Kerberized 命令总览

Kerberized 网络服务是那些用于连接到因特网上某个地方的另一机器的程序。这些程序位于 /usr/krb5/bin; 请设定您的 PATH 变量，让这些程序出现在非 Kerberos 版本之前。这些程序是:

• ftp

• rcp

• rlogin

• rsh

• telnet

这些程序拥有相对应的非 Kerberos 对等程序的所有原来的特性。它们还拥有附加的特性，用于透明地使用您的 Kerberos 票券来与远程主机协商鉴别 (以及可选的加密)。在大多数的情况下，您只会注意到您不必再键入您的口令就可以使用这些程序，因为 Kerberos 会为您提供对您的身份的证明。

Kerberos V5 网络程序允许您选择:

• 将您的票券转发到另一主机 (如果您起初获得过可转发票券的话)

• 为您和远程主机之间所传输的数据加密

---

注意：

本节假设您业已熟悉这些程序的非 Kerberos 版本，并着重讨论 Kerberos V5 包所添加的 Kerberos 功能。如要了解对本文所述命令的详细的描述，请参见其手册页。

---

下列 Kerberos 选项业已被添加到 ftp, rcp, rlogin, rsh，和 telnet:

-a

试图使用您现有的票券自动进行登录。使用 getlogin() 所返回的用户名，除非这与当前的用户 ID 不同。 (请参见telnet(1) 手册页，了解有关细节。)

-f

将一个不可重新转发 票券转发到一个远程主机。该选项与 -F 相互排斥 (请参见下文); 它们无法一起用在同一命令中。

如果您有理由相信您将需要向某一第三个主机上的其它的基于 Kerberos 的服务鉴别您自己的话，您将需要转发一个票券 - 例如，如果您想 rlogin 到另一机器，然后再从该机器 rlogin 到某一第三个机器。

如果您在远程主机上的主目录是由 NFS 使用 Kerberos V5 进行装配的，则您绝对应当使用一个可转发票券; 否则，您将无法访问您的主目录。(即，假设您起初登录到系统 1。从系统 1 您 rlogin 到您的主机器，系统 2, 该系统从系统 3 装配您的主目录。除非您业已在 rlogin 使用了 -f 或 -F 选项，否则您将无法到达您的主目录，因为您的票券无法被转发到系统 3。)

默认情况是， kinit 获得可转发的具有票券授予权的票券 (TGT); 然而，您的 SEAM 配置可能在这方面有所不同。

如要了解更多有关转发票券的信息，请参见"转发票券借助-f 和 -F"。

-F

将您的具有票券授予权的票券的一个 可重新转发 副本转发到一个远程系统。这类似于 -f (请参见上文), 但是其允许对其它另一 (比如，第四个或第五个) 机器的访问。因而 -F 选项可以被看成是 -f 选项的一个超级。 -F 选项与 -f 选项互相排斥; 它们无法一起用在同一命令中。

如要了解更多有关转发票券的信息，请参见"转发票券借助-f 和 -F"。

-k realm

请求用于所指定 区域 内的远程主机的票券，而不是使用 krb5.conf 文件来确定区域自身。

-K

使用您的票券来向远程主机进行鉴别，但不自动进行登录。

-m 机制

指定使用 GSS-API 安全机制，正如 /etc/gss/mech 文件中所列。 Kerberos_v5 的默认值。

-x

为本对话加密。

-X auth_type

禁用 auth_type 类型的鉴别。

表 6-1，显示哪些命令拥有具体的选项 ("X" 指示该命令拥有该选项)。

表 6-1 用于网络命令的 Kerberos 选项

	ftp	rcp	rlogin	rsh	telnet
-a					X
-f	X		X	X	X
-F			X	X	X
-k		X	X	X	X
-K					X
-m	X
-x		X	X	X	X
-X					X

另外， ftp 允许在其提示处，为对话设定保护级:

清除

将保护级设定为 "清除" (无保护)。这是默认的。

私有

将保护级设定为 "私有。" 通过加密，数据传输受到机密和完整性保护。然而，隐私服务可能并非对所有 SEAM 用户均可用。

安全

将保护级设定为 "安全"。 通过加密校验和，数据传输受到完整性保护。

您还可以在 ftp 提示处设定保护级，方法是通过录入 保护，后面跟有上文所示的任意保护级 (清除, 私有，或 安全)。