SEAMAdministration Tool
第24 章• 管理Kerberos 主体和策略(任务) 447
首先,通过使SEAM Tool 不装入列表,可以完全省去装入列表的时间。可以设置此选项,
方法是从"Edit" 菜单中选择"Properties",然后取消选中"Show Lists" 字段。当然,如果该工
具不装入列表,则不能显示这些列表,因此将无法再使用列表面板来选择主体或策略。而
必须在提供的新"Name" 字段中键入主体或策略名称,然后选择要对其执行的操作。键入名
称与从列表中选择项的结果相同。
处理大型列表的另一种方法是对其进行高速缓存。实际上,已将SEAM Tool 的缺省行为设
置为将列表高速缓存一段时间。最初SEAM Tool 还是必须将这些列表装入高速缓存。但在
此后,该工具就可以使用高速缓存,而不必再次获取列表。这样便无需不断从服务器装入
列表(正是此操作占用了大量时间)。
通过从"Edit" 菜单中选择"Properties",可以设置列表高速缓存。有两种高速缓存设置。可以
选择将列表永久高速缓存;也可以指定必须将列表从服务器重新装入高速缓存的时间限
制。
对列表进行高速缓存时,仍然可以使用列表面板来选择主体和策略,因此该方法不会像第
一种方法那样影响SEAM Tool 的使用方式。另外,尽管使用高速缓存使您无法查看其他用
户所做的更改,但您仍可以根据自己所做的更改查看最新列表信息,因为您所做的更改会
对服务器和高速缓存中的列表进行更新。而且,如果要更新高速缓存以查看其他更改并获
取最新列表副本,可在需要从服务器刷新高速缓存时使用"Refresh" 菜单。
如何启动SEAM Tool
使用gkadmin 命令启动SEAM Tool。
$ /usr/sbin/gkadmin
此时会显示"SEAMAdministration Login" 窗口。
如果不想使用现有的缺省值,请指定新的缺省值。
1
2
SEAMAdministration Tool
448 系统管理指南:安全性服务• 2006 年9 月
该窗口会自动使用缺省值填充。缺省主体名称(username/admin) 是通过从USER 环境变量获
取当前身份并在其后附加/admin 确定的。缺省的"Realm" 和"Master KDC" 字段选自
/etc/krb5/krb5.conf 文件。如果要恢复这些缺省值,请单击"Start Over"。
注– 每个主体名称可以执行的管理操作在KerberosACL文件/etc/krb5/kadm5.acl 中指定。
有关受限权限的信息,请参见第474 页中的“以受限Kerberos 管理权限使用SEAM Tool”。
键入指定主体名称的口令。
单击"OK"。
此时会显示以下窗口:
3
4
SEAMAdministration Tool
第24 章• 管理Kerberos 主体和策略(任务) 449
管理Kerberos 主体
本节提供使用SEAM Tool 管理主体的逐步说明,还提供等效命令行示例(如果有)。
管理Kerberos 主体
450 系统管理指南:安全性服务• 2006 年9 月
管理Kerberos 主体(任务列表)
任务说明参考
查看主体列表。通过单击"Principals" 选项卡来查看主体列表。第452 页中的“如何查看Kerberos
主体列表”
查看主体属性。通过在"Principal List" 中选择"Principal",然后单击
"Modify" 按钮来查看主体的属性。
第454 页中的“如何查看Kerberos
主体属性”
创建新主体。通过单击"Principal List" 面板中的"Create New" 按
钮来创建新主体。
第456 页中的“如何创建新的
Kerberos 主体”
复制主体。通过在"Principal List" 中选择要复制的主体,然后
单击"Duplicate" 按钮来复制主体。
第459 页中的“如何复制Kerberos
主体”
修改主体。通过在"Principal List" 中选择要修改的主体,然后
单击"Modify" 按钮来修改主体。
请注意,不能修改主体的名称。要重命名主体,
必须首先复制该主体,为其指定一个新名称并保
存,然后删除旧主体。
第459 页中的“如何修改Kerberos
主体”
删除主体。通过在"Principal List" 中选择要删除的主体,然后
单击"Delete" 按钮来删除主体。
第460 页中的“如何删除Kerberos
主体”
设置缺省值以创建新主体。通过从"Edit" 菜单中选择"Properties" 来设置缺省值
以创建新主体。
第461 页中的“如何设置缺省值以
创建新的Kerberos 主体”
修改Kerberos 管理权限
(kadm5.acl 文件)。
仅限命令行。Kerberos 管理权限确定主体可对
Kerberos 数据库执行的操作,如添加和修改。
要修改每个主体的Kerberos 管理权限,需要编辑
/etc/krb5/kadm5.acl 文件。
第462 页中的“如何修改Kerberos
管理权限”
自动创建新的Kerberos 主体
尽管SEAM Tool 使用方便,但它不提供自动创建新主体的方法。如果需要在短时间内添加
10 个甚至100 个新主体,则自动创建尤其有用。而在Bourne shell 脚本中使用kadmin.local
命令正好可满足这一需要。
以下shell 脚本行示例说明了如何自动创建新主体:
awk ’{ print "ank +needchange -pw", $2, $1 }’ < /tmp/princnames |
time /usr/sbin/kadmin.local> /dev/null
为了方便阅读,已将此示例拆分为两行。该脚本将读入一个称为princnames 的文件(其中
包含主体名称及其口令)然后将其添加到Kerberos 数据库。您必须创建princnames 文件,
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 451
并在每一行上包含一个主体名称及其口令,中间用一个或多个空格分隔。+needchange 选项
用于配置主体,以便在用户第一次使用该主体登录时提示其输入新口令。此做法有助于确
保princnames 文件中的口令不会引入安全风险。
可以生成更详细的脚本。例如,脚本可使用名称服务中的信息来获取主体名称的用户名列
表。所执行的操作和执行操作的方式取决于站点的需要以及脚本编制技术。
如何查看Kerberos 主体列表
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
此时会显示主体列表。
1
2
管理Kerberos 主体
452 系统管理指南:安全性服务• 2006 年9 月
显示特定主体或主体子列表。
在"Filter" 字段中键入过滤字符串,然后按"Return"。如果过滤操作成功,则会显示与过滤器
匹配的主体列表。
过滤字符串必须由一个或多个字符组成。由于过滤机制区分大小写,因此需要对过滤器使
用正确的大小写字母。例如,如果键入过滤字符串ge,则过滤机制仅显示包含ge 字符串的
主体(如george 或edge)。
如果要显示主体的完整列表,请单击"Clear Filter"。
3
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 453
查看Kerberos 主体列表(命令行)
在以下示例中,kadmin 的list_principals 命令用于列出与test* 匹配的所有主体。通配符
可与list_principals 命令一起使用。
kadmin: list_principals test*
kadmin: quit
如何查看Kerberos 主体属性
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
在列表中选择要查看的主体,然后单击"Modify"。
此时会显示包含该主体某些属性的"Principal Basics" 面板。
继续单击"Next" 以查看该主体的所有属性。
有三个窗口包含属性信息。请从"Help" 菜单中选择"Context-Sensitive Help",获取有关每个
窗口中各种属性的信息。或者,转至第472 页中的“SEAM Tool 面板说明”,了解所有主体
属性说明。
查看完毕后,单击"Cancel"。
查看Kerberos 主体属性
以下示例显示了查看jdb/admin 主体时的第一个窗口。
示例24–1
1
2
3
4
5
示例24–2
管理Kerberos 主体
454 系统管理指南:安全性服务• 2006 年9 月
查看Kerberos 主体属性(命令行)
在以下示例中,kadmin 的get_principal 命令用于查看jdb/admin 主体的属性。
kadmin: getprinc jdb/admin
Principal:
Expiration date: Fri Aug 25 17:19:05 PDT 2004
Last password change: [never]
示例24–3
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 455
Password expiration date: Wed Apr 14 11:53:10 PDT 2003
Maximum ticket life: 1 day 16:00:00
Maximum renewable life: 1 day 16:00:00
Last modified: Thu Jan 14 11:54:09 PST 2003 ()
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 1
Key: vno 1, DES cbc mode with CRC-32, no salt
Attributes: REQUIRES_HW_AUTH
Policy: [none]
kadmin: quit
如何创建新的Kerberos 主体
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
注– 如果要创建一个可能需要新策略的新主体,则应在创建新主体之前创建新策略。请转至
第468 页中的“如何创建新的Kerberos 策略”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
单击"New"。
此时会显示包含某些主体属性的"Principal Basics" 面板。
指定主体名称和口令。
必须提供主体名称和口令。
1
2
3
4
管理Kerberos 主体
456 系统管理指南:安全性服务• 2006 年9 月
指定该主体属性的值,然后继续单击"Next" 以指定其他属性。
有三个窗口包含属性信息。请从"Help" 菜单中选择"Context-Sensitive Help",获取有关每个
窗口中各种属性的信息。或者,转至第472 页中的“SEAM Tool 面板说明”,了解所有主体
属性说明。
单击"Save" 以保存主体,或在最后一个面板上单击"Done"。
如有必要,在/etc/krb5/kadm5.acl 文件中为新主体设置Kerberos 管理权限。
有关更多详细信息,请参见第462 页中的“如何修改Kerberos 管理权限”。
创建新的Kerberos 主体
以下示例显示了创建称为pak 的新主体时的"Principal Basics" 面板。该策略设置为
testuser。
5
6
7
示例24–4
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 457
创建新的Kerberos 主体(命令行)
在以下示例中,kadmin 的add_principal 命令用于创建称为pak 的新主体。该主体的策略设
置为testuser。
kadmin: add_principal -policy testuser pak
Enter password for principal "":
Re-enter password for principal "":
示例24–5
管理Kerberos 主体
458 系统管理指南:安全性服务• 2006 年9 月
Principal "" created.
kadmin: quit
如何复制Kerberos 主体
此过程说明如何使用某个现有主体的全部或部分属性来创建新主体。此过程没有等效命令
行。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
在列表中选择要复制的主体,然后单击"Duplicate"。
此时会显示"Principal Basics" 面板。除空的"Principal Name" 和"Password" 字段之外,选定主
体的其他属性都将被复制。
指定主体名称和口令。
必须提供主体名称和口令。要完全复制选定主体,请单击"Save" 并跳至步骤7。
指定该主体属性的其他值,然后继续单击"Next" 以指定其他属性。
有三个窗口包含属性信息。请从"Help" 菜单中选择"Context-Sensitive Help",获取有关每个
窗口中各种属性的信息。或者,转至第472 页中的“SEAM Tool 面板说明”,了解所有主体
属性说明。
单击"Save" 以保存主体,或在最后一个面板上单击"Done"。
如有必要,在/etc/krb5/kadm5.acl 文件中为主体设置Kerberos 管理权限。
有关更多详细信息,请参见第462 页中的“如何修改Kerberos 管理权限”。
如何修改Kerberos 主体
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
1
2
3
4
5
6
7
1
2
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 459
在列表中选择要修改的主体,然后单击"Modify"。
此时会显示包含该主体某些属性的"Principal Basics" 面板。
修改该主体的属性,然后继续单击"Next" 以修改其他属性。
有三个窗口包含属性信息。请从"Help" 菜单中选择"Context-Sensitive Help",获取有关每个
窗口中各种属性的信息。或者,转至第472 页中的“SEAM Tool 面板说明”,了解所有主体
属性说明。
注– 不能修改主体的名称。要重命名主体,必须首先复制该主体,为其指定一个新名称并保
存,然后删除旧主体。
单击"Save" 按钮以保存主体,或在最后一个面板上单击"Done"。
在/etc/krb5/kadm5.acl 文件中,修改该主体的Kerberos 管理权限。
有关更多详细信息,请参见第462 页中的“如何修改Kerberos 管理权限”。
修改Kerberos 主体口令(命令行)
在以下示例中,kadmin 的change_password 命令用于修改jdb 主体的口令。change_password
命令不允许将口令更改为主体口令历史记录中的口令。
kadmin: change_password jdb
Enter password for principal "jdb":
Re-enter password for principal "jdb":
Password for "" changed.
kadmin: quit
要修改主体的其他属性,必须使用kadmin 的modify_principal 命令。
如何删除Kerberos 主体
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Principals" 选项卡。
3
4
5
6
示例24–6
1
2
管理Kerberos 主体
460 系统管理指南:安全性服务• 2006 年9 月
在列表中选择要删除的主体,然后单击"delete"。
确认删除后,将删除该主体。
从Kerberos 访问控制列表(access control list, ACL) 文件/etc/krb5/kadm5.acl 中删除该主体。
有关更多详细信息,请参见第462 页中的“如何修改Kerberos 管理权限”。
删除Kerberos 主体(命令行)
在以下示例中,kadmin 的delete_principal 命令用于删除jdb 主体。
kadmin: delete_principal pak
Are you sure you want to delete the principal ""? (yes/no): yes
Principal "" deleted.
Make sure that you have removed this principal from all ACLs before reusing.
kadmin: quit
如何设置缺省值以创建新的Kerberos 主体
此过程没有等效命令行。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
从"Edit" 菜单中选择"Properties"。
此时会显示"Properties" 窗口。
3
4
示例24–7
1
2
管理Kerberos 主体
第24 章• 管理Kerberos 主体和策略(任务) 461
选择要在创建新主体时使用的缺省值。
请从"Help" 菜单中选择"Context-Sensitive Help",以获取有关每个窗口中各种属性的信息。
单击"Save"。
如何修改Kerberos 管理权限
尽管您的站点可能有许多用户主体,但您通常只希望一小部分用户能够管理Kerberos 数据
库。管理Kerberos 数据库的权限由Kerberos 访问控制列表(access control list, ACL) 文件
kadm5.acl 确定。通过kadm5.acl 文件,可以允许或禁用各个主体的权限。或者,可在主体
名称中使用"*" 通配符来指定主体组的权限。
成为主KDC 的超级用户。
编辑/etc/krb5/kadm5.acl 文件。
kadm5.acl 文件中的项必须使用以下格式:
principal privileges [principal-target]
3
4
1
2
管理Kerberos 主体
462 系统管理指南:安全性服务• 2006 年9 月
principal 指定要为其授予权限的主体。主体名称的任何部分都可以包含"*" 通配符,这在
为一组主体提供相同权限时很有用。例如,如果要指定包含admin 实例的所有
主体,则可使用。
请注意,admin 实例常用于将单独的权限(如对Kerberos 数据库的管理访问权
限)授予单独的Kerberos 主体。例如,用户jdb 可能具有用于管理的主体
jdb/admin。这样,用户jdb 便仅在实际需要使用这些权限时,才会获取
jdb/admin 票证。
privileges 指定主体能够执行和不能执行的操作。此字段由一个或多个下列字符或其对应
大写形式的字符组成。如果字符为大写形式(或未指定),则不允许执行该操
作。如果字符为小写形式,则允许执行该操作。
a [不]允许添加主体或策略。
d [不]允许删除主体或策略。
m [不]允许修改主体或策略。
c [不]允许更改主体的口令。
i [不]允许查询Kerberos 数据库。
l [不]允许列出Kerberos 数据库中的主体或策略。
x 或* 允许所有权限(admcil)。
principal-target 在此字段中指定主体时,privileges 仅在principal 对principal-target 进行操作时,
才应用于principal。主体名称的任何部分都可以包含"*" 通配符,这在对主体分
组时很有用。
修改Kerberos 管理权限
kadm5.acl 文件中的以下项授予EXAMPLE.COM 领域中包含admin 实例的任何主体对Kerberos
数据库的所有权限:
*
kadm5.acl 文件中的以下项授予 主体添加、列出和查询包含root 实例的任
何主体的权限。
ali
管理Kerberos 策略
本节提供使用SEAM Tool 管理策略的逐步说明,还提供等效命令行示例(如果有)。
示例24–8
管理Kerberos 策略
第24 章• 管理Kerberos 主体和策略(任务) 463
管理Kerberos 策略(任务列表)
任务说明参考
查看策略列表。通过单击"Policies" 选项卡来查看策略列表。第464 页中的“如何查看Kerberos
策略列表”
查看策略属性。通过在"Policy List" 中选择策略,然后单击
"Modify" 按钮来查看策略的属性。
第466 页中的“如何查看Kerberos
策略属性”
创建新策略。通过单击"Policy List" 面板中的"Create New" 按钮来
创建新策略。
第468 页中的“如何创建新的
Kerberos 策略”
复制策略。通过在"Policy List" 中选择要复制的策略,然后单
击"Duplicate" 按钮来复制策略。
第470 页中的“如何复制Kerberos
策略”
修改策略。通过在"Policy List" 中选择要修改的策略,然后单
击"Modify" 按钮来修改策略。
请注意,不能修改策略的名称。要重命名策略,
必须首先复制该策略,为其指定一个新名称并保
存,然后删除旧策略。
第470 页中的“如何修改Kerberos
策略”
删除策略。通过在"Policy List" 中选择要删除的策略,然后单
击"Delete" 按钮来删除策略。
第471 页中的“如何删除Kerberos
策略”
如何查看Kerberos 策略列表
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
此时会显示策略列表。
1
2
管理Kerberos 策略
464 系统管理指南:安全性服务• 2006 年9 月
显示特定策略或策略子列表。
在"Filter" 字段中键入过滤字符串,然后按"Return"。如果过滤操作成功,则会显示与过滤器
匹配的策略列表。
过滤字符串必须由一个或多个字符组成。由于过滤机制区分大小写,因此需要对过滤器使
用正确的大小写字母。例如,如果键入过滤字符串ge,则过滤机制仅显示包含ge 字符串的
策略(如george 或edge)。
如果要显示策略的完整列表,请单击"Clear Filter"。
3
管理Kerberos 策略
第24 章• 管理Kerberos 主体和策略(任务) 465
查看Kerberos 策略列表(命令行)
在以下示例中,kadmin 的list_policies 命令用于列出与*user* 匹配的所有策略。通配符
可与list_policies 命令一起使用。
kadmin: list_policies *user*
testuser
enguser
kadmin: quit
如何查看Kerberos 策略属性
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
在列表中选择要查看的策略,然后单击"Modify"。
此时会显示"Policy Details" 面板。
查看完毕后,单击"Cancel"。
查看Kerberos 策略属性
以下示例显示了查看test 策略时的"Policy Details" 面板。
示例24–9
1
2
3
4
示例24–10
管理Kerberos 策略
466 系统管理指南:安全性服务• 2006 年9 月
查看Kerberos 策略属性(命令行)
在以下示例中,kadmin 的get_policy 命令用于查看enguser 策略的属性。
kadmin: get_policy enguser
Policy: enguser
Maximum password life: 2592000
Minimum password life: 0
示例24–11
管理Kerberos 策略
第24 章• 管理Kerberos 主体和策略(任务) 467
Minimum password length: 8
Minimum number of password character classes: 2
Number of old keys kept: 3
Reference count: 0
kadmin: quit
引用计数是使用此策略的主体数。
如何创建新的Kerberos 策略
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
单击"New"。
此时会显示"Policy Details" 面板。
在"Policy Name" 字段中指定策略的名称。
必须提供策略名称。
指定策略属性的值。
请从"Help" 菜单中选择"Context-Sensitive Help",获取有关此窗口中各种属性的信息。或
者,转至表24–5,了解所有策略属性说明。
单击"Save" 按钮以保存策略,或单击"Done"。
创建新的Kerberos 策略
在以下示例中,创建了一个称为build11 的新策略。"Minimum Password Classes" 设置为3。
1
2
3
4
5
6
示例24–12
管理Kerberos 策略
468 系统管理指南:安全性服务• 2006 年9 月
创建新的Kerberos 策略(命令行)
在以下示例中,kadmin 的add_policy 命令用于创建build11 策略。此策略要求口令中至少
有3 类字符。
$ kadmin
kadmin: add_policy -minclasses 3 build11
kadmin: quit
示例24–13
管理Kerberos 策略
第24 章• 管理Kerberos 主体和策略(任务) 469
如何复制Kerberos 策略
此过程说明如何使用某个现有策略的全部或部分属性来创建新策略。此过程没有等效命令
行。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
在列表中选择要复制的策略,然后单击"Duplicate"。
此时会显示"Policy Details" 面板。除空的"Policy Name" 字段以外,选定策略的其他所有属性
都将被复制。
在"Policy Name" 字段中指定复制策略的名称。
必须提供策略名称。要完全复制选定策略,请跳至步骤6。
指定策略属性的其他值。
请从"Help" 菜单中选择"Context-Sensitive Help",获取有关此窗口中各种属性的信息。或
者,转至表24–5,了解所有策略属性说明。
单击"Save" 按钮以保存策略,或单击"Done"。
如何修改Kerberos 策略
此过程后附等效命令行示例。
如有必要,启动SEAM Tool。
有关详细信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
在列表中选择要修改的策略,然后单击"Modify"。
此时会显示"Policy Details" 面板。
修改该策略的属性。
请从"Help" 菜单中选择"Context-Sensitive Help",获取有关此窗口中各种属性的信息。或
者,转至表24–5,了解所有策略属性说明。
1
2
3
4
5
6
1
2
3
4
管理Kerberos 策略
470 系统管理指南:安全性服务• 2006 年9 月
注– 不能修改策略的名称。要重命名策略,必须首先复制该策略,为其指定一个新名称并保
存,然后删除旧策略。
单击"Save" 按钮以保存策略,或单击"Done"。
修改Kerberos 策略(命令行)
在以下示例中,kadmin 的modify_policy 命令用于将build11 策略的最小口令长度修改为5
个字符。
$ kadmin
kadmin: modify_policy -minlength 5 build11
kadmin: quit
如何删除Kerberos 策略
此过程后附等效命令行示例。
注– 删除某策略之前,必须从当前正在使用该策略的所有主体取消该策略。为此,需要修改
这些主体的策略属性。如果有任何主体在使用该策略,则无法将其删除。
如有必要,启动SEAM Tool。
有关更多信息,请参见第448 页中的“如何启动SEAM Tool”。
$ /usr/sbin/gkadmin
单击"Policies" 选项卡。
在列表中选择要删除的策略,然后单击"Delete"。
确认删除后,将删除该策略。
删除Kerberos 策略(命令行)
在以下示例中,kadmin 的delete_policy 命令用于删除build11 策略。
kadmin: delete_policy build11
Are you sure you want to delete the policy "build11"? (yes/no): yes
kadmin: quit
5
示例24–14
1
2
3
示例24–15
管理Kerberos 策略
第24 章• 管理Kerberos 主体和策略(任务) 471
删除某策略之前,必须从当前正在使用该策略的所有主体取消该策略。为此,需要对受影
响的主体使用kadmin 的modify_principal - policy 命令。如果主体正在使用该策略,则
delete_policy 命令将会失败。
SEAM Tool 参考
本节为SEAM Tool 中的每个面板提供说明。另外,还提供有关以受限权限使用SEAM Tool
的信息。
SEAM Tool 面板说明
本节提供可在SEAM Tool 中指定或查看的每个主体和策略属性的说明。这些属性按显示它
们的面板进行组织。
表24–2 SEAMTool 的"Principal Basics" 面板中的属性
属性说明
Principal Name 主体的名称(全限定主体名称的primary/instance 部分)。主体是KDC 可以为其指定票
证的唯一标识。
修改主体时不能编辑其名称。
Password 主体的口令。可使用"Generate Random Password" 按钮为主体创建随机口令。
Policy 主体的可用策略菜单。
Account Expires 主体帐户的失效日期和时间。帐户失效后,主体就无法再获取票证授予票证
(Ticket-Granting Ticket, TGT),并且可能无法登录。
Last Principal Change 上次修改主体信息的日期。(只读)
Last Changed By 上次更改此主体帐户的主体的名称。(只读)
注释与主体有关的注释(如“临时帐户”)。
表24–3 SEAMTool 的"Principal Details" 面板中的属性
属性说明
Last Success 主体上次登录成功的日期和时间。(只读)
Last Failure 主体上次登录失败的日期和时间。(只读)
Failure Count 主体登录失败的次数。(只读)
Last Password Change 上次更改主体口令的日期和时间。(只读)
Password Expires 主体当前口令失效的日期和时间。
SEAMTool 参考
472 系统管理指南:安全性服务• 2006 年9 月
表24–3 SEAM Tool 的"Principal Details" 面板中的属性(续)
属性说明
Key Version 主体的密钥版本号。通常,只有在口令已泄漏的情况下才会更改此属性。
Maximum Lifetime (seconds) 可将票证授予主体的最长时间(不续用)。
Maximum Renewal (seconds) 主体可续用现有票证的最长时间。
表24–4 SEAMTool 的"Principal Flags" 面板中的属性
属性(单选按钮) 说明
Disable Account 选中此项后,将禁止主体登录。此属性提供了一种临时冻结主体帐户的简便方法。
Require Password Change 选中此项后,将使主体的当前口令失效,这将会强制用户使用kpasswd 命令来创建新口
令。如果安全性被破坏,并且需要确保替换旧口令,则此属性很有用。
Allow Postdated Tickets 选中此项后,将允许主体获取以后生效的票证。
例如,如果cron 作业必须在几小时后运行,但您又因为票证的生命周期不够长而无法提
前获取票证,则可能需要对其使用以后生效的票证。
Allow Forwardable Tickets 选中此项后,将允许主体获取可转发的票证。
可转发的票证即可转发至远程主机以提供单点登录会话的票证。例如,如果使用可转发
的票证并且通过ftp 或rsh 进行自我验证,则可使用其他服务(如NFS 服务),而不会
提示您输入其他口令。
Allow Renewable Tickets 选中此项后,将允许主体获取可续用的票证。
主体可以自动延长可续用票证的失效日期或时间,而不必在票证首次失效后获取新的票
证。目前,NFS 服务是可以续用票证的票证服务。
Allow Proxiable Tickets 选中此项后,将允许主体获取可代理的票证。
可代理票证即可被服务以客户机名义执行客户机操作时使用的票证。借助可代理票证,
服务可采用客户机的身份来获取其他服务的票证。但是,该服务不能获取票证授予票证
(Ticket-Granting Ticket, TGT)。
Allow Service Tickets 选中此项后,将允许为主体颁发服务票证。
不允许为kadmin/hostname 和changepw/hostname 主体颁发服务票证。此做法可确保只有
这些主体才能更新KDC 数据库。
Allow TGT-Based Authentication 选中此项后,将允许服务主体为其他主体提供服务。具体而言,此属性允许KDC 为服
务主体颁发服务票证。
此属性仅对服务主体有效。如果取消选中此项,将无法为服务主体颁发服务票证。
Allow Duplicate Authentication 选中此项后,将允许用户主体获取其他用户主体的服务票证。
此属性仅对用户主体有效。如果取消选中此项,用户主体将仍可获取服务主体的服务票
证,但不能获取其他用户主体的服务票证。
SEAMTool 参考
第24 章• 管理Kerberos 主体和策略(任务) 473
表24–4 SEAM Tool 的"Principal Flags" 面板中的属性(续)
属性(单选按钮) 说明
Required Preauthentication 选中此项后,KDC 在验证(通过软件)主体确为请求TGT 的主体之前,不会将请求的
票证授予票证(Ticket-Granting Ticket, TGT) 发送给该主体。此预验证通常通过附加口令
(如DES 卡)完成。
如果取消选中此项,则KDC 不必在向主体发送请求的TGT 之前预先验证主体。
Required Hardware
Authentication
选中此项后,KDC 在验证(通过硬件)主体确为请求TGT 的主体之前,不会将请求的
票证授予票证(Ticket-Granting Ticket, TGT) 发送给该主体。例如,可对Java 环形阅读器
进行硬件预验证。
如果取消选中此项,则KDC 不必在向主体发送请求的TGT 之前预先验证主体。
表24–5 SEAMTool 的"Policy Basics" 面板中的属性
属性说明
Policy Name 策略的名称。策略是一组用于管理主体口令和票证的规则。
修改策略时不能编辑其名称。
Minimum Password Length 主体口令的最小长度。
Minimum Password Classes 主体口令中要求使用的最少不同字符类型数。
例如,最少类值为2 表示口令必须至少使用两种不同的字符类型,如字母和数字
(hi2mom)。值为3 表示口令必须至少使用三种不同的字符类型,如字母、数字和标点符
号(hi2mom!)。依此类推。
值为1 则表示对口令字符类型数未设置任何限制。
Saved Password History 主体先前使用的口令数,以及无法重新使用的先前口令的列表。
Minimum Password Lifetime
(seconds)
口令在可更改之前必须经历的最短时间。
Maximum Password Lifetime
(seconds)
口令在必须更改之前可以经历的最长时间。
Principals Using This Policy 当前应用此策略的主体数。(只读)
以受限Kerberos 管理权限使用SEAM Tool
如果admin 主体拥有管理Kerberos 数据库的所有权限,则可使用SEAMAdministration Tool
的所有功能。但是,您的权限可能受到限制,如仅允许查看主体列表或更改主体口令。借
助受限Kerberos 管理权限,仍然可以使用SEAM Tool。但是,SEAM Tool 的各个部分会基于
未拥有的Kerberos 管理权限而变化。表24–6 显示了SEAM Tool 基于Kerberos 管理权限变化
的情况。
SEAMTool 参考
474 系统管理指南:安全性服务• 2006 年9 月
没有列表权限时,SEAM Tool 会发生最直观的变化。如果没有列表权限,列表面板便不会显
示供您处理的主体和策略列表。相反,您必须使用列表面板中的"Name" 字段来指定要处理
的主体或策略。
如果您登录到SEAM Tool,但却没有足够的权限来使用它执行任务,则会显示以下消息并且
会返回到"SEAMAdministration Login" 窗口:
Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.
要更改主体的权限以便它可管理Kerberos 数据库,请转至第462 页中的“如何修改
Kerberos 管理权限”。
表24–6 以受限Kerberos 管理权限使用SEAMTool
禁用的权限SEAM Tool 如何变化
a(添加) "Principal List" 和"Policy List" 面板中的"Create New" 和"Duplicate"
按钮不可用。如果没有添加权限,则无法创建新主体或策略,
也不能复制它们。
d(删除) "Principal List" 和"Policy List" 面板中的"Delete" 按钮不可用。如果
没有删除权限,则无法删除主体或策略。
m(修改) "Principal List" 和"Policy List" 面板中的"Modify" 按钮不可用。如
果没有修改权限,则无法修改主体或策略。
而且,如果"Modify" 按钮不可用,则即使您拥有更改口令的权
限,也不能修改主体的口令。
c(更改口令) "Principal Basics" 面板中的"Password" 字段处于只读状态,无法
更改。如果没有更改口令的权限,则无法修改主体的口令。
请注意,即使您拥有更改口令的权限,还必须同时拥有修改权
限才能更改主体的口令。
i(查询数据库) "Principal List" 和"Policy List" 面板中的"Modify" 和"Duplicate" 按
钮不可用。如果没有查询权限,则无法修改或复制主体或策
略。
而且,如果"Modify" 按钮不可用,则即使您拥有更改口令的权
限,也不能修改主体的口令。
l(列出) 列表面板中的主体和策略列表不可用。如果没有列表权限,则
必须使用列表面板中的"Name" 字段来指定要处理的主体或策
略。
SEAMTool 参考
第24 章• 管理Kerberos 主体和策略(任务) 475
管理密钥表文件
提供服务的每台主机都必须包含称为keytab(密钥表)的本地文件,keytab(密钥表)
是“key table(密钥表)”的缩写。密钥表包含相应服务的主体,称为服务密钥。服务使用服
务密钥向KDC 进行自我验证,并且只有Kerberos 和服务本身知道服务密钥。例如,如果您
有基于Kerberos 的NFS 服务器,则该服务器必须具有包含其nfs 服务主体的密钥表文件。
要将服务密钥添加至密钥表文件,应使用kadmin 的ktadd 命令,将相应的服务主体添加至
主机的密钥表文件。由于要将服务主体添加至密钥表文件,因此该主体必须已存在于
Kerberos 数据库中,以便kadmin 可验证其存在。在主KDC 上,密钥表文件的缺省位置为
:/etc/krb5/kadm5.keytab。在提供基于Kerberos 的服务的应用程序服务器上,密钥表文件
的缺省位置为:/etc/krb5/krb5.keytab。
密钥表类似于用户的口令。正如用户保护其口令很重要一样,应用程序服务器保护其密钥
表文件同样也很重要。应始终将密钥表文件存储在本地磁盘上,并且只允许root 用户读取
这些文件。另外,绝不要通过不安全的网络发送密钥表文件。
还有一种特殊情况需要将root 主体添加至主机的密钥表文件。如果希望Kerberos 客户机用
户挂载基于Kerberos 的NFS 文件系统(要求与超级用户等效的权限),则必须将客户机的
root 主体添加至客户机的密钥表文件。否则,每当用户要使用root 权限挂载基于Kerberos
的NFS 文件系统时,即使正在使用自动挂载程序,也必须以root 身份使用kinit 命令来获
取客户机root 主体的凭证。
注– 设置主KDC时,需要将kadmind 和changepw 主体添加至kadm5.keytab 文件。
可用于管理密钥表文件的另一个命令是ktutil 命令。使用此交互式命令,可在没有
Kerberos 管理权限的情况下管理本地主机的密钥表文件,因为ktutil 不会像kadmin 那样与
Kerberos 数据库交互,因此,将主体添加至密钥表文件后,可使用ktutil 来查看密钥表文
件中的密钥列表,或临时禁用对服务的验证。
注– 使用kadmin 中的ktadd 命令更改密钥表文件中的主体时,将生成一个新的密钥并将其添
加至密钥表文件。
管理密钥表文件(任务列表)
任务说明参考
将服务主体添加至密钥表文件。使用kadmin 的ktadd 命令将服务主体添加至密钥
表文件。
第477 页中的“如何将Kerberos 服
务主体添加至密钥表文件”
从密钥表文件中删除服务主体。使用kadmin 的ktremove 命令从密钥表文件中删除
服务主体。
第479 页中的“如何从密钥表文件
中删除服务主体”
管理密钥表文件
476 系统管理指南:安全性服务• 2006 年9 月
任务说明参考
显示密钥表文件中的密钥列表
(主体列表)。
使用ktutil 命令来显示密钥表文件中的密钥列
表。
第480 页中的“如何显示密钥表文
件中的密钥列表(主体)”
临时禁用对主机上的服务的验
证。
此过程可以快速地临时禁用对主机上的服务的验
证,而不需要kadmin 权限。
使用ktutil 从服务器的密钥表文件中删除服务主
体之前,应将原始密钥表文件复制到一个临时位
置。如果要再次启用该服务,请将原始密钥表文
件复制回其相应的位置。
第481 页中的“如何临时禁用对主
机上的服务的验证”
如何将Kerberos 服务主体添加至密钥表文件
确保Kerberos 数据库中已存在该主体。
有关更多信息,请参见第452 页中的“如何查看Kerberos 主体列表”。
成为需要将主体添加至其密钥表文件的主机的超级用户。
启动kadmin 命令。
# /usr/sbin/kadmin
使用ktadd 命令将主体添加至密钥表文件。
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
-e enctype 覆盖krb5.conf 文件中定义的加密类型列表。
-k keytab 指定密钥表文件。缺省情况下,使用/etc/krb5/krb5.keytab。
-q 显示简要信息。
principal 指定要添加至密钥表文件的主体。可以添加以下服务主体:host、
root、nfs 和ftp。
-glob principal-exp 指定主体表达式。与principal-exp 匹配的所有主体都将添加至密钥表
文件。主体表达式的规则与kadmin 的list_principals 命令的规则相
同。
退出kadmin 命令。
kadmin: quit
将服务主体添加至密钥表文件
在以下示例中,kadmin/admin 和kadmin/changepw 主体被添加至主KDC 的密钥表文件。对
于该示例,密钥表文件必须是在kdc.conf 文件中指定的文件。
1
2
3
4
5
示例24–16
管理密钥表文件
第24 章• 管理Kerberos 主体和策略(任务) 477
kdc1 # /usr/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/admin kadmin/changepw
EnEntry for principal with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type ARCFOUR
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type AES-128 CTS
mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type ARCFOUR
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit
在以下示例中,denver 的host 主体被添加至denver 的密钥表文件,以便KDC 验证denver
的网络服务。
denver # /usr/sbin/kadmin
kadmin: ktadd
Entry for principal with kvno 3, encryption type AES-128 CTS mode
管理密钥表文件
478 系统管理指南:安全性服务• 2006 年9 月
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal with kvno 3, encryption type Triple DES cbc mode
with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal with kvno 3, encryption type ARCFOUR
with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit
如何从密钥表文件中删除服务主体
成为包含必须从其密钥表文件中删除的服务主体的主机的超级用户。
启动kadmin 命令。
# /usr/sbin/kadmin
(可选的)要显示密钥表文件中的当前主体(密钥)列表,请使用ktutil 命令。
有关详细说明,请参见第480 页中的“如何显示密钥表文件中的密钥列表(主体)”。
使用ktremove 命令从密钥表文件中删除主体。
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
-k keytab 指定密钥表文件。缺省情况下,使用/etc/krb5/krb5.keytab。
-q 显示简要信息。
principal 指定要从密钥表文件中删除的主体。
kvno 删除密钥版本号与kvno 匹配的指定主体的所有项。
all 删除指定主体的所有项。
old 删除指定主体(具有最高密钥版本号的主体除外)的所有项。
退出kadmin 命令。
kadmin: quit
1
2
3
4
5
管理密钥表文件
第24 章• 管理Kerberos 主体和策略(任务) 479
从密钥表文件中删除服务主体
在以下示例中,从denver 的密钥表文件中删除了denver 的host 主体。
denver # /usr/sbin/kadmin
kadmin: ktremove
kadmin: Entry for principal with kvno 3
removed from keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit
如何显示密钥表文件中的密钥列表(主体)
成为包含密钥表文件的主机的超级用户。
注– 尽管可以创建由其他用户拥有的密钥表文件,但使用密钥表文件的缺省位置需要root
拥有权。
启动ktutil 命令。
# /usr/bin/ktutil
使用read_kt 命令将密钥表文件读入密钥列表缓冲区。
ktutil: read_kt keytab
使用list 命令显示密钥列表缓冲区。
ktutil: list
此时会显示当前的密钥列表缓冲区。
退出ktutil 命令。
ktutil: quit
显示密钥表文件中的密钥列表(主体)
以下示例显示了denver 主机的/etc/krb5/krb5.keytab 文件中的密钥列表。
denver # /usr/bin/ktutil
ktutil: read_kt /etc/krb5/krb5.keytab
示例24–17
1
2
3
4
5
示例24–18
管理密钥表文件
480 系统管理指南:安全性服务• 2006 年9 月
ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
1 5
ktutil: quit
如何临时禁用对主机上的服务的验证
有时可能需要在网络应用程序服务器上,临时禁用对服务(如rlogin 或ftp)的验证机
制。例如,可能希望在执行维护过程时禁止用户登录到系统。使用ktutil 命令,可以通过
从服务器的密钥表文件中删除服务主体来完成此任务,而不需要kadmin 权限。要再次启用
验证,只需要将保存的原始密钥表文件复制回其原始位置。
注– 缺省情况下,大多数服务都被设置为要求验证。如果某服务未设置为要求验证,则即使
对该服务禁用验证,该服务仍然会运行。
成为包含密钥表文件的主机的超级用户。
注– 尽管可以创建由其他用户拥有的密钥表文件,但使用密钥表文件的缺省位置需要root
拥有权。
将当前密钥表文件保存到临时文件。
启动ktutil 命令。
# /usr/bin/ktutil
使用read_kt 命令将密钥表文件读入密钥列表缓冲区。
ktutil: read_kt keytab
使用list 命令显示密钥列表缓冲区。
ktutil: list
此时会显示当前的密钥列表缓冲区。请注意要禁用的服务的槽号。
要临时禁用主机的服务,请使用delete_entry 命令从密钥列表缓冲区中删除特定的服务主
体。
ktutil: delete_entry slot-number
其中,slot-number 指定要删除的服务主体的槽号,可使用list 命令来显示它。
1
2
3
4
5
6
管理密钥表文件
第24 章• 管理Kerberos 主体和策略(任务) 481
使用write_kt 命令,将密钥列表缓冲区写入新的密钥表文件。
ktutil: write_kt new-keytab
退出ktutil 命令。
ktutil: quit
移动新的密钥表文件。
# mv new-keytab keytab
如果要再次启用该服务,请将临时(原始)密钥表文件复制回其原始位置。
临时禁用主机上的服务
在以下示例中,临时禁用了denver 主机上的host 服务。要重新启用denver 上的主机服务,
应将krb5.keytab.temp 文件复制到/etc/krb5/krb5.keytab 文件中。
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1 8
2 5
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1 8
ktutil:write_kt /etc/krb5/new.krb5.keytab
ktutil: quit
7
8
9
10
示例24–19
管理密钥表文件
482 系统管理指南:安全性服务• 2006 年9 月
denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab
管理密钥表文件
第24 章• 管理Kerberos 主体和策略(任务) 483
484
使用Kerberos 应用程序(任务)
本章适用于其系统中配置了Kerberos 服务的人员。本章介绍如何使用提供的基于Kerberos
的命令和服务。阅读本章中的这些命令之前,您应该对非基于Kerberos 的版本中的这些命
令比较熟悉。
由于本章适用于一般读者,因此其中包含有关票证的信息:获取、查看和销毁票证。本章
还包含有关选择或更改Kerberos 口令的信息。
以下是本章中信息的列表:
第485 页中的“Kerberos 票证管理”
第489 页中的“Kerberos 口令管理”
第494 页中的“Kerberos 用户命令”
有关Solaris Kerberos 产品的概述,请参见第20 章。
Kerberos 票证管理
本节介绍如何获取、查看和销毁票证。有关票证的介绍,请参见第346 页中的“Kerberos
服务的工作方式”。
是否需要担心票证?
安装任何SEAM 发行版或Solaris 10 发行版后,Kerberos 便内置在login 命令中,并且您将在
登录时自动获取票证。通常,由于会将基于Kerberos 的命令rsh、rcp、rdist、telnet 和
rlogin 设置为将票证副本转发到其他计算机,因此您不必显式请求票证来访问这些计算
机。配置中可能不包括此自动转发,但这是缺省行为。有关转发票证的更多信息,请参见
第495 页中的“基于Kerberos 的命令概述”和第497 页中的“转发Kerberos 票证”。
有关票证生命周期的信息,请参见第506 页中的“票证生命周期”。
25 第2 5 章
485
创建Kerberos 票证
通常,如果PAM配置正确,则会在登录时自动创建票证,并且无需执行任何特殊操作即可
获取票证。但是,如果票证到期,则可能需要创建票证。另外,可能还需要使用缺省主体
以外的其他主体,例如,如果使用rlogin -l 以其他人的身份登录到计算机。
要创建票证,请使用kinit 命令。
% /usr/bin/kinit
kinit 命令将提示您输入口令。有关kinit 命令的完整语法,请参见kinit(1) 手册页。
示例-创建Kerberos 票证
本示例说明用户jennifer 如何在自己的系统上创建票证。
% kinit
Password for :
在以下示例中,用户david 使用-l 选项创建了一个有效期为三个小时的票证。
% kinit -l 3h
Password for :
本示例说明用户david 如何使用-f 选项为其自身创建可转发票证。例如,该用户可以使用
此可转发票证登录到第二个系统,然后telnet 到第三个系统。
% kinit -f
Password for :
有关转发票证如何工作的更多信息,请参见第497 页中的“转发Kerberos 票证”和第505 页
中的“票证类型”。
Kerberos 票证管理
486 系统管理指南:安全性服务• 2006 年9 月
查看Kerberos 票证
并非所有票证都相同。例如,一个票证可能是可转发票证,另一个票证则可能
是以后生效的票证,而第三个票证既可能是可转发票证,又可能是以后生效的票证。使用
带有-f 选项的klist 命令,可以查看所拥有的票证以及这些票证的属性:
% /usr/bin/klist -f
以下符号表示与每个票证关联的属性,如klist 输出所示:
A
已预验证
D
可以后生效
d
以后生效
F
可转发
f
已转发
I
初始
i
无效
P
可代理
p
代理
R
可更新
第505 页中的“票证类型”介绍了票证可以具有的各种属性。
示例-查看Kerberos 票证
本示例说明用户jennifer 拥有一个初始票证,该票证是可转发(F) 和以后生效的(d) 票证,
但尚未经过验证(i)。
% /usr/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal:
阅读(728) | 评论(0) | 转发(0) |