Это команда ipa-getkeytab, которую можно запустить в провайдере бесплатного хостинга OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ipa-getkeytab - получить keytab для принципала Kerberos
СИНТАКСИС
ipa-getkeytab -p имя-принципал -k keytab-файл [ -e типы шифрования ] [ -s ипасервер ] [
-q ] [ -D|--binddn БИНДДН ] [ -w | --bindpw ] [ -P|--пароль PASSWORD ] [ -r ]
ОПИСАНИЕ
Получает Kerberos клавишная вкладка.
Вкладки ключей Kerberos используются службами (такими как sshd) для выполнения проверки подлинности Kerberos. А
keytab - это файл с одним или несколькими секретами (или ключами) для принципала Kerberos.
Субъект службы Kerberos - это удостоверение Kerberos, которое можно использовать для проверки подлинности.
Участники службы содержат имя службы, имя хоста сервера и
имя области. Например, ниже приводится пример принципала для сервера ldap:
ldap /[электронная почта защищена]
При использовании ipa-getkeytab имя области уже указано, поэтому основное имя просто
имя службы и имя хоста (ldap / foo.example.com из приведенного выше примера).
ПРЕДУПРЕЖДЕНИЕ: получение keytab сбрасывает секрет для принципала Kerberos. Это делает
все остальные вкладки для этого принципала недействительны.
Это используется во время регистрации клиента IPA для получения субъекта-службы узла и хранения
это в /etc/krb5.keytab. Можно получить keytab без учетных данных Kerberos
если хост был предварительно создан с одноразовым паролем. Keytab может быть получен с помощью
привязка в качестве хоста и аутентификация с помощью этого одноразового пароля. В -D | --binddn и
-w | --bindpw параметры используются для этой аутентификации.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-p имя-принципал
Не относящаяся к сфере часть полного основного имени.
-k keytab-файл
Файл keytab, в который нужно добавить новый ключ (будет создан, если он не существует).
-e типы шифрования
Список типов шифрования, используемых для генерации ключей. ipa-getkeytab будет использовать локальный
клиентские настройки по умолчанию, если не указаны. Допустимые значения зависят от библиотеки Kerberos.
версия и конфигурация. Общие значения: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ипасервер
IPA-сервер, из которого будет извлекаться keytab (FQDN). Если эта опция не предусмотрена
имя сервера читается из файла конфигурации IPA (/etc/ipa/default.conf)
-q Тихий режим. Отображаются только ошибки.
--разрешено-enctypes
Эта опция возвращает описание разрешенных типов шифрования, например:
Поддерживаемые типы шифрования: режим AES-256 CTS с 96-битным SHA-1, HMAC AES-128 CTS
режим с 96-битным SHA-1 HMAC Triple DES cbc режим с HMAC / sha1 ArcFour с
HMAC / md5 DES cbc mode с CRC-32 DES cbc mode with RSA-MD5 DES cbc mode with
РСА-MD4
-П, --пароль
Используйте этот пароль для ключа вместо пароля, сгенерированного случайным образом.
-Д, --binddn
DN LDAP для привязки, как при получении keytab без учетных данных Kerberos.
Обычно используется с -w опцию.
-ш, --bindpw
Пароль LDAP, который следует использовать, когда нет привязки к Kerberos.
-r Режим получения. Получить существующий ключ с сервера вместо создания нового
один. Это несовместимо с параметром --password и будет работать только с параметром
Сервер FreeIPA более поздний, чем версия 3.3. Пользователь, запрашивающий keytab, должен
иметь доступ к ключам для успешного выполнения этой операции.
ПРИМЕРЫ
Добавьте и получите таблицу ключей для субъекта-службы NFS на хосте foo.example.com и
сохраните его в файле /tmp/nfs.keytab и получите только ключ des-cbc-crc.
# ipa-getkeytab -p nfs / foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Добавьте и получите keytab для участника службы ldap на хосте foo.example.com и
сохраните его в файле /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap / foo.example.com -k /tmp/ldap.keytab
Получить keytab с использованием учетных данных LDAP (обычно это выполняется ipa-присоединиться(1) когда
регистрация клиента с помощью ipa-клиент-установить(1) команда:
# ipa-getkeytab -s ipaserver.example.com -p host / foo.example.com -k /etc/krb5.keytab -D
fqdn = foo.example.com, cn = компьютеры, cn = accounts, dc = example, dc = com -w password
ВЫХОД статус
Статус выхода равен 0 в случае успеха, ненулевой в случае ошибки.
0 Успех
1 Ошибка инициализации контекста Kerberos
2 Неправильное использование
3 Недостаточно памяти
4 Неверное имя участника службы
5 Нет кеша учетных данных Kerberos
6 Нет принципала Kerberos и нет DN привязки и пароля
7 Не удалось открыть keytab
8 Не удалось создать ключевой материал
9 Ошибка настройки keytab
10 При использовании DN привязки требуется пароль привязки
11 Не удалось добавить ключ в keytab
12 Не удалось закрыть keytab
Используйте ipa-getkeytab онлайн с помощью сервисов onworks.net
