utilizzare, in base al contenuto del file /etc/gss/mech. Il meccanismo predefinito è kerberos_v5.
- -x
-
Cifra la sessione corrente.
- -X tipo_autenticazione
-
Disabilita il tipo di autenticazione specificato con tipo_autenticazione.
La Tabella 6-1 indica quali comandi hanno le opzioni specificate (una "X" indica che il comando dispone dell'opzione).
Tabella 6-1 Opzioni Kerberos per i comandi di rete|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
-a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
-X |
|
|
|
|
X |
Oltre a questo, ftp permette di impostare il livello di protezione per le sessioni:
- clear
-
Imposta il livello di protezione "clear" (nessuna protezione). È l'impostazione predefinita.
- private
-
Imposta il livello di protezione "private". La trasmissione dei dati viene protetta a livello di riservatezza e integrità mediante la cifratura. È possibile, tuttavia, che il servizio di riservatezza non sia disponibile per tutti gli utenti di SEAM.
- safe
-
Imposta il livello di protezione "safe". La trasmissione dei dati viene protetta a livello di integrità mediante un checksum crittografico.
È anche possibile impostare il livello di protezione dal prompt ftp specificando protect seguito da uno dei livelli di protezione sopra descritti (clear, private o safe).
- © 2010, Oracle Corporation and/or its affiliates