Este é o comando ipa-getkeytab que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
ipa-getkeytab - Obtenha um keytab para um principal Kerberos
SINOPSE
ipa-getkeytab -p nome-principal -k arquivo-chave [ -e tipos de criptografia ] [ -s servidor ip ] [
-q ] [ -D|--bindn BINDDN ] [ -w | --bindpw ] [ -P|--senha SENHA ] [ -r ]
DESCRIÇÃO
Recupera um Kerberos tecla.
Keytabs Kerberos são usados para serviços (como sshd) para realizar a autenticação Kerberos. UMA
keytab é um arquivo com um ou mais segredos (ou chaves) para um principal Kerberos.
Um principal de serviço Kerberos é uma identidade Kerberos que pode ser usada para autenticação.
Os principais de serviço contêm o nome do serviço, o nome do host do servidor e o
nome do reino. Por exemplo, a seguir está um exemplo de principal para um servidor ldap:
ldap /[email protegido]
Ao usar ipa-getkeytab o nome do domínio já é fornecido, então o nome principal é apenas
o nome do serviço e o nome do host (ldap / foo.example.com do exemplo acima).
AVISO: recuperar o keytab redefine o segredo do principal Kerberos. Isso torna
todos os outros keytabs desse principal são inválidos.
Isso é usado durante o registro do cliente IPA para recuperar um principal de serviço de host e armazenar
em /etc/krb5.keytab. É possível recuperar o keytab sem credenciais Kerberos
se o host foi pré-criado com uma senha descartável. O keytab pode ser recuperado por
vinculando-se como o host e autenticando-se com essa senha descartável. o -D | --binddn e
-w | --bindpw opções são usadas para esta autenticação.
OPÇÕES
-p nome-principal
A parte não-realm do nome principal completo.
-k arquivo-chave
O arquivo keytab onde anexar a nova chave (será criado se não existir).
-e tipos de criptografia
A lista de tipos de criptografia a serem usados para gerar chaves. ipa-getkeytab usará local
padrões do cliente se não forem fornecidos. Os valores válidos dependem da biblioteca Kerberos
versão e configuração. Os valores comuns são: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s servidor ip
O servidor IPA do qual recuperar o keytab (FQDN). Se esta opção não for fornecida
o nome do servidor é lido do arquivo de configuração IPA (/etc/ipa/default.conf)
-q Modo silencioso. Apenas os erros são exibidos.
--permitidos-enctypes
Esta opção retorna uma descrição dos tipos de criptografia permitidos, como este:
Tipos de criptografia compatíveis: modo AES-256 CTS com SHA-96 HMAC AES-1 CTS de 128 bits
modo com 96 bits SHA-1 HMAC Triplo DES modo cbc com HMAC / sha1 ArcFour com
Modo HMAC / md5 DES cbc com modo CRC-32 DES cbc com modo RSA-MD5 DES cbc com
RSA-MD4
-P, --senha
Use esta senha para a chave em vez de uma gerada aleatoriamente.
-D, --bindn
O DN do LDAP a ser vinculado como ao recuperar um keytab sem credenciais Kerberos.
Geralmente usado com o -w opção.
-C, --bindpw
A senha LDAP a ser usada quando não estiver vinculado ao Kerberos.
-r Modo de recuperação. Recupere uma chave existente do servidor em vez de gerar um novo
XNUMX. Isso é incompatível com a opção --password e funcionará apenas com um
Servidor FreeIPA mais recente que a versão 3.3. O usuário que está solicitando o keytab deve
tem acesso às chaves para que esta operação seja bem-sucedida.
EXEMPLOS
Adicione e recupere um keytab para o principal de serviço NFS no host foo.example.com e
salve-o no arquivo /tmp/nfs.keytab e recupere apenas a chave des-cbc-crc.
# ipa-getkeytab -p nfs / foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Adicione e recupere um keytab para o principal de serviço ldap no host foo.example.com e
salve-o no arquivo /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap / foo.example.com -k /tmp/ldap.keytab
Recupere um keytab usando credenciais LDAP (isso normalmente será feito por adesão ao ipa(1) quando
inscrever um cliente usando o instalação do cliente ipa(1) comando:
# ipa-getkeytab -s ipaserver.example.com -p host / foo.example.com -k /etc/krb5.keytab -D
fqdn = foo.example.com, cn = computadores, cn = contas, dc = exemplo, dc = com -w senha
SAIR STATUS
O status de saída é 0 em caso de sucesso, diferente de zero em caso de erro.
0 sucesso
1 inicialização de contexto Kerberos falhou
2 Uso incorreto
3 Sem memória
4 Nome principal de serviço inválido
5 Nenhum cache de credenciais Kerberos
6 Nenhum principal Kerberos e nenhum DN e senha de ligação
7 Falha ao abrir o keytab
8 Falha ao criar material chave
9 A configuração do keytab falhou
10 Senha de ligação necessária ao usar um DN de ligação
11 Falha ao adicionar chave ao keytab
12 Falha ao fechar o keytab
Use ipa-getkeytab online usando serviços onworks.net