klist: No credentials cache file found (ticket cache
FILE:/tmp/krb5cc_500)
Kerberos 4 ticket cache: /tmp/tkt500
klist: You have no tickets cached
Программа
kinit
, вызываемая в начале работы, получает TGT, который затем отображается при вызове утилиты
klist
как
krbtgt
. Программа
klist
выводит также время выдачи билета и окончания его действия; в данном случае билет действителен в течение десяти часов (в зависимости от системы это значение может изменяться). Если вызвать
klist
после использования керберизованного клиента, данная утилита выведет сведения о другом билете. Для изменения пароля надо сначала указать текущий пароль, а затем дважды ввести новый. Как и при работе с
kinit
, символы, составляющие пароль, не отображаются на экране. После вызова
kdestroy
все билеты удаляются.
Использование керберизованных клиентов
Клиент-программы, ориентированные на работу с Kerberos, выполняются так же, как и их аналоги, не обеспечивающие дополнительную защиту. В большинстве случаев для вызова клиент-программы надо ввести ее имя и имя сервера, с которым необходимо установить соединение. Иногда для использования средств Kerberos приходится задавать некоторые параметры. Например, чтобы избавить пользователя от необходимости указывать имя и пароль при работе с клиентом
telnet
, этой программе надо предоставить дополнительные данные. Особенности вызова керберизованных клиентов описаны ниже.
•
telnet
. Программа
telnet
, ориентированная на работу с Kerberos, отличается от стандартной программы
telnet
лишь некоторыми опциями. Если вы вызовете программу с помощью команды
telnet удаленный_узел
, вам придется ввести пользовательское имя и пароль. Чтобы воспользоваться преимуществами однократной регистрации, вы должны задать опции
– а
(автоматическая регистрация) и
– f
(перенаправление билетов).
•
rlogin
. Стандартная программа
rlogin
может создавать серьезную угрозу безопасности системы (этот вопрос будет подробно рассмотрен в главе 13). Работая с керберизованной версией этой программы, можно воспользоваться средствами аутентификации Kerberos, для чего необходимо задать опцию
– f
. Результат получится приблизительно такой же, как при вызове
telnet
с опциями
– а
и
– f
.
•
ftp
. При вызове без дополнительных опций данная программа использует средства аутентификации Kerberos, но пользователю приходится подтверждать регистрационное имя (имя пользователя отображает программа, для подтверждения достаточно нажать клавишу <Enter>).
На заметку
Программа
ftp
, поставляемая в составе пакета Kerberos, в процессе установления соединения отображает более подробную информацию, чем другие клиенты Kerberos. Если у вас возникли проблемы с установкой конфигурации Kerberos, эта информация поможет разрешить их.
•
rsh
. Данная утилита позволяет запускать на другом компьютере программы, выполняющиеся в текстовом режиме, без использования
telnet
,
rlogin
и других подобных средств. Как и при работе с прочими керберизованными инструментами, при вызове данной программы надо задавать опцию
– f
.
•
rcp
. Стандартная программа
rcp
предназначена для передачи файлов; керберизованная версия данного инструмента поддерживает средства аутентификации Kerberos.
• Прочие программы. Здесь рассмотрены лишь описания сетевых инструментов, поставляемых в составе стандартного пакета Kerberos V5. В настоящее время доступны другие керберизованные системы. Очевидно, что для работы с ними необходимо, чтобы средства Kerberos поддерживались как клиентами, так и серверами.
В справочной системе приведена дополнительная информация о керберизованных клиентских программах, в том числе сведения о различных опциях, которые задаются при их вызове. В особенности внимательно надо прочитать документацию на программы, не входящие в стандартный пакет поставки Kerberos. Некоторые из них обеспечивают минимальное взаимодействие с Kerberos (например, поддерживают аутентификацию, но не осуществляют кодирование), другие реализуют полный набор функций защиты. Говоря о средствах Kerberos, следует особо отметить кодирование данных, которое должно поддерживаться всеми стандартными клиентами Kerberos. Если при вызове такого клиента вы укажете в командной строке опцию
– х
, данные будут передаваться в зашифрованном виде. Эта возможность чрезвычайно полезна в том случае, если необходимо передавать важные данные по Internet или даже по локальной сети. Например, если вы собираетесь зарегистрироваться на компьютере с помощью средств Telnet, а затем использовать команду
su
для выполнения административных функций, то, вероятно, захотите передавать данные в зашифрованном виде и защитить таким образом пароль пользователя
root
. Это позволит сделать команда которая
ksu
, будет рассмотрена ниже в этой главе.
При установке системы Kerberos, поставляемой в виде исходных кодов, пользовательские программы по умолчанию размещаются в каталоге
/usr/local/bin
(инструменты, предназначенные для администрирования, располагаются в
/usr/local/sbin
). Некоторые пакеты, распространяемые в виде двоичных кодов, используют другие каталоги. Например, Kerberos для Red Hat помещает пользовательские программы в каталог
/usr/kerberos/bin
. Для того чтобы использовать керберизованные инструменты вместо стандартных программ, надо включить каталоги, в которых размещены эти инструменты, в состав строки, задаваемой в качестве значения переменной окружения
PATH
, и убедиться, что они находятся перед каталогами со стандартными программами. (Значение переменной окружения
PATH
обычно указывается в файле
/etc/profile
, а для пользователей, работающих с оболочкой Bash, — в файле