นี่คือคำสั่ง kadmin ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
kadmin - โปรแกรมดูแลฐานข้อมูล Kerberos V5
เรื่องย่อ
แคดมิน [-O|-N] [-r ดินแดน] [-p หลัก] [-q การสอบถาม--c cache_name--k [-t คีย์แท็บ--n]
[-w รหัสผ่าน] [-s admin_server[:พอร์ต]]
kadmin.local [-r ดินแดน] [-p หลัก] [-q การสอบถาม] [-d ชื่อฐานข้อมูล] [-e ENC:เกลือ ... ] [-m] [-x
db_args]
DESCRIPTION
kadmin และ kadmin.local เป็นอินเตอร์เฟสบรรทัดคำสั่งสำหรับการดูแลระบบ Kerberos V5
ระบบ. มีฟังก์ชันที่เกือบจะเหมือนกัน ความแตกต่างก็คือ
kadmin.local เข้าถึงฐานข้อมูล KDC โดยตรง ในขณะที่ kadmin ดำเนินการโดยใช้
แคดมายด์(8). เว้นแต่จะระบุไว้เป็นอย่างอื่นอย่างชัดเจน man page นี้จะใช้ "kadmin" to
อ้างถึงทั้งสองรุ่น kadmin จัดให้มีการบำรุงรักษาหลัก Kerberos
นโยบายรหัสผ่าน และตารางคีย์บริการ (คีย์แท็บ)
ไคลเอ็นต์ kadmin ระยะไกลใช้ Kerberos เพื่อรับรองความถูกต้องกับ kadmind โดยใช้บริการ
หลัก ผู้ดูแลระบบ/ผู้ดูแลระบบ (ในกรณีที่ ผู้ดูแลระบบ เป็นชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ admin
เซิร์ฟเวอร์) หรือ ผู้ดูแลระบบ/ผู้ดูแลระบบ. หากแคชข้อมูลรับรองมีตั๋วสำหรับหนึ่งในนั้น
อาจารย์ใหญ่และ -c มีการระบุตัวเลือก credentials_cache ตั๋วนั้นใช้เพื่อ
รับรองความถูกต้องกับ kadmind มิฉะนั้น -p และ -k ตัวเลือกที่ใช้ระบุลูกค้า
ชื่อหลักของ Kerberos ที่ใช้ในการตรวจสอบสิทธิ์ เมื่อ kadmin ได้กำหนดหลักแล้ว
ชื่อจะขอตั๋วบริการจาก KDC และใช้ตั๋วบริการนั้นไปยัง
รับรองความถูกต้องกับ kadmind
เนื่องจาก kadmin.local เข้าถึงฐานข้อมูล KDC โดยตรง จึงต้องเรียกใช้โดยตรงบน
KDC หลักที่มีสิทธิ์เพียงพอในการอ่านฐานข้อมูล KDC ถ้าฐานข้อมูล KDC
ใช้โมดูลฐานข้อมูล LDAP kadmin.local สามารถรันบนโฮสต์ใดก็ได้ที่สามารถเข้าถึง
เซิร์ฟเวอร์ LDAP
OPTIONS
-r ดินแดน
ใช้ ดินแดน เป็นขอบเขตฐานข้อมูลเริ่มต้น
-p หลัก
ใช้ หลัก เพื่อตรวจสอบสิทธิ์ มิฉะนั้น kadmin จะต่อท้าย / ผู้ดูแลระบบ เป็นหลัก
ชื่อหลักของ ccache เริ่มต้น ค่าของ USER ตัวแปรสภาพแวดล้อม
หรือชื่อผู้ใช้ที่ได้รับด้วย getpwuid ตามลำดับความชอบ
-k ใช้คีย์แท็บเพื่อถอดรหัสการตอบสนองของ KDC แทนการขอรหัสผ่าน ใน
ในกรณีนี้ เงินต้นเริ่มต้นจะเป็น ชื่อโฮสต์/ชื่อโฮสต์. หากไม่มีคีย์แท็บ
ระบุด้วย -t ตัวเลือกจากนั้นจะใช้คีย์แท็บเริ่มต้น
-t คีย์แท็บ
ใช้ คีย์แท็บ เพื่อถอดรหัสการตอบสนองของ KDC ใช้ได้เฉพาะกับ -k ตัวเลือก
-n ขอการประมวลผลแบบไม่ระบุชื่อ รองรับหลักนิรนามสองประเภท
สำหรับ Kerberos ที่ไม่ระบุชื่อโดยสมบูรณ์ ให้กำหนดค่า PKINIT บน KDC และกำหนดค่า
pkinit_anchors ในของลูกค้า krb5.conf(5). จากนั้นใช้ไฟล์ -n ตัวเลือกด้วย a
หลักของแบบฟอร์ม @REALM (ชื่อหลักว่างตามด้วยเครื่องหมาย at และ a
ชื่อเขต) หากได้รับอนุญาตจาก KDC จะมีการส่งคืนตั๋วที่ไม่ระบุตัวตน อา
รองรับตั๋วแบบไม่ระบุชื่อรูปแบบที่สอง ตั๋วที่เปิดเผยขอบเขตเหล่านี้ซ่อน
ตัวตนของลูกค้า แต่ไม่ใช่ขอบเขตของลูกค้า สำหรับโหมดนี้ ให้ใช้ กินิต -n
ด้วยชื่อหลักปกติ หาก KDC สนับสนุน อาจารย์ใหญ่ (แต่ไม่ใช่
ขอบเขต) จะถูกแทนที่ด้วยตัวการที่ไม่ระบุชื่อ ณ รีลีส 1.8 MIT
Kerberos KDC รองรับเฉพาะการดำเนินการที่ไม่ระบุชื่อเท่านั้น
-c หนังสือรับรอง_แคช
ใช้ หนังสือรับรอง_แคช เป็นแคชข้อมูลรับรอง แคชควรมีบริการ
ตั๋วสำหรับ ผู้ดูแลระบบ/ผู้ดูแลระบบ (ในกรณีที่ ผู้ดูแลระบบ เป็นชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ
ผู้ดูแลระบบเซิร์ฟเวอร์) หรือ ผู้ดูแลระบบ/ผู้ดูแลระบบ บริการ; สามารถซื้อได้ด้วย กินิต(1)
โปรแกรม. หากไม่ได้ระบุตัวเลือกนี้ kadmin จะขอตั๋วบริการใหม่
จาก KDC และเก็บไว้ในแคชชั่วคราวของตัวเอง
-w รหัสผ่าน
ใช้ รหัสผ่าน แทนที่จะขออย่างใดอย่างหนึ่ง ใช้ตัวเลือกนี้ด้วยความระมัดระวัง เนื่องจากอาจ
เปิดเผยรหัสผ่านแก่ผู้ใช้รายอื่นในระบบผ่านรายการกระบวนการ
-q การสอบถาม
ดำเนินการแบบสอบถามที่ระบุแล้วออก สิ่งนี้มีประโยชน์สำหรับการเขียนสคริปต์
-d ชื่อฐานข้อมูล
ระบุชื่อของฐานข้อมูล KDC ตัวเลือกนี้ใช้ไม่ได้กับ LDAP
โมดูลฐานข้อมูล
-s admin_server[:พอร์ต]
ระบุเซิร์ฟเวอร์ผู้ดูแลระบบที่ kadmin ควรติดต่อ
-m หากใช้ kadmin.local ให้ป้อนรหัสผ่านมาสเตอร์ฐานข้อมูลแทนการอ่าน
จากไฟล์ stash
-e ENC:เกลือ ...
ตั้งค่ารายการคีย์ซอลต์ที่จะใช้สำหรับคีย์ใหม่ที่สร้างขึ้น ดู Keysalt_lists in
kdc.conf(5) สำหรับรายการค่าที่เป็นไปได้
-O บังคับให้ใช้รสชาติการตรวจสอบสิทธิ์ AUTH_GSSAPI แบบเก่า
-N ป้องกันการย้อนกลับไปยังรสชาติการตรวจสอบสิทธิ์ AUTH_GSSAPI
-x db_args
ระบุอาร์กิวเมนต์เฉพาะฐานข้อมูล ดูหัวข้อถัดไปสำหรับการสนับสนุน
ตัวเลือก
ฐานข้อมูล OPTIONS
สามารถใช้ตัวเลือกฐานข้อมูลเพื่อแทนที่ค่าเริ่มต้นเฉพาะฐานข้อมูล ตัวเลือกที่รองรับ
สำหรับโมดูล DB2 คือ:
-x dbname=*ชื่อไฟล์*
ระบุชื่อไฟล์พื้นฐานของฐานข้อมูล DB2
-x ล็อกเกอร์
ทำให้การดำเนินการวนซ้ำล็อคไว้ตลอดระยะเวลาทั้งหมด
แทนที่จะปล่อยล็อคชั่วคราวขณะจัดการแต่ละอัน
อาจารย์ใหญ่. นี่เป็นการทำงานเริ่มต้น แต่มีตัวเลือกนี้เพื่ออนุญาต
แทนที่บรรทัดคำสั่งของการตั้งค่า [dbmodules] เปิดตัวครั้งแรกในการเปิดตัว
1.13.
-x ตัวปลดล็อค
ทำให้การดำเนินการวนซ้ำปลดล็อกฐานข้อมูลสำหรับตัวการแต่ละตัว แทนที่จะเป็น
ถือล็อคตลอดระยะเวลาการทำงานทั้งหมด เปิดตัวครั้งแรกใน
ปล่อย 1.13
ตัวเลือกที่รองรับสำหรับโมดูล LDAP ได้แก่:
-x โฮสต์=ลดาปุริ
ระบุเซิร์ฟเวอร์ LDAP เพื่อเชื่อมต่อโดย LDAP URI
-x ผูก=ผูก_dn
ระบุ DN ที่ใช้ในการผูกกับเซิร์ฟเวอร์ LDAP
-x ผูกpwd=รหัสผ่าน
ระบุรหัสผ่านหรือข้อมูลลับ SASL ที่ใช้ผูกกับเซิร์ฟเวอร์ LDAP โดยใช้
ตัวเลือกนี้อาจเปิดเผยรหัสผ่านแก่ผู้ใช้รายอื่นในระบบผ่านกระบวนการ
รายการ; เพื่อหลีกเลี่ยงสิ่งนี้ ให้ซ่อนรหัสผ่านโดยใช้ stashsrvpw คำสั่งของ
kdb5_ldap_util(8).
-x sasl_mech=กลไก
ระบุกลไก SASL ที่ใช้ผูกกับเซิร์ฟเวอร์ LDAP DN ที่ผูกคือ
ละเว้นหากใช้กลไก SASL ใหม่ในรุ่น 1.13
-x sasl_authcid=ชื่อ
ระบุชื่อการพิสูจน์ตัวตนที่ใช้เมื่อผูกกับเซิร์ฟเวอร์ LDAP ด้วย a
กลไก SASL หากกลไกนั้นต้องการอย่างใดอย่างหนึ่ง ใหม่ในรุ่น 1.13
-x sasl_autzid=ชื่อ
ระบุชื่อการให้สิทธิ์ที่ใช้เมื่อผูกกับเซิร์ฟเวอร์ LDAP ด้วย a
กลไก SASL ใหม่ในรุ่น 1.13
-x sasl_realm=ดินแดน
ระบุขอบเขตที่ใช้เมื่อเชื่อมโยงกับเซิร์ฟเวอร์ LDAP ด้วยกลไก SASL
ถ้ากลไกใช้อย่างใดอย่างหนึ่ง ใหม่ในรุ่น 1.13
-x ดีบัก=ระดับ
ตั้งค่าระดับดีบักไลบรารีไคลเอนต์ OpenLDAP ระดับ เป็นจำนวนเต็มที่จะ
แปลโดยห้องสมุด ข้อความการดีบักถูกพิมพ์ไปยังข้อผิดพลาดมาตรฐาน
ใหม่ในรุ่น 1.12
คำสั่ง
เมื่อใช้ไคลเอ็นต์ระยะไกล คำสั่งที่ใช้ได้อาจถูกจำกัดตามคำสั่ง
สิทธิพิเศษที่ระบุไว้ใน kadm5.acl(5) ไฟล์บนเซิร์ฟเวอร์ผู้ดูแลระบบ
add_principal
add_principal [ตัวเลือก] ใหม่
สร้างหลัก ใหม่, ถามรหัสผ่านสองครั้ง หากไม่มีนโยบายรหัสผ่านคือ
ระบุด้วย -นโยบาย ตัวเลือกและนโยบายชื่อ ผิดนัด ถูกกำหนดให้กับไฟล์
หลักถ้ามันมีอยู่ อย่างไรก็ตาม การสร้างนโยบายชื่อ ผิดนัด จะไม่โดยอัตโนมัติ
กำหนดนโยบายนี้ให้กับตัวการที่มีอยู่ก่อนหน้านี้ การกำหนดนโยบายนี้สามารถ
ระงับด้วย - นโยบายที่ชัดเจน ตัวเลือก
คำสั่งนี้ต้องการ เพิ่ม สิทธิพิเศษ.
นามแฝง: แอดพริ๊นซ์, ANK
ตัวเลือก:
-หมดอายุ วันหมดอายุ
(รับวันที่ string) วันหมดอายุของเงินต้น
-pwexpire pwexpdate
(รับวันที่ string) วันหมดอายุของรหัสผ่าน
-แม็กซ์ไลฟ์ แม็กซ์ไลฟ์
(รับวันที่ string) อายุตั๋วสูงสุดสำหรับเงินต้น
-แม็กซ์รีนิวไลฟ์ แม็กซ์รีนิวไลฟ์
(รับวันที่ string) อายุสูงสุดของตั๋วที่ต่ออายุได้สำหรับเงินต้น
-kvno kvno
หมายเลขรุ่นของคีย์เริ่มต้น
-นโยบาย นโยบาย
นโยบายรหัสผ่านที่ใช้โดยหลักการนี้ หากไม่ระบุนโยบาย ผิดนัด
ใช้ถ้ามีอยู่ (เว้นแต่ - นโยบายที่ชัดเจน ระบุไว้)
- นโยบายที่ชัดเจน
ป้องกันไม่ให้นโยบายใด ๆ ถูกกำหนดเมื่อ -นโยบาย ไม่ได้ระบุ
{-|+}allow_postdated
-allow_postdated ห้ามอาจารย์ใหญ่นี้จากการได้รับตั๋วที่ลงวันที่
+allow_postdated ล้างธงนี้
{-|+}allow_forwardable
-allow_forwardable ห้ามไม่ให้เงินต้นนี้ได้รับตั๋วที่ส่งต่อได้
+allow_forwardable ล้างธงนี้
{-|+}allow_renewable
-allow_renewable ห้ามไม่ให้เงินต้นนี้ได้รับตั๋วที่ต่ออายุได้
+allow_renewable ล้างธงนี้
{-|+}allow_proxiable
-allow_proxiable ห้ามมิให้เงินต้นนี้ได้รับตั๋วที่ใกล้เคียง
+allow_proxiable ล้างธงนี้
{-|+}allow_dup_skey
-allow_dup_skey ปิดใช้งานการตรวจสอบผู้ใช้กับผู้ใช้สำหรับหลักการนี้โดย
การห้ามไม่ให้หลักการนี้ได้รับรหัสเซสชันสำหรับผู้ใช้รายอื่น
+allow_dup_skey ล้างธงนี้
{-|+}requires_preauth
+requires_preauth กำหนดให้ตัวการนี้ตรวจสอบสิทธิ์ก่อนได้รับอนุญาต
ที่จะกิน -requires_preauth ล้างธงนี้ เมื่อไหร่ +requires_preauth ถูกตั้งค่าบน a
หัวหน้าบริการ KDC จะออกตั๋วบริการสำหรับบริการนั้นเท่านั้น
หลักหากการพิสูจน์ตัวตนเบื้องต้นของไคลเอ็นต์ดำเนินการโดยใช้
การตรวจสอบสิทธิ์ก่อน
{-|+}requires_hwauth
+requires_hwauth กำหนดให้หลักการนี้ต้องตรวจสอบสิทธิ์ล่วงหน้าโดยใช้อุปกรณ์ฮาร์ดแวร์
ก่อนที่จะได้รับอนุญาตให้กิน -requires_hwauth ล้างธงนี้ เมื่อไหร่
+requires_hwauth ถูกกำหนดไว้บนบริการหลัก KDC จะออกบริการเท่านั้น
ตั๋วสำหรับบริการหลักนั้นหากการรับรองความถูกต้องเบื้องต้นของลูกค้าคือ
ดำเนินการโดยใช้อุปกรณ์ฮาร์ดแวร์เพื่อตรวจสอบสิทธิ์ล่วงหน้า
{-|+}ตกลง_as_delegate
+ok_as_delegate ตั้งค่า ถูก as ตัวแทน ธงบนตั๋วที่ออกด้วยสิ่งนี้
เป็นหลักในการให้บริการ ลูกค้าอาจใช้แฟล็กนี้เป็นคำใบ้ว่าข้อมูลประจำตัว
ควรได้รับมอบหมายเมื่อตรวจสอบความถูกต้องของบริการ -ok_as_delegate เคลียร์
ธงนี้
{-|+}allow_svr
-allow_svr ห้ามออกตั๋วบริการสำหรับเงินต้นนี้
+allow_svr ล้างธงนี้
{-|+}allow_tgs_req
-allow_tgs_req ระบุว่า Ticket-Granting Service (TGS) ร้องขอบริการ
ไม่อนุญาตให้ใช้ตั๋วสำหรับเงินต้นนี้ +allow_tgs_req ล้างธงนี้
{-|+}allow_tix
-allow_tix ห้ามการออกตั๋วใด ๆ สำหรับเงินต้นนี้ +allow_tix
ล้างธงนี้
{-|+}จำเป็นต้องเปลี่ยน
+จำเป็นต้องเปลี่ยน บังคับให้เปลี่ยนรหัสผ่านในการรับรองความถูกต้องเบื้องต้นครั้งต่อไปสำหรับสิ่งนี้
หลัก - ความต้องการเปลี่ยน ล้างธงนี้
{-|+}รหัสผ่าน_changing_service
+รหัสผ่าน_เปลี่ยน_บริการ ทำเครื่องหมายเงินต้นนี้เป็นบริการเปลี่ยนรหัสผ่าน
หลัก
{-|+}ตกลง_to_auth_as_delegate
+ok_to_auth_as_delegate ยอมให้เงินต้นนี้ได้รับตั๋วที่ส่งต่อไปยัง
จากผู้ใช้ตามอำเภอใจ สำหรับใช้กับการมอบหมายที่มีข้อจำกัด
{-|+}no_auth_data_required
+no_auth_data_จำเป็น ป้องกันไม่ให้ข้อมูล PAC หรือ AD-SIGNEDPATH ถูกเพิ่มลงใน
ตั๋วบริการสำหรับเงินต้น
- กุญแจ
ตั้งค่าคีย์ของเงินต้นเป็นค่าสุ่ม
-ไม่มี ทำให้ตัวการถูกสร้างขึ้นโดยไม่มีคีย์ ใหม่ในรุ่น 1.12
-pw รหัสผ่าน
ตั้งรหัสผ่านของตัวการให้เป็นสตริงที่ระบุและไม่พร้อมท์สำหรับ
รหัสผ่าน หมายเหตุ: การใช้ตัวเลือกนี้ในเชลล์สคริปต์อาจทำให้รหัสผ่านถูกเปิดเผย
ผู้ใช้รายอื่นในระบบผ่านรายการกระบวนการ
-e ENC:เกลือ...
ใช้รายการคีย์ซอลต์ที่ระบุสำหรับการตั้งค่าคีย์ของตัวการ ดู
Keysalt_lists in kdc.conf(5) สำหรับรายการค่าที่เป็นไปได้
-x db_princ_args
ระบุตัวเลือกเฉพาะฐานข้อมูล อ็อพชันสำหรับโมดูลฐานข้อมูล LDAP ได้แก่:
-x dn=dn
ระบุอ็อบเจ็กต์ LDAP ที่จะมีตัวการ Kerberos เป็น
สร้าง
-x ลิงค์ดีเอ็น=dn
ระบุอ็อบเจ็กต์ LDAP ที่ Kerberos principal . ที่สร้างขึ้นใหม่
วัตถุจะชี้
-x ตู้คอนเทนเนอร์=คอนเทนเนอร์_dn
ระบุคอนเทนเนอร์อ็อบเจ็กต์ภายใต้หลักการ Kerberos จะเป็น
สร้าง
-x tktนโยบาย=นโยบาย
เชื่อมโยงนโยบายตั๋วกับหลักการของ Kerberos
หมายเหตุ:
· ตู้คอนเทนเนอร์ และ ลิงก์ ไม่สามารถระบุตัวเลือกด้วยเครื่องหมาย dn ตัวเลือก
· ถ้า dn or ตู้คอนเทนเนอร์ ไม่ได้ระบุตัวเลือกในขณะที่เพิ่มหลัก
หลักการถูกสร้างขึ้นภายใต้คอนเทนเนอร์หลักที่กำหนดค่าใน
อาณาจักรหรือคอนเทนเนอร์ของอาณาจักร
· dn และ ตู้คอนเทนเนอร์ ควรอยู่ในทรีย่อยหรือคอนเทนเนอร์หลัก
กำหนดค่าในขอบเขต
ตัวอย่าง:
kadmin: addprinc เจนนิเฟอร์
คำเตือน: ไม่ได้ระบุนโยบายสำหรับ "[ป้องกันอีเมล]";
ผิดนัดไม่มีนโยบาย
ใส่รหัสผ่านสำหรับอาจารย์ใหญ่ [ป้องกันอีเมล]:
ป้อนรหัสผ่านสำหรับตัวการอีกครั้ง [ป้องกันอีเมล]:
อาจารย์ใหญ่ "[ป้องกันอีเมล]" สร้าง.
ผู้ดูแลระบบ:
modified_principal
modified_principal [ตัวเลือก] หลัก
แก้ไขหลักการที่ระบุ โดยเปลี่ยนฟิลด์ตามที่ระบุ ตัวเลือกที่จะ
add_principal ใช้กับคำสั่งนี้ด้วย ยกเว้น - กุญแจ, -pwและ -e ตัวเลือก
นอกจากนี้ ตัวเลือก - นโยบายที่ชัดเจน จะเคลียร์นโยบายปัจจุบันของเงินต้น
คำสั่งนี้ต้องการ แก้ไข สิทธิพิเศษ.
Alias: ม็อดพริ้นซ์
ตัวเลือก (นอกเหนือจาก แอดพริ๊นซ์ ตัวเลือก):
-ปลดล็อค
ปลดล็อกหลักการที่ถูกล็อก (อันที่ได้รับการตรวจสอบสิทธิ์ที่ล้มเหลวมากเกินไป
พยายามโดยไม่มีเวลาเพียงพอระหว่างพวกเขาตามนโยบายรหัสผ่าน) ดังนั้น
สามารถตรวจสอบสิทธิ์ได้สำเร็จ
เปลี่ยนชื่อ_ครูใหญ่
เปลี่ยนชื่อ_ครูใหญ่ [-บังคับ] old_principal ใหม่_principal
เปลี่ยนชื่อที่ระบุ old_principal ไปยัง ใหม่_principal. คำสั่งนี้พร้อมท์สำหรับ
การยืนยัน เว้นแต่ -บังคับ มีตัวเลือกให้
คำสั่งนี้ต้องการ เพิ่ม และ ลบ สิทธิพิเศษ
Alias: เรนพริน
Delete_principal
Delete_principal [-บังคับ] หลัก
ลบที่ระบุ หลัก จากฐานข้อมูล คำสั่งนี้พร้อมท์ให้ลบ
เว้นแต่ไฟล์ -บังคับ มีตัวเลือกให้
คำสั่งนี้ต้องการ ลบ สิทธิพิเศษ.
Alias: เดลพรินซ์
เปลี่ยนรหัสผ่าน
เปลี่ยนรหัสผ่าน [ตัวเลือก] หลัก
เปลี่ยนรหัสผ่านของ หลัก. พร้อมท์ให้ใส่รหัสผ่านใหม่หากไม่มี - กุญแจ or -pw
ระบุไว้
คำสั่งนี้ต้องการ เปลี่ยนแปลง สิทธิพิเศษ หรือตัวการที่รันโปรแกรมคือ
เช่นเดียวกับการเปลี่ยนแปลงหลัก
Alias: ซี.พี
ตัวเลือกที่ใช้ได้มีดังนี้:
- กุญแจ
ตั้งค่าคีย์ของเงินต้นเป็นค่าสุ่ม
-pw รหัสผ่าน
ตั้งรหัสผ่านเป็นสตริงที่ระบุ การใช้ตัวเลือกนี้ในสคริปต์อาจทำให้
รหัสผ่านให้กับผู้ใช้รายอื่นในระบบผ่านรายการกระบวนการ
-e ENC:เกลือ...
ใช้รายการคีย์ซอลต์ที่ระบุสำหรับการตั้งค่าคีย์ของตัวการ ดู
Keysalt_lists in kdc.conf(5) สำหรับรายการค่าที่เป็นไปได้
-รักษาไว้
เก็บคีย์ที่มีอยู่ในฐานข้อมูล แฟล็กนี้มักจะไม่จำเป็น ยกเว้น
บางทีสำหรับ krbtgt หลักการ
ตัวอย่าง:
kadmin: ทดสอบระบบ cpw
ใส่รหัสผ่านสำหรับอาจารย์ใหญ่ [ป้องกันอีเมล]:
ป้อนรหัสผ่านสำหรับตัวการอีกครั้ง [ป้องกันอีเมล]:
รหัสผ่านสำหรับ [ป้องกันอีเมล] การเปลี่ยนแปลง
ผู้ดูแลระบบ:
กุญแจไข
กุญแจไข [-ทั้งหมด|-keepkvno เก่าที่สุด_kvno_to_keep] หลัก
ล้างคีย์เก่าที่เก็บไว้ก่อนหน้านี้ (เช่น จาก เปลี่ยนรหัสผ่าน -รักษาไว้) จาก หลัก.
If -keepkvno ถูกระบุ จากนั้นจะล้างเฉพาะคีย์ที่มี kvnos ต่ำกว่า
เก่าที่สุด_kvno_to_keep. ถ้า -ทั้งหมด ถูกระบุ จากนั้นคีย์ทั้งหมดจะถูกลบออก ดิ -ทั้งหมด ตัวเลือกที่
ใหม่ในรุ่น 1.12
คำสั่งนี้ต้องการ แก้ไข สิทธิพิเศษ.
get_principal
get_principal [-สั้น] หลัก
รับแอ็ตทริบิวต์ของตัวการ กับ -สั้น ตัวเลือก ฟิลด์ผลลัพธ์ตามที่ยกมา
สตริงที่คั่นด้วยแท็บ
คำสั่งนี้ต้องการ สอบถาม สิทธิพิเศษหรือว่าตัวการที่รันโปรแกรม
ให้เหมือนกับรายการที่ระบุไว้
Alias: เก็ทปริ๊นซ์
ตัวอย่าง:
ผู้ดูแลระบบ: getprinc tlyu/admin
อาจารย์ใหญ่: tlyu/[ป้องกันอีเมล]
วันหมดอายุ: [ไม่เคย]
เปลี่ยนรหัสผ่านล่าสุด: จันทร์ ส.ค. 12 14:16:47 EDT 1996
วันหมดอายุรหัสผ่าน: [ไม่มี]
อายุตั๋วสูงสุด: 0 วัน 10:00:00
อายุการหมุนเวียนสูงสุด: 7 วัน 00:00:00
ปรับปรุงล่าสุด: จันทร์ ส.ค. 12 14:16:47 EDT 1996 (bjaspan/[ป้องกันอีเมล])
การพิสูจน์ตัวตนที่สำเร็จครั้งล่าสุด: [ไม่เลย]
การตรวจสอบล้มเหลวครั้งล่าสุด: [ไม่เคย]
รหัสผ่านล้มเหลว: 0
จำนวนปุ่ม: 2
คีย์: vno 1, des-cbc-crc
คีย์: vno 1, des-cbc-crc:v4
คุณสมบัติ:
นโยบาย: [ไม่มี]
ผู้ดูแลระบบ: getprinc -terse systest
[ป้องกันอีเมล] 3 86400 604800 1
785926535 753241234 785900000
ทลิยู/[ป้องกันอีเมล] 786100034 0 0
ผู้ดูแลระบบ:
list_principals
list_principals [การแสดงออก]
ดึงชื่อหลักทั้งหมดหรือบางส่วน การแสดงออก เป็นนิพจน์ glob แบบเปลือกที่
สามารถมีอักขระไวด์การ์ดได้ ?, *และ []. ชื่อหลักทั้งหมดที่ตรงกับ
พิมพ์นิพจน์ หากไม่ได้ระบุนิพจน์ไว้ ระบบจะพิมพ์ชื่อหลักทั้งหมด
ถ้านิพจน์ไม่มี an @ ตัวละคร an @ ตัวละครตามด้วยคนท้องถิ่น
ขอบเขตถูกผนวกเข้ากับนิพจน์
คำสั่งนี้ต้องการ รายการ สิทธิพิเศษ.
Alias: รายการปริญญ, get_principals, get_princs
ตัวอย่าง:
kadmin: ทดสอบ listprincs*
[ป้องกันอีเมล]
[ป้องกันอีเมล]
[ป้องกันอีเมล]
[ป้องกันอีเมล]
ผู้ดูแลระบบ:
get_strings
get_strings หลัก
แสดงแอตทริบิวต์สตริงบน หลัก.
คำสั่งนี้ต้องการ สอบถาม สิทธิพิเศษ.
Alias: รับ
set_string
set_string หลัก ชื่อ ความคุ้มค่า
ตั้งค่าแอตทริบิวต์สตริงบน หลัก. แอ็ตทริบิวต์สตริงใช้เพื่อจัดหา per-principal
การกำหนดค่าให้กับ KDC และโมดูลปลั๊กอิน KDC บางตัว แอตทริบิวต์สตริงต่อไปนี้
ชื่อได้รับการยอมรับโดย KDC:
session_enctypes
ระบุประเภทการเข้ารหัสที่รองรับสำหรับคีย์เซสชันเมื่อตัวการคือ
รับรองความถูกต้องเป็นเซิร์ฟเวอร์ ดู การเข้ารหัส_ประเภท in kdc.conf(5) สำหรับรายการ
ค่าที่ยอมรับได้
OTP เปิดใช้งานการตรวจสอบสิทธิ์ล่วงหน้าด้วยรหัสผ่านครั้งเดียว (OTP) สำหรับลูกค้า หลัก.
ความคุ้มค่า เป็นสตริง JSON ที่แทนอาร์เรย์ของอ็อบเจ็กต์ โดยแต่ละรายการมี optional ชนิด
และ ชื่อผู้ใช้ เขตข้อมูล
คำสั่งนี้ต้องการ แก้ไข สิทธิพิเศษ.
Alias: ตั้งค่า
ตัวอย่าง:
set_string โฮสต์/foo.mit.edu session_enctypes aes128-cts
set_string [ป้องกันอีเมล] otp [{"type":"hotp","username":"custom"}]
del_string
del_string หลัก สำคัญ
ลบแอตทริบิวต์สตริงจาก หลัก.
คำสั่งนี้ต้องการ ลบ สิทธิพิเศษ.
Alias: เดลสเตรท
add_policy
add_policy [ตัวเลือก] นโยบาย
เพิ่มนโยบายรหัสผ่านชื่อ นโยบาย ไปยังฐานข้อมูล
คำสั่งนี้ต้องการ เพิ่ม สิทธิพิเศษ.
Alias: เพิ่มพล
ตัวเลือกที่ใช้ได้มีดังนี้:
-แม็กซ์ไลฟ์ เวลา
(รับวันที่ string) ตั้งค่าอายุการใช้งานสูงสุดของรหัสผ่าน
-มินไลฟ์ เวลา
(รับวันที่ string) ตั้งค่าอายุขั้นต่ำของรหัสผ่าน
-ความยาวขั้นต่ำ ความยาว
ตั้งค่าความยาวขั้นต่ำของรหัสผ่าน
-เรียนขั้นต่ำ จำนวน
ตั้งค่าจำนวนขั้นต่ำของคลาสอักขระที่ต้องการในรหัสผ่าน ห้า
คลาสอักขระ ได้แก่ ตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข เครื่องหมายวรรคตอน และ
ช่องว่าง/อักขระที่ไม่สามารถพิมพ์ได้
- ประวัติศาสตร์ จำนวน
ตั้งค่าจำนวนคีย์ที่ผ่านมาที่เก็บไว้สำหรับเงินต้น ไม่รองรับตัวเลือกนี้
ด้วยโมดูลฐานข้อมูล LDAP KDC
-maxfailure จำนวนสูงสุด
ตั้งค่าจำนวนความล้มเหลวในการพิสูจน์ตัวตนก่อนที่ตัวการจะถูกล็อค
ความล้มเหลวในการรับรองความถูกต้องจะถูกติดตามสำหรับตัวการที่ต้องการ .เท่านั้น
การตรวจสอบสิทธิ์ก่อน ตัวนับความพยายามที่ล้มเหลวจะรีเซ็ตเป็น 0 หลังจากสำเร็จ
พยายามที่จะรับรองความถูกต้อง อา จำนวนสูงสุด ค่า 0 (ค่าเริ่มต้น) ปิดใช้งานการล็อก
-failurecountinterval เวลาล้มเหลว
(รับวันที่ string) ตั้งค่าเวลาที่อนุญาตระหว่างความล้มเหลวในการรับรองความถูกต้อง ถ้า
ความล้มเหลวในการรับรองความถูกต้องเกิดขึ้นหลังจาก เวลาล้มเหลว ได้ล่วงเลยไปตั้งแต่ครั้งก่อน
ล้มเหลว จำนวนความล้มเหลวในการตรวจสอบสิทธิ์ถูกรีเซ็ตเป็น 1 A เวลาล้มเหลว ความคุ้มค่า
ของ 0 (ค่าเริ่มต้น) หมายถึงตลอดไป
- ระยะเวลาการล็อก ล็อกเอาต์
(รับวันที่ string) กำหนดระยะเวลาที่ตัวการถูกล็อกจาก
การตรวจสอบความถูกต้องหากเกิดความล้มเหลวในการรับรองความถูกต้องมากเกินไปโดยไม่ได้ระบุ
ช่วงเวลาการนับความล้มเหลวที่ผ่านไป ระยะเวลา 0 (ค่าเริ่มต้น) หมายถึง เงินต้น
ยังคงถูกล็อคจนกว่าจะปลดล็อคโดยผู้ดูแลระบบด้วย ม็อดพริ้นซ์ -ปลดล็อค.
- คีย์เกลือที่อนุญาต
ระบุทูเพิลคีย์/เกลือที่รองรับคีย์ระยะยาวเมื่อตั้งค่าหรือเปลี่ยนแปลง
รหัสผ่าน/คีย์ของอาจารย์ใหญ่ ดู Keysalt_lists in kdc.conf(5) สำหรับรายการของ
ค่าที่ยอมรับ แต่โปรดทราบว่า tuples ของคีย์/เกลือต้องคั่นด้วยเครื่องหมายจุลภาค (',')
เท่านั้น. หากต้องการล้างนโยบายคีย์/เกลือที่อนุญาต ให้ใช้ค่า '-'
ตัวอย่าง:
kadmin: add_policy -maxlife "2 days" -minlength 5 guests
ผู้ดูแลระบบ:
modified_policy
modified_policy [ตัวเลือก] นโยบาย
แก้ไขนโยบายรหัสผ่านที่ชื่อ นโยบาย. ตัวเลือกเป็นไปตามที่อธิบายไว้สำหรับ add_policy.
คำสั่งนี้ต้องการ แก้ไข สิทธิพิเศษ.
Alias: ดัดแปลง
นโยบายการลบ
นโยบายการลบ [-บังคับ] นโยบาย
ลบนโยบายรหัสผ่านที่ชื่อ นโยบาย. แจ้งยืนยันก่อนลบ ดิ
คำสั่งจะล้มเหลวหากนโยบายถูกใช้งานโดยตัวการ
คำสั่งนี้ต้องการ ลบ สิทธิพิเศษ.
Alias: เดลโปล
ตัวอย่าง:
kadmin: del_policy แขก
คุณแน่ใจหรือไม่ว่าต้องการลบนโยบาย "แขก"
(ใช่/ไม่ใช่): ใช่
ผู้ดูแลระบบ:
get_policy
get_policy [ -สั้น ] นโยบาย
แสดงค่าของนโยบายรหัสผ่านที่ชื่อ นโยบาย. กับ -สั้น ธง เอาท์พุต
ฟิลด์ที่เป็นสตริงที่ยกมาคั่นด้วยแท็บ
คำสั่งนี้ต้องการ สอบถาม สิทธิพิเศษ.
นามแฝง: getpol
ตัวอย่าง:
kadmin: get_policy ผู้ดูแลระบบ
นโยบาย: admin
อายุรหัสผ่านสูงสุด: 180 วัน 00:00:00
อายุรหัสผ่านขั้นต่ำ: 00:00:00
ความยาวรหัสผ่านขั้นต่ำ: 6
จำนวนคลาสอักขระรหัสผ่านขั้นต่ำ: 2
จำนวนคีย์เก่าที่เก็บไว้: 5
จำนวนอ้างอิง: 17
kadmin: get_policy - ผู้ดูแลระบบ
แอดมิน 15552000 0 6 2 5 17
ผู้ดูแลระบบ:
"จำนวนอ้างอิง" คือจำนวนหลักที่ใช้นโยบายนั้น ด้วย LDAP KDC
โมดูลฐานข้อมูล ฟิลด์นับอ้างอิงไม่มีความหมาย
list_policies
list_policies [การแสดงออก]
ดึงชื่อนโยบายทั้งหมดหรือบางส่วน การแสดงออก เป็นนิพจน์โกลบอลสไตล์เชลล์ที่สามารถ
มีอักขระไวด์การ์ด ?, *และ []. ชื่อนโยบายทั้งหมดที่ตรงกับนิพจน์
ถูกพิมพ์ หากไม่มีนิพจน์ไว้ ชื่อนโยบายที่มีอยู่ทั้งหมดจะถูกพิมพ์
คำสั่งนี้ต้องการ รายการ สิทธิพิเศษ.
นามแฝง: รายชื่อ, get_policies, เก็ทโพล.
ตัวอย่าง:
ผู้ดูแลระบบ: listpols
ทดสอบ-pol
dict เท่านั้น
ครั้งเดียว
ทดสอบ-pol-nopw
ผู้ดูแลระบบ: listpols t*
ทดสอบ-pol
ทดสอบ-pol-nopw
ผู้ดูแลระบบ:
กะเทย
กะเทย [ตัวเลือก] หลัก
กะเทย [ตัวเลือก] -กลม ปริ๊นซ์ exp
เพิ่ม หลัก, หรือตัวการทั้งหมดตรงกัน ปริ๊นซ์ expไปยังไฟล์คีย์แท็บ แต่ละ
คีย์ของอาจารย์ใหญ่จะถูกสุ่มในกระบวนการ กฎสำหรับ ปริ๊นซ์ exp อธิบายไว้ใน
list_principals คำสั่ง
คำสั่งนี้ต้องการ สอบถาม และ เปลี่ยนแปลง สิทธิพิเศษ กับ -กลม แบบฟอร์มก็ยัง
ต้องใช้ไฟล์ รายการ สิทธิพิเศษ.
ตัวเลือกคือ:
-k[อีแท็บ] คีย์แท็บ
ใช้ คีย์แท็บ เป็นไฟล์ keytab มิฉะนั้น คีย์แท็บเริ่มต้นจะถูกใช้
-e ENC:เกลือ...
ใช้รายการคีย์ซอลต์ที่ระบุสำหรับการตั้งค่าคีย์ใหม่ของหลักการ ดู
Keysalt_lists in kdc.conf(5) สำหรับรายการค่าที่เป็นไปได้
-q แสดงข้อมูลที่ละเอียดน้อยลง
-โนแรนด์คีย์
อย่าสุ่มคีย์ คีย์และหมายเลขเวอร์ชันจะไม่เปลี่ยนแปลง นี้
ตัวเลือกมีเฉพาะใน kadmin.local และไม่สามารถระบุรวมกันได้
กับ -e ตัวเลือก
มีการเพิ่มรายการสำหรับประเภทการเข้ารหัสเฉพาะของอาจารย์ใหญ่แต่ละประเภท โดยไม่สนใจหลายรายการ
คีย์ที่มีการเข้ารหัสประเภทเดียวกัน แต่มีประเภทเกลือต่างกัน
ตัวอย่าง:
ผู้ดูแลระบบ: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
รับสมัครเจ้าภาพหลัก/[ป้องกันอีเมล] ด้วย kvno 3
เพิ่มประเภทการเข้ารหัส aes256-cts-hmac-sha1-96 ใน keytab
ไฟล์:/tmp/foo-new-keytab
ผู้ดูแลระบบ:
ktremove
ktremove [ตัวเลือก] หลัก [kvno | ทั้งหมด | เก่า]
ลบรายการสำหรับที่ระบุ หลัก จากคีย์แท็บ ไม่ต้องการการอนุญาตตั้งแต่
นี้ไม่ต้องการการเข้าถึงฐานข้อมูล
หากระบุสตริง "ทั้งหมด" รายการทั้งหมดสำหรับหลักการนั้นจะถูกลบออก ถ้า
สตริง "old" ถูกระบุ รายการทั้งหมดสำหรับตัวการนั้น ยกเว้นรายการที่มีค่าสูงสุด
kvno จะถูกลบออก มิฉะนั้น ค่าที่ระบุจะถูกแยกวิเคราะห์เป็นจำนวนเต็ม และรายการทั้งหมด
ซึ่ง kvno ตรงกับจำนวนเต็มนั้นจะถูกลบออก
ตัวเลือกคือ:
-k[อีแท็บ] คีย์แท็บ
ใช้ คีย์แท็บ เป็นไฟล์ keytab มิฉะนั้น คีย์แท็บเริ่มต้นจะถูกใช้
-q แสดงข้อมูลที่ละเอียดน้อยลง
ตัวอย่าง:
kadmin: ktremove kadmin/admin ทั้งหมด
รายการสำหรับ kadmin หลัก/ผู้ดูแลระบบที่มี kvno 3 ถูกลบออกจาก keytab
ไฟล์:/etc/krb5.keytab
ผู้ดูแลระบบ:
ล็อค
ล็อคฐานข้อมูลโดยเฉพาะ ใช้ด้วยความระมัดระวังอย่างยิ่ง! คำสั่งนี้ใช้ได้เฉพาะกับ
โมดูลฐานข้อมูล DB2 KDC
ปลดล็อก
ปลดล็อคฐานข้อมูลแบบเอกสิทธิ์เฉพาะบุคคล
list_requests
รายการที่พร้อมใช้งานสำหรับคำขอ kadmin
นามแฝง: lr, ?
เลิก
ออกจากโปรแกรม หากฐานข้อมูลถูกล็อค การล็อคจะถูกปล่อย
นามแฝง: ทางออก, q
ประวัติ
โปรแกรม kadmin เดิมเขียนโดย Tom Yu ที่ MIT เพื่อเป็นส่วนต่อประสานกับ
โปรแกรมการดูแลระบบ OpenVision Kerberos
ใช้ kadmin ออนไลน์โดยใช้บริการ onworks.net
