これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド ipa-getkeytab です。
プログラム:
NAME
ipa-getkeytab - Kerberos プリンシパルのキータブを取得する
SYNOPSIS
ipa-getkeytab -p プリンシパル名 -k keytab-ファイル [ -e 暗号化の種類 ] [ -s ipaサーバー ] [
-q ] [ -D|--binddn バインドDN ] [ -w|--bindpw ] [ -P|- パスワード PASSWORD ] [ -r ]
DESCRIPTION
ケルベロスを取得します キータブ.
Kerberos キータブは、Kerberos 認証を実行するサービス (sshd など) に使用されます。 あ
keytab は、Kerberos プリンシパルの XNUMX つ以上のシークレット (またはキー) が含まれるファイルです。
Kerberos サービス プリンシパルは、認証に使用できる Kerberos ID です。
サービスプリンシパルには、サービスの名前、サーバーのホスト名、および
レルム名。 たとえば、次は LDAP サーバーのプリンシパルの例です。
LDAP/[メール保護]
ipa-getkeytab を使用する場合、レルム名はすでに提供されているため、プリンシパル名は単に
サービス名とホスト名 (上記の例の ldap/foo.example.com)。
警告: キータブを取得すると、Kerberos プリンシパルの秘密がリセットされます。 これによりレンダリングされます
そのプリンシパルの他のすべてのキータブは無効です。
これは、IPA クライアントの登録中にホスト サービス プリンシパルを取得して保存するために使用されます。
/etc/krb5.keytab にあります。 Kerberos 資格情報なしでキータブを取得することは可能です
ホストがワンタイム パスワードを使用して事前に作成されている場合。 キータブは次のように取得できます。
ホストとしてバインドし、このワンタイム パスワードで認証します。 の -D|--binddn と
-w|--bindpw この認証にはオプションが使用されます。
OPTIONS
-p プリンシパル名
完全なプリンシパル名の非レルム部分。
-k keytab-ファイル
新しいキーを追加するkeytabファイル(存在しない場合は作成されます)。
-e 暗号化の種類
キーの生成に使用する暗号化タイプのリスト。 ipa-getkeytab はローカルを使用します
指定されていない場合は、クライアントのデフォルトが設定されます。 有効な値は Kerberos ライブラリによって異なります
バージョンと構成。 一般的な値は次のとおりです: aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ipaサーバー
キータブを取得する IPA サーバー (FQDN)。 このオプションが提供されていない場合
サーバー名は IPA 設定ファイル (/etc/ipa/default.conf) から読み取られます。
-q 静かなモード。 エラーのみが表示されます。
--permitted-enctypes
このオプションは、次のような、許可された暗号化タイプの説明を返します。
サポートされている暗号化タイプ: 256 ビット SHA-96 HMAC を使用した AES-1 CTS モード AES-128 CTS
96 ビット SHA-1 HMAC Triple DES cbc モード HMAC/sha1 ArcFour を使用
CRC-5 を使用した HMAC/md32 DES cbc モード RSA-MD5 を使用した DES cbc モード
RSA-MD4
-NS、 - パスワード
ランダムに生成されたパスワードではなく、このパスワードをキーとして使用します。
-NS、 --binddn
Kerberos 認証情報を使用せずにキータブを取得する場合にバインドする LDAP DN。
一般的には -w オプションを選択します。
-w、 --bindpw
Kerberos とバインドしていない場合に使用する LDAP パスワード。
-r 取得モード。 新しいキーを生成する代わりに、サーバーから既存のキーを取得します。
XNUMXつ。 これは --password オプションとは互換性がなく、
バージョン 3.3 より新しい FreeIPA サーバー。 キータブをリクエストするユーザーは、
この操作を成功させるためのキーにアクセスできる必要があります。
例
ホスト foo.example.com 上の NFS サービス プリンシパルのキータブを追加および取得し、
これをファイル /tmp/nfs.keytab に保存し、des-cbc-crc キーだけを取得します。
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
ホスト foo.example.com 上の LDAP サービス プリンシパルのキータブを追加および取得し、
ファイル /tmp/ldap.keytab に保存します。
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
LDAP 認証情報を使用してキータブを取得します (これは通常、 ipa-join(1) いつ
を使用してクライアントを登録する ipa クライアントのインストール(1) コマンド:
# ipa-getkeytab -s ipaserver.example.com -p host/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=コンピュータ,cn=アカウント,dc=example,dc=com -w パスワード
EXIT ステータス
終了ステータスは、成功した場合は0、エラーの場合はゼロ以外です。
0成功
1Kerberosコンテキストの初期化に失敗しました
2誤った使用法
3メモリ不足
4無効なサービスプリンシパル名
5Kerberosクレデンシャルキャッシュがありません
6KerberosプリンシパルおよびバインドDNとパスワードなし
7キータブを開けませんでした
8キーマテリアルの作成に失敗しました
9キータブの設定に失敗しました
10バインドDNを使用する場合はバインドパスワードが必要です
11キータブにキーを追加できませんでした
12キータブを閉じることができませんでした
onworks.net サービスを使用してオンラインで ipa-getkeytab を使用する
