Explication de la commande Kinit
La commande Kinit demande ou prolonge une émission de ticket dans le processus d’authentification Kerberos. Il s’agit donc d’un élément important du service d’authentification qui offre un niveau accru de confidentialité et de cybersécurité, principalement dans les réseaux informatiques non sécurisés. Apprenez-en davantage sur la syntaxe de la commande et sur les options qu’elle offre en association avec Kerberos à travers des exemples pratiques.
- 1 certificat SSL Wildcard par contrat
- Fonction incluse Domain Connect pour une configuration DNS simplifiée
Qu’est-ce que la commande Kinit et à quoi sert-elle ?
Pour pouvoir utiliser la commande Kinit correctement, vous devez tout d’abord comprendre son rôle dans le protocole de sécurité Kerberos. Kerberos est une technologie d’autorisation standard qui prend la forme d’un protocole réseau à l’instar de NTLM et fait partie de la famille des protocoles Internet (IP). Pour la transmission des données, les deux protocoles de sécurité utilisent TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).
Vous souhaitez savoir comment TCP et IP fonctionnent ensemble ? Nous vous l’expliquons dans notre article sur TCP/IP.
Et contrairement à NTLM, Kerberos a recours à un tiers pour la vérification de l’utilisateur, ajoutant ainsi une couche de sécurité supplémentaire. En plus du client et du serveur d’hébergement, il comprend également un serveur d’authentification ou un serveur d’émission de tickets (ensemble, ils forment le KDC ou centre de distribution de clés). C’est ici qu’un TGT (Ticket Granting Ticket) est émis au client sur demande et après une vérification réussie. Ce ticket de service définit pendant combien de temps l’utilisateur aura accès à certaines données.
La commande Kinit joue un rôle essentiel dans ce processus : elle permet d’appeler le Ticket Granting Ticket ou de le prolonger s’il était déjà en cours. Dans la section suivante, vous découvrirez la syntaxe de la commande Kinit et les options dont vous disposez lorsque vous l’utilisez.
Les cyberattaques deviennent plus sophistiquées à mesure que les technologies telles que l’intelligence artificielle progressent. Protégez vos données essentielles dans la solution de stockage dans le Cloud HiDrive Next de IONOS et reposez-vous en permanence sur des procédures de sécurité de pointe.
Commande Kinit : syntaxe et options
Vous trouverez ci-dessous la syntaxe de la commande Kinit et une répartition des différentes variables ou différents flags.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]| Élément | Signification |
|---|---|
| -A | Cet élément indique que le ticket contient une liste d’adresses de clients. Si cette option n’est pas spécifiée, le ticket contient la liste des adresses locales des hôtes. Toutefois, si votre ticket initial contient une liste d’adresses spécifique, l’utilisation est limitée aux adresses incluses dans la liste d’adresses. |
| -c | Il s’agit du nom du cache. Le flag -c est utilisé pour spécifier quel cache doit être utilisé pour les informations d’identification. En l’absence de ce flag, le cache par défaut est utilisé. |
| -f | Vous devez spécifier ce flag si le ticket correspondant doit être transféré. En l’absence de -f, le ticket n’est pas transférable. |
| -k | Cet élément vous permet de déterminer que la clé d’un principal est récupérée dans une table de clés. En l’absence de ce flag, il est demandé à l’utilisateur de saisir manuellement son mot de passe. |
| -l* | Ce flag précise la validité (en anglais : lifetime), c’est-à-dire la durée de validité d’un ticket. Par défaut, un ticket devient invalide après dix heures et doit alors être renouvelé. |
| -p | Vous permet de spécifier que le ticket doit être compatible avec un proxy. |
| principal | Cet élément indique le principal concerné. En l’absence de ce flag, le principal est simplement appelé à partir du cache pour l’accréditation. |
| -r* | Ce flag indique la validité renouvelable (en anglais : renewable life). Dans ce cadre, la nouvelle validité doit toujours être en dehors de l’heure de fin initiale. En l’absence de -r, le ticket ne peut pas être renouvelé. |
| -R | Vous permet d’indiquer si un ticket existant doit être renouvelé. |
| -s* | Ce flag vous permet de spécifier qu’un ticket ayant une certaine heure de début doit être antidaté. |
| -S | Cet élément représente le service cible (en anglais : target service) à utiliser pour la consultation du ticket. |
| -t | Le -t renvoie au fichier de clé de chiffrement ou indique quel fichier de clé doit être utilisé à la place du fichier de clé par défaut. |
| -v | Indique que le TGT dans le cache doit être transmis au Centre de distribution de clés pour validation. |
| -u | Cet élément indique que Kinit doit créer un fichier cache d’accréditation afin que le processus puisse être identifié de manière unique. |
| * | Ces flags doivent toujours être indiqués dans ce format : ndnhnmns. Ici, n renvoie au nombre, d au jour (day), h aux heures, m aux minutes et s aux secondes. |
Une commande avec -p vous permet d’utiliser un service avec une autre adresse IP que celle spécifiée dans le TGT. Si vous souhaitez savoir comment trouver votre propre adresse IP, consultez notre article sur le sujet.
Commande Kinit : exemple
Imaginons que vous souhaitiez générer un TGT d’une validité de neuf heures et devant être renouvelable pendant six jours. Selon la syntaxe Kinit, la commande ressemblerait à ce qui suit :
kinit -l 9h -r 6d my_principalLa commande suivante requiert un TGT pour le principal spécifié, qui expire dans une heure mais peut être prolongé de dix heures au maximum. N’oubliez pas qu’un utilisateur ne peut renouveler qu’un seul ticket avant son expiration. Le billet renouvelé peut être à nouveau renouvelé dans les dix heures suivant sa demande initiale.
kinit -R utilisateur@example.comLes technologies de chiffrement telles que Kerberos sont importantes pour garantir que vos données ne tombent jamais entre de mauvaises mains. Si vous optez pour un nom de domaine ou pour la location d’un serveur IONOS, nous vous proposons un échange de données crypté conformément aux normes de sécurité en vigueur, notamment via le certificat SSL Wildcard.
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles