名前
kinit - Kerberosチケット許可チケットの取得およびキャッシュ
シノプシス
初期チケットのリクエスト:
kinit
[-A
] [-f
] [-p
] [-c
cache_name] [-l
lifetime] [-r
renewable_time] [[-k
[-t
keytab_file_name]] [principal] [password]
チケットの更新:
kinit
-R
[-c
cache_name] [principal]
説明
このツールの機能は、SEAMやMITリファレンス実装など、他のKerberos実装に一般的に見られるkinit
ツールと類似しています。 kinit
を実行する前に、Key Distribution Center (KDC)を使用してユーザーをプリンシパルとして登録する必要があります。
デフォルトでは、Windowsで、USER_HOME \krb5cc_
USER_NAMEという名前のキャッシュ・ファイルが生成されます。
USER_HOMEは、java.lang.System
プロパティuser.home
から取得されます。 USER_NAMEは、java.lang.System
プロパティuser.name
から取得されます。 USER_HOMEがnullの場合、キャッシュ・ファイルはプログラムが実行されている現在のディレクトリに格納されます。 USER_NAMEは、オペレーティング・システムのログイン・ユーザー名です。 このユーザー名は、ユーザーのプリンシパル名と別の名前にすることもできます。 たとえばWindowsでは、キャッシュ・ファイルはC:\Windows\Users\duke\krb5cc_duke
のようになります。この場合、duke
はUSER_NAMEであり、C:\Windows\Users\duke
はUSER_HOMEです。
デフォルトでは、キー・タブ名は、Kerberos設定ファイルから取得されます。 Kerberos構成ファイルでkeytab名が指定されていない場合、kinitツールは名前がUSER_HOME \krb5.keytab
であると想定
コマンド行でpasswordオプションを使用するときにパスワードを指定しない場合、kinit
ツールからパスワードの入力を要求されます。
ノート:
password
オプションは、テスト目的でのみ用意されています。 スクリプトにパスワードを指定したり、コマンド行にパスワードを入力したりしないでください。 このようにした場合、パスワードが漏洩する危険性があります。
Commands
次のいずれかのコマンドを指定できます。 コマンドの後にオプションを指定します。
-A
- アドレスを含めません。
-f
- 転送可能チケットを発行します。
-p
- プロキシ化可能チケットを発行します。
-c
cache_name- キャッシュ名(例:
FILE:D:\temp\mykrb5cc
)です。 -l
lifetime- チケットの存続期間を設定します。 値は"h:m[:s]"、"NdNhNmNs"および"N"のいずれかです。 詳細は、「MIT krb5時間期間の定義」を参照してください。
-r
renewable_time- チケットを更新できる合計存続期間を設定します。
-R
- チケットを更新します。
-k
- キータブを使用します。
-t
keytab_filename- キータブ名(例:
d:\winnt\profiles\duke\krb5.keytab
)です。 - principal
- プリンシパル名(例:
duke@example.com
)です。 - password
- プリンシパルのKerberosパスワード。 これは、コマンド行またはスクリプトに指定しないでください。
kinit -help
を実行して、前述の手順を表示します。
例
デフォルト・サービスについて、現在のクライアント・ホストから認証に対して有効な資格を要求し、デフォルトの場所(C:\Windows\Users\duke\krb5cc_duke
)に資格キャッシュを格納します。
kinit duke@example.com
異なるプリンシパルごとにプロキシ化可能な資格証明を要求し、指定されたファイル・キャッシュにこれらの資格証明を格納します。
kinit -l 1h -r 10h duke@example.com
指定したプリンシパルのTGTが1時間で期限切れになるように要求しますが、最大10時間は更新可能です。 ユーザーは期限切れ前にチケットを更新する必要があります。 更新済チケットは最初の要求から10時間以内に繰り返し更新できます。
kinit -R duke@example.com
指定したプリンシパルの既存の更新可能なTGTを更新します。
kinit -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com
異なるプリンシパルごとにプロキシ化可能および転送可能な資格証明を要求し、指定されたファイル・キャッシュにこれらの資格証明を格納します。
kinit -f -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com
kinit
ツールのヘルプ・メニューを表示します。
kinit -help