Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Cette commande ajoute une nouvelle clé principale, générée de façon aléatoire. L'option –s requiert que la nouvelle clé principale soit stockée dans le fichier keytab par défaut.
# kdb5_util add_mkey -s Creating new master key for master key principal 'K/M@EXAMPLE.COM' You will be prompted for a new database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key:/** Type strong password **/ Re-enter KDC database master key to verify: xxxxxxxx
# kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, No activate time set KNVO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Dec 31 18:00:00 CST 2011 *
L'astérisque dans cette sortie identifie la clé principale actuellement active.
# date Fri Jul 11 17:57:00 CDT 2014 # kdb5_util use_mkey 2 'now+2days' # kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, Active on: Sun Jul 13 17:57:15 CDT 2014 KNVO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Dec 31 18:00:00 CST 2011 *
Dans cet exemple, la date est définie deux jours plus tard pour laisser le temps à la nouvelle clé principale de se propager à tous les KDC. Ajustez la date selon les besoins de votre environnement.
# kadmin.local -q 'getprinc tamiko' |egrep 'Principal|MKey' Authenticating as principal root/admin@EXAMPLE.COM with password. Principal: tamiko@EXAMPLE.COM MKey: vno 2
Dans cet exemple, MKey: vno 2 indique que la clé secrète du principal est protégée par la nouvelle clé principale 2.
Si vous ajoutez un argument de modèle à la fin de la commande, les principaux qui correspondent au modèle seront mis à jour. Ajoutez l'option –n à la syntaxe de cette commande afin d'identifier les principaux qui seront mis à jour.
# kdb5_util update_princ_encryption -f -v Principals whose keys WOULD BE re-encrypted to master key vno 2: updating: host/kdc1.example.com@EXAMPLE.COM skipping: tamiko@EXAMPLE.COM updating: kadmin/changepw@EXAMPLE.COM updating: kadmin/history@EXAMPLE.COM updating: kdc/admin@EXAMPLE.COM updating: host/kdc2.example.com@EXAMPLE.COM 6 principals processed: 5 updated, 1 already current
Lorsqu'une clé principale n'est plus utilisée pour protéger les clés secrètes des principaux, elle peut être purgée du principal de la clé principale. Cette commande ne purge pas la clé si celle-ci est encore utilisée par des principaux. Ajoutez l'option –n à cette commande pour vérifier que la clé principale appropriée sera purgée.
# kdb5_util purge_mkeys -f -v Purging the follwing master key(s) from K/M@EXAMPLE.COM: KNVO: 1 1 key(s) purged.
# kdb5_util list_mkeys Master keys for Principal: K/M@EXAMPLE.COM KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, Active on: Sun Jul 13 17:57:15 CDT 2014 *
# kdb5_util stash Using existing stashed keys to update stash file.
# klist -kt /var/krb5/.k5.EXAMPLE.COM Keytab name: FILE:.k5.EXAMPLE.COM KVNO Timestamp Principal ---- ---------------- --------------------------------------------------------- 2 05/11/2014 18:03 K/M@EXAMPLE.COM