Questo è il comando ipa-getkeytab che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ipa-getkeytab - Ottieni una keytab per un principal Kerberos
SINOSSI
ipa-getkeytab -p nome-principale -k keytab file [ -e tipi di crittografia ] [ -s ipaserver ] [
-q ] [ -D|--bindn BINDDN ] [ -w|--bindpw ] [ -P|--parola d'ordine PASSWORD ] [ -r ]
DESCRIZIONE
Recupera un Kerberos tastiera.
Le keytab Kerberos vengono utilizzate per i servizi (come sshd) per eseguire l'autenticazione Kerberos. UN
keytab è un file con uno o più segreti (o chiavi) per un principal Kerberos.
Un'entità servizio Kerberos è un'identità Kerberos che può essere utilizzata per l'autenticazione.
Le entità di servizio contengono il nome del servizio, il nome host del server e il
nome del regno. Ad esempio, il seguente è un principal di esempio per un server ldap:
ldap/[email protected]
Quando si utilizza ipa-getkeytab il nome del dominio è già fornito, quindi il nome principale è solo
il nome del servizio e il nome host (ldap/foo.example.com dall'esempio sopra).
ATTENZIONE: il recupero della keytab reimposta il segreto per l'entità Kerberos. Questo rende
tutte le altre keytab per quell'entità non valide.
Viene utilizzato durante la registrazione del client IPA per recuperare un'entità servizio host e memorizzare
in /etc/krb5.keytab. È possibile recuperare la keytab senza le credenziali Kerberos
se l'host è stato pre-creato con una password monouso. La keytab può essere recuperata da
associazione come host e autenticazione con questa password monouso. Il -D|--bindn ed
-w|--bindpw le opzioni vengono utilizzate per questa autenticazione.
VERSIONI
-p nome-principale
La parte non reale del nome principale completo.
-k keytab file
Il file keytab dove aggiungere la nuova chiave (sarà creato se non esiste).
-e tipi di crittografia
L'elenco dei tipi di crittografia da utilizzare per generare le chiavi. ipa-getkeytab utilizzerà local
le impostazioni predefinite del client se non fornite. I valori validi dipendono dalla libreria Kerberos
versione e configurazione. I valori comuni sono: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
Il server IPA da cui recuperare la keytab (FQDN). Se questa opzione non è fornita
il nome del server viene letto dal file di configurazione IPA (/etc/ipa/default.conf)
-q Modalità silenziosa. Vengono visualizzati solo gli errori.
--enctypes-permessi
Questa opzione restituisce una descrizione dei tipi di crittografia consentiti, in questo modo:
Tipi di crittografia supportati: modalità AES-256 CTS con SHA-96 a 1 bit HMAC AES-128 CTS
modalità con 96 bit SHA-1 HMAC Triple DES modalità cbc con HMAC/sha1 ArcFour con
Modalità cbc HMAC/md5 DES con CRC-32 Modalità cbc DES con RSA-MD5 Modalità cbc DES con
RSA-MD4
-P, --parola d'ordine
Usa questa password per la chiave invece di una generata casualmente.
-D, --bindn
Il DN LDAP da associare come quando si recupera una keytab senza credenziali Kerberos.
Generalmente utilizzato con il -w opzione.
-w, --bindpw
La password LDAP da utilizzare quando non si esegue il collegamento con Kerberos.
-r Modalità di recupero. Recupera una chiave esistente dal server invece di generarne una nuova
uno. Questo è incompatibile con l'opzione --password e funzionerà solo contro a
Server FreeIPA più recente della versione 3.3. L'utente che richiede la keytab deve
avere accesso alle chiavi affinché questa operazione abbia esito positivo.
ESEMPI
Aggiungere e recuperare una keytab per l'entità servizio NFS sull'host foo.example.com e
salvalo nel file /tmp/nfs.keytab e recupera solo la chiave des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Aggiungere e recuperare una keytab per l'entità servizio ldap sull'host foo.example.com e
salvalo nel file /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.esempio.com -p ldap/foo.esempio.com -k /tmp/ldap.keytab
Recupera una keytab usando le credenziali LDAP (questo sarà in genere fatto da ipa-unisciti(1) quando
iscrivere un cliente utilizzando il ipa-client-install(1) comando:
# ipa-getkeytab -s ipaserver.esempio.com -p host/foo.esempio.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computer,cn=account,dc=esempio,dc=com -w password
EXIT STATUS
Lo stato di uscita è 0 in caso di successo, diverso da zero in caso di errore.
0 Successo
1 Inizializzazione del contesto Kerberos non riuscita
2 Utilizzo errato
3 Memoria esaurita
4 Nome dell'entità servizio non valido
5 Nessuna cache delle credenziali Kerberos
6 Nessuna entità Kerberos e nessuna associazione DN e password
7 Impossibile aprire keytab
8 Impossibile creare il materiale chiave
9 Impostazione keytab non riuscita
10 Password di associazione richiesta quando si utilizza un DN di associazione
11 Impossibile aggiungere la chiave a keytab
12 Impossibile chiudere keytab
Usa ipa-getkeytab online utilizzando i servizi onworks.net
