Ini ialah arahan ipa-getkeytab yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
ipa-getkeytab - Dapatkan tab kekunci untuk pengetua Kerberos
SINOPSIS
ipa-getkeytab -p nama utama -k fail tab kekunci [ -e jenis penyulitan ] [ -s ipaserver ] [
-q ] [ -D|--binddn BINDDN ] [ -w|--bindpw ] [ -P|--kata laluan KATA LALUAN ] [ -r ]
DESCRIPTION
Mendapatkan Kerberos tab kekunci.
Tab kekunci Kerberos digunakan untuk perkhidmatan (seperti sshd) untuk melaksanakan pengesahan Kerberos. A
tab kekunci ialah fail dengan satu atau lebih rahsia (atau kunci) untuk pengetua Kerberos.
Prinsipal perkhidmatan Kerberos ialah identiti Kerberos yang boleh digunakan untuk pengesahan.
Pengetua perkhidmatan mengandungi nama perkhidmatan, nama hos pelayan dan
nama alam. Sebagai contoh, berikut ialah contoh prinsipal untuk pelayan ldap:
ldap/[e-mel dilindungi]
Apabila menggunakan ipa-getkeytab nama alam sudah disediakan, jadi nama utama adalah adil
nama perkhidmatan dan nama hos (ldap/foo.example.com daripada contoh di atas).
AMARAN : mendapatkan semula tab kekunci menetapkan semula rahsia untuk prinsipal Kerberos. Ini menyebabkan
semua tab kekunci lain untuk prinsipal itu tidak sah.
Ini digunakan semasa pendaftaran pelanggan IPA untuk mendapatkan semula prinsipal perkhidmatan hos dan stor
ia dalam /etc/krb5.keytab. Adalah mungkin untuk mendapatkan semula tab kekunci tanpa kelayakan Kerberos
jika hos telah dibuat dengan kata laluan sekali sahaja. Tab kekunci boleh diambil semula oleh
mengikat sebagai hos dan mengesahkan dengan kata laluan sekali ini. The -D|--binddn and
-w|--bindpw pilihan digunakan untuk pengesahan ini.
PILIHAN
-p nama utama
Bahagian bukan alam nama utama penuh.
-k fail tab kekunci
Fail tab kekunci di mana untuk menambah kunci baharu (akan dibuat jika ia tidak wujud).
-e jenis penyulitan
Senarai jenis penyulitan untuk digunakan untuk menjana kunci. ipa-getkeytab akan menggunakan tempatan
lalai pelanggan jika tidak disediakan. Nilai yang sah bergantung pada pustaka Kerberos
versi dan konfigurasi. Nilai biasa ialah: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
Pelayan IPA untuk mendapatkan semula tab kekunci daripada (FQDN). Jika pilihan ini tidak disediakan
nama pelayan dibaca daripada fail konfigurasi IPA (/etc/ipa/default.conf)
-q Mod senyap. Hanya ralat dipaparkan.
--enctypes yang dibenarkan
Pilihan ini mengembalikan perihalan jenis penyulitan yang dibenarkan, seperti ini:
Jenis penyulitan yang disokong: Mod AES-256 CTS dengan 96-bit SHA-1 HMAC AES-128 CTS
mod dengan 96-bit SHA-1 HMAC Triple DES cbc mod dengan HMAC/sha1 ArcFour dengan
Mod cbc HMAC/md5 DES dengan mod cbc CRC-32 DES dengan mod cbc RSA-MD5 DES dengan
RSA-MD4
-P, --kata laluan
Gunakan kata laluan ini untuk kunci dan bukannya satu yang dijana secara rawak.
-D, --binddn
LDAP DN akan diikat seperti semasa mendapatkan tab kekunci tanpa bukti kelayakan Kerberos.
Biasanya digunakan dengan -w pilihan.
-w, --bindpw
Kata laluan LDAP untuk digunakan apabila tidak mengikat dengan Kerberos.
-r Mod dapatkan semula. Dapatkan kunci sedia ada daripada pelayan dan bukannya menjana yang baharu
satu. Ini tidak serasi dengan pilihan --password, dan hanya akan berfungsi dengan a
Pelayan FreeIPA lebih terkini daripada versi 3.3. Pengguna yang meminta tab kekunci mesti
mempunyai akses kepada kunci untuk operasi ini berjaya.
CONTOH
Tambah dan dapatkan semula tab kekunci untuk prinsipal perkhidmatan NFS pada hos foo.example.com dan
simpannya dalam fail /tmp/nfs.keytab dan dapatkan hanya kekunci des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Tambah dan dapatkan semula tab kekunci untuk prinsipal perkhidmatan ldap pada hos foo.example.com dan
simpan dalam fail /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Dapatkan semula tab kekunci menggunakan bukti kelayakan LDAP (ini biasanya akan dilakukan oleh ipa-sertai(1) apabila
mendaftarkan pelanggan menggunakan ipa-client-install(1) arahan:
# ipa-getkeytab -s ipaserver.example.com -p hos/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w password
EXIT STATUS
Status keluar ialah 0 apabila berjaya, bukan sifar apabila ralat.
0 Kejayaan
1 Pemulaan konteks Kerberos gagal
2 Penggunaan yang salah
3 Habis ingatan
4 Nama prinsipal perkhidmatan tidak sah
5 Tiada cache bukti kelayakan Kerberos
6 Tiada prinsipal Kerberos dan tiada ikatan DN dan kata laluan
7 Gagal membuka tab kekunci
8 Gagal mencipta bahan utama
9 Menetapkan tab kekunci gagal
10 Bind kata laluan diperlukan apabila menggunakan bind DN
11 Gagal menambah kekunci pada tab kekunci
12 Gagal menutup tab kekunci
Gunakan ipa-getkeytab dalam talian menggunakan perkhidmatan onworks.net
