Manuale di Sun Enterprise Authentication Mechanism

Esempi: Uso di comandi basati su Kerberos

L'esempio seguente illustra il funzionamento delle opzioni dei comandi basati su Kerberos.

Esempio: Uso delle opzioni -a, -f e -x con telnet

In questo esempio, l'utente davide ha già eseguito il login, e vuole eseguire telnet sul sistema milano.spa.it. Egli utilizza l'opzione -f per inoltrare i ticket esistenti, l'opzione -x per cifrare la sessione e l'opzione -a per eseguire il login automaticamente. Poiché non prevede di dover utilizzare i servizi di un terzo host, egli può usare -f invece di -F.


% telnet -a -f -x milano.spa.it 
Connessione con 128.0.0.5... 
Connesso a milano.spa.it. Il carattere di escape è '^]'. 
[ Kerberos V5 accetta l'utente come "davide@euro.spa.it" ] 
[ Kerberos V5 ha accettato le credenziali inoltrate ] 
SunOS 5.7: mar 21 mag 21 00:31:42 MET 1999  Welcome to SunOS 
%

Si noti che il sistema di davide ha usato Kerberos per autenticare l'utente su milano.spa.it, ed ha eseguito il login automaticamente con la sua identità. davide aveva così aperto una sessione cifrata, disponeva di una copia dei suoi ticket già in attesa e non ha mai dovuto inserire la sua password. Se avesse utilizzato una versione non-Kerberos di telnet, avrebbe dovuto inserire la sua password, e questa sarebbe stata inviata attraverso la rete in forma non cifrata -- rischiando di essere carpita da un altro utente.

Se si decide di inoltrare i propri ticket Kerberos, si ricordi che telnet (e gli altri comandi qui descritti) li distruggono all'uscita dal comando.

Esempio: Uso di rlogin con l'opzione -F

In questo esempio, l'utente giovanna esegue il login sul proprio sistema, torino.spa.it. Essa inoltra i suoi ticket esistenti con -F, e cifra la sessione con -x. giovanna sceglie di usare -F invece di -f perché, dopo il login in torino, essa prevede di dover eseguire altre transazioni di rete che richiedano il reinoltro dei ticket. Inoltre, poiché i ticket inoltrati erano già esistenti, giovanna non dovrà inserire la sua password.


% rlogin torino.spa.it -F -x
Questa sessione rlogin utilizza la cifratura DES per tutte le 
trasmissioni di dati.
Ultimo login: lun 19 mag 19 15:19:49 da plutone 
SunOS Release 5.7 (GENERIC) #2 Tue Nov 14 18:09:3 EST 1998 
%

Esempio: Impostazione del livello di protezione in ftp

Si supponga ora che mario voglia usare ftp per richiamare la sua mail dalla directory ~mario/MAIL del sistema milano.spa.it, cifrando la sessione. Lo scambio avverrà in questo modo:


% ftp -f milano.spa.it
Connesso a milano.spa.it
220 milano.spa.org FTP server (Version 6.0) ready.
334 Using authentication type GSSAPI; ADAT must follow
GSSAPI accettato come tipo di autenticazione 
Autenticazione GSSAPI eseguita Nome (plutone.spa.org:mario) 
232 GSSAPI user mario@MELPOMENE.SPA.IT is authorized as mario
230 User mario logged in.
Il sistema remoto è di tipo UNIX.
Verrà usata la modalità BINARY per il trasferimento dei file.
ftp> protect private
200 Protection level set to Private
ftp> cd ~mario/MAIL
250 CWD command successful.
ftp> get RMAIL
227 Entering Passive Mode (128,0,0,5,16,49)
150 Opening BINARY mode data connection for RMAIL (158336 bytes).
226 Transfer complete. 158336 bytes received in 1.9 seconds (1.4e+02 Kbytes/s)
ftp> quit
% 

Per cifrare la sessione, mario imposta il livello di protezione su private.