Kinit-Befehl erklärt

Der Kinit-Befehl ruft im Prozess der Kerberos-Authentifizierung ein Granting-Ticket ab oder verlängert es. So ist er ein wichtiger Teil des Authentifizierungsdienstes, der hauptsächlich in unsicheren Computernetzwerken für ein erhöhtes Maß an Privatsphäre und Cyber-Sicherheit sorgt. Erfahren Sie hier mehr zur Syntax des Befehls und anhand von praktischen Beispielen, welche Optionen er Ihnen in Verbindung mit Kerberos bietet.

Domain kaufen
Registrieren Sie Ihre perfekte Domain
  • Inklusive Wildcard-SSL-Zertifikat
  • Inklusive Domain Lock
  • Inklusive 2 GB E-Mail-Postfach

Was ist der Kinit-Befehl und wofür setzt man ihn ein?

Um den Kinit-Befehl richtig anwenden zu können, müssen Sie zunächst seine Rolle im Sicherheitsprotokoll Kerberos verstehen. Kerberos ist eine Standard-Autorisierungstechnologie, die genau wie NTLM ein Netzwerkprotokoll ist, das zur Familie der Internet Protocols (IPs) gehört. Beide Sicherheitsprotokolle verwenden in der Übermittlung von Daten TCP (Transmission Control Protocol) oder UDP (User Datagram Protocol).

Anders als NTLM nutzt Kerberos für die Verifizierung eines Nutzers eine dritte Partei, fügt also eine zusätzliche Sicherheitsebene hinzu. Neben dem Client und dem Hosting-Server gibt es so auch einen Authentifizierungs-Server bzw. Ticket-Granting-Server (zusammen bilden Sie das KDC oder Key Distribution Center). Hier wird dem Client auf Anfrage und nach erfolgreicher Verifizierung ein TGT (Ticket Granting Ticket) ausgestellt. Dieses Service-Ticket bestimmt, wie lange der Nutzer Zugriff auf bestimmte Daten hat.

In diesem Prozess spielt der Befehl Kinit eine wichtige Rolle: Mit ihm wird das Ticket Granting Ticket abgerufen oder verlängert, sollte es bereits abgelaufen sein. Erfahren Sie im nächsten Abschnitt, wie die Syntax des Kinit-Befehls aussieht und welche Optionen Ihnen bei der Verwendung bereitstehen.

Kinit-Befehl: Syntax und Optionen

Im Folgenden sehen Sie die Syntax des Kinit-Befehls und eine Aufschlüsselung der einzelnen Variablen bzw. Flags.

kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
Element Bedeutung
-A Dieses Element gibt an, dass das Ticket eine Liste von Client-Adressen beinhaltet. Wird diese Option nicht spezifiziert, beinhaltet das Ticket die lokale Host-Adressliste. Wenn Ihr Anfangsticket jedoch eine bestimmte Adressliste enthält, dann ist die Nutzung auf die Adressen beschränkt, die in der Adressliste miteingeschlossen sind.
-c Dies ist der Cachename. Mit dem Flag -c wird angegeben, welcher Cache für Berechtigungsnachweise verwendet werden soll. Fehlt dieses Flag, dann wird einfach der Standardcache verwendet.
-f Dieses Flag müssen Sie dann angeben, wenn das jeweilige Ticket weitergeleitet werden soll. Fehlt -f, dann ist es nicht weiterleitbar.
-k Mit diesem Element bestimmen Sie, dass der Schlüssel für ein Ticket-Principal aus einer Schlüsseltabelle abgerufen wird. Fehlt dieses Flag, dann wird der Nutzer dazu aufgefordert, das Kennwort manuell einzugeben.
-l* Dieses Flag gibt die Gültigkeit (auf Englisch: lifetime) an, also wie lange ein Ticket gültig sein soll. Standardmäßig ist ein Ticket nach zehn Stunden ungültig und muss dann wieder erneuert werden.
-p Hiermit können Sie angeben, dass das Ticket Proxy-fähig sein soll.
principal Dieses Element gibt den jeweiligen Ticket-Principal an. Ohne dieses Flag wird der Principal einfach aus dem Cache für Berechtigungsnachweise abgerufen.
-r* Dieses Flag steht für die erneuerbare Gültigkeit (auf Englisch: renewable life). Dabei muss die neue Gültigkeit immer außerhalb der ursprünglichen Endzeit liegen. Geben Sie -r nicht an, kann das Ticket nicht erneuert werden.
-R Hiermit geben Sie an, ob ein bereits vorhandenes Ticket erneuert werden soll.
-s* Mit diesem Flag geben Sie an, dass ein Ticket mit einer bestimmten Startzeit rückdatiert werden soll.
-S Dieses Element steht für den Zielservice (auf Englisch: target service), der beim Abruf des Tickets verwendet werden soll.
-t Das -t steht für Chiffrierschlüsseldatei bzw. zeigt an, welche Schlüsseldatei statt der Standardschlüsseldatei verwendet werden soll.
-v Zeigt, dass das TGT im Cache zum Validieren an das Key Distribution Center weitergegeben werden soll.
-u Dieses Element gibt an, dass Kinit eine Cachedatei mit Berechtigungsnachweisen erstellen soll, damit der Prozess eindeutig identifiziert werden kann.
* Diese Flags sollten Sie immer in diesem Format angeben: ndnhnmns. Dabei steht n für eine Zahl, d für Tag, h für Stunde, m für Minute und s für Sekunde.
Hinweis

Ein Befehl mit -p ermöglicht es Ihnen dann, einen Dienst mit einer anderen IP-Adresse als diejenige, die im TGT spezifiziert ist, zu nutzen. Wenn Sie wissen möchten, wie Sie Ihre eigene IP-Adresse finden, haben wir auch dazu einen Artikel für Sie vorbereitet.

Kinit-Befehl: Beispiel

Stellen Sie sich vor, Sie möchten ein TGT mit einer Gültigkeit von neun Stunden generieren, das sechs Tage lang für erneuerbar gelten soll. Laut Kinit-Syntax würde der Befehl dann wie folgt aussehen:

kinit -l 9h  -r  6d  my_principal

Der nächste Befehl fordert ein TGT für den angegebenen Principal an, das in einer Stunde abläuft, aber um bis zu zehn Stunden verlängert werden kann. Bedenken Sie, dass ein Benutzer nur ein Ticket erneuern kann, bevor es abläuft. Das erneuerte Ticket kann innerhalb von zehn Stunden nach seiner ersten Anforderung noch einmal erneuert werden.

kinit -R nutzer@example.com
Tipp

Verschlüsselungstechnologien wie Kerberos sind wichtig, damit Ihre Daten niemals in die falschen Hände geraten. Wenn Sie sich für eine eigene Domain von IONOS entscheiden oder einen IONOS-Server mieten, bieten wir Ihnen verschlüsselten Datenaustausch nach aktuellen Sicherheitsstandards, u.a. durch das SSL Wildcard Zertifikat.

MyDefender
Cyber Security aus Deutschland
  • Schutz vor Ransomware-Attacken
  • Geplante Viren-Scans
  • Automatische Backups, einfache Wiederherstellung
War dieser Artikel hilfreich?
Page top