klist

  • Artículo

Muestra una lista de los vales de Kerberos que actualmente están almacenados en caché.

Importante

Debe ser al menos un administrador de dominio, o equivalente, para ejecutar todos los parámetros de este comando.

Sintaxis

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parámetros

Parámetro Descripción
-lh Indica la parte alta del identificador local único (LUID) del usuario, expresado de manera hexadecimal. Si ni –lh ni –li están presentes, el comando tiene como valor predeterminado el LUID del usuario que inició sesión actualmente.
-li Indica la parte baja del identificador local único (LUID) del usuario, expresado de manera hexadecimal. Si ni –lh ni –li están presentes, el comando tiene como valor predeterminado el LUID del usuario que inició sesión actualmente.
vales Enumera los vales de concesión de vales (TGT) actualmente almacenados en caché y los vales de servicio de la sesión de inicio de sesión especificada. Ésta es la opción predeterminada.
tgt Muestra el TGT de Kerberos inicial.
purga Permite eliminar todos los vales de la sesión de inicio de sesión especificada.
sesiones Muestra una lista de las sesiones de inicio de sesión en este equipo.
kcd_cache Muestra la información de caché de delegación restringida de Kerberos.
get Permite solicitar un vale al equipo de destino especificado por el nombre de entidad de seguridad de servicio (SPN).
add_bind Permite especificar un controlador de dominio preferido para la autenticación Kerberos.
query_bind Muestra una lista de los controladores de dominio preferidos almacenados en caché para cada dominio con el que se contactó Kerberos.
purge_bind Quita los controladores de dominio preferidos almacenados en caché de los dominios especificados.
kdcoptions Muestra las opciones del Centro de distribución de claves (KDC) que se especifican en RFC 4120.
/? Muestra ayuda para este comando.

Comentarios

  • Si no se proporciona ningún parámetro, klist recupera todos los vales del usuario que ha iniciado sesión actualmente.

  • Los parámetros muestran la información siguiente:

    • tickets: muestra los vales de servicios que actualmente están almacenados en caché en los que se ha autenticado desde el inicio de sesión. Muestra los atributos siguientes para todos los vales almacenados en caché:

      • LogonID: el LUID.

      • Client: concatenación del nombre del cliente y el nombre de dominio del cliente.

      • Server: concatenación del nombre del servicio y el nombre de dominio del servicio.

      • KerbTicket Encryption Type: tipo de cifrado que se utiliza para cifrar el vale de Kerberos.

      • Ticket Flags: marcas de vales de Kerberos.

      • Start Time: hora a partir de la cual es válido el vale.

      • End Time: hora a la que el vale deja de ser válido. Cuando un vale pasa esta hora, ya no se puede usar para realizar la autenticación en un servicio ni para la renovación.

      • Renew Time: hora a la que se requiere una autenticación inicial nueva.

      • Session Key Type: algoritmo de cifrado que se usa para la clave de sesión.

    • tgt: enumera el TGT de Kerberos inicial y los atributos siguientes del vale actualmente almacenado en caché:

      • LogonID: se identifica en formato hexadecimal.

      • ServiceName: krbtgt

      • TargetName <SPN>: krbtgt

      • DomainName: nombre del dominio que emite el TGT.

      • TargetDomainName: dominio al que se emite el TGT.

      • AltTargetDomainName: dominio al que se emite el TGT.

      • Ticket Flags: acciones y tipo de dirección y destino.

      • Session Key: longitud de clave y algoritmo de cifrado.

      • StartTime: hora del equipo local a la que se solicitó el vale.

      • EndTime: hora a la que el vale deja de ser válido. Cuando un vale pasa esta hora, ya no se puede usar para realizar la autenticación en un servicio.

      • RenewUntil: fecha límite para la renovación del vale.

      • TimeSkew: diferencia horaria con el Centro de distribución de claves (KDC).

      • EncodedTicket: vale codificado.

    • purge: permite eliminar un vale específico. Al purgar los vales, se destruyen todos los que almacenó en caché; por lo tanto, use este atributo con precaución. Puede impedirle que pueda autenticarse en los recursos. Si esto sucede, tendrá que cerrar la sesión e iniciarla de nuevo.

      • LogonID: se identifica en formato hexadecimal.

    • sessions: le permite enumerar y mostrar la información de todas las sesiones de inicio de sesión de este equipo.

      • LogonID: si se especifica, muestra la sesión de inicio de sesión solo en virtud del valor especificado. Si no se especifica, muestra todas las sesiones de inicio de sesión de este equipo.

    • kcd_cache: le permite mostrar la información de caché de delegación restringida de Kerberos.

      • LogonID: si se especifica, muestra la información de caché para la sesión de inicio de sesión en virtud del valor especificado. Si no se especifica, muestra la información de caché de la sesión de inicio de sesión del usuario actual.

    • get: le permite solicitar un vale al destino especificado por el SPN.

      • LogonID: si se especifica, solicita un vale mediante la sesión de inicio de sesión en virtud del valor especificado. Si no se especifica, solicita un vale mediante la sesión de inicio de sesión del usuario actual.

      • kdcoptions: solicita un vale con las opciones de especificadas del KDC.

    • add_bind: permite especificar un controlador de dominio preferido para la autenticación Kerberos.

    • query_bind: permite mostrar controladores de dominio preferidos y almacenados en caché para los dominios.

    • purge_bind: permite quitar controladores de dominio preferidos y almacenados en caché de los dominios.

    • kdcoptions: para obtener la lista actual de opciones y sus explicaciones, consulte RFC 4120.

Ejemplos

Si desea consultar la caché de vales de Kerberos para determinar si faltan vales, si la cuenta o el servidor de destino presentan un error, o bien si el tipo de cifrado no se admite debido a un error de identificador de evento 27, escriba:

klist

klist –li 0x3e7

Para información sobre los detalles específicos de cada vale de concesión de vales que esté almacenado en caché en el equipo para una sesión de inicio de sesión, escriba:

klist tgt

Si desea purgar la caché de vales de Kerberos, cerrar la sesión y volver a iniciarla, escriba:

klist purge

klist purge –li 0x3e7

Para diagnosticar una sesión de inicio de sesión y localizar un logonID para un usuario o servicio, escriba:

klist sessions

Para diagnosticar errores de delegación restringida de Kerberos y buscar el último error que se encontró, escriba:

klist kcd_cache

Para diagnosticar si un usuario o un servicio pueden obtener un vale en un servidor o para solicitar un vale para un SPN específico, escriba:

klist get host/%computername%

Por lo general, para diagnosticar problemas de replicación entre los controladores de dominio, necesita que el equipo cliente tenga como destino un controlador de dominio específico. Para dirigir el equipo cliente al controlador de dominio específico, escriba:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Para consultar con qué controladores de dominio se contactó recientemente este equipo, escriba:

klist query_bind

Para volver a detectar controladores de dominio o para vaciar la caché antes de crear enlaces de controlador de dominio con klist add_bind, escriba:

klist purge_bind