Kerberos (klist) 可以显示来自同一主体的两张票吗?
Can Kerberos (klist) show two tickets from the same principal?
我正在尝试编写一个脚本来检查我的 Kerberos 票证是否有效或即将过期。为此,我使用 klist --json
或 klist
生成当前活动票证列表(取决于安装的 Kerberos 版本),然后我使用正则表达式或 JSON 解析结果。
最终结果是我得到了一个如下所示的门票列表:
Issued Expires Principal
Aug 19 16:44:51 2020 Aug 22 14:16:55 2020 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Aug 20 09:05:06 2020 Aug 20 19:05:06 2020 ldap/abc-dc101.example.com@EXAMPLE.COM
Aug 20 09:32:18 2020 Aug 20 19:32:18 2020 krbtgt/DEV.EXAMPLE.COM@EXAMPLE.COM
通过一些工作,我可以解析这些结果并验证它们。但是,我很好奇 Kerberos 是否有可能从同一个委托人那里获得两张票。阅读 the MIT page on Kerberos usage 似乎只有一张票是“初始”票。
我可以依赖委托人的唯一性,还是需要检查来自同一委托人的多张票证的可能性?
比那要复杂一点。
TL;DR 您的第二个 TGT 似乎与 cross-realm 身份验证有关,请参见下面的粗体。
klist
显示默认系统缓存中存在的票证:
- 如果没有这样的缓存可以查询的错误消息(即
FILE
不存在的缓存,KEYRING
内核服务未启动等)
- 可能有 1 个 TGT(票证授予票证)在您自己的领域中声明您的身份
- 可能有 N 个服务票据,声称您有权联系服务器 Z 上的服务 X(可能属于另一个领域,见下文)
- 在 cross-realm 身份验证 的情况下,一些中间票证允许您将领域
A.R
中的 TGT 转换为领域中的 TGT R
允许您在领域 B.R
中获取服务票证(这将是用于例如 Active Directory 的默认分层路径,但自定义路径可以在 /etc/krb5.conf
下定义[capath]
或类似的东西,取决于领域之间定义的信任)
但请注意,并非所有服务票证都存储在缓存中——应用程序从缓存中获取 TGT、获取服务票证并将其保密在内存中是合法的。这就是 Java 所做的。
一个应用程序(或一组应用程序)使用私有缓存是合法的,cf。 env 变量 KRB5CCNAME
(当你在同一个 Linux 帐户下有多个服务 运行 并且不想混淆他们的 SPN 时非常有用)所以你看不到他们的门票 klist
除非您明确点击此自定义缓存。
应用完全不使用缓存并在内存中将其所有票证保密是合法的。这就是 Java 在提供自定义 JAAS 配置时所做的,该配置要求使用 principal/keytab.
进行身份验证
我正在尝试编写一个脚本来检查我的 Kerberos 票证是否有效或即将过期。为此,我使用 klist --json
或 klist
生成当前活动票证列表(取决于安装的 Kerberos 版本),然后我使用正则表达式或 JSON 解析结果。
最终结果是我得到了一个如下所示的门票列表:
Issued Expires Principal
Aug 19 16:44:51 2020 Aug 22 14:16:55 2020 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Aug 20 09:05:06 2020 Aug 20 19:05:06 2020 ldap/abc-dc101.example.com@EXAMPLE.COM
Aug 20 09:32:18 2020 Aug 20 19:32:18 2020 krbtgt/DEV.EXAMPLE.COM@EXAMPLE.COM
通过一些工作,我可以解析这些结果并验证它们。但是,我很好奇 Kerberos 是否有可能从同一个委托人那里获得两张票。阅读 the MIT page on Kerberos usage 似乎只有一张票是“初始”票。
我可以依赖委托人的唯一性,还是需要检查来自同一委托人的多张票证的可能性?
比那要复杂一点。
TL;DR 您的第二个 TGT 似乎与 cross-realm 身份验证有关,请参见下面的粗体。
klist
显示默认系统缓存中存在的票证:
- 如果没有这样的缓存可以查询的错误消息(即
FILE
不存在的缓存,KEYRING
内核服务未启动等) - 可能有 1 个 TGT(票证授予票证)在您自己的领域中声明您的身份
- 可能有 N 个服务票据,声称您有权联系服务器 Z 上的服务 X(可能属于另一个领域,见下文)
- 在 cross-realm 身份验证 的情况下,一些中间票证允许您将领域
A.R
中的 TGT 转换为领域中的 TGTR
允许您在领域B.R
中获取服务票证(这将是用于例如 Active Directory 的默认分层路径,但自定义路径可以在/etc/krb5.conf
下定义[capath]
或类似的东西,取决于领域之间定义的信任)
但请注意,并非所有服务票证都存储在缓存中——应用程序从缓存中获取 TGT、获取服务票证并将其保密在内存中是合法的。这就是 Java 所做的。
一个应用程序(或一组应用程序)使用私有缓存是合法的,cf。 env 变量 KRB5CCNAME
(当你在同一个 Linux 帐户下有多个服务 运行 并且不想混淆他们的 SPN 时非常有用)所以你看不到他们的门票 klist
除非您明确点击此自定义缓存。
应用完全不使用缓存并在内存中将其所有票证保密是合法的。这就是 Java 在提供自定义 JAAS 配置时所做的,该配置要求使用 principal/keytab.
进行身份验证