kinit
ツールとそのオプションは、Kerberosチケット認可チケットを取得およびキャッシュする場合に使用します。
このツールの機能は、SEAMやMITリファレンス実装など、他のKerberos実装に一般的に見られるkinit
ツールと類似しています。kinit
を実行する前に、Key Distribution Center (KDC)を使用してユーザーをプリンシパルとして登録する必要があります。
形式
初期チケットのリクエスト:
kinit [-A] [-f] [-p] [-c cache_name] [-l lifetime] [-r renewable_time] [[-k [-t keytab_file_name]] [principal] [password]
チケットの更新:
kinit -R [-c cachename] [principal]
説明
Windowsではデフォルトで、USER_HOME\krb5cc_USER_NAME
というキャッシュ・ファイルが生成されます。
USER_HOME
は、java.lang.System
プロパティuser.home
から取得されます。USER_NAME
は、java.lang.System
プロパティuser.name
から取得されます。USER_HOME
がnullの場合、キャッシュ・ファイルはプログラムが実行されている現在のディレクトリに格納されます。USER_NAME
は、オペレーティング・システムのログイン・ユーザー名です。このユーザー名は、ユーザーのプリンシパル名と別の名前にすることもできます。たとえばWindowsでは、キャッシュ・ファイルはC:\Windows\Users\duke\krb5cc_duke
のようになります。この場合、duke
はUSER_NAME
であり、C:\Windows\Users\duke
はUSER_HOME
です。
デフォルトでは、キー・タブ名は、Kerberos設定ファイルから取得されます。Kerberos構成ファイルでキータブ名が指定されていない場合、kinitツールではUSER_HOME\krb5.keytab
という名前であるとみなされます。
コマンド行でpassword
オプションを使用するときにパスワードを指定しない場合、kinit
ツールからパスワードの入力を要求されます。
注意:
password
オプションは、テスト目的でのみ用意されています。スクリプトにパスワードを指定したり、コマンド行にパスワードを入力したりしないでください。このようにした場合、パスワードが漏洩する危険性があります。
コマンド
次のいずれかのコマンドを指定できます。コマンドの後にオプションを指定します。
-A
アドレスを含めません。
-f
転送可能チケットを発行します。
-p
プロキシ化可能チケットを発行します。
-c cache_name
キャッシュ名(例: FILE:D:\temp\mykrb5cc
)です。
-l lifetime
チケットの存続期間を設定します。
-r renewable_time
チケットを更新できる合計存続期間を設定します。
-R
チケットを更新します。
-k
キータブを使用します。
-t keytab_filename
キータブ名(例: d:\winnt\profiles\duke\krb5.keytab
)です。
principal
プリンシパル名(例: duke@example.com
)です。
password
プリンシパル
のKerberosパスワード。これは、コマンド行またはスクリプトに指定しないでください。
-help
説明を表示する。
例
デフォルト・サービスについて、現在のクライアント・ホストから認証に対して有効な資格を要求し、デフォルトの場所(C:\Windows\Users\duke\krb5cc_duke
)に資格キャッシュを格納します。
kinit duke@example.com
異なるプリンシパルごとにプロキシ化可能な資格証明を要求し、指定されたファイル・キャッシュにこれらの資格証明を格納します。
kinit -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com
異なるプリンシパルごとにプロキシ化可能および転送可能な資格証明を要求し、指定されたファイル・キャッシュにこれらの資格証明を格納します。
kinit -f -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com
kinit
ツールのヘルプ・メニューを表示します。
kinit -help