Vidarebefordra biljetter med -f och -F

I "Översikt över Kerberos-anpassade kommandon" beskrevs hur du med vissa kommandon kan vidarebefordra biljetter med något av alternativen -f eller -F. Genom att vidarebefordra biljetter kan du "länka" dina nätverkstransaktioner. Du kan till exempel utföra rlogin till en maskin för att sedan utföra rlogin från den maskinen till en annan. Med alternativet -f kan du vidarebefordra en biljett, medan alternativet -F även tillåter att du återvidarebefordrar en redan vidarebefordrad biljett.

I Figur 6-2 visas hur david hämtar en icke vidarebefordringsbar TGT-biljett (ticket-granting ticket) med kinit. (Den är icke vidarebefordringsbar eftersom han inte angav alternativet -f.) I scenario 1 kan han utföra rlogin till maskinen B, men han kan inte komma längre. I scenario 2 misslyckas kommandot rlogin -f eftersom han försöker vidarebefordra en biljett som är icke vidarebefordringsbar.

Figur 6-2 Använda icke vidarebefordringsbara biljetter

(I själva verket är konfigurationsfilerna för SEAM inställda så att kinit hämtar vidarebefordringsbara biljetter som standard. Konfigurationen kan dock variera från fall till fall. För att bättre kunna förklara funktionen har vi antagit att kinit inte hämtar vidarebefordringsbara TGT-biljetter så länge inte kinit -f används. Lägg förresten märke till att kinit saknar alternativet -F. TGT-biljetter är antingen vidarebefordringsbara eller inte.)

I Figur 6-3 hämtar david vidarebefordringsbara TGT-biljetter med kinit -f. I scenario 3 kan han nå maskinen C eftersom han använder en vidarebefordringsbar biljett tillsammans med rlogin. I scenario 4 misslyckas rlogin eftersom biljetten inte är återvidarebefordringsbar. Genom att istället använda alternativet -F, som i scenario 5, lyckas det andra rlogin-kommandot och biljetten kan vidarebefordras till maskin D.

Figur 6-3 Använda vidarebefordringsbara biljetter