¿Qué es el comando kinit?
El comando kinit recupera o amplía un ticket de concesión en el proceso de autenticación de Kerberos. Por lo tanto, es una parte importante del servicio de autenticación y proporciona un mayor nivel de privacidad y ciberseguridad, sobre todo en redes informáticas inseguras. Accede a más información sobre la sintaxis del comando y descubre ejemplos prácticos de las opciones que te ofrece junto a Kerberos.
- Domina el mercado con nuestra oferta 3x1 en dominios
- Tu dominio protegido con SSL Wildcard gratis
- 1 cuenta de correo electrónico por contrato
¿Qué es el comando kinit y para qué sirve?
Para utilizar correctamente el comando kinit, primero has de entender su función en el protocolo de seguridad Kerberos. Kerberos es una tecnología de autenticación estándar que, al igual que NTLM, constituye un protocolo de red de la familia de Internet Protocols (IP). Los dos protocolos de seguridad utilizan TCP (Transmission Control Protocol) o UDP (User Datagram Protocol).
¿Te gustaría saber cómo funcionan TCP e IP combinados? Descúbrelo en nuestro artículo sobre TCP/IP.
A diferencia de NTLM, Kerberos recurre a un tercero para verificar a un usuario. De este modo, dispone de una capa adicional de seguridad. Además del cliente y el servidor de hosting, también hay un servidor de autenticación o Ticket Granting Server (juntos forman el KDC o Centro de distribución de claves). Aquí, se emite un TGT (Ticket Granting Ticket) al cliente una vez lo ha solicitado y ha obtenido una verificación satisfactoria. Este ticket indica el tiempo que el usuario tiene acceso a determinados datos.
En este proceso, el comando kinit desempeña un papel importante: se utiliza para recuperar el Ticket Granting Ticket o para ampliarlo si ya ha caducado. En la siguiente sección, te enseñaremos cómo funciona la sintaxis del comando kinit y las opciones disponibles al usarlo.
A medida que tecnologías como la inteligencia artificial avanzan, la sofisticación de los ciberataques aumenta. Haz una copia de seguridad de tus datos importantes en HiDrive de IONOS y saca beneficio a los procedimientos de seguridad más avanzados.
Comando kinit: sintaxis y opciones
A continuación, se muestra la sintaxis del comando kinit y un desglose de las variables individuales o flags.
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
Elemento | Significado |
---|---|
-A | Esta flag especifica que el ticket contiene una lista de direcciones de clientes. Si no se especifica esta opción, el ticket incluirá la lista de direcciones del host local. Sin embargo, si tu ticket inicial incluye una lista de direcciones específica, el uso está limitado a las direcciones incluidas en la lista de direcciones. |
-c | Este es el nombre de la caché. La flag -c especifica qué caché se debe utilizar para las credenciales. Si falta esta flag, simplemente se utiliza la caché por defecto. |
-f | Con esta flag indicas si el ticket debe reenviarse. Si falta -f, el ticket no puede ser reenviado. |
-k | Con esta flag, se determina que la clave de una entidad emisora de tickets se recupera de una tabla de claves. Si falta este indicador, se pide al usuario que introduzca la contraseña manualmente. |
-l* | Esta flag especifica la validez (lifetime en inglés), es decir, cuánto tiempo debe ser válido un ticket. Por defecto, un ticket tiene una validez de diez horas, aunque puede ser renovado. |
-p | Permite especificar que el ticket debe estar habilitado para proxy. |
principal | Este elemento especifica el principal del ticket. Sin este indicador, el principal se recupera de la caché de credenciales. |
-r* | Esta flag representa la validez renovable (en inglés, renewable life). La nueva validez debe estar siempre fuera de la hora de finalización original. Si no se especifica -r, el ticket no puede renovarse. |
-R | Indica si se debe renovar un ticket existente. |
-s* | Con esta flag se especifica que un ticket con una hora de inicio determinada debe ser antedatado. |
-S | Este elemento representa el servicio de destino que se utilizará al recuperar el ticket. |
-t | El -t representa el archivo de claves de cifrado o indica qué archivo de claves debe utilizarse en lugar del archivo de claves por defecto. |
-v | Indica que el TGT de la caché debe pasar al Centro de Distribución de Claves para su validación. |
-u | Este elemento especifica que kinit debe crear un archivo de caché de credenciales para que el proceso pueda ser identificado de forma única. |
* | Siempre debes especificar estas flags en el formato ndnhnmns. “N” representa un número, “d” el día, “h” la hora, “m” el minuto y “s” el segundo. |
Un comando con -p permite entonces utilizar un servicio con una dirección IP diferente a la especificada en el TGT. Si quieres saber cómo encontrar tu dirección IP, hemos preparado un artículo sobre ello para ti.
Ejemplo de comando kinit
Imagínate que quieres generar un TGT con una validez de nueve horas que debe ser válido para ser renovado durante seis días. De acuerdo con la sintaxis de kinit, el comando sería:
kinit -l 9h -r 6d my_principal
El siguiente comando solicita un TGT para la principal especificada, que expira en una hora, pero que puede prolongarse hasta diez horas. Recuerda que un usuario solo puede renovar un ticket antes de que caduque. El ticket renovado puede volver a renovarse en las diez horas siguientes a su solicitud inicial.
kinit -R usuario@example.com
Las tecnologías de cifrado, como Kerberos, son importantes para garantizar que tus datos nunca caigan en las manos equivocadas. Si decides comprar tu propio dominio de IONOS o alquilar un servidor de IONOS, te ofrecemos un intercambio de datos encriptado según los estándares de seguridad actuales, entre otros a través del certificado SSL.
- Protección contra el secuestro de datos
- Escaneos antivirus periódicos
- Copias de seguridad automáticas y restauraciones