33.4.3. Obtenção de um bilhete de serviço Kerberos para um serviço IdM
O procedimento a seguir descreve a recuperação de um bilhete de serviço Kerberos para um serviço IdM. Você pode usar este procedimento para testar as políticas de bilhetes Kerberos.
Pré-requisitos
- Se o serviço com o qual você está trabalhando não é um serviço interno da IdM, você criou uma entrada correspondente em IdM service para ele. Veja Criando uma entrada de serviço IdM e sua tabela de chaves Kerberos.
- Você tem um bilhete de passagem de Kerberos (TGT).
Procedimento
Use o comando
kvno
com a opção-S
para recuperar um ticket de serviço e especifique o nome do serviço IdM e o nome de domínio totalmente qualificado do host que o administra.[root@server ~]# kvno -S testservice client.example.com testservice/client.example.com@EXAMPLE.COM: kvno = 1
Se você precisar acessar um serviço IdM e seu ticket de concessão de bilhetes (TGT) atual não possuir os indicadores de autenticação necessários associados a ele, limpe seu cache de credenciais Kerberos atual com o comando kdestroy
e recupere um novo TGT:
[root@server ~]# kdestroy
Por exemplo, se você inicialmente recuperou um TGT autenticando com uma senha, e precisa acessar um serviço IdM que tenha o indicador de autenticação pkinit
associado a ele, destruir seu cache de credenciais atual e re-autenticar com um cartão inteligente. Veja os indicadores de autenticação Kerberos.
Etapas de verificação
Use o comando
klist
para verificar se o ticket de serviço está no cache de credenciais padrão da Kerberos.[root@server etc]# klist_ Ticket cache: KCM:1000 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 04/01/2020 12:52:42 04/02/2020 12:52:39 krbtgt/EXAMPLE.COM@EXAMPLE.COM 04/01/2020 12:54:07 04/02/2020 12:52:39 testservice/client.example.com@EXAMPLE.COM