Sun 企業辯證機制使用指南

許可證管理

本節將說明應如何取得、檢視、與損毀許可證。請參見 "SEAM 如何運作" 中有關許可證的說明。

您是否必須擔心許可證的事宜？

在安裝 SEAM 之後，Kerberos 被建入 login 指令，因此您會在登入時自動取得許可證。Kerberos 化指令 rsh、rcp、telnet、及 rlogin 通常是設定為將您許可證的副本轉遞至其他的機器，所以您不需要特定的許可證便能取得這些機器的存取權限。（也許您的 SEAM 設置並不包括此自動轉遞的功能，但是它一向是預設的一個行為。）請參見 "Kerberos 化指令的概觀" 及 "以 -f 及 F 來轉遞許可證-" 中有關轉遞許可證的詳細說明。

大多數的 Kerberos 化指令也會在您的許可證時間結束時自動將它們損毀。不過您可能必須在用完您的 Kerberos 許可證之後，以 kdestroy 來確實將它損毀以確保安全。請參見 "如何損毀許可證" 中有關 kdestroy 的詳細資訊。

請參見 "許可證壽命" 中有關許可證壽命的資訊。

如何建立一張許可證

通常在您登入時會自動建立一張許可證，所以您並不需要執行什麼動作。不過您可能必須在下列情況之下建立一張許可證﹕

您的許可證過期了。
您必須使用您的預設主管以外的一個不同的主管。（例如當您使用 rlogin -l 來代表別人的身份登入一個機器的話。）

要建立一張許可證，請使用 kinit 指令。

% /usr/krb5/bin/kinit

kinit 會提示您要輸入您的密碼。請參見 kinit(1) 線上援助頁中所述的 kinit 指令之完整語法。

範例 - 建立一張許可證

此範例說明一位使用者 jennifer 如何在她自己的系統之上建立一張許可證﹕

% Password for jennifer@ENG.ACME.COM:  
<輸入密碼>

以下使用者 david 以 -l 選項來建立一張時效長達三個小時的許可證﹕

% kinit -l 3h david@ACME.ORG 
Password for david@ACME.ORG:<輸入密碼>

此範例說明 david （以 -f）為他自己建立一張可轉遞的許可證。他可以利用此可轉遞的許可證來（例如）登入第二個系統，然後再 telnet 到第三個系統。

% kinit -f david@ACME.ORG:
Password for david@ACME.ORG<輸入密碼>

如需有關轉遞許可證如何運作的資訊，請參見 "以 -f 及 F 來轉遞許可證-" 及 "許可證類型"。

如何檢視許可證

並非所有的許可證都是相同的。一張許可證可能是，例如，可轉遞；另一個可能是遠期的；而第三個也許兩者皆是。您可以利用 klist 指令，配合 -f 選項來查看您所擁有的許可證及其屬性為何﹕

% /usr/krb5/bin/klist -f

下列符號代表與每張許可證有關的屬性，如 klist 所示﹕

F	可轉遞
f	轉遞的
P	可代理
p	代理
D	可遠期
d	遠期的
R	可更新
I	初始的
i	無效的

"許可證類型" 說明一張許可證所含的各種屬性。

範例 - 檢視許可證

此範例說明使用者 jennifer 有一張初始的許可證，是可轉遞 (F) 而且是 遠期的 (d)的，但尚未生效 (i)﹕

% /usr/krb5/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: jenniferm@ENG.ACME.COM
 
Valid starting                 Expires                 Service principal
09 Mar 99 15:09:51  09 Mar 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM
        renew until 10 Mar 99 15:12:51, Flags: Fdi

下方的範例說明使用者 david 有兩張從另一個主機被轉遞 (f) 至他主機的許可證。這些許可證同時也是 (re) 可轉遞 (F) 的許可證﹕

% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: david@ACME.SUN.COM
 
Valid starting                 Expires                 Service principal
07 Mar 99 06:09:51  09 Mar 99 23:33:51  host/ACME.COM@ACME.COM
        renew until 10 Mar 99 17:09:51, Flags: fF
 
Valid starting                 Expires                 Service principal
08 Mar 99 08:09:51  09 Mar 99 12:54:51  nfs/ACME.COM@ACME.COM
        renew until 10 Mar 99 15:22:51, Flags: fF

如何損毀許可證

通常當建立許可證的指令結束之後，許可證就會自動損毀；不過您可能必須在用完您的 Kerberos 許可證之後，確實將它損毀以確保安全。許可證可能會被偷，如果發生這種情況，擁有它們的人便可以在它們過期之前使用（儘管偷來的許可證要在解密之後才能使用）。

要損毀您的許可證，請使用 kdestroy 指令。

% /usr/krb5/bin/kdestroy

kdestroy 可以損毀您的所有許可證。您無法用它來選擇性地損毀一張特定的許可證。

如果您必須離開您的系統，而又擔心可能會有人侵入而隨意使用您的權限，您就必須使用 kdestroy 或者是一個鎖定螢幕畫面的螢幕保護器。

註解 -

一個確保總是損毀許可證的方法是將 kdestroy 指令新增至您主目錄的 .logout 檔案中。

若已設置 PAM 模組的話（最常使用的預設值），許可證會在您登出時自動損毀，因此就沒有必要將一個 kdestroy 的呼叫新增至您的 .login 檔案中。不過如果尚未設置 PAM 模組，或者如果您並不清楚情況，您最好將 kdestroy 新增至您的 .login 檔案中，以確保許可證確實在您結束您的系統之後被損毀。