1. дома
  2. Вопрос и ответ
  3. Как обновить билет на услугу kerberos с использованием API GSS

Как обновить билет на услугу kerberos с использованием API GSS

2013-08-28 5 views
1

Я использую API GSS для аутентификации с сервером SMB 2.0 с использованием проверки подлинности Kerberos (gss_init_sec_context call). Я знаю, что могу возобновить TGT с помощью команды kinit -R. Но я хочу иметь возможность также продлить мой билет на обслуживание.Как обновить билет на услугу kerberos с использованием API GSS

В протоколе спецификации он говорит, что клиент должен возобновить керберос билеты ..

Можно ли продлить билет службы? или я должен создать новый контекст?

Все указатели по этому поводу, связанные с SMB 2.0 повторной аутентификации с помощью GSS API также очень приветствуются

источник

2013-08-28 zapstar

+0

с этой страницы [ссылка] (http://technet.microsoft.com/en-us/library/bb742516.aspx) Я знаю, что билет на услугу может быть продлен (см. Раздел - Понимание понятий Kerberos, в этом подразделе Клиент/Сервер Exchange). Но я хочу знать, могу ли я что-то сделать с помощью API GSS или оболочки unix (например, kinit). BTW Я использую MIT Kerberos. – zapstar

ответ

1

Содержит ли билет службы в RENEWABLE флаг?

не может обновить любые билеты с помощью GSS-API. Это должно быть сделано с помощью механизма ниже другими способами. GSS-API слишком высокоуровневый, на самом деле он ничего не знает о базовом механизме - в этом случае Kerberos - техника.

Это не должно вас беспокоить, так как билет обслуживания хранится в CC, API будет/должен повторно использовать его в новом контексте. Поскольку SMB основан на сеансе, для этого должен быть новый контекст GSS.

Если вы хотите вмешаться в механику ниже, изучите this сайт. Хотя я бы не рекомендовал это.

источник

2013-08-28 18:38:02

+0

Я смущаюсь. Вы говорите, чтобы запросить билет на возобновляемую услугу, а также сказать, чтобы установить новый контекст с использованием API GSS. Есть ли способ рассказать API GSS о создании нового контекста и при необходимости обновить билет на услугу, а не создать новый? Да, я вижу флаг RENEWABLE в TGS-REQ, вот захват wirehark. Пожалуйста, дайте мне знать, если вы хотите получить больше информации. [Сброс] (http://sdrv.ms/17mvSB6). – zapstar

+0

ОК получил! Я был смущен API-интерфейсом GSS. прочитал немного больше об этом и, наконец, помог мне и после прочтения материала от вас. Спасибо, кучка! Но дайте мне предложения, если они есть, от захвата проводов! – zapstar

+0

Теперь понятно, почему вы не можете продлить билет только с помощью GSS-API? –

 Смежные вопросы

  • Нет связанных вопросов^_^