Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Ticket-Verwaltung

Dieser Abschnitt erläutert, wie Tickets abgerufen, angezeigt und vernichtet werden. Eine Einführung in Tickets erhalten Sie in "Funktionsweise von SEAM".

Müssen Sie sich über Tickets Gedanken machen?

Wenn SEAM installiert ist, wird Kerberos in den login-Befehl integriert, wodurch Sie automatisch Tickets erhalten, wenn Sie sich anmelden. Die kerberosfähigen Befehle rsh, rcp, telnet und rlogin werden gewöhnlich so eingerichtet, dass sie Kopien Ihrer Tickets an andere Computer weiterleiten und Sie nicht explizit Tickets anfordern müssen, um Zugang zu diesen Computern zu erhalten. (Es ist möglich, dass Ihre SEAM-Konfiguration dieses automatische Weiterleiten nicht enthält, aber es ist das Standardverhalten.) Weitere Informationen über das Weiterleiten von Tickets erhalten Sie unter "Überblick über kerberosfähige Befehle" und "Weiterleiten von Tickets mit Option -f oder -F".

Die meisten der kerberosfähigen Befehle vernichten auch Ihre Tickets automatisch, wenn sie beendet werden. Sie könnten es jedoch vorziehen, Ihre Kerberos-Tickets mit kdestroy explizit selbst zu vernichten, wenn diese nicht mehr benötigt werden, nur um sicherzugehen. Weitere Informationen über den Befehl kdestroy erhalten Sie unter "Vernichten von Tickets".

Informationen über die Lebensdauer von Tickets finden Sie unter "Lebensdauer für Tickets".

So erstellen Sie ein Ticket

Normalerweise wird ein Ticket automatisch erstellt, wenn Sie sich anmelden, und Sie müssen nichts Besonderes tun, um eines zu erhalten. In den folgenden Fällen könnte es aber notwendig sein, ein Ticket zu erstellen:

Ihr Ticket läuft ab.
Sie müssen zusätzlich zu Ihrem Standard-Hauptbenutzer einen anderen Hauptbenutzer verwenden. (Wenn Sie sich zum Beispiel mit rlogin -l bei einem Computer als jemand anderes anmelden.)

Um ein Ticket zu erstellen, benutzen Sie den Befehl kinit.

% /usr/bin/kinit

kinit fragt Sie nach Ihrem Passwort. Die vollständige Syntax des kinit-Befehls finden Sie auf der Seite kinit(1) der Online-Dokumentation (Man Page).

Beispiel -- Erstellen eines Tickets

Dieses Beispiel zeigt eine Benutzerin, jennifer, die ein Ticket auf Ihrem eigenen System erstellt:

% kinit
Passwort für jennifer@ENG.ACME.COM:  <Geben Sie das Passwort ein>

Hier erstellt der Benutzer david ein Ticket, das mit der Option -l drei Stunden gültig ist:

% kinit -l 3h david@ACME.ORG
Passwort für david@ACME.ORG:  <Geben Sie das Passwort ein>

Dieses Beispiel zeigt, wie david ein weiterreichbares Ticket (über die Option - f) für sich selbst erstellt. Mit diesem weiterreichbaren Ticket kann er sich (zum Beispiel) bei einem zweiten System anmelden und sich dann über telnet mit einem dritten System verbinden.

% kinit -f david@ACME.ORG
Passwort für david@ACME.ORG:     <Geben Sie das Passwort ein>

Mehr daüber, wie das Weiterleiten von Tickets funktioniert, finden Sie unter "Weiterleiten von Tickets mit Option -f oder -F" und "Arten von Tickets".

Anzeigen von Tickets

Nicht alle Tickets sind gleich. Ein Ticket kann beispielsweise weiterreichbarsein; ein weiteres kann nachdatiert sein; während ein drittes beides sein könnte. Sie können sehen, welche Tickets mit welchen Attributen Sie haben, indem Sie den Befehl klist mit der Option -f verwenden:

% /usr/bin/klist -f

Die folgenden Symbole zeigen die mit jedem Ticket verknüpften Attribute an, wie sie durch klist angezeigt werden:

F	Weiterreichbar
f	Weitergereicht
P	Vollmachten-Ticket
p	Bevollmächtigt
D	Nachdatierbar
d	Nachdatiert
R	Erneuerbar
I	Initialticket
i	Ungültig

Die verschiedenen Attribute, die ein Ticket haben kann, werden unter "Arten von Tickets" beschrieben.

Beispiel -- Anzeigen von Tickets

Dieses Beispiel zeigt das Ticket der Benutzerin jennifer, wobei es sich um ein Initialticket handelt, welches weiterreichbar (F) und nachdatiert (d), aber nicht nicht geprüft (i) ist:

% /usr/bin/klist -f
Ticket-Cache: /tmp/krb5cc_74287
Standard-Hauptbenutzer: jenniferm@ENG.ACME.COM
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
09 Mrz 99 15:09:51  09 Mrz 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM
        zu verlängern bis 10 Mrz 99 15:12:51, Optionen: Fdi

Dieses Beispiel zeigt zwei Tickets des Benutzers david, die von einem anderen Host auf diesen weitergereicht (f) wurden. Die Tickets sind auch (wiederholt)weiterreichbar (F):

% klist -f
Ticket-Cache: /tmp/krb5cc_74287
Standard-Hauptbenutzer: david@ACME.SUN.COM
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
07 Mrz 99 06:09:51  09 Mrz 99 23:33:51  host/ACME.COM@ACME.COM
        zu verlängern bis 10 Mrz 99 17:09:51, Optionen: fF
 
Gültig ab                 Läuft ab am                 Service-Hauptbenutzer
08 Mrz 99 08:09:51  09 Mrz 99 12:54:51  nfs/ACME.COM@ACME.COM
        zu verlängern bis 10 Mrz 99 15:22:51, Optionen: fF

Vernichten von Tickets

Tickets werden in der Regel automatisch zerstört, wenn die Befehle, mit denen sie erstellt wurden, beendet werden. Sie könnten es jedoch vorziehen, Ihre Kerberos-Tickets explizit selbst zu vernichten, wenn diese nicht mehr benötigt werden, nur um sicherzugehen. Tickets können gestohlen werden. Wenn das passiert, kann die Person, die sie sich angeeignet hat, diese bis zu ihrem Ablaufdatum verwenden (gestohlene Tickets müssen jedoch entschlüsselt werden).

Um Tickets zu vernichten, verwenden Sie den Befehl kdestroy.

% /usr/bin/kdestroy

kdestroy vernichtet alle Tickets, die Sie haben. Sie können damit nicht gezielt ein bestimmtes Ticket vernichten.

Wenn Sie sich von Ihrem System entfernen müssen und befürchten, dass ein Eindringling Ihre Berechtigungen benutzt, sollten Sie entweder kdestroy verwenden, oder einen Bildschirmschoner, der den Bildschirm sperrt.

Hinweis -

Eine Möglichkeit, sicherzustellen, dass Ihre Tickets immer vernichtet werden, besteht darin, den Befehl kdestroy zur Datei .logout in Ihrem Home-Verzeichnis hinzuzufügen

In Fällen, in denen das PAM-Modul konfiguriert worden ist (Standard), werden Tickets automatisch beim Abmelden vernichtet, so dass ein Aufruf von kdestroy in Ihrer .login-Datei nicht nötig ist. Wenn jedoch das PAM-Modul nicht konfiguriert worden ist, oder wenn Sie nicht wissen, ob dies geschehen ist oder nicht, dann können Sie den Befehl kdestroy zu Ihrer .login-Datei hinzufügen, um sicherzugehen, dass die Tickets vernichtet werden, wenn Sie Ihr System verlassen.