目次 前 次
ktab
ユーザーがローカルのキー表に格納されたプリンシパル名とサービス・キーを管理できます。 キータブに一覧表示されたプリンシパルとキー・ペアを使用することで、ホスト上で実行しているサービスをKey Distribution Center (KDC)に認証させることができます。 Kerberosを使用できるようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。 ktabツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。 キー・タブ内のキーを変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。
形式
ktab -help
ktab -l [-e -t] [-k keytab_name]
ktab [-a principal_name password] [-k keytab_name]
ktab [-d principal_name] [etype]] [-k keytab_name]
説明
ktabツールは、キー表内のプリンシパル名とキーのペアを管理します。 ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。 どの操作を行っても、Kerberosデータベースには影響しません。
キータブは、ホスト自身のキー・リストをコピーしたものです。キー・リストはユーザーのパスワードに類似しています。 Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルとキーが記述されたキータブが必要になります。 ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。 キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。 キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンド
- -l [-e -t]
-
キー・タブ名とエントリを一覧表示する。
-eを指定すると、各エントリの暗号化の種類が表示されます。-tを指定すると、各エントリのタイムスタンプが表示されます。 - -a principal_name password
-
エントリをキー・タブに追加する。 Kerberosデータベースは変更されない。 パスワードをコマンド行またはスクリプトで指定しないでください。
- -d principal_name [etype]
-
1つ以上のエントリをキー・タブから削除する。 Kerberosデータベースは変更されない。 etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。 それ以外の場合は、すべてのエントリが削除される。
- -k keytab_name
-
FILE:接頭辞を使用してキータブ名とパスを指定します。 - -help
-
説明を表示する。
例
デフォルトのキー表内のエントリをすべて一覧表示します。
ktab -l
キー表に新しいプリンシパルを追加します(パスワードを求められることに注意してください)。
ktab -a duke@example.com
キー表からプリンシパルを削除します。
ktab -d duke@example.com