Почему я получаю дубликаты билетов службы Kerberos без царства?

471
neirbowj

При каких обстоятельствах я получу, по-видимому, действительные служебные билеты, которые являются дубликатами и не имеют связанных областей? То есть это указывает на неправильную конфигурацию где-нибудь? Представляет ли это интересную возможность или возможность? ... неэффективность или уязвимость?

Например, если я kinitуспешно получаю свой TGT, SSH на хост с керберизацией, а затем запускаю klist, я вижу этот (санированный) вывод:

Ticket cache: KCM:503 Default principal: neirbowj@EXAMPLE.COM  Valid starting Expires Service principal 01/24/2016 18:17:40 01/25/2016 04:17:40 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 01/25/2016 18:17:33 01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@ renew until 01/25/2016 18:17:33 01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@EXAMPLE.COM renew until 01/25/2016 18:17:33

Что это значит, что у меня есть host/foo.example.com@и host/foo.example.com@EXAMPLE.COMсервисные билеты?

Я использую OS X Yosemite 10.10.5 и использую порт kerberos5 1.13.2_2 и порт openssh 7.1p2_0 + kerberos5 + ldns + xauth от MacPorts 2.3.4. Мой (санированный) /etc/krb5.confимеет:

[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kerberos.example.com }
1

0 ответов на вопрос

Похожие вопросы