Команда Kinit извлекает или продлевает билет предоставления в протоколе аутентификации Kerberos. Это означает, что она является важной частью службы аутентификации, поскольку обеспечивает повышенный уровень конфиденциальности и кибербезопасности, главным образом в плохо защищенных компьютерных сетях. На практических примерах мы рассмотрим синтаксис команды и покажем, какие возможности она предоставляет в сочетании с Kerberos.
Что такое команда Kinit и зачем она используется?
Чтобы правильно применить команду Kinit, сначала нужно понять ее роль в протоколе безопасности. Kerberos — это стандартная технология авторизации, которая, как и NTLM, также является сетевым протоколом, принадлежащим к семейству интернет-протоколов (IP). Оба протокола безопасности используют TCP (Transmission Control Protocol) или UDP (User Datagram Protocol) для передачи данных.
Вы хотите узнать, как TCP и IP работают вместе? Мы рассмотрим эту тему в нашей статье о TCP/IP.
В отличие от NTLM, Kerberos использует третью сторону для проверки пользователя, поэтому он добавляет дополнительный уровень безопасности. Помимо клиента и сервера хостинга, существует также сервер аутентификации или сервер выдачи билетов (вместе они образуют KDC или Key Distribution Center). Здесь по запросу и после успешной проверки клиенту выдается TGT (Ticket Granting Ticket). Этот служебный билет определяет, как долго пользователь имеет доступ к определенным данным.
В этом процессе команда Kinit играет важную роль. Она используется для получения Ticket Granting Ticket или для его продления, если срок его действия уже истек. В следующем разделе мы рассмотрим, как выглядит синтаксис команды Kinit и какие опции доступны вам при ее использовании.
По мере развития таких технологий, как искусственный интеллект, кибер-атаки также становятся все более изощренными. Создавайте резервные копии важных данных с помощью облачного хранилища HiDrive от IONOS и полагайтесь на самую современную защиту.
Команда Kinit: синтаксис и опции
Ниже приведен синтаксис команды Kinit и описание каждой переменной или флага.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]| Элемент | Объяснение |
|---|---|
| -A | Указывает, что билет включает список клиентских адресов. Если не указано, билет включает список адресов локального хоста. Однако, если ваш начальный билет включает определенный список адресов, то использование ограничено адресами, включенными в список адресов. |
| -c | Это имя кэша. Флаг -c используется для указания того, какой кэш следует использовать для учетных данных. Если этот флаг отсутствует, то просто используется кэш по умолчанию. |
| -f | Укажите этот флаг, если соответствующий билет должен быть перенаправлен. Если флаг -f отсутствует, то билет не может быть переслан. |
| -k | Указывает, что ключ для принципала билета извлекается из таблицы ключей. Если этот флаг отсутствует, то пользователю будет предложено ввести пароль вручную. |
| -l* | Указывает время жизни, т.е. как долго билет должен быть действителен. По умолчанию билет становится недействительным через десять часов и должен быть обновлен. |
| -p | Позволяет указать, что билет должен быть с поддержкой прокси. |
| principal | Указывает соответствующего принципала билета. Без этого флага принципал извлекается из кэша учетных данных. |
| -r* | Означает возобновляемый срок действия. Новый срок действия всегда должен быть за пределами первоначального срока действия. Если вы не укажете -r, билет не может быть продлен. |
| -R | Здесь вы указываете, следует ли продлевать существующий билет. |
| -s* | Используйте этот флаг, чтобы указать, что билет должен быть продлен с определенным временем начала. |
| -S | Здесь указывается целевая служба, которая будет использоваться при получении билета. |
| -t | Обозначает файл ключей шифрования или указывает, какой файл ключей следует использовать вместо файла ключей по умолчанию. |
| -v | TGT в кэше должен быть передан в Центр распределения ключей для проверки. |
| -u | Указывает, что Kinit должен создать файл кэша учетных данных, чтобы процесс можно было однозначно идентифицировать. |
| * | Вы всегда должны указывать эти флаги в таком формате: ndnhnmns. Где n означает число, d — день, h — час, m — минуту и s — секунду. |
Команда с -p позволяет подключить сервис с другим IP-адресом, тогда вы можете прочитать нашу статью на эту тему. Если вы хотите узнать, как можно найти свой IP-адрес, то вы можете прочитать нашу статью на эту тему.
Команда Kinit: пример
Представьте, что вы хотите сгенерировать TGT со сроком действия девять часов и продлением на шесть дней. Согласно синтаксису Kinit, команда будет выглядеть следующим образом:
kinit -l 9h -r 6d my_principalСледующая команда запрашивает TGT для указанного принципала, срок действия которого истекает через час, но может быть продлен на срок до десяти часов. Помните, что вы можете продлить только один билет до истечения срока его действия. Продленный билет может быть продлен снова в течение десяти часов после первоначального запроса.
kinit -R user@example.comТехнологии шифрования, такие как Kerberos, важны для того, чтобы ваши данные никогда не попали в чужие руки. Если вам нужен собственный домен от IONOS или вы хотите арендовать сервер IONOS, то IONOS может предложить зашифрованный обмен данными, соответствующий современным стандартам безопасности, например, с помощью сертификата SSL wildcard.
- Конфигурация