Biljettyper
Biljetter har egenskaper som styr hur de kan användas. Egenskaperna tilldelas biljetten när den skapas, men du kan ändra dem senare. (En biljett kan t ex ändras från forwardable (vidarebefordingsbar) till forwarded (vidarebefordrad).) Du kan visa biljettegenskaperna med kommandot klist (se "Så här visar du biljetter").
Det går att beskriva biljetter med en eller flera av följande termer:
- forwardable/forwarded (vidarebefordringsbar/vidarebefordrad)
-
En biljett som är vidarebefordringsbar kan skickas från en värd till en annan, vilket gör att klienten inte behöver verifieras på nytt. Om t ex användaren johan får en vidarebefordringsbar biljett när han befinner sig på evas dator kan han logga in på sin egen dator utan att han behöver hämta en ny biljett (han undviker därmed att behöva verifiera sig på nytt). (Ett exempel på en vidarebefordringsbar biljett finns i "Exempel - Skapa en biljett".) Jämför en vidarebefordringsbar biljett med en biljett med egenskapen proxiable (proxybiljett) nedan.
- start
-
En biljett med egenskapen initial (startbiljett) är en biljett som ges ut direkt och som inte baseras på en biljettbeviljarbiljett. Vissa tjänster, t ex program som ändrar lösenord, kan kräva att biljetter märks med intial (startbiljett) för att kunna försäkra sig själva om att klienten kan visa att den känner till sin hemliga nyckel - eftersom en biljett med egenskapen initial (startbiljett) visar att klienten nyligen har verifierat sig själv (i stället för att vara beroende av en biljettbeviljarbiljett som kan vara gammal).
- ogiltigt
-
En biljett som har egenskapen invalid (ogiltig biljett) är en efterdaterad biljett som ännu inte går att använda. (Se postdated (efterdaterad) nedan.) Biljetten avslås av programservern till dess den är kontrollerad. För att kontrolleras måste den visas för KDC:n av klienten i TGS-förfrågan med flaggan VALIDATE inställd, när dess starttid har passerats.
- postdatable/postdated (efterdaterbar/efterdaterad)
-
En biljett med egenskapen postdated (efterdaterad) är en biljett som inte blir giltig förrän en viss angiven tid efter det att den skapades. En sådan biljett är t ex användbar för satsvisa jobb som ska köras sent på kvällen, eftersom biljetten, om den stjäls, inte kan användas förrän jobbet ska köras. När en biljett med egenskapen postdated (efterdaterad) utfärdas, utfärdas den som invalid (ogiltig) och förblir det tills des starttid är passerad och klienten begär kontroll av KDC:n. (Se invalid (ogiltig) ovan.) En biljett med egenskapen postdated (efterdaterad) gäller vanligen tills sista användningstid för biljettbeviljarbiljetten, men om den är märkt renewable (förnyelsebar) anges vanligen dess giltighetstid till att vara densamma som giltighetstiden hos biljettbeviljarbiljetten. Se renewable (förnyelsebar) nedan.
- proxybiljett
-
Ibland kan det vara nödvändigt för en principal att tillåta en tjänst att utföra en åtgärd åt sig själv. (Ett exempel är när en principal begär att en tjänst kör en utskrift på en ytterligare en värd.) Tjänsten måste kunna använda klientens identitet, men bara för en enda åtgärd. Om så är fallet sägs servern fungera som proxy för klienten. Principalnamnet för proxyn måste anges när biljetten skapas.
En biljett med egenskapen proxiable (proxybiljett) liknar en biljett med egenskapen forwardable (vidarebefordringsbar) förutom att den endast gäller en enda tjänst, medan en biljett med egenskapen forwardable (vidarebefordringsbar) gör att tjänsten helt kan använda klientens identitet. En biljett med egenskapen forwardable (vidarebefordringsbar) kan därför ses som en sorts superproxy.
- förnyelsebar
-
Eftersom biljetter med mycket lång giltighetstid innebär en säkerhetsrisk kan biljetter anges som renewable (förnyelsebara). En biljett med egenskapen renewable (förnyelsebar) har två sista användningstider: tiden när den aktuella förekomsten av biljetten går ut och maximal giltighetstid för all biljetter. Om klienten vill fortsätta använda en biljett förnyas biljetten innan första tidsgränsen nås. En biljett kan t ex vara giltig i en timme och alla biljetter ha en maximal giltighetstid på tio timmar. Om klienten som har biljetten vill behålla den i mer än en timme måste klienten förnya biljetten inom en timme. När en biljett når den maximala giltighetstiden för biljetter (tio timmar) slutar den automatiskt att gälla och den kan inte förnyas.
Mer information om hur du visar biljetter och deras attribut finns i linkend="user-1">.
Giltighetstid för biljetter
Varje gång en principal hämtar en biljett, bl a biljettbeviljarbiljetter, ställs biljettens giltighetstid in som det minsta av följande värden:
-
Värdet för giltighetstiden som anges av alternativet -l för kinit, om kinit används för att hämta biljetten.
-
Värdet för maximal giltighetstid (max_life) som anges i filen kdc.conf.
-
Värdet för maximal giltighetstid som anges i Kerberos-databasen för tjänstprincipalen som tillhandahåller biljetten. (För kinit är tjänstprincipalen krbtgt/användarkategori)
-
Värdet för maximal giltighetstid som anges i Kerberos-databasen för användarprincipalen som efterfrågar biljetten.
Figur 7-1 visar hur giltighetstiden för en TGT bestäms och åskådliggör var de fyra värdena för giltighetstid kommer från. Även om Figur 7-1 visar hur giltighetstiden för en TGT bestäms händer i stort sett samma sak när alla principaler hämtar en biljett. De enda skillnaderna är att kinit inte tillhandahåller ett värde för giltighetstid och att tjänstprincipalen som tillhandahåller biljetten tillhandahåller ett värde för maximal giltighetstid (i stället för principalen krbtgt/användarkategori.)
Figur 7-1 Så avgörs giltighetstiden för en TGT
Giltighetstiden för en förnyelsebar biljett avgörs också av det minsta av fyra värden, men i stället används förnyelsebara tider för giltighetstid:
-
Värdet för den förnyelsebara giltighetstiden som anges av alternativet -r för kinit, om kinit används för att hämta eller förnya biljetten.
-
Värdet för maximal förnyelsebar giltighetstid (max_renewable_life) som anges i filen kdc.conf.
-
Värdet för maximal förenyelsebar giltighetstid som anges i Kerberos-databasen för tjänstprincipalen som tillhandahåller biljetten (för kinit är tjänstprincipalen krbtgt/användarkategori).
-
Värdet för maximal förnyelsebar giltighetstid som anges i Kerberos-databasen för användarprincipalen som efterfrågar biljetten.
Principalnamn
Alla biljetter identifieras med ett principalnamn. Principalnamnet kan identifiera en användare eller tjänst. Här följer exempel på flera principalnamn.
Tabell 7-4 Exempel på principalnamn|
Principalnamn |
Beskrivning |
|---|---|
|
root/boston.acme.com@ACME.COM |
En principal som är associerad med root-kontot på en NFS-klient. Den kallas för en root-principal och den behövs för att verifierad NFS-montering ska lyckas. |
|
host/boston.acme.com@ACME.COM |
En principal som används av Kerberos-anpassade program (t ex klist och kprop) och tjänster (t ex ftp och telnet). Den kallas för en värd- eller tjänstprincipal. |
|
användarnamn@ACME.COM |
En principal för en användare |
|
användarnamn/admin@ACME.COM |
En admin-principal som kan användas för att administrera KDC-databasen. |
|
ftp/boston.acme.com@ACME.COM |
En principal som används av ftp-tjänsten. Den kan användas i stället för en värd-principal. |
|
K/M@ACME.COM |
Namnprincipalen för huvudnyckeln. Det finns en sådan associerad till varje huvud-KDC. |
|
kadmin/history@ACME.COM |
En principal som innehåller en nyckel som används för att lagra lösenordshistorik för andra principaler. Det finns en sådan för varje huvud-KDC. |
|
kadmin/kdc1.acme.com@ACME.COM |
En principal för huvud-KDC-servern som medger åtkomst till KDC:n med hjälp av kadmind. |
|
changepw/kdc1.acme.com@ACME.COM |
En principal för huvud-KDC-servern som medger åtkomst till KDC:n när lösenord ändras. |
|
krbtgt/ACME.COM@ACME.COM |
Den här principalen används när en biljettbeviljarbiljett skapas. |
- © 2010, Oracle Corporation and/or its affiliates