Сетевые средства Linux
Шрифт:
Использование сетевых утилит Kerberos
В состав пакета Kerberos входят утилиты, предназначенные для управления паролями и билетами Kerberos. Наиболее важные из них перечислены ниже.
•
kinit
. Эта программа получает TGT. Ее действие можно представить себе как "регистрацию" пользователя в области Kerberos; до запуска kinit
воспользоваться клиентами Kerberos невозможно. При выполнении программа kinit
обращается к KDC для получения TGT. Как было сказано в начале данной главы, TGT используется керберизованными приложениями для получения разрешения на пользование серверами приложений Kerberos. По умолчанию в качестве основы идентификатора принципала применяется
kinit minerva@PANGAEA.EDU
. Программа kinit
также поддерживает и другие опции. Подробную информацию о них можно получить, обратившись к страницам справочной системы, посвященным kinit
. •
klist
. Данная программа выводит список билетов (в том числе TGT), выданных на текущий момент, а также информацию о сроке их действия. Если программа kinit
еще не запущена, klist
не выведет сведений ни об одном билете. •
kpasswd
. Программа kpasswd
не имеет отношения к поддержке конкретных сеансов Kerberos; она позволяет изменять пароль принципала в базе данных Kerberos. Эта программа по сути представляет собой аналог passwd
. Для использования kpasswd
необходимо иметь TGT. •
kdestroy
. Данная программа удаляет все билеты из кэша пользователя. Обычно она вызывается перед окончанием сеанса работы в системе или в том случае, если пользователь твердо знает, что в ближайшем будущем он не будет работать с серверами Kerberos. Несмотря на то что билеты автоматически удаляются по истечении срока их действия, рекомендуется после окончания работы с билетами вызывать программу kdestroy
. Это снизит вероятность того, что злоумышленник сможет обнаружить недостатки в системе защиты и использовать их в своих целях. Совет
Желательно включать вызов
kdestroy
в состав .logout
, .xinitrc
и других стандартных файлов, которые выполняются по окончании сеанса работы пользователя в системе. При использовании модулей РАМ (они будут рассматриваться далее в этой главе) kdestroy
вызывается автоматически. Как используются перечисленные выше утилиты на практике? В большинстве случаев программы
kinit
и kdestroy
вызываются соответственно в начале и в конце сеанса работы. Чтобы определить текущее состояние билетов, можно использовать утилиту klist
. Рассмотрим следующий пример: $ kinit
Password for fluffy@THREEROOMCO.COM:
$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: fluffy@THREEROOMCO.COM
Valid starting Expires Service principal
10/09/02 14:38:57 10/10/02 00:38:57 krbtgt/THREEROOMCO.COM@\
THREEROOMCO.COM
Kerberos 4 ticket cache: /tmp/tkt500
klist: You have no tickets cached
$ kpasswd
Password for fluffy@THREEROOMCO.COM:
Enter new password:
Enter it again:
Password changed.
$ kdestroy
$ klist
klist: No credentials cache file found (ticket cache
FILE:/tmp/krb5cc_500)
Kerberos 4 ticket cache: /tmp/tkt500
klist: You have no tickets cached
Программа
kinit
,
вызываемая в начале работы, получает TGT, который затем отображается при вызове утилиты klist
как krbtgt
. Программа klist
выводит также время выдачи билета и окончания его действия; в данном случае билет действителен в течение десяти часов (в зависимости от системы это значение может изменяться). Если вызвать klist
после использования керберизованного клиента, данная утилита выведет сведения о другом билете. Для изменения пароля надо сначала указать текущий пароль, а затем дважды ввести новый. Как и при работе с kinit
, символы, составляющие пароль, не отображаются на экране. После вызова kdestroy
все билеты удаляются. Использование керберизованных клиентов
Клиент-программы, ориентированные на работу с Kerberos, выполняются так же, как и их аналоги, не обеспечивающие дополнительную защиту. В большинстве случаев для вызова клиент-программы надо ввести ее имя и имя сервера, с которым необходимо установить соединение. Иногда для использования средств Kerberos приходится задавать некоторые параметры. Например, чтобы избавить пользователя от необходимости указывать имя и пароль при работе с клиентом
telnet
, этой программе надо предоставить дополнительные данные. Особенности вызова керберизованных клиентов описаны ниже. •
telnet
. Программа telnet
, ориентированная на работу с Kerberos, отличается от стандартной программы telnet
лишь некоторыми опциями. Если вы вызовете программу с помощью команды telnet удаленный_узел
, вам придется ввести пользовательское имя и пароль. Чтобы воспользоваться преимуществами однократной регистрации, вы должны задать опции – а
(автоматическая регистрация) и – f
(перенаправление билетов). •
rlogin
. Стандартная программа rlogin
может создавать серьезную угрозу безопасности системы (этот вопрос будет подробно рассмотрен в главе 13). Работая с керберизованной версией этой программы, можно воспользоваться средствами аутентификации Kerberos, для чего необходимо задать опцию – f
. Результат получится приблизительно такой же, как при вызове telnet
с опциями – а
и – f
. •
ftp
. При вызове без дополнительных опций данная программа использует средства аутентификации Kerberos, но пользователю приходится подтверждать регистрационное имя (имя пользователя отображает программа, для подтверждения достаточно нажать клавишу <Enter>). На заметку
Программа
ftp
, поставляемая в составе пакета Kerberos, в процессе установления соединения отображает более подробную информацию, чем другие клиенты Kerberos. Если у вас возникли проблемы с установкой конфигурации Kerberos, эта информация поможет разрешить их. •
rsh
. Данная утилита позволяет запускать на другом компьютере программы, выполняющиеся в текстовом режиме, без использования telnet
, rlogin
и других подобных средств. Как и при работе с прочими керберизованными инструментами, при вызове данной программы надо задавать опцию – f
.
Поделиться с друзьями: