Sun Enterprise Authentication Mechanism Handbuch

Ticket-Verwaltung

Dieser Abschnitt erläutert, wie Tickets abgerufen, angezeigt und vernichtet werden. Eine Einführung in Tickets erhalten Sie in "Funktionsweise von SEAM".

Müssen Sie sich über Tickets Gedanken machen?

Mit der Installation von SEAM wird Kerberos in den login-Befehl integriert, wodurch Sie automatisch Tickets erhalten, wenn Sie sich anmelden. Die kerberosfähigen Befehle rsh, rcp, telnet und rlogin werden gewöhnlich so eingerichtet, daß sie Kopien Ihrer Tickets an andere Computer weiterleiten und Sie nicht explizit um Tickets bitten müssen, um Zugang zu diesen Computern zu erhalten. (Es ist möglich, daß Ihre SEAM-Konfiguration dieses automatische Weiterleiten nicht enthält, aber es ist das Standardverhalten.) Weitere Informationen über das Weiterleiten von Tickets erhalten Sie unter "Überblick über kerberosfähige Befehle" und "Weiterleiten von Tickets mit Option -f oder - F".

Die meisten der kerberosfähigen Befehle vernichten auch Ihre Tickets automatisch, wenn sie beendet werden. Sie könnten es jedoch vorziehen, Ihre Kerberos-Tickets mit kdestroy explizit selbst zu vernichten, wenn diese nicht mehr benötigt werden, nur um sicherzugehen. Weitere Informationen über den Befehl kdestroy erhalten Sie unter "Wie Tickets vernichtet werden".

Informationen über die Lebensdauer von Tickets finden Sie unter "Lebensdauer für Tickets".

So erstellen Sie ein Ticket

Normalerweise wird ein Ticket automatisch erstellt, wenn Sie sich anmelden, und Sie müssen nichts besonders tun, um eines zu erhalten. In den folgenden Fällen könnte es aber notwendig sein, ein Ticket zu erstellen:

Ihr Ticket läuft ab.
Sie müssen zusätzlich zu Ihrem Standard-Hauptbenutzer einen anderen Hauptbenutzer verwenden. (Wenn Sie sich zum Beispiel mit rlogin -l bei einem Computer als ein anderer anmelden.)

Um ein Ticket zu erstellen, benutzen Sie den Befehl kinit.

% /usr/krb5/bin/kinit

kinit fragt Sie nach Ihrem Paßwort. Die vollständige Syntax des kinit-Befehls finden Sie auf der Seite kinit(1) der Online-Dokumentation.

Beispiel -- Erstellen eines Tickets

Dieses Beispiel zeigt eine Benutzerin, jennifer, die ein Ticket auf Ihrem eigenen System erstellt:

% kinit
Paßwort für jennifer@ENG.ACME.COM:  <Geben Sie das Paßwort ein>

Hier erstellt der Benutzer david ein Ticket, das mit der Option -l drei Stunden gültig ist:

% kinit -l 3h david@ACME.ORG
Password for david@ACME.ORG:  <Geben Sie das Paßwort ein>

Dieses Beispiel zeigt, wie david ein weiterleitbares Ticket (über die Option - f) für sich selbst erstellt. Mit diesem weiterleitbaren Ticket kann er sich (zum Beispiel) bei einem zweiten System anmelden und sich dann über telnet mit einem dritten System verbinden.

% kinit -f david@ACME.ORG
Paßwort für david@ACME.ORG:     <Geben Sie das Paßwort ein>

Mehr daüber, wie das Weiterleiten von Tickets funktioniert, finden Sie unter "Weiterleiten von Tickets mit Option -f oder - F" und "Arten von Tickets".

Wie Tickets angezeigt werden

Nicht alle Tickets sind gleich. Ein Ticket könnte zum Beispiel weiterleitbar sein, ein anderes nachdatiert; während ein drittes beides sein könnte. Sie können sehen, welche Tickets Sie haben, und was ihre Attribute sind, indem Sie den Befehl klist mit der Option -f verwenden:

% /usr/krb5/bin/klist -f

Die folgenden Symbole zeigen die mit jedem Ticket verknüpften Attribute an, wie sie durch klist angezeigt werden:

F	Weiterleitbar
f	Weitergeleitet
P	Proxyfähig
p	Proxy
D	Nachdatierbar
d	Nachdatiert
R	Erneuerbar
I	Erstausgabe
i	Ungültig

Die verschiedenen Attribute, die ein Ticket haben kann, werden unter "Arten von Tickets" beschrieben.

Beispiel -- Anzeigen von Tickets

Dieses Beispiel zeigt, daß die Benutzerin jennifer die Erstausgabe eines Tickets hat, das weiterleitbar (F) und nachdatiert (d), aber noch nicht gültig (i) ist:

% /usr/krb5/bin/klist -f
Ticket-Cache: /tmp/krb5cc_74287
Standard-Hauptbenutzer: jenniferm@ENG.ACME.COM
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
09 Mrz 99 15:09:51  09 Mrz 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM
        zu verlängern bis 10 Mrz 99 15:12:51, Optionen: Fdi

Das nachfolgende Beispiel zeigt, daß der Benutzer david zwei Tickets hat, die von einem anderen Host an seinen Host weitergeleitet (f) worden sind. Die Tickets sind auch (wiederholt)weiterleitbar (F):

% klist -f
Ticket-Cache: /tmp/krb5cc_74287
Standard-Hauptbenutzer: david@ACME.SUN.COM
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
07 Mrz 99 06:09:51  09 Mrz 99 23:33:51  host/ACME.COM@ACME.COM
        zu verlängern bis 10 Mrz 99 17:09:51, Optionen: fF
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
08 Mrz 99 08:09:51  09 Mrz 99 12:54:51  nfs/ACME.COM@ACME.COM
        zu verlängern bis 10 Mrz 99 15:22:51, Optionen: fF

Wie Tickets vernichtet werden

Im allgemeinen werden Tickets automatisch vernichtet, wenn die Befehle, mit denen sie erstellt wurden, beendet werden; Sie könnten es jedoch vorziehen, Ihre Kerberos-Tickets explizit selbst zu vernichten, wenn diese nicht mehr benötigt werden, nur um sicherzugehen Tickets können gestohlen werden, und wenn das passiert, kann die Person, die sie besitzt, sie solange verwenden, bis sie ablaufen (obwohl gestohlene Tickets entschlüsselt werden müssen).

Um Tickets zu vernichten, verwenden Sie den Befehl kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy vernichtet alle Tickets, die Sie haben. Sie können damit nicht gezielt ein bestimmtes Ticket vernichten.

Wenn Sie sich von Ihrem System entfernen müssen und besorgt sind, daß ein Eindringling Ihre Berechtigungen benutzt, sollten Sie entweder kdestroy verwenden, oder einen Bildschirmschoner, der den Bildschirm sperrt.

Hinweis -

Eine Möglichkeit sicherzustellen, daß Ihre Tickets immer vernichtet werden, besteht darin, den Befehl kdestroy zur Datei .logout in Ihrem Home-Verzeichnis hinzuzufügen

In den Fällen, wo das PAM-Modul konfiguriert worden ist (der Standard und übliche Fall), werden Tickets automatisch beim Abmelden vernichtet, so daß ein Aufruf von kdestroy in Ihrer .login-Datei nicht nötig ist. Wenn jedoch das PAM-Modul nicht konfiguriert worden ist, oder wenn Sie nicht wissen, ob dies geschehen ist oder nicht, dann könnten Sie den Befehl kdestroy in Ihrer .login-Datei hinzufügen um sicherzugehen, daß die Tickets vernichtet werden, wenn Sie Ihr System verlassen.