1

我有一个关于 kerberos 系统的问题。我与 apache 合作成功地在我的 linux 机器上安装,但我什么都不懂。如果用户仍然登录,我的意思是他可以访问受保护的应用程序,如果我在终端上写:

klist

查看该用户的票它什么也没给我。但是我的客户端已经登录了。只有第一次我应该为该用户输入 kinit 命令,然后检查 klist。Kerberos 实际上是如何工作的?如果我第一次创建用户时,我必须使用 kinit 启动并 klist 令牌,那到底是什么?

4

1 回答 1

1

据我了解,运行 kinit 是从 KDC 获取 TGT 票证。只有使用 TGT 票证,您才能申请服务票证。

对于 TGT 票证,它具有一定的有效期,这意味着客户端在已经获得 TGT 票证后,不必为每个请求都获取 TGT 票证。此外,客户端不仅可以指定放置 TGT 票证的位置以进行持久化,还可以指定内存缓存。这就是为什么您通过 klist 命令发现缓存为空但您仍然可以访问该服务的原因。

于 2017-07-05T08:11:43.637 回答