Warum bekomme ich Kerberos-Service-Tickets ohne Realm doppelt?

524
neirbowj

Unter welchen Umständen bekomme ich scheinbar gültige Service-Tickets, die Duplikate sind und denen kein Bereich zugeordnet ist? Das heißt, weist dies auf eine Fehlkonfiguration hin? Ist es eine interessante Fähigkeit oder Chance? ... eine Ineffizienz oder eine Schwachstelle?

Wenn ich kinitzum Beispiel erfolgreich mein TGT, SSH an einen kerberisierten Host erhalten habe, dann laufe klist, sehe ich diese (bereinigte) Ausgabe:

Ticket cache: KCM:503 Default principal: neirbowj@EXAMPLE.COM  Valid starting Expires Service principal 01/24/2016 18:17:40 01/25/2016 04:17:40 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 01/25/2016 18:17:33 01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@ renew until 01/25/2016 18:17:33 01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@EXAMPLE.COM renew until 01/25/2016 18:17:33 

Was bedeutet es, dass ich beides host/foo.example.com@und host/foo.example.com@EXAMPLE.COMServicetickets habe?

Ich verwende OS X Yosemite 10.10.5 und verwende den kerberos5 1.13.2_2-Port und den openssh 7.1p2_0 + kerberos5 + ldns + xauth-Port von MacPorts 2.3.4. Mein (hygienisch) /etc/krb5.confhat:

[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kerberos.example.com } 
1

0 Antworten auf die Frage