Главная » Linux

Klist linux что это

Содержание
  1. Klist linux что это
  2. OPTIONS
  3. ENVIRONMENT VARIABLES
  4. FILES
  5. ATTRIBUTES
  6. SEE ALSO
  7. Домен/Использование Kerberos
  8. Содержание
  9. kinit / klist / kdestroy [ править ]
  10. Браузеры [ править ]
  11. Chromium [ править ]
  12. curl [ править ]
  13. wget [ править ]
  14. Firefox [ править ]
  15. IE [ править ]
  16. Файловые системы [ править ]
  17. Монтирование CIFS-ресурса [ править ]
  18. Прочее [ править ]
  19. ssh [ править ]
  20. Подключение к LDAP [ править ]
  21. Windows [ править ]
  22. Серверная сторона [ править ]
  23. nginx [ править ]
  24. Apache [ править ]
  25. mod_auth_kerb [ править ]
  26. mod_auth_gssapi [ править ]
  27. sshd [ править ]
  28. klist — записи дисплея Kerberos в кэше учетных данных и keytab
  29. РЕЗЮМЕ
  30. ОПИСАНИЕ
  31. КОМАНДЫ
  32. ПРИМЕРЫ
  33. Kerberos
  34. Содержание
  35. Kerberos
  36. Обзор
  37. klist
  38. Синтаксис
  39. Параметры
  40. Remarks
  41. Примеры

Klist linux что это

The klist utility prints the name of the credentials cache, the identity of the principal that the tickets are for (as listed in the ticket file), and the principal names of all Kerberos tickets currently held by the user, along with the issue and expiration time for each authenticator. Principal names are listed in the form name / instance @ realm , with the ‘ / ‘ omitted if the instance is not included, and the ‘ @ ‘ omitted if the realm is not included.

If cache_file or keytab_name is not specified, klist displays the credentials in the default credentials cache or keytab files as appropriate. By default, your ticket is stored in the file /tmp/krb5cc_ uid , where uid is the current user-ID of the user.

OPTIONS

The following options are supported:

-a Displays list of addresses in credentials. Uses the configured nameservice to translate numeric network addresses to the associated hostname if possible.

-c [ cache_name ] Lists tickets held in a credentials cache. This is the default if neither -c nor -k is specified.

-e Displays the encryption types of the session key and the ticket for each credential in the credential cache, or each key in the keytab file.

-f Shows the flags present in the credentials, using the following abbreviations:

H Hardware authenticated

O Okay as delegate

T Transit policy checked

-k [ keytab_file ] List keys held in a keytab file.

-K Displays the value of the encryption key in each keytab entry in the keytab file.

-n Shows numeric IP addresses instead of reverse-resolving addresses. Only valid with -a option.

-s Causes klist to run silently (produce no output), but to still set the exit status according to whether it finds the credentials cache. The exit status is 0 if klist finds a credentials cache, and ` 1 if it does not, or if the local-realm TGT has expired.

-t Displays the time entry timestamps for each keytab entry in the keytab file.

ENVIRONMENT VARIABLES

klist uses the following environment variable:

KRB5CCNAME Location of the credentials (ticket) cache. See krb5envvar (5) for syntax and details.

FILES

/tmp/krb5cc_ uid Default credentials cache ( uid is the decimal UID of the user).

/etc/krb5/krb5.keytab Default location for the local host’s keytab file.

/etc/krb5/krb5.conf Default location for the local host’s configuration file. See krb5.conf (4).

ATTRIBUTES

See attributes (5) for descriptions of the following attributes:

ATTRIBUTE TYPE ATTRIBUTE VALUE
Availability SUNWkrbu
Interface Stability

The command arguments are Evolving. The command output is Unstable.

SEE ALSO

When reading a file as a service key file, very little error checking is performed.

Источник

Домен/Использование Kerberos

На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам. При правильной настройке пользователю выдаётся билет (TGT) при логине в систему.

Содержание

kinit / klist / kdestroy [ править ]

Отдельное управление билетами для отладки осуществляется следующими командами:

В настроенной системе достаточно просто kinit, а указание полной формы типа kinit user@EXAMPLE.COM позволяет получить тикет в системе сразу после установки epmi /usr/bin/kinit.

Удалить полученные билеты из кэша:

Просмотреть полученные билеты:

Для отладки получения билета удобно использовать

Если машина находится в другой сети, то потребуется ручное указание REALM и соответствия его домену в /etc/krb5.conf:

Браузеры [ править ]

Chromium [ править ]

Для того, чтобы установить настройки для всех пользователей машины, создайте /etc/chromium/policies/recommended/kerberos.json со следующим содержимым (например):

Должен быть ещё способ задания настроек по умолчанию на уровне пользователя.

curl [ править ]

(если не работает, проверяйте $ epmqf curl — он может оказаться от CryptoPro, где он старый и не поддерживает GSSAPI)

wget [ править ]

Судя по всему, поддержка GSSAPI так и не включена апстримом.

Firefox [ править ]

Открыть about:config в firefox и добавить через запятую нужные узлы:

Либо добавить в prefs.js при закрытом браузере:

Способ общесистемных настроек пока не найден.

IE [ править ]

Добавить в доверенные сайты

  1. Свойства браузера -> Безопасность -> Надёжные сайты
  2. Нажать на кнопку «Сайты» и добавить адрес нужного сайта
  3. Нажать на кнопку «Другое» и найти раздел » Проверка подлинности пользователя» в окошке «Параметры»
  4. Выбрать пункт «Автоматический вход в сеть с текущим именем пользователя и паролем»

Файловые системы [ править ]

Монтирование CIFS-ресурса [ править ]

Не ясным остаётся вопрос с

(тикет перестаёт быть доступен после повышения привилегий)

Прочее [ править ]

ssh [ править ]

Просто подключаемся к ssh-серверу, настроив его (см. ниже настройку sshd)

Чтобы подключаться к пользователю с другим логином (ssh otheruser@host) нужно на удалённой машине создать файл

/.k5login и в него вписать разрешённые адреса, например:

Так как содержимое файла .k5login перекрывает правила по умолчанию, нужно явно вписывать туда всех пользователей, которым разрешено подключение.

Подключение к LDAP [ править ]

Windows [ править ]

Список полученных билетов:

Серверная сторона [ править ]

nginx [ править ]

Apache [ править ]

mod_auth_kerb [ править ]

Не используйте mod_auth_kerb, он давно устарел и удалён, см. 39063. Перейдите к mod_auth_gssapi.

  1. epmi apache2-mod_auth_kerb
  2. a2enmod auth_krb5 && serv httpd2 reload

положил тикет с SPN в /etc/krb5.time.office.keytab

добавил такие настройки:

mod_auth_gssapi [ править ]

  1. epmi apache2-mod_auth_gssapi
  2. a2enmod auth_gssapi && serv httpd2 reload

См. также полную статью Apache2/AD-auth.

sshd [ править ]

Для разрешения подключаться, используя билет Kerberos, нужно раскомментировать в /etc/openssh/sshd_config:

Источник

klist — записи дисплея Kerberos в кэше учетных данных и keytab

klist позволяет пользователю просматривать записи в локальном кэше учетных данных и ключевой таблице.

РЕЗЮМЕ

ОПИСАНИЕ

klist выводит на экран записи в локальном кэше учетных данных и ключевой таблице. После того, как пользователь изменил кэш учетных данных с kinit или измененный keytab с ktab , единственный способ проверить изменения состоит в том, чтобы просмотреть содержание кэша учетных данных и/или использования keytab klist . klist не изменяет базу данных Kerberos.

КОМАНДЫ

Использование: klist [ [-c] [-f] [-e] [-a [-n]] ] [-k [-t] [-K] ] [ ] [-help]

Опция команды Описание
-c Определяет, что учетные записи кэша должны быть перечислены.
-k Определяет, что ключевые записи вкладки должны быть перечислены.
Определяет учетное имя кэша или имя keytab. Если имя не является определенными значениями по умолчанию для имени кэша, и keytab используются. Значения по умолчанию для кэша и keytab определяются в странице справочника для kinit.
-help Инструкции дисплеев.
Если -c опция определяется (опции для учетного кэша)
Опция Comman Описание
-f Выставочные флаги учетных данных.
-e Показывает тип шифрования.
-a Выставочные адреса.
-n Если -a определяется, не инвертируйте адреса решения.
Если -k опция определяется (опции, доступные для keytabs)
Опция команды Описание
-t Шоу keytab метки времени записи.
-K Шоу keytab ключи DES записи. -K Шоу keytab запись манипулируют тип.

ПРИМЕРЫ

Записи списка в keytable, определенном включая keytab метки времени записи и ключи DES:

Записи списка в кэше учетных данных, определенном включая флаг учетных данных и список адресов:

Источник

Kerberos

Содержание

Kerberos

Kerberos это система сетевой аутентифиации, основанная на принципах доверия третьей стороне. Другие две стороны — это пользователь и сервис, на котором он хочет авторизоваться. Не все сервисы и приложения могут использовать Kerberos, но те, которые могут, приближают сетевое окружение на один шаг к технологии единого входа (Single Sign On — SSO).

Этот раздел раскрывает установку и настройку сервера Kerberos, а также некоторые примеры клиентских настроек.

Обзор

Если вы новичок в Kerberos, есть несколько терминов, которые хорошо понять до установки сервера Kerberos. Большинство терминов связаны с вещами, которые могут быть вам знакомы по другим окружениям:

Учетная запись (Principal): любые пользователи, компьютеры или сервисы, предоставляемые серверами, должны быть определены как учетные записи Kerberos .

Требования (Instances): используются для сервисных и специальных административных учетных записей.

Области (Realms): уникальная область управления, обеспечиваемая установкой Kerberos. Представляйте ее себе как домен или группу ваших компьютеров и пользователей, ей принадлежащих. По умолчанию Ubuntu использует имя DNS домена в верхнем регистре (EXAMPLE.COM) в качестве имени области.

Центр распространения ключей (KDC): состоит из трех частей: базы данных всех учетных записей, сервера аутентификации и сервера предоставления билетов. Для каждой области должен быть хотя бы один KDC.

Билет для получения билета (TGT): изданный сервером аутентификации, TGT зашифровывается на пароле пользователя, который известен только пользователю и KDC.

Сервер распространения билетов (TGS): выпускает сервисные билеты для клиентов по запросу.

Билеты (Tickets): подтверждение идентичности двух учетных записей. Одна учетная запись — пользователь, а другая — сервис, запрашиваемый этим пользователем. Билеты устанавливают секретный ключ, используемый для защищенного соединения во время авторизованной сессии.

Файлы ключей (Keytab Files): файлы, извлеченные из базы учетных записей KDC и содержащие ключ шифрования для сервиса или компьютера.

Чтобы сложить все вместе: Область содержит как минимум один KDC, лучше больше для обеспечения безотказности, которые содержат базу данных учетных записей. Когда пользователь под учетной записью заходит на рабочую станцию, которая настроена на Kerberos аутентификацию, KDC выпускает билет для получения билетов (TGT). Если пользователь предоставляет совпадающие параметры, он считается аутентифицированным и может запрашивать билеты для сервисов, поддерживающих Kerberos, на сервере распространения билетов (TGS). Сервисные билеты позволяют пользователю аутентифицироваться на сервисах без ввода имени и пароля.

Источник

klist

Отображает список кэшированных в настоящее время билетов Kerberos.

Для выполнения всех параметров этой команды необходимо быть по крайней мере администратором домена или эквивалентным ему.

Синтаксис

Параметры

Параметр Описание
— LH Обозначает старшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход.
-Li Обозначает младшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход.
описания Список текущих кэшированных билетов (TGT) и билетов службы для указанного сеанса входа в систему. Это параметр по умолчанию.
tgt Отображает первоначальный TGT Kerberos.
Очистка Позволяет удалить все билеты указанного сеанса входа в систему.
сеансы Отображает список сеансов входа на этот компьютер.
kcd_cache Отображает сведения кэша ограниченного делегирования Kerberos.
get Позволяет запросить билет на целевом компьютере, заданном именем участника-службы (SPN).
add_bind Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind Отображает список кэшированных предпочитаемых контроллеров домена для каждого домена, с которым связывался протокол Kerberos.
purge_bind Удаление кэшированных предпочтительных контроллеров домена для указанных доменов.
кдкоптионс Отображает параметры центр распространения ключей (KDC), указанные в RFC 4120.
/? Отображает справку для этой команды.

Remarks

Если параметры не указаны, klist извлекает все билеты для текущего пользователя.

В параметрах отображаются следующие сведения.

билеты . перечисляет в настоящее время кэшированные билеты служб, с которыми вы прошли проверку подлинности, с момента входа. Отображает следующие атрибуты всех кэшированных билетов:

Логонид: LUID.

Клиент: Объединение имени клиента и имени домена клиента.

Сервер: Объединение имени службы и имени домена службы.

Тип шифрования кербтиккет: Тип шифрования, используемый для шифрования билета Kerberos.

Флаги билета: Флаги билета Kerberos.

Время начала: Время, в течение которого билет действителен.

Время окончания: Время, когда билет стал недействительным. Если срок действия билета истек, он больше не может использоваться для проверки подлинности в службе или для продления.

Время продления: Время, когда требуется новая Начальная проверка подлинности.

Тип ключа сеанса: Алгоритм шифрования, используемый для ключа сеанса.

TGT — список первоначального TGT-билета Kerberos и следующие атрибуты кэшированного билета:

Логонид: Указывается в шестнадцатеричном формате.

ServiceName: krbtgt

TargetName : krbtgt

Имя_домена: Имя домена, который выдает TGT.

Таржетдомаиннаме: Домен, которому выдан билет TGT.

Алттаржетдомаиннаме: Домен, которому выдан билет TGT.

Флаги билета: Адрес и целевое действие и тип.

Ключ сеанса: Длина ключа и алгоритм шифрования.

Время начала: Время на локальном компьютере, на которое был запрошен билет.

EndTime: Время, когда билет стал недействительным. Когда билет пройдет на этот раз, он больше не может использоваться для проверки подлинности в службе.

Реневунтил: Крайний срок для продления билета.

Тимескев: Разница во времени с центр распространения ключей (KDC).

Енкодедтиккет: Закодированный билет.

очистить — позволяет удалить конкретный билет. Удаление билетов уничтожает все кэшированные билеты, поэтому используйте этот атрибут с осторожностью. Это может привести к невозможности проверки подлинности в ресурсах. В этом случае необходимо выйти из системы и снова войти в систему.

  • Логонид: Указывается в шестнадцатеричном формате.

сеансы . позволяет вывести список и отобразить сведения обо всех сеансах входа на этом компьютере.

  • Логонид: Отображает сеанс входа в систему только по заданному значению. Если этот параметр не указан, отображаются все сеансы входа на этот компьютер.

kcd_cache — позволяет отображать сведения кэша ограниченного делегирования Kerberos.

  • Логонид: Отображает сведения о кэше для сеанса входа с указанным значением. Если не указано, отображает сведения о кэше для сеанса входа текущего пользователя.

Get — позволяет запросить билет в целевом объекте, указанном в имени субъекта-службы.

Логонид: Запрашивает билет с помощью сеанса входа с указанным значением. Если не указано, запрашивает билет с помощью сеанса входа текущего пользователя.

кдкоптионс: Запрашивает билет с заданными параметрами KDC

add_bind — позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.

query_bind — позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.

purge_bind — позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.

кдкоптионс — для текущего списка параметров и их объяснений см. RFC 4120.

Примеры

Чтобы запросить кэш билетов Kerberos для определения отсутствия билетов, если целевой сервер или учетная запись имеют ошибку или если тип шифрования не поддерживается из-за ошибки с ИДЕНТИФИКАТОРом события 27, введите:

Чтобы узнать о характере каждого билета предоставления билетов, который кэшируется на компьютере для сеанса входа в систему, введите:

Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем снова войдите в систему, введите:

Чтобы диагностировать сеанс входа в систему и найти Логонид для пользователя или службы, введите:

Чтобы диагностировать сбой ограниченного делегирования Kerberos и найти последнюю обнаруженную ошибку, введите:

Чтобы определить, может ли пользователь или служба получить билет на сервере или запросить билет для определенного имени участника-службы, введите:

Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер, предназначенный для определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите:

Чтобы запросить, к каким контроллерам домена недавно обращались этот компьютер, введите:

Чтобы повторно обнаружить контроллеры домена или очистить кэш перед созданием новых привязок к контроллеру домена с помощью klist add_bind , введите:

Источник

Читайте также:  Linux software list windows
Оцените статью
© 2024 Советы по настройке компьютера