问题描述
我正试图编写一个脚本来检查我的Kerberos票证是否有效或即将过期。为此,我使用klist --json
或klist
生成当前活动票证的列表(取决于安装的Kerberos版本),然后使用正则表达式或JSON解析结果。
最终结果是,我得到了一张像这样的门票清单:
Issued Expires Principal
Aug 19 16:44:51 2020 Aug 22 14:16:55 2020 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Aug 20 09:05:06 2020 Aug 20 19:05:06 2020 ldap/abc-dc101.example.com@EXAMPLE.COM
Aug 20 09:32:18 2020 Aug 20 19:32:18 2020 krbtgt/DEV.EXAMPLE.COM@EXAMPLE.COM
通过一些工作,我可以解析这些结果并进行验证。但是我很好奇Kerberos是否有可能来自同一主体的两张票证。读the MIT page on Kerberos usage似乎只有一张票是“初始”票。
我可以依靠委托人的唯一性,还是需要检查同一委托人是否有多张票证的可能性?
解决方法
要复杂得多。
TL; DR 您的第二个TGT似乎与跨域身份验证有关,请参见下面的粗体字。
klist
显示默认系统缓存中存在的票证:
- 如果没有这样的缓存可查询(即
FILE
缓存不存在,KEYRING
内核服务未启动,等等) - 可能有1张TGT(门票授予票证)可以在您自己的领域中证明您的身份
- 可能有N张服务票证断言您有权与服务器Z上的服务X联系(可能属于另一个领域,请参见下文)
- 在跨域身份验证的情况下,一些中间票证使您可以将域
A.R
中的TGT转换为域R
中的TGT,从而可以在域B.R
中获得服务票证(这将是与Active Directory一起使用的默认分层路径,但是自定义路径可以在/etc/krb5.conf
中的[capath]
下定义,或者像这样,具体取决于领域之间定义的信任)
但是请注意,并非所有服务票证都存储在缓存中-应用程序从缓存中获取TGT,获取服务票证并将其私有化是合法的。这就是Java的作用。
一个应用程序(或一组应用程序)使用私有缓存是合法的,请参见。 env变量KRB5CCNAME
(当您有多个服务在同一个Linux帐户下运行并且不想混淆其SPN时非常有用),因此除非您点击此按钮,否则您将无法看到klist
的票证自定义缓存。
应用程序完全不使用缓存,并在内存中保留所有票证是合法的。这就是Java在提供自定义JAAS配置时所要做的,该配置要求使用Principal / keytab进行身份验证。