ipa-getkeytab - 클라우드의 온라인

프로그램:

이름

ipa-getkeytab - Kerberos 주체에 대한 keytab 가져오기

개요

ipa-getkeytab -p 교장 이름 -k 키탭 파일 [ -e 암호화 유형 ] [ -s 아이파서버 ] [
-q ] [ -D|--binddn 바인드DN ] [ -w|--bindpw ] [ -P|--비밀번호 PASSWORD ] [ -r ]

기술

Kerberos 검색 키탭.

Kerberos keytab은 Kerberos 인증을 수행하기 위해 서비스(예: sshd)에 사용됩니다. ㅏ
keytab은 Kerberos 주체에 대한 하나 이상의 비밀(또는 키)이 있는 파일입니다.

Kerberos 서비스 주체는 인증에 사용할 수 있는 Kerberos ID입니다.
서비스 주체에는 서비스 이름, 서버의 호스트 이름 및
영역 이름. 예를 들어, 다음은 ldap 서버에 대한 예제 주체입니다.

LDAP/[이메일 보호]

ipa-getkeytab을 사용할 때 영역 이름이 이미 제공되었으므로 주체 이름은
서비스 이름 및 호스트 이름(위 예의 ldap/foo.example.com).

경고 : keytab을 검색하면 Kerberos 주체의 비밀이 재설정됩니다. 이것은 렌더링
해당 보안 주체에 대한 다른 모든 keytab은 유효하지 않습니다.

호스트 서비스 주체 및 저장소를 검색하기 위해 IPA 클라이언트 등록 중에 사용됩니다.
/etc/krb5.keytab에 있습니다. Kerberos 자격 증명 없이 keytab을 검색할 수 있습니다.
호스트가 일회용 비밀번호로 사전 생성된 경우. keytab은 다음을 통해 검색할 수 있습니다.
호스트로 바인딩하고 이 일회용 암호로 인증합니다. 그만큼 -D|--binddn 과
-w|--bindpw 옵션은 이 인증에 사용됩니다.

옵션

-p 교장 이름
전체 주체 이름의 비영역 부분입니다.

-k 키탭 파일
새 키를 추가할 keytab 파일입니다(존재하지 않는 경우 생성됨).

-e 암호화 유형
키를 생성하는 데 사용할 암호화 유형 목록입니다. ipa-getkeytab은 로컬을 사용합니다.
클라이언트가 제공되지 않으면 기본값입니다. 유효한 값은 Kerberos 라이브러리에 따라 다릅니다.
버전 및 구성. 일반적인 값은 다음과 같습니다. aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc

-s 아이파서버
(FQDN)에서 keytab을 검색할 IPA 서버입니다. 이 옵션이 제공되지 않으면
IPA 구성 파일(/etc/ipa/default.conf)에서 서버 이름을 읽습니다.

-q 조용한 모드. 오류만 표시됩니다.

--허용된 유형
이 옵션은 다음과 같이 허용되는 암호화 유형에 대한 설명을 반환합니다.
지원되는 암호화 유형: 256비트 SHA-96 HMAC AES-1 CTS를 사용하는 AES-128 CTS 모드
모드 96비트 SHA-1 HMAC Triple DES cbc 모드 HMAC/sha1 ArcFour 포함
HMAC/md5 DES cbc 모드(CRC-32 포함) DES cbc 모드(RSA-MD5 포함) DES cbc 모드(RSA-MDXNUMX 포함)
RSA-MD4

-NS, --비밀번호
임의로 생성된 암호 대신 이 암호를 키에 사용하십시오.

-NS, --binddn
Kerberos 자격 증명 없이 keytab을 검색할 때 바인딩할 LDAP DN입니다.
일반적으로 -w 옵션을 선택합니다.

-w, --bindpw
Kerberos와 바인딩하지 않을 때 사용할 LDAP 암호입니다.

-r 검색 모드. 새 키를 생성하는 대신 서버에서 기존 키 검색
하나. 이것은 --password 옵션과 호환되지 않으며
버전 3.3보다 최신 FreeIPA 서버. keytab을 요청하는 사용자는 다음을 수행해야 합니다.
이 작업이 성공하려면 키에 액세스해야 합니다.

사용 예

호스트 foo.example.com에서 NFS 서비스 주체에 대한 keytab을 추가하고 검색합니다.
/tmp/nfs.keytab 파일에 저장하고 des-cbc-crc 키만 검색합니다.

# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc

호스트 foo.example.com에서 ldap 서비스 주체에 대한 keytab을 추가하고 검색합니다.
/tmp/ldap.keytab 파일에 저장합니다.

# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab

LDAP 자격 증명을 사용하여 keytab을 검색합니다(이 작업은 일반적으로 ipa 조인(1) 언제
를 사용하여 클라이언트 등록 ipa 클라이언트 설치(1) 명령:

# ipa-getkeytab -s ipaserver.example.com -p 호스트/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w 비밀번호

EXIT 지위

종료 상태는 성공 시 0이고 오류 시 XNUMX이 아닙니다.

0 성공

1 Kerberos 컨텍스트 초기화 실패

2 잘못된 사용법

3 메모리 부족

4 잘못된 서비스 주체 이름

5 Kerberos 자격 증명 캐시 없음

6 Kerberos 주체 및 바인드 DN 및 암호 없음

7 keytab을 열지 못했습니다.

8 키 자료 생성 실패

9 키탭 설정 실패

10 바인드 DN을 사용할 때 필요한 바인드 암호

11 keytab에 키를 추가하지 못했습니다.

12 키 탭을 닫지 못했습니다.

onworks.net 서비스를 사용하여 온라인에서 ipa-getkeytab 사용