El comando kinit recupera o amplía un ticket de concesión en el proceso de au­te­n­ti­ca­ción de Kerberos. Por lo tanto, es una parte im­po­r­ta­n­te del servicio de au­te­n­ti­ca­ción y pro­po­r­cio­na un mayor nivel de pri­va­ci­dad y ci­be­r­se­gu­ri­dad, sobre todo en redes in­fo­r­má­ti­cas inseguras. Accede a más in­fo­r­ma­ción sobre la sintaxis del comando y descubre ejemplos prácticos de las opciones que te ofrece junto a Kerberos.

Compra y registra tu dominio ideal
  • Ce­r­ti­fi­ca­do SSL Wildcard gratis
  • Registro privado
  • Función Domain Connect para una co­n­fi­gu­ra­ción DNS si­m­pli­fi­ca­da gratis

¿Qué es el comando kinit y para qué sirve?

Para utilizar co­rre­c­ta­me­n­te el comando kinit, primero has de entender su función en el protocolo de seguridad Kerberos. Kerberos es una te­c­no­lo­gía de au­te­n­ti­ca­ción estándar que, al igual que NTLM, co­n­s­ti­tu­ye un protocolo de red de la familia de Internet Protocols (IP). Los dos pro­to­co­los de seguridad utilizan TCP (Tra­n­s­mi­s­sion Control Protocol) o UDP (User Datagram Protocol).

Consejo

¿Te gustaría saber cómo funcionan TCP e IP co­m­bi­na­dos? De­s­cú­bre­lo en nuestro artículo sobre TCP/IP.

A di­fe­re­n­cia de NTLM, Kerberos recurre a un tercero para verificar a un usuario. De este modo, dispone de una capa adicional de seguridad. Además del cliente y el servidor de hosting, también hay un servidor de au­te­n­ti­ca­ción o Ticket Granting Server (juntos forman el KDC o Centro de di­s­tri­bu­ción de claves). Aquí, se emite un TGT (Ticket Granting Ticket) al cliente una vez lo ha so­li­ci­ta­do y ha obtenido una ve­ri­fi­ca­ción sa­ti­s­fa­c­to­ria. Este ticket indica el tiempo que el usuario tiene acceso a de­te­r­mi­na­dos datos.

En este proceso, el comando kinit desempeña un papel im­po­r­ta­n­te: se utiliza para recuperar el Ticket Granting Ticket o para ampliarlo si ya ha caducado. En la siguiente sección, te en­se­ña­re­mos cómo funciona la sintaxis del comando kinit y las opciones di­s­po­ni­bles al usarlo.

Comando kinit: sintaxis y opciones

A co­n­ti­nua­ción, se muestra la sintaxis del comando kinit y un desglose de las variables in­di­vi­dua­les o flags.

kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ]
Elemento Si­g­ni­fi­ca­do
-A Esta flag es­pe­ci­fi­ca que el ticket contiene una lista de di­re­c­cio­nes de clientes. Si no se es­pe­ci­fi­ca esta opción, el ticket incluirá la lista de di­re­c­cio­nes del host local. Sin embargo, si tu ticket inicial incluye una lista de di­re­c­cio­nes es­pe­cí­fi­ca, el uso está limitado a las di­re­c­cio­nes incluidas en la lista de di­re­c­cio­nes.
-c Este es el nombre de la caché. La flag -c es­pe­ci­fi­ca qué caché se debe utilizar para las cre­de­n­cia­les. Si falta esta flag, si­m­ple­me­n­te se utiliza la caché por defecto.
-f Con esta flag indicas si el ticket debe re­en­viar­se. Si falta -f, el ticket no puede ser reenviado.
-k Con esta flag, se determina que la clave de una entidad emisora de tickets se recupera de una tabla de claves. Si falta este indicador, se pide al usuario que in­tro­du­z­ca la co­n­tra­se­Ã±a ma­nua­l­me­n­te.
-l* Esta flag es­pe­ci­fi­ca la validez (lifetime en inglés), es decir, cuánto tiempo debe ser válido un ticket. Por defecto, un ticket tiene una validez de diez horas, aunque puede ser renovado.
-p Permite es­pe­ci­fi­car que el ticket debe estar ha­bi­li­ta­do para proxy.
principal Este elemento es­pe­ci­fi­ca el principal del ticket. Sin este indicador, el principal se recupera de la caché de cre­de­n­cia­les.
-r* Esta flag re­pre­se­n­ta la validez renovable (en inglés, renewable life). La nueva validez debe estar siempre fuera de la hora de fi­na­li­za­ción original. Si no se es­pe­ci­fi­ca -r, el ticket no puede renovarse.
-R Indica si se debe renovar un ticket existente.
-s* Con esta flag se es­pe­ci­fi­ca que un ticket con una hora de inicio de­te­r­mi­na­da debe ser an­te­da­ta­do.
-S Este elemento re­pre­se­n­ta el servicio de destino que se utilizará al recuperar el ticket.
-t El -t re­pre­se­n­ta el archivo de claves de cifrado o indica qué archivo de claves debe uti­li­zar­se en lugar del archivo de claves por defecto.
-v Indica que el TGT de la caché debe pasar al Centro de Di­s­tri­bu­ción de Claves para su va­li­da­ción.
-u Este elemento es­pe­ci­fi­ca que kinit debe crear un archivo de caché de cre­de­n­cia­les para que el proceso pueda ser ide­n­ti­fi­ca­do de forma única.
* Siempre debes es­pe­ci­fi­car estas flags en el formato ndnhnmns. “N” re­pre­se­n­ta un número, “d” el día, “h” la hora, “m” el minuto y “s” el segundo.
Nota

Un comando con -p permite entonces utilizar un servicio con una dirección IP diferente a la es­pe­ci­fi­ca­da en el TGT. Si quieres saber cómo encontrar tu dirección IP, hemos preparado un artículo sobre ello para ti.

Ejemplo de comando kinit

Imagínate que quieres generar un TGT con una validez de nueve horas que debe ser válido para ser renovado durante seis días. De acuerdo con la sintaxis de kinit, el comando sería:

kinit -l 9h  -r  6d  my_principal

El siguiente comando solicita un TGT para la principal es­pe­ci­fi­ca­da, que expira en una hora, pero que puede pro­lo­n­gar­se hasta diez horas. Recuerda que un usuario solo puede renovar un ticket antes de que caduque. El ticket renovado puede volver a renovarse en las diez horas si­guie­n­tes a su solicitud inicial.

kinit -R usuario@example.com
Consejo

Las te­c­no­lo­gías de cifrado, como Kerberos, son im­po­r­ta­n­tes para ga­ra­n­ti­zar que tus datos nunca caigan en las manos equi­vo­ca­das. Si decides comprar tu propio dominio de IONOS o alquilar un servidor de IONOS, te ofrecemos un in­te­r­ca­m­bio de datos en­cri­p­ta­do según los es­tá­n­da­res de seguridad actuales, entre otros a través del ce­r­ti­fi­ca­do SSL.

My­De­fe­n­der
Ci­be­r­se­gu­ri­dad completa
  • Escaneos antivirus pe­rió­di­cos
  • Copias de seguridad au­to­má­ti­cas y re­s­tau­ra­cio­nes
Ir al menú principal