ktabコマンド

名前

ktab - ローカル・キー表に格納されているプリンシパル名とサービス・キーの管理

シノプシス

ktab [commands] [options]

[commands] [options]

キータブの名前とエントリを一覧表示し、新しいキー・エントリをキータブに追加し、既存のキー・エントリを削除し、指示を表示します。 「コマンドとオプション」を参照してください。

説明

ktabを使用すると、ユーザーは、ローカル・キー表に格納されているプリンシパル名とサービス・キーを管理できます。 キータブに表示されているプリンシパルとキー・ペアは、ホスト上で実行されているサービスがキー配布センター(KDC)に自分自身を認証できるようにします。

Kerberosを使用するようにサーバーを構成する前に、サーバーを実行しているホスト上にキータブを設定する必要があります。 ktabツールを使用してkeytabを更新しても、Kerberosデータベースには影響しないことに注意してください。

キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。 Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。 キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。 ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。 どの操作を行っても、Kerberosデータベースには影響しません。

セキュリティ上の注意

コマンド行にパスワードを指定しないでください。 そのようにすると、セキュリティ・リスクが生じる可能性があります。 たとえば、UNIXのpsコマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。

ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。 キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。 キータブ・ファイルを平文のままネットワークで送信しないでください。

コマンドとオプション

-l [-e] [-t]

キータブの名前とエントリを一覧表示します。 -eを指定すると、各エントリの暗号化の種類が表示されます。 -tを指定すると、各エントリのタイムスタンプが表示されます。

-a principal_name [password] [-n kvno] [-s salt | -f] [-append]

オプションのpasswordを使用して、指定された主体名のkeytabに新しいキー・エントリを追加します。 kvnoが指定されている場合、新しいキーのキー・バージョン番号は値と等しくなります。指定されていない場合は、キー・バージョン番号が自動的に増分されます。 saltが指定されている場合は、デフォルトのソルトのかわりに使用されます。 -fが指定されている場合、KDCに接続して塩を取り出します。 -appendを指定すると、新しいキーがkeytabに追加されます。そうしないと、同じ主体の古いキーが削除されます。

Kerberosデータベースは変更されない。 コマンド行またはスクリプトでパスワードを指定しないでください。 このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。

-d principal_name [-f] [-e etype] [kvno | all| old]

指定したプリンシパルのキータブからキー・エントリを削除します。 Kerberosデータベースは変更されない。

• kvnoが指定されている場合、このツールは、キー・バージョン番号がkvnoに一致するキーを削除します。 allが指定されている場合は、すべてのキーを削除します。

• oldが指定されている場合、ツールは、kvnoが最も高いキーを除くすべてのキーを削除します。 デフォルトのアクションはallです。

• etypeが指定されている場合、このツールは、この暗号化タイプのキーのみを削除します。etypeは、RFC 3961のセクション8で定義されている数値etypeとして指定してください。 -fが指定されていないかぎり、削除を確認するプロンプトが表示されます。

etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。 それ以外の場合は、すべてのエントリが削除される。

-help

説明を表示する。

共通オプション

このオプションは、-l、-a、または-dコマンドで使用できます。

-k keytab name

FILE:プレフィクス付きのkeytab名およびパスを指定します。

例

• デフォルトのキー表内のエントリをすべてリストします

  ktab -l

• キー表に新しいプリンシパルを追加します(パスワードの入力を求められることに注意してください)

  ktab -a duke@example.com

• キー表からプリンシパルを削除します

  ktab -d duke@example.com