賦予您帳號的存取權限
如果您必須賦予某人登入您帳號(以您的身份)的存取權限,您可以透過 Kerberos 進行而不需要洩露您的密碼,只需要在您主目錄中放入 .k5login 檔案即可。一個 .k5login 檔案是一份與您想賦予存取權限的每一個人對應的一或多位 Kerberos 主管的清單。(每位主管都必須出現在分別的一行。)
假設使用者 david 在他的主目錄中保留了一個 .k5login 檔案,看起來如下﹕
jennifer@ENG.ACME.COM joe@ACME.ORG |
此檔案規定只要使用者 jennifer 和 joe 已在各自的範疇擁有 Kerberos 許可證,他們就可以成為 david 的身份。例如,jennifer 可以利用他的身份來 rlogin 登入 david 的機器 (boston),而不需要提供他的密碼﹕
圖 6-1 使用 .k5login 檔案
(假如 david 的主目錄已經裝載了 NFS,而且使用另一個(第三個)機器的 Kerberos V5 協定的話,那麼 jennifer 就必須有一張可轉遞許可證才能存取他的主目錄。請參見 "如何建立一張許可證" 中使用可轉遞許可證的範例說明。)
如果您將要登入網路上的其他機器,您就必須在那些機器的 .k5login 檔案中包括您自己的 Kerberos 主管在內。
使用一個 .k5login 檔案比把您的密碼告知他人要來得安全﹕
-
您從您的 .k5login 檔案中移除主管的項目以隨時取消他人的存取權限。
-
雖然您主目錄的 .k5login 檔案中所提到的使用者可以擁有對您帳號在該部機器(或是一組機器,如果 .k5login 檔案被分享,例如透過 NFS)上的完全存取權限,他們卻無法承繼您的網路權限 - 也就是說,任何的 Kerberos 化的服務都是基於使用者的身份,而非您的身份來授權存取。所以 jennifer 可以登入 joe 的機器並且在那兒執行工作,但如果她要使用一個如 ftp 或 rlogin 的 Kerberos 化程式時,還是以她自己的身份來執行。
-
Kerberos 會保留一份記錄檔,其中記載什麼人曾經取得許可證,所以系統管理員可以在必要時決定何人在一個特定的時間可以利用您的使用者身份。
普遍使用 .k5login 檔案的方法是將它置於 root 的主目錄之下,以將該部機器的 root 存取權限賦予所列的 Kerberos 主管。這樣一來,系統管理員可以成為本機的 root,或是以 root 的身份遠端登入,而不需要洩露其 root 密碼,也沒有任何人需要透過網路來鍵入 root 密碼。
範例 - 使用 .k5login 檔案
假設 jennifer 決定要以 root 的身份來登入機器 boston.acme.com。由於她在 boston.acme.com 上 root 主目錄的 .k5login 檔案中有一個主管名稱項目,因此她就不需要鍵入她自己的密碼﹕
% rlogin boston.acme.com -l root -x This rlogin session is using DES encryption for all data transmissions. Last login: Thu Jun 20 16:20:50 from daffodil SunOS Release 5.7 (GENERIC) #2: Tue Nov 14 18:09:31 EST 1998 boston[root]% |
- © 2010, Oracle Corporation and/or its affiliates