هذا هو الأمر kadmin الذي يمكن تشغيله في موفر الاستضافة المجاني OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
kadmin - برنامج إدارة قواعد البيانات Kerberos V5
موجز
kadmin [-O|-N] [-r مملكة] [-p ناظر] [-q سؤال] [[-c Cache_name] | [-k [-t لوحة المفاتيح]] |-n]
[-w كلمه السر] [-s admin_server[:ميناء]]
kadmin.local [-r مملكة] [-p ناظر] [-q سؤال] [-d com.dbname] [-e ENC:ملح ...] [-m] [-x
db_args]
الوصف
kadmin وkadmin.local هما واجهات سطر أوامر لإدارة Kerberos V5
نظام. أنها توفر وظائف متطابقة تقريبا؛ الفرق هو أن
يصل kadmin.local مباشرة إلى قاعدة بيانات KDC، بينما يقوم kadmin بتنفيذ العمليات باستخدام
kadmind(8). باستثناء ما هو منصوص عليه صراحةً بخلاف ذلك، ستستخدم صفحة الدليل هذه كلمة "kadmin" من أجل
الرجوع إلى كلا الإصدارين. يوفر kadmin صيانة مبادئ Kerberos،
سياسات كلمة المرور وجداول مفاتيح الخدمة (علامات المفاتيح).
يستخدم عميل kadmin البعيد Kerberos للمصادقة على kadmind باستخدام الخدمة
ناظر كادمين/المسؤول (أين المضيف المشرف هو اسم المضيف المؤهل بالكامل للمسؤول
الخادم) أو كادمين/المشرف. إذا كانت ذاكرة التخزين المؤقت لبيانات الاعتماد تحتوي على تذكرة لأحد هذه العناصر
مديرو المدارس، و -c تم تحديد خيار credentials_cache، حيث يتم استخدام تلك التذكرة
المصادقة على kadmind. وإلا فإن -p -k يتم استخدام الخيارات لتحديد العميل
اسم Kerberos الرئيسي المستخدم للمصادقة. بمجرد أن يحدد kadmin المدير
الاسم، فإنه يطلب تذكرة خدمة من مركز التوزيع الرئيسي (KDC)، ويستخدم تذكرة الخدمة هذه من أجل
المصادقة على kadmind.
وبما أن kadmin.local يصل مباشرة إلى قاعدة بيانات KDC، فإنه عادة يجب تشغيله مباشرة
مركز التوزيع الرئيسي (KDC) الرئيسي مع أذونات كافية لقراءة قاعدة بيانات مركز التوزيع الرئيسي (KDC). إذا كانت قاعدة بيانات KDC
يستخدم وحدة قاعدة بيانات LDAP، ويمكن تشغيل kadmin.local على أي مضيف يمكنه الوصول إلى
خادم LDAP.
OPTIONS
-r مملكة
استعمل مملكة كمجال قاعدة البيانات الافتراضية.
-p ناظر
استعمل ناظر للمصادقة. خلاف ذلك، سيتم إلحاق kadmin / المشرف إلى المرحلة الابتدائية
الاسم الرئيسي لذاكرة التخزين المؤقتة الافتراضية، وقيمة USER متغيرات البيئة،
أو اسم المستخدم كما تم الحصول عليه باستخدام getpwuid، حسب التفضيل.
-k استخدم لوحة المفاتيح لفك تشفير استجابة KDC بدلاً من المطالبة بكلمة مرور. في
في هذه الحالة، سيكون المبدأ الافتراضي المضيف/اسم المضيف. إذا لم يكن هناك لوحة المفاتيح
المحدد بامتداد -t الخيار، فسيتم استخدام علامة التبويب الافتراضية.
-t لوحة المفاتيح
استعمل لوحة المفاتيح لفك تشفير استجابة KDC. لا يمكن استخدام هذا إلا مع -k الخيار.
-n يطلب معالجة مجهولة. يتم دعم نوعين من المبادئ الأساسية المجهولة.
بالنسبة إلى Kerberos المجهول بالكامل، قم بتكوين PKINIT على KDC وقم بتكوينه
pkinit_anchors في العميل krb5.conf(5). ثم استخدم ملف -n الخيار مع
الرئيسي للنموذج @مملكة (اسم رئيسي فارغ متبوعًا بعلامة at وa
اسم المجال). إذا سمحت KDC بذلك، فسيتم إرجاع تذكرة مجهولة المصدر. أ
يتم دعم الشكل الثاني من التذاكر المجهولة؛ هذه التذاكر المكشوفة للعالم تخفي
هوية العميل ولكن ليس مجال العميل. لهذا الوضع، استخدم كينيت -n
مع اسم رئيسي عادي. إذا كانت مدعومة من قبل KDC، فإن المدير (ولكن ليس
المجال) سيتم استبداله بالمدير المجهول. اعتبارًا من الإصدار 1.8، أصبح MIT
يدعم Kerberos KDC فقط العمليات المجهولة بالكامل.
-c credentials_cache
استعمل credentials_cache كذاكرة التخزين المؤقت لبيانات الاعتماد. يجب أن تحتوي ذاكرة التخزين المؤقت على خدمة
تذكرة ل كادمين/المسؤول (أين المضيف المشرف هو اسم المضيف المؤهل بالكامل لـ
خادم الإدارة) أو كادمين/المشرف خدمة؛ يمكن الحصول عليها مع كينيت(1)
برنامج. إذا لم يتم تحديد هذا الخيار، يطلب kadmin تذكرة خدمة جديدة
من KDC، ويقوم بتخزينه في ذاكرة التخزين المؤقتة الخاصة به.
-w كلمه السر
استعمل كلمه السر بدلاً من المطالبة بواحدة. استخدم هذا الخيار بعناية، قدر الإمكان
كشف كلمة المرور للمستخدمين الآخرين على النظام من خلال قائمة العمليات.
-q سؤال
قم بتنفيذ الاستعلام المحدد ثم قم بالخروج. يمكن أن يكون هذا مفيدًا لكتابة البرامج النصية.
-d com.dbname
يحدد اسم قاعدة بيانات KDC. لا ينطبق هذا الخيار على LDAP
وحدة قاعدة البيانات.
-s admin_server[:ميناء]
يحدد خادم الإدارة الذي يجب على kadmin الاتصال به.
-m إذا كنت تستخدم kadmin.local، فاطلب كلمة المرور الرئيسية لقاعدة البيانات بدلاً من قراءتها
ذلك من ملف خبأ.
-e ENC:ملح
لتعيين قائمة المفاتيح التي سيتم استخدامها لأي مفاتيح جديدة تم إنشاؤها. يرى Keysalt_lists in
kdc.conf(5) للحصول على قائمة القيم المحتملة.
-O فرض استخدام نكهة المصادقة القديمة AUTH_GSSAPI.
-N منع الرجوع إلى نكهة المصادقة AUTH_GSSAPI.
-x db_args
يحدد الوسائط الخاصة بقاعدة البيانات. راجع القسم التالي للحصول على الدعم
خيارات.
DATABASE OPTIONS
يمكن استخدام خيارات قاعدة البيانات لتجاوز الإعدادات الافتراضية الخاصة بقاعدة البيانات. الخيارات المدعومة
لوحدة DB2 هي:
-x اسم db=*اسم الملف*
يحدد اسم الملف الأساسي لقاعدة بيانات DB2.
-x lockiter
إجراء عمليات التكرار مع الاحتفاظ بالقفل طوال المدة
التشغيل، بدلاً من تحرير القفل مؤقتًا أثناء التعامل مع كل منها
رئيسي. هذا هو السلوك الافتراضي، ولكن هذا الخيار موجود للسماح به
تجاوز سطر الأوامر لإعداد [dbmodules]. تم تقديمه لأول مرة في الإصدار
1.13
-x unlockiter
اجعل عمليات التكرار تفتح قاعدة البيانات لكل مدير، بدلاً من
عقد القفل طوال مدة العملية بأكملها. تم تقديمه لأول مرة في
الافراج عن 1.13.
الخيارات المدعومة لوحدة LDAP هي:
-x المضيف =لدابوري
يحدد خادم LDAP للاتصال به عبر LDAP URI.
-x بيندن=bind_dn
يحدد الاسم المميز المستخدم للربط بخادم LDAP.
-x bindpwd=كلمه السر
يحدد كلمة المرور أو سر SASL المستخدم للربط بخادم LDAP. استخدام
قد يؤدي هذا الخيار إلى كشف كلمة المرور لمستخدمين آخرين على النظام من خلال هذه العملية
قائمة؛ لتجنب ذلك، قم بدلاً من ذلك بتخزين كلمة المرور باستخدام الملف com.stashsrvpw قيادة
kdb5_ldap_util(8).
-x sasl_mech=آلية
يحدد آلية SASL المستخدمة للربط بخادم LDAP. الربط DN هو
يتم تجاهله في حالة استخدام آلية SASL. الجديد في الإصدار 1.13.
-x sasl_authcid=الاسم
يحدد اسم المصادقة المستخدم عند الارتباط بخادم LDAP باستخدام ملف
آلية SASL، إذا كانت الآلية تتطلب واحدة. الجديد في الإصدار 1.13.
-x sasl_authzid=الاسم
يحدد اسم التفويض المستخدم عند الارتباط بخادم LDAP باستخدام الامتداد
آلية SASL. الجديد في الإصدار 1.13.
-x sasl_realm=مملكة
يحدد المجال المستخدم عند الارتباط بخادم LDAP باستخدام آلية SASL،
إذا كانت الآلية تستخدم واحدة. الجديد في الإصدار 1.13.
-x التصحيح =مستوى
يضبط مستوى تصحيح الأخطاء لمكتبة عميل OpenLDAP. مستوى هو عدد صحيح ليكون
يتم تفسيرها من قبل المكتبة. تتم طباعة رسائل التصحيح إلى الخطأ القياسي.
الجديد في الإصدار 1.12.
أوامر
عند استخدام العميل البعيد، قد يتم تقييد الأوامر المتاحة وفقًا لـ
الامتيازات المحددة في kadm5.acl(5) الملف على خادم المسؤول.
add_principal
add_principal [الخيارات] com.newprinc
يخلق الرئيسي com.newprinc، يطالب مرتين بكلمة المرور. إذا لم تكن هناك سياسة كلمة المرور
المحدد بامتداد -سياسات الخيار، والسياسة المسماة الافتراضي يتم تعيينه إلى
الرئيسي إذا كان موجودا. ومع ذلك، إنشاء سياسة اسمها الافتراضي لن تلقائيا
تعيين هذه السياسة لمديري المدارس الموجودين سابقًا. يمكن أن تكون مهمة السياسة هذه
قمع مع - سياسة واضحة الخيار.
يتطلب هذا الأمر تضيف امتياز.
اسماء مستعارة: com.addprinc, كرانك
خيارات:
-تنقضي expdate
(تاريخ الوصول سلسلة) تاريخ انتهاء الصلاحية للأصل.
-pwexpire com.pwexpdate
(تاريخ الوصول سلسلة) تاريخ انتهاء كلمة المرور.
-maxlife ماكسلايف
(تاريخ الوصول سلسلة) الحد الأقصى لعمر التذكرة للمدير.
-maxrenewlife com.maxrenewlife
(تاريخ الوصول سلسلة) الحد الأقصى للحياة المتجددة للتذاكر لمدير المدرسة.
-كفنو kvno
رقم إصدار المفتاح الأولي.
-سياسات سياسة
سياسة كلمة المرور المستخدمة من قبل هذا المدير. إذا لم يتم تحديدها، فإن السياسة الافتراضي
يتم استخدامه إذا كان موجودًا (ما لم - سياسة واضحة محدد).
- سياسة واضحة
يمنع تعيين أي سياسة متى -سياسات غير محدد.
{-|+}allow_postdated
-allow_postdated يحظر على هذا المدير الحصول على تذاكر مؤجلة.
+allow_postdated يمسح هذا العلم.
{-|+}allow_forwardable
-allow_forwardable يحظر على هذا المدير الحصول على تذاكر قابلة لإعادة التوجيه.
+allow_forwardable يمسح هذا العلم.
{-|+}allow_renewable
-allow_renewable يحظر على هذا المدير الحصول على تذاكر قابلة للتجديد.
+allow_renewable يمسح هذا العلم.
{-|+}allow_proxiable
-allow_proxiable يحظر على هذا المدير الحصول على تذاكر قابلة للوكالة.
+allow_proxiable يمسح هذا العلم.
{-|+}allow_dup_skey
-allow_dup_skey تعطيل المصادقة من مستخدم إلى مستخدم لهذا المبدأ من خلال
منع هذا المبدأ من الحصول على مفتاح الجلسة لمستخدم آخر.
+allow_dup_skey يمسح هذا العلم.
{-|+}requires_preauth
+requires_preauth يتطلب هذا المبدأ إجراء مصادقة مسبقة قبل السماح به
لكينيت. -requires_preauth يمسح هذا العلم. متى +requires_preauth تم تعيينه على
مبدأ الخدمة، ستقوم KDC فقط بإصدار تذاكر الخدمة لهذه الخدمة
الرئيسي إذا تم إجراء المصادقة الأولية للعميل باستخدام
المصادقة المسبقة.
{-|+}requires_hwauth
+requires_hwauth يتطلب هذا المبدأ إجراء المصادقة المسبقة باستخدام جهاز
قبل السماح له بالتحرك. -requires_hwauth يمسح هذا العلم. متى
+requires_hwauth تم تعيينه على مبدأ الخدمة، فإن مركز التوزيع الرئيسي (KDC) سيصدر الخدمة فقط
تذاكر لمبدأ الخدمة هذا إذا كانت المصادقة الأولية للعميل
يتم إجراؤها باستخدام جهاز لإجراء المصادقة المسبقة.
{-|+}ok_as_delegate
+ok_as_delegate يحدد ال حسنا as مندوب العلم على التذاكر الصادرة مع هذا
الرئيسي كخدمة. يمكن للعملاء استخدام هذه العلامة كإشارة إلى أن بيانات الاعتماد
يجب تفويضها عند المصادقة على الخدمة. -ok_as_delegate ثبات
هذا العلم.
{-|+}allow_svr
-allow_svr يحظر إصدار تذاكر الخدمة لهذا المدير.
+allow_svr يمسح هذا العلم.
{-|+}allow_tgs_req
-allow_tgs_req يحدد أن طلب خدمة منح التذاكر (TGS) للخدمة
تذكرة لهذا المدير غير مسموح بها. +allow_tgs_req يمسح هذا العلم.
{-|+}allow_tix
-allow_tix يحظر إصدار أي تذاكر لهذا المدير. +allow_tix
يمسح هذا العلم.
{-|+}بحاجة للتغيير
+ بحاجة للتغيير يفرض تغيير كلمة المرور على المصادقة الأولية التالية لهذا
الرئيسية. -بحاجة الى التغيير يمسح هذا العلم.
{-|+}password_change_service
+password_change_service يمثل هذا المبدأ كخدمة تغيير كلمة المرور
الرئيسية.
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate يسمح لهذا المدير بالحصول على تذاكر قابلة لإعادة التوجيه إلى
نفسها من المستخدمين التعسفيين، للاستخدام مع التفويض المقيد.
{-|+}no_auth_data_required
+no_auth_data_required يمنع إضافة بيانات PAC أو AD-SIGNEDPATH إليها
تذاكر الخدمة للمدير.
-راندكي
يضبط مفتاح المدير على قيمة عشوائية.
-لا مفتاح يؤدي إلى إنشاء مدير المدرسة بدون مفتاح. الجديد في الإصدار 1.12.
-pw كلمه السر
يضبط كلمة المرور الخاصة بالمدير على السلسلة المحددة ولا يطالب بها
كلمة السر. ملاحظة: قد يؤدي استخدام هذا الخيار في برنامج شل النصي إلى كشف كلمة المرور
المستخدمين الآخرين على النظام من خلال قائمة العمليات.
-e ENC:ملح، ...
يستخدم قائمة المفاتيح المحددة لتعيين المفاتيح الرئيسية. يرى
Keysalt_lists in kdc.conf(5) للحصول على قائمة القيم المحتملة.
-x db_princ_args
يشير إلى الخيارات الخاصة بقاعدة البيانات. خيارات وحدة قاعدة بيانات LDAP هي:
-x الاسم المميز=dn
يحدد كائن LDAP الذي سيحتوي على كائن Kerberos الأساسي
مكون.
-x لينكدن=dn
يحدد كائن LDAP الذي ينتمي إليه Kerberos الأساسي الذي تم إنشاؤه حديثًا
سوف يشير الكائن.
-x حاويةdn=حاوية_dn
يحدد كائن الحاوية الذي يجب أن يكون أساس Kerberos ضمنه
مكون.
-x tktpolicy=سياسة
ربط سياسة التذاكر بمدير Kerberos.
NOTE:
· ال حاوية لينكدن لا يمكن تحديد الخيارات باستخدام dn الخيار.
· إذا كان dn or حاوية لم يتم تحديد الخيارات أثناء إضافة المدير،
يتم إنشاء المبادئ ضمن الحاوية الرئيسية التي تم تكوينها في ملف
عالم أو حاوية العالم.
· dn حاوية يجب أن يكون ضمن الأشجار الفرعية أو الحاوية الرئيسية
تكوينها في المجال.
على سبيل المثال:
كادمين: addprinc جينيفر
تحذير: لم يتم تحديد سياسة لـ "[البريد الإلكتروني محمي]";
التخلف عن أي سياسة.
أدخل كلمة المرور للمدير [البريد الإلكتروني محمي]:
أعد إدخال كلمة المرور للمدير [البريد الإلكتروني محمي]:
رئيسي "[البريد الإلكتروني محمي]" مخلوق.
قدمين:
تعديل_الرئيسية
تعديل_الرئيسية [الخيارات] ناظر
يعدل المبدأ الأساسي المحدد، ويغير الحقول كما هو محدد. الخيارات ل
add_principal تنطبق أيضًا على هذا الأمر، باستثناء -راندكي, -pwو -e خيارات.
وبالإضافة إلى ذلك، الخيار - سياسة واضحة سوف مسح السياسة الحالية للمدير.
يتطلب هذا الأمر تعديل امتياز.
الاسم المستعار: com.modprinc
الخيارات (بالإضافة إلى com.addprinc خيارات):
-الغاء القفل
يفتح مفتاحًا أساسيًا مقفلاً (الذي تلقى عددًا كبيرًا جدًا من عمليات المصادقة الفاشلة
المحاولات دون وجود وقت كافٍ بينها وفقًا لسياسة كلمة المرور الخاصة بها).
يمكنه المصادقة بنجاح.
rename_principal
rename_principal [-فرض] old_principal new_principal
إعادة تسمية المحدد old_principal إلى new_principal. يطالب هذا الأمر بـ
التأكيد، ما لم يكن -فرض يتم إعطاء الخيار.
يتطلب هذا الأمر تضيف حذف الامتيازات.
الاسم المستعار: com.renprinc
delete_principal
delete_principal [-فرض] ناظر
يحذف المحدد ناظر من قاعدة البيانات. يطالب هذا الأمر بالحذف،
ما لم يكن -فرض يتم إعطاء الخيار.
يتطلب هذا الأمر حذف امتياز.
الاسم المستعار: com.delprinc
تغيير كلمة المرور
تغيير كلمة المرور [الخيارات] ناظر
يغير كلمة المرور الخاصة ناظر. يطالب بكلمة مرور جديدة إذا لم يكن الأمر كذلك -راندكي or -pw
محدد.
يتطلب هذا الأمر com.changepw الامتياز، أو أن المدير الذي يقوم بتشغيل البرنامج هو
نفس الشيء الرئيسي الذي تم تغييره.
الاسم المستعار: com.cpw
الخيارات التالية متاحة:
-راندكي
يضبط مفتاح المدير على قيمة عشوائية.
-pw كلمه السر
قم بتعيين كلمة المرور إلى السلسلة المحددة. قد يؤدي استخدام هذا الخيار في البرنامج النصي إلى كشف
كلمة المرور للمستخدمين الآخرين على النظام من خلال قائمة العمليات.
-e ENC:ملح، ...
يستخدم قائمة المفاتيح المحددة لتعيين المفاتيح الرئيسية. يرى
Keysalt_lists in kdc.conf(5) للحصول على قائمة القيم المحتملة.
-keepold
يحتفظ بالمفاتيح الموجودة في قاعدة البيانات. هذا العلم عادة ليس ضروريا إلا
ربما ل krbtgt مديري.
على سبيل المثال:
كادمين: cpw systest
أدخل كلمة المرور للمدير [البريد الإلكتروني محمي]:
أعد إدخال كلمة المرور للمدير [البريد الإلكتروني محمي]:
كلمة المرور [البريد الإلكتروني محمي] تغيرت.
قدمين:
com.purgekeys
com.purgekeys [-كل|-keepkvno الأقدم_kvno_to_keep] ناظر
عمليات التطهير احتفظت سابقًا بالمفاتيح القديمة (على سبيل المثال، من تغيير كلمة المرور -keepold) من عند ناظر.
If -keepkvno تم تحديده، ثم يتم فقط مسح المفاتيح التي تحتوي على kvnos أقل من
الأقدم_kvno_to_keep. إذا -كل تم تحديده، ثم يتم مسح كافة المفاتيح. ال -كل الخيار
الجديد في الإصدار 1.12.
يتطلب هذا الأمر تعديل امتياز.
get_principal
get_principal [-مقتضب] ناظر
يحصل على سمات المدير. مع ال -مقتضب الخيار، حقول النواتج كما نقلت
سلاسل مفصولة بعلامات جدولة.
يتطلب هذا الأمر استعلم امتياز، أو أن مدير تشغيل البرنامج
أن يكون هو نفسه الذي تم إدراجه.
الاسم المستعار: com.getprinc
أمثلة:
كادمين: getprinc tlyu/admin
الرئيسية: tlyu/[البريد الإلكتروني محمي]
تاريخ انتهاء الصلاحية: [أبدًا]
آخر تغيير لكلمة المرور: الإثنين 12 أغسطس، الساعة 14:16:47 بتوقيت شرق الولايات المتحدة 1996
تاريخ انتهاء كلمة المرور: [لا يوجد]
الحد الأقصى لعمر التذكرة: 0 أيام 10:00:00
الحد الأقصى للعمر المتجدد: 7 أيام 00:00:00
آخر تعديل: الإثنين 12 أغسطس 14:16:47 بتوقيت شرق الولايات المتحدة 1996 (bjaspan/[البريد الإلكتروني محمي])
آخر مصادقة ناجحة: [أبدًا]
آخر مصادقة فاشلة: [أبدًا]
محاولات كلمة المرور الفاشلة: 0
عدد المفاتيح: شنومكس
المفتاح: vno 1، des-cbc-crc
المفتاح: vno 1، des-cbc-crc:v4
سمات:
السياسة: [لا شيء]
kadmin: getprinc -terse systest
[البريد الإلكتروني محمي] 3 86400 604800 1
785926535 753241234 785900000
تاليو/[البريد الإلكتروني محمي] 786100034 0 0
قدمين:
list_principals
list_principals [التعبير]
يسترد كل أو بعض الأسماء الرئيسية. التعبير هو تعبير عالمي على نمط الصدفة
يمكن أن تحتوي على أحرف البدل ?, *و []. جميع الأسماء الرئيسية مطابقة ل
تتم طباعة التعبير. إذا لم يتم توفير أي تعبير، تتم طباعة كافة الأسماء الأساسية.
إذا كان التعبير لا يحتوي على @ حرف، و @ الطابع تليها المحلية
يتم إلحاق المجال بالتعبير.
يتطلب هذا الأمر الإدارية امتياز.
الاسم المستعار: com.listprincs, get_principals, get_princs
على سبيل المثال:
كادمين: اختبار listprincs*
[البريد الإلكتروني محمي]
[البريد الإلكتروني محمي]
[البريد الإلكتروني محمي]
[البريد الإلكتروني محمي]
قدمين:
get_strings
get_strings ناظر
يعرض سمات السلسلة على ناظر.
يتطلب هذا الأمر استعلم امتياز.
الاسم المستعار: getstr
set_string
set_string ناظر الاسم قيمنا
يضبط سمة سلسلة على ناظر. يتم استخدام سمات السلسلة لتزويد كل مدير
التكوين لـ KDC وبعض وحدات البرنامج الإضافي لـ KDC. سمة السلسلة التالية
يتم التعرف على الأسماء من قبل KDC:
session_enctypes
يحدد أنواع التشفير المدعومة لمفاتيح الجلسة عندما يكون المفتاح الأساسي
تمت المصادقة عليه كخادم. يرى Encryption_types in kdc.conf(5) للحصول على قائمة
القيم المقبولة
مكتب المدعي العام تمكين المصادقة المسبقة لكلمات المرور لمرة واحدة (OTP) للعميل ناظر.
قيمنا عبارة عن سلسلة JSON تمثل مجموعة من الكائنات، لكل منها اختياري نوع
اسم المستخدم الحقول.
يتطلب هذا الأمر تعديل امتياز.
الاسم المستعار: setstr
على سبيل المثال:
set_string host/foo.mit.edu session_enctypes aes128-cts
set_string [البريد الإلكتروني محمي] مكتب المدعي العام [{"نوع": "hotp"، "اسم المستخدم": "مخصص"}]
del_string
del_string ناظر مفتاح
يحذف سمة سلسلة من ناظر.
يتطلب هذا الأمر حذف امتياز.
الاسم المستعار: delstr
add_policy
add_policy [الخيارات] سياسة
يضيف سياسة كلمة المرور المسماة سياسة إلى قاعدة البيانات.
يتطلب هذا الأمر تضيف امتياز.
الاسم المستعار: com.addpol
الخيارات التالية متاحة:
-maxlife الوقت
(تاريخ الوصول سلسلة) لتعيين الحد الأقصى لعمر كلمة المرور.
-الحياة الوقت
(تاريخ الوصول سلسلة) لتعيين الحد الأدنى لعمر كلمة المرور.
-طول دقيقة الطول
يضبط الحد الأدنى لطول كلمة المرور.
-minclasses عدد
يضبط الحد الأدنى لعدد فئات الأحرف المطلوبة في كلمة المرور. الخمسة
فئات الأحرف هي الأحرف الصغيرة والأحرف الكبيرة والأرقام وعلامات الترقيم و
مسافة بيضاء/أحرف غير قابلة للطباعة.
-التاريخ عدد
يضبط عدد المفاتيح السابقة التي تم الاحتفاظ بها للمدير. هذا الخيار غير مدعوم
مع وحدة قاعدة بيانات LDAP KDC.
-maxfailure maxnumber
يضبط عدد مرات فشل المصادقة قبل قفل المدير.
يتم تعقب حالات فشل المصادقة فقط للمبادئ الأساسية التي تتطلب ذلك
المصادقة المسبقة. تتم إعادة تعيين عداد المحاولات الفاشلة إلى 0 بعد نجاحها
محاولة المصادقة. أ maxnumber القيمة 0 (الافتراضية) تعمل على تعطيل القفل.
-الفاصل الزمني للفشل وقت الفشل
(تاريخ الوصول سلسلة) لتعيين الوقت المسموح به بين حالات فشل المصادقة. إذا كان
يحدث فشل المصادقة بعد ذلك وقت الفشل لقد انقضى منذ السابق
الفشل، يتم إعادة تعيين عدد حالات فشل المصادقة إلى 1. أ وقت الفشل قيمنا
0 (الافتراضي) يعني إلى الأبد.
- مدة القفل lockouttime
(تاريخ الوصول سلسلة) يحدد المدة التي يتم قفل رأس المال منها
المصادقة في حالة حدوث الكثير من حالات فشل المصادقة بدون المحدد
انقضاء الفاصل الزمني لعدد الفشل. المدة 0 (الافتراضية) تعني المبلغ الأساسي
يظل مقفلاً حتى يتم إلغاء قفله إداريًا com.modprinc -الغاء القفل.
-الأملاح المفاتيح المسموح بها
يحدد مجموعات المفاتيح/الملح المدعومة للمفاتيح طويلة المدى عند الإعداد أو التغيير
كلمة المرور / المفاتيح الخاصة بالمدير. يرى Keysalt_lists in kdc.conf(5) للحصول على قائمة
القيم المقبولة، ولكن لاحظ أنه يجب فصل مجموعات المفاتيح/الملح بفواصل ('،')
فقط. لمسح سياسة المفتاح/الملح المسموح بها، استخدم القيمة "-".
على سبيل المثال:
kadmin: add_policy -maxlife "يومان" -الحد الأدنى للطول 2 ضيوف
قدمين:
تعديل_سياسة
تعديل_سياسة [الخيارات] سياسة
يعدل سياسة كلمة المرور المسماة سياسة. الخيارات كما هو موضح ل add_policy.
يتطلب هذا الأمر تعديل امتياز.
الاسم المستعار: modpol
delete_policy
delete_policy [-فرض] سياسة
يحذف سياسة كلمة المرور المسماة سياسة. يطالب بالتأكيد قبل الحذف. ال
سيفشل الأمر إذا كانت السياسة قيد الاستخدام من قبل أي مديرين أساسيين.
يتطلب هذا الأمر حذف امتياز.
الاسم المستعار: com.delpol
على سبيل المثال:
كاظمين: del_policy الضيوف
هل أنت متأكد أنك تريد حذف سياسة "الضيوف"؟
(نعم/لا): نعم
قدمين:
get_policy
get_policy [ -مقتضب ] سياسة
يعرض قيم سياسة كلمة المرور المسماة سياسة. مع ال -مقتضب العلم، المخرجات
الحقول كسلاسل مقتبسة مفصولة بعلامات جدولة.
يتطلب هذا الأمر استعلم امتياز.
الاسم المستعار: جيتبول
أمثلة:
كادمين: get_policy المشرف
السياسة: المشرف
الحد الأقصى لعمر كلمة المرور: 180 يومًا 00:00:00
الحد الأدنى لعمر كلمة المرور: 00:00:00
الحد الأدنى لطول كلمة المرور: 6
الحد الأدنى لعدد فئات أحرف كلمة المرور: 2
عدد المفاتيح القديمة المحفوظة: 5
عدد المراجع: 17
كادمين: get_policy -مشرف مقتضب
المشرف 15552000 0 6 2 5 17
قدمين:
"العدد المرجعي" هو عدد المديرين الذين يستخدمون تلك السياسة. مع LDAP KDC
وحدة قاعدة البيانات، حقل العد المرجعي ليس له معنى.
list_policies
list_policies [التعبير]
استرداد كافة أو بعض أسماء السياسات. التعبير عبارة عن تعبير كروي بنمط الصدفة يمكنه
تحتوي على أحرف البدل ?, *و []. جميع أسماء السياسات المطابقة للتعبير
تتم طباعتها. إذا لم يتم توفير أي تعبير، فستتم طباعة كافة أسماء السياسات الموجودة.
يتطلب هذا الأمر الإدارية امتياز.
اسماء مستعارة: listpols, get_policies, com.getpols.
أمثلة:
كادمين: listpols
اختبار بول
الإملاء فقط
مرة واحدة في الدقيقة
اختبار بول-nopw
كادمين: listpols ر*
اختبار بول
اختبار بول-nopw
قدمين:
ktadd
ktadd [خيارات] ناظر
ktadd [خيارات] الكرة princ-exp
يضيف ناظر، أو مطابقة كافة المبادئ princ-exp، إلى ملف لوحة المفاتيح. كل
يتم اختيار مفاتيح المدير بشكل عشوائي في هذه العملية. القواعد ل princ-exp موصوفة في
هيه list_principals أمر.
يتطلب هذا الأمر استعلم com.changepw الامتيازات. مع ال الكرة الشكل، وهو كذلك
يتطلب الإدارية امتياز.
الخيارات هي:
-ك[إيتاب] لوحة المفاتيح
استعمل لوحة المفاتيح كملف keytab. وبخلاف ذلك، يتم استخدام لوحة المفاتيح الافتراضية.
-e ENC:ملح، ...
يستخدم قائمة المفاتيح المحددة لتعيين المفاتيح الجديدة للمدير. يرى
Keysalt_lists in kdc.conf(5) للحصول على قائمة القيم المحتملة.
-q عرض معلومات مطولة أقل.
-norandkey
لا عشوائية المفاتيح. تظل المفاتيح وأرقام إصداراتها دون تغيير. هذا
الخيار متاح فقط في kadmin.local، ولا يمكن تحديده معًا
مع الالجائزة -e الخيار.
تتم إضافة إدخال لكل نوع من أنواع التشفير الفريدة الخاصة بالمدير، مع تجاهل الأنواع المتعددة
مفاتيح بنفس نوع التشفير ولكن أنواع الملح مختلفة.
على سبيل المثال:
kadmin: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
دخول المضيف الرئيسي/[البريد الإلكتروني محمي] مع كفنو 3,
تمت إضافة نوع التشفير aes256-cts-hmac-sha1-96 إلى لوحة المفاتيح
الملف:/tmp/foo-new-keytab
قدمين:
ktremove
ktremove [خيارات] ناظر [kvno | الكل | قديم]
إزالة الإدخالات المحددة ناظر من لوحة المفاتيح. لا يتطلب أي أذونات، منذ ذلك الحين
هذا لا يتطلب الوصول إلى قاعدة البيانات.
إذا تم تحديد السلسلة "all"، فستتم إزالة كافة الإدخالات لهذا المبدأ؛ إذا
تم تحديد السلسلة "old"، جميع الإدخالات لهذا المبدأ باستثناء تلك ذات الأعلى
تتم إزالة kvno. وإلا، فسيتم تحليل القيمة المحددة كعدد صحيح، وجميع الإدخالات
تتم إزالة تطابق kvno الذي يتطابق مع هذا العدد الصحيح.
الخيارات هي:
-ك[إيتاب] لوحة المفاتيح
استعمل لوحة المفاتيح كملف keytab. وبخلاف ذلك، يتم استخدام لوحة المفاتيح الافتراضية.
-q عرض معلومات مطولة أقل.
على سبيل المثال:
kadmin: ktremove kadmin/admin all
إدخال kadmin/admin الرئيسي مع إزالة kvno 3 من لوحة المفاتيح
ملف: /etc/krb5.keytab
قدمين:
قفل
قفل قاعدة البيانات حصرا. استخدم بحذر شديد! هذا الأمر يعمل فقط مع
وحدة قاعدة بيانات DB2 KDC.
فتح
حرر قفل قاعدة البيانات الحصرية.
list_requests
القوائم المتاحة لطلبات kadmin.
اسماء مستعارة: lr, ?
استقال
برنامج الخروج. إذا تم تأمين قاعدة البيانات، فسيتم تحرير القفل.
اسماء مستعارة: خروج, q
التاريخ
تمت كتابة برنامج kadmin في الأصل بواسطة Tom Yu في معهد ماساتشوستس للتكنولوجيا، كواجهة لـ
برنامج إدارة OpenVision Kerberos.
استخدم kadmin عبر الإنترنت باستخدام خدمات onworks.net
