このセクションでは、チケットの取得、表示、および破棄を行う方法を説明します。チケットの概要については、Kerberos サービスの動作を参照してください。
Oracle Solaris では、Kerberos は login コマンドに組み込まれています。ただし、チケットを自動的に取得するには、PAM サービスを該当するログインサービス用に構成する必要があります。詳細は、pam_krb5(5) のマニュアルページを参照してください。
ssh コマンドを設定するとチケットのコピーをほかのシステムに転送できるため、これらのシステムへのアクセスを取得するためにチケットを明示的に要求する必要はありません。セキュリティー上の理由から、管理者がこれを防止している可能性があります。詳細は、ssh(1) のマニュアルページにあるエージェント転送に関する説明を参照してください。
チケットの有効期限については、チケットの有効期限を参照してください。
PAM が正しく構成されている場合は、ログインするとチケットが自動的に作成されるため、チケットを取得するために特殊な操作を行う必要はありません。ただし、チケットが期限切れになった場合は、チケットを作成する必要があります。また、デフォルトの主体に加えて別の主体を使用することが必要になる場合 (ssh -l を使用してほかのユーザーとしてシステムにログインする場合など) もあります。
チケットを作成するには、kinit コマンドを使用します。
% /usr/bin/kinit
kinit コマンドからはパスワードの入力を求めるプロンプトが表示されます。kinit コマンドの完全な構文については、kinit(1) のマニュアルページを参照してください。
使用例 38 Kerberos チケットの作成この例は、自分のシステム上でチケットを作成しているユーザー kdoe を示しています。
% kinit Password for kdoe@CORP.EXAMPLE.COM: xxxxxxxx
この例では、ユーザー kdoe が –l オプションを使用して 3 時間有効なチケットを作成します。
% kinit -l 3h kdoe@EXAMPLE.ORG Password for kdoe@EXAMPLE.ORG: xxxxxxxx
すべてのチケットが同じ属性を持つわけではありません。たとえば、1 つのチケットが転送可能であり、別のチケットが遅延であり、3 番目のチケットが転送可能と遅延の両方である場合があります。現在のチケットが何で、どのような属性を持つかを知るには、klist コマンドで –f オプションを使用します。
% /usr/bin/klist -f
次の記号はチケットに関連付けられる属性です。klist によって表示されます。
事前認証済み (Preauthenticated)
遅延可能 (Postdatable)
遅延 (Postdated)
転送可能 (Forwardable)
転送済み (Forwarded)
初期 (Initial)
無効 (Invalid)
プロキシ可能 (Proxiable)
プロキシ (Proxy)
更新可能 (Renewable)
チケットに指定できる属性については、チケットの種類を参照してください。
使用例 39 Kerberos チケットの表示この例は、ユーザー kdoe が、転送可能 (F) かつ遅延 (d) である初期チケットを持っているが、まだ検証されていない (i) ことを示しています。
% /usr/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 09 Feb 14 15:09:51 09 Feb 14 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 15:12:51, Flags: Fdi
次の例は、ユーザー kdoe が、別のホストからそのユーザーのホストに転送済み (f) であった 2 つのチケットを持っていることを示しています。これらのチケットは転送可能 (F) です。
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 07 Feb 14 06:09:51 09 Feb 14 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 17:09:51, Flags: fF Valid starting Expires Service principal 08 Feb 14 08:09:51 09 Feb 14 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 15:22:51, Flags: fF
次の例は、–e オプションを使用してセッション鍵の暗号化タイプとチケットを表示させる方法を示しています。–a オプションは、ネームサービスが変換を実行できる場合に、システムアドレスをシステム名にマップするために使用されます。
% klist -fea Ticket cache: /tmp/krb5cc_74287 Default principal: kdoe@EXAMPLE.COM Valid starting Expires Service principal 07 Feb 14 06:09:51 09 Feb 14 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 10 Feb 14 17:09:51, Flags: FRIA Etype(skey, tkt): AES-256 CTS mode with 96-bit SHA-1 HMAC Addresses: client.example.com
現在のセッション中に取得したすべての Kerberos チケットを破棄するには、kdestroy コマンドを使用します。このコマンドは資格キャッシュを破棄します。これにより、すべての資格とチケットが破棄されます。この破棄は通常は必要ありませんが、kdestroy を実行すると、ログインしていない期間中に資格キャッシュが危険にさらされる可能性が低くなります。
チケットを破棄するには、kdestroy コマンドを使用します。
% /usr/bin/kdestroy
kdestroy コマンドは、そのユーザーのすべてのチケットを破棄します。このコマンドを使用して、特定のチケットを選択して破棄することはできません。
システムから離れようとしている場合は、kdestroy コマンドを使用するか、またはスクリーンセーバーで画面をロックするようにしてください。