Weiterleiten von Tickets mit Option -f oder -F

Wie in "Überblick über kerberosfähige Befehle" beschrieben, ist es bei einigen Befehlen möglich, Tickets entweder mit der Option -f oder mit der Option -F weiterzuleiten. Durch das Weiterleiten von Tickets können Sie Ihre Netzwerk-Transaktionen "verketten"; so können Sie sich zum Beispiel mit rlogin auf einem Computer anmelden und dann von dort aus über rloginauf einem anderen anmelden. Die Option -f erlaubt das Weiterleiten eines Tickets, während die Option -F das erneute Weiterleiten eines bereits weitergeleiteten Tickets erlaubt.

In Abbildung 6-2 ruft der Benutzer david mit kinit ein Ticket-Granting Ticket (TGT) ab. (Es ist nicht weiterreichbar, da er nicht die Option -f angegeben hat.) In Szenario 1 kann er mit rlogin auf Computer B zugreifen, kommt jedoch nicht weiter. In Szenario 2 schlägt der Befehl rlogin -f fehl, weil er versucht, ein Ticket weiterzuleiten, das nicht weiterreichbar ist.

Abbildung 6-2 Verwenden nicht weiterreichbarer Tickets

(In der Realität werden SEAM-Konfigurationsdateien so eingerichtet, dass kinit standardmäßig weiterreichbare Tickets abruft. Ihre Konfiguration könnte jedoch unterschiedlich sein. Für diesen Fall gehen wir davon aus, dass kinit nur dann weiterreichbare TGTs abruft, wenn der Befehl mit der Option - f aufgerufen wird. Beachten Sie übrigens, dass kinit nicht die Option -F hat; TGTs sind nur weiterreichbar oder nicht weiterreichbar.)

In Abbildung 6-3 ruft david weiterreichbare TGTs mit kinit -f ab. In Szenario 3 kann er Computer C erreichen, weil er ein weiterreichbares Ticket mit rlogin verwendet. In Szenario 4 schlägt der zweite rlogin fehl, weil das Ticket nicht wiederholt weiterreichbar ist. Durch Verwendung der Option -F, wie in Szenario 5, ist stattdessen der Befehl rlogin erfolgreich, so dass das Ticket an Computer D weitergereicht werden kann.

Abbildung 6-3 Verwenden weiterreichbarer Tickets