Kategorien

Kerberos-Tools

Klist.exe

Ein Werkzeug aus dem Resource Kit ist klist.exe. Das Befehlszeilenwerkzeug ist in der Lage, Kerberos-Tickets, die für die aktuelle Sitzung ausgestellt wurden, zu überwachen und zu löschen. Mit dem Tool werden die TGTs sowohl für Windows– als auch andere Kerberos-KDCs angezeigt. Es wird vor allem für das Troubleshooting benötigt, um nachprüfen zu können, ob die Tickets korrekt ausgestellt werden.

Kerbtray.exe

Ein weiteres Resource-Kit-Tool ist kerbtray.exe. Damit lassen sich weitergehende Informationen über die Kerberos-Tickets anzeigen. Das Tool integriert sich in die Taskleiste. Zu den Informationen gehört die Gültigkeitsdauer, die ein Ticket noch hat. Außerdem kann das Ticket auch hier gelöscht werden. Das Tool ist ebenfalls vor allem beim Troubleshooting interessant, um den Status eines Tickets genau nachvollziehen zu können.

Setspn.exe

Auf das Tool setspn.exe wurde im Zusammenhang mit der bedingten Delegation im Artikel „Die Funktionsweise von Kerberos verstehen“ bereits kurz eingegangen. Es handelt sich um ein Support-Tool, das an der Befehlszeile ausgeführt wird. Mit dem Werkzeug lassen sich Service Principal Names (SPNs) für Active Directory-Konten definieren. Das ist erforderlich, wenn ein Dienst mit Kerberos-Unterstützung im Kontext eines Benutzerkontos und nicht des lokalen Systemkontos ausgeführt wird – was aus Gründen der Sicherheit grundsätzlich sinnvoll ist.

gssMonger.exe

Das Werkzeug gssMonger.exe lässt sich für die Überprüfung der Interoperabilität der Kerberos-Authentifizierung zwischen Windows und anderen Systemplattformen nutzen. Das Tool authentifiziert verschiedene Systeme in einer heterogenen Infrastruktur und protokolliert auftretende Probleme