Listar os principais do Kerberos com TGTs válidos

8

É possível consultar meu KDC (MIT) Kerberos para retornar uma lista de entidades que receberam TGTs válidos no momento?

Meu caso de uso é que eu gostaria de descobrir quais usuários estão conectados no momento em qualquer máquina em um ambiente de rede consultando apenas a máquina KDC.

Joseph R.
fonte
Meu primeiro palpite não é porque acho que ele não é notificado em um kdestroyevento do tipo, para que eles possam ter considerado uma causa perdida. Não tenho um servidor Kerberos em execução, mas você pode verificar kadmin.loga emissão de tickets. Se eles estão lá, deve ser apenas uma questão de grepfazê-los formar uma lista.
Bratchley
@ JoelDavis Esse é um ponto muito bom. Por uma questão de simplicidade, digamos que estou disposto a permitir falsos positivos gerados por kdestroytickets ed. Não gosto de analisar um arquivo de log (acho que você quis dizer kdc.log, não?) Para obter as informações; Eu acho que deve estar disponível no servidor de alguma forma.
Joseph R.
Bem, o que quero dizer com o exposto acima é que essas complicações podem ter causado o mantenedor de qualquer projeto responsável pelo seu Kerberos) a não continuar oferecendo esse recurso, pois ele não poderia ser fornecido como confiável. Definitivamente, posso vê-los registrando o evento por causa da auditoria. A análise de arquivos de log pode acabar sendo a única maneira de obtê-lo. grepnão é tão difícil.
Bratchley

Respostas:

1

Não, o MIT KDC não mantém o estado do ticket sobre o qual tickets gerados e distribuídos anteriormente ainda são válidos ou agora expiraram.

jblaine
fonte