Kerberos 5 at the Institute of Mathematics - An overview
- For those in a hurry: How can I change my password?
-
What is Kerberos?
-
What will change for me?
-
Quick overview - What new commands are there?
-
kpasswd - How do I change my password?
-
klist - Which tickets do I remove?
-
kinit - How do I get new tickets?
-
kdestroy - How can I destroy tickets?
How can I change my password?
You can reset your password on the page serviceportal.math.uni-paderborn University.de. To do this, log in on the linked page with your current login data.
Select the "Settings" tab there. Enter your old password in the upper field and the new password in the two lower fields and complete the process by clicking on "Confirm".
Was ist Kerberos?
Kerberos ist ein Autorisierungsdienst mit dem sich Nutzer, Rechner oder Dienste gegenüber anderen Nutzern, Rechnern oder Diensten autorisieren können. Es unterstützt verschlüsselte Verbindungen und ermöglicht das sogenannte Single-Sign-On: ein Nutzer muss sein Passwort nur einmal während der ganzen Sitzung eingeben. Kerberos benutzt dabei neben symmetrischer Kryptographie ein sogenanntes Ticket-basiertes Verfahren. Tickets sind elektronische Ausweise, mit denen sich User und Rechner gegeneinander ausweisen. Wenn sich ein Nutzer am System anmeldet, bekommt er - vereinfacht gesprochen - ein Ticket, mit dem er sich gegenüber allen Diensten des Systems (wie ssh oder IMAP) ausweisen kann.
Kurzübersicht - Welche Befehle gibt es?
- kpasswd - Ändert das eigene Passwort.
-
klist - Zeigt alle gültigen Tickets an.
-
kinit - Fordert ein neues Ticket Granting Ticket an.
-
kdestroy - Zerstört alle meine Tickets.
kpasswd - Wie ändere ich mein Passwort?
Um das eigene Passwort zu ändern, stellt Kerberos den Befehl 'kpasswd' zur Verfügung. Damit das Passwort geändert werden kann, muss man bereits ein gültiges Kerberos-Ticket haben. Im Normalfall (z.B. nach dem Anmelden) ist dies der Fall, sodass ein einfaches 'kpasswd' reicht:
$ kpasswd Password for dhilbert@MATH.UNI-PADERBORN.DE: Enter new password: Enter it again: |
klist - Wie kann ich herausfinden, welche Tickets ich gerade besitze?
Um eine Liste aller derzeit gültigen Tickets anzuzeigen, gibt es den Befehl 'klist':
$ klist Ticket cache: FILE:/tmp/krb5cc_56510_3pfHET Default principal: dhilbert@MATH.UNI-PADERBORN.DE Valid starting Expires Service principal 28.06.2019 10:41:43 28.06.2019 20:41:43 krbtgt/MATH.UNI-PADERBORN.DE@MATH.UNI-PADERBORN.DE renew until 29.06.2019 06:41:43 |
kinit - Meine Tickets sind abgelaufen. Wie bekomme ich neue?
Tickets werden automatisch generiert, solange man ein "Ticket Granting Ticket" besitzt - eine Art Generalausweis, mit dem man sich universell ausweisen kann. Dieses Ticket wird beim ersten Einloggen erzeugt, hat aber aus Sicherheitsgründen nur eine Lebensdauer von 10 Stunden. Danach wird es ungültig. Um ein neues Ticket Granting Ticket anzufordern, benutzt man den Befehl 'kinit':
$ kinit Password for dhilbert@MATH.UNI-PADERBORN.DE: |
Das neue Ticket Granting Ticket hat wieder eine Lebensdauer von 10 Stunden. Danach muss bei Bedarf ein neues angefordert werden.
kdestroy - Ich möchte meine Tickets zerstören? Wie geht das?
Manchmal ist es sinnvoll, die eigenen Tickets ungültig zu machen, z.B. wenn man den Rechner verlässt und auf Nummer sicher gehen will. Dazu gibt es den Befehl 'kdestroy':
$ kdestroy |