ktab
ktab
ツールは、ローカルのキー表に格納されたプリンシパル名とサービス・キーを管理する場合に使用します。
形式
ktab commands options
-
commands options
-
キータブ名およびエントリのリスト、キータブへの新しいキー・エントリの追加、既存のキー・エントリの削除、説明の表示を行います。「コマンドとオプション」を参照しくてださい。
説明
ktab
を使用すると、ローカルのキー表に格納されたプリンシパル名とサービス・キーを管理できます。キータブに一覧表示されたプリンシパルとキー・ペアを使用すると、ホスト上で実行されているサービスをKey Distribution Center (KDC)に認証させることができます。
Kerberosを使用するようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktab
ツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。
キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。ktab
ツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。
セキュリティ上の注意
コマンド行にパスワードを指定しないでください。そのようにすると、セキュリティ・リスクが生じる可能性があります。たとえば、UNIXのps
コマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。
ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンドとオプション
-
-l [-e] [-t]
-
キータブ名とエントリをリストします。
-e
を指定すると、各エントリの暗号化の種類が表示されます。-t
を指定すると、各エントリのタイムスタンプが表示されます。 -
-a principal_name [password] [-n kvno] [-append]
-
オプションの
password
とともに指定されたプリンシパル名のキータブに新しいキー・エントリを追加します。kvno
が指定されている場合、新しいキーのキー・バージョン番号はその値と等価で、それ以外の場合は自動的にキー・バージョン番号の値が増えます。-append
が指定されている場合、新しいキーがキータブの最後に追加され、それ以外の場合は、同じプリンシパルの古いキーが削除されます。Kerberosデータベースは変更されない。コマンド行またはスクリプトにパスワードを指定しないでください。このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。
-
-d principal_name [—f] [-e etype] [kvno | all | old]
-
指定されたプリンシパルのキータブからキー・エントリを削除します。Kerberosデータベースは変更されない。
-
kvno
が指定されている場合、キー・バージョン番号がkvno
と一致するキーを削除します。 -
all
が指定されている場合、すべてのキーを削除します。 -
old
が指定されている場合、最も高いkvno
値を持つキーを除いたすべてのキーを削除します。デフォルトのアクションはall
です。 -
etype
が指定されている場合、この暗号化の種類のキーのみを削除します。etype
はRFC 3961のセクション8で定義されている数値etype
で指定する必要があります。-f
を指定しないかぎり、削除を確認するためのプロンプトが表示されます。
etype
を指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。 -
-
-help
-
説明を表示する。