ktab
ツールは、ローカルのキー表に格納されたプリンシパル名とサービス鍵を管理する場合に使用します。
形式
ktab commands options
commands options
キータブ名およびエントリのリスト、キータブへの新しいキー・エントリの追加、既存のキー・エントリの削除、説明の表示を行います。「コマンドとオプション」を参照しくてださい。
説明
ktab
を使用すると、ローカルのキー表に格納されたプリンシパル名とサービス鍵を管理できます。キータブに一覧表示されたプリンシパルと鍵のペアを使用すると、ホスト上で実行されているサービスをKey Distribution Center (KDC)に認証させることができます。
Kerberosを使用するようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktab
ツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。
キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルと鍵が記述されたキータブが必要になります。キー・タブ内の鍵を変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。ktab
ツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。
セキュリティ上の注意
コマンド行にパスワードを指定しないでください。そのようにすると、セキュリティ・リスクが生じる可能性があります。たとえば、UNIXのps
コマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。
ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンドとオプション
-l [-e] [-t]
キータブ名とエントリをリストします。-e
を指定すると、各エントリの暗号化の種類が表示されます。-t
を指定すると、各エントリのタイムスタンプが表示されます。
-a principal_name [password] [-n kvno] [-append]
オプションのpassword
とともに指定されたプリンシパル名のキータブに新しいキー・エントリを追加します。kvno
が指定されている場合、新しい鍵のキー・バージョン番号はその値と等価で、それ以外の場合は自動的にキー・バージョン番号の値が増えます。-append
が指定されている場合、新しい鍵がキータブの最後に追加され、それ以外の場合は、同じプリンシパルの古いキーが削除されます。
Kerberosデータベースは変更されない。コマンド行またはスクリプトにパスワードを指定しないでください。このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。
-d principal_name [—f] [-e etype] [kvno | all| old]
指定されたプリンシパルのキータブからキー・エントリを削除します。Kerberosデータベースは変更されない。
kvno
が指定されている場合、キー・バージョン番号がkvnoと一致する鍵を削除します。all
が指定されている場合、すべての鍵を削除します。
old
が指定されている場合、最も高いkvno
値を持つ鍵を除いたすべての鍵を削除します。デフォルトのアクションはall
です。
etype
が指定されている場合、この暗号化の種類の鍵のみを削除します。etype
はRFC 3961のセクション8で定義されている数値etype
で指定する必要があります。-f
を指定しないかぎり、削除を確認するためのプロンプトが表示されます。
etype
を指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。
-help
説明を表示する。