Red Hat Training

A Red Hat training course is available for RHEL 8

41.4.3. 为 IdM 服务检索 Kerberos 服务票据

以下流程描述了为 IdM 服务检索 Kerberos 服务票据。您可以使用这个步骤来测试 Kerberos ticket 策略。

先决条件

流程

  • 使用 kvno 命令和 -S 选项检索服务票据,并指定 IdM 服务的名称和管理它的主机的完全限定域名。

    [root@server ~]# kvno -S testservice client.example.com
    testservice/client.example.com@EXAMPLE.COM: kvno = 1
注意

如果您需要访问 IdM 服务,且当前的票据复制票据(TGT)没有与之关联的所需身份验证指标,请使用 kdestroy 命令清除当前的 Kerberos 凭证缓存并检索新的 TGT:

[root@server ~]# kdestroy

例如,如果您最初通过使用密码进行身份验证来获取了 TGT,并且您需要访问与它 相关联的 IdM 服务,请销毁当前的凭证缓存并使用智能卡重新进行身份验证。请参阅 Kerberos 验证指示器

验证步骤

  • 使用 klist 命令验证服务票据是否在默认的 Kerberos 凭据缓存中。

    [root@server etc]# klist_
    Ticket cache: KCM:1000
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    04/01/2020 12:52:42  04/02/2020 12:52:39  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    04/01/2020 12:54:07 04/02/2020 12:52:39 testservice/client.example.com@EXAMPLE.COM