Bevilja åtkomst till ditt konto

Om du behöver ge någon möjlighet att logga in på ditt konto (som du) kan du göra detta i Kerberos utan att avslöja ditt lösenord genom att lägga en .k5login-fil i din hemkatalog. En .k5login-fil består av en lista med en eller flera Kerberos-principaler motsvarande varje person som du vill ge åtkomst. (Varje principal måste anges på en egen rad.)

Antag att användaren david har en .k5login-fil som ser ut så här i sin hemkatalog:

karin@ENG.ACME.COM
johan@ACME.ORG  

Den här filen gör det möjligt för karin och johan att anta davids identitet förutsatt att de redan har Kerberos-biljetter för sina respektive användarkategorier. Karin kan till exempel använda rlogin för att logga in på davids maskin (boston), som honom, utan att behöva ange hans lösenord:

Figur 6-1 Använda filen .k5login

(Om davids hemkatalog skulle vara NFS-monterad måste karin ha en vidarebefordringsbar biljett för att kunna komma åt hans hemkatalog med Kerberos V5-protokoll från en annan (tredje) maskin. Ett exempel på hur man använder en vidarebefordringsbar biljett finns i "Så här skapar du en biljett".)

Om du kommer att logga in på andra maskiner via ett nätverk bör du inkludera din egen Kerberos-principal i .k5login-filerna på dessa maskiner.

Att använda en .k5login-fil är mycket säkrare än att dela ut ditt lösenord:

• Du kan ta bort åtkomstmöjligheten när som helst genom att ta bort principalen eller principalerna från din .k5login-fil.

• Trots att de användare som anges i .k5login-filen i din hemkatalog har fullständig åtkomst till ditt konto på maskinen (eller på mängden maskiner om .k5login-filen är delad, till exempel i ett NFS-system), så ärver de inte dina nätverksrättigheter. Alla Kerberos-anpassade tjänster kommer att verifiera åtkomst baserat på respektive användares identitet och inte på din identitet. Det betyder att karin kan logga in på johans maskin och utföra uppgifter där, men om hon använder ett Kerberos-anpassat program, som till exempel ftp eller rlogin, gör hon det som sig själv.

• Kerberos sparar en logg över vilka som hämtar biljetter så att en systemadministratör, om så erfordras, kan ta reda på vem som kan använda din användaridentitet vid ett visst tillfälle.

Ett vanligt sätt att använda .k5login-filen är att lägga den i hemkatalogen för root vilket ger root åtkomst till de angivna Kerberos-principalerna för den maskinen. Detta gör det möjligt för systemadministratörer att bli root lokalt eller att logga in från en fjärrmaskin som root utan att behöva dela ut lösenordet för root och utan att någon behöver ange det över nätverket.

Exempel - Använda filen .k5login

Antag att karin bestämmer sig för att logga in på maskinen boston.acme.com som root. Eftersom det finns en post för hennes principalnamn i .k5login i hemkatalogen för root på boston.acme.com, behöver hon inte ange sitt lösenord på nytt:

% rlogin boston.acme.com -l root -x
Denna rlogin-session använder DES-kryptering för all dataöverföring.  
Senaste inloggning: tor 20 jun 16:20:50 från daffodil  
SunOS version 5.7 (GENERIC) #2: tis 14 nov 18:09:31 GMT 1998  
boston[root]%