Kinit-Befehl erklärt
Der Kinit-Befehl ruft im Prozess der Kerberos-Authentifizierung ein Granting-Ticket ab oder verlängert es. So ist er ein wichtiger Teil des Authentifizierungsdienstes, der hauptsächlich in unsicheren Computernetzwerken für ein erhöhtes Maß an Privatsphäre und Cyber-Sicherheit sorgt. Erfahren Sie hier mehr zur Syntax des Befehls und anhand von praktischen Beispielen, welche Optionen er Ihnen in Verbindung mit Kerberos bietet.
Mehr als nur eine Domain!
Hier finden Sie Ihre perfekte Domain - z.B. .de Domain + persönlicher Berater
Was ist der Kinit-Befehl und wofür setzt man ihn ein?
Um den Kinit-Befehl richtig anwenden zu können, müssen Sie zunächst seine Rolle im Sicherheitsprotokoll Kerberos verstehen. Kerberos ist eine Standard-Autorisierungstechnologie, die genau wie NTLM ein Netzwerkprotokoll ist, das zur Familie der Internet Protocols (IPs) gehört. Beide Sicherheitsprotokolle verwenden in der Übermittlung von Daten TCP (Transmission Control Protocol) oder UDP (User Datagram Protocol).
Anders als NTLM nutzt Kerberos für die Verifizierung eines Nutzers eine dritte Partei, fügt also eine zusätzliche Sicherheitsebene hinzu. Neben dem Client und dem Hosting-Server gibt es so auch einen Authentifizierungs-Server bzw. Ticket-Granting-Server (zusammen bilden Sie das KDC oder Key Distribution Center). Hier wird dem Client auf Anfrage und nach erfolgreicher Verifizierung ein TGT (Ticket Granting Ticket) ausgestellt. Dieses Service-Ticket bestimmt, wie lange der Nutzer Zugriff auf bestimmte Daten hat.
In diesem Prozess spielt der Befehl Kinit eine wichtige Rolle: Mit ihm wird das Ticket Granting Ticket abgerufen oder verlängert, sollte es bereits abgelaufen sein. Erfahren Sie im nächsten Abschnitt, wie die Syntax des Kinit-Befehls aussieht und welche Optionen Ihnen bei der Verwendung bereitstehen.
Kinit-Befehl: Syntax und Optionen
Im Folgenden sehen Sie die Syntax des Kinit-Befehls und eine Aufschlüsselung der einzelnen Variablen bzw. Flags.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]| Element | Bedeutung |
|---|---|
| -A | Dieses Element gibt an, dass das Ticket eine Liste von Client-Adressen beinhaltet. Wird diese Option nicht spezifiziert, beinhaltet das Ticket die lokale Host-Adressliste. Wenn Ihr Anfangsticket jedoch eine bestimmte Adressliste enthält, dann ist die Nutzung auf die Adressen beschränkt, die in der Adressliste miteingeschlossen sind. |
| -c | Dies ist der Cachename. Mit dem Flag -c wird angegeben, welcher Cache für Berechtigungsnachweise verwendet werden soll. Fehlt dieses Flag, dann wird einfach der Standardcache verwendet. |
| -f | Dieses Flag müssen Sie dann angeben, wenn das jeweilige Ticket weitergeleitet werden soll. Fehlt -f, dann ist es nicht weiterleitbar. |
| -k | Mit diesem Element bestimmen Sie, dass der Schlüssel für ein Ticket-Principal aus einer Schlüsseltabelle abgerufen wird. Fehlt dieses Flag, dann wird der Nutzer dazu aufgefordert, das Kennwort manuell einzugeben. |
| -l* | Dieses Flag gibt die Gültigkeit (auf Englisch: lifetime) an, also wie lange ein Ticket gültig sein soll. Standardmäßig ist ein Ticket nach zehn Stunden ungültig und muss dann wieder erneuert werden. |
| -p | Hiermit können Sie angeben, dass das Ticket Proxy-fähig sein soll. |
| principal | Dieses Element gibt den jeweiligen Ticket-Principal an. Ohne dieses Flag wird der Principal einfach aus dem Cache für Berechtigungsnachweise abgerufen. |
| -r* | Dieses Flag steht für die erneuerbare Gültigkeit (auf Englisch: renewable life). Dabei muss die neue Gültigkeit immer außerhalb der ursprünglichen Endzeit liegen. Geben Sie -r nicht an, kann das Ticket nicht erneuert werden. |
| -R | Hiermit geben Sie an, ob ein bereits vorhandenes Ticket erneuert werden soll. |
| -s* | Mit diesem Flag geben Sie an, dass ein Ticket mit einer bestimmten Startzeit rückdatiert werden soll. |
| -S | Dieses Element steht für den Zielservice (auf Englisch: target service), der beim Abruf des Tickets verwendet werden soll. |
| -t | Das -t steht für Chiffrierschlüsseldatei bzw. zeigt an, welche Schlüsseldatei statt der Standardschlüsseldatei verwendet werden soll. |
| -v | Zeigt, dass das TGT im Cache zum Validieren an das Key Distribution Center weitergegeben werden soll. |
| -u | Dieses Element gibt an, dass Kinit eine Cachedatei mit Berechtigungsnachweisen erstellen soll, damit der Prozess eindeutig identifiziert werden kann. |
| * | Diese Flags sollten Sie immer in diesem Format angeben: ndnhnmns. Dabei steht n für eine Zahl, d für Tag, h für Stunde, m für Minute und s für Sekunde. |
Ein Befehl mit -p ermöglicht es Ihnen dann, einen Dienst mit einer anderen IP-Adresse als diejenige, die im TGT spezifiziert ist, zu nutzen. Wenn Sie wissen möchten, wie Sie Ihre eigene IP-Adresse finden, haben wir auch dazu einen Artikel für Sie vorbereitet.
Kinit-Befehl: Beispiel
Stellen Sie sich vor, Sie möchten ein TGT mit einer Gültigkeit von neun Stunden generieren, das sechs Tage lang für erneuerbar gelten soll. Laut Kinit-Syntax würde der Befehl dann wie folgt aussehen:
kinit -l 9h -r 6d my_principalDer nächste Befehl fordert ein TGT für den angegebenen Principal an, das in einer Stunde abläuft, aber um bis zu zehn Stunden verlängert werden kann. Bedenken Sie, dass ein Benutzer nur ein Ticket erneuern kann, bevor es abläuft. Das erneuerte Ticket kann innerhalb von zehn Stunden nach seiner ersten Anforderung noch einmal erneuert werden.
kinit -R nutzer@example.comVerschlüsselungstechnologien wie Kerberos sind wichtig, damit Ihre Daten niemals in die falschen Hände geraten. Wenn Sie sich für eine eigene Domain von IONOS entscheiden oder einen IONOS-Server mieten, bieten wir Ihnen verschlüsselten Datenaustausch nach aktuellen Sicherheitsstandards, u.a. durch das SSL Wildcard Zertifikat.
MyDefender von IONOS
Cyber Security aus Deutschland!
Schützen Sie alle Geräte mit intelligenten Analyse-Tools und automatischen Backups vor Ransomware, Viren und Datenverlust.
Ähnliche Artikel
Maksim KabakouShutterstock Batch-Befehle im Überblick
Batch-Dateien sind Dateien mit Befehlen, die über die Kommandozeile von Windows ausgeführt und im Stapel verarbeitet werden. Mit ihrer Hilfe lassen sich die verschiedensten Prozesse automatisieren. Batch-Datei-Befehle existieren bereits seit der Veröffentlichung von MS-DOS in den 80er-Jahren. Einige der wichtigsten Batch-Befehle fasst der folgende Artikel für Sie zusammen.
jivacoreShutterstock Die wichtigsten Linux-Befehle im Überblick
Unter Linux lassen sich nahezu alle Aktionen durch Programmaufrufe im Terminal abwickeln. Vorausgesetzt, Sie kennen den passenden Befehl und die korrekte Syntax dazu. Wir möchten Ihnen den Einstig in die Arbeit mit dem Terminal erleichtern. In diesem Artikel bekommen Sie eine Übersicht über die grundlegenden Linux-Befehle mit detaillierter Beschreibung und praxisnahen Beispielen.
Welche DOS-Befehle gibt es?
Mit der Verbreitung von Windows verloren DOS-Befehle zunehmend an Bedeutung. Programme starten, Dateien kopieren oder Verzeichnisse anlegen: All das funktioniert heutzutage einfach mit der Maus und mithilfe einer grafischen Oberfläche. Doch auch mit DOS-Befehlen war das bereits möglich. Wir erklären, warum es sinnvoll ist, einige von ihnen zu kennen. Außerdem bieten wir einen Überblick über die…
