Listen Sie Kerberos-Principals mit gültigen TGTs auf

8

Ist es möglich, mein (MIT) Kerberos KDC abzufragen, um eine Liste der Principals zurückzugeben, denen TGTs ausgestellt wurden, die derzeit gültig sind?

Mein Anwendungsfall ist, dass ich herausfinden möchte, welche Benutzer derzeit auf einem Computer in einer Netzwerkumgebung angemeldet sind, indem ich nur den KDC-Computer abfrage.

Joseph R.
quelle
Meine erste Vermutung ist nicht, dass ich nicht glaube, dass es bei einem kdestroyEreignis vom Typ benachrichtigt wird, sodass sie es möglicherweise als verlorene Ursache angesehen haben. Ich habe keinen laufenden Kerberos-Server, aber Sie können kadmin.lognach Ticketausstellungen suchen. Wenn sie dort drin sind, sollte es nur darum gehen grep, sie zu einer Liste zusammenzufassen.
Bratchley
@ JoelDavis Das ist ein sehr guter Punkt. Nehmen wir der Einfachheit halber an, ich bin bereit, durch kdestroyED-Tickets erzeugte Fehlalarme zuzulassen . Ich mag es nicht, eine Protokolldatei (ich denke, Sie meinten kdc.log, nein?) Für die Informationen zu analysieren . Ich denke, es sollte irgendwie vom Server verfügbar sein.
Joseph R.
Mein Punkt mit dem oben Gesagten ist, dass diese Komplikationen dazu geführt haben können, dass der Betreuer des für Ihr Kerberos verantwortlichen Projekts diese Funktion nicht mehr anbietet, da sie nicht zuverlässig bereitgestellt werden konnte. Ich kann jedoch definitiv sehen, dass sie das Ereignis aus Gründen der Prüfung protokollieren. Das Parsen von Protokolldateien ist möglicherweise der einzige Weg, um sie abzurufen. grepist nicht so schwer
Bratchley

Antworten:

1

Nein, das MIT KDC behält nicht den Ticketstatus bei, welche zuvor generierten und ausgegebenen Tickets noch gültig sind oder jetzt abgelaufen sind.

jblaine
quelle