ktab - Kerberos 鍵テーブルマネージャー

ktab を使用すると、ローカルの鍵テーブルに保存された主体名とサービス鍵を管理することができます。キータブに一覧表示された主体と鍵のペアを使用することにより、ホスト上で実行しているサービスを、Key Distribution Center (KDC) に認証させることができます。Kerberos を使用できるようにサーバーを設定するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktab を使用したキータブの更新は、Kerberos データベースに影響しません。キータブ内の鍵を変更した場合、Kerberos データベースにも同様の変更を加えなければなりません。

形式

ktab [ commands ]

説明

ktab は、鍵テーブルの主体名と鍵のペアを管理します。また、ユーザーは ktab を使用して、鍵テーブル内の主体名とキーのペアを一覧表示、追加、更新、または削除できます。どの操作を行っても、Kerberos データベースには影響しません。

キータブ
キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC) に認証してもらう必要のあるアプリケーションサーバーでは、サーバー自身の主体と鍵が記述されたキータブが必要になります。ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキータブの保護が重要になります。キータブファイルは、必ずローカルディスクに保存し、スーパーユーザー以外には読み取れないようにする必要があります。キータブファイルを平文のままネットワークで送信しないでください。

コマンド

使用法:コマンド行オプションは、大文字と小文字を区別しません

ktab -help

ktab -l [-e -t] [-k <keytab_name>]

ktab [-a <principal_name> <password>] [-k <keytab_name>]

ktab [-d <principal_name> [<etype>]] [-k <keytab_name>]

コマンドオプション 説明
-l [-e -t] キータブ名とエントリを一覧表示する。-e を指定すると、各エントリの暗号化の種類が表示される。-t を指定すると、各エントリのタイムスタンプが表示される。
-a <principal_name> <password> エントリをキータブに追加する。Kerberos データベースは変更されない。コマンド行またはスクリプトでパスワードを指定しないこと。
-d <principal_name> [<etype>] 1 つ以上のエントリをキータブから削除する。Kerberos データベースは変更されない。etype を指定すると、この暗号化の種類に一致するエントリだけが削除される。それ以外の場合は、すべてのエントリが削除される。
-k <keytab_name> 接頭辞 FILE: を使用してキータブ名とパスを指定する
-help 説明を表示する。

デフォルトの鍵テーブル内のエントリをすべて一覧表示する場合
ktab -l
鍵テーブルに新しい主体を追加する場合 (パスワードを求められることに注意)
ktab -a duke@example.com
鍵テーブルから主体を削除する場合
ktab -d duke@example.com

セキュリティー上の注意

コマンド行にパスワードを入力しないでください。パスワードを入力すると、セキュリティー上の危険が生じます。たとえば、Unix ps コマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。


Copyright © 1993, 2013, Oracle and/or its affiliates. All rights reserved.