ນີ້ແມ່ນຄໍາສັ່ງ kadmin ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນສະຖານີເຮັດວຽກອອນໄລນ໌ຟຣີຫຼາຍອັນຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
kadmin - ໂຄງການບໍລິຫານຖານຂໍ້ມູນ Kerberos V5
ສະຫຼຸບສັງລວມ
ກະດມິນ [-O|-N] [-r ອານາຈັກ] [-p ອໍານວຍການ] [-q query][[-c cache_name]|[-k [-t ປຸ່ມກົດ]]|-n]
[-w ລະຫັດຜ່ານ] [-s admin_server[:port]]
kadmin.ທ້ອງຖິ່ນ [-r ອານາຈັກ] [-p ອໍານວຍການ] [-q query] [-d dbname] [-e ສຸດ:ເກືອ ... ] [-m] [-x
db_args]
ລາຍລະອຽດ
kadmin ແລະ kadmin.local ແມ່ນສ່ວນຕິດຕໍ່ແຖວຄຳສັ່ງຕໍ່ກັບການບໍລິຫານ Kerberos V5
ລະບົບ. ພວກເຂົາເຈົ້າສະຫນອງຫນ້າທີ່ຄ້າຍຄືກັນເກືອບ; ຄວາມແຕກຕ່າງແມ່ນວ່າ
kadmin.local ເຂົ້າເຖິງຖານຂໍ້ມູນ KDC ໂດຍກົງ, ໃນຂະນະທີ່ kadmin ດໍາເນີນການດໍາເນີນງານໂດຍໃຊ້
ກະດິງ(8). ຍົກເວັ້ນທີ່ໄດ້ບັນທຶກໄວ້ຢ່າງຊັດເຈນ, ຫນ້າຜູ້ຊາຍນີ້ຈະນໍາໃຊ້ "kadmin" ກັບ
ອ້າງເຖິງທັງສອງສະບັບ. kadmin ສະໜອງການບຳລຸງຮັກສາຫຼັກຂອງ Kerberos,
ນະໂຍບາຍລະຫັດຜ່ານ, ແລະຕາຕະລາງກະແຈການບໍລິການ (keytabs).
ລູກຄ້າ kadmin ຫ່າງໄກສອກຫຼີກໃຊ້ Kerberos ເພື່ອພິສູດຢືນຢັນກັບ kadmind ໂດຍໃຊ້ບໍລິການ
ອໍານວຍການ kadmin/ADMINHOST (ບ່ອນທີ່ ADMINHOST ແມ່ນຊື່ເຈົ້າພາບທີ່ມີຄຸນສົມບັດຄົບຖ້ວນຂອງຜູ້ເບິ່ງແຍງລະບົບ
server) ຫຼື kadmin/admin. ຖ້າ cache credentials ມີປີ້ສໍາລັບຫນຶ່ງໃນເຫຼົ່ານີ້
ອໍານວຍການ, ແລະ -c ຕົວເລືອກ credentials_cache ຖືກລະບຸ, ປີ້ນັ້ນຖືກໃຊ້ເພື່ອ
ຢືນຢັນກັບ kadmind. ຖ້າບໍ່ດັ່ງນັ້ນ, ໄດ້ -p ແລະ -k ທາງເລືອກແມ່ນໃຊ້ເພື່ອລະບຸລູກຄ້າ
ຊື່ຫຼັກ Kerberos ໃຊ້ເພື່ອພິສູດຢືນຢັນ. ເມື່ອ kadmin ໄດ້ກໍານົດຕົ້ນຕໍ
ຊື່, ມັນຮ້ອງຂໍປີ້ບໍລິການຈາກ KDC, ແລະໃຊ້ປີ້ບໍລິການນັ້ນກັບ
ຢືນຢັນກັບ kadmind.
ເນື່ອງຈາກ kadmin.local ເຂົ້າເຖິງຖານຂໍ້ມູນ KDC ໂດຍກົງ, ມັນປົກກະຕິແລ້ວຈະຕ້ອງຖືກດໍາເນີນການໂດຍກົງ
ແມ່ບົດ KDC ທີ່ມີສິດພຽງພໍໃນການອ່ານຖານຂໍ້ມູນ KDC. ຖ້າຖານຂໍ້ມູນ KDC
ໃຊ້ໂມດູນຖານຂໍ້ມູນ LDAP, kadmin.local ສາມາດດໍາເນີນການຢູ່ໃນໂຮດໃດກໍ່ຕາມທີ່ສາມາດເຂົ້າເຖິງໄດ້
ເຊີບເວີ LDAP.
OPTIONS
-r ອານາຈັກ
ການນໍາໃຊ້ ອານາຈັກ ເປັນພື້ນທີ່ຖານຂໍ້ມູນເລີ່ມຕົ້ນ.
-p ອໍານວຍການ
ການນໍາໃຊ້ ອໍານວຍການ ເພື່ອພິສູດຢືນຢັນ. ຖ້າບໍ່ດັ່ງນັ້ນ, kadmin ຈະຕື່ມໃສ່ /admin ປະຖົມ
ຊື່ຫຼັກຂອງ ccache ເລີ່ມຕົ້ນ, ຄ່າຂອງ ຜູ້ໃຊ້ ການປ່ຽນແປງສະພາບແວດລ້ອມ,
ຫຼືຊື່ຜູ້ໃຊ້ທີ່ໄດ້ຮັບກັບ getpwuid, ຕາມລໍາດັບ.
-k ໃຊ້ແທັບປຸ່ມເພື່ອຖອດລະຫັດການຕອບສະໜອງ KDC ແທນການເຕືອນລະຫັດຜ່ານ. ໃນ
ກໍລະນີນີ້, ເງິນຕົ້ນເລີ່ມຕົ້ນຈະເປັນ host/ຊື່ເຈົ້າພາບ. ຖ້າບໍ່ມີປຸ່ມກົດ
ລະບຸໄວ້ກັບ -t ທາງເລືອກ, ຫຼັງຈາກນັ້ນແຖບແປ້ນພິມເລີ່ມຕົ້ນຈະຖືກໃຊ້.
-t ປຸ່ມກົດ
ການນໍາໃຊ້ ປຸ່ມກົດ ເພື່ອຖອດລະຫັດການຕອບສະໜອງ KDC. ນີ້ສາມາດໃຊ້ໄດ້ພຽງແຕ່ກັບ -k ທາງເລືອກ.
-n ຮ້ອງຂໍການປະມວນຜົນທີ່ບໍ່ເປີດເຜີຍຊື່. ສອງປະເພດຂອງຜູ້ອໍານວຍການທີ່ບໍ່ເປີດເຜີຍຊື່ແມ່ນໄດ້ຮັບການສະຫນັບສະຫນູນ.
ສໍາລັບ Kerberos ທີ່ບໍ່ເປີດເຜີຍຊື່ຢ່າງເຕັມສ່ວນ, ຕັ້ງຄ່າ PKINIT ໃນ KDC ແລະຕັ້ງຄ່າ
pkinit_anchors ຢູ່ໃນລູກຄ້າ krb5.conf(5). ຫຼັງຈາກນັ້ນ, ນໍາໃຊ້ -n ທາງເລືອກທີ່ມີ a
ຫຼັກຂອງແບບຟອມ @REALM (ຊື່ຕົ້ນຕໍຫວ່າງເປົ່າຕາມດ້ວຍເຄື່ອງໝາຍ ແລະ ກ
ຊື່ realm). ຖ້າໄດ້ຮັບອະນຸຍາດຈາກ KDC, ປີ້ທີ່ບໍ່ເປີດເຜີຍຊື່ຈະຖືກສົ່ງຄືນ. ກ
ຮູບແບບທີສອງຂອງປີ້ທີ່ບໍ່ເປີດເຜີຍຊື່ແມ່ນສະຫນັບສະຫນູນ; ປີ້ realm-exposed ເຫຼົ່ານີ້ເຊື່ອງ
ຕົວຕົນຂອງລູກຄ້າແຕ່ບໍ່ແມ່ນພື້ນທີ່ຂອງລູກຄ້າ. ສໍາລັບຮູບແບບນີ້, ໃຊ້ ກິນິດ -n
ກັບຊື່ຕົ້ນຕໍປົກກະຕິ. ຖ້າສະຫນັບສະຫນູນໂດຍ KDC, ຕົ້ນຕໍ (ແຕ່ບໍ່ແມ່ນ
realm) ຈະຖືກແທນທີ່ດ້ວຍ ອໍານວຍການທີ່ບໍ່ເປີດເຜີຍຊື່. ໃນຖານະເປັນການປ່ອຍ 1.8, MIT
Kerberos KDC ພຽງແຕ່ຮອງຮັບການດໍາເນີນການທີ່ບໍ່ເປີດເຜີຍຊື່ຢ່າງເຕັມສ່ວນ.
-c credentials_cache
ການນໍາໃຊ້ credentials_cache ເປັນ cache ຂອງຂໍ້ມູນປະຈໍາຕົວ. ແຄດຄວນມີບໍລິການ
ປີ້ສໍາລັບ kadmin/ADMINHOST (ບ່ອນທີ່ ADMINHOST ແມ່ນຊື່ເຈົ້າພາບທີ່ມີຄຸນວຸດທິຄົບຖ້ວນຂອງ
admin server) ຫຼື kadmin/admin ການບໍລິການ; ມັນ ສາ ມາດ ໄດ້ ມາ ກັບ ກິນິດ(1)
ໂຄງການ. ຖ້າຕົວເລືອກນີ້ບໍ່ໄດ້ຖືກລະບຸ, kadmin ຮ້ອງຂໍປີ້ບໍລິການໃຫມ່
ຈາກ KDC, ແລະເກັບຮັກສາມັນໄວ້ໃນ ccache ຊົ່ວຄາວຂອງຕົນເອງ.
-w ລະຫັດຜ່ານ
ການນໍາໃຊ້ ລະຫັດຜ່ານ ແທນທີ່ຈະເປັນການກະຕຸ້ນເຕືອນ. ໃຊ້ຕົວເລືອກນີ້ດ້ວຍຄວາມລະມັດລະວັງ, ຍ້ອນວ່າມັນອາດຈະ
ເປີດເຜີຍລະຫັດຜ່ານໃຫ້ຜູ້ໃຊ້ອື່ນໃນລະບົບໂດຍຜ່ານລາຍການຂະບວນການ.
-q query
ດໍາເນີນການສອບຖາມທີ່ລະບຸໄວ້ແລະຫຼັງຈາກນັ້ນອອກ. ນີ້ສາມາດເປັນປະໂຫຍດສໍາລັບການຂຽນສະຄິບ.
-d dbname
ລະບຸຊື່ຂອງຖານຂໍ້ມູນ KDC. ຕົວເລືອກນີ້ບໍ່ໄດ້ນຳໃຊ້ກັບ LDAP
ໂມດູນຖານຂໍ້ມູນ.
-s admin_server[:port]
ລະບຸເຊີບເວີ admin ທີ່ kadmin ຄວນຕິດຕໍ່.
-m ຖ້າໃຊ້ kadmin.local, ໃຫ້ໃສ່ລະຫັດຕົ້ນສະບັບຂອງຖານຂໍ້ມູນແທນການອ່ານ
ມັນມາຈາກໄຟລ໌ທີ່ເກັບໄວ້.
-e ສຸດ:ເກືອ ...
ກໍານົດລາຍການ keysalt ທີ່ຈະໃຊ້ສໍາລັບລະຫັດໃຫມ່ທີ່ສ້າງຂຶ້ນ. ເບິ່ງ Keysalt_lists in
kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງມູນຄ່າທີ່ເປັນໄປໄດ້.
-O ບັງຄັບໃຊ້ລົດຊາດການຮັບຮອງ AUTH_GSSAPI ເກົ່າ.
-N ປ້ອງກັນການກັບຄືນໄປໃຊ້ລົດຊາດການຮັບຮອງ AUTH_GSSAPI.
-x db_args
ລະບຸຂໍ້ໂຕ້ແຍ້ງສະເພາະຂອງຖານຂໍ້ມູນ. ເບິ່ງພາກຕໍ່ໄປສໍາລັບການສະຫນັບສະຫນູນ
ຕົວເລືອກ
DATABASE OPTIONS
ຕົວເລືອກຖານຂໍ້ມູນສາມາດຖືກໃຊ້ເພື່ອລົບລ້າງຄ່າເລີ່ມຕົ້ນສະເພາະຂອງຖານຂໍ້ມູນ. ທາງເລືອກທີ່ສະຫນັບສະຫນູນ
ສໍາລັບໂມດູນ DB2 ແມ່ນ:
-x dbname=*ຊື່ໄຟລ໌*
ລະບຸຊື່ໄຟລ໌ພື້ນຖານຂອງຖານຂໍ້ມູນ DB2.
-x lockiter
ເຮັດໃຫ້ການດໍາເນີນງານ iteration ຖື lock ສໍາລັບໄລຍະເວລາຂອງທັງຫມົດ
ການດໍາເນີນງານ, ແທນທີ່ຈະປ່ອຍຕົວລັອກຊົ່ວຄາວໃນຂະນະທີ່ຈັດການກັບແຕ່ລະຄົນ
ຫຼັກ. ນີ້ແມ່ນພຶດຕິກໍາເລີ່ມຕົ້ນ, ແຕ່ທາງເລືອກນີ້ມີຢູ່ເພື່ອອະນຸຍາດໃຫ້
ເສັ້ນຄໍາສັ່ງ override ຂອງການຕັ້ງຄ່າ [dbmodules]. ເປີດຕົວຄັ້ງທໍາອິດ
1.13.
-x unlockiter
ເຮັດໃຫ້ການດໍາເນີນງານ iteration unlock ຖານຂໍ້ມູນສໍາລັບແຕ່ລະອໍານວຍການ, ແທນທີ່ຈະ
ຖື lock ສໍາລັບໄລຍະເວລາຂອງການດໍາເນີນງານທັງຫມົດ. ແນະນໍາຄັ້ງທໍາອິດໃນ
ລຸ້ນ 1.13.
ທາງເລືອກທີ່ຮອງຮັບສໍາລັບໂມດູນ LDAP ແມ່ນ:
-x ເຈົ້າພາບ=ldapuri
ລະບຸເຊີບເວີ LDAP ເພື່ອເຊື່ອມຕໍ່ໂດຍ LDAP URI.
-x binddn=bind_dn
ລະບຸ DN ທີ່ໃຊ້ເພື່ອຜູກມັດກັບເຊີບເວີ LDAP.
-x bindpwd=ລະຫັດຜ່ານ
ລະບຸລະຫັດຜ່ານ ຫຼືຄວາມລັບ SASL ທີ່ໃຊ້ເພື່ອຜູກມັດກັບເຊີບເວີ LDAP. ການນໍາໃຊ້
ທາງເລືອກນີ້ອາດຈະເປີດເຜີຍລະຫັດຜ່ານໃຫ້ຜູ້ໃຊ້ອື່ນໃນລະບົບໂດຍຜ່ານຂະບວນການ
ລາຍການ; ເພື່ອຫຼີກເວັ້ນການນີ້, ແທນທີ່ຈະເກັບລະຫັດຜ່ານໂດຍໃຊ້ stashsrvpw ຄໍາສັ່ງຂອງ
kdb5_ldap_util(8).
-x sasl_mech=ກົນໄກ
ລະບຸກົນໄກ SASL ທີ່ໃຊ້ເພື່ອຜູກມັດກັບເຊີບເວີ LDAP. DN ຜູກມັດແມ່ນ
ຖືກລະເລີຍຖ້າກົນໄກ SASL ຖືກໃຊ້. ໃໝ່ໃນລຸ້ນ 1.13.
-x sasl_authcid=ຊື່
ລະບຸຊື່ການພິສູດຢືນຢັນທີ່ໃຊ້ເມື່ອຜູກມັດກັບເຊີບເວີ LDAP ດ້ວຍ a
ກົນໄກ SASL, ຖ້າກົນໄກຕ້ອງການຫນຶ່ງ. ໃໝ່ໃນລຸ້ນ 1.13.
-x sasl_authzid=ຊື່
ລະບຸຊື່ການອະນຸຍາດທີ່ໃຊ້ເມື່ອຜູກມັດກັບເຊີບເວີ LDAP ດ້ວຍ a
ກົນໄກການ SASL. ໃໝ່ໃນລຸ້ນ 1.13.
-x sasl_realm=ອານາຈັກ
ລະບຸພື້ນທີ່ທີ່ໃຊ້ໃນເວລາທີ່ຜູກມັດກັບເຊີບເວີ LDAP ດ້ວຍກົນໄກ SASL,
ຖ້າຫາກວ່າກົນໄກການນໍາໃຊ້ຫນຶ່ງ. ໃໝ່ໃນລຸ້ນ 1.13.
-x debug=ລະດັບ
ກໍານົດລະດັບການດີບັ໊ກຫ້ອງສະໝຸດ OpenLDAP. ລະດັບ ເປັນຈຳນວນເຕັມທີ່ຈະເປັນ
ຕີລາຄາໂດຍຫ້ອງສະຫມຸດ. ຂໍ້ຄວາມດີບັກຖືກພິມອອກເປັນຄວາມຜິດພາດມາດຕະຖານ.
ໃໝ່ໃນລຸ້ນ 1.12.
ສາມາດ
ເມື່ອໃຊ້ລູກຄ້າຫ່າງໄກສອກຫຼີກ, ຄໍາສັ່ງທີ່ມີຢູ່ອາດຈະຖືກຈໍາກັດໂດຍອີງຕາມ
ສິດທິພິເສດທີ່ລະບຸໄວ້ໃນ kadm5.acl(5) ໄຟລ໌ໃນເຄື່ອງແມ່ຂ່າຍຂອງ admin.
add_principal
add_principal [ທາງເລືອກໃນການ] Newprinc
ສ້າງຫຼັກ Newprinc, prompting ສອງຄັ້ງສໍາລັບລະຫັດຜ່ານ. ຖ້າບໍ່ມີນະໂຍບາຍລະຫັດຜ່ານ
ລະບຸໄວ້ກັບ - ນະໂຍບາຍ ທາງເລືອກ, ແລະນະໂຍບາຍທີ່ມີຊື່ Default ຖືກມອບຫມາຍໃຫ້
ຕົ້ນຕໍຖ້າມັນມີຢູ່. ຢ່າງໃດກໍ່ຕາມ, ການສ້າງນະໂຍບາຍທີ່ມີຊື່ Default ຈະບໍ່ອັດຕະໂນມັດ
ມອບໝາຍນະໂຍບາຍນີ້ໃຫ້ເຈົ້າຂອງເດີມທີ່ມີຢູ່ກ່ອນແລ້ວ. ການມອບຫມາຍນະໂຍບາຍນີ້ສາມາດເປັນ
ສະກັດກັ້ນກັບ - ນະໂຍບາຍທີ່ຈະແຈ້ງ ທາງເລືອກ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ເພີ່ມ ສິດທິພິເສດ.
ນາມແຝງ: addprinc, ank
ຕົວເລືອກ:
-ໝົດອາຍຸ ຂະຫຍາຍ
(ນັດພົບ string) ວັນໝົດອາຍຸຂອງເງິນຕົ້ນ.
-pwexpire pwexpdate
(ນັດພົບ string) ວັນໝົດອາຍຸລະຫັດຜ່ານ.
-maxlife maxlife
(ນັດພົບ string) ອາຍຸສູງສຸດຂອງປີ້ສໍາລັບເງິນຕົ້ນ.
-maxrenewlife maxrenewlife
(ນັດພົບ string) ອາຍຸການຕໍ່ອາຍຸສູງສຸດຂອງປີ້ສໍາລັບເງິນຕົ້ນ.
- kvno kvno
ໝາຍເລກເວີຊັນຫຼັກເບື້ອງຕົ້ນ.
- ນະໂຍບາຍ ນະໂຍບາຍ
ນະໂຍບາຍລະຫັດຜ່ານທີ່ໃຊ້ໂດຍຜູ້ອໍານວຍການນີ້. ຖ້າບໍ່ໄດ້ລະບຸ, ນະໂຍບາຍ Default
ຖືກນໍາໃຊ້ຖ້າມັນມີຢູ່ (ເວັ້ນເສຍແຕ່ - ນະໂຍບາຍທີ່ຈະແຈ້ງ ແມ່ນລະບຸໄວ້).
- ນະໂຍບາຍທີ່ຈະແຈ້ງ
ຂັດຂວາງນະໂຍບາຍໃດໆຈາກການຖືກມອບຫມາຍໃນເວລາທີ່ - ນະໂຍບາຍ ບໍ່ໄດ້ລະບຸ.
{-|+}allow_postated
-allow_postdated ຫ້າມຜູ້ອໍານວຍການນີ້ຈາກການໄດ້ຮັບປີ້ທີ່ຖືກເລື່ອນເວລາ.
+allow_postdated ລ້າງທຸງນີ້.
{-|+}allow_forwardable
-allow_forwardable ຫ້າມຜູ້ອໍານວຍການນີ້ຈາກການໄດ້ຮັບປີ້ສົ່ງຕໍ່ໄດ້.
+allow_forwardable ລ້າງທຸງນີ້.
{-|+}allow_renewable
-allow_renewable ຫ້າມຜູ້ອໍານວຍການນີ້ຈາກການໄດ້ຮັບປີ້ຕໍ່ອາຍຸໄດ້.
+allow_renewable ລ້າງທຸງນີ້.
{-|+}allow_proxiable
-allow_proxiable ຫ້າມຜູ້ອໍານວຍການນີ້ຈາກການໄດ້ຮັບປີ້ສະມາຊິກ.
+allow_proxiable ລ້າງທຸງນີ້.
{-|+}allow_dup_skey
-allow_dup_skey ປິດໃຊ້ງານການພິສູດຢືນຢັນຈາກຜູ້ໃຊ້ກັບຜູ້ໃຊ້ສໍາລັບຕົ້ນທຶນນີ້ໂດຍ
ຫ້າມຫຼັກນີ້ຈາກການໄດ້ຮັບລະຫັດເຊດຊັນສໍາລັບຜູ້ໃຊ້ອື່ນ.
+allow_dup_skey ລ້າງທຸງນີ້.
{-|+}ຕ້ອງການ_preauth
+requires_preauth ຮຽກຮ້ອງໃຫ້ຜູ້ອໍານວຍການນີ້ເພື່ອຢັ້ງຢືນລ່ວງຫນ້າກ່ອນທີ່ຈະໄດ້ຮັບອະນຸຍາດໃຫ້
ກັບ kinit. -requires_preauth ລ້າງທຸງນີ້. ເມື່ອໃດ +requires_preauth ຖືກກໍານົດໄວ້ເປັນ
ຫຼັກການບໍລິການ, KDC ພຽງແຕ່ຈະອອກປີ້ບໍລິການສໍາລັບການບໍລິການນັ້ນ
ຫຼັກ ຖ້າ ການ ກວດ ສອບ ເບື້ອງ ຕົ້ນ ຂອງ ລູກ ຄ້າ ໄດ້ ຖືກ ປະ ຕິ ບັດ ໂດຍ ການ ນໍາ ໃຊ້
ການກວດສອບຄວາມຖືກຕ້ອງ.
{-|+}ຕ້ອງການ_hwauth
+requires_hwauth ຕ້ອງການຫຼັກນີ້ເພື່ອພິສູດຕົວຕົນລ່ວງໜ້າໂດຍໃຊ້ອຸປະກອນຮາດແວ
ກ່ອນທີ່ຈະໄດ້ຮັບການອະນຸຍາດໃຫ້ kinit. -requires_hwauth ລ້າງທຸງນີ້. ເມື່ອໃດ
+requires_hwauth ຖືກກໍານົດໄວ້ໃນບໍລິການຕົ້ນຕໍ, KDC ຈະອອກການບໍລິການເທົ່ານັ້ນ
ປີ້ສໍາລັບຕົ້ນການບໍລິການນັ້ນຖ້າຫາກວ່າການກວດສອບເບື້ອງຕົ້ນຂອງລູກຄ້າແມ່ນ
ປະຕິບັດໂດຍໃຊ້ອຸປະກອນຮາດແວເພື່ອພິສູດຢືນຢັນລ່ວງໜ້າ.
{-|+}ok_as_delegate
+ok_as_delegate ກໍານົດ ຫຍັງ as ຄະນະຜູ້ແທນ ທຸງໃນປີ້ທີ່ອອກດ້ວຍນີ້
ຕົ້ນຕໍເປັນການບໍລິການ. ລູກຄ້າອາດຈະໃຊ້ທຸງນີ້ເປັນຄໍາຊີ້ບອກຂອງຂໍ້ມູນປະຈໍາຕົວ
ຄວນຖືກມອບໝາຍໃຫ້ເມື່ອພິສູດຢືນຢັນການບໍລິການ. -ok_as_delegate ລ້າງ
ທຸງນີ້.
{-|+}allow_svr
-allow_svr ຫ້າມການອອກປີ້ບໍລິການສໍາລັບຕົ້ນຕໍນີ້.
+allow_svr ລ້າງທຸງນີ້.
{-|+}allow_tgs_req
-allow_tgs_req ລະບຸວ່າບໍລິການໃຫ້ປີ້ປີ້ (TGS) ຮ້ອງຂໍການບໍລິການ
ປີ້ສໍາລັບເງິນຕົ້ນນີ້ບໍ່ໄດ້ຮັບອະນຸຍາດ. +allow_tgs_req ລ້າງທຸງນີ້.
{-|+}allow_tix
-allow_tix ຫ້າມການອອກປີ້ໃດໆສໍາລັບຕົ້ນທຶນນີ້. +allow_tix
ລ້າງທຸງນີ້.
{-|+}ຕ້ອງການການປ່ຽນແປງ
+ ຄວາມຕ້ອງການການປ່ຽນແປງ ບັງຄັບໃຫ້ມີການປ່ຽນແປງລະຫັດຜ່ານໃນການກວດສອບເບື້ອງຕົ້ນຕໍ່ໄປຕໍ່ກັບອັນນີ້
ຕົ້ນຕໍ. - ຄວາມຕ້ອງການການປ່ຽນແປງ ລ້າງທຸງນີ້.
{-|+}password_changing_service
+password_changing_service ໝາຍຫຼັກນີ້ເປັນບໍລິການປ່ຽນລະຫັດຜ່ານ
ຕົ້ນຕໍ.
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate ອະນຸຍາດໃຫ້ຕົ້ນຕໍນີ້ເພື່ອໄດ້ຮັບປີ້ສົ່ງຕໍ່ໄປທີ່
ຕົວຂອງມັນເອງຈາກຜູ້ໃຊ້ທີ່ມັກ, ເພື່ອໃຊ້ກັບຄະນະຜູ້ແທນທີ່ຖືກຈໍາກັດ.
{-|+}no_auth_data_required
+no_auth_data_required ປ້ອງກັນບໍ່ໃຫ້ຂໍ້ມູນ PAC ຫຼື AD-SIGNEDPATH ຈາກການຖືກເພີ່ມໃສ່
ປີ້ບໍລິການສໍາລັບອໍານວຍການ.
- Randkey
ກໍານົດລະຫັດຂອງເງິນຕົ້ນເປັນຄ່າສຸ່ມ.
- nokey ເຮັດໃຫ້ຕົ້ນທຶນຖືກສ້າງໂດຍບໍ່ມີກະແຈ. ໃໝ່ໃນລຸ້ນ 1.12.
-pw ລະຫັດຜ່ານ
ຕັ້ງຄ່າລະຫັດຜ່ານຂອງຫຼັກໄປຫາສະຕຣິງທີ່ລະບຸໄວ້ ແລະບໍ່ໄດ້ເຕືອນໃຫ້
ລະຫັດຜ່ານ. ໝາຍເຫດ: ການໃຊ້ຕົວເລືອກນີ້ໃນ shell script ອາດຈະເປີດເຜີຍລະຫັດຜ່ານໃຫ້
ຜູ້ໃຊ້ອື່ນໆໃນລະບົບໂດຍຜ່ານບັນຊີລາຍຊື່ຂະບວນການ.
-e ສຸດ:ເກືອ...
ໃຊ້ລາຍການ keysalt ທີ່ລະບຸໄວ້ສໍາລັບການຕັ້ງກະແຈຂອງຫຼັກ. ເບິ່ງ
Keysalt_lists in kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງມູນຄ່າທີ່ເປັນໄປໄດ້.
-x db_princ_args
ຊີ້ບອກທາງເລືອກຖານຂໍ້ມູນສະເພາະ. ທາງເລືອກສໍາລັບໂມດູນຖານຂໍ້ມູນ LDAP ແມ່ນ:
-x dn=dn
ລະບຸວັດຖຸ LDAP ທີ່ຈະປະກອບດ້ວຍ Kerberos ຕົ້ນຕໍ
ສ້າງຂື້ນ.
-x linkdn=dn
ລະບຸວັດຖຸ LDAP ທີ່ສ້າງໃໝ່ Kerberos principal
ວັດຖຸຈະຊີ້.
-x containerdn=container_dn
ລະບຸວັດຖຸບັນຈຸທີ່ຕ້ອງເປັນຫຼັກ Kerberos
ສ້າງຂື້ນ.
-x tktpolicy=ນະໂຍບາຍ
ເຊື່ອມໂຍງນະໂຍບາຍປີ້ກັບຜູ້ອໍານວຍການ Kerberos.
ຫມາຍເຫດ:
·ທ containerdn ແລະ linkdn ທາງເລືອກທີ່ບໍ່ສາມາດໄດ້ຮັບການລະບຸໄວ້ກັບ dn ທາງເລືອກ.
·ຖ້າຫາກວ່າ dn or containerdn ທາງເລືອກບໍ່ໄດ້ລະບຸໄວ້ໃນຂະນະທີ່ການເພີ່ມຕົ້ນຕໍ,
ຫຼັກ ແມ່ນ ສ້າງ ຂຶ້ນ ພາຍ ໃຕ້ ການ ບັນ ຈຸ ຕົ້ນ ຕໍ ທີ່ ກໍາ ນົດ ໄວ້ ໃນ
realm ຫຼື realm container.
· dn ແລະ containerdn ຄວນຢູ່ພາຍໃນຕົ້ນໄມ້ຍ່ອຍ ຫຼື ບັນຈຸຕົ້ນຕໍ
ຕັ້ງຄ່າຢູ່ໃນອານາຈັກ.
ຕົວຢ່າງ:
kadmin: addprinc jennifer
ຄໍາເຕືອນ: ບໍ່ມີນະໂຍບາຍທີ່ລະບຸໄວ້ສໍາລັບ "[email protected]";
ເລີ່ມຕົ້ນທີ່ຈະບໍ່ມີນະໂຍບາຍ.
ປ້ອນລະຫັດຜ່ານສຳລັບຕົ້ນທຶນ [email protected]:
ປ້ອນລະຫັດຜ່ານຄືນໃໝ່ສຳລັບຜູ້ບໍລິຫານ [email protected]:
ຫຼັກ "[email protected]"ສ້າງ.
ກະດມິນ:
modify_principal
modify_principal [ທາງເລືອກໃນການ] ອໍານວຍການ
ແກ້ໄຂຕົ້ນທຶນທີ່ລະບຸ, ປ່ຽນແປງຊ່ອງຂໍ້ມູນຕາມທີ່ລະບຸ. ທາງເລືອກໃນການ
add_principal ຍັງໃຊ້ກັບຄໍາສັ່ງນີ້, ຍົກເວັ້ນສໍາລັບ - Randkey, -pw, ແລະ -e ຕົວເລືອກ
ນອກຈາກນັ້ນ, ທາງເລືອກ - ນະໂຍບາຍທີ່ຈະແຈ້ງ ຈະລຶບລ້າງນະໂຍບາຍປັດຈຸບັນຂອງເງິນຕົ້ນ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ປັບປຸງແກ້ໄຂ ສິດທິພິເສດ.
Alias: modprinc
ທາງເລືອກ (ນອກຈາກນັ້ນ addprinc ທາງເລືອກ):
-ປົດລັອກ
ປົດລັອກຕົ້ນຕໍທີ່ຖືກລັອກ (ອັນໜຶ່ງທີ່ໄດ້ຮັບການກວດສອບທີ່ລົ້ມເຫລວຫຼາຍເກີນໄປ
ພະຍາຍາມໂດຍບໍ່ມີເວລາພຽງພໍລະຫວ່າງພວກເຂົາຕາມນະໂຍບາຍລະຫັດຜ່ານຂອງມັນ) ດັ່ງນັ້ນ
ມັນສາມາດຢືນຢັນໄດ້ຢ່າງສໍາເລັດຜົນ.
rename_principal
rename_principal [- ຜົນບັງຄັບໃຊ້] old_princip new_principal
ປ່ຽນຊື່ທີ່ລະບຸ old_princip to new_principal. ຄໍາສັ່ງນີ້ prompts ສໍາລັບ
ການຢືນຢັນ, ເວັ້ນເສຍແຕ່ວ່າ - ຜົນບັງຄັບໃຊ້ ທາງເລືອກແມ່ນໃຫ້.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ເພີ່ມ ແລະ ລຶບ ສິດທິພິເສດ.
Alias: renprinc
delete_principal
delete_principal [- ຜົນບັງຄັບໃຊ້] ອໍານວຍການ
ລຶບທີ່ລະບຸໄວ້ ອໍານວຍການ ຈາກຖານຂໍ້ມູນ. ຄໍາສັ່ງນີ້ກະຕຸ້ນໃຫ້ມີການລົບ,
ເວັ້ນເສຍແຕ່ວ່າ - ຜົນບັງຄັບໃຊ້ ທາງເລືອກແມ່ນໃຫ້.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ລຶບ ສິດທິພິເສດ.
Alias: delprinc
ປ່ຽນລະຫັດຜ່ານ
ປ່ຽນລະຫັດຜ່ານ [ທາງເລືອກໃນການ] ອໍານວຍການ
ປ່ຽນລະຫັດຜ່ານຂອງ ອໍານວຍການ. ເຕືອນສໍາລັບລະຫັດຜ່ານໃຫມ່ຖ້າຫາກວ່າທັງສອງ - Randkey or -pw
ຖືກກໍານົດ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ changepw ສິດທິພິເສດ, ຫຼືວ່າຕົ້ນຕໍທີ່ດໍາເນີນໂຄງການແມ່ນ
ດຽວກັນກັບການປ່ຽນແປງຕົ້ນຕໍ.
Alias: cpw
ຕົວເລືອກຕໍ່ໄປນີ້ສາມາດໃຊ້ໄດ້:
- Randkey
ກໍານົດລະຫັດຂອງເງິນຕົ້ນເປັນຄ່າສຸ່ມ.
-pw ລະຫັດຜ່ານ
ຕັ້ງລະຫັດຜ່ານໃສ່ສະຕຣິງທີ່ລະບຸ. ການນໍາໃຊ້ທາງເລືອກນີ້ໃນສະຄິບອາດຈະເປີດເຜີຍ
ລະຫັດຜ່ານໃຫ້ຜູ້ໃຊ້ອື່ນໆໃນລະບົບໂດຍຜ່ານບັນຊີລາຍການຂະບວນການ.
-e ສຸດ:ເກືອ...
ໃຊ້ລາຍການ keysalt ທີ່ລະບຸໄວ້ສໍາລັບການຕັ້ງກະແຈຂອງຫຼັກ. ເບິ່ງ
Keysalt_lists in kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງມູນຄ່າທີ່ເປັນໄປໄດ້.
- ຮັກສາ
ຮັກສາກະແຈທີ່ມີຢູ່ໃນຖານຂໍ້ມູນ. ທຸງນີ້ປົກກະຕິແລ້ວບໍ່ຈໍາເປັນຍົກເວັ້ນ
ບາງທີອາດມີສໍາລັບ krbtgt ອໍານວຍການ.
ຕົວຢ່າງ:
kadmin: cpw ລະບົບ
ປ້ອນລະຫັດຜ່ານສຳລັບຕົ້ນທຶນ [email protected]:
ປ້ອນລະຫັດຜ່ານຄືນໃໝ່ສຳລັບຜູ້ບໍລິຫານ [email protected]:
ລະຫັດຜ່ານ ສຳ ລັບ [email protected] ປ່ຽນແປງ.
ກະດມິນ:
Purgekeys
Purgekeys [-ທັງຫມົດ|-keepkvno ເກົ່າແກ່ທີ່ສຸດ_kvno_to_keep] ອໍານວຍການ
ການລຶບລ້າງກະແຈເກົ່າທີ່ເກັບໄວ້ໃນເມື່ອກ່ອນ (ຕົວຢ່າງ: ຈາກ ປ່ຽນລະຫັດຜ່ານ - ຮັກສາ) ຈາກ ອໍານວຍການ.
If -keepkvno ແມ່ນລະບຸໄວ້, ຫຼັງຈາກນັ້ນພຽງແຕ່ລຶບຄີທີ່ມີ kvnos ຕ່ໍາກວ່າ
ເກົ່າແກ່ທີ່ສຸດ_kvno_to_keepທີ່ຢູ່ ຖ້າຫາກວ່າ -ທັງຫມົດ ຖືກລະບຸໄວ້, ຫຼັງຈາກນັ້ນກະແຈທັງໝົດຈະຖືກລ້າງອອກ. ໄດ້ -ທັງຫມົດ ທາງເລືອກແມ່ນ
ໃໝ່ໃນລຸ້ນ 1.12.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ປັບປຸງແກ້ໄຂ ສິດທິພິເສດ.
get_principal
get_principal [-terse] ອໍານວຍການ
ໄດ້ຮັບຄຸນລັກສະນະຂອງຕົ້ນຕໍ. ກັບ -terse ທາງເລືອກ, outputs fields as quoted
ແຖບທີ່ແຍກອອກ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ສອບຖາມ ສິດທິພິເສດ, ຫຼືວ່າຜູ້ອໍານວຍການດໍາເນີນການໂຄງການ
ຄືກັນກັບສິ່ງທີ່ຖືກລະບຸໄວ້.
Alias: getprinc
ຕົວຢ່າງ:
kadmin: getprinc tlyu/admin
ຫຼັກ: tlyu/[email protected]
ວັນໝົດອາຍຸ: [ບໍ່ເຄີຍ]
ການປ່ຽນລະຫັດຜ່ານຄັ້ງສຸດທ້າຍ: Mon Aug 12 14:16:47 EDT 1996
ວັນໝົດອາຍຸລະຫັດຜ່ານ: [none]
ອາຍຸສູງສຸດຂອງປີ້: 0 ມື້ 10:00:00
ອາຍຸການຕໍ່ອາຍຸສູງສຸດ: 7 ມື້ 00:00:00
ແກ້ໄຂຫຼ້າສຸດ: ວັນຈັນ 12 ສິງຫາ 14:16:47 EDT 1996 (bjaspan/[email protected])
ການກວດສອບຄວາມສຳເລັດຫຼ້າສຸດ: [ບໍ່ເຄີຍ]
ການກວດສອບຄວາມລົ້ມເຫລວຫຼ້າສຸດ: [ບໍ່ເຄີຍ]
ພະຍາຍາມລະຫັດຜ່ານທີ່ລົ້ມເຫລວ: 0
ຈຳ ນວນກະແຈ: 2
ຄີ: vno 1, des-cbc-crc
ຄີ: vno 1, des-cbc-crc:v4
ຄຸນລັກສະນະ:
ນະໂຍບາຍ: [none]
kadmin: getprinc -terse systest
[email protected] 3 86400 604800 1
+785926535 753241234 785900000
tlyu/[email protected] +786100034 0 0
ກະດມິນ:
list_principals
list_principals [ການສະແດງອອກ]
ດຶງເອົາຊື່ຫຼັກທັງໝົດ ຫຼືບາງຊື່. ການສະແດງອອກ ແມ່ນການສະແດງອອກຂອງຮູບໂລກແບບຫອຍ
ສາມາດມີຕົວອັກສອນແທນນາມ ?, *, ແລະ []. ຊື່ຫຼັກທັງໝົດທີ່ກົງກັບ
ການສະແດງອອກແມ່ນພິມອອກ. ຖ້າບໍ່ມີການສະແດງອອກ, ຊື່ຕົ້ນຕໍທັງຫມົດຈະຖືກພິມອອກ.
ຖ້າການສະແດງອອກບໍ່ມີ an @ ລັກສະນະ, ເປັນ @ ລັກສະນະປະຕິບັດຕາມໂດຍທ້ອງຖິ່ນ
realm ແມ່ນຕໍ່ທ້າຍກັບສະແດງອອກ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ບັນຊີລາຍຊື່ ສິດທິພິເສດ.
Alias: listprincs, get_principals, get_princs
ຕົວຢ່າງ:
kadmin: ການທົດສອບ listprincs*
[email protected]
[email protected]
[email protected]
[email protected]
ກະດມິນ:
get_strings
get_strings ອໍານວຍການ
ສະແດງຄຸນສົມບັດສະຕຣິງເປີດ ອໍານວຍການ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ສອບຖາມ ສິດທິພິເສດ.
Alias: getstr
set_string
set_string ອໍານວຍການ ຊື່ ມູນຄ່າ
ຕັ້ງຄຸນສົມບັດສະຕຣິງເປີດ ອໍານວຍການ. ຄຸນລັກສະນະສະຕຣິງແມ່ນໃຊ້ເພື່ອສະໜອງຕໍ່ຕົ້ນທຶນ
ການຕັ້ງຄ່າ KDC ແລະບາງໂມດູນ plugin KDC. ຄຸນສົມບັດສະຕຣິງຕໍ່ໄປນີ້
ຊື່ໄດ້ຖືກຮັບຮູ້ໂດຍ KDC:
session_enctypes
ລະບຸປະເພດການເຂົ້າລະຫັດທີ່ຮອງຮັບສໍາລັບກະແຈເຊດຊັນ ເມື່ອມີຫຼັກ
ຮັບຮອງເປັນເຊີບເວີ. ເບິ່ງ Encryption_types in kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງ
ຄຸນຄ່າທີ່ຍອມຮັບ.
OTP ເປີດໃຊ້ການພິສູດຢືນຢັນລະຫັດຜ່ານຄັ້ງດຽວ (OTP) ສໍາລັບລູກຄ້າ ອໍານວຍການ. ໄດ້
ມູນຄ່າ ແມ່ນສະຕຣິງ JSON ທີ່ເປັນຕົວແທນຂອງອາເຣຂອງວັດຖຸ, ແຕ່ລະອັນມີທາງເລືອກ ປະເພດ
ແລະ ຊື່ຜູ້ໃຊ້ ທົ່ງນາ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ປັບປຸງແກ້ໄຂ ສິດທິພິເສດ.
Alias: setstr
ຕົວຢ່າງ:
set_string host/foo.mit.edu session_enctypes aes128-cts
set_string [email protected] otp [{"type":"hotp","username":"custom"}]
del_string
del_string ອໍານວຍການ ທີ່ສໍາຄັນ
ລຶບຄຸນສົມບັດສະຕຣິງອອກຈາກ ອໍານວຍການ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ລຶບ ສິດທິພິເສດ.
Alias: delstr
add_policy
add_policy [ທາງເລືອກໃນການ] ນະໂຍບາຍ
ເພີ່ມນະໂຍບາຍລະຫັດຜ່ານທີ່ມີຊື່ ນະໂຍບາຍ ກັບຖານຂໍ້ມູນ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ເພີ່ມ ສິດທິພິເສດ.
Alias: addpol
ຕົວເລືອກຕໍ່ໄປນີ້ສາມາດໃຊ້ໄດ້:
-maxlife ທີ່ໃຊ້ເວລາ
(ນັດພົບ string) ກໍານົດອາຍຸສູງສຸດຂອງລະຫັດຜ່ານ.
-minlife ທີ່ໃຊ້ເວລາ
(ນັດພົບ string) ກໍານົດອາຍຸຕໍາ່ສຸດທີ່ຂອງລະຫັດຜ່ານ.
- ຄວາມຍາວນາທີ ຄວາມຍາວ
ຕັ້ງຄວາມຍາວຕໍ່າສຸດຂອງລະຫັດຜ່ານ.
- ຫ້ອງຮຽນ ຈໍານວນ
ກໍານົດຈໍານວນຕໍາ່ສຸດຂອງຫ້ອງຮຽນຕົວອັກສອນທີ່ຕ້ອງການໃນລະຫັດຜ່ານ. ຫ້າ
ຫ້ອງຮຽນຕົວອັກສອນແມ່ນຕົວພິມນ້ອຍ, ຕົວພິມໃຫຍ່, ຕົວເລກ, ເຄື່ອງໝາຍວັກຕອນ, ແລະ
ຍະຫວ່າງ/ຕົວອັກສອນທີ່ບໍ່ສາມາດພິມໄດ້.
- ປະຫວັດສາດ ຈໍານວນ
ກໍານົດຈໍານວນກະແຈທີ່ຜ່ານມາທີ່ເກັບໄວ້ສໍາລັບເງິນຕົ້ນ. ບໍ່ຮອງຮັບຕົວເລືອກນີ້
ກັບໂມດູນຖານຂໍ້ມູນ LDAP KDC.
- ຄວາມລົ້ມເຫຼວສູງສຸດ ໝາຍເລກສູງສຸດ
ກໍານົດຈໍານວນຄວາມລົ້ມເຫລວໃນການກວດສອບຄວາມຖືກຕ້ອງກ່ອນທີ່ເງິນຫຼັກຈະຖືກລັອກ.
ຄວາມລົ້ມເຫຼວຂອງການກວດສອບແມ່ນຕິດຕາມພຽງແຕ່ສໍາລັບຜູ້ອໍານວຍການທີ່ຕ້ອງການ
ການກວດສອບຄວາມຖືກຕ້ອງ. ຕົວນັບຂອງຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຈະຣີເຊັດເປັນ 0 ຫຼັງຈາກສຳເລັດ
ພະຍາຍາມຢັ້ງຢືນ. ກ ໝາຍເລກສູງສຸດ ຄ່າຂອງ 0 (ຄ່າເລີ່ມຕົ້ນ) ປິດການລັອກ.
- ລົ້ມເຫຼວນັບໄລຍະ ເວລາລົ້ມເຫລວ
(ນັດພົບ string) ກໍານົດເວລາທີ່ອະນຸຍາດລະຫວ່າງການກວດສອບຄວາມລົ້ມເຫລວ. ຖ້າເປັນ
ຄວາມລົ້ມເຫຼວຂອງການພິສູດຢືນຢັນຈະເກີດຂຶ້ນຫຼັງຈາກ ເວລາລົ້ມເຫລວ ໄດ້ຜ່ານໄປຕັ້ງແຕ່ກ່ອນຫນ້ານີ້
ຄວາມລົ້ມເຫຼວ, ຈໍານວນຄວາມລົ້ມເຫຼວຂອງການກວດສອບຄວາມຖືກຕ້ອງຖືກປັບເປັນ 1. A ເວລາລົ້ມເຫລວ ມູນຄ່າ
ຂອງ 0 (ຄ່າເລີ່ມຕົ້ນ) ຫມາຍຄວາມວ່າຕະຫຼອດໄປ.
- ໄລຍະການປິດ ເວລາລັອກ
(ນັດພົບ string) ກໍານົດໄລຍະເວລາທີ່ເງິນຕົ້ນຖືກລັອກຈາກ
ການກວດສອບຄວາມຖືກຕ້ອງຖ້າຄວາມລົ້ມເຫລວໃນການພິສູດຢືນຢັນຫຼາຍເກີນໄປເກີດຂຶ້ນໂດຍບໍ່ມີການກໍານົດ
ຄວາມລົ້ມເຫຼວນັບໄລຍະຜ່ານໄປ. ໄລຍະເວລາຂອງ 0 (ຄ່າເລີ່ມຕົ້ນ) ຫມາຍເຖິງຕົ້ນທຶນ
ຍັງຄົງຖືກລັອກໄວ້ຈົນກ່ວາມັນຖືກປົດລັອກດ້ວຍການບໍລິຫານ modprinc -ປົດລັອກ.
- ເກືອທີ່ອະນຸຍາດ
ລະບຸກະແຈ/ເກືອທີ່ຮອງຮັບສຳລັບກະແຈໄລຍະຍາວເມື່ອຕັ້ງ ຫຼືປ່ຽນ
ລະຫັດຜ່ານ / ກະແຈຂອງຜູ້ອໍານວຍການ. ເບິ່ງ Keysalt_lists in kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງ
ຄ່າທີ່ຍອມຮັບ, ແຕ່ຄວນຈື່ໄວ້ວ່າກະແຈ / ເກືອຕ້ອງຖືກແຍກດ້ວຍເຄື່ອງໝາຍຈຸດ (',')
ເທົ່ານັ້ນ. ເພື່ອລ້າງນະໂຍບາຍກະແຈ/ເກືອທີ່ອະນຸຍາດ ໃຫ້ໃຊ້ຄ່າຂອງ '-'.
ຕົວຢ່າງ:
kadmin: add_policy -maxlife "2 ມື້" -minlength 5 ແຂກ
ກະດມິນ:
modify_policy
modify_policy [ທາງເລືອກໃນການ] ນະໂຍບາຍ
ແກ້ໄຂນະໂຍບາຍລະຫັດຜ່ານທີ່ມີຊື່ ນະໂຍບາຍ. ທາງເລືອກແມ່ນໄດ້ອະທິບາຍໄວ້ add_policy.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ປັບປຸງແກ້ໄຂ ສິດທິພິເສດ.
Alias: ໂມດູນ
ລຶບນະໂຍບາຍ
ລຶບນະໂຍບາຍ [- ຜົນບັງຄັບໃຊ້] ນະໂຍບາຍ
ລຶບນະໂຍບາຍລະຫັດຜ່ານທີ່ມີຊື່ ນະໂຍບາຍ. ເຕືອນສໍາລັບການຢືນຢັນກ່ອນທີ່ຈະລຶບ. ໄດ້
ຄໍາສັ່ງຈະລົ້ມເຫລວຖ້ານະໂຍບາຍຖືກໃຊ້ໂດຍຜູ້ອໍານວຍການໃດໆ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ລຶບ ສິດທິພິເສດ.
Alias: delpol
ຕົວຢ່າງ:
kadmin: del_policy ແຂກ
ທ່ານແນ່ໃຈບໍ່ວ່າຕ້ອງການລຶບນະໂຍບາຍ "ແຂກ"?
(ແມ່ນ/ບໍ່): ແມ່ນແລ້ວ
ກະດມິນ:
get_policy
get_policy [ -terse ] ນະໂຍບາຍ
ສະແດງຄ່າຂອງນະໂຍບາຍລະຫັດຜ່ານທີ່ມີຊື່ ນະໂຍບາຍ. ກັບ -terse ທຸງ, ຜົນໄດ້ຮັບ
ຊ່ອງຂໍ້ມູນເປັນສະຕຣິງອ້າງອີງທີ່ແຍກອອກໂດຍແຖບ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ສອບຖາມ ສິດທິພິເສດ.
ນາມແຝງ: getpol
ຕົວຢ່າງ:
kadmin: get_policy admin
ນະໂຍບາຍ: admin
ອາຍຸລະຫັດຜ່ານສູງສຸດ: 180 ວັນ 00:00:00
ອາຍຸລະຫັດຜ່ານຕໍາ່ສຸດທີ່: 00:00:00
ຄວາມຍາວລະຫັດຜ່ານຕໍາ່ສຸດທີ່: 6
ຈໍານວນຕໍາ່ສຸດຂອງຫ້ອງຮຽນຕົວອັກສອນລະຫັດຜ່ານ: 2
ຈໍານວນກະແຈເກົ່າທີ່ເກັບໄວ້: 5
ຈຳນວນອ້າງອີງ: 17
kadmin: get_policy -terse admin
admin 15552000 0 6 2 5 17
ກະດມິນ:
"ການນັບອ້າງອິງ" ແມ່ນຈໍານວນຫຼັກທີ່ໃຊ້ນະໂຍບາຍນັ້ນ. ກັບ LDAP KDC
ໂມດູນຖານຂໍ້ມູນ, ພາກສະຫນາມການນັບອ້າງອີງບໍ່ມີຄວາມຫມາຍ.
list_policies
list_policies [ການສະແດງອອກ]
ດຶງຂໍ້ມູນທັງໝົດ ຫຼືບາງຊື່ນະໂຍບາຍ. ການສະແດງອອກ ແມ່ນການສະແດງອອກເປັນຮູບໂລກແບບຫອຍທີ່ສາມາດເຮັດໄດ້
ປະກອບມີຕົວອັກສອນແທນນາມ ?, *, ແລະ []. ຊື່ນະໂຍບາຍທັງໝົດທີ່ກົງກັບສຳນວນ
ຖືກພິມອອກ. ຖ້າບໍ່ມີການສະແດງອອກ, ຊື່ນະໂຍບາຍທີ່ມີຢູ່ທັງຫມົດຈະຖືກພິມອອກ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ບັນຊີລາຍຊື່ ສິດທິພິເສດ.
ນາມແຝງ: ລາຍຊື່, get_policies, getpols.
ຕົວຢ່າງ:
kadmin: listpols
ການທົດສອບ-pol
dict-only
ຄັ້ງຕໍ່ນາທີ
test-pol-nopw
kadmin: listpols t*
ການທົດສອບ-pol
test-pol-nopw
ກະດມິນ:
ktadd
ktadd [ທາງເລືອກ] ອໍານວຍການ
ktadd [ທາງເລືອກ] - ໂລກ princ-exp
Adds a ອໍານວຍການ, ຫຼືການຈັບຄູ່ຕົ້ນຕໍທັງຫມົດ princ-exp, ໄປຫາໄຟລ໌ປຸ່ມກົດ. ແຕ່ລະ
ກຸນແຈຂອງຫຼັກແມ່ນຖືກຈັດເປັນແບບສຸ່ມໃນຂະບວນການ. ກົດລະບຽບສໍາລັບການ princ-exp ຖືກອະທິບາຍໄວ້ໃນ
ໄດ້ list_principals ຄໍາສັ່ງ.
ຄໍາສັ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີ ສອບຖາມ ແລະ changepw ສິດທິພິເສດ. ກັບ - ໂລກ ຮູບແບບ, ມັນຍັງ
ຮຽກຮ້ອງໃຫ້ມີ ບັນຊີລາຍຊື່ ສິດທິພິເສດ.
ທາງເລືອກແມ່ນ:
-k[eytab] ປຸ່ມກົດ
ການນໍາໃຊ້ ປຸ່ມກົດ ເປັນໄຟລ໌ແປ້ນພິມ. ຖ້າບໍ່ດັ່ງນັ້ນ, ແຖບແປ້ນພິມເລີ່ມຕົ້ນຖືກນໍາໃຊ້.
-e ສຸດ:ເກືອ...
ໃຊ້ລາຍການ keysalt ທີ່ລະບຸໄວ້ສໍາລັບການຕັ້ງກະແຈໃໝ່ຂອງຫຼັກ. ເບິ່ງ
Keysalt_lists in kdc.conf(5) ສໍາລັບບັນຊີລາຍຊື່ຂອງມູນຄ່າທີ່ເປັນໄປໄດ້.
-q ສະແດງຂໍ້ມູນ verbose ໜ້ອຍລົງ.
-norandkey
ຢ່າ randomize ກະແຈ. ກະແຈ ແລະໝາຍເລກລຸ້ນຂອງພວກມັນບໍ່ປ່ຽນແປງ. ນີ້
ທາງເລືອກແມ່ນມີຢູ່ໃນ kadmin.local ເທົ່ານັ້ນ, ແລະບໍ່ສາມາດລະບຸໄດ້ໃນການປະສົມປະສານ
ກັບ -e ທາງເລືອກ.
ການປ້ອນເຂົ້າສໍາລັບແຕ່ລະປະເພດການເຂົ້າລະຫັດທີ່ເປັນເອກະລັກຂອງຕົ້ນທຶນຈະຖືກເພີ່ມ, ໂດຍບໍ່ສົນໃຈຫຼາຍອັນ
ກະແຈທີ່ມີປະເພດການເຂົ້າລະຫັດດຽວກັນແຕ່ປະເພດເກືອທີ່ແຕກຕ່າງກັນ.
ຕົວຢ່າງ:
kadmin: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
ການເຂົ້າຮ່ວມສໍາລັບການເປັນເຈົ້າພາບຕົ້ນຕໍ /[email protected] ດ້ວຍ kvno 3,
ປະເພດການເຂົ້າລະຫັດ aes256-cts-hmac-sha1-96 ຖືກເພີ່ມໃສ່ປຸ່ມກົດ
ໄຟລ໌:/tmp/foo-new-keytab
ກະດມິນ:
ktremove
ktremove [ທາງເລືອກ] ອໍານວຍການ [kvno | ທັງຫມົດ | ອາຍຸ]
ເອົາລາຍການທີ່ລະບຸໄວ້ ອໍານວຍການ ຈາກປຸ່ມກົດ. ບໍ່ຈໍາເປັນຕ້ອງມີການອະນຸຍາດ, ນັບຕັ້ງແຕ່
ນີ້ບໍ່ຈໍາເປັນຕ້ອງມີການເຂົ້າເຖິງຖານຂໍ້ມູນ.
ຖ້າສະຕຣິງ "ທັງໝົດ" ຖືກລະບຸ, ທຸກລາຍການສຳລັບຫຼັກນັ້ນຈະຖືກລຶບອອກ; ຖ້າຫາກວ່າ
ສະຕຣິງ "ເກົ່າ" ແມ່ນລະບຸໄວ້, ຂໍ້ມູນທັງໝົດສຳລັບຫຼັກນັ້ນ ຍົກເວັ້ນຄ່າທີ່ສູງສຸດ
kvno ຖືກໂຍກຍ້າຍ. ຖ້າບໍ່ດັ່ງນັ້ນ, ຄ່າທີ່ລະບຸຈະຖືກວິເຄາະເປັນຈຳນວນເຕັມ, ແລະທຸກລາຍການ
ທີ່ kvno ກົງກັບຈຳນວນເຕັມນັ້ນຖືກເອົາອອກ.
ທາງເລືອກແມ່ນ:
-k[eytab] ປຸ່ມກົດ
ການນໍາໃຊ້ ປຸ່ມກົດ ເປັນໄຟລ໌ແປ້ນພິມ. ຖ້າບໍ່ດັ່ງນັ້ນ, ແຖບແປ້ນພິມເລີ່ມຕົ້ນຖືກນໍາໃຊ້.
-q ສະແດງຂໍ້ມູນ verbose ໜ້ອຍລົງ.
ຕົວຢ່າງ:
kadmin: ktremove kadmin/admin ທັງໝົດ
ຂໍ້ມູນສໍາລັບ kadmin/admin ຫຼັກທີ່ມີ kvno 3 ຖືກເອົາອອກຈາກຄີບອດ
ໄຟລ໌:/etc/krb5.keytab
ກະດມິນ:
ລັອກ
ລັອກຖານຂໍ້ມູນສະເພາະ. ໃຊ້ດ້ວຍຄວາມລະມັດລະວັງທີ່ສຸດ! ຄໍາສັ່ງນີ້ພຽງແຕ່ເຮັດວຽກກັບ
ໂມດູນຖານຂໍ້ມູນ DB2 KDC.
ປົດລັອກ
ປ່ອຍຕົວລັອກຖານຂໍ້ມູນສະເພາະ.
list_requests
ລາຍຊື່ທີ່ມີຢູ່ສໍາລັບການຮ້ອງຂໍ kadmin.
ນາມແຝງ: lr, ?
ເຊົາ
ອອກຈາກໂຄງການ. ຖ້າຖານຂໍ້ມູນຖືກລັອກ, ລັອກຈະຖືກປ່ອຍອອກມາ.
ນາມແຝງ: ການທ່ອງທ່ຽວ, q
ປະຫວັດຄວາມເປັນ
ໂຄງການ kadmin ໄດ້ຖືກຂຽນໄວ້ໃນເບື້ອງຕົ້ນໂດຍ Tom Yu ຢູ່ MIT, ເປັນການໂຕ້ຕອບກັບ
ໂຄງການບໍລິຫານ OpenVision Kerberos.
ໃຊ້ kadmin ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
