我正在将我的机器设置为 kerberos 客户端。我对 kerberos 配置文件如何实际生效以及如何清除其影响存在疑问。我的实验如下。
步骤 1,无需编辑文件/etc/krb5.conf,我输入内容kinit并得到了我所期望的结果。
aaaa@bbbb:~> kinit
kinit(v5): Configuration file does not specify default realm when parsing name aaaa
第 2 步,我编辑/etc/krb5.conf了有效的 kerberos 服务器信息,然后kinit再次输入。
aaaa@bbbb:~> kinit
Password for aaaa@bbbb:
pingluo@zhejiangNEW:~> klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: aaaa@bbbb
Valid starting Expires Service principal
08/13/14 11:36:34 08/13/14 21:36:34 krbtgt/bbbb@bbbb
renew until 08/20/14 11:36:34
所以我可以获得有效的 kerberos 票证,这表明我的配置是正确的。
步骤3,使用 销毁凭证kdestroy。
第 4 步,我删除了它,/etc/krb5.conf希望这样可以清除 kerberos 配置并kinit显示第 1 步中的消息。但是,我很惊讶地看到第 2 步中的消息。因此,虽然 kerberos 配置已被删除,但它仍然有效!我重新启动了机器,结果还是一样。
有人能解释一下发生了什么吗?我该如何彻底摆脱 kerberos?我的机器运行的是 OpenSUSE 13.1。krb5 客户端是 1.11.3。
答案1
Kinit 还可以使用 DNS 查找来查找您所在领域的 KDC。它会查找这些记录。
_kerberos._udp.EXAMPLE.COM。在 SRV 10 0 88 kdc1.example.com。_kerberos._udp.EXAMPLE.COM。在 SRV 20 0 88 kdc2.example.com。_kerberos-master._udp.EXAMPLE.COM。在 SRV 0 0 88 kdc1.example.com。_kerberos-adm._tcp.EXAMPLE.COM。在 SRV 0 0 749 kdc1.example.com。_kpasswd._udp.EXAMPLE.COM。在 SRV 0 0 464 kdc1.example.com。
您可以通过在 krb5.conf 文件中指定选项来关闭此功能。如果这不是问题,我建议在 kinit 上运行 strace 以找出它从哪里获取信息。
答案2
它可能查看了您当前的缓存凭据。输入 kdestroy,然后输入 kinit,看看是否能清除缓存凭据。