To jest polecenie kadmin, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
kadmin - program do administrowania bazami danych Kerberos V5
STRESZCZENIE
Kadmin [-O|-N] [-r królestwo] [-p główny] [-q pytanie] [[-c nazwa_pamięci podręcznej]|[-k [-t klawiatura]]|-n]
[-w password] [-s serwer_administracyjny[:Port]]
kadmin.lokalny [-r królestwo] [-p główny] [-q pytanie] [-d nazwa_bazy] [-e enc:sól ...] [-m] [-x
db_args]
OPIS
kadmin i kadmin.local to interfejsy wiersza poleceń umożliwiające administrację protokołem Kerberos V5
system. Zapewniają niemal identyczne funkcjonalności; różnica jest taka
kadmin.local uzyskuje bezpośredni dostęp do bazy danych KDC, podczas gdy kadmin wykonuje operacje za pomocą
kadmind(8). O ile wyraźnie nie zaznaczono inaczej, na tej stronie podręcznika będzie używane słowo „kadmin”.
patrz obie wersje. kadmin zapewnia utrzymanie zabezpieczeń Kerberos,
zasady haseł i tabele kluczy usług (tabulatory klawiszy).
Zdalny klient kadmin używa protokołu Kerberos do uwierzytelniania w kadmind przy użyciu tej usługi
główny kadmin/ADMINHOST (gdzie ADMINHOST to w pełni kwalifikowana nazwa hosta administratora
serwer) lub kadmin/admin. Jeśli pamięć podręczna poświadczeń zawiera bilet dla jednego z nich
dyrektorzy i -c określona jest opcja referencje_cache, do której używany jest ten bilet
uwierzytelnij się w kadmind. W przeciwnym razie -p i -k Opcje służą do określenia klienta
Nazwa główna protokołu Kerberos używana do uwierzytelniania. Gdy kadmin określi podmiot główny
nazwę, żąda biletu usługowego od KDC i wykorzystuje ten bilet serwisowy do
uwierzytelnij się w kadmind.
Ponieważ kadmin.local uzyskuje bezpośredni dostęp do bazy danych KDC, zwykle należy go uruchomić bezpośrednio
główne KDC z wystarczającymi uprawnieniami do odczytu bazy danych KDC. Jeśli baza danych KDC
korzysta z modułu bazy danych LDAP, kadmin.local można uruchomić na dowolnym hoście, który ma dostęp do
Serwer LDAP.
OPCJE
-r królestwo
Zastosowanie królestwo jako domyślna dziedzina bazy danych.
-p główny
Zastosowanie główny uwierzytelnić. W przeciwnym razie kadmin dołączy /Admin do podstawowego
główna nazwa domyślnej pamięci ccache, wartość pliku USER Zmienna środowiskowa,
lub nazwa użytkownika uzyskana za pomocą getpwuid, w kolejności preferencji.
-k Użyj klawiatury, aby odszyfrować odpowiedź KDC zamiast pytać o hasło. W
w tym przypadku domyślnym podmiotem zabezpieczeń będzie host/nazwa hosta. Jeśli nie ma klawisza
określone z -t opcję, wówczas zostanie użyta domyślna karta klawiszy.
-t klawiatura
Zastosowanie klawiatura do odszyfrowania odpowiedzi KDC. Można tego używać tylko z -k opcja.
-n Żąda anonimowego przetwarzania. Obsługiwane są dwa typy anonimowych podmiotów zabezpieczeń.
Aby uzyskać w pełni anonimowy protokół Kerberos, skonfiguruj PKINIT na KDC i skonfiguruj
pkinit_anchors u klienta krb5.conf(5). Następnie użyj -n opcja z A
główny formularz @KRÓLESTWO (pusta nazwa główna, po której następuje znak at i a
nazwa krainy). Jeśli KDC wyrazi na to zgodę, anonimowy bilet zostanie zwrócony. A
obsługiwana jest druga forma anonimowych zgłoszeń; te bilety odsłonięte w krainie ukrywają
tożsamość klienta, ale nie jego sfera. W tym trybie użyj kinit -n
z normalnym głównym nazwiskiem. Jeśli jest wspierany przez KDC, dyrektor (ale nie
realm) zostanie zastąpiony anonimowym podmiotem głównym. Począwszy od wersji 1.8, MIT
Kerberos KDC obsługuje tylko operacje w pełni anonimowe.
-c pamięć podręczna_poświadczeń
Zastosowanie pamięć podręczna_poświadczeń jako pamięć podręczna poświadczeń. Pamięć podręczna powinna zawierać usługę
bilet na kadmin/ADMINHOST (gdzie ADMINHOST jest w pełni kwalifikowaną nazwą hosta
serwer administracyjny) lub kadmin/admin praca; można go nabyć za pomocą kinit(1)
program. Jeśli ta opcja nie zostanie określona, kadmin zażąda nowego biletu serwisowego
z KDC i przechowuje je w swojej tymczasowej pamięci ccache.
-w password
Zastosowanie password zamiast prosić o jedno. Używaj tej opcji ostrożnie, jeśli to konieczne
udostępnij hasło innym użytkownikom systemu za pośrednictwem listy procesów.
-q pytanie
Wykonaj określone zapytanie, a następnie zakończ. Może to być przydatne przy pisaniu skryptów.
-d nazwa_bazy
Określa nazwę bazy danych KDC. Opcja ta nie dotyczy protokołu LDAP
moduł bazy danych.
-s serwer_administracyjny[:Port]
Określa serwer administracyjny, z którym kadmin powinien się skontaktować.
-m Jeśli używasz kadmin.local, zamiast czytać, zapytaj o hasło główne bazy danych
to z pliku skrytki.
-e enc:sól ...
Ustawia listę kluczy, która będzie używana dla nowo utworzonych kluczy. Widzieć Listy kluczy in
kdc.conf(5) aby wyświetlić listę możliwych wartości.
-O Wymuś użycie starej wersji uwierzytelniania AUTH_GSSAPI.
-N Zapobiegaj powrotowi do wersji uwierzytelniania AUTH_GSSAPI.
-x db_args
Określa argumenty specyficzne dla bazy danych. Zobacz następną sekcję dotyczącą obsługi
opcje.
DATABASE OPCJE
Opcje bazy danych mogą służyć do zastępowania ustawień domyślnych specyficznych dla bazy danych. Obsługiwane opcje
dla modułu DB2 są:
-x nazwa_bazy=*nazwa pliku*
Określa podstawową nazwę pliku bazy danych DB2.
-x ślusarz
Spraw, aby operacje iteracyjne utrzymywały blokadę na czas trwania całości
operacji, zamiast tymczasowo zwalniać blokadę podczas obsługi każdego z nich
główny. Jest to zachowanie domyślne, ale istnieje ta opcja, która pozwala na to
zastąpienie w wierszu poleceń ustawienia [dbmodules]. Po raz pierwszy wprowadzony w wydaniu
1.13.
-x odblokowanie
Spraw, aby operacje iteracyjne odblokowywały bazę danych dla każdego podmiotu zabezpieczeń, zamiast
przytrzymanie zamka przez cały czas trwania operacji. Po raz pierwszy wprowadzony w
Wersja 1.13.
Obsługiwane opcje modułu LDAP to:
-x gospodarz=ldapuri
Określa serwer LDAP, z którym można się połączyć za pomocą identyfikatora URI LDAP.
-x bindn=bind_dn
Określa nazwę wyróżniającą używaną do powiązania z serwerem LDAP.
-x bindpwd=password
Określa hasło lub klucz tajny SASL używany do powiązania z serwerem LDAP. Za pomocą
ta opcja może w trakcie procesu udostępnić hasło innym użytkownikom systemu
lista; aby tego uniknąć, zamiast tego ukryj hasło za pomocą stashsrvpw dowodzony przez
kdb5_ldap_util(8).
-x sasl_mech=mechanizm
Określa mechanizm SASL używany do powiązania z serwerem LDAP. Nazwa wyróżniająca powiązania to
ignorowane, jeśli używany jest mechanizm SASL. Nowość w wersji 1.13.
-x sasl_authcid=Nazwa
Określa nazwę uwierzytelniania używaną podczas wiązania z serwerem LDAP za pomocą pliku
Mechanizm SASL, jeśli mechanizm go wymaga. Nowość w wersji 1.13.
-x sasl_authzid=Nazwa
Określa nazwę autoryzacji używaną podczas wiązania z serwerem LDAP za pomocą a
Mechanizm SASL. Nowość w wersji 1.13.
-x sasl_dziedzina=królestwo
Określa dziedzinę używaną podczas wiązania z serwerem LDAP za pomocą mechanizmu SASL,
jeśli mechanizm go używa. Nowość w wersji 1.13.
-x debugowanie=poziom
ustawia poziom debugowania biblioteki klienta OpenLDAP. poziom jest liczbą całkowitą, która ma być
interpretowane przez bibliotekę. Komunikaty debugowania są drukowane jako błąd standardowy.
Nowość w wersji 1.12.
POLECENIA
Podczas korzystania ze zdalnego klienta dostępne polecenia mogą być ograniczone w zależności od
uprawnienia określone w ust kadm5.acl(5) plik na serwerze administracyjnym.
dodaj_głównego
dodaj_głównego [Opcje] nowyprinc
Tworzy podmiot główny nowyprinc, dwukrotnie pytając o hasło. Jeśli nie ma polityki haseł
określone z -polityka opcję i nazwę zasady domyślnym jest przypisany do
główny, jeśli istnieje. Jednak utworzenie zasady o nazwie domyślnym nie nastąpi automatycznie
przypisz tę politykę do wcześniej istniejących podmiotów zabezpieczeń. To przypisanie zasad może być
stłumiony przez -jasna polityka opcja.
To polecenie wymaga Dodaj przywilej.
aliasy: dodatek, ank
Opcje:
-wygasać Termin ważności
(randka string) Data wygaśnięcia kwoty głównej.
-pwwygaśnięcie pwexpdata
(randka string) Data ważności hasła.
-maksymalne życie maksymalne życie
(randka string) Maksymalny okres ważności biletu dla podmiotu zabezpieczeń.
-maxrenewlife maxrenewlife
(randka string) Maksymalny odnawialny okres ważności biletów dla zleceniodawcy.
-kwno kwno
Początkowy numer wersji klucza.
-polityka polityka
Polityka haseł używana przez tego podmiotu zabezpieczeń. Jeśli nie określono, polityka domyślnym
jest używany, jeśli istnieje (chyba że -jasna polityka jest specyficzne).
-jasna polityka
Uniemożliwia przypisanie jakichkolwiek zasad, gdy -polityka nie jest określony.
{-|+}allow_postdated
-allow_postdated zabrania temu zleceniodawcy otrzymywania biletów z datą postdatowaną.
+allow_postdated usuwa tę flagę.
{-|+}zezwalaj na przesyłanie dalej
-allow_przekazywane zabrania temu zleceniodawcy uzyskiwania biletów podlegających przekazywaniu dalej.
+allow_forwardable usuwa tę flagę.
{-|+}allow_renewable
-allow_renewable zabrania temu zleceniodawcy nabywania biletów odnawialnych.
+dozwolone_odnawialne usuwa tę flagę.
{-|+}allow_proxiable
-allow_proxiable zabrania temu zleceniodawcy uzyskiwania biletów zastępczych.
+dozwolone_proxiable usuwa tę flagę.
{-|+}allow_dup_skey
-allow_dup_skey wyłącza uwierzytelnianie między użytkownikami dla tego podmiotu zabezpieczeń przez
zabraniając temu zleceniodawcy uzyskania klucza sesyjnego dla innego użytkownika.
+allow_dup_skey usuwa tę flagę.
{-|+}wymaga_preauth
+wymaga_preauth wymaga od tego podmiotu zabezpieczeń wstępnego uwierzytelnienia przed zezwoleniem
kinować. -wymaga_preauth usuwa tę flagę. Gdy +wymaga_preauth jest ustawiony na
głównej usługi, KDC wystawi bilety usługowe wyłącznie dla tej usługi
main, jeśli wstępne uwierzytelnienie klienta zostało przeprowadzone przy użyciu
wstępne uwierzytelnienie.
{-|+}wymaga_hwauth
+wymaga_hwauth wymaga, aby ten podmiot główny dokonał wstępnego uwierzytelnienia przy użyciu urządzenia sprzętowego
przed pozwoleniem na rozpoczęcie. -wymaga_hwauth usuwa tę flagę. Gdy
+wymaga_hwauth jest ustawiony na jednostkę usługi, KDC wystawi tylko usługę
bilety dla tej jednostki usługi, jeśli początkowe uwierzytelnienie klienta miało miejsce
wykonywane przy użyciu urządzenia sprzętowego w celu wstępnego uwierzytelnienia.
{-|+}ok_as_delegat
+ok_as_delegat ustawia w porządku as delegować flagę na wystawionych z tym biletach
główny jako usługa. Klienci mogą używać tej flagi jako wskazówki, że poświadczenia
należy delegować podczas uwierzytelniania w usłudze. -ok_jako_delegat czyści
tę flagę.
{-|+}allow_svr
-allow_svr zabrania wydawania biletów serwisowych dla tego zleceniodawcy.
+allow_svr usuwa tę flagę.
{-|+}allow_tgs_req
-allow_tgs_req określa, że usługa przyznawania biletów (TGS) żąda usługi
bilet dla tego dyrektora nie jest dozwolony. +allow_tgs_req usuwa tę flagę.
{-|+}allow_tix
-allow_tix zabrania wystawiania jakichkolwiek biletów dla tego zleceniodawcy. +allow_tix
usuwa tę flagę.
{-|+}potrzeba zmiany
+potrzeba zmiany wymusza zmianę hasła przy następnym wstępnym uwierzytelnieniu
główne -potrzeba zmiany usuwa tę flagę.
{-|+}usługa_zmiany_hasła
+usługa_zmiany_hasła oznacza tego podmiotu zabezpieczeń jako usługę zmiany hasła
główne
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegat umożliwia temu zleceniodawcy nabycie biletów z możliwością przekazania do
się od dowolnych użytkowników, do użytku z ograniczonym delegowaniem.
{-|+}nie jest wymagane żadne_auth_data_data
+no_auth_data_required zapobiega dodawaniu danych PAC lub AD-SIGNEDPATH
bilety służbowe dla dyrektora.
-randki
Ustawia klucz podmiotu zabezpieczeń na losową wartość.
-brak klucza Powoduje utworzenie podmiotu zabezpieczeń bez klucza. Nowość w wersji 1.12.
-pw password
Ustawia hasło podmiotu zabezpieczeń na określony ciąg i nie wyświetla monitu
hasło. Uwaga: użycie tej opcji w skrypcie powłoki może narazić hasło
innym użytkownikom systemu za pośrednictwem listy procesów.
-e enc:sól, ...
Używa określonej listy kluczy do ustawiania kluczy podmiotu zabezpieczeń. Widzieć
Listy kluczy in kdc.conf(5) aby wyświetlić listę możliwych wartości.
-x db_princ_args
Wskazuje opcje specyficzne dla bazy danych. Opcje modułu bazy danych LDAP to:
-x dn=dn
Określa obiekt LDAP, który będzie zawierał podmiot główny protokołu Kerberos
utworzony.
-x linkdn=dn
Określa obiekt LDAP, do którego zostanie podłączony nowo utworzony podmiot zabezpieczeń Kerberos
obiekt będzie wskazywał.
-x kontenerdn=kontener_dn
Określa obiekt kontenera, w którym ma znajdować się podmiot zabezpieczeń Kerberos
utworzony.
-x tktpolicy=polityka
Kojarzy politykę dotyczącą biletów z podmiotem głównym protokołu Kerberos.
UWAGA:
· kontener dn i linkdn opcji nie można określić za pomocą dn opcja.
· Jeśli dn or kontener dn opcje nie są określone podczas dodawania podmiotu zabezpieczeń,
podmioty zabezpieczeń są tworzone w ramach kontenera głównego skonfigurowanego w pliku
dziedzina lub kontener domeny.
· dn i kontener dn powinien znajdować się w poddrzewie lub głównym kontenerze
skonfigurowany w dziedzinie.
Przykład:
kadmin: addprinc jennifer
OSTRZEŻENIE: nie określono żadnych zasad dla „[email chroniony]";
domyślnie nie stosuje żadnych zasad.
Wprowadź hasło dla zleceniodawcy [email chroniony]:
Wprowadź ponownie hasło dla zleceniodawcy [email chroniony]:
Główny "[email chroniony]" Utworzony.
kadmin:
modyfikacja_głównego
modyfikacja_głównego [Opcje] główny
Modyfikuje określony podmiot zabezpieczeń, zmieniając określone pola. Opcje do
dodaj_głównego dotyczą również tego polecenia, z wyjątkiem -randki, -pw, -e opcje.
Poza tym opcja -jasna polityka wyczyści obecną politykę zleceniodawcy.
To polecenie wymaga modyfikować przywilej.
Alias: modprinc
Opcje (oprócz dodatek opcje):
-odblokować
Odblokowuje zablokowanego podmiotu zabezpieczeń (takiego, który otrzymał zbyt wiele nieudanych uwierzytelnień
prób bez wystarczającej ilości czasu między nimi zgodnie z polityką haseł), tak aby
może pomyślnie uwierzytelnić.
zmień nazwę_głównego
zmień nazwę_głównego [-siła] stary_główny nowy_główny
Zmienia nazwę określonego stary_główny do nowy_główny. To polecenie wyświetla monit
potwierdzenie, chyba że -siła podana jest opcja.
To polecenie wymaga Dodaj i usunąć przywileje.
Alias: reprinc
usuń_główny
usuń_główny [-siła] główny
Usuwa określone główny z bazy danych. To polecenie monituje o usunięcie,
dopóki -siła podana jest opcja.
To polecenie wymaga usunąć przywilej.
Alias: Delprinc
Zmień hasło
Zmień hasło [Opcje] główny
Zmienia hasło główny. Monituje o podanie nowego hasła, jeśli żadne z nich nie jest dostępne -randki or -pw
jest specyficzne.
To polecenie wymaga zmianapw przywilej lub że jest nim podmiot główny uruchamiający program
tak samo jak zmiana dyrektora.
Alias: cpw
Dostępne są następujące opcje:
-randki
Ustawia klucz podmiotu zabezpieczeń na losową wartość.
-pw password
Ustaw hasło na określony ciąg. Użycie tej opcji w skrypcie może spowodować ujawnienie
hasło innym użytkownikom systemu za pośrednictwem listy procesów.
-e enc:sól, ...
Używa określonej listy kluczy do ustawiania kluczy podmiotu zabezpieczeń. Widzieć
Listy kluczy in kdc.conf(5) aby wyświetlić listę możliwych wartości.
-utrzymuj
Zachowuje istniejące klucze w bazie danych. Ta flaga zwykle nie jest konieczna, z wyjątkiem
być może dla krbtgt zleceniodawcy.
Przykład:
kadmin: system cpw
Wprowadź hasło dla zleceniodawcy [email chroniony]:
Wprowadź ponownie hasło dla zleceniodawcy [email chroniony]:
Hasło dla [email chroniony] zmianie.
kadmin:
klucze purge
klucze purge [-wszystko|-zachowaj kvno najstarszy_kvno_do_trzymania] główny
Usuwa wcześniej zachowane stare klucze (np Zmień hasło -utrzymuj) od główny.
If -zachowaj kvno zostanie określony, wówczas czyści tylko klucze o kvnos niższym niż
najstarszy_kvno_do_trzymania. Jeśli -wszystko zostanie określony, wówczas wszystkie klucze zostaną usunięte. The -wszystko Jest opcja
nowość w wersji 1.12.
To polecenie wymaga modyfikować przywilej.
get_principal
get_principal [-lakoniczny] główny
Pobiera atrybuty podmiotu zabezpieczeń. Z -lakoniczny opcja, wyświetla pola zgodnie z cytatem
ciągi rozdzielane tabulatorami.
To polecenie wymaga dowiadywać się uprawnienia lub że podmiot główny uruchamiający program
być taki sam jak ten wymieniony.
Alias: getprinc
Przykłady:
kadmin: getprinc tlyu/admin
Dyrektor: Tlyu/[email chroniony]
Data ważności: [nigdy]
Ostatnia zmiana hasła: pon. 12 sierpnia, 14:16:47 EDT 1996
Data ważności hasła: [brak]
Maksymalny okres ważności biletu: 0 dni 10:00:00
Maksymalna żywotność odnawialna: 7 dni 00:00:00
Ostatnia modyfikacja: pon. 12 sierpnia, 14:16:47 EDT 1996 (bjaspan/[email chroniony])
Ostatnie pomyślne uwierzytelnienie: [nigdy]
Ostatnie nieudane uwierzytelnienie: [nigdy]
Nieudane próby wprowadzenia hasła: 0
Liczba klawiszy: 2
Klucz: vno 1, des-cbc-crc
Klucz: vno 1, des-cbc-crc:v4
Atrybuty:
Polityka: [brak]
kadmin: getprinc -zwięzły system
[email chroniony] 3 86400 604800 1
785926535 753241234 785900000
tak/[email chroniony] 786100034 0 0
kadmin:
lista_głównych
lista_głównych [wyrażenie]
Pobiera wszystkie lub niektóre nazwy główne. wyrażenie jest wyrażeniem glob w stylu powłoki, które
może zawierać znaki wieloznaczne ?, *, []. Wszystkie główne nazwy pasujące do
wyrażenie są drukowane. Jeśli nie podano żadnego wyrażenia, drukowane są wszystkie nazwy główne.
Jeśli wyrażenie nie zawiera an @ charakter, an @ znak, po którym następuje lokalny
dziedzina jest dołączona do wyrażenia.
To polecenie wymaga podstęp przywilej.
Alias: zasady listy, get_principals, get_princs
Przykład:
kadmin: test listprincs*
[email chroniony]
[email chroniony]
[email chroniony]
[email chroniony]
kadmin:
get_strings
get_strings główny
Włącza wyświetlanie atrybutów ciągu główny.
To polecenie wymaga dowiadywać się przywilej.
Alias: getstr
set_string
set_string główny Nazwa wartość
Włącza atrybut string główny. Atrybuty łańcuchowe służą do dostarczania danych na jednostkę główną
konfigurację do KDC i niektórych modułów wtyczek KDC. Następujący atrybut ciągu
nazwy są uznawane przez KDC:
typy_sesji
Określa typy szyfrowania obsługiwane dla kluczy sesji, gdy podmiot zabezpieczeń jest
uwierzytelniony jako serwer. Widzieć Typy szyfrowania in kdc.conf(5) aby uzyskać listę
akceptowane wartości.
Otp Włącza wstępne uwierzytelnianie klienta za pomocą haseł jednorazowych (OTP). główny,
wartość to ciąg JSON reprezentujący tablicę obiektów, z których każdy jest opcjonalny rodzaj
i nazwa użytkownika pola.
To polecenie wymaga modyfikować przywilej.
Alias: ustawstr
Przykład:
set_string host/foo.mit.edu session_enctypes aes128-cts
set_string [email chroniony] otp [{"type":"hotp","username":"custom"}]
del_string
del_string główny klucz
Usuwa atrybut ciągu z główny.
To polecenie wymaga usunąć przywilej.
Alias: usuństr
dodaj_politykę
dodaj_politykę [Opcje] polityka
Dodaje politykę haseł o nazwie polityka do bazy danych.
To polecenie wymaga Dodaj przywilej.
Alias: dodatekpol
Dostępne są następujące opcje:
-maksymalne życie czas
(randka string) Ustawia maksymalny czas życia hasła.
-min życie czas
(randka string) Ustawia minimalny czas życia hasła.
-minimalna długość długość
Ustawia minimalną długość hasła.
-min-klasy numer
Ustawia minimalną liczbę klas znaków wymaganych w haśle. Piątka
klasy znaków to małe i wielkie litery, cyfry, znaki interpunkcyjne i
białe znaki/znaki niedrukowalne.
-historia numer
Ustawia liczbę przeszłych kluczy przechowywanych dla podmiotu zabezpieczeń. Ta opcja nie jest obsługiwana
z modułem bazy danych LDAP KDC.
-maksymalna awaria maksymalna liczba
Ustawia liczbę błędów uwierzytelniania przed zablokowaniem podmiotu zabezpieczeń.
Błędy uwierzytelnienia są śledzone tylko w przypadku podmiotów zabezpieczeń, które tego wymagają
wstępne uwierzytelnienie. Po udanej próbie licznik nieudanych prób zeruje się do 0
podjąć próbę uwierzytelnienia. A maksymalna liczba wartość 0 (domyślna) wyłącza blokadę.
-interwał licznika błędów czas awarii
(randka string) Ustawia dopuszczalny czas pomiędzy błędami uwierzytelnienia. Jeżeli
awaria uwierzytelnienia ma miejsce później czas awarii upłynął od poprzedniego
awarii, liczba niepowodzeń uwierzytelniania jest resetowana do 1. A czas awarii wartość
wartość 0 (wartość domyślna) oznacza na zawsze.
-czas trwania blokady czas blokady
(randka string) Ustawia czas, na który podmiot zabezpieczeń jest zablokowany
uwierzytelnianie, jeśli wystąpi zbyt wiele niepowodzeń uwierzytelniania bez określonego
Upływający interwał zliczania błędów. Czas trwania 0 (wartość domyślna) oznacza podmiot główny
pozostaje zablokowany, dopóki nie zostanie odblokowany administracyjnie modprinc -odblokować.
-dozwolone sole kluczowe
Określa krotki klucza/soli obsługiwane dla kluczy długoterminowych podczas ustawiania lub zmiany
hasło/klucze dyrektora. Widzieć Listy kluczy in kdc.conf(5) po listę
akceptowane wartości, ale pamiętaj, że krotki klucza/soli muszą być oddzielone przecinkami (',')
tylko. Aby wyczyścić dozwolone zasady klucza/soli, użyj wartości „-”.
Przykład:
kadmin: add_policy -maxlife "2 dni" -minlength 5 gości
kadmin:
modyfikowanie_polityki
modyfikowanie_polityki [Opcje] polityka
Modyfikuje politykę haseł o nazwie polityka. Opcje są zgodne z opisem dodaj_politykę.
To polecenie wymaga modyfikować przywilej.
Alias: modpol
usuwanie_polityki
usuwanie_polityki [-siła] polityka
Usuwa nazwę strategii haseł polityka. Monituje o potwierdzenie przed usunięciem. The
polecenie zakończy się niepowodzeniem, jeśli polityka jest używana przez któregokolwiek z podmiotów zabezpieczeń.
To polecenie wymaga usunąć przywilej.
Alias: delpol
Przykład:
kadmin: del_policy goście
Czy na pewno chcesz usunąć politykę „goście”?
(tak/nie): tak
kadmin:
pobierz_politykę
pobierz_politykę [ -lakoniczny ] polityka
Wyświetla wartości nazwanej strategii haseł polityka, Z -lakoniczny flaga, wyjścia
pola jako ciągi znaków oddzielone tabulatorami w cudzysłowie.
To polecenie wymaga dowiadywać się przywilej.
Pseudonim: getpol
Przykłady:
kadmin: administrator get_policy
Polityka: administrator
Maksymalny czas życia hasła: 180 dni 00:00:00
Minimalny czas życia hasła: 00:00:00
Minimalna długość hasła: 6
Minimalna liczba klas znaków hasła: 2
Liczba przechowywanych starych kluczy: 5
Liczba referencji: 17
kadmin: get_policy -zwięzły administrator
administrator 15552000 0 6 2 5 17
kadmin:
„Liczba odwołań” to liczba podmiotów zabezpieczeń korzystających z tej zasady. Z LDAP KDC
modułu bazy danych, pole liczby odwołań nie ma znaczenia.
lista_zasad
lista_zasad [wyrażenie]
Pobiera wszystkie lub niektóre nazwy zasad. wyrażenie jest wyrażeniem glob w stylu powłoki, które może
zawierać znaki wieloznaczne ?, *, []. Wszystkie nazwy zasad pasujące do wyrażenia
są drukowane. Jeśli nie podano żadnego wyrażenia, drukowane są wszystkie istniejące nazwy polityk.
To polecenie wymaga podstęp przywilej.
aliasy: listypol, get_policies, getpols.
Przykłady:
kadmin: listpols
test pol
tylko dyktowanie
raz na minutę
test-pol-nowow
kadmin: listpols t*
test pol
test-pol-nowow
kadmin:
ktadd
ktadd [opcje] główny
ktadd [opcje] -kula książę-exp
Dodaje głównylub wszystkie pasujące podmioty główne książę-exp, do pliku keytab. Każdy
klucze dyrektora są w tym procesie losowane. Zasady dot książę-exp są opisane w
dotychczasowy lista_głównych dowództwo.
To polecenie wymaga dowiadywać się i zmianapw przywileje. Z -kula formę, to także
wymaga podstęp przywilej.
Dostępne są następujące opcje:
-k[zakładka ey] klawiatura
Zastosowanie klawiatura jako plik keytab. W przeciwnym razie używana jest domyślna karta klawiszy.
-e enc:sól, ...
Używa określonej listy kluczy do ustawiania nowych kluczy podmiotu zabezpieczeń. Widzieć
Listy kluczy in kdc.conf(5) aby wyświetlić listę możliwych wartości.
-q Wyświetlaj mniej szczegółowe informacje.
-norandkey
Nie losuj kluczy. Klucze i numery ich wersji pozostają niezmienione. Ten
opcja jest dostępna tylko w kadmin.local i nie można jej używać w połączeniu
z -e opcja.
Dodawany jest wpis dla każdego unikalnego typu szyfrowania podmiotu zabezpieczeń, ignorując wiele
klucze z tym samym typem szyfrowania, ale różnymi typami soli.
Przykład:
kadmin: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
Wpis dla głównego gospodarza/[email chroniony] z kvno 3,
typ szyfrowania aes256-cts-hmac-sha1-96 dodany do karty kluczy
PLIK:/tmp/foo-new-keytab
kadmin:
ktremove
ktremove [opcje] główny [kwno | cała kolekcja | stary]
Usuwa wpisy dla określonego główny z klawiatury. Nie wymaga żadnych uprawnień, ponieważ
nie wymaga to dostępu do bazy danych.
Jeśli określono ciąg „all”, wszystkie wpisy dla tego podmiotu zabezpieczeń zostaną usunięte; jeśli
określono ciąg „stary”, wszystkie wpisy dla tego podmiotu zabezpieczeń z wyjątkiem tych z najwyższym
kvno są usuwane. W przeciwnym razie określona wartość jest analizowana jako liczba całkowita i wszystkie wpisy
których kvno pasuje do tej liczby całkowitej, jest usuwany.
Dostępne są następujące opcje:
-k[zakładka ey] klawiatura
Zastosowanie klawiatura jako plik keytab. W przeciwnym razie używana jest domyślna karta klawiszy.
-q Wyświetlaj mniej szczegółowe informacje.
Przykład:
kadmin: ktremove kadmin/admin all
Wpis dla głównego kadmin/admin z kvno 3 usunięty z tablicy kluczy
PLIK:/etc/krb5.keytab
kadmin:
zablokować
Zablokuj wyłącznie bazę danych. Używaj z zachowaniem szczególnej ostrożności! To polecenie działa tylko z
Moduł bazy danych DB2 KDC.
odblokować
Zwolnij wyłączną blokadę bazy danych.
lista_żądań
Listy dostępne dla żądań kadmin.
aliasy: lr, ?
porzucić
Wyjdź z programu. Jeśli baza danych była zablokowana, blokada zostanie zwolniona.
aliasy: wyjście, q
HISTORIA
Program kadmin został pierwotnie napisany przez Toma Yu z MIT jako interfejs do
Program administracyjny OpenVision Kerberos.
Korzystaj z kadmin online, korzystając z usług onworks.net
