Handbok för Sun Enterprise Authentication Mechanism

Biljetthantering

I det här avsnittet beskrivs hur man hämtar, visar och förstör biljetter. En introduktion till biljetter finns i "Så fungerar SEAM".

Behöver du bry dig om biljetter?

Med SEAM installerat finns Kerberos inbyggt i kommandot login vilket innebär att du får biljetter automatiskt när du loggar in. Kerberos-versionen av kommandona rsh, rcp, telnet och rlogin är normalt inställda till att vidarebefordra kopior av dina biljetter till övriga maskiner så att du inte behöver be om ytterligare biljetter för att få tillgång till dessa maskiner. (Det kan tänkas att automatisk vidarebefordran inte ingår i din SEAM-konfiguration, men det ingår i standardkonfigurationen.) Mer information om vidarebefordran av biljetter finns i "Översikt över Kerberos-anpassade kommandon".

De flesta Kerberos-anpassade kommandon förstör dina biljetter automatiskt när de avslutas. Du kan också, för säkerhets skull, förstöra dina Kerberos-biljetter explicit med kommandot kdestroy när du är färdig med dem. Mer information om kommandot kdestroy finns i "Så här förstör du biljetter".

Mer information om biljetters giltighetstid finns i "Giltighetstid för biljetter".

Så här skapar du en biljett

Normalt skapas en biljett automatiskt när du loggar in och du behöver inte göra något särskilt för att hämta den. Du kan däremot behöva skapa en biljett i följande fall:

Biljettens giltighetstid går ut.
Du måste använda en principal skild från standardprincipalen. (Om du till exempel loggar in på en maskin som någon annan med kommandot rlogin -l.)

Använd kommandot kinit för att skapa en biljett.

% /usr/krb5/bin/kinit

Du kommer att uppmanas att ange ditt lösenord för att få använda kinit. En fullständig syntaxbeskrivning för kommandot kinit finns i direkthjälpsavsnittet kinit(1).

Exempel - Skapa en biljett

Här är ett exempel på hur användaren karin skapar en biljett på sitt eget system:

% kinit
Lösenord för karin@ENG.ACME.COM:  <ange lösenord>

Här skapar användaren david en biljett som gäller i tre timmar genom att använda alternativet -l:

% kinit -l 3h david@ACME.ORG
Lösenord för david@ACME.ORG:  <ange lösenord>

Här är ett exempel på hur david skapar en vidarebefordringsbar biljett (med -f) åt sig själv. Med denna vidarebefordringsbara biljett kan han till exempel logga in på ett andra system för att sedan utföra telnet till ett tredje system.

% kinit -l 3h david@ACME.ORG
Lösenord för david@ACME.ORG:     <ange lösenord>

Mer information om vidarebefordran av biljetter finns i "Vidarebefordra biljetter med -f och -F" och i "Biljettyper".

Så här visar du biljetter

Det finns flera olika sorters biljetter. En biljett kan till exempel vara vidarebefordringsbar , en annan efterdateradmedan en tredje kan vara både och. Du kan se vilka biljetter du har samt deras attribut genom att använda kommandot klist med alternativet -f:

% /usr/krb5/bin/klist -f

Följande symboler anger de attribut som är associerade med varje biljett såsom de visas med kommandot klist:

F	Vidarebefordringsbar
f	Vidarebefordrad
P	Proxybiljett
p	Proxy
D	Efterdateringsbar
d	Efterdaterad
R	Förnyelsebar
I	Ursprunglig
i	Ogiltigt

"Biljettyper" beskriver vilka olika attribut en biljett kan ha.

Exempel - Visa biljetter

I det här exemplet visas hur användaren karin har en ursprunglig biljett som är vidarebefordringsbar (F) och efterdaterad (d) men inte verifierad än (i):

% /usr/krb5/bin/klist -f
Biljettcache: /tmp/krb5cc_74287
Standardprincipal: karinm@ENG.ACME.COM
 
Giltig fr o m                 Upphör att gälla                 Tjänstprincipal
9 mar 99 15:09:51   9 mar 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM
        förnyas senast 10 mar 99 15:12:51, Flaggor: Fdi

I exemplet nedan visas hur användaren david har två biljetter som har vidarebefordrats (f) till den här värden från en annan värd. Biljetterna är alltså vidarebefordringsbara (F):

% klist -f
Biljettcache: /tmp/krb5cc_74287
Standardprincipal: david@ACME.SUN.COM
 
Giltig fr o m                 Upphör att gälla                 Tjänstprincipal
7 mar 99 06:09:51   9 mar 99 23:33:51  nfs/ACME.SUN.COM@ACME.SUN.COM
        förnyas senast 10 mar 99 17:09:51, Flaggor: fF
 
Giltig fr o m                 Upphör att gälla                 Tjänstprincipal
8 mar 99 08:09:51   9 mar 99 12:54:51  nfs/ACME.COM@ACME.COM
        förnyas senast 10 mar 99 15:22:51, Flaggor: fF

Så här förstör du biljetter

Biljetter förstörs i allmänhet automatiskt när de kommandon som skapat dem avslutas. Det kan dock tänkas att du vill förstöra dina Kerberos-biljetter explicit när du är klar med dem för att vara på den säkra sidan. Det går att stjäla biljetter och om det skulle inträffa kan den person som har dem använda dem tills de upphör att gälla (stulna biljetter måste dock avkrypteras).

Du kan förstöra dina biljetter med kommandot kinit.

%  usr/krb5/bin/kdestroy

kdestroy förstör alla dina biljetter. Du kan inte använda detta kommando för att endast förstöra en utvald biljett.

Om du kommer att lämna systemet utan tillsyn och vill undvika att någon annan utnyttjar din behörighet bör du använda antingen kdestroy eller en skärmsläckare som låser skärmen.

Obs!

Ett sätt att vara säker på att biljetter alltid förstörs är att lägga till kommandot kdestroy i filen .logout i din hemkatalog.

Om PAM-modulen har konfigurerats (vilket är det normala fallet) förstörs biljetter automatiskt vid utloggning varför det inte är nödvändigt att lägga till något anrop till kdestroy i filen .login. Om däremot PAM-modulen inte har konfigurerats eller om du inte är säker på vilket, kan det vara bra att lägga till kdestroy i din .login-fil för att säkerställa att alla biljetter förstörs när du avslutar systemet.