При каких обстоятельствах я получу, по-видимому, действительные служебные билеты, которые являются дубликатами и не имеют связанных областей? То есть это указывает на неправильную конфигурацию где-нибудь? Представляет ли это интересную возможность или возможность? ... неэффективность или уязвимость?
Например, если я kinit успешно , чтобы получить мой TGT, SSH к керберизованному хозяину, а затем запустить klist я вижу это (продезинфицировать) вывод:
Ticket cache: KCM:503
Default principal: neirbowj@EXAMPLE.COM
Valid starting Expires Service principal
01/24/2016 18:17:40 01/25/2016 04:17:40 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 01/25/2016 18:17:33
01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@
renew until 01/25/2016 18:17:33
01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@EXAMPLE.COM
renew until 01/25/2016 18:17:33
Что это значит, что у меня есть и билеты службы host/foo.example.com@ и host/foo.example.com@EXAMPLE.COM ?
Я использую OS X Yosemite 10.10.5 и использую порт kerberos5 1.13.2_2 и порт openssh 7.1p2_0+kerberos5+ldns+xauth от MacPorts 2.3.4. Мой (продезинфицированный) /etc/krb5.conf имеет:
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
admin_server = kerberos.example.com
}