这是 kadmin 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
kadmin - Kerberos V5 数据库管理程序
概要
管理员 [-O|-N[-r 境界[-p 主要[-q 询问] [[-c 缓存名称]|[-k [-t 密钥表]]|-n]
[-w 密码[-s 管理员服务器[:端口]]
kadmin.local [-r 境界[-p 主要[-q 询问[-d DBNAME[-e ENC:盐 ...] [-m[-x
数据库参数]
商品描述
kadmin 和 kadmin.local 是 Kerberos V5 管理的命令行界面
系统。 它们提供几乎相同的功能; 不同之处在于
kadmin.local 直接访问 KDC 数据库,而 kadmin 使用
卡管理(8). 除非另有明确说明,本手册页将使用“kadmin”来
参考这两个版本。 kadmin 提供 Kerberos 主体的维护,
密码策略和服务密钥表(keytabs)。
远程 kadmin 客户端使用 Kerberos 向使用该服务的 kadmind 进行身份验证
主要 kadmin/管理员主机 (哪里 管理员主机 是管理员的完全限定主机名
服务器)或 管理员/管理员. 如果凭据缓存包含其中之一的票证
校长,以及 -c 指定了凭据缓存选项,该票证用于
向 kadmind 进行身份验证。 否则, -p 和 -k 选项用于指定客户端
用于身份验证的 Kerberos 主体名称。 一旦 kadmin 确定了主体
名称,它从 KDC 请求服务票证,并使用该服务票证
向 kadmind 进行身份验证。
由于 kadmin.local 直接访问 KDC 数据库,所以通常必须直接在
具有足够读取 KDC 数据库权限的主 KDC。 如果 KDC 数据库
使用 LDAP 数据库模块,kadmin.local 可以运行在任何可以访问
LDAP 服务器。
配置
-r 境界
使用 境界 作为默认数据库领域。
-p 主要
使用 主要 进行身份验证。 否则,kadmin 将附加 /管理员 到初级
默认 ccache 的主体名称,值 USER 环境变量,
或使用 getpwuid 获得的用户名,按优先顺序排列。
-k 使用密钥表来解密 KDC 响应,而不是提示输入密码。 在
在这种情况下,默认主体将是 主机/主机名. 如果没有keytab
指定 -t 选项,则将使用默认密钥表。
-t 密钥表
使用 密钥表 解密 KDC 响应。 这只能与 -k 选项。
-n 请求匿名处理。 支持两种类型的匿名主体。
对于完全匿名的 Kerberos,在 KDC 上配置 PKINIT 并配置
pkinit_anchors 在客户的 krb5.conf文件(5)。 然后使用 -n 选项与
形式主体 @领域 (空的主体名称后跟 at 符号和
领域名称)。 如果 KDC 允许,将返回匿名票证。 一种
支持匿名票的第二种形式; 这些公开领域的门票隐藏了
客户端的身份,但不是客户端的领域。 对于这种模式,使用 金妮特 -n
具有正常的主体名称。 如果得到 KDC 的支持,委托人(但不是
领域)将被匿名主体替换。 从 1.8 版开始,MIT
Kerberos KDC 仅支持完全匿名操作。
-c 凭据_缓存
使用 凭据_缓存 作为凭据缓存。 缓存应该包含一个服务
门票 kadmin/管理员主机 (哪里 管理员主机 是完全限定的主机名
管理服务器)或 管理员/管理员 服务; 它可以通过 金妮特(1)
程序。 如果未指定此选项,kadmin 将请求新的服务票证
来自 KDC,并将其存储在其自己的临时 ccache 中。
-w 密码
使用 密码 而不是提示一个。 请谨慎使用此选项,因为它可能
通过进程列表将密码暴露给系统上的其他用户。
-q 询问
执行指定的查询,然后退出。 这对于编写脚本很有用。
-d DBNAME
指定 KDC 数据库的名称。 此选项不适用于 LDAP
数据库模块。
-s 管理员服务器[:端口]
指定 kadmin 应该联系的管理服务器。
-m 如果使用 kadmin.local,提示输入数据库主密码而不是读取
它来自一个隐藏文件。
-e ENC:盐 ...
设置要用于任何新创建的密钥的密钥列表。 看 键盐列表 in
配置文件(5) 获取可能值的列表。
-O 强制使用旧的 AUTH_GSSAPI 身份验证风格。
-N 防止回退到 AUTH_GSSAPI 身份验证风格。
-x 数据库参数
指定数据库特定的参数。 请参阅下一节了解支持
选项。
数据库 配置
数据库选项可用于覆盖特定于数据库的默认值。 支持的选项
对于 DB2 模块是:
-x 数据库名=*文件名*
指定 DB2 数据库的基本文件名。
-x 锁匠
使迭代操作在整个过程中保持锁定
操作,而不是在处理每个操作时临时释放锁
主要的。 这是默认行为,但存在此选项是为了允许
[dbmodules] 设置的命令行覆盖。 首次在发行版中引入
1.13.
-x 解锁者
使迭代操作为每个主体解锁数据库,而不是
在整个操作期间保持锁定。 首先介绍于
1.13发布。
LDAP 模块支持的选项有:
-x 主机=达普里
指定要通过 LDAP URI 连接的 LDAP 服务器。
-x 绑定=绑定域名
指定用于绑定到 LDAP 服务器的 DN。
-x 绑定密码=密码
指定用于绑定到 LDAP 服务器的密码或 SASL 机密。 使用
此选项可能会通过进程将密码暴露给系统上的其他用户
列表; 为避免这种情况,请使用 收藏夹 的命令
kdb5_ldap_util(8).
-x sasl_mech=机制
指定用于绑定到 LDAP 服务器的 SASL 机制。 绑定 DN 是
如果使用 SASL 机制,则忽略。 1.13 版中的新功能。
-x sasl_authcid=姓名
指定绑定到 LDAP 服务器时使用的身份验证名称
SASL 机制,如果该机制需要一个。 1.13 版中的新功能。
-x sasl_authzid=姓名
指定绑定到 LDAP 服务器时使用的授权名称
SASL 机制。 1.13 版中的新功能。
-x sasl_领域=境界
指定使用 SASL 机制绑定到 LDAP 服务器时使用的领域,
如果该机制使用一个。 1.13 版中的新功能。
-x 调试=水平
设置 OpenLDAP 客户端库调试级别。 水平 是一个整数
由图书馆解释。 调试消息打印为标准错误。
1.12 版中的新功能。
指令
使用远程客户端时,可用命令可能会根据
中指定的权限 kadm5.acl(5) 管理服务器上的文件。
添加主体
添加主体 [选项] 新王子
创建主体 新王子,提示输入密码两次。 如果没有密码策略
指定 -政策 选项,以及名为的策略 默认 被分配给
主体(如果存在)。 但是,创建一个名为 默认 不会自动
将此策略分配给以前存在的主体。 此策略分配可以是
被压制 -明确政策 选项。
此命令需要 加 特权。
别名: 加号, ANK
选项:
-到期 过期日期
(获取日期 string) 主体的到期日期。
-pwexpire 日期
(获取日期 字符串) 密码到期日期。
-最大生命 最大寿命
(获取日期 字符串)主体的最长票证寿命。
-最大更新生命 最大更新生命
(获取日期 字符串) 委托人票证的最大可更新生命周期。
-kvno 克夫诺
初始密钥版本号。
-政策 政策
此主体使用的密码策略。 如果未指定,则政策 默认
如果存在则使用(除非 -明确政策 指定)。
-明确政策
防止在以下情况下分配任何策略 -政策 未指定。
{-|+}allow_postdated
-allow_postdated 禁止该委托人获取过期票。
+allow_postdated 清除此标志。
{-|+}allow_forwardable
-允许转发 禁止此委托人获取可转发的票证。
+允许转发 清除此标志。
{-|+}allow_renewable
-allow_renewable 禁止该委托人获得可更新的门票。
+allow_renewable 清除此标志。
{-|+}allow_proxiable
-allow_proxiable 禁止该委托人获取可代理票证。
+允许代理 清除此标志。
{-|+}allow_dup_skey
-allow_dup_skey 通过以下方式禁用此主体的用户到用户身份验证
禁止此主体为另一个用户获取会话密钥。
+allow_dup_skey 清除此标志。
{-|+}require_preauth
+require_preauth 要求此主体在被允许之前进行预身份验证
启动。 -requires_preauth 清除此标志。 什么时候 +require_preauth 设置在
服务主体,KDC 只会为该服务签发服务票
主体,如果客户端的初始身份验证是使用
预认证。
{-|+}require_hwauth
+require_hwauth 要求此主体使用硬件设备进行预身份验证
在被允许 kinit 之前。 -requires_hwauth 清除此标志。 什么时候
+require_hwauth 设置在服务主体上,KDC 将只发布服务
如果客户端的初始身份验证是该服务主体的票证
使用硬件设备进行预认证。
{-|+}ok_as_delegate
+ok_as_delegate 设置 还好啦 as 代表 用此发行的机票上的标志
主体即服务。 客户端可以使用此标志作为凭据的提示
应在对服务进行身份验证时委托。 -ok_as_delegate 清除
这个标志。
{-|+}allow_svr
-allow_svr 禁止为此委托人签发服务票证。
+allow_svr 清除此标志。
{-|+}allow_tgs_req
-allow_tgs_req 指定服务的票证授予服务 (TGS) 请求
不允许使用此主体的票证。 +allow_tgs_req 清除此标志。
{-|+}allow_tix
-allow_tix 禁止为此委托人签发任何票证。 +allow_tix
清除此标志。
{-|+}需要改变
+需要改变 在下一次初始身份验证时强制更改密码
主。 -需要改变 清除此标志。
{-|+}password_changed_service
+password_changed_service 将此主体标记为密码更改服务
主。
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate 允许此委托人获取可转发票证
来自任意用户的自身,用于受约束的委派。
{-|+}no_auth_data_required
+无需验证数据 防止 PAC 或 AD-SIGNEDPATH 数据被添加到
校长的服务票。
-兰基
将主体的键设置为随机值。
-nokey 导致在没有密钥的情况下创建主体。 1.12 版中的新功能。
-pw 密码
将主体的密码设置为指定字符串,不提示输入
密码。 注意:在 shell 脚本中使用此选项可能会将密码暴露给
系统上的其他用户通过进程列表。
-e ENC:盐,...
使用指定的 keysalt 列表来设置主体的键。 看
键盐列表 in 配置文件(5) 获取可能值的列表。
-x db_princ_args
表示特定于数据库的选项。 LDAP 数据库模块的选项是:
-x DN=dn
指定将包含 Kerberos 主体的 LDAP 对象
创建。
-x 链接dn=dn
指定新创建的 Kerberos 主体的 LDAP 对象
对象将指向。
-x 容器dn=容器域名
指定 Kerberos 主体所在的容器对象
创建。
-x tkt政策=政策
将票证策略与 Kerberos 主体相关联。
注意:
· 容器域名 和 链接 选项不能与 dn 选项。
·如果 dn or 容器域名 添加主体时未指定选项,
主体是在配置的主体容器下创建的
领域或领域容器。
· dn 和 容器域名 应该在子树或主容器内
域中配置。
示例:
kadmin: addprinc 詹妮弗
警告:没有为“指定策略”[电子邮件保护]";
默认为无策略。
输入主体密码 [电子邮件保护]:
重新输入主体密码 [电子邮件保护]:
主要的 ”[电子邮件保护]”创建。
管理员:
修改主体
修改主体 [选项] 主要
修改指定的主体,更改指定的字段。 的选项
添加主体 也适用于这个命令,除了 -兰基, -pw及 -e 选项。
此外,该选项 -明确政策 将清除委托人的当前政策。
此命令需要 修改 特权。
别名: 模式
选项(除了 加号 选项):
-开锁
解锁一个锁定的主体(一个已经收到太多失败认证的主体
根据其密码策略在它们之间没有足够的时间尝试),以便
它可以成功验证。
重命名_主体
重命名_主体 [-力] 老校长 新校长
重命名指定的 老校长 至 新校长. 此命令提示
确认,除非 -力 给出了选项。
此命令需要 加 和 删除 特权。
别名: 仁普林
删除主体
删除主体 [-力] 主要
删除指定的 主要 从数据库。 此命令提示删除,
除非 -力 给出了选项。
此命令需要 删除 特权。
别名: 德尔普林克
更改密码
更改密码 [选项] 主要
更改密码 主要. 如果两者都没有,则提示输入新密码 -兰基 or -pw
已指定。
此命令需要 更改密码 特权,或者运行程序的主体是
与要更改的主体相同。
别名: CPW
可以使用以下选项:
-兰基
将主体的键设置为随机值。
-pw 密码
将密码设置为指定的字符串。 在脚本中使用此选项可能会暴露
通过进程列表获取系统上其他用户的密码。
-e ENC:盐,...
使用指定的 keysalt 列表来设置主体的键。 看
键盐列表 in 配置文件(5) 获取可能值的列表。
-保持
保留数据库中的现有密钥。 这个标志通常不是必需的,除非
也许是为了 krbtg 校长。
示例:
kadmin:cpw 系统测试
输入主体密码 [电子邮件保护]:
重新输入主体密码 [电子邮件保护]:
密码 [电子邮件保护] 改变。
管理员:
清除键
清除键 [-all|-保持kvno old_kvno_to_keep] 主要
清除以前保留的旧密钥(例如,从 更改密码 -保持) 从 主要.
If -保持kvno 指定,然后只清除 kvnos 低于
old_kvno_to_keep。 如果 -all 指定,然后清除所有键。 这 -all 选项是
1.12 版中的新功能。
此命令需要 修改 特权。
获取主体
获取主体 [-简洁] 主要
获取主体的属性。 随着 -简洁 选项,输出字段如引用
制表符分隔的字符串。
此命令需要 查询 特权,或者运行程序的主体
与列出的相同。
别名: 获取权限
例子:
kadmin:getprinc tlyu/admin
校长:tlyu/[电子邮件保护]
有效期:[从不]
上次密码更改:12 年 14 月 16 日星期一 47:1996:XNUMX EDT
密码有效期:[无]
最长门票寿命:0 天 10:00:00
最长可再生寿命:7 天 00:00:00
最后修改时间:12 年 14 月 16 日星期一 47:1996:XNUMX EDT (bjaspan/[电子邮件保护])
上次成功认证:[从不]
上次失败的身份验证:[从不]
密码尝试失败:0
键数:2
密钥:vno 1,des-cbc-crc
密钥:vno 1,des-cbc-crc:v4
属性:
政策:[无]
kadmin: getprinc -terse 系统测试
[电子邮件保护] 3 86400 604800 1
785926535 753241234 785900000
你/[电子邮件保护] 786100034 0 0
管理员:
list_principals 列表
list_principals 列表 [表达]
检索所有或部分主体名称。 表达 是一个 shell 风格的 glob 表达式,它
可以包含通配符 ?, *及 []. 匹配的所有主体名称
表达式被打印出来。 如果未提供表达式,则打印所有主体名称。
如果表达式不包含 @ 性格,一个 @ 字符后跟本地
领域被附加到表达式。
此命令需要 名单 特权。
别名: 列表原则, 获取主体, 获取原则
示例:
kadmin:listprincs 测试*
[电子邮件保护]
[电子邮件保护]
[电子邮件保护]
[电子邮件保护]
管理员:
获取字符串
获取字符串 主要
显示字符串属性 主要.
此命令需要 查询 特权。
别名: 获取字符串
设置字符串
设置字符串 主要 姓名 折扣值
设置一个字符串属性 主要. 字符串属性用于提供每个主体
KDC 和一些 KDC 插件模块的配置。 以下字符串属性
KDC 识别名称:
会话编码类型
指定当主体为会话密钥时支持的加密类型
作为服务器进行身份验证。 看 加密类型 in 配置文件(5) 以获得清单
接受的值。
OTP 为客户端启用一次性密码 (OTP) 预身份验证 主要。 该
折扣值 是一个表示对象数组的 JSON 字符串,每个对象都有可选的 类型
和 用户名 领域。
此命令需要 修改 特权。
别名: 设置字符串
示例:
set_string 主机/foo.mit.edu session_enctypes aes128-cts
设置字符串 [电子邮件保护] otp [{"type":"hotp","username":"custom"}]
删除字符串
删除字符串 主要 键
删除一个字符串属性 主要.
此命令需要 删除 特权。
别名: 删除字符串
添加策略
添加策略 [选项] 政策
添加名为的密码策略 政策 到数据库。
此命令需要 加 特权。
别名: 加波尔
可以使用以下选项:
-最大生命 次
(获取日期 string) 设置密码的最长生命周期。
-minlife 次
(获取日期 string) 设置密码的最短生命周期。
-最小长度 长度
设置密码的最小长度。
-最小班级数 数
设置密码中所需的最少字符类数。 五个
字符类是小写、大写、数字、标点符号和
空白/不可打印字符。
-历史 数
设置为主体保留的过去密钥的数量。 不支持此选项
使用 LDAP KDC 数据库模块。
-最大失败 最大数量
设置主体被锁定之前的身份验证失败次数。
仅跟踪需要的主体的身份验证失败
预认证。 成功后,失败尝试的计数器重置为 0
尝试进行身份验证。 一种 最大数量 值 0(默认值)禁用锁定。
-故障计数间隔 故障时间
(获取日期 string) 设置认证失败之间的允许时间。 如果
身份验证失败发生在 故障时间 自上次以来已经过去
失败,认证失败的次数被重置为 1。 故障时间 折扣值
0(默认值)意味着永远。
-锁定时间 锁定时间
(获取日期 string) 设置主体被锁定的持续时间
如果在没有指定的情况下发生太多身份验证失败,则进行身份验证
失败计数间隔已过。 持续时间 0(默认值)表示主体
保持锁定状态,直到通过管理方式解锁 模式 -开锁.
- 允许的keysalts
指定设置或更改时长期键支持的键/盐元组
主体的密码/密钥。 看 键盐列表 in 配置文件(5) 以获得清单
接受值,但请注意,键/盐元组必须用逗号 (',') 分隔
只要。 要清除允许的键/盐策略,请使用值“-”。
示例:
kadmin: add_policy -maxlife "2 days" -minlength 5 位客人
管理员:
修改策略
修改策略 [选项] 政策
修改名为的密码策略 政策. 选项如下所述 添加策略.
此命令需要 修改 特权。
别名: 模块
删除策略
删除策略 [-力] 政策
删除名为的密码策略 政策. 删除前提示确认。 这
如果任何主体正在使用该策略,则命令将失败。
此命令需要 删除 特权。
别名: 德尔波尔
示例:
kadmin:del_policy 客人
您确定要删除策略“guests”吗?
(是/否):是
管理员:
获取策略
获取策略 [ -简洁 ] 政策
显示名为的密码策略的值 政策。 随着 -简洁 标志,输出
字段作为由制表符分隔的带引号的字符串。
此命令需要 查询 特权。
别名:getpol
例子:
kadmin:get_policy 管理员
政策:管理员
最长密码寿命:180 天 00:00:00
密码最短寿命:00:00:00
最小密码长度:6
密码字符类的最小数量:2
保留的旧钥匙数量:5
引用计数:17
kadmin: get_policy -terse 管理员
管理员 15552000 0 6 2 5 17
管理员:
“引用计数”是使用该策略的主体数量。 使用 LDAP KDC
数据库模块,引用计数字段没有意义。
列表策略
列表策略 [表达]
检索全部或部分策略名称。 表达 是一个 shell 风格的 glob 表达式,它可以
包含通配符 ?, *及 []. 匹配表达式的所有策略名称
被打印。 如果未提供表达式,则打印所有现有策略名称。
此命令需要 名单 特权。
别名: 列表pols, 获取政策, 获取警察.
例子:
kadmin:listpols
测试pol
仅听写
一分钟一次
测试-pol-nopw
kadmin:listpols t*
测试pol
测试-pol-nopw
管理员:
卡塔德
卡塔德 [选项] 主要
卡塔德 [选项] -glob 原则-经验
添加一个 主要, 或所有匹配的主体 原则-经验, 到密钥表文件。 每个
在此过程中,委托人的密钥是随机的。 的规则 原则-经验 描述于
此 list_principals 列表 命令。
此命令需要 查询 和 更改密码 特权。 随着 -glob 形式,它也
需要 名单 特权。
选项是:
-k[keytab] 密钥表
使用 密钥表 作为密钥表文件。 否则,将使用默认密钥表。
-e ENC:盐,...
使用指定的 keysalt 列表来设置主体的新密钥。 看
键盐列表 in 配置文件(5) 获取可能值的列表。
-q 显示较少冗长的信息。
-norandkey
不要随机化密钥。 密钥及其版本号保持不变。 这个
option仅在kadmin.local中可用,不能组合指定
与 -e 选项。
为每个主体的唯一加密类型添加一个条目,忽略多个
具有相同加密类型但不同盐类型的密钥。
示例:
kadmin: ktadd -k /tmp/foo-new-keytab 主机/foo.mit.edu
主要主持人条目/[电子邮件保护] 使用 kvno 3,
加密类型 aes256-cts-hmac-sha1-96 添加到密钥表
文件:/tmp/foo-new-keytab
管理员:
删除
删除 [选项] 主要 [克夫诺 | 所有 | 旧]
删除指定的条目 主要 从密钥表。 不需要权限,因为
这不需要数据库访问。
如果指定了字符串“all”,则删除该主体的所有条目; 如果
指定字符串“old”,该主体的所有条目,除了那些最高的条目
kvno 被删除。 否则,指定的值被解析为整数,并且所有条目
其 kvno 匹配该整数被删除。
选项是:
-k[keytab] 密钥表
使用 密钥表 作为密钥表文件。 否则,将使用默认密钥表。
-q 显示较少冗长的信息。
示例:
kadmin: ktremove kadmin/admin all
从密钥表中删除了 kvno 3 的主体 kadmin/admin 条目
文件:/etc/krb5.keytab
管理员:
锁
以独占方式锁定数据库。 谨慎使用! 此命令仅适用于
DB2 KDC 数据库模块。
开锁
释放排他数据库锁。
列表请求
可用于 kadmin 请求的列表。
别名: lr, ?
退出
退出程序。 如果数据库被锁定,则锁定被释放。
别名: 出口, q
历史
kadmin 程序最初是由麻省理工学院的 Tom Yu 编写的,作为到
OpenVision Kerberos 管理程序。
使用 onworks.net 服务在线使用 kadmin
