Zugriffserlaubnis auf ein Konto

Wenn Sie jemandem Zugriff auf Ihr Konto geben müssen, damit er/sie sich mit Ihrer ID anmelden kann, dann können Sie das über Kerberos erreichen, ohne Ihr Passwort preiszugeben, indem Sie eine .k5login-Datei in Ihrem Home-Verzeichnis ablegen. Diese Datei besteht aus einer Liste mit einem oder mehreren Hauptbenutzern, die jeweils der Person, der Sie den Zugang erlauben möchten, zugeordnet werden. (Jeder Hauptbenutzer muss auf einer gesonderten Zeile angegeben sein.)

Nehmen wir an, dass der Benutzer david eine .k5login-Datei in seinem Home-Verzeichnis führt, deren Inhalt folgendermaßen aussieht:

jennifer@ENG.ACME.COM
joe@ACME.ORG  

Diese Datei erlaubt den Benutzern jennifer und joe, die Identität von david anzunehmen, vorausgesetzt, sie besitzen schon Kerberos-Tickets in ihren jeweiligen Bereichen. So kann zum Beispiel jennifer sich über rlogin auf davids Computer (hamburg) mit dessen Identiät anmelden, ohne dessen Passwort eingeben zu müssen:

Abbildung 6-1 Verwendung der .k5login-Datei

In dem Fall, dass das Home-Verzeichnis von david ein NFS-Mount von einem anderen (dritten) Computer unter Verwendung der Kerberos V5-Protokolle ist, muss jennifer ein weiterreichbares Ticket haben, damit sie auf das Home-Verzeichnis zugreifen kann. Ein Beispiel für die Verwendung eines weiterreichbaren Tickets finden Sie unter "So erstellen Sie ein Ticket".

Wenn Sie sich auf anderen Computern im Netzwerk anmelden möchten, sollten Sie Ihren eigenen Kerberos-Hauptbenutzer in den jeweiligen .k5login-Dateien auf diesen Computern eintragen.

Die Verwendung einer .k5login-Datei ist viel sicherer als die Preisgabe Ihres Passworts:

• Sie können den Zugang jederzeit wieder aufheben, indem Sie den/die Hauptbenutzer aus der Datei .k5login entfernen.

• Obwohl die in der .k5login-Datei Ihres Home-Verzeichnisses genannten Benutzer vollen Zugriff auf Ihr Konto auf diesem Computer (oder auf eine Gruppe von Computern, wenn die Datei .k5login, zum Beispiel über NFS, freigegeben ist) haben, erhalten sie nicht Ihre Netzwerk-Privilegien; das heißt, jeder kerberosfähige Service autorisiert den Zugriff auf der Basis der Identität des jeweiligen Benutzers, nicht Ihrer eigenen. So kann sich jennifer auf dem Computer von joe anmelden und dort Aufgaben erledigen, aber wenn sie ein mit Kerberos ausgestattetes Programm wie ftp oder rlogin verwendet, tut sie dies unter ihrer eigenen Identität.

• Kerberos führt ein Protokoll darüber, wer Tickets abruft; daher kann ein Systemverwalter, sofern erforderlich, herausfinden, wer die Fähigkeit hat, Ihre Benutzer-Identität zu einem bestimmten Zeitpunkt zu benutzen.

Eine übliche Art, die Datei .k5login zu benutzen, ist, sie im Home-Verzeichnis von root abzulegen, wodurch root Zugriff auf die für diesen Computer aufgelisteten Kerberos-Hauptbenutzer erhält. Das gibt einem Systemverwalter die Möglichkeit, auf lokaler Ebene root zu werden, oder sich remote als root anzumelden, ohne das root-Passwort ausgeben zu müssen, und ohne dass jemand das root-Passwort über das Netzwerk eingeben muss.

Beispiel--Verwendung der Datei .k5login

Nehmen wir an, jennifer beschließt, sich auf dem Computer hamburg.acme.com als root anzumelden. Da sie einen Eintrag für ihren Hauptbenutzernamen in der Datei .k5login im Home-Verzeichnis von root auf hamburg.acme.com hat, muss sie auch in diesem Fall nicht ihr Passwort eingeben:

% rlogin hamburg.acme.com -l root -x
Diese rlogin-Sitzung verwendet DES-Verschlüsselung für alle Datenübertragungen.  
Letzte Anmeldung: Do. 20. Juni, 16:20:50 h von chrysantheme
SunOS Release 5.7 (GENERIC) #2: Di 14. Nov 18:09:31 h 1998
hamburg[root]%