Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 공급자에서 실행할 수 있는 ipa-getkeytab 명령입니다.
프로그램:
이름
ipa-getkeytab - Kerberos 주체에 대한 keytab 가져오기
개요
ipa-getkeytab -p 교장 이름 -k 키탭 파일 [ -e 암호화 유형 ] [ -s 아이파서버 ] [
-q ] [ -D|--binddn 바인드DN ] [ -w|--bindpw ] [ -P|--비밀번호 PASSWORD ] [ -r ]
기술
Kerberos 검색 키탭.
Kerberos keytab은 Kerberos 인증을 수행하기 위해 서비스(예: sshd)에 사용됩니다. ㅏ
keytab은 Kerberos 주체에 대한 하나 이상의 비밀(또는 키)이 있는 파일입니다.
Kerberos 서비스 주체는 인증에 사용할 수 있는 Kerberos ID입니다.
서비스 주체에는 서비스 이름, 서버의 호스트 이름 및
영역 이름. 예를 들어, 다음은 ldap 서버에 대한 예제 주체입니다.
LDAP/[이메일 보호]
ipa-getkeytab을 사용할 때 영역 이름이 이미 제공되었으므로 주체 이름은
서비스 이름 및 호스트 이름(위 예의 ldap/foo.example.com).
경고 : keytab을 검색하면 Kerberos 주체의 비밀이 재설정됩니다. 이것은 렌더링
해당 보안 주체에 대한 다른 모든 keytab은 유효하지 않습니다.
호스트 서비스 주체 및 저장소를 검색하기 위해 IPA 클라이언트 등록 중에 사용됩니다.
/etc/krb5.keytab에 있습니다. Kerberos 자격 증명 없이 keytab을 검색할 수 있습니다.
호스트가 일회용 비밀번호로 사전 생성된 경우. keytab은 다음을 통해 검색할 수 있습니다.
호스트로 바인딩하고 이 일회용 암호로 인증합니다. 그만큼 -D|--binddn 그리고
-w|--bindpw 옵션은 이 인증에 사용됩니다.
옵션
-p 교장 이름
전체 주체 이름의 비영역 부분입니다.
-k 키탭 파일
새 키를 추가할 keytab 파일입니다(존재하지 않는 경우 생성됨).
-e 암호화 유형
키를 생성하는 데 사용할 암호화 유형 목록입니다. ipa-getkeytab은 로컬을 사용합니다.
클라이언트가 제공되지 않으면 기본값입니다. 유효한 값은 Kerberos 라이브러리에 따라 다릅니다.
버전 및 구성. 일반적인 값은 다음과 같습니다. aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s 아이파서버
(FQDN)에서 keytab을 검색할 IPA 서버입니다. 이 옵션이 제공되지 않으면
IPA 구성 파일(/etc/ipa/default.conf)에서 서버 이름을 읽습니다.
-q 조용한 모드. 오류만 표시됩니다.
--허용된 유형
이 옵션은 다음과 같이 허용되는 암호화 유형에 대한 설명을 반환합니다.
지원되는 암호화 유형: 256비트 SHA-96 HMAC AES-1 CTS를 사용하는 AES-128 CTS 모드
모드 96비트 SHA-1 HMAC Triple DES cbc 모드 HMAC/sha1 ArcFour 포함
HMAC/md5 DES cbc 모드(CRC-32 포함) DES cbc 모드(RSA-MD5 포함) DES cbc 모드(RSA-MDXNUMX 포함)
RSA-MD4
-NS, --비밀번호
임의로 생성된 암호 대신 이 암호를 키에 사용하십시오.
-NS, --binddn
Kerberos 자격 증명 없이 keytab을 검색할 때 바인딩할 LDAP DN입니다.
일반적으로 -w 옵션을 선택합니다.
-w, --bindpw
Kerberos와 바인딩하지 않을 때 사용할 LDAP 암호입니다.
-r 검색 모드. 새 키를 생성하는 대신 서버에서 기존 키 검색
하나. 이것은 --password 옵션과 호환되지 않으며
버전 3.3보다 최신 FreeIPA 서버. keytab을 요청하는 사용자는 다음을 수행해야 합니다.
이 작업이 성공하려면 키에 액세스해야 합니다.
사용 예
호스트 foo.example.com에서 NFS 서비스 주체에 대한 keytab을 추가하고 검색합니다.
/tmp/nfs.keytab 파일에 저장하고 des-cbc-crc 키만 검색합니다.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
호스트 foo.example.com에서 ldap 서비스 주체에 대한 keytab을 추가하고 검색합니다.
/tmp/ldap.keytab 파일에 저장합니다.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
LDAP 자격 증명을 사용하여 keytab을 검색합니다(이 작업은 일반적으로 ipa 조인(1) 언제
를 사용하여 클라이언트 등록 ipa 클라이언트 설치(1) 명령:
# ipa-getkeytab -s ipaserver.example.com -p 호스트/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w 비밀번호
EXIT 지위
종료 상태는 성공 시 0이고 오류 시 XNUMX이 아닙니다.
0 성공
1 Kerberos 컨텍스트 초기화 실패
2 잘못된 사용법
3 메모리 부족
4 잘못된 서비스 주체 이름
5 Kerberos 자격 증명 캐시 없음
6 Kerberos 주체 및 바인드 DN 및 암호 없음
7 keytab을 열지 못했습니다.
8 키 자료 생성 실패
9 키탭 설정 실패
10 바인드 DN을 사용할 때 필요한 바인드 암호
11 keytab에 키를 추가하지 못했습니다.
12 키 탭을 닫지 못했습니다.
onworks.net 서비스를 사용하여 온라인에서 ipa-getkeytab 사용
