ktab
ktabツールは、ローカルのキー表に格納されたプリンシパル名とサービス・キーを管理する場合に使用します。
形式
ktab commands options-
commands options -
キータブ名およびエントリのリスト、キータブへの新しいキー・エントリの追加、既存のキー・エントリの削除、説明の表示を行います。「コマンドとオプション」を参照しくてださい。
説明
ktabを使用すると、ローカルのキー表に格納されたプリンシパル名とサービス・キーを管理できます。キータブに一覧表示されたプリンシパルとキー・ペアを使用すると、ホスト上で実行されているサービスをKey Distribution Center (KDC)に認証させることができます。
Kerberosを使用するようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktabツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。
キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。
セキュリティ上の注意
コマンド行にパスワードを指定しないでください。そのようにすると、セキュリティ・リスクが生じる可能性があります。たとえば、UNIXのpsコマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。
ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンドとオプション
-
-l [-e] [-t] -
キータブ名とエントリをリストします。
-eを指定すると、各エントリの暗号化の種類が表示されます。-tを指定すると、各エントリのタイムスタンプが表示されます。 -
-a principal_name [password] [-n kvno] [-append] -
オプションの
passwordとともに指定されたプリンシパル名のキータブに新しいキー・エントリを追加します。kvnoが指定されている場合、新しいキーのキー・バージョン番号はその値と等価で、それ以外の場合は自動的にキー・バージョン番号の値が増えます。-appendが指定されている場合、新しいキーがキータブの最後に追加され、それ以外の場合は、同じプリンシパルの古いキーが削除されます。Kerberosデータベースは変更されない。コマンド行またはスクリプトにパスワードを指定しないでください。このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。
-
-d principal_name [—f] [-e etype] [kvno | all | old] -
指定されたプリンシパルのキータブからキー・エントリを削除します。Kerberosデータベースは変更されない。
-
kvnoが指定されている場合、キー・バージョン番号がkvnoと一致するキーを削除します。 -
allが指定されている場合、すべてのキーを削除します。 -
oldが指定されている場合、最も高いkvno値を持つキーを除いたすべてのキーを削除します。デフォルトのアクションはallです。 -
etypeが指定されている場合、この暗号化の種類のキーのみを削除します。etypeはRFC 3961のセクション8で定義されている数値etypeで指定する必要があります。-fを指定しないかぎり、削除を確認するためのプロンプトが表示されます。
etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。 -
-
-help -
説明を表示する。