| Java Platform, Standard Editionツール・リファレンス リリース9 E91918-01 |
|
 前 |
 次 |
ktabツールは、ローカルのキー表に格納されたプリンシパル名とサービス鍵を管理する場合に使用します。
形式
ktab commands options
commands optionsキータブ名およびエントリのリスト、キータブへの新しいキー・エントリの追加、既存のキー・エントリの削除、説明の表示を行います。「コマンドとオプション」を参照しくてださい。
説明
ktabを使用すると、ローカルのキー表に格納されたプリンシパル名とサービス鍵を管理できます。キータブに一覧表示されたプリンシパルと鍵のペアを使用すると、ホスト上で実行されているサービスをKey Distribution Center (KDC)に認証させることができます。
Kerberosを使用するようにサーバーを構成するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktabツールを使用してキータブを更新しても、Kerberosデータベースは影響を受けません。
キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザーのパスワードに類似しています。Key Distribution Center (KDC)に認証してもらう必要のあるアプリケーション・サーバーでは、サーバー自身のプリンシパルと鍵が記述されたキータブが必要になります。キー・タブ内の鍵を変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。ktabツールを使用すると、キー表内のプリンシパル名とキーのペアを一覧表示、追加、更新または削除できます。どの操作を行っても、Kerberosデータベースには影響しません。
セキュリティ上の注意
コマンド行にパスワードを指定しないでください。そのようにすると、セキュリティ・リスクが生じる可能性があります。たとえば、UNIXのpsコマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。
ユーザーにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキー・タブの保護が重要になります。キータブ・ファイルは、必ずローカル・ディスクに格納し、root以外には読み取れないようにする必要があります。キータブ・ファイルを平文のままネットワークで送信しないでください。
コマンドとオプション
-l [-e] [-t] キータブ名とエントリをリストします。-eを指定すると、各エントリの暗号化の種類が表示されます。-tを指定すると、各エントリのタイムスタンプが表示されます。
-a principal_name [password] [-n kvno] [-append] オプションのpasswordとともに指定されたプリンシパル名のキータブに新しいキー・エントリを追加します。kvnoが指定されている場合、新しい鍵のキー・バージョン番号はその値と等価で、それ以外の場合は自動的にキー・バージョン番号の値が増えます。-appendが指定されている場合、新しい鍵がキータブの最後に追加され、それ以外の場合は、同じプリンシパルの古いキーが削除されます。
Kerberosデータベースは変更されない。コマンド行またはスクリプトにパスワードを指定しないでください。このツールでは、パスワードが指定されていない場合、パスワードの入力を求められます。
-d principal_name [—f] [-e etype] [kvno | all| old] 指定されたプリンシパルのキータブからキー・エントリを削除します。Kerberosデータベースは変更されない。
kvnoが指定されている場合、キー・バージョン番号がkvnoと一致する鍵を削除します。allが指定されている場合、すべての鍵を削除します。
oldが指定されている場合、最も高いkvno値を持つ鍵を除いたすべての鍵を削除します。デフォルトのアクションはallです。
etypeが指定されている場合、この暗号化の種類の鍵のみを削除します。etypeはRFC 3961のセクション8で定義されている数値etypeで指定する必要があります。-fを指定しないかぎり、削除を確認するためのプロンプトが表示されます。
etypeを指定すると、この暗号化の種類に一致するエントリのみが削除されます。それ以外の場合は、すべてのエントリが削除される。
-help説明を表示する。
