Este es el comando ipa-getkeytab que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ipa-getkeytab: obtenga una tabla de claves para un principal de Kerberos
SINOPSIS
ipa-getkeytab -p nombre principal -k archivo keytab [ -e tipos de cifrado ] [ -s servidorip ] [
-q ] [ -D|--binddn ENLACE ] [ -w | --bindpw ] [ -P|--contraseña CONTRASEÑA ] [ -r ]
DESCRIPCIÓN
Recupera un Kerberos tabulador.
Las fichas de claves de Kerberos se utilizan para servicios (como sshd) para realizar la autenticación Kerberos. A
keytab es un archivo con uno o más secretos (o claves) para un principal de Kerberos.
Una entidad de seguridad de servicio de Kerberos es una identidad de Kerberos que se puede utilizar para la autenticación.
Los principales de servicio contienen el nombre del servicio, el nombre de host del servidor y el
nombre del reino. Por ejemplo, el siguiente es un ejemplo principal para un servidor ldap:
ldap /[email protected]
Cuando se usa ipa-getkeytab, el nombre del reino ya se proporciona, por lo que el nombre principal es solo
el nombre del servicio y el nombre de host (ldap / foo.example.com del ejemplo anterior).
ADVERTENCIA: la recuperación de la tabla de claves restablece el secreto del principal de Kerberos. Esto rinde
todas las demás fichas de teclas de ese principal no son válidas.
Esto se usa durante la inscripción del cliente IPA para recuperar una entidad de servicio de host y almacenar
en /etc/krb5.keytab. Es posible recuperar la tabla de claves sin las credenciales de Kerberos
si el host fue creado previamente con una contraseña de un solo uso. La tabla de teclas se puede recuperar mediante
vinculante como el host y autenticarse con esta contraseña de un solo uso. los -D | --binddn y
-w | --bindpw se utilizan opciones para esta autenticación.
CAMPUS
-p nombre principal
La parte que no pertenece al dominio del nombre principal completo.
-k archivo keytab
El archivo de tabla de claves donde agregar la nueva clave (se creará si no existe).
-e tipos de cifrado
La lista de tipos de cifrado que se utilizarán para generar claves. ipa-getkeytab usará local
valores predeterminados del cliente si no se proporcionan. Los valores válidos dependen de la biblioteca Kerberos
versión y configuración. Los valores comunes son: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s servidorip
El servidor IPA del que se va a recuperar la tabla de claves (FQDN). Si no se proporciona esta opción
el nombre del servidor se lee del archivo de configuración de IPA (/etc/ipa/default.conf)
-q Modo silencioso. Solo se muestran los errores.
--enctypes permitidos
Esta opción devuelve una descripción de los tipos de cifrado permitidos, como este:
Tipos de cifrado admitidos: modo AES-256 CTS con SHA-96 HMAC AES-1 CTS de 128 bits
modo con SHA-96 HMAC Triple DES de 1 bits Modo cbc con HMAC / sha1 ArcFour con
Modo HMAC / md5 DES cbc con CRC-32 DES Modo cbc con RSA-MD5 DES Modo cbc con
RSA-MD4
-PAG, --contraseña
Utilice esta contraseña para la clave en lugar de una generada aleatoriamente.
-RE, --binddn
El DN de LDAP para enlazar como cuando se recupera una tabla de claves sin las credenciales de Kerberos.
Usado generalmente con el -w .
-w, --bindpw
La contraseña LDAP para usar cuando no se vincula con Kerberos.
-r Modo de recuperación. Recupere una clave existente del servidor en lugar de generar una nueva
uno. Esto es incompatible con la opción --password y solo funcionará con una
Servidor FreeIPA más reciente que la versión 3.3. El usuario que solicita la tabla de claves debe
tener acceso a las claves para que esta operación sea exitosa.
EJEMPLOS
Agregue y recupere una tabla de claves para la entidad de servicio NFS en el host foo.example.com y
guárdelo en el archivo /tmp/nfs.keytab y recupere solo la clave des-cbc-crc.
# ipa-getkeytab -p nfs / foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Agregue y recupere una tabla de claves para la entidad de servicio ldap en el host foo.example.com y
guárdelo en el archivo /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap / foo.example.com -k /tmp/ldap.keytab
Recuperar una tabla de claves utilizando credenciales LDAP (esto normalmente lo hará ipa-unirse(1) cuando
inscribir a un cliente usando el ipa-cliente-instalar(1) mando:
# ipa-getkeytab -s ipaserver.example.com -p host / foo.example.com -k /etc/krb5.keytab -D
fqdn = foo.example.com, cn = computadoras, cn = cuentas, dc = ejemplo, dc = com -w contraseña
SALIR ESTADO
El estado de salida es 0 en caso de éxito, distinto de cero en caso de error.
0 Éxito
1 Error en la inicialización del contexto de Kerberos
2 Uso incorrecto
3 Sin memoria
4 Nombre principal de servicio no válido
5 Sin caché de credenciales de Kerberos
6 Sin principal Kerberos y sin DN de enlace y contraseña
7 No se pudo abrir la pestaña de teclas
8 No se pudo crear el material clave
9 Error al configurar la tabla de teclas
10 Se requiere contraseña de enlace cuando se utiliza un DN de enlace
11 No se pudo agregar la clave a la tabla de teclas
12 No se pudo cerrar la pestaña de teclas
Use ipa-getkeytab en línea usando los servicios de onworks.net
