Il comando Kinit richiama o prolunga un ticket Granting nel processo d’au­ten­ti­ca­zio­ne Kerberos. In pratica è, quindi, un elemento im­por­tan­te del servizio di au­ten­ti­ca­zio­ne che ga­ran­ti­sce un maggior grado di cy­ber­si­cu­rez­za e pro­te­zio­ne della sfera privata prin­ci­pal­men­te in reti di computer non sicure. Scoprite altri dettagli in relazione alla sintassi del comando e con esempi pratici potrete sapere quali opzioni vi offre in com­bi­na­zio­ne con Kerberos.

Registra il tuo dominio
  • Domain Connect gratuito per una con­fi­gu­ra­zio­ne facile del DNS
  • Cer­ti­fi­ca­to SSL Wildcard gratuito
  • Pro­te­zio­ne privacy inclusa

Che cos’è il comando Kinit e per cosa si usa?

Per usare cor­ret­ta­men­te il comando Kinit è ne­ces­sa­rio che com­pren­dia­te anzitutto il suo ruolo nel pro­to­col­lo di sicurezza Kerberos, una tec­no­lo­gia di au­ten­ti­ca­zio­ne standard che esat­ta­men­te come NTLM è un pro­to­col­lo di rete ap­par­te­nen­te alla famiglia dei pro­to­col­li Internet (IP). Entrambi i pro­to­col­li di sicurezza, per tra­sfe­ri­re i dati usano il TCP (Tran­smis­sion Control Protocol) oppure l’UDP (User Datagram Protocol).

Consiglio

Se volete sapere come fun­zio­na­no TCP e IP in com­bi­na­zio­ne, nel nostro articolo TCP/IP trovate la spie­ga­zio­ne e i chia­ri­men­ti.

Per la verifica di un utente, Kerberos, rispetto a NTLM, usa una parte terza, aggiunge quindi un livello di sicurezza, rendendo quest’ultima superiore. Oltre al client e il server dell’hosting c’è anche un server di au­ten­ti­ca­zio­ne oppure un server per il ticket Granting (la loro com­bi­na­zio­ne crea il KDC o Key Di­stri­bu­tion Center). Il client, su richiesta e dopo una verifica positiva, ottiene un TGT (Ticket Granting Ticket) tramite il KDC. Questo servizio di ticket sta­bi­li­sce la durata dell’accesso da parte dell’utente a de­ter­mi­na­ti dati.

In questo processo, il comando Kinit svolge un ruolo im­por­tan­te: con esso, il Ticket Granting Ticket, nel caso sia già scaduto, viene ri­chia­ma­to o pro­lun­ga­to. Nel seguente paragrafo vi spie­ghia­mo come si presenta la sintassi del comando Kinit e di quali opzioni disponete per il suo uso.

Consiglio

L’evo­lu­zio­ne della tec­no­lo­gia come l’in­tel­li­gen­za ar­ti­fi­cia­le permette purtroppo, oltre ai suoi benefici, anche attacchi ci­ber­ne­ti­ci sempre più so­fi­sti­ca­ti e temibili. Mettete i vostri dati im­por­tan­ti al sicuro con il servizio My­De­fen­der di IONOS e af­fi­da­te­vi sempre alle procedure di sicurezza più recenti.

Comando Kinit: sintassi e opzioni

Qui di seguito è esposta la sintassi del comando Kinit e una struttura delle singole variabili o flag.

kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
Elemento Si­gni­fi­ca­to
-A Questo elemento indica che il ticket contiene una lista di indirizzi client. Se questa opzione non è spe­ci­fi­ca­ta, il ticket contiene la lista locale di indirizzi dell’host. Se il vostro ticket iniziale contiene tuttavia una de­ter­mi­na­ta lista di indirizzi, l’uso è allora limitato agli indirizzi che sono inclusi nella lista degli indirizzi.
-c È il cachename. Con il flag -c viene indicato quale cache deve essere uti­liz­za­ta per le cre­den­zia­li. Se questo flag manca, verrà usata sem­pli­ce­men­te la cache standard.
-f È ne­ces­sa­rio che inseriate questo flag quando un ticket deve essere inoltrato. Se -f manca, l’inoltro non è possibile.
-k Con questo elemento stabilite che il codice per un ticket principal sarà ri­chia­ma­to da una tabella di codici. Se questo flag manca, sarà richiesto all’utente di inserire la password ma­nual­men­te.
-l* Questo flag indica la validità (in inglese: lifetime), vale a dire la durata di validità che deve avere il ticket. Di norma, un ticket non è più valido dopo dieci ore e deve essere rinnovato.
-p Con questo elemento potete indicare se il ticket deve essere com­pa­ti­bi­le con il server proxy.
principal Questo elemento indica ogni volta il ticket principal. Senza questo flag il ticket principal sarà sem­pli­ce­men­te ri­chia­ma­to dalla cache per le cre­den­zia­li.
-r* Questo flag serve per la validità rin­no­va­bi­le (in inglese: renewable life). In questo caso la nuova validità deve trovarsi al di fuori del termine ori­gi­na­rio. Se non indicate -r, il ticket non potrà essere rinnovato.
-R Con esso indicate che un ticket già esistente deve essere rinnovato.
-s* Con questo flag indicate che un ticket con un de­ter­mi­na­to inizio temporale deve essere re­tro­da­ta­to.
-S Questo elemento serve per il servizio obiettivo (in inglese: target service), che deve essere usato ri­chia­man­do il ticket.
-t -t è un file keytab oppure indica quale keyfile deve essere usato invece del keyfile standard.
-v Indica che il TGT (Ticket Granting Ticket) nella cache deve essere inoltrato al Key Di­stri­bu­tion Center per la convalida.
-u Questo elemento indica che Kinit deve creare un file di cache con cre­den­zia­li, affinché il processo possa essere chia­ra­men­te iden­ti­fi­ca­to.
* È ne­ces­sa­rio che in­di­chia­te questo flag sempre con il formato: ndnhnmns, dove “n” è un numero, “d” è il giorno, “h” è la ora, “m” sono i minuti e “s” sono i secondi.
N.B.

Un comando con -p vi permette di usare un servizio con un altro indirizzo IP rispetto a quello spe­ci­fi­ca­to nel TGT. Se volete sapere come trovare un indirizzo IP, abbiamo redatto per voi un articolo specifico sull’argomento.

Comando Kinit: esempio

Im­ma­gi­na­te di volere generare un TGT con una validità di nove ore che sia pro­lun­ga­bi­le ancora per sei giorni. In base alla sintassi Kinit, in questo caso, il comando sarebbe così:

kinit -l 9h  -r  6d  my_principal

IL comando suc­ces­si­vo richiede un TGT per il principal indicato, che scade in un’ora ma può essere ancora pro­lun­ga­to per una durata di dieci ore. Ricordate però che un utente può rinnovare un solo ticket prima che esso scada. Il ticket rinnovato può essere rinnovato ancora una volta entro dieci ore dopo la sua prima richiesta.

kinit -R utente@example.com
Consiglio

Le tec­no­lo­gie di cifratura come Kerberos sono im­por­tan­ti, affinché i vostri dati non finiscano mai nelle mani sbagliate. Se decidete di ac­qui­sta­re il vostro dominio personale da IONOS oppure affittare un server IONOS, vi offriamo scambi di dati cifrati che sod­di­sfa­no gli standard attuali di sicurezza tramite il cer­ti­fi­ca­to SSL Wildcard, ma non solo.

My­De­fen­der
Massima sicurezza per tutti i tuoi di­spo­si­ti­vi
  • Pro­te­zio­ne antivirus
  • Backup au­to­ma­ti­ci e recupero dei file persi
Vai al menu prin­ci­pa­le