Cyrus SASL和Kerberos TGT

Question

对于Kerberos，使用kinit成功的身份验证将导致本地缓存的TGT，该TGT将用于对Kerberized的身份验证。通常，此TGT有效一天，因此用户每天只需要提供一次与Kerberized的所有交互的凭据。

假设我编写了一个客户机/服务器应用程序，它使用Cyrus SASL实现来使用Kerberos机制对用户进行身份验证。在这种情况下，TGT缓存是如何工作的？换句话说，客户端cyrus库是否自动跟踪TGT，以便将来与服务器的交互不需要用户凭据？如果是这样的话，有没有办法指定Cyrus从KDC获得的TGT是可转发的，以便客户机可以与其他Kerberized交互？

谢谢你的建议！

Answer 1

据我所知，Cyrus SASL库并不为用户获取TGT --它甚至不知道主体或密码；相反，它希望TGT已经存在于系统的凭证缓存中。

所以答案是使用kinit --forwardable，因为无论如何你必须使用kinit。