Översikt över Kerberos-anpassade kommandon
De Kerberos-anpassade nätverkstjänsterna är de program som ansluter till en annan maskin någonstans på Internet. Dessa program finns i /usr/krb5/bin. Ange variabeln PATH så att dessa kommer före de icke Kerberos-anpassade versionerna. Dessa program är:
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Dessa program har alla de ursprungliga funktionerna från motsvarande icke Kerberos-kommandon. De har dessutom tilläggsfunktioner som helt transparent använder dina Kerberos-biljetter för att förhandla om verifiering (och valfri kryptering) med fjärrvärden. I de flesta fall kommer du att märka att du inte längre behöver ange ditt lösenord för att använda dem, eftersom Kerberos kommer att styrka din identitet åt dig.
Med nätverksprogrammen i Kerberos V5 kan du:
-
Vidarebefordra dina biljetter till en annan värd (om du hämtat vidarebefordringsbara biljetter)
-
Kryptera de data som överförs mellan dig och fjärrvärden
Obs!
I det här avsnittet förutsätts att du redan känner till icke Kerberos-versionerna av dessa program. Betoningen läggs på de Kerberos-funktioner som lagts till med Kerberos V5-paketet. Detaljerade beskrivningar av de kommandon som nämnts här finns i respektive direkthjälpsavsnitt.
Följande Kerberos-alternativ har lagts till för ftp, rcp, rlogin, rsh och telnet:
- -a
-
Försök att logga in automatiskt med dina befintliga biljetter. Använder det användarnamn som returnerats av getlogin() såvida det inte skiljer sig ifrån aktuellt användar-ID. (Mer information finns i direkthjälpsavsnittet telnet(1).)
- -f
-
Vidarebefordra en icke återvidarebefordringsbar biljett till en fjärrvärd. Det här alternativet utesluter alternativet -F (se nedan). De kan inte användas tillsammans i samma kommando.
Du kommer att vilja vidarebefordra en biljett om du har skäl att tro att du kommer att behöva verifiera dig själv för andra Kerberos-baserade tjänster på en tredje värd - till exempel, om du vill utföra rlogin till en annan maskin och sedan utföra rlogin från denna till en tredje maskin.
Du bör definitivt använda en vidarebefordringsbar biljett om din hemkatalog på fjärrvärden är NFS-monterad med Kerberos V5. Annars kommer du inte att kunna komma åt hemkatalogen. (Antag att du först loggar in på System 1. Från System 1 utför du rlogin till din hemmaskin, System 2, vilken i sin tur monterar din hemkatalog från System 3. Om du inte använt -f eller - F tillsammans med rlogin, kommer du inte att kunna komma åt hemkatalogen, eftersom din biljett inte kan vidarebefordras till System 3.)
Som standard hämtar kinit vidarebefordringsbara TGT-biljetter (ticket-granting tickets). Det kan dock tänkas att din SEAM-konfiguration kan vara annorlunda i detta avseende.
Mer information om vidarebefordran av biljetter finns i "Vidarebefordra biljetter med -f och -F".
- -F
-
Vidarebefordra en återvidarebefordringsbar kopia av din TGT-biljett till en fjärrvärd. Liknar -f (se ovan), men tillåter åtkomst till ytterligare en maskin (den fjärde eller femte). alternativet -F kan därför anses vara en överordnad mängd till alternativet -f. alternativet -F utesluter alternativet -f. De kan inte användas tillsammans i samma kommando.
Mer information om vidarebefordran av biljetter finns i "Vidarebefordra biljetter med -f och -F".
- -k användarkategori
-
Begär biljetter till fjärrvärden för angiven användarkategori. Istället för att bestämma användarkategorin själv använder du filen krb5.conf.
- -K
-
Använd dina biljetter för att verifiera dig hos fjärrvärden men logga inte in automatiskt.
- -m mekanism
-
Ange vilken GSS-API-säkerhetsmekanism som ska användas enligt listan i filen /etc/gss/mech. Standardvärdet är kerberos_v5.
- -x
-
Kryptera den här sessionen.
- -X verif_typ
-
Deaktivera verifieringstypen verif_typ.
I Tabell 6-1 visas vilka kommandon som har vilka alternativ (ett "X" anger att kommandot har alternativet).
Tabell 6-1 Kerberos-alternativ för nätverkskommandon|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
- a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
- X |
|
|
|
|
X |
Dessutom kan skyddsnivån för en session anges direkt på kommandoraden för ftp:
- clear
-
Ange skyddsnivån till "clear" (ingen säkerhet). Detta är standardvärdet.
- private
-
Anger skyddsnivån till "private". Dataöverföringar skyddas av kryptering. Tjänsten privacy är troligen inte tillgänglig för alla SEAM-användare.
- safe
-
Anger skyddsnivån till "safe". Dataöverföringar integritetsskyddas med en kryptografisk kontrollsumma.
Du kan också ange skyddsnivå vid ftp-ledtexten genom att ange protect följt av någon av skyddsnivåerna ovan (clear, private eller safe).
- © 2010, Oracle Corporation and/or its affiliates