Il comando Kinit spiegato in dettaglio
Il comando Kinit richiama o prolunga un ticket Granting nel processo d’autenticazione Kerberos. In pratica è, quindi, un elemento importante del servizio di autenticazione che garantisce un maggior grado di cybersicurezza e protezione della sfera privata principalmente in reti di computer non sicure. Scoprite altri dettagli in relazione alla sintassi del comando e con esempi pratici potrete sapere quali opzioni vi offre in combinazione con Kerberos.
- Certificato SSL Wildcard incluso
- Registrazione di dominio sicura
- Indirizzo e-mail professionale da 2 GB
Che cos’è il comando Kinit e per cosa si usa?
Per usare correttamente il comando Kinit è necessario che comprendiate anzitutto il suo ruolo nel protocollo di sicurezza Kerberos, una tecnologia di autenticazione standard che esattamente come NTLM è un protocollo di rete appartenente alla famiglia dei protocolli Internet (IP). Entrambi i protocolli di sicurezza, per trasferire i dati usano il TCP (Transmission Control Protocol) oppure l’UDP (User Datagram Protocol).
Se volete sapere come funzionano TCP e IP in combinazione, nel nostro articolo TCP/IP trovate la spiegazione e i chiarimenti.
Per la verifica di un utente, Kerberos, rispetto a NTLM, usa una parte terza, aggiunge quindi un livello di sicurezza, rendendo quest’ultima superiore. Oltre al client e il server dell’hosting c’è anche un server di autenticazione oppure un server per il ticket Granting (la loro combinazione crea il KDC o Key Distribution Center). Il client, su richiesta e dopo una verifica positiva, ottiene un TGT (Ticket Granting Ticket) tramite il KDC. Questo servizio di ticket stabilisce la durata dell’accesso da parte dell’utente a determinati dati.
In questo processo, il comando Kinit svolge un ruolo importante: con esso, il Ticket Granting Ticket, nel caso sia già scaduto, viene richiamato o prolungato. Nel seguente paragrafo vi spieghiamo come si presenta la sintassi del comando Kinit e di quali opzioni disponete per il suo uso.
L’evoluzione della tecnologia come l’intelligenza artificiale permette purtroppo, oltre ai suoi benefici, anche attacchi cibernetici sempre più sofisticati e temibili. Mettete i vostri dati importanti al sicuro con il servizio MyDefender di IONOS e affidatevi sempre alle procedure di sicurezza più recenti.
Comando Kinit: sintassi e opzioni
Qui di seguito è esposta la sintassi del comando Kinit e una struttura delle singole variabili o flag.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
Elemento | Significato |
---|---|
-A | Questo elemento indica che il ticket contiene una lista di indirizzi client. Se questa opzione non è specificata, il ticket contiene la lista locale di indirizzi dell’host. Se il vostro ticket iniziale contiene tuttavia una determinata lista di indirizzi, l’uso è allora limitato agli indirizzi che sono inclusi nella lista degli indirizzi. |
-c | È il cachename. Con il flag -c viene indicato quale cache deve essere utilizzata per le credenziali. Se questo flag manca, verrà usata semplicemente la cache standard. |
-f | È necessario che inseriate questo flag quando un ticket deve essere inoltrato. Se -f manca, l’inoltro non è possibile. |
-k | Con questo elemento stabilite che il codice per un ticket principal sarà richiamato da una tabella di codici. Se questo flag manca, sarà richiesto all’utente di inserire la password manualmente. |
-l* | Questo flag indica la validità (in inglese: lifetime), vale a dire la durata di validità che deve avere il ticket. Di norma, un ticket non è più valido dopo dieci ore e deve essere rinnovato. |
-p | Con questo elemento potete indicare se il ticket deve essere compatibile con il server proxy. |
principal | Questo elemento indica ogni volta il ticket principal. Senza questo flag il ticket principal sarà semplicemente richiamato dalla cache per le credenziali. |
-r* | Questo flag serve per la validità rinnovabile (in inglese: renewable life). In questo caso la nuova validità deve trovarsi al di fuori del termine originario. Se non indicate -r, il ticket non potrà essere rinnovato. |
-R | Con esso indicate che un ticket già esistente deve essere rinnovato. |
-s* | Con questo flag indicate che un ticket con un determinato inizio temporale deve essere retrodatato. |
-S | Questo elemento serve per il servizio obiettivo (in inglese: target service), che deve essere usato richiamando il ticket. |
-t | -t è un file keytab oppure indica quale keyfile deve essere usato invece del keyfile standard. |
-v | Indica che il TGT (Ticket Granting Ticket) nella cache deve essere inoltrato al Key Distribution Center per la convalida. |
-u | Questo elemento indica che Kinit deve creare un file di cache con credenziali, affinché il processo possa essere chiaramente identificato. |
* | È necessario che indichiate questo flag sempre con il formato: ndnhnmns, dove “n” è un numero, “d” è il giorno, “h” è la ora, “m” sono i minuti e “s” sono i secondi. |
Un comando con -p vi permette di usare un servizio con un altro indirizzo IP rispetto a quello specificato nel TGT. Se volete sapere come trovare un indirizzo IP, abbiamo redatto per voi un articolo specifico sull’argomento.
Comando Kinit: esempio
Immaginate di volere generare un TGT con una validità di nove ore che sia prolungabile ancora per sei giorni. In base alla sintassi Kinit, in questo caso, il comando sarebbe così:
kinit -l 9h -r 6d my_principal
IL comando successivo richiede un TGT per il principal indicato, che scade in un’ora ma può essere ancora prolungato per una durata di dieci ore. Ricordate però che un utente può rinnovare un solo ticket prima che esso scada. Il ticket rinnovato può essere rinnovato ancora una volta entro dieci ore dopo la sua prima richiesta.
kinit -R utente@example.com
Le tecnologie di cifratura come Kerberos sono importanti, affinché i vostri dati non finiscano mai nelle mani sbagliate. Se decidete di acquistare il vostro dominio personale da IONOS oppure affittare un server IONOS, vi offriamo scambi di dati cifrati che soddisfano gli standard attuali di sicurezza tramite il certificato SSL Wildcard, ma non solo.
- Protezione contro gli attacchi ransomware
- Protezione antivirus
- Backup automatici e recupero dei file persi