从用户的角度讨论 Kerberos从用户的角度讨论 Kerberos

理想情况下，用户与 Kerberos 的唯一接触是在工作站登录时发生的。 登录进程包括获得一个票证授予票证。 注销时，用户的 Kerberos 票证会自动损坏，这样其他人就不能模仿该用户。 当用户的登录会话持续时间超过为票证授予的票证的最长时间限制时（合理的设置是 10 小时），票证的自动到期会带来一些不便因素。 但用户可以通过运行 kinit 来获得一个新的票证授予票证。 再次输入密码，Kerberos 无需其他认证即可获得对所需服务的访问。 要获得由 Kerberos 为您静默获取的所有票证的列表，请运行 klist。

这里有一个短列表，列出了使用 Kerberos 鉴定的一些应用程序。 在 /usr/lib/mit/bin 或 /usr/lib/mit/sbin 下可以找到这些应用程序。 它们拥有普通 UNIX 和 Linux 应用程序的所有功能，同时具有由 Kerberos 管理的透明认证：

您再也不必为了使用这些应用程序而输入密码，因为 Kerberos 已经证明了您的身份。如果在具有 Kerberos 支持的情况下进行编译，ssh 甚至可以将为一个工作站获得的所有票证转发到另一个工作站。 如果使用 ssh 登录到另一个工作站，ssh 将确保票证的加密内容会根据新情况而调整。 仅在工作站之间复制票证是不够的，因为票证中包含工作站特定信息（IP 地址）。 XDM、GDM 和 KDM 也提供 Kerberos 支持。 请阅读 http://web.mit.edu/kerberos 处的 kerberos v5 unix 用户指南中有关 Kerberos 网络应用程序的更多信息。