Я часто использую openssl s_client для тестирования и отладки SSL-соединений (с LDAPS или HTTPS-сервисами). Это позволяет мне изолировать проблему до SSL, и ничто не мешает.
Я хочу сделать нечто подобное с Kerberos. Я хотел бы использовать небольшой тест, который покажет:
Я могу выполнить шаги 1, 2 и 3, если я запускаю Wireshark на KDC, но обычно это не вариант. Мне удастся зафиксировать шаги 2, 3 и 4, если я буду отслеживать трафик на клиенте.
Есть ли инструмент, который позволил бы мне записывать все шаги входа в систему Kerberos, начиная с учетной записи компьютера, без запуска Wireshark на KDC?
Я отправлю свои предыдущие комментарии в качестве ответа. Я надеюсь, что это то, чего хотела ОП.
Как вы уже знаете, вы можете использовать klist.exe для очистки ваших билетов Kerberos.
Так что запустите Wireshark и начните трассировку. Затем очистите свои билеты Kerberos. Затем в командной строке введите net stop netlogon & net start netlogon. (Или сделайте что-то вроде попытки получить доступ к сетевому файловому ресурсу.) Это заставит компьютер запросить новые билеты Kerberos от KDC / контроллера домена. Теперь остановите трассировку Wireshark. Вы успешно записали сетевую трассировку, содержащую взаимодействие между членом домена и контроллером домена.
Обновление: этот ответ специфичен для * nix, и вопрос касается окон. Оставим на всякий случай для использования в будущем.
Ты можешь использовать:
kdestroy уничтожить ваши старые билетыkinit запросить TGTkvno для запроса билета на услугу, например kvno host/$(hostname -f)О, и klist не позволяет очистить кеш. Он показывает, какие билеты вы приобрели.