Aceasta este comanda ipa-getkeytab care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
ipa-getkeytab - Obțineți un keytab pentru un principal Kerberos
REZUMAT
ipa-getkeytab -p nume-principal -k keytab-file [ -e tipuri de criptare ] [ -s ipaserver ] [
-q ] [ -D|--binddn BINDDN ] [ -w|--bindpw ] [ -P|--parola PAROLA ] [ -r ]
DESCRIERE
Preia un Kerberos tastatura de taste.
Keytab-urile Kerberos sunt folosite pentru servicii (cum ar fi sshd) pentru a efectua autentificarea Kerberos. A
keytab este un fișier cu unul sau mai multe secrete (sau chei) pentru un principal Kerberos.
Un principal de serviciu Kerberos este o identitate Kerberos care poate fi utilizată pentru autentificare.
Principalii de serviciu conțin numele serviciului, numele de gazdă al serverului și
nume de tărâm. De exemplu, următorul este un exemplu principal pentru un server ldap:
ldap/[e-mail protejat]
Când utilizați ipa-getkeytab, numele domeniului este deja furnizat, deci numele principal este simplu
numele serviciului și numele gazdei (ldap/foo.example.com din exemplul de mai sus).
AVERTISMENT: preluarea keytab-ului resetează secretul pentru principalul Kerberos. Aceasta redă
toate celelalte keytabs pentru acel principal nu sunt valide.
Acesta este utilizat în timpul înregistrării clientului IPA pentru a prelua principalul serviciului gazdă și a stoca
este în /etc/krb5.keytab. Este posibil să preluați keytab-ul fără acreditările Kerberos
dacă gazda a fost pre-creată cu o parolă unică. Keytab-ul poate fi preluat de
se leagă ca gazdă și se autentifică cu această parolă unică. The -D|--binddn și
-w|--bindpw opțiunile sunt utilizate pentru această autentificare.
OPŢIUNI
-p nume-principal
Partea care nu este tărâm a numelui principal complet.
-k keytab-file
Fișierul keytab la care să adăugați noua cheie (va fi creat dacă nu există).
-e tipuri de criptare
Lista de tipuri de criptare de utilizat pentru a genera chei. ipa-getkeytab va folosi local
valorile implicite ale clientului dacă nu sunt furnizate. Valorile valide depind de biblioteca Kerberos
versiunea si configuratia. Valorile comune sunt: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
Serverul IPA de la care preia keytab-ul (FQDN). Dacă această opțiune nu este furnizată
numele serverului este citit din fișierul de configurare IPA (/etc/ipa/default.conf)
-q Mod silențios. Sunt afișate doar erorile.
--enctipuri permise
Această opțiune returnează o descriere a tipurilor de criptare permise, astfel:
Tipuri de criptare acceptate: modul AES-256 CTS cu SHA-96 HMAC pe 1 de biți AES-128 CTS
mod cu 96 de biți SHA-1 HMAC Triple DES mod cbc cu HMAC/sha1 ArcFour cu
Modul HMAC/md5 DES cbc cu CRC-32 Modul DES cbc cu RSA-MD5 DES mod cbc cu
RSA-MD4
-P, --parola
Utilizați această parolă pentru cheie în loc de una generată aleatoriu.
-D, --binddn
DN-ul LDAP se leagă ca atunci când se preia o tablă de chei fără acreditările Kerberos.
Folosit în general cu -w opțiune.
-w, --bindpw
Parola LDAP de utilizat atunci când nu se leagă cu Kerberos.
-r Modul de recuperare. Preluați o cheie existentă de pe server în loc să generați una nouă
unu. Aceasta este incompatibilă cu opțiunea --password și va funcționa numai împotriva unui
Server FreeIPA mai recent decât versiunea 3.3. Utilizatorul care solicită tastatura trebuie să
au acces la cheile pentru ca această operație să reușească.
EXEMPLE
Adăugați și preluați un keytab pentru principalul serviciu NFS pe gazda foo.example.com și
salvați-l în fișierul /tmp/nfs.keytab și preluați doar cheia des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Adăugați și preluați o tablă de chei pentru principalul serviciului ldap pe gazda foo.example.com și
salvați-l în fișierul /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Preluați o tablă de chei folosind acreditările LDAP (acest lucru se va face de obicei de ipa-join(1) cand
înscrierea unui client folosind ipa-client-install(1) comanda:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computeres,cn=conturi,dc=example,dc=com -w parola
EXIT STAREA
Starea de ieșire este 0 în caz de succes, diferită de zero în caz de eroare.
0 Succes
1 Inițializarea contextului Kerberos a eșuat
2 Utilizare incorectă
3 De memorie
4 Nume principal de serviciu invalid
5 Nu există memoria cache a acreditărilor Kerberos
6 Fără principal Kerberos și fără DN și parolă de legătură
7 Nu s-a putut deschide keytab
8 Nu s-a putut crea materialul cheie
9 Setarea keytab a eșuat
10 Parola de legare este necesară atunci când utilizați un DN de legare
11 Nu s-a putut adăuga cheia la keytab
12 Nu s-a putut închide keytab
Utilizați ipa-getkeytab online folosind serviciile onworks.net
