Il s'agit de la commande kadmin qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
kadmin - programme d'administration de base de données Kerberos V5
SYNOPSIS
kadmin [-O|-N] [-r royaume] [-p principal] [-q question] [[-c nom_cache]|[-k [-t clavier]]|-n]
[-w Mot de passe] [-s serveur_admin[:port]]
kadmin.local [-r royaume] [-p principal] [-q question] [-d dbname] [-e enc:sel ...] [-m] [-x
db_args]
DESCRIPTION
kadmin et kadmin.local sont des interfaces de ligne de commande pour l'administration Kerberos V5
système. Ils offrent des fonctionnalités presque identiques ; la différence est que
kadmin.local accède directement à la base de données KDC, tandis que kadmin effectue des opérations en utilisant
kadmind(8). Sauf indication contraire explicite, cette page de manuel utilisera "kadmin" pour
se référer aux deux versions. kadmin assure la maintenance des principaux Kerberos,
les stratégies de mot de passe et les tables de clés de service (keytabs).
Le client kadmin distant utilise Kerberos pour s'authentifier auprès de kadmind à l'aide du service
principal kadmin/ADMINHÔTE (OÙ ADMINISTRATEUR est le nom d'hôte complet de l'administrateur
serveur) ou kadmin/admin. Si le cache des identifiants contient un ticket pour l'un de ces
directeurs, et le -c l'option credentials_cache est spécifiée, ce ticket est utilisé pour
s'authentifier auprès de kadmind. Sinon, le -p et -k les options sont utilisées pour spécifier le client
Nom principal Kerberos utilisé pour l'authentification. Une fois que kadmin a déterminé le principal
nom, il demande un ticket de service au KDC et utilise ce ticket de service pour
s'authentifier auprès de kadmind.
Étant donné que kadmin.local accède directement à la base de données KDC, il doit généralement être exécuté directement sur
le KDC maître avec des autorisations suffisantes pour lire la base de données KDC. Si la base de données KDC
utilise le module de base de données LDAP, kadmin.local peut être exécuté sur n'importe quel hôte pouvant accéder au
Serveur LDAP.
OPTIONS
-r royaume
Utilisez royaume comme domaine de base de données par défaut.
-p principal
Utilisez principal pour s'authentifier. Sinon, kadmin ajoutera / admin au primaire
nom principal du ccache par défaut, la valeur du UTILISATEUR variable d'environnement,
ou le nom d'utilisateur obtenu avec getpwuid, par ordre de préférence.
-k Utilisez un keytab pour déchiffrer la réponse KDC au lieu de demander un mot de passe. Dans
dans ce cas, le principal par défaut sera hôte/nom d'hôte. S'il n'y a pas de keytab
spécifié avec le -t option, alors le keytab par défaut sera utilisé.
-t clavier
Utilisez clavier pour décrypter la réponse KDC. Cela ne peut être utilisé qu'avec le -k option.
-n Demande un traitement anonyme. Deux types de principaux anonymes sont pris en charge.
Pour Kerberos totalement anonyme, configurez PKINIT sur le KDC et configurez
pkinit_ancres chez le client krb5.conf(5). Ensuite, utilisez le -n option avec un
principe de la forme @ROYAUME (un nom principal vide suivi du signe at et d'un
nom de domaine). Si le KDC le permet, un ticket anonyme sera retourné. UNE
la deuxième forme de tickets anonymes est prise en charge ; ces billets exposés au royaume cachent le
l'identité du client mais pas le domaine du client. Pour ce mode, utilisez kinite -n
avec un nom principal normal. S'il est pris en charge par le KDC, le principal (mais pas
realm) sera remplacé par le principal anonyme. Depuis la version 1.8, le MIT
Kerberos KDC prend uniquement en charge le fonctionnement totalement anonyme.
-c informations d'identification_cache
Utilisez informations d'identification_cache comme cache d'informations d'identification. Le cache doit contenir un service
billet pour le kadmin/ADMINHÔTE (OÙ ADMINISTRATEUR est le nom d'hôte complet de
le serveur d'administration) ou kadmin/admin service; il peut être acquis avec le kinite(1)
programme. Si cette option n'est pas spécifiée, kadmin demande un nouveau ticket de service
du KDC et le stocke dans son propre cache temporaire.
-w Mot de passe
Utilisez Mot de passe au lieu d'en demander un. Utilisez cette option avec précaution, car elle peut
exposer le mot de passe aux autres utilisateurs du système via la liste des processus.
-q question
Exécutez la requête spécifiée, puis quittez. Cela peut être utile pour écrire des scripts.
-d dbname
Spécifie le nom de la base de données KDC. Cette option ne s'applique pas au LDAP
module de base de données.
-s serveur_admin[:port]
Spécifie le serveur d'administration que kadmin doit contacter.
-m Si vous utilisez kadmin.local, demandez le mot de passe principal de la base de données au lieu de lire
à partir d'un fichier caché.
-e enc:sel
Définit la liste des clés à utiliser pour toutes les nouvelles clés créées. Voir Listes_salt_clés in
kdc.conf(5) pour une liste de valeurs possibles.
-O Forcer l'utilisation de l'ancienne version d'authentification AUTH_GSSAPI.
-N Empêcher le retour à la version d'authentification AUTH_GSSAPI.
-x db_args
Spécifie les arguments spécifiques à la base de données. Voir la section suivante pour pris en charge
options.
BASE DE DONNÉES OPTIONS
Les options de base de données peuvent être utilisées pour remplacer les valeurs par défaut spécifiques à la base de données. Options prises en charge
pour le module DB2 sont :
-x nom_base=*nom_fichier*
Indique le nom de fichier de base de la base de données DB2.
-x casier
Faire en sorte que les opérations d'itération maintiennent le verrou pendant toute la durée
l'opération, plutôt que de libérer temporairement le verrou tout en manipulant chaque
principal. C'est le comportement par défaut, mais cette option existe pour permettre
remplacement de la ligne de commande d'un paramètre [dbmodules]. Introduit pour la première fois dans la version
1.13.
-x débloquer
Faire en sorte que les opérations d'itération déverrouillent la base de données pour chaque principal, au lieu de
en maintenant le cadenas pendant toute la durée de l'opération. Introduit pour la première fois en
Version 1.13.
Les options prises en charge pour le module LDAP sont :
-x hôte =ldapuri
Spécifie le serveur LDAP auquel se connecter par un URI LDAP.
-x lié=bind_dn
Spécifie le DN utilisé pour se lier au serveur LDAP.
-x lienpwd=Mot de passe
Spécifie le mot de passe ou le secret SASL utilisé pour se lier au serveur LDAP. À l'aide de
cette option peut exposer le mot de passe à d'autres utilisateurs du système via le processus
liste; pour éviter cela, cachez plutôt le mot de passe en utilisant le cachettervpw commande de
kdb5_ldap_util(8).
-x sasl_mech=mécanisme
Spécifie le mécanisme SASL utilisé pour se lier au serveur LDAP. Le DN de liaison est
ignoré si un mécanisme SASL est utilisé. Nouveau dans la version 1.13.
-x sasl_authcid=prénom
Spécifie le nom d'authentification utilisé lors de la liaison au serveur LDAP avec un
Mécanisme SASL, si le mécanisme en requiert un. Nouveau dans la version 1.13.
-x sasl_authzid=prénom
Spécifie le nom d'autorisation utilisé lors de la liaison au serveur LDAP avec un
Mécanisme SASL. Nouveau dans la version 1.13.
-x sasl_realm=royaume
Spécifie le domaine utilisé lors de la liaison au serveur LDAP avec un mécanisme SASL,
si le mécanisme en utilise un. Nouveau dans la version 1.13.
-x déboguer=niveau
définit le niveau de débogage de la bibliothèque cliente OpenLDAP. niveau est un entier qui doit être
interprété par la bibliothèque. Les messages de débogage sont imprimés avec l'erreur standard.
Nouveau dans la version 1.12.
COMMANDES
Lors de l'utilisation du client distant, les commandes disponibles peuvent être restreintes en fonction du
privilèges spécifiés dans le kadm5.acl(5) fichier sur le serveur d'administration.
ajouter_principal
ajouter_principal [Options] nouveauprinc
Crée le principal nouveauprinc, demandant deux fois un mot de passe. Si aucune politique de mot de passe n'est
spécifié avec le -politique option, et la stratégie nommée défaut est assigné au
principal s'il existe. Cependant, la création d'une stratégie nommée défaut ne sera pas automatiquement
attribuez cette stratégie aux principaux déjà existants. Cette affectation de politique peut être
supprimé avec le -politique claire option.
Cette commande nécessite le ajouter privilège.
Alias: ajouterprinc, ank
Options:
-expirer Date d'expiration
(avoir un rendez-vous chaîne) La date d'expiration du principal.
-pwexpire pwexpdate
(avoir un rendez-vous chaîne) La date d'expiration du mot de passe.
-vie max vie max
(avoir un rendez-vous chaîne) La durée de vie maximale du ticket pour le principal.
-maxrenewlife maxrenewlife
(avoir un rendez-vous chaîne) La durée de vie maximale renouvelable des billets pour le principal.
-kvno kvno
Le numéro de version de la clé initiale.
-politique politique
La stratégie de mot de passe utilisée par ce principal. Si non spécifié, la politique défaut
est utilisé s'il existe (sauf si -politique claire est spécifié).
-politique claire
Empêche toute stratégie d'être attribuée lorsque -politique n'est pas spécifié.
{-|+}allow_postdaté
-allow_postdaté interdit à ce commettant d'obtenir des billets postdatés.
+allow_postdaté efface ce drapeau.
{-|+}allow_forwardable
-allow_forwardable interdit à ce commettant d'obtenir des billets transférables.
+allow_forwardable efface ce drapeau.
{-|+}allow_renewable
-allow_renewable interdit à ce commettant d'obtenir des billets renouvelables.
+allow_renewable efface ce drapeau.
{-|+}allow_proxiable
-allow_proxiable interdit à ce commettant d'obtenir des billets de procuration.
+allow_proxiable efface ce drapeau.
{-|+}allow_dup_skey
-allow_dup_skey désactive l'authentification d'utilisateur à utilisateur pour ce principal en
interdisant à ce principal d'obtenir une clé de session pour un autre utilisateur.
+allow_dup_skey efface ce drapeau.
{-|+}requires_preauth
+requires_preauth exige que ce principal s'authentifie avant d'être autorisé
à kinit. -requires_preauth efface ce drapeau. Lorsque +requires_preauth est placé sur un
principal du service, le KDC n'émettra des tickets de service que pour ce service
principal si l'authentification initiale du client a été effectuée à l'aide
pré-authentification.
{-|+}requiert_hwauth
+requiert_hwauth nécessite que ce principal s'authentifie à l'aide d'un périphérique matériel
avant d'être autorisé à kinit. -requires_hwauth efface ce drapeau. Lorsque
+requiert_hwauth est défini sur un principal de service, le KDC n'émettra que le service
tickets pour ce principal de service si l'authentification initiale du client était
effectuée à l'aide d'un périphérique matériel pour la pré-authentification.
{-|+}ok_as_delegate
+ok_as_delegate définit le bien as déléguer drapeau sur les billets émis avec ce
principal comme service. Les clients peuvent utiliser cet indicateur pour indiquer que les informations d'identification
doit être délégué lors de l'authentification auprès du service. -ok_as_delegate efface
ce drapeau.
{-|+}allow_svr
-allow_svr interdit l'émission de billets de service pour ce principal.
+allow_svr efface ce drapeau.
{-|+}allow_tgs_req
-allow_tgs_req spécifie qu'une demande de service d'octroi de tickets (TGS) pour un service
le billet pour ce principal n'est pas autorisé. +allow_tgs_req efface ce drapeau.
{-|+}allow_tix
-allow_tix interdit l'émission de tout billet pour ce principal. +allow_tix
efface ce drapeau.
{-|+}besoin de changement
+besoin de changement force un changement de mot de passe lors de la prochaine authentification initiale à ce
principale. -besoin de changement efface ce drapeau.
{-|+}password_changing_service
+service_de_changement_de_mot_de_passe marque ce principal comme un service de changement de mot de passe
principale.
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate permet à ce principal d'acquérir des billets transmissibles à
lui-même d'utilisateurs arbitraires, pour une utilisation avec une délégation contrainte.
{-|+}no_auth_data_required
+no_auth_data_required empêche l'ajout de données PAC ou AD-SIGNEDPATH à
billets de service pour le principal.
-rankey
Définit la clé du principal sur une valeur aléatoire.
-pas de clé Provoque la création du principal sans clé. Nouveau dans la version 1.12.
-pw Mot de passe
Définit le mot de passe du principal sur la chaîne spécifiée et ne demande pas de
Un mot de passe. Remarque : l'utilisation de cette option dans un script shell peut exposer le mot de passe à
d'autres utilisateurs du système via la liste des processus.
-e enc:sel...
Utilise la liste de clés spécifiée pour définir les clés du principal. Voir
Listes_salt_clés in kdc.conf(5) pour une liste de valeurs possibles.
-x db_princ_args
Indique des options spécifiques à la base de données. Les options du module de base de données LDAP sont :
-x dn=dn
Spécifie l'objet LDAP qui contiendra le principal Kerberos en cours
créé.
-x lien=dn
Spécifie l'objet LDAP auquel le principal Kerberos nouvellement créé
l'objet pointera.
-x conteneurdn=conteneur_dn
Spécifie l'objet conteneur sous lequel le principal Kerberos doit être
créé.
-x tktpolicy=politique
Associe une stratégie de ticket au principal Kerberos.
REMARQUE:
· Le conteneur et lien les options ne peuvent pas être spécifiées avec le dn option.
· Si la dn or conteneur les options ne sont pas spécifiées lors de l'ajout du principal,
les principaux sont créés sous le conteneur principal configuré dans le
domaine ou le conteneur de domaine.
· dn et conteneur devrait être dans les sous-arbres ou le conteneur principal
configuré dans le domaine.
Mise en situation :
kadmin : addprinc jennifer
AVERTISSEMENT : aucune politique spécifiée pour "[email protected]";
par défaut aucune politique.
Entrez le mot de passe pour le principal [email protected]:
Entrez à nouveau le mot de passe du principal [email protected]:
Principal "[email protected]" créé.
kadmin :
modifier_principal
modifier_principal [Options] principal
Modifie le principal spécifié, en changeant les champs comme spécifié. Les possibilités de
ajouter_principal s'appliquent également à cette commande, à l'exception de la -rankey, -pwet -e options.
De plus, l'option -politique claire effacera la politique actuelle d'un directeur.
Cette commande nécessite le modifier privilège.
Alias: modprinc
Options (en plus des ajouterprinc choix) :
-ouvrir
Déverrouille un principal verrouillé (un qui a reçu trop d'échecs d'authentification
tentatives sans suffisamment de temps entre eux selon sa politique de mot de passe) afin que
il peut s'authentifier avec succès.
renommer_principal
renommer_principal [-Obliger] ancien_principal nouveau_principal
Renomme le spécifié ancien_principal à nouveau_principal. Cette commande demande
confirmation, à moins que le -Obliger option est donnée.
Cette commande nécessite le ajouter et effacer Privilèges.
Alias: renprinc
supprimer_principal
supprimer_principal [-Obliger] principal
Supprime le spécifié principal de la base de données. Cette commande demande la suppression,
à moins que le -Obliger option est donnée.
Cette commande nécessite le effacer privilège.
Alias: delprinc
changer le mot de passe
changer le mot de passe [Options] principal
Modifie le mot de passe de principal. Demande un nouveau mot de passe si ni l'un ni l'autre -rankey or -pw
est spécifié.
Cette commande nécessite le changerpw privilège, ou que le principal exécutant le programme est
le même que le principal étant changé.
Alias: CPW
Les options suivantes sont disponibles:
-rankey
Définit la clé du principal sur une valeur aléatoire.
-pw Mot de passe
Définissez le mot de passe sur la chaîne spécifiée. L'utilisation de cette option dans un script peut exposer
le mot de passe aux autres utilisateurs du système via la liste des processus.
-e enc:sel...
Utilise la liste de clés spécifiée pour définir les clés du principal. Voir
Listes_salt_clés in kdc.conf(5) pour une liste de valeurs possibles.
-garder
Conserve les clés existantes dans la base de données. Ce drapeau n'est généralement pas nécessaire, sauf
peut-être pour krbtgt directeurs.
Mise en situation :
kadmin : système cpw
Entrez le mot de passe pour le principal [email protected]:
Entrez à nouveau le mot de passe du principal [email protected]:
Mot de passe pour [email protected] changé.
kadmin :
touches de purge
touches de purge [-tout|-garderkvno old_kvno_to_keep] principal
Purge les anciennes clés précédemment conservées (par exemple, de changer le mot de passe -garder) de principal.
If -garderkvno est spécifié, alors ne purge que les clés dont le kvnos est inférieur à
old_kvno_to_keep. Si -tout est spécifié, toutes les clés sont purgées. Les -tout option est
nouveau dans la version 1.12.
Cette commande nécessite le modifier privilège.
obtenir_principal
obtenir_principal [-laconique] principal
Obtient les attributs de principal. Avec le -laconique option, renvoie les champs comme indiqué
chaînes séparées par des tabulations.
Cette commande nécessite le renseigner privilège, ou que le principal exécutant le programme
être le même que celui répertorié.
Alias: obtenirprinc
Exemples :
kadmin : getprinc tlyu/admin
Principal : tlyu/[email protected]
Date d'expiration : [jamais]
Dernier changement de mot de passe : lun 12 août 14:16:47 EDT 1996
Date d'expiration du mot de passe : [aucun]
Durée de vie maximale du ticket : 0 jour 10:00:00
Durée de vie maximale renouvelable : 7 jours 00:00:00
Dernière modification : lun 12 août 14:16:47 EDT 1996 (bjaspan/[email protected])
Dernière authentification réussie : [jamais]
Dernière authentification échouée : [jamais]
Échec des tentatives de mot de passe : 0
Nombre de clés: 2
Clé : vno 1, des-cbc-crc
Clé : vno 1, des-cbc-crc:v4
Attributs:
Politique : [aucune]
kadmin : getprinc -système laconique
[email protected] 3 86400 604800 1
+785926535 (753241234)785900000
tlyu /[email protected] +786100034 (0)0
kadmin :
liste_principaux
liste_principaux [expression]
Récupère tout ou partie des noms principaux. expression est une expression glob de style shell qui
peut contenir les caractères génériques ?, *et []. Tous les noms principaux correspondant au
expression sont imprimées. Si aucune expression n'est fournie, tous les noms principaux sont imprimés.
Si l'expression ne contient pas de @ personnage, un @ caractère suivi du local
domaine est ajouté à l'expression.
Cette commande nécessite le liste privilège.
Alias: listeprincs, obtenir_principaux, get_princs
Mise en situation :
kadmin : test de listprincs*
[email protected]
[email protected]
[email protected]
[email protected]
kadmin :
get_strings
get_strings principal
Affiche les attributs de chaîne sur principal.
Cette commande nécessite le renseigner privilège.
Alias: getstr
set_string
set_string principal prénom Plus-value
Définit un attribut de chaîne sur principal. Les attributs de chaîne sont utilisés pour fournir par principal
configuration au KDC et à certains modules de plug-in KDC. L'attribut de chaîne suivant
les noms sont reconnus par le KDC :
session_enctypes
Spécifie les types de chiffrement pris en charge pour les clés de session lorsque le principal est
authentifié en tant que serveur. Voir Types_de cryptage in kdc.conf(5) pour une liste de
les valeurs acceptées.
Bureau du Procureur Active la pré-authentification des mots de passe à usage unique (OTP) pour un client principalL’
Plus-value est une chaîne JSON représentant un tableau d'objets, chacun ayant en option type
et Nom d'utilisateur champs.
Cette commande nécessite le modifier privilège.
Alias: chaîne_set
Mise en situation :
set_string hôte/foo.mit.edu session_enctypes aes128-cts
set_string [email protected] otp [{"type":"hotp","username":"custom"}]
del_string
del_string principal key
Supprime un attribut de chaîne de principal.
Cette commande nécessite le effacer privilège.
Alias: delstr
add_policy
add_policy [Options] politique
Ajoute une stratégie de mot de passe nommée politique à la base de données.
Cette commande nécessite le ajouter privilège.
Alias: addpol
Les options suivantes sont disponibles:
-vie max fiable
(avoir un rendez-vous string) Définit la durée de vie maximale d'un mot de passe.
-minvie fiable
(avoir un rendez-vous string) Définit la durée de vie minimale d'un mot de passe.
-Longueur minimale longueur
Définit la longueur minimale d'un mot de passe.
-minclasses nombre
Définit le nombre minimum de classes de caractères requises dans un mot de passe. Les cinq
les classes de caractères sont les minuscules, les majuscules, les chiffres, la ponctuation et
espaces/caractères non imprimables.
-histoire nombre
Définit le nombre de clés passées conservées pour un principal. Cette option n'est pas prise en charge
avec le module de base de données LDAP KDC.
-maxéchec nombre max
Définit le nombre d'échecs d'authentification avant que le principal ne soit verrouillé.
Les échecs d'authentification ne sont suivis que pour les principaux qui nécessitent
pré-authentification. Le compteur de tentatives infructueuses est remis à 0 après un succès
tenter de s'authentifier. UNE nombre max la valeur 0 (la valeur par défaut) désactive le verrouillage.
-intervalle de comptage des pannes temps de défaillance
(avoir un rendez-vous string) Définit le délai autorisé entre les échecs d'authentification. Si un
l'échec d'authentification se produit après temps de défaillance s'est écoulé depuis la précédente
échec, le nombre d'échecs d'authentification est remis à 1. A temps de défaillance Plus-value
de 0 (la valeur par défaut) signifie pour toujours.
-durée de verrouillage temps de verrouillage
(avoir un rendez-vous chaîne) Définit la durée pendant laquelle le principal est verrouillé à partir de
s'authentifier si trop d'échecs d'authentification se produisent sans le
l'intervalle de décompte des défaillances s'écoule. Une durée de 0 (la valeur par défaut) signifie que le principal
reste verrouillé jusqu'à ce qu'il soit déverrouillé administrativement avec modprinc -ouvrir.
-les sels clés autorisés
Spécifie les tuples clé/sel pris en charge pour les clés à long terme lors de la définition ou de la modification
le mot de passe/les clés d'un principal. Voir Listes_salt_clés in kdc.conf(5) pour une liste des
valeurs acceptées, mais notez que les tuples clé/sel doivent être séparés par des virgules (',')
seul. Pour effacer la stratégie clé/sel autorisée, utilisez la valeur « - ».
Mise en situation :
kadmin: add_policy -maxlife "2 jours" -minlength 5 invités
kadmin :
modifier_politique
modifier_politique [Options] politique
Modifie la politique de mot de passe nommée politique. Les options sont telles que décrites pour add_policy.
Cette commande nécessite le modifier privilège.
Alias: modpol
delete_policy
delete_policy [-Obliger] politique
Supprime la stratégie de mot de passe nommée politique. Demandes de confirmation avant suppression. Les
La commande échouera si la stratégie est utilisée par des principaux.
Cette commande nécessite le effacer privilège.
Alias: Delpol
Mise en situation :
kadmin : invités del_policy
Êtes-vous sûr de vouloir supprimer la règle « invités » ?
(oui/non) : oui
kadmin :
get_policy
get_policy [ -laconique ] politique
Affiche les valeurs de la stratégie de mot de passe nommée politique. Avec le -laconique drapeau, sorties
les champs sous forme de chaînes entre guillemets séparés par des tabulations.
Cette commande nécessite le renseigner privilège.
Pseudo : getpol
Exemples :
kadmin : administrateur get_policy
Politique : administrateur
Durée de vie maximale du mot de passe : 180 jours 00:00:00
Durée de vie minimale du mot de passe : 00:00:00
Longueur minimale du mot de passe : 6
Nombre minimum de classes de caractères de mot de passe : 2
Nombre d'anciennes clés conservées : 5
Nombre de références : 17
kadmin : get_policy -administrateur concis
administrateur 15552000 0 6 2 5 17
kadmin :
Le « nombre de références » est le nombre de principaux utilisant cette stratégie. Avec le KDC LDAP
module de base de données, le champ du nombre de références n'est pas significatif.
liste_politiques
liste_politiques [expression]
Récupère tout ou partie des noms de stratégie. expression est une expression glob de style shell qui peut
contenir les caractères génériques ?, *et []. Tous les noms de stratégie correspondant à l'expression
sont imprimés. Si aucune expression n'est fournie, tous les noms de stratégie existants sont imprimés.
Cette commande nécessite le liste privilège.
Alias: listepols, obtenir_politiques, getpols.
Exemples :
kadmin : listpols
test-pol
dict-seulement
une fois par minute
test-pol-nopw
kadmin : listpols t*
test-pol
test-pol-nopw
kadmin :
ktadd
ktadd [choix] principal
ktadd [choix] -glob exp-princ
Ajoute un principal, ou tous les principaux correspondants exp-princ, dans un fichier keytab. Chaque
les clés du principal sont randomisées dans le processus. Les règles pour exp-princ sont décrits dans
le liste_principaux commander.
Cette commande nécessite le renseigner et changerpw privilèges. Avec le -glob forme, c'est aussi
nécessite le liste privilège.
Les options sont:
-k[eytab] clavier
Utilisez clavier comme fichier keytab. Sinon, le keytab par défaut est utilisé.
-e enc:sel...
Utilise la liste de clés spécifiée pour définir les nouvelles clés du principal. Voir
Listes_salt_clés in kdc.conf(5) pour une liste de valeurs possibles.
-q Affichez des informations moins détaillées.
-norandkey
Ne pas randomiser les clés. Les clés et leurs numéros de version restent inchangés. Cette
L'option n'est disponible que dans kadmin.local et ne peut pas être spécifiée en combinaison
les -e option.
Une entrée pour chacun des types de chiffrement uniques du principal est ajoutée, ignorant plusieurs
clés avec le même type de cryptage mais différents types de sel.
Mise en situation :
kadmin : ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
Entrée pour hôte principal/[email protected] avec kvno 3,
type de cryptage aes256-cts-hmac-sha1-96 ajouté à keytab
FICHIER :/tmp/foo-new-keytab
kadmin :
kremove
kremove [choix] principal [kvno | TOUTE | et les sites anciens]
Supprime les entrées pour le spécifié principal à partir d'un keytab. Ne nécessite aucune autorisation, car
cela ne nécessite pas d'accès à la base de données.
Si la chaîne « all » est spécifiée, toutes les entrées pour ce principal sont supprimées ; si la
la chaîne "old" est spécifiée, toutes les entrées pour ce principal sauf celles avec le plus haut
kvno sont supprimés. Sinon, la valeur spécifiée est analysée comme un entier et toutes les entrées
dont kvno correspond à cet entier sont supprimés.
Les options sont:
-k[eytab] clavier
Utilisez clavier comme fichier keytab. Sinon, le keytab par défaut est utilisé.
-q Affichez des informations moins détaillées.
Mise en situation :
kadmin : ktremove kadmin/admin tout
Entrée pour le principal kadmin/admin avec kvno 3 supprimé de keytab
FICHIER :/etc/krb5.keytab
kadmin :
bloquer
Verrouiller la base de données exclusivement. A utiliser avec une extrême prudence ! Cette commande ne fonctionne qu'avec le
Module de base de données DB2 KDC.
ouvrir
Libérez le verrou exclusif de la base de données.
liste_requests
Listes disponibles pour les requêtes kadmin.
Alias: lr, ?
quitter
Quitter le programme. Si la base de données était verrouillée, le verrou est libéré.
Alias: sortie, q
HISTOIRE
Le programme kadmin a été écrit à l'origine par Tom Yu au MIT, en tant qu'interface avec le
Programme d'administration OpenVision Kerberos.
Utiliser kadmin en ligne à l'aide des services onworks.net
