Jest to polecenie ipa-getkeytab, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu darmowych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
ipa-getkeytab — Pobierz tablicę kluczy dla podmiotu Kerberos
STRESZCZENIE
ipa-getkeytab -p główny-nazwisko -k plik-klawiszy [ -e typy-szyfrowania ] [ -s ipaserwer ] [
-q ] [ -D|--bindn WIĄZANIE ] [ -w|--bindpw ] [ -P|--hasło HASŁO ] [ -r ]
OPIS
Pobiera Kerberos klawiatura.
Tablice kluczy Kerberos są używane przez usługi (takie jak sshd) do przeprowadzania uwierzytelniania Kerberos. A
keytab to plik zawierający co najmniej jeden klucz tajny (lub klucze) dla podmiotu Kerberos.
Jednostka usługi Kerberos to tożsamość Kerberos, której można używać do uwierzytelniania.
Jednostki usługi zawierają nazwę usługi, nazwę hosta serwera oraz
nazwa domeny. Na przykład poniżej jest przykładowy podmiot zabezpieczeń serwera ldap:
ldap/[email chroniony]
Podczas używania ipa-getkeytab nazwa obszaru jest już podana, więc nazwa główna to po prostu
nazwę usługi i nazwę hosta (ldap/foo.example.com z powyższego przykładu).
UWAGA: pobranie tablicy kluczy resetuje klucz tajny dla podmiotu Kerberos. To renderuje
wszystkie inne klawisze dla tego podmiotu są nieprawidłowe.
Jest to używane podczas rejestracji klienta IPA w celu pobrania nazwy głównej usługi hosta i jej przechowywania
to w /etc/krb5.keytab. Możliwe jest pobranie tablicy kluczy bez poświadczeń Kerberos
jeśli host został wstępnie utworzony z jednorazowym hasłem. Tablicę kluczy można pobrać przez
wiązanie jako host i uwierzytelnianie za pomocą tego jednorazowego hasła. ten -D|--bindn i
-w|--bindpw do tego uwierzytelniania używane są opcje.
OPCJE
-p główny-nazwisko
Nierzeczywista część pełnej nazwy głównej.
-k plik-klawiszy
Plik keytab, w którym należy dołączyć nowy klucz (zostanie utworzony, jeśli nie istnieje).
-e typy-szyfrowania
Lista typów szyfrowania używanych do generowania kluczy. ipa-getkeytab użyje lokalnego
wartości domyślne klienta, jeśli nie zostały podane. Poprawne wartości zależą od biblioteki Kerberos
wersja i konfiguracja. Typowe wartości to: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserwer
Serwer IPA, z którego ma zostać pobrana karta kluczy (FQDN). Jeśli ta opcja nie jest podana
nazwa serwera jest odczytywana z pliku konfiguracyjnego IPA (/etc/ipa/default.conf)
-q Tryb cichy. Wyświetlane są tylko błędy.
--dozwolone-enctypes
Ta opcja zwraca opis dozwolonych typów szyfrowania, na przykład:
Obsługiwane typy szyfrowania: tryb AES-256 CTS z 96-bitowym SHA-1 HMAC AES-128 CTS
tryb z 96-bitowym SHA-1 HMAC Triple DES Tryb cbc z HMAC/sha1 ArcFour z
HMAC/md5 Tryb cbc DES z CRC-32 Tryb cbc DES z RSA-MD5 Tryb cbc DES z
RSA-MD4
-P, --hasło
Użyj tego hasła dla klucza zamiast losowo wygenerowanego.
-D, --bindn
LDAP DN do powiązania tak, jak przy pobieraniu tablicy kluczy bez poświadczeń Kerberos.
Zwykle używany z -w opcja.
-w, --bindpw
Hasło LDAP używane bez łączenia się z Kerberos.
-r Tryb pobierania. Pobierz istniejący klucz z serwera zamiast generowania nowego
jeden. Jest to niezgodne z opcją --password i działa tylko przeciwko a
Serwer FreeIPA nowszy niż wersja 3.3. Użytkownik żądający tablicy kluczy musi:
mieć dostęp do kluczy, aby ta operacja się powiodła.
PRZYKŁADY
Dodaj i pobierz tabelę kluczy dla jednostki usługi NFS na hoście foo.example.com i
zapisz go w pliku /tmp/nfs.keytab i pobierz tylko klucz des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Dodaj i pobierz tabelę kluczy dla jednostki usługi ldap na hoście foo.example.com i
zapisz go w pliku /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserwer.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Pobierz kartę kluczy przy użyciu poświadczeń LDAP (zazwyczaj jest to wykonywane przez ipa-dołącz(1) jeśli chodzi o komunikację i motywację
rejestracja klienta za pomocą instalacja klienta ipa(1) polecenie:
# ipa-getkeytab -s ipaserwer.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=komputery,cn=konta,dc=przykład,dc=com -w hasło
EXIT STATUS
Kod zakończenia to 0 w przypadku powodzenia, niezerowy w przypadku błędu.
0 Sukces
1 Inicjalizacja kontekstu Kerberos nie powiodła się
2 Nieprawidłowe użycie
3 Brak pamięci
4 Nieprawidłowa nazwa główna usługi
5 Brak pamięci podręcznej poświadczeń Kerberos
6 Brak nazwy głównej Kerberos i nazwy DN i hasła powiązania
7 Nie udało się otworzyć karty klawiszy
8 Nie udało się utworzyć materiału klucza
9 Ustawienie tabeli klawiszy nie powiodło się
10 Hasło powiązania wymagane podczas korzystania z powiązania DN
11 Nie udało się dodać klucza do tablicy kluczy
12 Nie udało się zamknąć karty klawiszy
Korzystaj z ipa-getkeytab online za pomocą usług onworks.net
