Kerberosがどのように機能するかを理解しようとしています。/tmp/たとえば、Kerberosファイルが複数あります。krb5cc_<user-id>そのファイルは正確に何ですか?それらを見ると、暗号化された文字列にすぎないことがわかります。誰かがDockerファイルでそのファイルを使用したい場合は、どのようにアクセスできますか? Docker環境の分離によりアクセスできません/tmp。それでは、これらのKerberosチケットをどのように取得できますか?
ベストアンサー1
あなたが見つけたのはKerberos資格情報キャッシュ( "隠れ家「)これは有効で、ユーザーセッション中にKerberos資格情報を維持します。これにより、KDC(キー配布センター)との接触を最小限に抑えることができます。
Kerberos、特にこれらのファイルの目的と機能を明確にするのに役立つ豊富な知識があります。
KerberosはMITによって開発されたので、プロトコルに関する良い文書があり、私はいつもその複雑さについて言及しています。
資格情報キャッシュには、通常、パスワードまたは他の形式の認証を使用して取得した初期チケットが含まれています。このチケットがチケット付与チケットの場合は、それを使用してパスワードなしで追加の資格情報を取得できます。資格情報キャッシュはパスワードを保存しないため、コンピュータが破損してもユーザーアカウントが長期的に破損する可能性が低くなります。
これはまた、あなたkinitとklistあなたがキャッシュされたコンテンツをユーザーに表示するときにそのキャッシュがどこから取得されるかについてのアイデアを提供しますklist(このようなコンテンツが表示される理由を特定するのにも役立ちます/tmp)。
[kkahn@host ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1987
Default principal: [email protected]
Valid starting Expires Service principal
02/22/21 15:34:12 02/23/21 15:34:09 krbtgt/[email protected]
kdestroyユーザーの資格情報キャッシュに0を書き込む場合。man kdestroy以下を明確にする必要があります。
DESCRIPTION
The kdestroy utility destroys the user's active Kerberos authorization tickets by writing zeros to the specified credentials cache that contains them. If the credentials cache is not specified, the default credentials cache is destroyed. If kdestroy was built with Kerberos 4
support, the default behavior is to destroy both Kerberos 5 and Kerberos 4 credentials. Otherwise, kdestroy will default to destroying only Kerberos 5 credentials.