是否可以查询我的(MIT)Kerberos KDC以返回已颁发了当前有效的TGT的主体列表?
我的用例是,我想通过仅查询KDC计算机来找出当前在网络环境中的任何计算机上登录的用户。
@JoelDavis这是一个很好的观点。为了简单起见,假设我愿意允许
—
Joseph R.
kdestroyed票证产生误报。我不喜欢解析日志文件(我想是kdc.log不是?)来获取信息;我认为应该可以从服务器以某种方式获得它。
我上面的观点是,这些复杂性可能导致负责您的Kerberos的任何项目的维护者都不愿提供此功能,因为它不能可靠地提供。不过,我绝对可以看到他们为审计记录了事件。解析日志文件可能最终是获取日志文件的唯一方法。
—
布拉奇利2014年
grep并不困难。
kdestroy-type事件中得到通知,所以他们可能认为这是一个失败的原因。我没有运行中的Kerberos服务器,但是您可以检查kadmin.log票证发行。如果他们在那里,那应该只是将grep他们列出来以形成列表的问题。