Команда Kinit получает или обновляет билет предоставления в процессе аутентификации Kerberos. Это важная часть службы аутентификации, обеспечивающая повышенный уровень конфиденциальности и кибербезопасности, главным образом в незащищенных компьютерных сетях. Узнайте больше о синтаксисе команды и на основе практических примеров, какие параметры она предлагает вам в связи с Kerberos.
Что такое команда Kinit и для чего она используется?
Чтобы правильно использовать команду Kinit, вы должны сначала понять ее роль в протоколе безопасности Kerberos. Kerberos — это стандартная технология авторизации, которая, как и NTLM, является сетевым протоколом, принадлежащим к семейству интернет-протоколов (IP). Оба протокола безопасности используют TCP (протокол управления передачей) или UDP (протокол пользовательских дейтаграмм) для передачи данных.
В отличие от NTLM, Kerberos использует третью сторону для проверки пользователя, добавляя дополнительный уровень безопасности. Помимо клиента и хост-сервера, существует еще сервер аутентификации или сервер выдачи билетов (вместе они образуют KDC или Центр распространения ключей). Здесь TGT (Ticket Granting Ticket) выдается клиенту по запросу и после успешной проверки. Этот билет службы определяет, как долго пользователь имеет доступ к определенным данным.
В этом процессе важную роль играет команда Kinit: она используется для получения билета на выдачу билета или для его продления, если срок его действия уже истек. В следующем разделе вы узнаете, как выглядит синтаксис команды Kinit и какие параметры у вас есть при ее использовании.
Синтаксис и параметры команды Kinit
Ниже приведен синтаксис команды Kinit и описание каждой переменной или флага.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
| элемент | Значение |
| -А | Этот элемент указывает, что билет содержит список адресов клиентов. Если эта опция не указана, билет включает список адресов локальных хостов. Однако если ваш первоначальный билет включает определенный список адресов, то использование ограничивается адресами, включенными в список адресов. |
| -с | Это имя кэша. Флаг -c используется для указания того, какой кэш учетных данных использовать. Если этот флаг отсутствует, просто используется стандартный кеш. |
| -ф | Затем вы должны указать этот флаг, если соответствующий билет должен быть перенаправлен. Если -f отсутствует, пересылка невозможна. |
| -к | Используйте этот элемент, чтобы указать, что ключ для участника билета извлекается из таблицы ключей. Если этот флаг отсутствует, пользователю будет предложено ввести пароль вручную. |
| -л* | Этот флаг указывает срок действия (по-английски: lifelife), т. е. как долго билет должен быть действителен. По умолчанию срок действия билета истекает через десять часов, после чего его необходимо продлить. |
| — п | Позволяет указать, что в билете должен быть включен прокси-сервер. |
| главный | Этот элемент определяет соответствующий принципал билета. Без этого флага принципал просто извлекается из кэша учетных данных. |
| -р* | Этот флаг символизирует возобновляемую жизнь. Новое время действия всегда должно находиться за пределами исходного времени окончания. Если вы не укажете -r, билет невозможно будет продлить. |
| -Р | Здесь вы указываете, следует ли продлить уже существующий билет. |
| -с* | Используйте этот флаг, чтобы указать, что билет должен быть датирован задним числом и иметь определенное время начала. |
| -С | Этот элемент представляет целевую службу, которая будет использоваться при получении билета. |
| -т | -t обозначает файл ключей шифрования или указывает, какой файл ключей следует использовать вместо файла ключей по умолчанию. |
| -v | Указывает, что TGT в кэше должен быть передан в центр распространения ключей для проверки. |
| -у | Этот элемент указывает, что Kinit должен создать файл кэша учетных данных, чтобы процесс можно было однозначно идентифицировать. |
| * | Вы всегда должны указывать эти флаги в следующем формате: ndnhnmns. Где n — число, d — день, h — час, m — минута, а s — секунда. |
Команда Kinit: пример
Представьте, что вы хотите создать TGT со сроком действия девять часов, который следует считать возобновляемым в течение шести дней. Согласно синтаксису Kinit, команда будет выглядеть так:
kinit -l 9h -r 6d my_principal
Следующая команда запрашивает TGT для данного участника, срок действия которого истекает через один час, но может быть продлен до десяти часов. Помните, что пользователь может продлить только один билет до истечения его срока действия. Продленный билет можно продлить еще раз в течение десяти часов с момента первого запроса.
kinit -R nutzer@example.com
