本節將說明應如何取得、檢視、與損毀許可證。請參見 "SEAM 如何運作" 中有關許可證的說明。
在安裝 SEAM 之後,Kerberos 被建入 login 指令,因此您會在登入時自動取得許可證。Kerberos 化指令 rsh、rcp、telnet、及 rlogin 通常是設定為將您許可證的副本轉遞至其他的機器,所以您不需要特定的許可證便能取得這些機器的存取權限。(也許您的 SEAM 設置並不包括此自動轉遞的功能,但是它一向是預設的一個行為。)請參見 "Kerberos 化指令的概觀" 及 "以 -f 及 F 來轉遞許可證-" 中有關轉遞許可證的詳細說明。
大多數的 Kerberos 化指令也會在您的許可證時間結束時自動將它們損毀。不過您可能必須在用完您的 Kerberos 許可證之後,以 kdestroy 來確實將它損毀以確保安全。請參見 "如何損毀許可證" 中有關 kdestroy 的詳細資訊。
請參見 "許可證壽命" 中有關許可證壽命的資訊。
通常在您登入時會自動建立一張許可證,所以您並不需要執行什麼動作。不過您可能必須在下列情況之下建立一張許可證﹕
您的許可證過期了。
您必須使用您的預設主管以外的一個不同的主管。(例如當您使用 rlogin -l 來代表別人的身份登入一個機器的話。)
要建立一張許可證,請使用 kinit 指令。
% /usr/krb5/bin/kinit |
kinit 會提示您要輸入您的密碼。請參見 kinit(1) 線上援助頁中所述的 kinit 指令之完整語法。
此範例說明一位使用者 jennifer 如何在她自己的系統之上建立一張許可證﹕
% Password for jennifer@ENG.ACME.COM: <輸入密碼> |
以下使用者 david 以 -l 選項來建立一張時效長達三個小時的許可證﹕
% kinit -l 3h david@ACME.ORG Password for david@ACME.ORG:<輸入密碼> |
此範例說明 david (以 -f)為他自己建立一張可轉遞的許可證。他可以利用此可轉遞的許可證來(例如)登入第二個系統,然後再 telnet 到第三個系統。
% kinit -f david@ACME.ORG: Password for david@ACME.ORG<輸入密碼> |
如需有關轉遞許可證如何運作的資訊,請參見 "以 -f 及 F 來轉遞許可證-" 及 "許可證類型"。
並非所有的許可證都是相同的。一張許可證可能是,例如,可轉遞;另一個可能是遠期的;而第三個也許兩者皆是。您可以利用 klist 指令,配合 -f 選項來查看您所擁有的許可證及其屬性為何﹕
% /usr/krb5/bin/klist -f |
下列符號代表與每張許可證有關的屬性,如 klist 所示﹕
F |
可轉遞 |
f |
轉遞的 |
P |
可代理 |
p |
代理 |
D |
可遠期 |
d |
遠期的 |
R |
可更新 |
I |
初始的 |
i |
無效的 |
"許可證類型" 說明一張許可證所含的各種屬性。
此範例說明使用者 jennifer 有一張初始的許可證,是可轉遞 (F) 而且是 遠期的 (d)的,但尚未生效 (i)﹕
% /usr/krb5/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: jenniferm@ENG.ACME.COM Valid starting Expires Service principal 09 Mar 99 15:09:51 09 Mar 99 21:09:51 nfs/ACME.SUN.COM@ACME.SUN.COM renew until 10 Mar 99 15:12:51, Flags: Fdi |
下方的範例說明使用者 david 有兩張從另一個主機被轉遞 (f) 至他主機的許可證。這些許可證同時也是 (re) 可轉遞 (F) 的許可證﹕
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: david@ACME.SUN.COM Valid starting Expires Service principal 07 Mar 99 06:09:51 09 Mar 99 23:33:51 host/ACME.COM@ACME.COM renew until 10 Mar 99 17:09:51, Flags: fF Valid starting Expires Service principal 08 Mar 99 08:09:51 09 Mar 99 12:54:51 nfs/ACME.COM@ACME.COM renew until 10 Mar 99 15:22:51, Flags: fF |
通常當建立許可證的指令結束之後,許可證就會自動損毀;不過您可能必須在用完您的 Kerberos 許可證之後,確實將它損毀以確保安全。許可證可能會被偷,如果發生這種情況,擁有它們的人便可以在它們過期之前使用(儘管偷來的許可證要在解密之後才能使用)。
要損毀您的許可證,請使用 kdestroy 指令。
% /usr/krb5/bin/kdestroy |
kdestroy 可以損毀您的所有許可證。您無法用它來選擇性地損毀一張特定的許可證。
如果您必須離開您的系統,而又擔心可能會有人侵入而隨意使用您的權限,您就必須使用 kdestroy 或者是一個鎖定螢幕畫面的螢幕保護器。
一個確保總是損毀許可證的方法是將 kdestroy 指令新增至您主目錄的 .logout 檔案中。
若已設置 PAM 模組的話(最常使用的預設值),許可證會在您登出時自動損毀,因此就沒有必要將一個 kdestroy 的呼叫新增至您的 .login 檔案中。不過如果尚未設置 PAM 模組,或者如果您並不清楚情況,您最好將 kdestroy 新增至您的 .login 檔案中,以確保許可證確實在您結束您的系統之後被損毀。