Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:kerberos [2013/01/31 15:35] – [Infos und Links zu Schwachstellen von Kerberos] wyneken | wiki:kerberos [2022/03/17 16:51] (aktuell) – angelegt wyneken | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Umgang mit Kerberos ====== | ====== Umgang mit Kerberos ====== | ||
+ | |||
===== Kerberos-Ticket ===== | ===== Kerberos-Ticket ===== | ||
Zeile 33: | Zeile 34: | ||
Vgl. '' | Vgl. '' | ||
+ | ==== Tickets automatisch erneuern für einen längeren Job ==== | ||
+ | |||
+ | Wenn man einen Job hat, der länger geht als der aktuelle Ticket es erlaubt, setzt man den Befehl '' | ||
+ | |||
+ | Zunächst richtet man eine neue Datei ein, in der man den Ticket speichert: | ||
+ | |||
+ | export KRB5CCNAME=/ | ||
+ | |||
+ | Der Dateiname in /tmp kann natürlich auch anders sein. | ||
+ | |||
+ | Dann kinit aufrufen: | ||
+ | |||
+ | kinit -r28day | ||
+ | |||
+ | Das generiert einen Ticket, der 28 Tage lang gültig ist. | ||
+ | |||
+ | Schließlich starte man den Job mit '' | ||
+ | |||
+ | krenew -k / | ||
+ | |||
+ | Mehr Details mit '' | ||
===== " | ===== " | ||
Zeile 58: | Zeile 80: | ||
===== Tickets löschen ===== | ===== Tickets löschen ===== | ||
- | Mit dem Befehl '' | + | Mit dem Befehl '' |
+ | |||
+ | :!: Die Tickets werden aber __noch | ||
Es heißt, dass man eigentlich beim Ausloggen etwa in '' | Es heißt, dass man eigentlich beim Ausloggen etwa in '' | ||
Zeile 128: | Zeile 152: | ||
* http:// | * http:// | ||
- | Kerberos doesn' | + | < |
+ | Kerberos doesn' | ||
+ | environment in which there is one user per workstation. Because of the difficulty of | ||
+ | sharing data between different processes running on the same UNIX computer, Kerberos keeps | ||
+ | tickets in the /tmp directory. If a user is sharing the computer with several other | ||
+ | people, it is possible that the user's tickets can be stolen, that is, copied by an | ||
+ | attacker. Stolen tickets can then be used to obtain fraudulent service | ||
+ | </ | ||
---- | ---- | ||
Zeile 134: | Zeile 165: | ||
* http:// | * http:// | ||
- | Your Kerberos tickets are proof that you are indeed yourself, and tickets could be stolen if someone gains access to a computer where they are stored. If this happens, the person who has them can masquerade as you until they expire. For this reason, you should destroy your Kerberos tickets when you are away from your computer. | + | < |
+ | Your Kerberos tickets are proof that you are indeed yourself, and tickets could be stolen | ||
+ | if someone gains access to a computer where they are stored. If this happens, the person | ||
+ | who has them can masquerade as you until they expire. For this reason, you should destroy | ||
+ | your Kerberos tickets when you are away from your computer. | ||
+ | </ | ||
+ |