Ini ialah arahan kadmin yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
kadmin - program pentadbiran pangkalan data Kerberos V5
SINOPSIS
kadmin [-O|-N] [-r alam] [-p utama] [-q pertanyaan] [[-c nama_cache]|[-k [-t tab kekunci]]|-n]
[-w kata laluan] [-s pelayan_pentadbir[:pelabuhan]]
kadmin.local [-r alam] [-p utama] [-q pertanyaan] [-d dbname] [-e enc:garam ...] [-m] [-x
db_args]
DESCRIPTION
kadmin dan kadmin.local ialah antara muka baris arahan kepada pentadbiran Kerberos V5
sistem. Mereka menyediakan fungsi yang hampir sama; bezanya ialah
kadmin.local mengakses terus pangkalan data KDC, manakala kadmin menjalankan operasi menggunakan
kadmind(8). Kecuali dinyatakan secara jelas sebaliknya, halaman manual ini akan menggunakan "kadmin" untuk
merujuk kepada kedua-dua versi. kadmin menyediakan untuk penyelenggaraan pengetua Kerberos,
dasar kata laluan, dan jadual kunci perkhidmatan (tab kekunci).
Pelanggan kadmin jauh menggunakan Kerberos untuk mengesahkan kepada kadmind menggunakan perkhidmatan tersebut
utama kadmin/ADMINHOST (di mana ADMINHOST ialah nama hos pentadbir yang layak sepenuhnya
pelayan) atau kadmin/admin. Jika cache bukti kelayakan mengandungi tiket untuk salah satu daripada ini
pengetua, dan -c pilihan credentials_cache ditentukan, tiket itu digunakan untuk
sahkan kepada kadmind. Jika tidak, yang -p and -k pilihan digunakan untuk menentukan klien
Nama utama Kerberos digunakan untuk mengesahkan. Setelah kadmin telah menentukan pengetua
nama, ia meminta tiket perkhidmatan daripada KDC, dan menggunakan tiket perkhidmatan itu untuk
sahkan kepada kadmind.
Memandangkan kadmin.local mengakses terus pangkalan data KDC, ia biasanya mesti dijalankan secara terus
KDC induk dengan kebenaran yang mencukupi untuk membaca pangkalan data KDC. Jika pangkalan data KDC
menggunakan modul pangkalan data LDAP, kadmin.local boleh dijalankan pada mana-mana hos yang boleh mengakses
pelayan LDAP.
PILIHAN
-r alam
Penggunaan alam sebagai alam pangkalan data lalai.
-p utama
Penggunaan utama untuk mengesahkan. Jika tidak, kadmin akan tambah / admin ke sekolah rendah
nama utama ccache lalai, nilai bagi PENGGUNA pembolehubah persekitaran,
atau nama pengguna seperti yang diperoleh dengan getpwuid, mengikut keutamaan.
-k Gunakan tab kekunci untuk menyahsulit respons KDC dan bukannya meminta kata laluan. Dalam
kes ini, prinsipal lalai ialah hos/nama hos. Jika tiada tab kekunci
dinyatakan dengan -t pilihan, maka tab kekunci lalai akan digunakan.
-t tab kekunci
Penggunaan tab kekunci untuk menyahsulit tindak balas KDC. Ini hanya boleh digunakan dengan -k pilihan.
-n Meminta pemprosesan tanpa nama. Dua jenis pengetua tanpa nama disokong.
Untuk Kerberos tanpa nama sepenuhnya, konfigurasikan PKINIT pada KDC dan konfigurasikan
pkinit_anchors dalam klien krb5.conf(5). Kemudian gunakan -n pilihan dengan a
prinsipal borang tersebut @REALM (nama utama kosong diikuti dengan tanda-at dan a
nama alam). Jika dibenarkan oleh KDC, tiket tanpa nama akan dikembalikan. A
bentuk kedua tiket tanpa nama disokong; tiket yang terdedah kepada alam ini menyembunyikan
identiti klien tetapi bukan alam klien. Untuk mod ini, gunakan penemuan -n
dengan nama pengetua biasa. Jika disokong oleh KDC, pengetua (tetapi tidak
alam) akan digantikan dengan prinsipal tanpa nama. Sehingga keluaran 1.8, MIT
Kerberos KDC hanya menyokong operasi tanpa nama sepenuhnya.
-c credentials_cache
Penggunaan credentials_cache sebagai cache kelayakan. Cache harus mengandungi perkhidmatan
tiket untuk kadmin/ADMINHOST (di mana ADMINHOST ialah nama hos yang layak sepenuhnya bagi
pelayan pentadbir) atau kadmin/admin perkhidmatan; ia boleh diperolehi dengan penemuan(1)
program. Jika pilihan ini tidak dinyatakan, kadmin meminta tiket perkhidmatan baharu
daripada KDC, dan menyimpannya dalam ccache sementaranya sendiri.
-w kata laluan
Penggunaan kata laluan bukannya menggesa untuk satu. Gunakan pilihan ini dengan berhati-hati, mungkin
dedahkan kata laluan kepada pengguna lain pada sistem melalui senarai proses.
-q pertanyaan
Lakukan pertanyaan yang ditentukan dan kemudian keluar. Ini boleh berguna untuk menulis skrip.
-d dbname
Menentukan nama pangkalan data KDC. Pilihan ini tidak digunakan pada LDAP
modul pangkalan data.
-s pelayan_pentadbir[:pelabuhan]
Menentukan pelayan pentadbir yang harus dihubungi oleh kadmin.
-m Jika menggunakan kadmin.local, minta kata laluan induk pangkalan data dan bukannya membaca
ia daripada fail simpanan.
-e enc:garam ...
Menetapkan senarai garam kekunci untuk digunakan untuk sebarang kekunci baharu yang dibuat. Lihat Keysalt_lists in
kdc.conf(5) untuk senarai nilai yang mungkin.
-O Paksa menggunakan rasa pengesahan AUTH_GSSAPI lama.
-N Elakkan sandaran kepada rasa pengesahan AUTH_GSSAPI.
-x db_args
Menentukan argumen khusus pangkalan data. Lihat bahagian seterusnya untuk disokong
pilihan.
PANGKALAN DATA PILIHAN
Pilihan pangkalan data boleh digunakan untuk mengatasi lalai khusus pangkalan data. Pilihan yang disokong
untuk modul DB2 ialah:
-x dbname=*nama fail*
Menentukan nama fail asas pangkalan data DB2.
-x loket
Jadikan operasi lelaran memegang kunci untuk tempoh keseluruhan
operasi, bukannya melepaskan kunci buat sementara waktu semasa mengendalikan setiap satu
pengetua. Ini ialah tingkah laku lalai, tetapi pilihan ini wujud untuk membenarkan
penggantian baris arahan tetapan [dbmodules]. Pertama kali diperkenalkan dalam keluaran
1.13.
-x pembuka kunci
Buat operasi lelaran membuka kunci pangkalan data untuk setiap prinsipal, bukannya
memegang kunci untuk tempoh keseluruhan operasi. Pertama kali diperkenalkan pada
keluaran 1.13.
Pilihan yang disokong untuk modul LDAP ialah:
-x tuan rumah=ldapuri
Menentukan pelayan LDAP untuk disambungkan oleh URI LDAP.
-x binddn=mengikat_dn
Menentukan DN yang digunakan untuk mengikat ke pelayan LDAP.
-x bindpwd=kata laluan
Menentukan kata laluan atau rahsia SASL yang digunakan untuk mengikat ke pelayan LDAP. menggunakan
pilihan ini mungkin mendedahkan kata laluan kepada pengguna lain pada sistem melalui proses
senarai; untuk mengelakkan ini, sebaliknya simpan kata laluan menggunakan stashsrvpw arahan dari
kdb5_ldap_util(8).
-x sasl_mech=mekanisme
Menentukan mekanisme SASL yang digunakan untuk mengikat ke pelayan LDAP. DN pengikat ialah
diabaikan jika mekanisme SASL digunakan. Baharu dalam keluaran 1.13.
-x sasl_authcid=nama
Menentukan nama pengesahan yang digunakan semasa mengikat ke pelayan LDAP dengan a
Mekanisme SASL, jika mekanisme memerlukannya. Baharu dalam keluaran 1.13.
-x sasl_authzid=nama
Menentukan nama kebenaran yang digunakan semasa mengikat ke pelayan LDAP dengan a
mekanisme SASL. Baharu dalam keluaran 1.13.
-x sasl_realm=alam
Menentukan alam yang digunakan apabila mengikat ke pelayan LDAP dengan mekanisme SASL,
jika mekanisme menggunakan satu. Baharu dalam keluaran 1.13.
-x nyahpepijat=tahap
menetapkan tahap nyahpepijat perpustakaan klien OpenLDAP. tahap ialah integer untuk menjadi
ditafsirkan oleh perpustakaan. Mesej penyahpepijatan dicetak kepada ralat standard.
Baharu dalam keluaran 1.12.
PERINTAH
Apabila menggunakan klien jauh, arahan yang tersedia mungkin dihadkan mengikut
keistimewaan yang dinyatakan dalam kadm5.acl(5) fail pada pelayan pentadbir.
tambah_pengetua
tambah_pengetua [pilihan] newprinc
Mencipta pengetua newprinc, menggesa dua kali untuk kata laluan. Jika tiada dasar kata laluan adalah
dinyatakan dengan -dasar pilihan, dan dasar yang dinamakan lalai ditugaskan untuk
pengetua sekiranya wujud. Walau bagaimanapun, mencipta dasar bernama lalai tidak akan secara automatik
menyerahkan dasar ini kepada pengetua sedia ada sebelum ini. Tugasan dasar ini boleh
ditindas dengan -dasar yang jelas pilihan.
Perintah ini memerlukan menambah keistimewaan.
Aliases: addprinc, ANK
Pilihan:
-tamat tempoh tarikh luput
(bertarikh rentetan) Tarikh luput prinsipal.
-pwexpire pwexpdate
(bertarikh rentetan) Tarikh tamat tempoh kata laluan.
-maxlife maxlife
(bertarikh rentetan) Jangka hayat tiket maksimum untuk pengetua.
-maxrenewlife maxrenewlife
(bertarikh rentetan) Jangka hayat maksimum tiket yang boleh diperbaharui untuk prinsipal.
-kvno kvno
Nombor versi kunci awal.
-dasar dasar
Dasar kata laluan yang digunakan oleh pengetua ini. Jika tidak dinyatakan, polisi lalai
digunakan jika wujud (kecuali -dasar yang jelas dinyatakan).
-dasar yang jelas
Menghalang sebarang polisi daripada diberikan apabila -dasar tidak dinyatakan.
{-|+}allow_postdated
-benarkan_postdated melarang prinsipal ini daripada mendapatkan tiket yang tersurat.
+allow_postdated membersihkan bendera ini.
{-|+}allow_forwardable
-allow_forwardable melarang prinsipal ini daripada mendapatkan tiket boleh hantar.
+allow_forwardable membersihkan bendera ini.
{-|+}allow_renewable
-membenarkan_boleh diperbaharui melarang prinsipal ini daripada mendapatkan tiket yang boleh diperbaharui.
+benarkan_boleh diperbaharui membersihkan bendera ini.
{-|+}benarkan_proksi
-benarkan_proksibel melarang prinsipal ini daripada mendapatkan tiket proksi.
+benarkan_proksi membersihkan bendera ini.
{-|+}allow_dup_skey
-allow_dup_skey melumpuhkan pengesahan pengguna kepada pengguna untuk prinsipal ini dengan
melarang pengetua ini mendapatkan kunci sesi untuk pengguna lain.
+allow_dup_skey membersihkan bendera ini.
{-|+}memerlukan_praauth
+memerlukan_praauth menghendaki pengetua ini membuat pra-authenticate sebelum dibenarkan
kepada kinit. -memerlukan_praauth membersihkan bendera ini. Bila +memerlukan_praauth ditetapkan pada a
prinsipal perkhidmatan, KDC hanya akan mengeluarkan tiket perkhidmatan untuk perkhidmatan tersebut
prinsipal jika pengesahan awal pelanggan dilakukan menggunakan
prapengesahan.
{-|+}memerlukan_hwauth
+memerlukan_hwauth memerlukan pengetua ini untuk membuat pra-pengesahan menggunakan peranti perkakasan
sebelum dibenarkan kinit. -memerlukan_hwauth membersihkan bendera ini. Bila
+memerlukan_hwauth ditetapkan pada prinsipal perkhidmatan, KDC hanya akan mengeluarkan perkhidmatan
tiket untuk prinsipal perkhidmatan itu jika pengesahan awal pelanggan adalah
dilakukan menggunakan peranti perkakasan untuk pratuah.
{-|+}ok_as_delegate
+ok_as_delegate menetapkan baik as mewakilkan bendera pada tiket yang dikeluarkan dengan ini
pengetua sebagai perkhidmatan. Pelanggan boleh menggunakan bendera ini sebagai petunjuk bahawa kelayakan
hendaklah diwakilkan semasa mengesahkan perkhidmatan. -ok_as_delegate membersihkan
bendera ini.
{-|+}allow_svr
-allow_svr melarang pengeluaran tiket perkhidmatan untuk prinsipal ini.
+allow_svr membersihkan bendera ini.
{-|+}allow_tgs_req
-allow_tgs_req menyatakan bahawa Perkhidmatan Pemberian Tiket (TGS) meminta perkhidmatan
tiket untuk prinsipal ini tidak dibenarkan. +allow_tgs_req membersihkan bendera ini.
{-|+}allow_tix
-allow_tix melarang pengeluaran sebarang tiket untuk prinsipal ini. +allow_tix
membersihkan bendera ini.
{-|+}perlukan perubahan
+perlu perubahan memaksa penukaran kata laluan pada pengesahan awal seterusnya untuk ini
utama. -perlu tukar membersihkan bendera ini.
{-|+}perkhidmatan_tukar_kata laluan
+perkhidmatan_tukar_kata laluan menandakan prinsipal ini sebagai perkhidmatan menukar kata laluan
utama.
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate membenarkan prinsipal ini memperoleh tiket boleh hantar ke
sendiri daripada pengguna sewenang-wenangnya, untuk digunakan dengan delegasi terhad.
{-|+}tiada_auth_data_required
+no_auth_data_required menghalang data PAC atau AD-SIGNEDPATH daripada ditambahkan ke
tiket perkhidmatan untuk pengetua.
-randkey
Menetapkan kunci prinsipal kepada nilai rawak.
-nokey Menyebabkan prinsipal dibuat tanpa kunci. Baharu dalam keluaran 1.12.
-pw kata laluan
Menetapkan kata laluan pengetua kepada rentetan yang ditentukan dan tidak menggesa untuk
kata laluan. Nota: menggunakan pilihan ini dalam skrip shell boleh mendedahkan kata laluan kepada
pengguna lain pada sistem melalui senarai proses.
-e enc:garam, ...
Menggunakan senarai garam kekunci yang ditentukan untuk menetapkan kekunci pengetua. Lihat
Keysalt_lists in kdc.conf(5) untuk senarai nilai yang mungkin.
-x db_princ_args
Menunjukkan pilihan khusus pangkalan data. Pilihan untuk modul pangkalan data LDAP ialah:
-x dn=dn
Menentukan objek LDAP yang akan mengandungi makhluk utama Kerberos
dicipta.
-x linkdn=dn
Menentukan objek LDAP yang mana prinsipal Kerberos yang baru dibuat
objek akan menunjuk.
-x containerdn=bekas_dn
Menentukan objek kontena di mana prinsipal Kerberos berada
dicipta.
-x tktpolicy=dasar
Mengaitkan polisi tiket kepada prinsipal Kerberos.
PERHATIAN:
· The bekasdn and linkdn pilihan tidak boleh ditentukan dengan dn pilihan.
· Sekiranya dn or bekasdn pilihan tidak dinyatakan semasa menambah prinsipal,
prinsipal dicipta di bawah bekas utama yang dikonfigurasikan dalam
alam atau wadah alam.
· dn and bekasdn hendaklah berada dalam subpokok atau bekas utama
dikonfigurasikan dalam alam.
Contoh:
kadmin: addprinc jennifer
AMARAN: tiada dasar dinyatakan untuk "[e-mel dilindungi]";
lalai kepada tiada dasar.
Masukkan kata laluan untuk pengetua [e-mel dilindungi]:
Masukkan semula kata laluan untuk pengetua [e-mel dilindungi]:
Pengetua"[e-mel dilindungi]"dicipta.
kadmin:
ubah suai_pengetua
ubah suai_pengetua [pilihan] utama
Mengubah suai prinsipal yang ditentukan, menukar medan seperti yang ditentukan. Pilihan untuk
tambah_pengetua juga terpakai pada perintah ini, kecuali untuk -randkey, -pw, dan -e pilihan.
Di samping itu, pilihan -dasar yang jelas akan membersihkan dasar semasa prinsipal.
Perintah ini memerlukan mengubah suai keistimewaan.
Alias: modprinc
Pilihan (sebagai tambahan kepada addprinc pilihan):
-buka kunci
Membuka kunci prinsipal yang dikunci (yang telah menerima terlalu banyak pengesahan gagal
percubaan tanpa masa yang cukup di antara mereka mengikut dasar kata laluannya) supaya
ia boleh berjaya mengesahkan.
tukar nama_pengetua
tukar nama_pengetua [-paksa] pengetua_lama pengetua_baru
Menamakan semula yang ditentukan pengetua_lama kepada pengetua_baru. Perintah ini menggesa untuk
pengesahan, melainkan jika -paksa pilihan diberi.
Perintah ini memerlukan menambah and memadam keistimewaan.
Alias: renprinc
delete_principal
delete_principal [-paksa] utama
Memadam yang ditentukan utama daripada pangkalan data. Perintah ini menggesa untuk pemadaman,
melainkan -paksa pilihan diberi.
Perintah ini memerlukan memadam keistimewaan.
Alias: delprinc
tukar kata laluan
tukar kata laluan [pilihan] utama
Menukar kata laluan bagi utama. Gesa untuk kata laluan baharu jika tidak -randkey or -pw
dinyatakan.
Perintah ini memerlukan tukarpw keistimewaan, atau pengetua yang menjalankan program itu
sama seperti pengetua ditukar.
Alias: cpw
Pilihan berikut ada:
-randkey
Menetapkan kunci prinsipal kepada nilai rawak.
-pw kata laluan
Tetapkan kata laluan kepada rentetan yang ditentukan. Menggunakan pilihan ini dalam skrip boleh mendedahkan
kata laluan kepada pengguna lain pada sistem melalui senarai proses.
-e enc:garam, ...
Menggunakan senarai garam kekunci yang ditentukan untuk menetapkan kekunci pengetua. Lihat
Keysalt_lists in kdc.conf(5) untuk senarai nilai yang mungkin.
-keepold
Menyimpan kunci sedia ada dalam pangkalan data. Bendera ini biasanya tidak diperlukan kecuali
mungkin untuk krbtgt pengetua.
Contoh:
kadmin: cpw systest
Masukkan kata laluan untuk pengetua [e-mel dilindungi]:
Masukkan semula kata laluan untuk pengetua [e-mel dilindungi]:
Kata laluan untuk [e-mel dilindungi] berubah.
kadmin:
purgekeys
purgekeys [-semua|-keepkvno tertua_kvno_untuk_simpan] utama
Pembersihan kunci lama yang disimpan sebelum ini (cth, daripada tukar kata laluan -keepold) dari utama.
If -keepkvno ditentukan, kemudian hanya membersihkan kunci dengan kvnos lebih rendah daripada
tertua_kvno_untuk_simpan. Jika -semua ditentukan, maka semua kunci dibersihkan. The -semua pilihan adalah
baharu dalam keluaran 1.12.
Perintah ini memerlukan mengubah suai keistimewaan.
dapatkan_pengetua
dapatkan_pengetua [-terse] utama
Mendapat sifat pengetua. Dengan -terse pilihan, mengeluarkan medan seperti yang dipetik
rentetan yang dipisahkan tab.
Perintah ini memerlukan bertanya keistimewaan, atau pengetua yang menjalankan program
menjadi sama dengan yang disenaraikan.
Alias: getprinc
Contoh:
kadmin: getprinc tlyu/admin
Pengetua: tlyu/[e-mel dilindungi]
Tarikh tamat tempoh: [tidak pernah]
Perubahan kata laluan terakhir: Isn Ogos 12 14:16:47 EDT 1996
Tarikh tamat tempoh kata laluan: [tiada]
Hayat maksimum tiket: 0 hari 10:00:00
Hayat maksimum yang boleh diperbaharui: 7 hari 00:00:00
Terakhir diubah suai: Isn Ogos 12 14:16:47 EDT 1996 (bjaspan/[e-mel dilindungi])
Pengesahan terakhir yang berjaya: [tidak pernah]
Pengesahan gagal terakhir: [tidak pernah]
Percubaan kata laluan yang gagal: 0
Bilangan kunci: 2
Kunci: vno 1, des-cbc-crc
Kunci: vno 1, des-cbc-crc:v4
Sifat:
Dasar: [tiada]
kadmin: getprinc -terse systest
[e-mel dilindungi] 3 86400 604800 1
785926535 753241234 785900000
tlyu/[e-mel dilindungi] 786100034 0 0
kadmin:
senarai_pengetua
senarai_pengetua [ungkapan]
Mengambil semua atau beberapa nama utama. ungkapan ialah ungkapan glob gaya shell yang
boleh mengandungi aksara kad liar ?, *, dan []. Semua nama utama sepadan dengan
ungkapan dicetak. Jika tiada ungkapan disediakan, semua nama utama akan dicetak.
Jika ungkapan itu tidak mengandungi an @ watak, an @ watak yang diikuti oleh tempatan
alam dilampirkan pada ungkapan.
Perintah ini memerlukan senarai keistimewaan.
Alias: listprincs, dapatkan_pengetua, get_princs
Contoh:
kadmin: ujian listprincs*
[e-mel dilindungi]
[e-mel dilindungi]
[e-mel dilindungi]
[e-mel dilindungi]
kadmin:
get_strings
get_strings utama
Memaparkan atribut rentetan pada utama.
Perintah ini memerlukan bertanya keistimewaan.
Alias: getstr
set_string
set_string utama nama nilai
Menghidupkan atribut rentetan utama. Atribut rentetan digunakan untuk membekalkan setiap prinsipal
konfigurasi kepada KDC dan beberapa modul pemalam KDC. Atribut rentetan berikut
nama diiktiraf oleh KDC:
session_enctypes
Menentukan jenis penyulitan yang disokong untuk kunci sesi apabila pengetuanya
disahkan sebagai pelayan. Lihat Encryption_types in kdc.conf(5) untuk senarai
nilai yang diterima.
otp Mendayakan prapengesahan One Time Passwords (OTP) untuk pelanggan utama. Yang
nilai ialah rentetan JSON yang mewakili tatasusunan objek, masing-masing mempunyai pilihan jenis
and nama pengguna bidang.
Perintah ini memerlukan mengubah suai keistimewaan.
Alias: setstr
Contoh:
set_string hos/foo.mit.edu session_enctypes aes128-cts
set_string [e-mel dilindungi] otp [{"type":"hotp","username":"custom"}]
del_string
del_string utama utama
Memadamkan atribut rentetan daripada utama.
Perintah ini memerlukan memadam keistimewaan.
Alias: delstr
add_policy
add_policy [pilihan] dasar
Menambah dasar kata laluan bernama dasar kepada pangkalan data.
Perintah ini memerlukan menambah keistimewaan.
Alias: addpol
Pilihan berikut ada:
-maxlife masa
(bertarikh rentetan) Menetapkan jangka hayat maksimum kata laluan.
-minlife masa
(bertarikh rentetan) Menetapkan jangka hayat minimum kata laluan.
-panjang min panjang
Menetapkan panjang minimum kata laluan.
-minclasses nombor
Menetapkan bilangan minimum kelas aksara yang diperlukan dalam kata laluan. yang lima
kelas aksara ialah huruf kecil, huruf besar, nombor, tanda baca dan
ruang putih/aksara tidak boleh dicetak.
-sejarah nombor
Menetapkan bilangan kunci lepas yang disimpan untuk pengetua. Pilihan ini tidak disokong
dengan modul pangkalan data LDAP KDC.
-maxfailure nombor max
Menetapkan bilangan kegagalan pengesahan sebelum prinsipal dikunci.
Kegagalan pengesahan hanya dijejaki untuk pengetua yang memerlukan
prapengesahan. Kaunter percubaan yang gagal ditetapkan semula kepada 0 selepas berjaya
cuba untuk mengesahkan. A nombor max nilai 0 (lalai) melumpuhkan kunci keluar.
-selang kiraan gagal masa kegagalan
(bertarikh rentetan) Menetapkan masa yang dibenarkan antara kegagalan pengesahan. Jika an
kegagalan pengesahan berlaku selepas masa kegagalan telah berlalu sejak sebelumnya
kegagalan, bilangan kegagalan pengesahan ditetapkan semula kepada 1. A masa kegagalan nilai
daripada 0 (lalai) bermakna selama-lamanya.
-lockoutdurasi masa lockout
(bertarikh rentetan) Menetapkan tempoh di mana pengetua dikunci
mengesahkan jika terlalu banyak kegagalan pengesahan berlaku tanpa yang ditentukan
selang kiraan kegagalan berlalu. Tempoh 0 (lalai) bermaksud prinsipal
kekal terkunci sehingga ia dibuka kuncinya secara pentadbiran modprinc -buka kunci.
-garam kekunci yang dibenarkan
Menentukan tuple kunci/garam yang disokong untuk kunci jangka panjang apabila menetapkan atau menukar
kata laluan/kunci pengetua. Lihat Keysalt_lists in kdc.conf(5) untuk senarai
nilai yang diterima, tetapi ambil perhatian bahawa tuple kunci/garam mesti dipisahkan dengan koma (',')
sahaja. Untuk mengosongkan kunci/dasar garam yang dibenarkan gunakan nilai '-'.
Contoh:
kadmin: add_policy -maxlife "2 hari" -minlength 5 tetamu
kadmin:
modify_policy
modify_policy [pilihan] dasar
Mengubah suai dasar kata laluan yang dinamakan dasar. Pilihan adalah seperti yang diterangkan untuk add_policy.
Perintah ini memerlukan mengubah suai keistimewaan.
Alias: modpol
delete_policy
delete_policy [-paksa] dasar
Memadam dasar kata laluan yang dinamakan dasar. Gesaan untuk pengesahan sebelum pemadaman. The
arahan akan gagal jika polisi itu digunakan oleh mana-mana prinsipal.
Perintah ini memerlukan memadam keistimewaan.
Alias: delpol
Contoh:
kadmin: tetamu del_policy
Adakah anda pasti mahu memadamkan dasar "tetamu"?
(ya/tidak): ya
kadmin:
dapatkan_dasar
dapatkan_dasar [ -terse ] dasar
Memaparkan nilai dasar kata laluan yang dinamakan dasar. Dengan -terse bendera, output
medan sebagai rentetan yang dipetik dipisahkan oleh tab.
Perintah ini memerlukan bertanya keistimewaan.
Alias: getpol
Contoh:
kadmin: admin get_policy
Dasar: pentadbir
Hayat kata laluan maksimum: 180 hari 00:00:00
Hayat kata laluan minimum: 00:00:00
Panjang kata laluan minimum: 6
Bilangan minimum kelas aksara kata laluan: 2
Bilangan kunci lama yang disimpan: 5
Bilangan rujukan: 17
kadmin: get_policy -terse admin
admin 15552000 0 6 2 5 17
kadmin:
"Kiraan rujukan" ialah bilangan prinsipal yang menggunakan dasar tersebut. Dengan LDAP KDC
modul pangkalan data, medan kiraan rujukan tidak bermakna.
senarai_dasar
senarai_dasar [ungkapan]
Mendapatkan semula semua atau beberapa nama dasar. ungkapan ialah ungkapan glob gaya shell yang boleh
mengandungi aksara kad liar ?, *, dan []. Semua nama dasar sepadan dengan ungkapan
dicetak. Jika tiada ungkapan disediakan, semua nama dasar sedia ada akan dicetak.
Perintah ini memerlukan senarai keistimewaan.
Aliases: listpols, get_policies, getpols.
Contoh:
kadmin: listpols
ujian-pol
dict sahaja
sekali-a-min
ujian-pol-nopw
kadmin: listpols t*
ujian-pol
ujian-pol-nopw
kadmin:
ktadd
ktadd [pilihan] utama
ktadd [pilihan] -glob princ-exp
Tambah a utama, atau semua pengetua sepadan princ-exp, ke fail tab kekunci. setiap satu
kunci pengetua adalah rawak dalam proses. Peraturan untuk princ-exp dijelaskan dalam
yang senarai_pengetua perintah.
Perintah ini memerlukan bertanya and tukarpw keistimewaan. Dengan -glob bentuk, ia juga
memerlukan senarai keistimewaan.
Pilihannya adalah:
-k[eytab] tab kekunci
Penggunaan tab kekunci sebagai fail tab kekunci. Jika tidak, tab kekunci lalai digunakan.
-e enc:garam, ...
Menggunakan senarai garam kekunci yang ditentukan untuk menetapkan kekunci baharu pengetua. Lihat
Keysalt_lists in kdc.conf(5) untuk senarai nilai yang mungkin.
-q Paparkan maklumat yang kurang terperinci.
-norandkey
Jangan rawak kunci. Kekunci dan nombor versinya kekal tidak berubah. ini
pilihan hanya tersedia dalam kadmin.local, dan tidak boleh dinyatakan dalam kombinasi
dengan -e pilihan.
Entri untuk setiap jenis penyulitan unik pengetua ditambah, mengabaikan berbilang
kunci dengan jenis penyulitan yang sama tetapi jenis garam yang berbeza.
Contoh:
kadmin: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
Kemasukan untuk tuan rumah utama/[e-mel dilindungi] dengan kvno 3,
jenis penyulitan aes256-cts-hmac-sha1-96 ditambahkan pada tab kekunci
FAIL:/tmp/foo-new-keytab
kadmin:
ktremove
ktremove [pilihan] utama [kvno | semua | lama]
Mengalih keluar masukan untuk yang ditentukan utama daripada tab kekunci. Tidak memerlukan kebenaran, kerana
ini tidak memerlukan akses pangkalan data.
Jika rentetan "semua" ditentukan, semua entri untuk prinsipal itu dialih keluar; jika
rentetan "lama" ditentukan, semua entri untuk prinsipal itu kecuali yang paling tinggi
kvno dikeluarkan. Jika tidak, nilai yang ditentukan dihuraikan sebagai integer dan semua entri
yang kvno sepadan dengan integer itu dialih keluar.
Pilihannya adalah:
-k[eytab] tab kekunci
Penggunaan tab kekunci sebagai fail tab kekunci. Jika tidak, tab kekunci lalai digunakan.
-q Paparkan maklumat yang kurang terperinci.
Contoh:
kadmin: ktremove kadmin/admin semua
Entri untuk kadmin/admin pengetua dengan kvno 3 dialih keluar daripada tab kekunci
FAIL:/etc/krb5.keytab
kadmin:
mengunci
Kunci pangkalan data secara eksklusif. Gunakan dengan sangat berhati-hati! Perintah ini hanya berfungsi dengan
Modul pangkalan data DB2 KDC.
membuka kunci
Lepaskan kunci pangkalan data eksklusif.
senarai_permintaan
Senarai tersedia untuk permintaan kadmin.
Aliases: lr, ?
berhenti
Keluar dari program. Jika pangkalan data dikunci, kunci dilepaskan.
Aliases: keluar, q
SEJARAH
Program kadmin pada asalnya ditulis oleh Tom Yu di MIT, sebagai antara muka kepada
Program pentadbiran OpenVision Kerberos.
Gunakan kadmin dalam talian menggunakan perkhidmatan onworks.net
