SEAM-kommandon
Kerberos V5 är ett separat inloggningssystem. Det innebär att du bara behöver ange ditt lösenord en gång och sedan tar Kerberos V5-programmen hand om verifieringen (och den valfria krypteringen) åt dig. Detta eftersom Kerberos har byggts in i en svit av befintliga, välkända nätverksprogram. Kerberos V5-programmen är versioner av befintliga UNIX-nätverksprogram med tillagda Kerberos-funktioner.
När du till exempel använder ett Kerberos-anpassat program för att ansluta till en fjärrvärd kommer programmet, KDC:n och fjärrvärden att utföra en serie snabba förhandlingar. När dessa förhandlingar slutförts har programmet styrkt din identitet åt dig för fjärrvärden och fjärrvärden har beviljat åtkomst för dig.
De Kerberos-anpassade kommandona försöker först utföra verifieringen med hjälp av Kerberos. Om Kerberos-verifieringen misslyckas uppstår ett fel eller så görs ett försök med UNIX-verifiering beroende på vilka alternativ som användes med kommandot. Mer information finns i avsnittet Kerberos-säkerhet i direkthjälpen för Kerberos-kommandon.
Översikt över Kerberos-anpassade kommandon
De Kerberos-anpassade nätverkstjänsterna är de program som ansluter till en annan maskin någonstans på Internet. Dessa program finns i /usr/krb5/bin. Ange variabeln PATH så att dessa kommer före de icke Kerberos-anpassade versionerna. Dessa program är:
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Dessa program har alla de ursprungliga funktionerna från motsvarande icke Kerberos-kommandon. De har dessutom tilläggsfunktioner som helt transparent använder dina Kerberos-biljetter för att förhandla om verifiering (och valfri kryptering) med fjärrvärden. I de flesta fall kommer du att märka att du inte längre behöver ange ditt lösenord för att använda dem, eftersom Kerberos kommer att styrka din identitet åt dig.
Med nätverksprogrammen i Kerberos V5 kan du:
-
Vidarebefordra dina biljetter till en annan värd (om du hämtat vidarebefordringsbara biljetter)
-
Kryptera de data som överförs mellan dig och fjärrvärden
Obs!
I det här avsnittet förutsätts att du redan känner till icke Kerberos-versionerna av dessa program. Betoningen läggs på de Kerberos-funktioner som lagts till med Kerberos V5-paketet. Detaljerade beskrivningar av de kommandon som nämnts här finns i respektive direkthjälpsavsnitt.
Följande Kerberos-alternativ har lagts till för ftp, rcp, rlogin, rsh och telnet:
- -a
-
Försök att logga in automatiskt med dina befintliga biljetter. Använder det användarnamn som returnerats av getlogin() såvida det inte skiljer sig ifrån aktuellt användar-ID. (Mer information finns i direkthjälpsavsnittet telnet(1).)
- -f
-
Vidarebefordra en icke återvidarebefordringsbar biljett till en fjärrvärd. Det här alternativet utesluter alternativet -F (se nedan). De kan inte användas tillsammans i samma kommando.
Du kommer att vilja vidarebefordra en biljett om du har skäl att tro att du kommer att behöva verifiera dig själv för andra Kerberos-baserade tjänster på en tredje värd - till exempel, om du vill utföra rlogin till en annan maskin och sedan utföra rlogin från denna till en tredje maskin.
Du bör definitivt använda en vidarebefordringsbar biljett om din hemkatalog på fjärrvärden är NFS-monterad med Kerberos V5. Annars kommer du inte att kunna komma åt hemkatalogen. (Antag att du först loggar in på System 1. Från System 1 utför du rlogin till din hemmaskin, System 2, vilken i sin tur monterar din hemkatalog från System 3. Om du inte använt -f eller - F tillsammans med rlogin, kommer du inte att kunna komma åt hemkatalogen, eftersom din biljett inte kan vidarebefordras till System 3.)
Som standard hämtar kinit vidarebefordringsbara TGT-biljetter (ticket-granting tickets). Det kan dock tänkas att din SEAM-konfiguration kan vara annorlunda i detta avseende.
Mer information om vidarebefordran av biljetter finns i "Vidarebefordra biljetter med -f och -F".
- -F
-
Vidarebefordra en återvidarebefordringsbar kopia av din TGT-biljett till en fjärrvärd. Liknar -f (se ovan), men tillåter åtkomst till ytterligare en maskin (den fjärde eller femte). alternativet -F kan därför anses vara en överordnad mängd till alternativet -f. alternativet -F utesluter alternativet -f. De kan inte användas tillsammans i samma kommando.
Mer information om vidarebefordran av biljetter finns i "Vidarebefordra biljetter med -f och -F".
- -k användarkategori
-
Begär biljetter till fjärrvärden för angiven användarkategori. Istället för att bestämma användarkategorin själv använder du filen krb5.conf.
- -K
-
Använd dina biljetter för att verifiera dig hos fjärrvärden men logga inte in automatiskt.
- -m mekanism
-
Ange vilken GSS-API-säkerhetsmekanism som ska användas enligt listan i filen /etc/gss/mech. Standardvärdet är kerberos_v5.
- -x
-
Kryptera den här sessionen.
- -X verif_typ
-
Deaktivera verifieringstypen verif_typ.
I Tabell 6-1 visas vilka kommandon som har vilka alternativ (ett "X" anger att kommandot har alternativet).
Tabell 6-1 Kerberos-alternativ för nätverkskommandon|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
- a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
- X |
|
|
|
|
X |
Dessutom kan skyddsnivån för en session anges direkt på kommandoraden för ftp:
- clear
-
Ange skyddsnivån till "clear" (ingen säkerhet). Detta är standardvärdet.
- private
-
Anger skyddsnivån till "private". Dataöverföringar skyddas av kryptering. Tjänsten privacy är troligen inte tillgänglig för alla SEAM-användare.
- safe
-
Anger skyddsnivån till "safe". Dataöverföringar integritetsskyddas med en kryptografisk kontrollsumma.
Du kan också ange skyddsnivå vid ftp-ledtexten genom att ange protect följt av någon av skyddsnivåerna ovan (clear, private eller safe).
Vidarebefordra biljetter med -f och -F
I "Översikt över Kerberos-anpassade kommandon" beskrevs hur du med vissa kommandon kan vidarebefordra biljetter med något av alternativen -f eller -F. Genom att vidarebefordra biljetter kan du "länka" dina nätverkstransaktioner. Du kan till exempel utföra rlogin till en maskin för att sedan utföra rlogin från den maskinen till en annan. Med alternativet -f kan du vidarebefordra en biljett, medan alternativet -F även tillåter att du återvidarebefordrar en redan vidarebefordrad biljett.
I Figur 6-2 visas hur david hämtar en icke vidarebefordringsbar TGT-biljett (ticket-granting ticket) med kinit. (Den är icke vidarebefordringsbar eftersom han inte angav alternativet -f.) I scenario 1 kan han utföra rlogin till maskinen B, men han kan inte komma längre. I scenario 2 misslyckas kommandot rlogin -f eftersom han försöker vidarebefordra en biljett som är icke vidarebefordringsbar.
Figur 6-2 Använda icke vidarebefordringsbara biljetter
(I själva verket är konfigurationsfilerna för SEAM inställda så att kinit hämtar vidarebefordringsbara biljetter som standard. Konfigurationen kan dock variera från fall till fall. För att bättre kunna förklara funktionen har vi antagit att kinit inte hämtar vidarebefordringsbara TGT-biljetter så länge inte kinit -f används. Lägg förresten märke till att kinit saknar alternativet -F. TGT-biljetter är antingen vidarebefordringsbara eller inte.)
I Figur 6-3 hämtar david vidarebefordringsbara TGT-biljetter med kinit -f. I scenario 3 kan han nå maskinen C eftersom han använder en vidarebefordringsbar biljett tillsammans med rlogin. I scenario 4 misslyckas rlogin eftersom biljetten inte är återvidarebefordringsbar. Genom att istället använda alternativet -F, som i scenario 5, lyckas det andra rlogin-kommandot och biljetten kan vidarebefordras till maskin D.
Figur 6-3 Använda vidarebefordringsbara biljetter
Exempel - Använda Kerberos-anpassade kommandon
Följande exempel ger en inblick i hur alternativen för de Kerberos-anpassade kommandona fungerar.
Exempel - Använda alternativen -a, -f och -x med telnet
I det här exemplet har användaren david redan loggat in och vill använda telnet till maskinen denver.acme.com. Han använder alternativet -f för att vidarebefordra sina befintliga biljetter, alternativet -x för att kryptera sessionen och alternativet -a för att inloggningen ska utföras automatiskt. Eftersom han inte planerar att använda några tjänster på en tredje värd, kan han använda -f istället för -F.
% telnet -a -f -x denver.acme.com Försöker med 128.0.0.5... Ansluten till denver.acme.com. Esc-tecknet är "^]". [ Kerberos V5 accepterar dig som "david@eng.acme.com" ] [ Kerberos V5 accepterar vidarebefordrade referenser ] SunOS 5.7: tis 21 may 00:31:42 GMT 1998 Välkommen till SunOS % |
Lägg märke till att davids maskin använde Kerberos för att verifiera honom för denver.acme.com för att sedan logga in honom automatiskt som sig själv. Han fick en krypterad session med en kopia av sina biljetter väntande och klara, och han behövde aldrig ange sitt lösenord. Om han hade använt en icke Kerberos-anpassad version av telnet skulle han ha fått ange sitt lösenord som sedan hade skickats okrypterat över nätverket - om en inkräktare hade övervakat nätverkstrafiken just då, skulle inkräktaren fått reda på davids lösenord.
Om du vidarebefordrar dina Kerberos-biljetter förstörs de av telnet (precis som av övriga kommandon som nämns här) när kommandot avslutas.
Exempel - Använda rlogin med alternativet - F
Här vill användaren karin logga in på sin egen maskin, boston.acme.com. Hon vidarebefordrar sina befintliga biljetter med -F och krypterar sessionen med -x. Hon väljer -F snarare än -f eftersom det kan tänkas att hon vill utföra andra nätverkstransaktioner som kräver att biljetterna vidarebefordras igen efter att hon loggat in på boston. Dessutom, eftersom hon vidarebefordrar sina befintliga biljetter, behöver hon inte ange sitt lösenord.
% rlogin boston.acme.com -l root -x Denna rlogin-session använder DES-kryptering för all dataöverföring. Senaste inloggning mån 19 may 15:19:49 från daffodil SunOS version 5.7 (GENERIC) #2 tis 14 nov 18:09:3 GMT 1998 % |
Exempel - Ange skyddsnivå för ftp
Antag att johan vill använda ftp för att hämta sin e-post från katalogen ~johan/MAIL på maskinen denver.acme.com med en krypterad session. Det skulle i så fall kunna se ut så här:
% ftp -f denver.acme.com Ansluten till denver.acme.com 220 denver.acme.org FTP-server (Version 6.0) klar. 334 Använder verifiering av typen GSSAPI. ADAT måste följa den GSSAPI som accepterats som verifieringstyp GSSAPI-verifieringen lyckades Namn (daffodil.acme.org:johan) 232 GSSAPI user johan@MELPOMENE.ACME.COM har verifierats som johan 230 Användaren johan har loggats in. Fjärrsystemtypen är UNIX. Använder BINARY-läget för överföring av filer. ftp> protect private 200 Skyddsnivån har angetts till Private ftp> cd ~johan/MAIL 250 CWD-kommandot lyckades. ftp> get RMAIL 227 Påbörjar passivt läge (128,0,0,5,16,49) 150 Öppnar en dataförbindelse i BINARY-läge för RMAIL (158336 bytes). 226 Överföringen klar. 158336 byte togs emot på 1,9 sekunder (1,4e+02 kbyte/s) ftp> quit % |
johan angav skyddsnivån till private för att få en krypterad session.
- © 2010, Oracle Corporation and/or its affiliates