Il s'agit de la commande ipa-getkeytab qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ipa-getkeytab - Obtenir un keytab pour un principal Kerberos
SYNOPSIS
ipa-getkeytab -p nom-principal -k fichier-clé [ -e types de cryptage ] [ -s serveur ipas ] [
-q ] [ -D|--binddn BINDDN ] [ -w|--bindpw ] [ -P|--le mot de passe MOT DE PASSE ] [ -r ]
DESCRIPTION
Récupère un Kerberos clavier.
Les keytabs Kerberos sont utilisés pour les services (comme sshd) pour effectuer l'authentification Kerberos. UNE
keytab est un fichier avec un ou plusieurs secrets (ou clés) pour un principal Kerberos.
Un principal de service Kerberos est une identité Kerberos qui peut être utilisée pour l'authentification.
Les principaux de service contiennent le nom du service, le nom d'hôte du serveur et le
nom de domaine. Par exemple, voici un exemple de principal pour un serveur LDAP :
ldap/[email protected]
Lorsque vous utilisez ipa-getkeytab, le nom du domaine est déjà fourni, donc le nom principal est simplement
le nom du service et le nom d'hôte (ldap/foo.example.com de l'exemple ci-dessus).
AVERTISSEMENT: la récupération du keytab réinitialise le secret pour le principal Kerberos. Cela rend
tous les autres keytabs pour ce principal sont invalides.
Ceci est utilisé lors de l'inscription du client IPA pour récupérer un principal de service hôte et stocker
dans /etc/krb5.keytab. Il est possible de récupérer le keytab sans les informations d'identification Kerberos
si l'hôte a été pré-créé avec un mot de passe à usage unique. Le keytab peut être récupéré par
se liant en tant qu'hôte et s'authentifiant avec ce mot de passe à usage unique. Les -D|--binddn ainsi que
-w|--bindpw des options sont utilisées pour cette authentification.
OPTIONS
-p nom-principal
La partie non-domaine du nom principal complet.
-k fichier-clé
Le fichier keytab où ajouter la nouvelle clé (sera créé s'il n'existe pas).
-e types de cryptage
La liste des types de chiffrement à utiliser pour générer des clés. ipa-getkeytab utilisera local
les valeurs par défaut du client si elles ne sont pas fournies. Les valeurs valides dépendent de la bibliothèque Kerberos
version et configuration. Les valeurs communes sont : aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s serveur ipas
Le serveur IPA à partir duquel récupérer le keytab (FQDN). Si cette option n'est pas fournie
le nom du serveur est lu à partir du fichier de configuration IPA (/etc/ipa/default.conf)
-q Mode silencieux. Seules les erreurs sont affichées.
--permis-enctypes
Cette option renvoie une description des types de chiffrement autorisés, comme ceci :
Types de cryptage pris en charge : mode AES-256 CTS avec SHA-96 1 bits HMAC AES-128 CTS
mode avec 96 bits SHA-1 HMAC Triple DES mode cbc avec HMAC/sha1 ArcFour avec
Mode cbc HMAC/md5 DES avec CRC-32 Mode DES cbc avec RSA-MD5 Mode DES cbc avec
RSA-MD4
-P, --le mot de passe
Utilisez ce mot de passe pour la clé au lieu d'un généré aléatoirement.
-RÉ, --binddn
Le DN LDAP à lier comme lors de la récupération d'un keytab sans informations d'identification Kerberos.
Généralement utilisé avec le -w option.
-w, --bindpw
Le mot de passe LDAP à utiliser lorsqu'il n'est pas lié à Kerberos.
-r Mode de récupération. Récupérer une clé existante du serveur au lieu d'en générer une nouvelle
une. Ceci est incompatible avec l'option --password et ne fonctionnera que contre un
Serveur FreeIPA plus récent que la version 3.3. L'utilisateur qui demande le keytab doit
avoir accès aux clés pour que cette opération réussisse.
EXEMPLES
Ajoutez et récupérez un keytab pour le principal du service NFS sur l'hôte foo.example.com et
enregistrez-le dans le fichier /tmp/nfs.keytab et récupérez uniquement la clé des-cbc-crc.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
Ajoutez et récupérez un keytab pour le principal du service LDAP sur l'hôte foo.example.com et
enregistrez-le dans le fichier /tmp/ldap.keytab.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
Récupérez un keytab à l'aide des informations d'identification LDAP (cela sera généralement fait par ipa-joindre(1) quand
inscrire un client à l'aide du ipa-client-installer(1) commander:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=ordinateurs,cn=accounts,dc=example,dc=com -w mot de passe
EXIT STATUT
L'état de sortie est 0 en cas de succès, différent de zéro en cas d'erreur.
0 Succès
1 Échec de l'initialisation du contexte Kerberos
2 Utilisation incorrecte
3 Mémoire insuffisante
4 Nom de principal de service non valide
5 Pas de cache d'informations d'identification Kerberos
6 Pas de principal Kerberos et pas de DN et de mot de passe de liaison
7 Échec de l'ouverture du keytab
8 Échec de la création du matériel de clé
9 Échec de la configuration de keytab
10 Mot de passe de liaison requis lors de l'utilisation d'un DN de liaison
11 Échec de l'ajout de la clé à keytab
12 Échec de la fermeture de keytab
Utilisez ipa-getkeytab en ligne à l'aide des services onworks.net
