ipa-getkeytab - Trực tuyến trên đám mây

Chạy ipa-getkeytab trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks trên Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS

Đây là lệnh ipa-getkeytab có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

ipa-getkeytab - Nhận keytab cho hiệu trưởng của Kerberos

SYNOPSIS

ipa-getkeytab -p tên gốc -k tệp keytab [ -e các loại mã hóa ] [ -s máy chủ ipaserver ] [
-q ] [ -D|--binddn BINDDN ] [ -w | --bindpw ] [ -P|--mật khẩu mở khóa PASSWORD ] [ -r ]

MÔ TẢ

Truy xuất một Kerberos bàn phím.

Các keytabs của Kerberos được sử dụng cho các dịch vụ (như sshd) để thực hiện xác thực Kerberos. MỘT
keytab là một tệp có một hoặc nhiều bí mật (hoặc khóa) dành cho chính Kerberos.

Chính dịch vụ Kerberos là danh tính Kerberos có thể được sử dụng để xác thực.
Nguyên tắc dịch vụ chứa tên của dịch vụ, tên máy chủ của máy chủ và
tên cảnh giới. Ví dụ, sau đây là ví dụ chính cho máy chủ ldap:

ldap /[email được bảo vệ]

Khi sử dụng ipa-getkeytab, tên vùng đã được cung cấp, vì vậy tên chính chỉ là
tên dịch vụ và tên máy chủ (ldap / foo.example.com từ ví dụ trên).

Chú ý: lấy keytab sẽ đặt lại bí mật cho chính Kerberos. Điều này kết xuất
tất cả các keytabs khác cho chính đó không hợp lệ.

Điều này được sử dụng trong quá trình đăng ký ứng dụng khách IPA để truy xuất mã chính của dịch vụ lưu trữ và lưu trữ
nó trong /etc/krb5.keytab. Có thể truy xuất keytab mà không cần thông tin đăng nhập Kerberos
nếu máy chủ đã được tạo trước bằng mật khẩu dùng một lần. Keytab có thể được truy xuất bằng
ràng buộc với tư cách là máy chủ và xác thực bằng mật khẩu dùng một lần này. Các -D | --binddn và
-w | --bindpw các tùy chọn được sử dụng để xác thực này.

LỰA CHỌN

-p tên gốc
Phần phi cảnh giới của tên chính đầy đủ.

-k tệp keytab
Tệp keytab nơi gắn khóa mới (sẽ được tạo nếu nó không tồn tại).

-e các loại mã hóa
Danh sách các kiểu mã hóa sẽ sử dụng để tạo khóa. ipa-getkeytab sẽ sử dụng cục bộ
khách hàng mặc định nếu không được cung cấp. Giá trị hợp lệ phụ thuộc vào thư viện Kerberos
phiên bản và cấu hình. Các giá trị phổ biến là: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc

-s máy chủ ipaserver
Máy chủ IPA để truy xuất keytab từ (FQDN). Nếu tùy chọn này không được cung cấp
tên máy chủ được đọc từ tệp cấu hình IPA (/etc/ipa/default.conf)

-q Chế độ yên lặng. Chỉ các lỗi được hiển thị.

--periled-enctypes
Tùy chọn này trả về mô tả về các loại mã hóa được phép, như sau:
Các loại mã hóa được hỗ trợ: Chế độ AES-256 CTS với 96-bit SHA-1 HMAC AES-128 CTS
chế độ với chế độ cbc SHA-96 HMAC Triple DES 1-bit với HMAC / sha1 ArcFour với
Chế độ cbc HMAC / md5 DES với chế độ cbc CRC-32 DES với chế độ cbc RSA-MD5 DES với
RSA-MD4

-P, --mật khẩu mở khóa
Sử dụng mật khẩu này cho khóa thay vì một mật khẩu được tạo ngẫu nhiên.

-NS, --binddn
LDAP DN để liên kết như khi truy xuất keytab mà không có thông tin xác thực Kerberos.
Thường được sử dụng với -w tùy chọn.

-w, --bindpw
Mật khẩu LDAP để sử dụng khi không liên kết với Kerberos.

-r Chế độ truy xuất. Lấy khóa hiện có từ máy chủ thay vì tạo khóa mới
một. Điều này không tương thích với tùy chọn - mật khẩu và sẽ chỉ hoạt động với
Máy chủ FreeIPA mới hơn phiên bản 3.3. Người dùng yêu cầu keytab phải
có quyền truy cập vào các khóa để thao tác này thành công.

VÍ DỤ

Thêm và truy xuất keytab cho chính dịch vụ NFS trên máy chủ foo.example.com và
lưu nó trong tệp /tmp/nfs.keytab và chỉ lấy khóa des-cbc-crc.

# ipa-getkeytab -p nfs / foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc

Thêm và truy xuất keytab cho chính dịch vụ ldap trên máy chủ foo.example.com và
lưu nó trong tệp /tmp/ldap.keytab.

# ipa-getkeytab -s ipaserver.example.com -p ldap / foo.example.com -k /tmp/ldap.keytab

Truy xuất keytab bằng thông tin đăng nhập LDAP (điều này thường được thực hiện bởi ipa-tham gia(1) khi nào
đăng ký một khách hàng bằng cách sử dụng ipa-client-cài đặt(1) chỉ huy:

# ipa-getkeytab -s ipaserver.example.com -p host / foo.example.com -k /etc/krb5.keytab -D
fqdn = foo.example.com, cn = computer, cn = account, dc = example, dc = com -w password

EXIT TÌNH TRẠNG

Trạng thái thoát là 0 khi thành công, khác XNUMX nếu có lỗi.

0 Thành công

1 Khởi tạo ngữ cảnh Kerberos không thành công

2 Cách sử dụng không chính xác

3 Hết bộ nhớ

4 Tên chính của dịch vụ không hợp lệ

5 Không có bộ nhớ cache thông tin xác thực Kerberos

6 Không có Kerberos chính và không ràng buộc DN và mật khẩu

7 Không mở được keytab

8 Không tạo được tài liệu chính

9 Cài đặt keytab không thành công

10 Mật khẩu ràng buộc bắt buộc khi sử dụng DN ràng buộc

11 Không thêm được khóa vào keytab

12 Không đóng được keytab

Sử dụng ipa-getkeytab trực tuyến bằng các dịch vụ onworks.net