并非所有票证都相同。例如,第一个票证可能是 forwardable,第二个票证可能是 postdated,而第三个票证可能同时是 forwardable 和 postdated。使用带有 –f 选项的 klist 命令,可以查看所拥有的票证以及这些票证的属性:
% /usr/bin/klist -f
以下符号表示与每个票证关联的属性,如 klist 输出所示:
Preauthenticated(已预验证)
Postdatable(可以后生效)
Postdated(以后生效)
Forwardable(可转发)
Forwarded(已转发)
Initial(初始)
Invalid(无效)
Proxiable(可代理)
Proxy(代理)
Renewable(可更新)
票证类型介绍了票证可以具有的各种属性。
示例 6-2 查看 Kerberos 票证本示例说明用户 kdoe 拥有一个 initial 票证,该票证是 forwardable (F) 和 postdated (d) 票证,但尚未经过验证 (i)。
% /usr/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 09 Feb 14 15:09:51 09 Feb 14 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 15:12:51, Flags: Fdi
以下示例说明 kdoe 拥有两个票证,这些票证是从其他主机 forwarded (f) 到用户主机的票证。这些票证也是 forwardable (F) 票证。
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 07 Feb 14 06:09:51 09 Feb 14 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 17:09:51, Flags: fF Valid starting Expires Service principal 08 Feb 14 08:09:51 09 Feb 14 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 15:22:51, Flags: fF
以下示例说明如何使用 –e 选项显示会话密钥和票证的加密类型。如果名称服务可以执行转换操作,则可使用 –a 选项将主机地址映射为主机名。
% klist -fea Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 07 Feb 14 06:09:51 09 Feb 14 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 17:09:51, Flags: FRIA Etype(skey, tkt): AES-256 CTS mode with 96-bit SHA-1 HMAC Addresses: client.example.com