我对kerberos系统有疑问。我在与apache合作的Linux机器上安装,但我不明白。如果用户仍然登录,我的意思是他可以访问受保护的应用程序,如果我在终端上写道:
klist
查看该用户的票证,它什么也没给我。但我的客户端已经登录。只是我第一次输入该用户的kinit命令,然后用klist检查。实际上Kerberos是如何工作的?如果我第一次创建用户时,我必须使用kinit和klist来启动令牌,那么到底是什么?
答案 0 :(得分:1)
据我了解,运行kinit是从KDC获取TGT票证。只有TGT票,您才能申请服务票。
对于TGT票证,它具有一定的有效持续时间,这意味着客户在获得TGT票证后不必为每个请求获取TGT票证。此外,客户端不仅可以指定将TGT票证用于持久性的位置,还可以指定内存缓存。这就是为什么你发现缓存是空的klist命令,但你仍然可以访问该服务。