Lista de entidades principales de Kerberos con TGT válidos

8

¿Es posible consultar mi KDC Kerberos (MIT) para devolver una lista de los principales que han emitido TGT que actualmente son válidos?

Mi caso de uso es que me gustaría averiguar qué usuarios están actualmente conectados en cualquier máquina en un entorno de red consultando solo la máquina KDC.

Joseph R.
fuente
Mi primera suposición no es porque no creo que se notifique en un kdestroyevento de tipo, por lo que pueden haberlo considerado una causa perdida. No tengo un servidor Kerberos en ejecución, pero puede verificar la kadmin.logemisión de boletos. Si están allí, entonces solo debería ser cuestión de grepsacarlos para formar una lista.
Bratchley
@JoelDavis Ese es un muy buen punto. Por simplicidad, digamos que estoy dispuesto a permitir falsos positivos generados por los kdestroytickets ed. No me gusta analizar un archivo de registro (creo que quisiste decir kdc.log, ¿no?) Para la información; Creo que debería estar disponible desde el servidor de alguna manera.
Joseph R.
Bueno, mi punto con lo anterior es que estas complicaciones pueden haber causado que el responsable de cualquier proyecto responsable de su Kerberos no busque ofrecer esta característica, ya que no se puede proporcionar de manera confiable. Sin embargo, definitivamente puedo verlos registrando el evento por el bien de la auditoría. Analizar archivos de registro puede terminar siendo la única forma de obtenerlo. grepNo es tan difícil.
Bratchley

Respuestas:

1

No, el MIT KDC no mantiene el estado del ticket en cuanto a qué tickets generados y despachados anteriormente aún son válidos o ahora caducados.

jblaine
fuente