列出具有有效TGT的Kerberos主体


8

是否可以查询我的(MIT)Kerberos KDC以返回已颁发了当前有效的TGT的主体列表?

我的用例是,我想通过仅查询KDC计算机来找出当前在网络环境中的任何计算机上登录的用户。


我的第一个猜测不是因为我不认为它会在kdestroy-type事件中得到通知,所以他们可能认为这是一个失败的原因。我没有运行中的Kerberos服务器,但是您可以检查kadmin.log票证发行。如果他们在那里,那应该只是将grep他们列出来以形成列表的问题。
布拉奇利

@JoelDavis这是一个很好的观点。为了简单起见,假设我愿意允许kdestroyed票证产生误报。我不喜欢解析日志文件(我想是kdc.log不是?)来获取信息;我认为应该可以从服务器以某种方式获得它。
Joseph R.

我上面的观点是,这些复杂性可能导致负责您的Kerberos的任何项目的维护者都不愿提供此功能,因为它不能可靠地提供。不过,我绝对可以看到他们为审计记录了事件。解析日志文件可能最终是获取日志文件的唯一方法。grep并不困难。
布拉奇利2014年

Answers:


1

不可以,MIT KDC不会保留先前生成和分配的票证仍然有效或现已过期的票证状态。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.