機械翻訳について

ktabコマンド

名前

ktab - ローカル・キー表に格納されているプリンシパル名とサービス・キーの管理

シノプシス

ktab [commands] [options]

[commands] [options]
キータブの名前とエントリを一覧表示し、新しいキー・エントリをキータブに追加し、既存のキー・エントリを削除し、指示を表示します。 「コマンドとオプション」を参照してください。

説明

ktabを使用すると、ローカルのキー表に格納されたプリンシパル名とサービス・キーを管理できます。 キータブに表示されているプリンシパルとキー・ペアは、ホスト上で実行されているサービスがキー配布センター(KDC)に自分自身を認証できるようにします。

Kerberosを使用するようにサーバーを構成する前に、サーバーを実行しているホスト上にキータブを設定する必要があります。 ktabツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。

キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。 Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。 キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。 ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。 どの操作を行っても、Kerberosデータベースには影響しません。

セキュリティ上の注意

コマンド行にパスワードを指定しないでください。 そのようにすると、セキュリティ・リスクが生じる可能性があります。 たとえば、UNIXのpsコマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。

ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。 キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。 キータブ・ファイルを平文のままネットワークで送信しないでください。

コマンドとオプション

-l [-e] [-t]
キータブの名前とエントリを一覧表示します。 -eを指定すると、各エントリの暗号化の種類が表示されます。 -tを指定すると、各エントリのタイムスタンプが表示されます。
-a principal_name [password] [-n kvno] [-append]

オプションのpasswordとともに指定されたプリンシパル名のキータブに新しいキー・エントリを追加します。 kvnoが指定されている場合、新しいキーのキー・バージョン番号はその値と等価で、それ以外の場合は自動的にキー・バージョン番号の値が増えます。 -appendが指定されている場合、新しいキーがキータブの最後に追加され、それ以外の場合は、同じプリンシパルの古いキーが削除されます。

Kerberosデータベースは変更されない。 コマンド行またはスクリプトにパスワードを指定しないでください。 このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。

-d principal_name [-f] [-e etype] [kvno | all| old]

指定したプリンシパルのキータブからキー・エントリを削除します。 Kerberosデータベースは変更されない。

  • kvnoが指定されている場合、キー・バージョン番号がkvnoと一致するキーを削除します。 allが指定されている場合、すべてのキーを削除します。

  • oldが指定されている場合、最も高いkvno値を持つキーを除いたすべてのキーを削除します。 デフォルトのアクションはallです。

  • etypeが指定されている場合、ツールはこの暗号化タイプのキーのみを削除します。etypeは、RFC 3961,セクション8で定義されている数値etypeとして指定します。 -fを指定しないかぎり、削除を確認するためのプロンプトが表示されます。

etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。 それ以外の場合は、すべてのエントリが削除される。

-help
説明を表示する。

共通オプション

このオプションは、-l-aまたは-dコマンドと一緒に使用できます。

-k 「keytab名」
FILE:接頭辞を使用してキータブ名とパスを指定します。