Um ein Kerberos-Ticket von einem Key-Distribution-Center (KDC) zu beziehen, existieren unterschiedliche Methoden. Um bei der Anmeldung ein Ticket anzufragen, ist der PAM-Stack um eine entsprechende PAM-Bibliothek zu erweitern, die dann für die Kommunikation mit dem KDC verantwortlich ist. Bekannte Vertreter sind beispielsweise pam_krb5 oder pam_sss. Letztere kommt zum Einsatz, sollte der Security Services Daemon (SSSD) als Identity-Management-Client verwendet werden. Mit Hilfe von libsss_ krb5 kann dieser dann im Backend mit einem Kerberos-Server kommunizieren.
Unabhängig von PAM lassen sich Kerberos-Tickets auch über eine Client-Anwendung abrufen. Hierfür dient unter Linux üblicherweise "kinit". Die Konfiguration findet dabei über die Datei "/etc/krb5.conf" statt. In dieser Datei lassen sich nun eine Vielzahl an Konfigurationseinstellungen vornehmen. Unter anderem auch, in welchem Cache das Kerberos-Ticket landen soll, nachdem es vom KDC an den Client übertragen wurde. Der Cache, auch als Credential Cache (ccache) bezeichnet, enthält dabei neben dem
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.