Dies ist der Befehl ipa-getkeytab, der im kostenlosen OnWorks-Hosting-Provider mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ipa-getkeytab - Abrufen einer Schlüsseltabelle für einen Kerberos-Prinzipal
ZUSAMMENFASSUNG
ipa-getkeytab -p Prinzipalname -k keytab-Datei [ -e Verschlüsselungsarten ] [ -s ipaserver ] [
-q ] [ -D|--bindn BINDDN ] [ -w|--bindpw ] [ -P|--Passwort PASSWORD ] [ -r ]
BESCHREIBUNG
Ruft einen Kerberos ab Schlüsselband.
Kerberos-Keytabs werden für Dienste (wie sshd) verwendet, um die Kerberos-Authentifizierung durchzuführen. EIN
keytab ist eine Datei mit einem oder mehreren Geheimnissen (oder Schlüsseln) für einen Kerberos-Prinzipal.
Ein Kerberos-Dienstprinzipal ist eine Kerberos-Identität, die zur Authentifizierung verwendet werden kann.
Dienstprinzipale enthalten den Namen des Dienstes, den Hostnamen des Servers und die
Reichsname. Das Folgende ist beispielsweise ein Beispielprinzipal für einen LDAP-Server:
LDAP/[E-Mail geschützt]
Bei der Verwendung von ipa-getkeytab wird der Realm-Name bereits bereitgestellt, der Principal-Name lautet also nur
der Dienstname und der Hostname (ldap/foo.example.com aus dem obigen Beispiel).
WARNUNG: Durch das Abrufen der Schlüsseltabelle wird das Geheimnis für den Kerberos-Prinzipal zurückgesetzt. Das macht
alle anderen Keytabs für diesen Prinzipal sind ungültig.
Dies wird während der IPA-Client-Registrierung verwendet, um einen Host-Service-Prinzipal abzurufen und zu speichern
es in /etc/krb5.keytab. Es ist möglich, den Keytab ohne Kerberos-Anmeldeinformationen abzurufen
wenn der Host mit einem Einmalkennwort vorab erstellt wurde. Die Schlüsseltabelle kann abgerufen werden durch
als Host binden und sich mit diesem Einmalkennwort authentifizieren. Die -D|--bindn und
-w|--bindpw Optionen werden für diese Authentifizierung verwendet.
OPTIONAL
-p Prinzipalname
Der nicht-realm-Teil des vollständigen Principal-Namens.
-k keytab-Datei
Die Schlüsseltabellendatei, an die der neue Schlüssel angehängt werden soll (wird erstellt, wenn er nicht existiert).
-e Verschlüsselungsarten
Die Liste der Verschlüsselungstypen, die zum Generieren von Schlüsseln verwendet werden sollen. ipa-getkeytab verwendet local
Client-Standardwerte, wenn nicht angegeben. Gültige Werte hängen von der Kerberos-Bibliothek ab
Version und Konfiguration. Gängige Werte sind: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
Der IPA-Server, von dem die Schlüsseltabelle abgerufen werden soll (FQDN). Wenn diese Option nicht verfügbar ist
der Servername wird aus der IPA-Konfigurationsdatei gelesen (/etc/ipa/default.conf)
-q Ruhemodus. Es werden nur Fehler angezeigt.
--permitted-enctypes
Diese Option gibt eine Beschreibung der zulässigen Verschlüsselungstypen wie folgt zurück:
Unterstützte Verschlüsselungstypen: AES-256 CTS-Modus mit 96-Bit-SHA-1 HMAC AES-128 CTS
Modus mit 96-Bit SHA-1 HMAC Triple DES cbc Modus mit HMAC/sha1 ArcFour mit
HMAC/md5 DES cbc-Modus mit CRC-32 DES cbc-Modus mit RSA-MD5 DES cbc-Modus mit
RSA-MD4
-P, --Passwort
Verwenden Sie dieses Kennwort für den Schlüssel anstelle eines zufällig generierten.
-D, --bindn
Der zu bindende LDAP-DN wie beim Abrufen einer Schlüsseltabelle ohne Kerberos-Anmeldeinformationen.
Wird im Allgemeinen mit dem verwendet -w .
-w, --bindpw
Das zu verwendende LDAP-Passwort, wenn keine Bindung mit Kerberos besteht.
-r Abrufmodus. Rufen Sie einen vorhandenen Schlüssel vom Server ab, anstatt einen neuen zu generieren
einer. Dies ist mit der Option --password nicht kompatibel und funktioniert nur gegen a
FreeIPA-Server neuer als Version 3.3. Der Benutzer, der den Keytab anfordert, muss
Zugriff auf die Schlüssel haben, damit dieser Vorgang erfolgreich ist.
Beispiele:
Hinzufügen und Abrufen einer Schlüsseltabelle für den NFS-Dienstprinzipal auf dem Host foo.example.com und
speichern Sie es in der Datei /tmp/nfs.keytab und rufen Sie nur den Schlüssel des-cbc-crc ab.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Hinzufügen und Abrufen einer Schlüsseltabelle für den LDAP-Dienstprinzipal auf dem Host foo.example.com und
speichern Sie es in der Datei /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Rufen Sie eine Schlüsseltabelle mit LDAP-Anmeldeinformationen ab (dies wird normalerweise von ipa-beitreten(1) wann
Anmeldung eines Kunden über die ipa-client-install(1) Befehl:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w Passwort
EXIT STATUS
Der Exit-Status ist 0 bei Erfolg, ungleich Null bei Fehler.
0 Erfolg
1 Kerberos-Kontextinitialisierung fehlgeschlagen
2 Falsche Verwendung
3 Kein Speicher
4 Ungültiger Dienstprinzipalname
5 Kein Kerberos-Cache für Anmeldeinformationen
6 Kein Kerberos-Prinzipal und kein Bind-DN und kein Kennwort
7 Schlüsseltabelle konnte nicht geöffnet werden
8 Fehler beim Erstellen des Schlüsselmaterials
9 Einstellung des Keytab fehlgeschlagen
10 Bind-Passwort erforderlich, wenn ein Bind-DN verwendet wird
11 Fehler beim Hinzufügen des Schlüssels zu Keytab
12 Schlüsseltabelle konnte nicht geschlossen werden
Verwenden Sie ipa-getkeytab online mit den onworks.net-Diensten