Це команда ipa-getkeytab, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн емулятор Windows або онлайн емулятор MAC OS
ПРОГРАМА:
ІМ'Я
ipa-getkeytab — отримати ключову вкладку для принципала Kerberos
СИНТАКСИС
ipa-getkeytab -p ім'я довірителя -k keytab-файл [ -e типи шифрування ] [ -s ipaserver ] [
-q ] [ -D|--binddn BINDDN ] [ -w|--bindpw ] [ -P|--пароль ПАРОЛЬ ] [ -r ]
ОПИС
Отримує Kerberos клавіша.
Ключові вкладки Kerberos використовуються для служб (наприклад, sshd) для виконання аутентифікації Kerberos. А
keytab — це файл з одним або кількома секретами (або ключами) для принципала Kerberos.
Принципал служби Kerberos — це ідентифікатор Kerberos, який можна використовувати для аутентифікації.
Принципали служби містять назву служби, ім’я хоста сервера та
назва царства. Наприклад, нижче наведено приклад принципала для сервера ldap:
ldap/[захищено електронною поштою]
При використанні ipa-getkeytab ім'я області вже вказано, тому основне ім'я є просто
ім’я служби та ім’я хоста (ldap/foo.example.com із прикладу вище).
ПОПЕРЕДЖЕННЯ: отримання ключової вкладки скидає секрет для принципала Kerberos. Це надає
всі інші ключові вкладки для цього принципала недійсні.
Це використовується під час реєстрації клієнта IPA для отримання принципала та зберігання хост-служби
його в /etc/krb5.keytab. Можна отримати ключову вкладку без облікових даних Kerberos
якщо хост був попередньо створений з одноразовим паролем. Клавішну вкладку можна отримати за допомогою
прив’язування як хост і автентифікація за допомогою цього одноразового пароля. The -D|--binddn та
-w|--bindpw для цієї аутентифікації використовуються параметри.
ВАРІАНТИ
-p ім'я довірителя
Частина повної основної назви, що не належить до царства.
-k keytab-файл
Файл ключової вкладки, куди потрібно додати новий ключ (буде створено, якщо він не існує).
-e типи шифрування
Список типів шифрування для створення ключів. ipa-getkeytab використовуватиме локальний
клієнта за замовчуванням, якщо не надано. Допустимі значення залежать від бібліотеки Kerberos
версія та конфігурація. Загальні значення: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaserver
Сервер IPA для отримання ключової вкладки (FQDN). Якщо ця опція не передбачена
ім'я сервера зчитується з файлу конфігурації IPA (/etc/ipa/default.conf)
-q Тихий режим. Відображаються лише помилки.
--дозволені-enctypes
Цей параметр повертає опис дозволених типів шифрування, наприклад:
Підтримувані типи шифрування: режим AES-256 CTS з 96-бітовим SHA-1 HMAC AES-128 CTS
режим з 96-бітовим SHA-1 HMAC Triple DES cbc режим з HMAC/sha1 ArcFour з
HMAC/md5 DES cbc режим з CRC-32 DES cbc режим з RSA-MD5 DES cbc режим з
RSA-MD4
-П, --пароль
Використовуйте цей пароль для ключа замість випадково згенерованого.
-Д, --binddn
LDAP DN для прив’язки, як під час отримання ключової вкладки без облікових даних Kerberos.
Зазвичай використовується з -w варіант.
-w, --bindpw
Пароль LDAP, який використовуватиметься, якщо він не прив’язується до Kerberos.
-r Режим отримання. Отримати наявний ключ із сервера замість того, щоб генерувати новий
один. Це несумісне з параметром --password і працюватиме лише проти a
Сервер FreeIPA новішої версії 3.3. Користувач, який запитує клавішу, повинен
мати доступ до ключів, щоб ця операція була успішною.
ПРИКЛАДИ
Додайте та отримайте ключову вкладку для принципала служби NFS на хості foo.example.com і
збережіть його у файлі /tmp/nfs.keytab і отримайте лише ключ des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Додайте та отримайте ключову вкладку для принципала служби ldap на хості foo.example.com і
збережіть його у файлі /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Отримайте ключову вкладку за допомогою облікових даних LDAP (зазвичай це робиться за допомогою ipa-приєднатися(1) коли
реєстрація клієнта за допомогою ipa-клієнт-інсталяція(1) команда:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=комп'ютери,cn=облікові записи,dc=приклад,dc=com -w пароль
EXIT СТАТУС
Статус виходу 0 у разі успіху, відмінний від нуля при помилці.
0 Успіх
1 Помилка ініціалізації контексту Kerberos
2 Неправильне використання
3 Недолік пам'яті
4 Недійсне ім'я субъекта-служби
5 Немає кешу облікових даних Kerberos
6 Немає принципала Kerberos і немає прив'язуваного DN і пароля
7 Не вдалося відкрити вкладку клавіш
8 Не вдалося створити ключовий матеріал
9 Не вдалося налаштувати ключову вкладку
10 Під час використання DN прив'язки потрібен пароль прив'язки
11 Не вдалося додати ключ до ключової вкладки
12 Не вдалося закрити вкладку клавіш
Використовуйте ipa-getkeytab онлайн за допомогою служб onworks.net
