Überblick über kerberosfähige Befehle
Die mit Kerberos ausgestatteten Netzwerk-Services sind diejenigen Programme, die zu einem anderen Computer irgendwo im Internet eine Verbindung herstellen. Diese Programme befinden sich in /usr/krb5/bin; legen Sie die Variable PATH so fest, dass diese vor nicht-Kerberos-Versionen stehen. Es handelt sich bei diesen Programmen um:
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Diese Programme verfügen über alle ursprünglichen Leistungsmerkmale der entsprechenden, nicht kerberosfähigen Entsprechungen. Sie haben auch zusätzliche Leistungsmerkmale, bei denen unter Verwendung von Kerberos-Tickets die Authentisierung (und wahlweise auch Verschlüsselung) mit dem entfernten Host transparent verhandelt wird. In den meisten Fällen werden Sie nur bemerken, dass Sie Ihr Passwort nicht mehr eingeben müssen, um sie zu benutzen, weil Kerberos für Sie den Nachweis Ihrer Identität erbringt.
Die Kerberos V5-Netzwerkprogramme erlauben Ihnen folgende Optionen:
-
Weiterleiten Ihrer Tickets an einen anderen Host (sofern Sie von vornherein weiterreichbare Tickets erworben haben)
-
Verschlüsseln der zwischen Ihnen und dem entfernten Host übertragenen Daten
Hinweis -
Dieser Abschnitt geht davon aus, dass Sie bereits mit den nicht kerberosfähigen Versionen dieser Programme vertraut sind, und stellt daher die Funktionalität heraus, die durch das Kerberos V5-Package hinzugefügt worden sind. Ausführliche Beschreibungen der hier dargestellten Befehle finden Sie auf den entsprechenden Seiten der Online-Dokumentation.
Die folgenden Kerberos-Optionen sind zu den Befehlen ftp, rcp, rlogin, rsh und telnet hinzugefügt worden:
- -a
-
Versuche eine automatische Anmeldung mithilfe von bestehenden Tickets. Verwendet den von getlogin()augegebenen Benutzernamen. Dies ist nicht der Fall, wenn er sich von der aktuellen Benutzer-ID unterscheidet. (Siehe die Online-Dokumentation (Man Page) telnet (1) um weitere Informationen zu erhalten).
- -f
-
Leite ein nicht wiederholt weiterreichbares Ticket an einen entfernten Host weiter. Diese Option und die -F (siehe unten) schließen sich gegenseitig aus; sie können im selben Befehl nicht zusammen verwendet werden.
Sie sollten ein Ticket weiterleiten, wenn Sie Grund zur Annahme haben, dass Sie sich bei einem anderen mit Kerberos ausgestatteten Service authentisieren müssen, wenn Sie sich zum Beispiel über rlogin bei einem anderen Computer und dann von dort aus über rlogin bei einem dritten Computer anmelden möchten.
Sie sollten auf jeden Fall ein weiterreichbares Ticket verwenden, wenn Ihr Home-Verzeichnis auf dem entfernten Host ein mit Kerberos V5 ausgestatteter NFS-Mount ist, weil Sie sonst keinen Zugriff auf Ihr Home-Verzeichnis haben. (Das heißt: angenommen, Sie melden sich zunächst bei System 1 an. Von dort aus melden Sie sich über rlogin bei Ihrem Home-Computer an, System 2, der Ihr Home-Verzeichnis aus System 3 einhängt. Wenn Sie nicht die Option -f oder die Option -F mit dem Befehl rlogin verwendet haben, können Sie nicht zu Ihrem Home-Verzeichnis gelangen, weil Ihr Ticket nicht an System 3 weitergeleitet werden kann.
Standardmäßig ruft kinit weiterreichbare Ticket-Granting Tickets (TGTs) ab; Ihre SEAM-Konfiguration könnte in der Beziehung jedoch anders sein.
Weitere Informationen über das Weiterleiten von Tickets finden Sie unter "Weiterleiten von Tickets mit Option -f oder -F".
- -F
-
Leite eine wiederholt weiterreichbare Kopie eines Ticket-Granting Tickets an ein entferntes System weiter. Ähnlich der Option -f (siehe oben), doch sie erlaubt den Zugriff auf einen weiteren (z. B. vierten oder fünften) Computer. Die Option -F kann daher als Obermenge der Option -f angesehen werden. Diese Option und die Option -f schließen sich gegenseitig aus; sie können im selben Befehl nicht zusammen verwendet werden.
Weitere Informationen über das Weiterleiten von Tickets finden Sie unter "Weiterleiten von Tickets mit Option -f oder -F".
- -k Bereich
-
Fordere Tickets für entfernten Host im angegebenen Bereich an, anstatt den Bereich selbst über die Datei krb5.conf zu ermitteln.
- -K
-
Authentisiere mit den Tickets beim entfernten Host, melde aber nicht automatisch an.
- -m Mechanismus
-
Gebe den zu verwendenden GSS-API-Sicherheitsmechanismus gemäß Liste /etc/gss/mech an. Standardeinstellung ist kerberos_v5.
- -x
-
Verschlüssele diese Sitzung.
- -X auth_type
-
Deaktiviere Authentisierungstyp auth_type.
Tabelle 6-1, zeigt, welche Befehle über bestimmte Optionen verfügen (ein "X" bedeutet, dass der Befehl über diese Option verfügt).
Tabelle 6-1 Kerberos-Optionen für Netzwerk-Befehle|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
-a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
-X |
|
|
|
|
X |
Zusätzlich ermöglicht ftp die Festlegung der Schutzstufe für eine Sitzung zum Zeitpunkt der Befehlseingabe:
- clear
-
Setze die Schutzstufe auf "clear" (kein Schutz). Dies ist die Standardeinstellung.
- private
-
Setze die Schutzstufe auf "private". Datenübertragungen werden zum Schutz der Vertraulichkeit und Integrität verschlüsselt. Dieser Vertraulichkeits-Service steht jedoch möglicherweise nicht allen SEAM-Benutzern zur Verfügung.
- safe
-
Setze die Schutzstufe auf "safe". Integritätsschutz von Datenübertragungen wird durch kryptographische Prüfsummen erreicht.
Sie können die Schutzstufe auch bei der ftp-Befehlseingabe festlegen, indem Sie protect eingeben und danach eine der oben genannten Schutzstufen (clear, privateoder safe).
- © 2010, Oracle Corporation and/or its affiliates