Dit is de opdracht ipa-getkeytab die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
ipa-getkeytab - Krijg een keytab voor een Kerberos-principal
KORTE INHOUD
ipa-getkeytab -p hoofdnaam -k keytab-bestand [ -e encryptie-types ] [ -s ipaserver ] [
-q ] [ -D|--bindn BINDDN ] [ -w|--bindpw ] [ -P|--wachtwoord WACHTWOORD ] [ -r ]
PRODUCTBESCHRIJVING
Haalt een Kerberos op toetstab.
Kerberos-sleuteltabs worden gebruikt voor services (zoals sshd) om Kerberos-authenticatie uit te voeren. EEN
keytab is een bestand met een of meer geheimen (of sleutels) voor een Kerberos-principal.
Een Kerberos-service-principal is een Kerberos-identiteit die kan worden gebruikt voor verificatie.
Service-principals bevatten de naam van de service, de hostnaam van de server en de
rijksnaam. Het volgende is bijvoorbeeld een voorbeeldprincipal voor een ldap-server:
ldap/[e-mail beveiligd]
Bij gebruik van ipa-getkeytab is de realm-naam al opgegeven, dus de hoofdnaam is gewoon
de servicenaam en hostnaam (ldap/foo.example.com uit het bovenstaande voorbeeld).
WAARSCHUWING: het ophalen van de keytab reset het geheim voor de Kerberos-principal. Dit wordt weergegeven
alle andere keytabs voor die principal zijn ongeldig.
Dit wordt gebruikt tijdens IPA-clientregistratie om een hostservice-principal op te halen en op te slaan
het in /etc/krb5.keytab. Het is mogelijk om de keytab op te halen zonder Kerberos-inloggegevens
als de host vooraf is gemaakt met een eenmalig wachtwoord. De keytab kan worden opgehaald door:
binding als de host en authenticatie met dit eenmalige wachtwoord. De -D|--bindn en
-w|--bindpw opties worden gebruikt voor deze authenticatie.
OPTIES
-p hoofdnaam
Het niet-realmgedeelte van de volledige hoofdnaam.
-k keytab-bestand
Het keytab-bestand waar de nieuwe sleutel moet worden toegevoegd (wordt gemaakt als deze niet bestaat).
-e encryptie-types
De lijst met coderingstypen die moeten worden gebruikt om sleutels te genereren. ipa-getkeytab gebruikt local
standaardinstellingen van de klant indien niet opgegeven. Geldige waarden zijn afhankelijk van de Kerberos-bibliotheek
versie en configuratie. Veelvoorkomende waarden zijn: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
De IPA-server waarvan de keytab moet worden opgehaald (FQDN). Als deze optie niet wordt geboden
de servernaam wordt gelezen uit het IPA-configuratiebestand (/etc/ipa/default.conf)
-q Stille modus. Alleen fouten worden weergegeven.
--toegestane-enctypes
Deze optie retourneert een beschrijving van de toegestane coderingstypen, zoals deze:
Ondersteunde coderingstypen: AES-256 CTS-modus met 96-bit SHA-1 HMAC AES-128 CTS
modus met 96-bit SHA-1 HMAC Triple DES cbc-modus met HMAC/sha1 ArcFour met
HMAC/md5 DES cbc-modus met CRC-32 DES cbc-modus met RSA-MD5 DES cbc-modus met
RSA-MD4
-P, --wachtwoord
Gebruik dit wachtwoord voor de sleutel in plaats van een willekeurig gegenereerd wachtwoord.
-NS, --bindn
De LDAP-DN om te binden zoals bij het ophalen van een keytab zonder Kerberos-referenties.
Over het algemeen gebruikt met de -w optie.
-w, --bindpw
Het LDAP-wachtwoord dat moet worden gebruikt wanneer het niet bindend is met Kerberos.
-r Ophaalmodus. Haal een bestaande sleutel op van de server in plaats van een nieuwe te genereren
een. Dit is incompatibel met de --password optie, en werkt alleen tegen a
FreeIPA-server recenter dan versie 3.3. De gebruiker die de keytab aanvraagt, moet:
toegang hebben tot de sleutels om deze bewerking te laten slagen.
Voorbeelden
Voeg een keytab toe en haal deze op voor de NFS-service-principal op de host foo.example.com en
sla het op in het bestand /tmp/nfs.keytab en haal alleen de des-cbc-crc-sleutel op.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Voeg een keytab toe en haal deze op voor de ldap-service-principal op de host foo.example.com en
sla het op in het bestand /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Haal een keytab op met behulp van LDAP-referenties (dit wordt meestal gedaan door: ipa-deelnemen(1) wanneer
een klant inschrijven met behulp van de ipa-client-installatie(1) opdracht:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w wachtwoord
EXIT STATUS
De exit-status is 0 bij succes, niet-nul bij fout.
0 Succes
1 Kerberos-contextinitialisatie mislukt
2 Onjuist gebruik
3 Geen geheugen
4 Ongeldige service-principalnaam
5 Geen cache voor Kerberos-inloggegevens
6 Geen Kerberos-principal en geen bind-DN en wachtwoord
7 Kan keytab niet openen
8 Kan sleutelmateriaal niet maken
9 Instellen van toetstab mislukt
10 Bindwachtwoord vereist bij gebruik van een bind-DN
11 Kan sleutel niet toevoegen aan keytab
12 Kan toetstab niet sluiten
Gebruik ipa-getkeytab online met onworks.net-services
