ipa-getkeytab - ออนไลน์ใน Cloud

โครงการ:

ชื่อ

ipa-getkeytab - รับ keytab สำหรับ Kerberos principal

เรื่องย่อ

ipa-getkeytab -p ชื่อหลัก -k ไฟล์คีย์แท็บ [ -e การเข้ารหัสประเภท ] [ -s ไอปาเซิร์ฟเวอร์ ] [
-q ] [ -D|--bindn บินด์ดีน ] [ -w|--bindpw ] [ -P|--รหัสผ่าน รหัสผ่าน ] [ -r ]

DESCRIPTION

ดึง Kerberos คีย์แท็บ.

คีย์แท็บ Kerberos ใช้สำหรับบริการ (เช่น sshd) เพื่อดำเนินการตรวจสอบสิทธิ์ Kerberos NS
keytab เป็นไฟล์ที่มีข้อมูลลับ (หรือคีย์) อย่างน้อยหนึ่งรายการสำหรับหลักการ Kerberos

หลักการบริการของ Kerberos คือเอกลักษณ์ของ Kerberos ที่สามารถใช้สำหรับการตรวจสอบสิทธิ์
ผู้ให้บริการหลักประกอบด้วยชื่อของบริการ ชื่อโฮสต์ของเซิร์ฟเวอร์ และ
ชื่ออาณาจักร ตัวอย่างเช่น ต่อไปนี้คือตัวอย่างหลักการสำหรับเซิร์ฟเวอร์ ldap:

ดีแทป/[ป้องกันอีเมล]

เมื่อใช้ ipa-getkeytab จะมีการระบุชื่อขอบเขตไว้แล้ว ดังนั้นชื่อหลักจึงเป็นเพียง
ชื่อบริการและชื่อโฮสต์ (ldap/foo.example.com จากตัวอย่างด้านบน)

คำเตือน: การดึงคีย์แท็บจะรีเซ็ตข้อมูลลับสำหรับหลักการของ Kerberos นี้ทำให้
คีย์แท็บอื่น ๆ ทั้งหมดสำหรับหลักนั้นไม่ถูกต้อง

ใช้ระหว่างการลงทะเบียนไคลเอ็นต์ IPA เพื่อดึงข้อมูลหลักบริการโฮสต์และการจัดเก็บ
มันอยู่ใน /etc/krb5.keytab เป็นไปได้ที่จะดึงคีย์แท็บโดยไม่ต้องมี Kerberos credentials
หากโฮสต์ถูกสร้างไว้ล่วงหน้าด้วยรหัสผ่านแบบใช้ครั้งเดียว สามารถเรียกคีย์แท็บได้โดย
ผูกมัดเป็นโฮสต์และรับรองความถูกต้องด้วยรหัสผ่านแบบใช้ครั้งเดียวนี้ NS -D|--bindn และ
-w|--bindpw ตัวเลือกที่ใช้สำหรับการรับรองความถูกต้องนี้

OPTIONS

-p ชื่อหลัก
ส่วนที่ไม่ใช่ขอบเขตของชื่อหลักเต็ม

-k ไฟล์คีย์แท็บ
ไฟล์ keytab ที่จะต่อท้ายคีย์ใหม่ (จะถูกสร้างขึ้นหากไม่มีอยู่)

-e การเข้ารหัสประเภท
รายการประเภทการเข้ารหัสที่ใช้สร้างคีย์ ipa-getkeytab จะใช้ local
ค่าเริ่มต้นของไคลเอ็นต์หากไม่ระบุ ค่าที่ถูกต้องขึ้นอยู่กับไลบรารี Kerberos
รุ่นและการกำหนดค่า ค่าทั่วไปคือ: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac เดส-hmac-sha1 เดส-cbc-md5 เดส-cbc-crc

-s ไอปาเซิร์ฟเวอร์
เซิร์ฟเวอร์ IPA เพื่อดึงคีย์แท็บจาก (FQDN) หากไม่มีตัวเลือกนี้
ชื่อเซิร์ฟเวอร์ถูกอ่านจากไฟล์การกำหนดค่า IPA (/etc/ipa/default.conf)

-q โหมดเงียบ จะแสดงเฉพาะข้อผิดพลาดเท่านั้น

--อนุญาต-enctypes
ตัวเลือกนี้ส่งคืนคำอธิบายของประเภทการเข้ารหัสที่อนุญาต เช่นนี้:
ประเภทการเข้ารหัสที่รองรับ: โหมด AES-256 CTS พร้อม SHA-96 HMAC AES-1 CTS 128 บิต
โหมด 96 บิต SHA-1 HMAC โหมด Triple DES cbc พร้อม HMAC/sha1 ArcFour พร้อม
โหมด HMAC/md5 DES cbc พร้อมโหมด CRC-32 DES cbc พร้อมโหมด RSA-MD5 DES cbc พร้อม
อาร์เอสเอ-MD4

-NS, --รหัสผ่าน
ใช้รหัสผ่านนี้สำหรับคีย์แทนการสร้างแบบสุ่ม

-NS, --bindn
LDAP DN ที่จะผูกเมื่อดึงคีย์แท็บโดยไม่มีข้อมูลรับรอง Kerberos
โดยทั่วไปใช้กับ -w ตัวเลือก

-w, --bindpw
รหัสผ่าน LDAP ที่จะใช้เมื่อไม่ได้ผูกกับ Kerberos

-r โหมดดึงข้อมูล ดึงคีย์ที่มีอยู่จากเซิร์ฟเวอร์แทนที่จะสร้างใหม่
หนึ่ง. สิ่งนี้ไม่เข้ากันกับตัวเลือก --password และจะใช้ได้กับ a . เท่านั้น
เซิร์ฟเวอร์ FreeIPA ที่ใหม่กว่าเวอร์ชัน 3.3 ผู้ใช้ที่ขอคีย์แท็บต้อง
มีสิทธิ์เข้าถึงคีย์เพื่อให้การดำเนินการนี้สำเร็จ

ตัวอย่าง

เพิ่มและดึงคีย์แท็บสำหรับบริการหลัก NFS บนโฮสต์ foo.example.com และ
บันทึกไว้ในไฟล์ /tmp/nfs.keytab และดึงเฉพาะคีย์ des-cbc-crc

# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc

เพิ่มและดึงคีย์แท็บสำหรับหลักการบริการ ldap บนโฮสต์ foo.example.com และ
บันทึกไว้ในไฟล์ /tmp/ldap.keytab

# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab

ดึงคีย์แท็บโดยใช้ข้อมูลรับรอง LDAP (โดยทั่วไปจะทำโดย ipa เข้าร่วม(1) เมื่อ
การลงทะเบียนลูกค้าโดยใช้ ipa-ไคลเอ็นต์-ติดตั้ง(1) คำสั่ง:

# ipa-getkeytab -s ipaserver.example.com -p โฮสต์/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w รหัสผ่าน

EXIT สถานภาพ

สถานะการออกคือ 0 เมื่อสำเร็จ ข้อผิดพลาดที่ไม่ใช่ศูนย์

0 สำเร็จ

1 การเริ่มต้นบริบท Kerberos ล้มเหลว

2 การใช้งานที่ไม่ถูกต้อง

3 หน่วยความจำไม่เพียงพอ

4 ชื่อบริการหลักไม่ถูกต้อง

5 ไม่มีแคชข้อมูลประจำตัว Kerberos

6 ไม่มีหลัก Kerberos และไม่มีการผูก DN และรหัสผ่าน

7 ไม่สามารถเปิด keytab

8 ล้มเหลวในการสร้างวัสดุหลัก

9 การตั้งค่าคีย์แท็บล้มเหลว

10 ต้องใช้รหัสผ่านในการผูกเมื่อใช้การผูก DN

11 ไม่สามารถเพิ่มคีย์ลงใน keytab

12 ไม่สามารถปิด keytab

ใช้ ipa-getkeytab ออนไลน์โดยใช้บริการ onworks.net