ユーザーがローカルのキー表に格納されたプリンシパル名とサービス鍵を管理できます。キータブに一覧表示されたプリンシパルと鍵のペアを使用することで、ホスト上で実行しているサービスをKey Distribution Center (KDC)に認証させることができます。Kerberosを使用できるようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktab
ツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。キー・タブ内の鍵を変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。
ktab -help
ktab -l [-e -t] [-k keytab_name]
ktab [-a principal_name password] [-k keytab_name]
ktab [-d principal_name] [etype]] [-k keytab_name]
ktab
ツールは、キー表内のプリンシパル名と鍵のペアを管理します。ktab
ツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。
キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルと鍵が記述されたキータブが必要になります。ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。
キー・タブ名とエントリを一覧表示する。-e
を指定すると、各エントリの暗号化の種類が表示されます。-t
を指定すると、各エントリのタイムスタンプが表示されます。
エントリをキー・タブに追加する。Kerberosデータベースは変更されない。パスワードをコマンド行またはスクリプトで指定しないでください。
1つ以上のエントリをキー・タブから削除する。Kerberosデータベースは変更されない。etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。
FILE:
接頭辞を使用してキータブ名とパスを指定します。
説明を表示する。
デフォルトのキー表内のエントリをすべて一覧表示します。
ktab -l
キー表に新しいプリンシパルを追加します(パスワードを求められることに注意してください)。
ktab -a duke@example.com
キー表からプリンシパルを削除します。
ktab -d duke@example.com