Список участников Kerberos с действительными TGT

8

Можно ли запросить у моего (MIT) Kerberos KDC вернуть список принципалов, которым были выданы TGT, которые в настоящее время действительны?

В моем случае я хотел бы выяснить, какие пользователи в настоящее время входят в систему на любом компьютере в сетевой среде, запрашивая только компьютер KDC.

Джозеф Р.
источник
Мое первое предположение не потому, что я не думаю, что оно получит уведомление о kdestroyсобытии -типа, поэтому они могли посчитать его проигранным. У меня нет работающего сервера Kerberos, но вы можете проверить kadmin.logналичие билетов. Если они там, тогда нужно просто составить grepсписок.
Братчли
@JoelDavis Это очень хороший момент. Ради простоты, допустим, я хочу разрешить ложные срабатывания, сгенерированные kdestroyбилетами ed. Мне не нравится парсинг файла журнала (я думаю, вы имели в виду kdc.log, нет?) Для информации; Я думаю, что это должно быть доступно с сервера как-то.
Джозеф Р.
Итак, моя точка зрения в отношении вышесказанного заключается в том, что эти сложности могли привести к тому, что разработчик любого проекта, ответственного за ваш Kerberos), не стал предлагать эту функцию, поскольку она не могла быть надежной. Однако я определенно вижу, как они регистрируют событие для аудита. Парсинг файлов журнала может оказаться единственным способом получить его. grepне так сложно
Братчли

Ответы:

1

Нет, MIT KDC не сохраняет состояние заявки о том, какие ранее сгенерированные и выданные билеты все еще действительны или теперь истекли.

jblaine
источник