Die gsscred-Tabelle

Wenn ein Server die Berechtigungsnachweise eines Clients empfängt, die mit einer Anfrage verbunden sind, kann er entweder den Hauptbenutzernamen des Clients (in Form eines rpc_gss_principal_t-Strukturzeigers) oder lokale UNIX-Berechtigungsnachweise (UID) für diesen Client abrufen. Services, wie z. B. NFS, erfordern einen lokalen UNIX-Berechtigungsnachweis für die Überprüfung der Zugangsberechtigung. Andere Services gehen da anders vor und speichern den Hauptbenutzernamen z. B. als rpc_gss_principal_t-Struktur direkt in ihren eigenen Zugriffssteuerungslisten.

Die Korrespondenz zwischen dem Netzwerk-Berechtigungsnachweis eines Clients (sein Hauptbenutzername) und einem beliebigen UNIX-Berechtigungsnachweis erfolgt nicht automatisch -- sie muß explizit vom lokalen Sicherheitsverwalter eingerichtet werden.

Die Datei gsscred enthält sowohl die UNIX- und Netzwerk-Berechtigungsnachweise (z. B. Kerberos V5) des Clients. (Letzterer entspricht der Hex-ASCII-Darstellung der Struktur rpc_gss_principal_t.) Der Zugriff erfolgt über XFN; somit kann diese Tabelle über Dateien, NIS oder NIS+ sowie beliebigen zukünftigen Namens-Services implementiert werden, die XFN unterstützt. In de XFN-Hierarchie erscheint diese Tabelle als this_org_unit/service/gsscred. Die Tabelle gsscred wird mit dem Dienstprogramm gsscred verwaltet, mit dem Systemverwalter die Benutzer und Mechanismen hinzufügen und löschen kann.