Em que circunstâncias obteremos tíquetes de serviço aparentemente válidos que são duplicatas e que não possuem um domínio associado? Isto é, isso indica uma configuração errada em algum lugar? Representa uma capacidade ou oportunidade interessante? ... uma ineficiência ou uma vulnerabilidade?
Por exemplo, se eu kinit obtiver com êxito o meu TGT, SSH para um host kerberizado, execute klist , vejo esta saída (sanitizada):
Ticket cache: KCM:503
Default principal: [email protected]
Valid starting Expires Service principal
01/24/2016 18:17:40 01/25/2016 04:17:40 krbtgt/[email protected]
renew until 01/25/2016 18:17:33
01/24/2016 18:17:45 01/25/2016 04:17:40 host/foo.example.com@
renew until 01/25/2016 18:17:33
01/24/2016 18:17:45 01/25/2016 04:17:40 host/[email protected]
renew until 01/25/2016 18:17:33
O que significa que eu tenho os dois tíquetes de serviço host/foo.example.com@ e host/[email protected] ?
Estou executando o OS X Yosemite 10.10.5 e usando a porta kerberos5 1.13.2_2 e a porta openssh 7.1p2_0 + kerberos5 + ldns + xauth do MacPorts 2.3.4. Meu (higienizado) /etc/krb5.conf tem:
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
admin_server = kerberos.example.com
}
Estamos lutando com o mesmo. Se você solicitar seu ticket de serviço com kvno sem reino, será o mesmo resultado. Eu realmente não entendo a causa raiz, mas adicionando a seção [domain_realm] ao arquivo krb5.conf resolve isso. Eu estou querendo saber se alguém pode dizer mais. Seria útil para mim também.