Сайрус САСЛ и Kerberos TGT

Question

Сайрус САСЛ и Kerberos TGT

В случае Kerberos успешная аутентификация с использованием kinit приводит к локально кэшированному TGT, который будет использоваться для аутентификации в сервисах Kerberized. Как правило, этот TGT действителен в течение одного дня, поэтому пользователю необходимо предоставлять свои учетные данные только один раз в день для всех взаимодействий со службами Kerberized.

Скажем, я пишу клиент-серверное приложение, которое использует реализацию Cyrus SASL для аутентификации пользователей с использованием механизма Kerberos. Как работает кэширование TGT в этом контексте? Другими словами, клиентская библиотека cyrus автоматически отслеживает TGT, чтобы в будущем для взаимодействия с сервером не требовались учетные данные пользователя? Если это так, есть ли способ указать, что TGT, который Cyrus получает от KDC, может быть перенаправлен, чтобы клиент мог взаимодействовать с другими сервисами Kerberized?

Спасибо за любые советы!

0

kerberos sasl kerberos-delegation cyrus

Источник

user3663205 26 мар '19 в 14:36

1 ответ

Решение

Другие вопросы по тегам kerberos sasl kerberos-delegation cyrus

user49849 30 мар '19 в 20:05 2019-03-30 20:05 · Accepted Answer · 2019-03-30 20:05

Насколько я знаю, библиотека Cyrus SASL не получает TGT для пользователя - она даже не знает принципала или пароля; вместо этого он ожидает, что TGT уже будет присутствовать в системном кэше учетных данных.

Таким образом, ответ заключается в использовании kinit --forwardableпотому что вы должны использовать Kinit в любом случае.