Répertorier les principaux Kerberos avec des TGT valides

8

Est-il possible d'interroger mon KDC Kerberos (MIT) pour renvoyer une liste des principaux qui ont reçu des TGT actuellement valides?

Mon cas d'utilisation est que je voudrais savoir quels utilisateurs sont actuellement connectés sur n'importe quelle machine dans un environnement réseau en interrogeant uniquement la machine KDC.

Joseph R.
la source
Ma première supposition n'est pas parce que je ne pense pas qu'il soit notifié sur un kdestroyévénement de type donc ils peuvent l'avoir considéré comme une cause perdue. Je n'ai pas de serveur Kerberos en cours d'exécution, mais vous pouvez vérifier kadmin.logles émissions de billets. S'ils sont là, alors il suffit de greples faire pour former une liste.
Bratchley
@JoelDavis C'est un très bon point. Par souci de simplicité, disons que je suis prêt à autoriser les faux positifs générés par les kdestroytickets ed. Je n'aime pas analyser un fichier journal (je pense que vous vouliez dire kdc.log, non?) Pour l'information; Je pense qu'il devrait être disponible sur le serveur d'une manière ou d'une autre.
Joseph R.
Eh bien, mon argument avec ce qui précède est que ces complications peuvent avoir amené le responsable du projet responsable de votre Kerberos à ne pas continuer à offrir cette fonctionnalité car elle ne pouvait pas être fournie de manière fiable. Je peux certainement les voir enregistrer l'événement pour le bien de l'audit, cependant. L'analyse des fichiers journaux peut s'avérer être le seul moyen de l'obtenir. grepn'est pas si difficile.
Bratchley

Réponses:

1

Non, le MIT KDC ne conserve pas l'état du ticket pour savoir quels tickets précédemment générés et distribués sont toujours valides ou maintenant expirés.

jblaine
la source