Kerberos 票证管理
第25 章• 使用Kerberos 应用程序（任务） 487
Valid starting Expires Service principal
09 Mar 04 15:09:51 09 Mar 04 21:09:51
renew until 10 Mar 04 15:12:51, Flags: Fdi
以下示例说明用户david 拥有两个从另一台主机转发(f) 到其主机的票证。这些票证也
是可转发(F) 票证。
% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal:
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51
renew until 10 Mar 04 17:09:51, Flags: fF
Valid starting Expires Service principal
08 Mar 04 08:09:51 09 Mar 04 12:54:51
renew until 10 Mar 04 15:22:51, Flags: fF
以下示例说明如何使用-e 选项显示会话密钥和票证的加密类型。如果名称服务可以执行转
换操作，则可使用-a 选项将主机地址映射至主机名。
% klist -fea
Ticket cache: /tmp/krb5cc_74287
Default principal:
Valid starting Expires Service principal
Kerberos 票证管理
488 系统管理指南：安全性服务• 2006 年9 月
07 Mar 04 06:09:51 09 Mar 04 23:33:51
renew until 10 Mar 04 17:09:51, Flags: FRIA
Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32
Addresses: client.example.com
销毁Kerberos 票证
如果要销毁在当前会话期间获取的所有Kerberos 票证，请使用kdestroy 命令。该命令可销
毁凭证高速缓存，从而销毁所有凭证和票证。虽然通常不必销毁凭证高速缓存，但运行
kdestroy 可减少您未登录期间凭证高速缓存遭受破坏的机会。
要销毁票证，请使用kdestroy 命令。
% /usr/bin/kdestroy
kdestroy 命令将销毁所有票证。不能使用此命令来有选择性地销毁特定票证。
如果要离开系统而又担心入侵者会使用您的权限，则应使用kdestroy 或用于锁定屏幕的屏
幕保护程序。
Kerberos 口令管理
配置Kerberos 服务后，您即会拥有两个口令：常规Solaris 口令和Kerberos 口令。可以将这
两个口令设置为相同，也可以不同。
口令选择建议
口令几乎可以包括能够键入的任何字符，但Ctrl 键和回车键除外。好口令是易于记忆而其
他人不容易猜到的口令。以下是一些不合适的口令示例：
 可在字典中找到的单词
 任何常见名称或通俗名称
 名人的姓名或字符
 您的姓名或用户名的任何形式（例如：反向拼写您的姓名、姓名重复两次等）
 配偶姓名、子女姓名或宠物名称
 您的生日或亲戚的生日
 您的社会安全号、驾照号、护照号或其他类似的身份标识号
 本手册或任何其他手册中出现的任何口令样例
一个好的口令的长度至少为八个字符。此外，口令还应包含混合字符，如大小写字母、数
字和标点符号。以下是一些好的口令示例（如果未出现在本手册中）：
Kerberos 口令管理
第25 章• 使用Kerberos 应用程序（任务） 489
 首字母缩略词，如"I2LMHinSF"（全称为"I too left my heart in San Francisco"）
 发音容易的无意义单词，如"WumpaBun" 或"WangDangdoodle!"
 故意拼错的短语，如"6o’cluck" 或"RrriotGrrrlsRrrule!"
注意– 请勿使用这些示例。手册中出现的口令是入侵者将首先尝试的口令。
更改口令
如果PAM配置正确，则可以采用以下两种方法来更改Kerberos 口令：
 使用常见的UNIX passwd 命令。配置Kerberos 服务后，Solaris passwd 命令还会自动提示
您输入新的Kerberos 口令。
使用passwd 而非kpasswd 的优点在于可以同时设置UNIX 口令和Kerberos 口令。但是，
在一般情况下，无需使用passwd 同时更改这两个口令。通常，只能更改UNIX 口令并保
持Kerberos 口令不变，反之亦然。
注– passwd 的行为取决于PAM模块的配置方式。在某些配置中，可能会要求您同时更改
这两个口令。对于一些站点，必须更改UNIX 口令，而对于其他站点，则要求更改
Kerberos 口令。
 使用kpasswd 命令。kpasswd 与passwd 非常类似。这两个命令的一个区别是kpasswd 仅更
改Kerberos 口令。如果要更改UNIX 口令，则必须使用passwd。
另一个区别是kpasswd 可以更改非有效UNIX 用户的Kerberos 主体的口令。例如，
david/admin 是Kerberos 主体，但不是实际的UNIX 用户，因此必须使用kpasswd 而非
passwd。
更改口令后，所做更改在系统中传播需要一些时间（尤其是通过大型网络传播）。此延迟
可能需要几分钟到一个小时或更长时间，具体取决于系统的设置方式。如果需要在更改口
令后立刻获取新的Kerberos 票证，请首先尝试新口令。如果新口令无效，请使用旧口令重
试。
通过Kerberos V5 协议，系统管理员可以设置允许每个用户使用的口令的条件。此类条件由
为每个用户设置的策略（或缺省策略）定义。有关策略的更多信息，请参见第463 页中的
“管理Kerberos 策略”。
例如，假定用户jennifer 的策略（称为jenpol）要求口令长度至少为八个字母，并且至少
由两种类型的字符混合组成。这样，kpasswd 便会拒绝尝试使用"sloth" 作为口令。
% kpasswd
kpasswd: Changing password for .
Old password:
Kerberos 口令管理
490 系统管理指南：安全性服务• 2006 年9 月
kpasswd: password is controlled by
the policy jenpol
which requires a minimum of 8 characters from at least 2 classes
(the five classes are lowercase, uppercase, numbers, punctuation,
and all other characters).
New password:
New password (again):
kpasswd: New password is too short.
Please choose a password which is at least 4 characters long.
在以下示例中，jennifer 使用"slothrop49" 作为口令。由于"slothrop49" 的长度超过八个字
母，并且包含两种不同类型的字符（数字和小写字母），因此此口令符合条件。
% kpasswd
kpasswd: Changing password for .
Old password:
kpasswd: password is controlled by
the policy jenpol
which requires a minimum of 8 characters from at least 2 classes
(the five classes are lowercase, uppercase, numbers, punctuation,
and all other characters).
New password:
New password (again):
Kerberos password changed.
示例－更改口令
在以下示例中，用户david 使用passwd 同时更改其UNIX 口令和Kerberos 口令。
Kerberos 口令管理
第25 章• 使用Kerberos 应用程序（任务） 491
% passwd
passwd: Changing password for david
Enter login (NIS+) password:
New password:
Re-enter password:
Old KRB5 password:
New KRB5 password:
Re-enter new KRB5 password:
请注意，passwd 需要UNIX 口令和Kerberos 口令。此行为由缺省配置确定。在这种情况
下，用户david 必须使用kpasswd 将其Kerberos 口令设置为其他内容，如下所示。
本示例说明用户david 如何使用kpasswd 仅更改其Kerberos 口令。
% kpasswd
kpasswd: Changing password for .
Old password:
New password:
New password (again):
Kerberos password changed.
在本示例中，用户david 更改了Kerberos 主体david/admin（非有效的UNIX 用户）的口
令。该用户必须使用kpasswd。
% kpasswd david/admin
kpasswd: Changing password for david/admin.
Old password:
New password:
New password (again):
Kerberos password changed.
Kerberos 口令管理
492 系统管理指南：安全性服务• 2006 年9 月
授予对帐户的访问权限
如果需要授予某个用户访问权限以登录到您的帐户（以您的身份），则可以通过Kerberos
执行此操作而不必显示您的口令，方法是将.k5login 文件放置在起始目录中。.k5login 文
件是一个列表，其中包含一个或多个与要为其授予访问权限的各用户对应的Kerberos 主
体。每个主体都必须单独占一行。
假定用户david 在其起始目录中按如下所示保存了一个.k5login 文件：


如果用户jennifer 和joe 在其各自的领域中已经拥有Kerberos 票证，则此文件允许这两个
用户采用david 的身份。例如，jennifer 可以使用david 的身份远程登录到david 的计算机
(boston)，而不必提供david 的口令。
图25–1 使用.k5login 文件授予对帐户的访问权限
如果david 的起始目录使用Kerberos V5 协议从另一台（第三台）计算机挂载了NFS，则
jennifer 必须具有可转发票证才能访问david 的起始目录。有关使用可转发票证的示例，请
参见第486 页中的“创建Kerberos 票证”。
如果您要通过网络登录到其他计算机，则需要在这些计算机上的.k5login 文件中包括您自
己的Kerberos 主体。
使用.k5login 文件比公布口令安全得多，原因如下：
 您可以随时通过从.k5login 文件中删除主体来收回访问权限。
Kerberos 口令管理
第25 章• 使用Kerberos 应用程序（任务） 493
 虽然在您的起始目录的.k5login 文件中指定的用户主体对您在该计算机（或一组计算
机，例如如果通过NFS 共享.k5login 文件）上的帐户拥有完全访问权限，但是，所有
基于Kerberos 的服务都将根据该用户的身份而不是您的身份来授权访问。因此，
jennifer 可以登录到joe 的计算机并在其中执行任务。但是，如果该用户使用基于
Kerberos 的程序（如ftp 或rlogin），则将以其自身身份执行此操作。
 Kerberos 会记录获取票证的用户，以便系统管理员在必要时查找在特定时间可以使用您
的用户身份的人员。
使用.k5login 文件的一种常见方法是将其放置在root 的起始目录中，从而为列出的
Kerberos 主体提供对该计算机的root 访问权限。此配置允许系统管理员成为本地root，或
以root 身份远程登录，而不必公布root 口令，并且不需要任何人通过网络键入root 口
令。
示例－使用.k5login 文件授予对帐户的访问权限
假定jennifer 决定以root 身份登录到计算机boston.example.com。由于在
boston.example.com 的root 起始目录的.k5login 文件中存在该用户的主体名称项，因此不
必再次键入其口令。
% rlogin boston.example.com -l root -x
This rlogin session is using DES encryption for all data transmissions.
Last login: Thu Jun 20 16:20:50 from daffodil
SunOS Release 5.7 (GENERIC) #2: Tue Nov 14 18:09:31 EST 1998
boston[root]%
Kerberos 用户命令
Kerberos V5 产品是一个单点登录系统，这表示只需键入一次口令即可。Kerberos V5 程序将
为您执行验证操作（并可以选择执行加密操作），因为Kerberos 已内置在每个熟知的现有
网络程序套件中。Kerberos V5 应用程序是添加了Kerberos 功能的现有UNIX 网络程序的版
本。
例如，使用基于Kerberos 的程序连接到远程主机时，该程序、KDC 和远程主机将执行一组
快速协商。完成这些协商后，该程序便已代表您向远程主机证明了您的身份，并且远程主
机已授予您访问权限。
请注意，基于Kerberos 的命令会首先尝试使用Kerberos 进行验证。如果Kerberos 验证失
败，将会出现错误或尝试UNIX 验证，具体取决于和命令一起使用的选项。有关更多详细
信息，请参阅每个Kerberos 命令手册页中的Kerberos Security 部分。
Kerberos 用户命令
494 系统管理指南：安全性服务• 2006 年9 月
基于Kerberos 的命令概述
基于Kerberos 的网络服务是一些连接到Internet 中某个位置的其他计算机的程序。这些程序
如下：
 ftp
 rcp
 rdist
 rlogin
 rsh
 ssh
 telnet
这些程序具有可透明地使用Kerberos 票证与远程主机协商验证并选择协商加密的功能。在
大多数情况下，您只会注意到不必再键入口令即可使用这些程序，因为Kerberos 将为您提
供身份证明。
Kerberos V5 网络程序包括可用于执行以下操作的选项：
 将票证转发到其他主机（如果最初已获取可转发票证）。
 加密在您的主机和远程主机之间传输的数据。
注– 本节假定您已经熟悉这些程序的非Kerberos 版本，并且将重点介绍Kerberos V5 软件包
添加的Kerberos 功能。有关此处描述的命令的详细说明，请参阅其各自的手册页。
已将下列Kerberos 选项添加至ftp、rcp、rlogin、rsh 和telnet：
-a 尝试使用现有票证自动登录。如果getlogin() 返回的用户名与当前用户
ID 相同，则使用该用户名。有关详细信息，请参见telnet(1) 手册页。
-f 将不可重新转发的票证转发到远程主机。此选项与-F 选项互斥。在同一
命令中不能同时使用这两个选项。
如果您有理由相信需要向第三台主机中其他基于Kerberos 的服务验证您的
身份，则应转发票证。例如，您可能要远程登录到另一台计算机，然后从
该计算机远程登录到第三台计算机。
如果远程主机上的起始目录使用Kerberos V5 机制挂载了NFS，则必须使
用可转发票证。否则，将无法访问起始目录。也就是说，假定您最初登录
到系统1，然后从系统1 远程登录到您的主机（系统2），该主机从系统3
挂载您的起始目录。在这种情况下，除非在rlogin 中使用-f 或-F 选项，
否则将无法访问起始目录，因为您的票证无法转发到系统3。
缺省情况下，kinit 会获取可转发票证授予票证(Ticket-Granting Ticket,
TGT)。但是，您的配置在这方面可能会有所不同。
有关转发票证的更多信息，请参见第497 页中的“转发Kerberos 票证”。
Kerberos 用户命令
第25 章• 使用Kerberos 应用程序（任务） 495
-F 将TGT 的可重新转发副本转发到远程系统。此选项与-f 类似，但它允许
访问更多（如第四台或第五台）计算机。因此，可将-F 选项视为-f 选项
的超集。-F 选项与-f 选项互斥。在同一命令中不能同时使用这两个选
项。
有关转发票证的更多信息，请参见第497 页中的“转发Kerberos 票证”。
-k realm 请求指定的realm 中的远程主机的票证，而不是使用krb5.conf 文件来确
定领域本身。
-K 使用票证来向远程主机验证，但不自动登录。
-m mechanism 指定/etc/gss/mech 文件中列出的要使用的GSS-API 安全机制。缺省值为
kerberos_v5。
-x 加密此会话。
-X auth_type 禁用auth-type 类型的验证。
下表显示具有特定选项的命令。"X" 表示命令包含该选项。
表25–1 网络命令的Kerberos 选项
ftp rcp rlogin rsh telnet
-a X
-f X X X X
-F X X X
-k X X X X
-K X
-m X
-x X X X X X
-X X
此外，ftp 还允许在其提示符下为会话设置保护级别：
clear 将保护级别设置为"clear"（无保护）。此保护级别是缺省级别。
private 将保护级别设置为"private"。通过加密保护数据传输的保密性和完整性。但是，
并非所有Kerberos 用户都可使用保密性服务。
safe 将保护级别设置为"safe"。通过加密校验和保护数据传输的完整性。
也可以通过键入protect，并后跟以上所示的任何保护级别（clear、private 或safe），在
ftp 提示符下设置保护级别。
Kerberos 用户命令
496 系统管理指南：安全性服务• 2006 年9 月
转发Kerberos 票证
如第495 页中的“基于Kerberos 的命令概述”中所述，某些命令允许您使用-f 或-F 选项转
发票证。通过转发票证，可以“链接”网络事务。例如，可以远程登录到一台计算机，然后
从该计算机远程登录到另一台计算机。使用-f 选项可转发票证，而使用-F 选项则可重新转
发已转发的票证。
在图25–2 中，用户david 使用kinit 获取了一个不可转发票证授予票证(Ticket-Granting
Ticket, TGT)。由于该用户未指定-f 选项，因此该票证不可转发。在方案1 中，该用户可以
远程登录到计算机B，但不能再登录到其他计算机。在方案2 中，由于该用户尝试转发一个
不可转发票证，因此rlogin -f 命令失败。
图25–2使用不可转发票证
实际上，已设置了Kerberos 配置文件，以便kinit 在缺省情况下可获取可转发票证。但是，
您的配置可能有所不同。为了便于说明，假定kinit 不会获取可转发TGT，除非使用kinit
-f 调用该命令。另请注意，kinit 不包含-F 选项。TGT 可以是可转发，也可以是不可转
发。
在图25–3 中，用户david 使用kinit -f 获取了可转发TGT。在方案3 中，由于该用户在
rlogin 中使用了可转发票证，因此可以访问计算机C。在方案4 中，由于票证不可重新转
发，因此第二个rlogin 失败。如方案5 中所示，改用-F 选项后，第二个rlogin 将成功，并
且票证可重新转发到计算机D。
Kerberos 用户命令
第25 章• 使用Kerberos 应用程序（任务） 497
图25–3使用可转发票证
示例－使用基于Kerberos 的命令
以下示例说明基于Kerberos 的命令的选项的工作方式。
示例－将-a、-f 和-x 选项用于telnet
在本示例中，用户david 已经登录，并且要telnet 到计算机denver.example.com。该用户
使用-f 选项转发其现有票证，使用-x 选项加密会话，并使用-a 选项自动执行登录。由于
该用户不打算使用第三台主机的服务，因此可使用-f 而非-F。
% telnet -a -f -x denver.example.com
Trying 128.0.0.5...
Connected to denver.example.com. Escape character is ’^]’.
[ Kerberos V5 accepts you as "" ]
[ Kerberos V5 accepted forwarded credentials ]
SunOS 5.9: Tue May 21 00:31:42 EDT 2004 Welcome to SunOS
%
Kerberos 用户命令
498 系统管理指南：安全性服务• 2006 年9 月
请注意，david 的计算机使用Kerberos 来向denver.example.com 进行自我验证，并且以自己
的身份自动登录。该用户具有一个加密会话（即该用户已有的票证副本），因此永远不必
键入其口令。如果该用户使用了非Kerberos 版本的telnet，则可能会提示其输入口令，并
将此口令在未加密的情况下通过网络发送。如果入侵者在此期间一直在观察网络通信流
量，则可能会知道david 的口令。
如果转发Kerberos 票证，则telnet（以及此处讨论的其他命令）将会在退出时销毁这些票
证。
示例－使用带有-F 选项的rlogin
在此示例中，用户jennifer 希望登录到自己的计算机boston.example.com。该用户使用-F
选项转发其现有票证，并使用-x 选项加密会话。由于该用户在登录到boston 后，可能希望
执行需要重新转发票证的其他网络事务，因此会选择-F 而非-f。另外，由于该用户要转发
其现有票证，因此不必键入其口令。
% rlogin boston.example.com -F -x
This rlogin session is using encryption for all transmissions.
Last login Mon May 19 15:19:49 from daffodil
SunOS Release 5.9 (GENERIC) #2 Tue Nov 14 18:09:3 EST 2003
%
示例－在ftp 中设置保护级别
假定joe 要使用ftp 从计算机denver.example.com 的目录~joe/MAIL 中获取其邮件并加密该
会话。交换过程如下所示：
% ftp -f denver.example.com
Connected to denver.example.com
220 denver.example.org FTP server (Version 6.0) ready.
334 Using authentication type GSSAPI; ADAT must follow
GSSAPI accepted as authentication type
GSSAPI authentication succeeded Name (daffodil.example.org:joe)
232 GSSAPI user is authorized as joe
230 User joe logged in.
Kerberos 用户命令
第25 章• 使用Kerberos 应用程序（任务） 499
Remote system type is UNIX.
Using BINARY mode to transfer files.
ftp> protect private
200 Protection level set to Private
ftp> cd ~joe/MAIL
250 CWD command successful.
ftp> get RMAIL
227 Entering Passive Mode (128,0,0,5,16,49)
150 Opening BINARY mode data connection for RMAIL (158336 bytes).
226 Transfer complete. 158336 bytes received in 1.9 seconds (1.4e+02 Kbytes/s)
ftp> quit
%
要加密该会话，joe 需要将保护级别设置为private。
Kerberos 用户命令
500 系统管理指南：安全性服务• 2006 年9 月
Kerberos 服务（参考）
本章列出了许多属于Kerberos 产品的文件、命令和守护进程。另外，本章还介绍了有关
Kerberos 验证的工作方式的详细信息。
以下是本章中参考信息的列表。
 第501 页中的“Kerberos 文件”
 第502 页中的“Kerberos 命令”
 第503 页中的“Kerberos 守护进程”
 第504 页中的“Kerberos 术语”
 第508 页中的“Kerberos 验证系统的工作方式”
 第509 页中的“使用Kerberos 获取服务访问权限”
 第512 页中的“使用Kerberos 加密类型”
 第513 页中的“使用gsscred 表”
 第513 页中的“Solaris Kerberos 和MIT Kerberos 之间的显著差异”
Kerberos 文件
表26–1 Kerberos 文件
文件名说明
~/.gkadmin 用于在SEAM 管理工具中创建新主体的缺省值
~/.k5login 授予Kerberos 帐户访问权限的主体列表
/etc/krb5/kadm5.acl Kerberos 访问控制列表文件，其中包含KDC 管理
员的主体名称及其Kerberos 管理权限
/etc/krb5/kadm5.keytab 主KDC 上的kadmin 服务的密钥表文件
/etc/krb5/kdc.conf KDC 配置文件
26 第2 6 章
501
表26–1 Kerberos 文件（续）
文件名说明
/etc/krb5/kpropd.acl Kerberos 数据库传播配置文件
/etc/krb5/krb5.conf Kerberos 领域配置文件
/etc/krb5/krb5.keytab 网络应用程序服务器的密钥表文件
/etc/krb5/warn.conf Kerberos 票证到期警告和自动更新配置文件
/etc/pam.conf PAM配置文件
/tmp/krb5cc_uid 缺省凭证高速缓存，其中uid 是用户的十进制UID
/tmp/ovsec_adm.xxxxxx 口令更改操作生命周期的临时凭证高速缓存，其
中xxxxxx 是随机字符串
/var/krb5/.k5.REALM KDC 存储文件，其中包含KDC 主密钥的加密副本
/var/krb5/kadmin.log kadmind 的日志文件
/var/krb5/kdc.log KDC 的日志文件
/var/krb5/principal Kerberos 主体数据库
/var/krb5/principal.kadm5 Kerberos 管理数据库，其中包含策略信息
/var/krb5/principal.kadm5.lock Kerberos 管理数据库锁定文件
/var/krb5/principal.ok Kerberos 数据库成功初始化时创建的Kerberos 主
体数据库初始化文件
/var/krb5/principal.ulog Kerberos 更新日志，其中包含增量传播更新
/var/krb5/slave_datatrans kprop_script 脚本用于传播的KDC 备份文件
/var/krb5/slave_datatrans_slave 完全更新指定的slave 时创建的临时转储文件
Kerberos 命令
本节列出了Kerberos 产品中包括的部分命令。
表26–2 Kerberos 命令
命令说明
/usr/bin/ftp 文件传输协议程序
/usr/bin/rcp 远程文件复制程序
/usr/bin/rdist 远程文件分发程序
Kerberos 命令
502 系统管理指南：安全性服务• 2006 年9 月
表26–2 Kerberos 命令（续）
命令说明
/usr/bin/rlogin 远程登录程序
/usr/bin/rsh 远程shell 程序
/usr/bin/telnet 基于Kerberos 的telnet 程序
/usr/lib/krb5/kprop Kerberos 数据库传播程序
/usr/sbin/gkadmin Kerberos 数据库管理GUI 程序，用于管理主体和策略
/usr/sbin/kadmin 远程Kerberos 数据库管理程序（运行时需要进行Kerberos 验
证），用于管理主体、策略和密钥表文件
/usr/sbin/kadmin.local 本地Kerberos 数据库管理程序（运行时无需进行Kerberos 验
证，并且必须在主KDC 上运行），用于管理主体、策略和
密钥表文件
/usr/sbin/kclient Kerberos 客户机安装脚本，可用于安装配置文件，也可不用
于安装配置文件
/usr/sbin/kdb5_util 创建Kerberos 数据库和存储文件
/usr/sbin/kproplog 列出更新日志中更新项的摘要
Kerberos 守护进程
下表列出了Kerberos 产品使用的守护进程。
表26–3 Kerberos 守护进程
守护进程说明
/usr/sbin/in.ftpd 文件传输协议守护进程
/usr/lib/krb5/kadmind Kerberos 数据库管理守护进程
/usr/lib/krb5/kpropd Kerberos 数据库传播守护进程
/usr/lib/krb5/krb5kdc Kerberos 票证处理守护进程
/usr/lib/krb5/ktkt_warnd Kerberos 票证到期警告和自动更新守护进程
/usr/sbin/in.rlogind 远程登录守护进程
/usr/sbin/in.rshd 远程shell 守护进程
/usr/sbin/in.telnetd telnet 守护进程

 

 

 

以上文章转自于 ： http://developers.sun.com.cn/