名前
ktab - ローカル・キー表に格納されているプリンシパル名とサービス・キーの管理
シノプシス
ktab
[commands] [options]
- [commands] [options]
- キータブ名およびエントリのリスト、キータブへの新しいキー・エントリの追加、既存のキー・エントリの削除、説明の表示を行います。 「コマンドとオプション」を参照しくてださい。
説明
ktab
を使用すると、ユーザーは、ローカル・キー表に格納されているプリンシパル名とサービス・キーを管理できます。 キータブに一覧表示されたプリンシパルとキー・ペアを使用すると、ホスト上で実行されているサービスをKey Distribution Center (KDC)に認証させることができます。
Kerberosを使用するようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。 ktab
ツールを使用してkeytabを更新しても、Kerberosデータベースには影響しないことに注意してください。
キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。 Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。 キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。 ktab
ツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。 どの操作を行っても、Kerberosデータベースには影響しません。
セキュリティ上の注意
コマンド行にパスワードを指定しないでください。 そのようにすると、セキュリティ・リスクが生じる可能性があります。 たとえば、UNIXのps
コマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。
ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。 キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。 キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンドとオプション
-l
[-e
] [-t
]-
キータブ名とエントリをリストします。
-e
を指定すると、各エントリの暗号化の種類が表示されます。-t
を指定すると、各エントリのタイムスタンプが表示されます。 -a
principal_name [password] [-n
kvno] [-s
salt |-f
] [-append
]-
オプションのpasswordを使用して、指定された主体名のkeytabに新しいキー・エントリを追加します。 kvnoが指定されている場合、新しいキーのキー・バージョン番号は値と等しくなります。指定されていない場合は、キー・バージョン番号が自動的に増分されます。 saltが指定されている場合は、デフォルトのソルトのかわりに使用されます。
-f
が指定されている場合、KDCに接続して塩を取り出します。-append
を指定すると、新しいキーがkeytabに追加されます。そうしないと、同じ主体の古いキーが削除されます。Kerberosデータベースは変更されない。 コマンド行またはスクリプトにパスワードを指定しないでください。 このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。
-d
principal_name [-f
] [-e
etype] [kvno |all
|old
]-
指定されたプリンシパルのキータブからキー・エントリを削除します。 Kerberosデータベースは変更されない。
kvnoが指定されている場合、このツールは、キー・バージョン番号がkvnoに一致するキーを削除します。
all
が指定されている場合は、すべてのキーを削除します。old
が指定されている場合、ツールは、kvnoが最も高いキーを除くすべてのキーを削除します。 デフォルトのアクションはall
です。etypeが指定されている場合、このツールは、この暗号化タイプのキーのみを削除します。etypeは、RFC 3961のセクション8で定義されている数値etypeとして指定してください。
-f
が指定されていないかぎり、削除を確認するプロンプトが表示されます。
etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。 それ以外の場合は、すべてのエントリが削除される。
-help
- 説明を表示する。
共通オプション
このオプションは、-l
、-a
、または-d
コマンドで使用できます。
-k
「keytab名」-
FILE:
プレフィクス付きのkeytab名およびパスを指定します。
例
デフォルトのキー表内のエントリをすべてリストします
ktab -l
キー表に新しいプリンシパルを追加します(パスワードの入力を求められることに注意してください)
ktab -a duke@example.com
キー表からプリンシパルを削除します
ktab -d duke@example.com