「stash ファイル」には、Kerberos データベースのマスター鍵が含まれます。このファイルは、Kerberos データベースを作成すると自動的に作成されます。stash ファイルが壊れた場合は、kdb5_util ユーティリティーの stash コマンドを使用して、置き換えることができます。stash ファイルの削除が必要になるのは、kdb5_util の destroy コマンドを使用して Kerberos データベースを削除したあとだけです。stash ファイルはデータベースとともに自動的に削除されるわけではないため、stash ファイルを手動で削除する必要があります。
stash ファイルを削除するには、rm コマンドを使用します。
# rm stash-file
この例では、stash-file は stash ファイルのパスを示します。デフォルトでは、stash ファイルは /var/krb5/.k5.realm にあります。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
このコマンドでは、ランダムに生成された新しいマスター鍵を追加します。–s オプションは、新しいマスター鍵がデフォルトのキータブに格納されるよう要求します。
# kdb5_util add_mkey -s
Creating new master key for master key principal 'K/M@EXAMPLE.COM'
You will be prompted for a new database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:/** Type strong password **/
Re-enter KDC database master key to verify: xxxxxxxx
# kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KVNO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, No activate time set KVNO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Dec 31 18:00:00 CST 2011 *
この出力内のアスタリスクは、現在アクティブになっているマスター鍵を特定します。
# date Fri Oct 9 17:57:00 CDT 2015 # kdb5_util use_mkey 2 'now+2days' # kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KVNO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Oct 9 17:57:15 CDT 2015 KVNO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Dec 31 18:00:00 CST 2011 *
この例では、新しいマスター鍵がすべての KDC に伝播される時間を見越して、日付は 2 日後に設定されています。この日付は、環境に合わせて適宜調整してください。
# kadmin.local -q 'getprinc tamiko' | egrep 'Principal|MKey' Authenticating as principal root/admin@EXAMPLE.COM with password. Principal: tamiko@EXAMPLE.COM MKey: vno 2
この例では、MKey: vno 2 は、新しく作成されたマスター鍵 2 によって主体の秘密鍵が保護されていることを示しています。
コマンドの終わりにパターンの引数を追加した場合は、そのパターンに一致する主体が更新されます。更新される主体を特定するには、このコマンドに –n オプションを追加します。
# kdb5_util update_princ_encryption -f -v Principals whose keys WOULD BE re-encrypted to master key vno 2: updating: host/kdc1.example.com@EXAMPLE.COM skipping: tamiko@EXAMPLE.COM updating: kadmin/changepw@EXAMPLE.COM updating: kadmin/history@EXAMPLE.COM updating: kdc/admin@EXAMPLE.COM updating: host/kdc2.example.com@EXAMPLE.COM 6 principals processed: 5 updated, 1 already current
主体の秘密鍵の保護にマスター鍵が使用されなくなった場合は、マスター鍵主体からそれを削除できます。いずれかの主体で引き続き使用されている鍵はこのコマンドで削除されません。適切なマスター鍵が削除されることを確認するには、このコマンドに –n オプションを追加します。
# kdb5_util purge_mkeys -f -v Purging the following master key(s) from K/M@EXAMPLE.COM: KVNO: 1 1 key(s) purged.
# kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KVNO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, Active on: Sun Oct 4 17:57:15 CDT 2015 *
# kdb5_util stash Using existing stashed keys to update stash file.
# klist -kt /var/krb5/.k5.EXAMPLE.COM Keytab name: FILE:.k5.EXAMPLE.COM KVNO Timestamp Principal ---- ---------------- --------------------------------------------------------- 2 10/11/2015 18:03 K/M@EXAMPLE.COM