我经常使用它openssl s_client来测试和调试 SSL 连接(到 LDAPS 或 HTTPS 服务)。它允许我将问题隔离到 SSL,而不会受到任何阻碍。
我想对 Kerberos 做一些类似的事情。我想使用一个小测试,它会显示:
- 初始机器登录(计算机帐户)
- 来自请求服务的用户的初始 AS 请求
- 获取票证的用户的 kerberos 交换
- (可选)发送到服务的请求
如果我在 KDC 上运行 Wireshark,我可以执行步骤 1、2 和 3,但这通常不是一个选项。如果我监控客户端上的流量,我可以设法捕获步骤 2、3 和 4。
是否有工具可以让我捕获从计算机帐户开始的每个 Kerberos 登录步骤,而无需在 KDC 上运行 Wireshark?
我会继续提交我之前的评论作为答案。我希望这是 OP 想要的。
如您所知,您可以使用 klist.exe 清除您的 Kerberos 票证。
因此启动 Wireshark 并开始跟踪。然后清除您的 Kerberos 票证。然后在命令提示符下,键入
net stop netlogon & net start netlogon. (或尝试访问网络文件共享之类的操作。)这将导致计算机从 KDC/域控制器请求新的 Kerberos 票证。现在停止您的 Wireshark 跟踪。您已成功捕获包含域成员和域控制器之间交互的网络跟踪。更新:这个答案是 *nix 特定的,问题是关于 windows 的。以备不时之需,留作以后参考。
您可以使用:
kdestroy擦掉你的旧票kinit申请 TGTkvno请求服务票,例如kvno host/$(hostname -f)哦,
klist不让你清除缓存。它显示了您获得了哪些门票。