票券管理

本节解释如何获得、查看和销毁票券。如要了解对票券的介绍，请参见"SEAM 如何工作"。

您必须为票券操心吗?

随着 SEAM 的安装, Kerberos 就被内置于 login 命令，而您登录时就会自动获得票券。 Kerberized 命令 rsh, rcp, telnet，和 rlogin 通常被设置为将您的票券的副本转发给其它的机器，因而您不必明确地要求得到票券就可以获得对这些机器的访问。 (有可能您的 SEAM 配置不包括这一自动转发功能，但这是默认行为。) 请参见"Kerberized 命令总览" 和 "转发票券借助-f 和 -F"，了解更多有关转发票券的信息。

大多数的 Kerberized 命令还在其退出时，自动销毁您的票券。然而，为安全起见，当您使用完毕时，您可能会需要借助 kdestroy，明确地销毁您的 Kerberos 票券。请参见"如何销毁票券"，了解更多有关 kdestroy 的信息。

如要了解有关票券期限的信息，请参见"票券期限"。

如何创建一个票券

当您登录时，通常会自动创建一个票券，而您无须采取任何特殊动作。然而，在下列情况下，您可能会需要创建一个票券:

• 您的票券到期。

• 您必须使用您的默认的授权对象以外的一个不同的授权对象。(例如，如果您使用 rlogin -l，作为他人登录到一个机器。)

如要创建一个票券，请使用 kinit 命令。

% /usr/krb5/bin/kinit  

kinit 提示您提供您的口令。如要了解 kinit 命令的完整句法，请参见kinit(1) 手册页。

示例 - 创建一个票券

该示例显示的是用户, jennifer, 在其自己的系统上创建一个票券:

% kinit
jennifer@ENG.ACME.COM 的口令: <录入口令> 

这里，用户 david 借助 -l 选项，创建了一个有效期为三个小时的票券:

% kinit -l 3h david@ACME.ORG
 david@ACME.ORG的口令:<录入口令> 

该示例显示的是 david 为其自己创建一个可转发票券 (借助 -f)。借助该可转发票券，他就可以登录到第二个系统 (举例而言) ，然后 telnet 到第三个系统。

% kinit -f david@ACME.ORG
david@ACME.ORG 的口令:<录入口令> 

如要了解更多有关转发票券如何工作的信息，请参见"转发票券借助-f 和 -F" 和 "票券的类型"。

如何查看票券

并非所有的票券均一个样。例如，一个票券可能是 可转发 的; 而另一个可能是 超期 的; 而第三个可能是两者兼而有之。您可以通过使用带 -f 选项的 klist 命令，查看您所拥有的票券的种类及其属性:

% /usr/krb5/bin/klist -f

下列符号指示与每个票券相关联的属性，这些属性可以通过 klist 加以显示:

"票券的类型" 描述一个票券可以拥有的各种各样的属性。

示例 - 查看票券

该示例显示的是用户 jennifer 拥有一个 initial 票券，属于 可转发 (F) 和 超期 (d), 但是尚未得到证实 (i):

%/usr/krb5/bin/klist  -f
票券高速缓存: /tmp/krb5cc_74287
默认的授权对象: jenniferm@ENG.ACME.COM

有效期开始于                 到期                 服务授权对象
99 年 3 月 09 日 15:09:51  99 年 3 月 09 日 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM
         续延到 99年 3 月 10 日 15:12:51, 标志: Fdi

下面的示例显示的是用户 david 拥有两个票券，其从另一主机 已转发 (f) 到他的主机。票券还属于 (re)可转发 (F):

% klist  -f
票券高速缓存: /tmp/krb5cc_74287
默认的授权对象: david@ACME.SUN.COM

有效期开始于                 到期                 服务授权对象
99 年 3 月 07 日 06:09:51  99 年 3 月 09 日 23:33:51host/ACME.COM@ACME.COM
         续延到 99 年 3 月 10 日 17:09:51, 标志: fF

有效期开始于                 到期                 服务授权对象
99 年 3 月 08 日 08:09:51  99 年 3 月 09 日12:54:51  nfs/ACME.COM@ACME.COM
         续延到 99 年 3 月10 日 15:22:51, 标志: fF

如何销毁票券

通常在命令退出时，其所创建的票券会自动被销毁; 然而，为安全起见，当您使用完毕时，您可能会需要明确地销毁您的 Kerberos 票券。票券可能会被偷，而如果发生此类情形，拥有票券的人可以加以使用，一直到其到期 (尽管被偷票券必须经过解密)。

如要销毁您的票券，请使用 kdestroy 命令。

% /usr/krb5/bin/kdestroy

kdestroy 销毁 所有 您的票券。您无法将其用来有选择地销毁一个具体票券。

如果您将要离开您的系统，而又担心一个侵入者使用您的许可，则您应当使用 kdestroy，或者使用一个屏幕保护器将屏幕锁定。

用以确保票券总是得到销毁的一个方法就是，将 kdestroy 命令添加到您的主目录中的 .logout 文件。

如果是 PAM 模块得到配置的情形 (默认和通常情形), 则在注销时，票券自动得到销毁，因而不必将对 kdestroy 的调用添加到您的 .login 文件。然而，如果 PAM 模块尚未得到配置，或者如果您不知道是否业已得到配置，则您可能会需要将 kdestroy 添加到您的 .login文件，以确保当您退出您的系统时，票券得到销毁。