Zugangserlaubnis auf ein Konto

Wenn Sie jemandem Zugang auf Ihr Konto geben müssen, damit er/sie sich mit Ihrer ID anmelden kann, dann können Sie das über Kerberos erreichen, ohne Ihr Paßwort preiszugeben, indem Sie eine .k5login -Datei in Ihrem Home-Verzeichnis ablegen. Diese Datei besteht aus einer Liste mit einem oder mehreren Hauptbenutzern, die jeweils der Person, der Sie den Zugang erlauben möchten, zugeordnet werden. (Jeder Hauptbenutzer muß in eine gesonderte Zeile haben.)

Nehmen wir an, daß der Benutzer david eine .k5login-Datei in seinem Home-Verzeichnis führt, deren Inhalt folgendermaßen aussieht:

jennifer@ENG.ACME.COM
joe@ACME.ORG  

Diese Datei erlaubt den Benutzern jennifer und joe, die Identität von david anzunehmen, vorausgesetzt, sie besitzen schon Kerberos-Tickets in ihren jeweiligen Bereichen. So kann zum Beispiel jennifer sich über rlogin auf davids Computer (boston) mit dessen Identiät anmelden, ohne dessen Paßwort eingeben zu müssen:

Abbildung 6-1 Verwendung der .k5login-Datei

In dem Fall, daß davids Home-Verzeichnis ein NFS-Mount von einem anderen (dritten) Computer unter Verwendung der Kerberos V5-Protokolle ist, muß jennifer ein weiterleitbares Ticket haben, damit sie auf das Home-Verzeichnis zugreifen kann. Siehe "So erstellen Sie ein Ticket", um ein Beispiel für die Verwendung eines weiterleitbaren Tickets zu erhalten.

Wenn Sie sich auf anderen Computern im Netzwerk anmelden möchten, sollten Sie Ihren eigenen Kerberos-Hauptbenutzer in den jeweiligen .k5login-Dateien auf diesen Computern eintragen.

Die Verwendung einer .k5login-Datei ist viel sicherer als die Preisgabe Ihres Paßworts:

• Sie können den Zugang jederzeit wieder aufheben, indem Sie den/die Hauptbenutzer aus der Datei .k5login entfernen.

• Obwohl die in .k5login Ihres Home-Verzeichnisses genannten Benutzer vollen Zugriff auf Ihr Konto auf diesem Computer (oder auf eine Gruppe von Computern, wenn die Datei .k5login freigegeben ist, zum Beispiel über NFS) haben, erben Sie nicht Ihre Netzwerk-Privilegien; das heißt, jeder kerberosfähige Service autorisiert den Zugriff auf der Basis der Identität des jeweiligen Benutzers, nicht Ihrer eigenen. So kann jennifer auf joes Computer anmelden und dort Aufgaben erledigen, aber wenn Sie ein mit Kerberos ausgestattetes Programm wie ftp oder rlogin verwendet, tut sie dies mit Ihrer eigenen Identität.

• Kerberos führt ein Protokoll darüber, wer Tickets abruft; daher kann ein Systemverwalter, sofern erforderlich, herausfinden, wer die Fähigkeit hat, Ihre Benutzer-Identität zu einem bestimmten Zeitpunkt zu benutzen.

Eine übliche Art, die Datei .k5login zu benutzen, ist, sie im Home-Verzeichnis von root abzulegen, wodurch root Zugriff auf die für diesen Computer aufgelisteten Kerberos-Hauptbenutzer erhält. Das gibt einem Systemverwalter die Möglichkeit, auf lokaler Ebene root zu werden, oder sich entfernt als root anzumelden, ohne das root-Paßwort ausgeben zu müssen, und ohne daß jemand das root-Paßwort über das Netzwerk eingeben muß.

Beispiel--Verwendung der Datei .k5login

Nehmen wir an, jennifer beschließt, sich auf dem Computer boston.acme.com als root anzumelden. Da Sie einen Eintrag für ihren Hauptbenutzernamen in der Datei .k5login im Home-Verzeichnis von root auf boston.acme.com hat, muß sie wieder nicht ihr Paßwort eingeben:

% rlogin boston.acme.com -l root -x
Diese rlogin-Sitzung verwendet DES-Verschlüsselung für alle Datenübertragungen.  
Letzte Anmeldung: Do. 20. Juni, 16:20:50 h von chrysantheme
SunOS Release 5.7 (GENERIC) #2: Die 14. Nov 18:09:31 h 1998  
boston[root]%