นี่คือคำสั่ง ipa-getkeytab ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ipa-getkeytab - รับ keytab สำหรับ Kerberos principal
เรื่องย่อ
ipa-getkeytab -p ชื่อหลัก -k ไฟล์คีย์แท็บ [ -e การเข้ารหัสประเภท ] [ -s ไอปาเซิร์ฟเวอร์ ] [
-q ] [ -D|--bindn บินด์ดีน ] [ -w|--bindpw ] [ -P|--รหัสผ่าน รหัสผ่าน ] [ -r ]
DESCRIPTION
ดึง Kerberos คีย์แท็บ.
คีย์แท็บ Kerberos ใช้สำหรับบริการ (เช่น sshd) เพื่อดำเนินการตรวจสอบสิทธิ์ Kerberos NS
keytab เป็นไฟล์ที่มีข้อมูลลับ (หรือคีย์) อย่างน้อยหนึ่งรายการสำหรับหลักการ Kerberos
หลักการบริการของ Kerberos คือเอกลักษณ์ของ Kerberos ที่สามารถใช้สำหรับการตรวจสอบสิทธิ์
ผู้ให้บริการหลักประกอบด้วยชื่อของบริการ ชื่อโฮสต์ของเซิร์ฟเวอร์ และ
ชื่ออาณาจักร ตัวอย่างเช่น ต่อไปนี้คือตัวอย่างหลักการสำหรับเซิร์ฟเวอร์ ldap:
ดีแทป/[ป้องกันอีเมล]
เมื่อใช้ ipa-getkeytab จะมีการระบุชื่อขอบเขตไว้แล้ว ดังนั้นชื่อหลักจึงเป็นเพียง
ชื่อบริการและชื่อโฮสต์ (ldap/foo.example.com จากตัวอย่างด้านบน)
คำเตือน: การดึงคีย์แท็บจะรีเซ็ตข้อมูลลับสำหรับหลักการของ Kerberos นี้ทำให้
คีย์แท็บอื่น ๆ ทั้งหมดสำหรับหลักนั้นไม่ถูกต้อง
ใช้ระหว่างการลงทะเบียนไคลเอ็นต์ IPA เพื่อดึงข้อมูลหลักบริการโฮสต์และการจัดเก็บ
มันอยู่ใน /etc/krb5.keytab เป็นไปได้ที่จะดึงคีย์แท็บโดยไม่ต้องมี Kerberos credentials
หากโฮสต์ถูกสร้างไว้ล่วงหน้าด้วยรหัสผ่านแบบใช้ครั้งเดียว สามารถเรียกคีย์แท็บได้โดย
ผูกมัดเป็นโฮสต์และรับรองความถูกต้องด้วยรหัสผ่านแบบใช้ครั้งเดียวนี้ NS -D|--bindn และ
-w|--bindpw ตัวเลือกที่ใช้สำหรับการรับรองความถูกต้องนี้
OPTIONS
-p ชื่อหลัก
ส่วนที่ไม่ใช่ขอบเขตของชื่อหลักเต็ม
-k ไฟล์คีย์แท็บ
ไฟล์ keytab ที่จะต่อท้ายคีย์ใหม่ (จะถูกสร้างขึ้นหากไม่มีอยู่)
-e การเข้ารหัสประเภท
รายการประเภทการเข้ารหัสที่ใช้สร้างคีย์ ipa-getkeytab จะใช้ local
ค่าเริ่มต้นของไคลเอ็นต์หากไม่ระบุ ค่าที่ถูกต้องขึ้นอยู่กับไลบรารี Kerberos
รุ่นและการกำหนดค่า ค่าทั่วไปคือ: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac เดส-hmac-sha1 เดส-cbc-md5 เดส-cbc-crc
-s ไอปาเซิร์ฟเวอร์
เซิร์ฟเวอร์ IPA เพื่อดึงคีย์แท็บจาก (FQDN) หากไม่มีตัวเลือกนี้
ชื่อเซิร์ฟเวอร์ถูกอ่านจากไฟล์การกำหนดค่า IPA (/etc/ipa/default.conf)
-q โหมดเงียบ จะแสดงเฉพาะข้อผิดพลาดเท่านั้น
--อนุญาต-enctypes
ตัวเลือกนี้ส่งคืนคำอธิบายของประเภทการเข้ารหัสที่อนุญาต เช่นนี้:
ประเภทการเข้ารหัสที่รองรับ: โหมด AES-256 CTS พร้อม SHA-96 HMAC AES-1 CTS 128 บิต
โหมด 96 บิต SHA-1 HMAC โหมด Triple DES cbc พร้อม HMAC/sha1 ArcFour พร้อม
โหมด HMAC/md5 DES cbc พร้อมโหมด CRC-32 DES cbc พร้อมโหมด RSA-MD5 DES cbc พร้อม
อาร์เอสเอ-MD4
-NS, --รหัสผ่าน
ใช้รหัสผ่านนี้สำหรับคีย์แทนการสร้างแบบสุ่ม
-NS, --bindn
LDAP DN ที่จะผูกเมื่อดึงคีย์แท็บโดยไม่มีข้อมูลรับรอง Kerberos
โดยทั่วไปใช้กับ -w ตัวเลือก
-w, --bindpw
รหัสผ่าน LDAP ที่จะใช้เมื่อไม่ได้ผูกกับ Kerberos
-r โหมดดึงข้อมูล ดึงคีย์ที่มีอยู่จากเซิร์ฟเวอร์แทนที่จะสร้างใหม่
หนึ่ง. สิ่งนี้ไม่เข้ากันกับตัวเลือก --password และจะใช้ได้กับ a . เท่านั้น
เซิร์ฟเวอร์ FreeIPA ที่ใหม่กว่าเวอร์ชัน 3.3 ผู้ใช้ที่ขอคีย์แท็บต้อง
มีสิทธิ์เข้าถึงคีย์เพื่อให้การดำเนินการนี้สำเร็จ
ตัวอย่าง
เพิ่มและดึงคีย์แท็บสำหรับบริการหลัก NFS บนโฮสต์ foo.example.com และ
บันทึกไว้ในไฟล์ /tmp/nfs.keytab และดึงเฉพาะคีย์ des-cbc-crc
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
เพิ่มและดึงคีย์แท็บสำหรับหลักการบริการ ldap บนโฮสต์ foo.example.com และ
บันทึกไว้ในไฟล์ /tmp/ldap.keytab
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
ดึงคีย์แท็บโดยใช้ข้อมูลรับรอง LDAP (โดยทั่วไปจะทำโดย ipa เข้าร่วม(1) เมื่อ
การลงทะเบียนลูกค้าโดยใช้ ipa-ไคลเอ็นต์-ติดตั้ง(1) คำสั่ง:
# ipa-getkeytab -s ipaserver.example.com -p โฮสต์/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w รหัสผ่าน
EXIT สถานภาพ
สถานะการออกคือ 0 เมื่อสำเร็จ ข้อผิดพลาดที่ไม่ใช่ศูนย์
0 สำเร็จ
1 การเริ่มต้นบริบท Kerberos ล้มเหลว
2 การใช้งานที่ไม่ถูกต้อง
3 หน่วยความจำไม่เพียงพอ
4 ชื่อบริการหลักไม่ถูกต้อง
5 ไม่มีแคชข้อมูลประจำตัว Kerberos
6 ไม่มีหลัก Kerberos และไม่มีการผูก DN และรหัสผ่าน
7 ไม่สามารถเปิด keytab
8 ล้มเหลวในการสร้างวัสดุหลัก
9 การตั้งค่าคีย์แท็บล้มเหลว
10 ต้องใช้รหัสผ่านในการผูกเมื่อใช้การผูก DN
11 ไม่สามารถเพิ่มคีย์ลงใน keytab
12 ไม่สามารถปิด keytab
ใช้ ipa-getkeytab ออนไลน์โดยใช้บริการ onworks.net