Kerberos 5 am Institut für Mathematik - Eine Übersicht

Für Eilige: Wie kann ich mein Passwort ändern?

Kerberos ersetzt den alten Autorisierungsdienst NIS. Der alte Befehl 'yppasswd' wird nicht mehr untersützt.

Um das Passwort im neuen System zu ändern nutzt man den Befehl 'kpasswd':

ruescher@macintyre[~]>>kpasswd
Password for ruescher@MATH.UNI-PADERBORN.DE: Enter new password: Enter it again:

Falls kpasswd die Fehlermeldung

"kpasswd: No credentials cache found getting principal from ccache"

anzeigt, ist vorher noch der Befehl 'kinit' einzugeben:

ruescher@macintyre[~]>>kinit
Password for ruescher@MATH.UNI-PADERBORN.DE:

Was ist Kerberos?

Kerberos ist ein Autorisierungsdienst mit dem sich Nutzer, Rechner oder Dienste gegenüber anderen Nutzern, Rechnern oder Diensten autorisieren können. Es unterstützt verschlüsselte Verbindungen und ermöglicht das sog. Single Sign On: ein Nutzer muss sein Passwort nur einmal während der ganzen Sitzung eingeben. Kerberos benutzt dabei neben symmetrischer Kryptographie ein sog. Ticket-basiertes Verfahren. Tickets sind quasi elektronische Ausweise mit denen sich User und Rechner gegeneinander ausweisen. Wenn sich ein Nutzer am System anmeldet, bekommt er - vereinfacht gesprochen - ein Ticket mit dem er sich gegenüber allen Diensten des Systems (wie ssh oder IMAP) ausweisen kann. Etwas ausführlichere Informationen finden Sie in unserer Kerberos Kurzübersicht (pdf)

Was ändert sich für mich?

Nicht viel. Der Befehl mit dem man das eigene Passwort ändert, hat einen neuen Namen. Viele Dinge laufen zudem komfortabler: man kann sich auch ohne ssh-keys kreuz und quer einloggen ohne sein Passwort neu eingeben zu müssen. Gleiches gilt, wenn man einen Kerberos-fähigen Mailreader wie pine benutzt.

Kurzübersicht - Welche neuen Befehle gibt es?

kpasswd - Ändert das eigene Passwort.
klist - Zeigt alle gültigen Tickets an.
kinit - Fordert ein neues Ticket Granting Ticket an.
kdestroy - Zerstört alle meine Tickets.

kpasswd - Wie ändere ich mein Passwort?

Um das eigene Passwort zu ändern, stellt Kerberos den Befehl 'kpasswd' zur Verfügung. Damit das Passwort geändert werden kann, muss man bereits ein gültiges Kerberos-Ticket haben. Im Normalfall (z.B. nach dem Anmelden) ist dies der Fall, so dass ein einfaches 'kpasswd' reicht:

ruescher@macintyre[~]>>kpasswd
Password for ruescher@MATH.UNI-PADERBORN.DE:  
Enter new password: Enter it again:

Falls man kein Kerberos-Ticket besitzt, muss man sich zunächst mit Hilfe des Befehls 'kinit' eines generieren:

ruescher@macintyre[~]>>kinit
Password for ruescher@MATH.UNI-PADERBORN.DE:

und dann

ruescher@macintyre[~]>>kpasswd
Password for ruescher@MATH.UNI-PADERBORN.DE:  Enter new password: Enter it again:

klist - Wie kann ich rauskriegen, welche Tickets ich gerade besitze?

Um eine Liste aller derzeit gültigen Tickets anzuzeigen gibt es den Befehl 'klist':

ruescher@macintyre[~]>>klist
Ticket cache: FILE:/tmp/krb5cc_3037
Default principal: ruescher@MATH.UNI-PADERBORN.DE

Valid starting     Expires            Service principal
01/13/04 10:58:55  01/13/04 20:58:55  krbtgt/MATH.UNI-PADERBORN.DE@MATH.UNI-PADERBORN.DE
01/13/04 10:59:46  01/13/04 20:58:55  host/escher.uni-paderborn.de@MATH.UNI-PADERBORN.DE

Kerberos 4 ticket cache: /tmp/tkt3037
klist: You have no tickets cached

kinit - Meine Tickets sind abgelaufen. Wie bekomme ich neue?

Tickets werden automatisch generiert solange man ein "Ticket Granting Ticket" besitzt - eine Art Generalausweis mit dem man sich universell ausweisen kann. Dieses Ticket wird beim ersten Einloggen erzeugt, hat aber aus Sicherheitsgründen nur eine Lebensdauer von 10 Stunden; danach wird es ungültig. Um ein neues Ticket Granting Ticket anzufordern benutzt man den Befehl 'kinit':

ruescher@macintyre[~]>>kinit
Password for ruescher@MATH.UNI-PADERBORN.DE:

Das neue Ticket Granting Ticket hat wieder eine Lebensdauer von 10 Stunden. Danach muss bei Bedarf ein neues angefordert werden.

kdestroy - Ich möchte meine Tickets zerstören? Wie geht das?

Manchmal ist es sinnvoll, die eigenen Tickets ungültig zu machen, z.B. wenn man den Rechner verlässt und auf Nummer sicher gehen will. Dazu gibt es den Befehl 'kdestroy':

ruescher@macintyre[~]>>kdestroy

Menü