זוהי הפקודה ipa-getkeytab שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו בחינם כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ipa-getkeytab - קבל keytab למנהל Kerberos
תַקצִיר
ipa-getkeytab -p שם המנהל -k keytab-קובץ [ -e סוגי הצפנה ] [ -s ipaserver ] [
-q ] [ -D|--binddn BINDDN ] [ -w|--bindpw ] [ -P|--סיסמה סיסמא ] [ -r ]
תיאור
מאחזר קרברוס מקשים.
כרטיסיות מקשים של Kerberos משמשות לשירותים (כמו sshd) לביצוע אימות Kerberos. א
keytab הוא קובץ עם סוד אחד או יותר (או מפתחות) עבור מנהל Kerberos.
מנהל שירות Kerberos הוא זהות Kerberos שניתן להשתמש בה לצורך אימות.
עקרונות השירות מכילים את שם השירות, שם המארח של השרת וה-
שם ממלכה. לדוגמה, להלן דוגמה למנהלת עבור שרת ldap:
ldap/[מוגן בדוא"ל]
בעת שימוש ב-ipa-getkeytab שם התחום כבר מסופק, כך שהשם הראשי הוא רק
שם השירות ושם המארח (ldap/foo.example.com מהדוגמה למעלה).
אזהרה: אחזור לוח המקשים מאפס את הסוד עבור המנהל של Kerberos. זה מעבד
כל שאר כרטיסיות המקשים עבור אותו ראשי לא חוקיים.
זה משמש במהלך רישום לקוח IPA כדי לאחזר מנהל שירות מארח וחנות
זה ב-/etc/krb5.keytab. אפשר לאחזר את לוח המקשים ללא אישורי Kerberos
אם המארח נוצר מראש עם סיסמה חד פעמית. ניתן לאחזר את לוח המקשים על ידי
מחייב כמארח ומאמת עם סיסמה חד פעמית זו. ה -D|--binddn ו
-w|--bindpw האפשרויות משמשות עבור אימות זה.
אפשרויות
-p שם המנהל
החלק הלא-ממלכתי של השם הראשי המלא.
-k keytab-קובץ
קובץ keytab שבו יש להוסיף את המפתח החדש (יווצר אם הוא לא קיים).
-e סוגי הצפנה
רשימת סוגי ההצפנה לשימוש ליצירת מפתחות. ipa-getkeytab ישתמש ב-local
ברירת המחדל של הלקוח אם לא סופקה. ערכים חוקיים תלויים בספריית Kerberos
גרסה ותצורה. ערכים נפוצים הם: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
שרת ה-IPA שממנו לאחזר את ה-keytab (FQDN). אם אפשרות זו אינה מסופקת
שם השרת נקרא מקובץ התצורה של IPA (/etc/ipa/default.conf)
-q מצב שקט. רק שגיאות מוצגות.
--מותרים-enctypes
אפשרות זו מחזירה תיאור של סוגי ההצפנה המותרים, כך:
סוגי הצפנה נתמכים: מצב AES-256 CTS עם 96 סיביות SHA-1 HMAC AES-128 CTS
מצב עם 96 סיביות SHA-1 HMAC Triple DES cbc מצב עם HMAC/sha1 ArcFour עם
מצב HMAC/md5 DES cbc עם מצב CRC-32 DES cbc עם RSA-MD5 DES מצב cbc עם
RSA-MD4
-פ, --סיסמה
השתמש בסיסמה זו עבור המפתח במקום סיסמה שנוצרה באופן אקראי.
-ד, --binddn
ה-LDAP DN לאגד כמו בעת אחזור כרטיסיית מפתח ללא אישורי Kerberos.
משמש בדרך כלל עם -w אוֹפְּצִיָה.
-וו, --bindpw
סיסמת LDAP לשימוש כאשר אינה מחייבת עם Kerberos.
-r מצב אחזור. אחזר מפתח קיים מהשרת במקום ליצור מפתח חדש
אחד. זה לא תואם לאפשרות --password, ויעבוד רק נגד a
שרת FreeIPA עדכני יותר מגרסה 3.3. המשתמש המבקש את ה-keytab חייב
יש גישה למפתחות כדי שהפעולה הזו תצליח.
דוגמאות
הוסף ואחזר טאב מפתח עבור מנהל שירות NFS במארח foo.example.com ו
שמור אותו בקובץ /tmp/nfs.keytab ואחזר רק את מפתח des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
הוסף ואחזר כרטיסיית מפתח עבור מנהל השירות ldap במארח foo.example.com ו-
שמור אותו בקובץ /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
אחזר כרטיסיית מפתח באמצעות אישורי LDAP (הדבר יעשה בדרך כלל על ידי ipa-join(1) מתי
רישום לקוח באמצעות ה ipa-client-install(1) פקודה:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w סיסמה
יְצִיאָה סטָטוּס
מצב היציאה הוא 0 על הצלחה, לא אפס על שגיאה.
0 הצלחה
1 אתחול ההקשר של Kerberos נכשל
2 שימוש לא נכון
3 נגמר הזיכרון
4 שם ראשי שירות לא חוקי
5 אין מטמון של אישורי Kerberos
6 ללא Kerberos מנהל וללא קשר DN וסיסמה
7 נכשל בפתיחת כרטיסיית המקשים
8 נכשל ביצירת חומר מפתח
9 הגדרת כרטיסיית המקשים נכשלה
10 סיסמת קשירה נדרשת בעת שימוש ב-DN bind
11 נכשל הוספת מפתח ל-keytab
12 נכשל בסגירת כרטיסיית המקשים
השתמש ב-ipa-getkeytab באופן מקוון באמצעות שירותי onworks.net
