1

При каких обстоятельствах я получу, по-видимому, действительные служебные билеты, которые являются дубликатами и не имеют связанных областей? То есть это указывает на неправильную конфигурацию где-нибудь? Представляет ли это интересную возможность или возможность? ... неэффективность или уязвимость?

Например, если я kinit успешно , чтобы получить мой TGT, SSH к керберизованному хозяину, а затем запустить klist я вижу это (продезинфицировать) вывод:

Ticket cache: KCM:503
Default principal: neirbowj@EXAMPLE.COM

Valid starting       Expires              Service principal
01/24/2016 18:17:40  01/25/2016 04:17:40  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    renew until 01/25/2016 18:17:33
01/24/2016 18:17:45  01/25/2016 04:17:40  host/foo.example.com@
    renew until 01/25/2016 18:17:33
01/24/2016 18:17:45  01/25/2016 04:17:40  host/foo.example.com@EXAMPLE.COM
    renew until 01/25/2016 18:17:33

Что это значит, что у меня есть и билеты службы host/foo.example.com@ и host/foo.example.com@EXAMPLE.COM ?

Я использую OS X Yosemite 10.10.5 и использую порт kerberos5 1.13.2_2 и порт openssh 7.1p2_0+kerberos5+ldns+xauth от MacPorts 2.3.4. Мой (продезинфицированный) /etc/krb5.conf имеет:

[libdefaults]
    default_realm = EXAMPLE.COM
[realms]
    EXAMPLE.COM = {
        admin_server = kerberos.example.com
    }

0