Java Platform, Standard Editionツール・リファレンス
目次      

ktab

ユーザーがローカルのキー表に格納されたプリンシパル名とサービス鍵を管理できます。キータブに一覧表示されたプリンシパルと鍵のペアを使用することで、ホスト上で実行しているサービスをKey Distribution Center (KDC)に認証させることができます。Kerberosを使用できるようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktabツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。キー・タブ内の鍵を変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。

形式

ktab -help

ktab -l [-e -t] [-k keytab_name]

ktab [-a principal_name password] [-k keytab_name]

ktab [-d principal_name] [etype]] [-k keytab_name]

説明

ktabツールは、キー表内のプリンシパル名と鍵のペアを管理します。ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。

キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルと鍵が記述されたキータブが必要になります。ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。

コマンド

-l [-e -t]

キー・タブ名とエントリを一覧表示する。-eを指定すると、各エントリの暗号化の種類が表示されます。-tを指定すると、各エントリのタイムスタンプが表示されます。

-a principal_name password

エントリをキー・タブに追加する。Kerberosデータベースは変更されない。パスワードをコマンド行またはスクリプトで指定しないでください。

-d principal_name [etype]

1つ以上のエントリをキー・タブから削除する。Kerberosデータベースは変更されない。etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。

-k keytab_name

FILE:接頭辞を使用してキータブ名とパスを指定します。

-help

説明を表示する。

デフォルトのキー表内のエントリをすべて一覧表示します。

ktab -l

キー表に新しいプリンシパルを追加します(パスワードを求められることに注意してください)。

ktab -a duke@example.com

キー表からプリンシパルを削除します。

ktab -d duke@example.com

セキュリティ上の注意

コマンド行にパスワードを入力しないでください。これを行うと、セキュリティが脆弱になります。たとえば、UNIXのpsコマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。

関連項目

目次      

Copyright © 1993, 2019, Oracle and/or its affiliates. All rights reserved.