Kerberos 化指令的概觀

Kerberos 化的網路服務是在網際網路上某處與另一部機器連線的程式。這些程式位於 /usr/krb5/bin 中。請設定您的 PATH 變數好讓他們出現在非 Kerberos 的變數之前。程式包括﹕

• ftp

• rcp

• rlogin

• rsh

• telnet

這些程式都有與其相應的非 Kerberos 程式相同的功能。此外它們還有額外的功能，可以透明化地使用您的 Kerberos 許可證來與遠端主機協調辯證（及選擇性的加密）。在很多時候，您只會注意到您在使用他們時不再需要鍵入您的密碼，因為 Kerberos 可以證明您的身份。

Kerberos V5 網路程式可以讓您選擇﹕

• 將您的許可證轉遞至另一個主機（如果您最初取得可轉遞的許可證）

• 加密您和遠端主機之間傳送的資料

---

註解 -

本節將假設您已經對非 Kerberos 的這些程式有所瞭解，因此只會重點式地說明 Kerberos V5 套裝軟體所附帶的 Kerberos 新增功能。欲知有關此處所說明指令的詳細資訊，請參見其各自的線上援助頁。

---

下列 Kerberos 選項已新增至 ftp、rcp、rlogin、rsh、及 telnet 中﹕

-a

嘗試使用您現存的許可證自動登入。使用如 getlogin() 所傳回的使用者名稱，除非它與目前的使用者識別碼不同。（請參見 telnet(1) 線上援助頁中的詳細說明。）

-f

將一張不可重新轉遞的許可證轉遞至一個遠端主機。此選項和 -F 不能並存（請參見下方）；它們無法在相同的指令中一起使用。

如果您有理由相信您必須在一個第三方主機之上向其他 Kerberos 式的服務辯證自己的話，您就必須轉遞一張許可證 - 例如，您想要 rlogin 登入另一部機器然後再從它 rlogin 登入另一部機器。

如果您在遠端主機上的主目錄已使用 Kerberos V5 裝載的話，您就一定要使用一張可轉遞許可證。否則，您將無法存取您的主目錄。（也就是說，假設您一開始登入系統 1。然後又從系統 1 rlogin 登入您的主機器，系統 2，它又從系統 3 裝載您的主目錄。除非您已經與 rlogin 配合使用 -f 或 -F 選項，否則您將無法取得您的主目錄，因為您的許可證無法被轉遞至系統 3。）

根據預設，kinit 會取得可轉遞的能賦予許可證的許可證 (TGT)，不過您的 SEAM 設置在此可能會有所不同。

請參見 "以 -f 及 F 來轉遞許可證-" 中有關轉遞許可證的說明。

-F

將您的一張可重新轉遞之能賦予許可證的許可證副本轉遞給一個遠端系統。這和 -f 很類似（請參見上方），不過它還可讓您繼續存取其他更多（比方說第四或第五）的機器。因此 -F 選項可以被視為 -f 選項的上層集合。-F 選項無法與 -f 選項共存，它們無法被用於相同的指令中。

請參見 "以 -f 及 F 來轉遞許可證-" 中有關轉遞許可證的詳細說明。

-k realm

要求存取指定的範疇中的遠端主機之許可證，而不是使用 krb5.conf 檔案來自行決定範疇。

-K

使用您的許可證來向遠端主機辯證，但並不自動登入。

-m mechanism

指定要使用的 GSS-API 安全機制，如 /etc/gss/mech 檔案中所列。預設為 kerberos_v5。

-x

加密此作業階段。

-Xauth_type

停用 auth_type 的辯證類型。

表 6-1 顯示擁有特定選項的指令（一個 "X" 表示指令有該選項）。

表 6-1 網路指令的 Kerberos 選項

	ftp	rcp	rlogin	rsh	telnet
-a					X
-f	X		X	X	X
-F			X	X	X
-k		X	X	X	X
-K					X
-m	X
-x		X	X	X	X
-X					X

此外，ftp 允許一個作業階段的保護等級在其提示時設定﹕

clear

將保護等級設定為"clear"（沒有任何保護）。此為預設值。

private

將保護等級設定為"private"。利用加密來確保資料傳輸的保密性及整合性。不過這種專用的服務不適用於所有的 SEAM 使用者。

safe

將保護等級設定為"safety"。利用加密核對和來確保資料傳輸的整合性。

您也可以在上述的任何保護等級（clear、private、或safety）之後輸入 protect，以在 ftp 提示時設定保護等級。