Đây là lệnh kadmin có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình mô phỏng trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
kadmin - Chương trình quản trị cơ sở dữ liệu Kerberos V5
SYNOPSIS
quản trị viên [-O|-N] [-r vương quốc] [-p chính] [-q truy vấn] [ [-c tên_bộ nhớ cache] | [-k [-t bàn phím]] |-n]
[-w mật khẩu] [-s quản trị_server[:cổng]]
kadmin.local [-r vương quốc] [-p chính] [-q truy vấn] [-d tên cơ sở dữ liệu] [-e mã hóa:muối ...] [-m] [-x
db_args]
MÔ TẢ
kadmin và kadmin.local là các giao diện dòng lệnh cho quản trị Kerberos V5
hệ thống. Chúng cung cấp các chức năng gần như giống hệt nhau; sự khác biệt là ở chỗ đó
kadmin.local truy cập trực tiếp vào cơ sở dữ liệu KDC, trong khi kadmin thực hiện các thao tác bằng cách sử dụng
kadmind(8). Trừ khi có ghi chú rõ ràng khác, trang man này sẽ sử dụng "kadmin" để
tham khảo cả hai phiên bản. kadmin cung cấp việc duy trì các nguyên tắc Kerberos,
chính sách mật khẩu và bảng khóa dịch vụ (keytabs).
Máy khách kadmin từ xa sử dụng Kerberos để xác thực với kadmind bằng dịch vụ
chính kadmin/ADMINHOST (Ở đâu QUẢN LÝ là tên máy chủ đủ điều kiện của quản trị viên
máy chủ) hoặc quản trị viên/quản trị viên. Nếu bộ đệm thông tin đăng nhập có chứa một vé cho một trong những thông tin này
hiệu trưởng và -c tùy chọn thông tin xác thực_cache được chỉ định, vé đó được sử dụng để
xác thực với kadmind. Nếu không -p và -k các tùy chọn được sử dụng để chỉ định khách hàng
Tên chính Kerberos được sử dụng để xác thực. Khi kadmin đã xác định được tiền gốc
tên, nó yêu cầu một phiếu dịch vụ từ KDC và sử dụng phiếu dịch vụ đó để
xác thực với kadmind.
Vì kadmin.local truy cập trực tiếp vào cơ sở dữ liệu KDC nên nó thường phải được chạy trực tiếp trên
KDC chính có đủ quyền để đọc cơ sở dữ liệu KDC. Nếu cơ sở dữ liệu KDC
sử dụng mô-đun cơ sở dữ liệu LDAP, kadmin.local có thể chạy trên bất kỳ máy chủ nào có thể truy cập
Máy chủ LDAP.
LỰA CHỌN
-r vương quốc
Sử dụng vương quốc làm lĩnh vực cơ sở dữ liệu mặc định.
-p chính
Sử dụng chính để xác thực. Nếu không, kadmin sẽ nối thêm / admin đến trường chính
tên chính của ccache mặc định, giá trị của USER biến môi trường,
hoặc tên người dùng thu được bằng getpwuid, theo thứ tự ưu tiên.
-k Sử dụng keytab để giải mã phản hồi KDC thay vì nhắc nhập mật khẩu. TRONG
trường hợp này, tiền gốc mặc định sẽ là máy chủ/tên máy chủ. Nếu không có keytab
được chỉ định với -t tùy chọn thì keytab mặc định sẽ được sử dụng.
-t bàn phím
Sử dụng bàn phím để giải mã phản hồi KDC. Điều này chỉ có thể được sử dụng với -k tùy chọn.
-n Yêu cầu xử lý ẩn danh. Hai loại hiệu trưởng ẩn danh được hỗ trợ.
Đối với Kerberos ẩn danh hoàn toàn, hãy định cấu hình PKINIT trên KDC và định cấu hình
pkinit_anchors trong khách hàng krb5.conf(5). Sau đó, sử dụng -n tùy chọn với một
chính của biểu mẫu @THỰC SỰ (một tên chính trống, theo sau là dấu tại và một
tên vương quốc). Nếu được KDC cho phép, vé ẩn danh sẽ được trả lại. MỘT
hình thức vé ẩn danh thứ hai được hỗ trợ; những tấm vé tiếp xúc với thế giới này che giấu
danh tính của khách hàng chứ không phải lĩnh vực của khách hàng. Đối với chế độ này, sử dụng dệt kim -n
với một tên chính bình thường. Nếu được KDC hỗ trợ, hiệu trưởng (nhưng không
vương quốc) sẽ được thay thế bằng hiệu trưởng ẩn danh. Kể từ phiên bản 1.8, MIT
Kerberos KDC chỉ hỗ trợ hoạt động ẩn danh hoàn toàn.
-c thông tin xác thực_cache
Sử dụng thông tin xác thực_cache làm bộ đệm thông tin xác thực. Bộ đệm phải chứa một dịch vụ
vé cho kadmin/ADMINHOST (Ở đâu QUẢN LÝ là tên máy chủ đủ điều kiện của
máy chủ quản trị) hoặc quản trị viên/quản trị viên dịch vụ; nó có thể được mua bằng dệt kim(1)
chương trình. Nếu tùy chọn này không được chỉ định, kadmin sẽ yêu cầu một phiếu dịch vụ mới
từ KDC và lưu trữ nó trong ccache tạm thời của chính nó.
-w mật khẩu
Sử dụng mật khẩu thay vì nhắc nhở một cái. Sử dụng tùy chọn này một cách cẩn thận, vì nó có thể
lộ mật khẩu cho người dùng khác trên hệ thống thông qua danh sách quy trình.
-q truy vấn
Thực hiện truy vấn được chỉ định và sau đó thoát. Điều này có thể hữu ích cho việc viết kịch bản.
-d tên cơ sở dữ liệu
Chỉ định tên của cơ sở dữ liệu KDC. Tùy chọn này không áp dụng cho LDAP
mô-đun cơ sở dữ liệu.
-s quản trị_server[:cổng]
Chỉ định máy chủ quản trị mà kadmin sẽ liên hệ.
-m Nếu sử dụng kadmin.local, hãy nhắc nhập mật khẩu chính của cơ sở dữ liệu thay vì đọc
nó từ một tập tin stash.
-e mã hóa:muối ...
Đặt danh sách keyalt sẽ được sử dụng cho bất kỳ khóa mới nào được tạo. Nhìn thấy Keysalt_lists in
kdc.conf(5) để biết danh sách các giá trị có thể.
-O Buộc sử dụng phiên bản xác thực AUTH_GSSAPI cũ.
-N Ngăn chặn dự phòng cho phiên bản xác thực AUTH_GSSAPI.
-x db_args
Chỉ định các đối số cụ thể của cơ sở dữ liệu. Xem phần tiếp theo để được hỗ trợ
tùy chọn.
DATABASE LỰA CHỌN
Các tùy chọn cơ sở dữ liệu có thể được sử dụng để ghi đè các giá trị mặc định dành riêng cho cơ sở dữ liệu. Tùy chọn được hỗ trợ
đối với mô-đun DB2 là:
-x dbname=*tên tệp*
Chỉ định tên tệp cơ sở của cơ sở dữ liệu DB2.
-x cái tủ đựng đồ
Thực hiện các thao tác lặp giữ khóa trong suốt thời gian của toàn bộ
hoạt động, thay vì tạm thời nhả khóa trong khi xử lý từng
hiệu trưởng. Đây là hành vi mặc định, nhưng tùy chọn này tồn tại để cho phép
ghi đè dòng lệnh của cài đặt [dbmodules]. Lần đầu tiên được giới thiệu trong phiên bản
1.13.
-x người mở khóa
Thực hiện các thao tác lặp mở khóa cơ sở dữ liệu cho từng hiệu trưởng, thay vì
giữ khóa trong suốt thời gian của toàn bộ hoạt động. Được giới thiệu lần đầu tiên vào
phát hành 1.13.
Các tùy chọn được hỗ trợ cho mô-đun LDAP là:
-x máy chủ =ldapuri
Chỉ định máy chủ LDAP để kết nối bằng LDAP URI.
-x binddn=liên kết_dn
Chỉ định DN được sử dụng để liên kết với máy chủ LDAP.
-x bindpwd=mật khẩu
Chỉ định mật khẩu hoặc bí mật SASL được sử dụng để liên kết với máy chủ LDAP. sử dụng
tùy chọn này có thể tiết lộ mật khẩu cho người dùng khác trên hệ thống thông qua quy trình
danh sách; để tránh điều này, thay vào đó hãy cất mật khẩu bằng cách sử dụng stashsrvpw mệnh lệnh của
kdb5_ldap_util(8).
-x sasl_mech=cơ chế
Chỉ định cơ chế SASL được sử dụng để liên kết với máy chủ LDAP. DN liên kết là
bị bỏ qua nếu cơ chế SASL được sử dụng. Mới trong phiên bản 1.13.
-x sasl_authcid=tên
Chỉ định tên xác thực được sử dụng khi liên kết với máy chủ LDAP bằng
Cơ chế SASL, nếu cơ chế đó yêu cầu. Mới trong phiên bản 1.13.
-x sasl_authzid=tên
Chỉ định tên ủy quyền được sử dụng khi liên kết với máy chủ LDAP bằng
Cơ chế SASL. Mới trong phiên bản 1.13.
-x sasl_realm=vương quốc
Chỉ định vùng được sử dụng khi liên kết với máy chủ LDAP bằng cơ chế SASL,
nếu cơ chế sử dụng một. Mới trong phiên bản 1.13.
-x gỡ lỗi =cấp
đặt mức gỡ lỗi thư viện máy khách OpenLDAP. cấp là một số nguyên
được giải thích bởi thư viện. Thông báo gỡ lỗi được in thành lỗi tiêu chuẩn.
Mới trong phiên bản 1.12.
HÀNG
Khi sử dụng máy khách từ xa, các lệnh khả dụng có thể bị hạn chế theo
đặc quyền quy định trong kadm5.acl(5) tập tin trên máy chủ quản trị.
thêm_principal
thêm_principal [lựa chọn] newprinc
Tạo hiệu trưởng newprinc, nhắc nhập mật khẩu hai lần. Nếu không có chính sách mật khẩu
được chỉ định với -chính sách tùy chọn và chính sách có tên mặc định được giao cho
chính nếu nó tồn tại. Tuy nhiên, việc tạo một chính sách có tên mặc định sẽ không tự động
chỉ định chính sách này cho các hiệu trưởng hiện có trước đây. Việc phân công chính sách này có thể
bị đàn áp bằng -chính sách rõ ràng tùy chọn.
Lệnh này yêu cầu thêm vào đặc ân.
Bí danh: addprinc, ANK
Tùy chọn:
-hết hạn ngày hết hạn
(hẹn gặp string) Ngày hết hạn của tiền gốc.
-pwexpire pwexpdate
(hẹn gặp string) Ngày hết hạn mật khẩu.
-tối đa cuộc sống tối đa
(hẹn gặp string) Thời hạn sử dụng vé tối đa cho tiền gốc.
-maxrenewlife maxrenewlife
(hẹn gặp string) Thời hạn gia hạn tối đa của vé dành cho tiền gốc.
-kvno kvno
Số phiên bản khóa ban đầu.
-chính sách điều luật
Chính sách mật khẩu được sử dụng bởi hiệu trưởng này. Nếu không được chỉ định, chính sách mặc định
được sử dụng nếu nó tồn tại (trừ khi -chính sách rõ ràng được quy định).
-chính sách rõ ràng
Ngăn chặn bất kỳ chính sách nào được chỉ định khi -chính sách không được chỉ định.
{-|+}allow_postdated
-allow_postdated cấm hiệu trưởng này lấy vé trễ hạn.
+allow_postdated xóa cờ này.
{-|+}allow_forwardable
-allow_forwardable cấm hiệu trưởng này lấy vé chuyển tiếp.
+allow_có thể chuyển tiếp xóa cờ này.
{-|+}allow_renewable
-allow_renewable cấm hiệu trưởng này lấy vé tái tạo.
+allow_renewable xóa cờ này.
{-|+}allow_proxiable
-allow_proxiable cấm hiệu trưởng này lấy vé có thể ủy quyền.
+allow_proxiable xóa cờ này.
{-|+}allow_dup_skey
-allow_dup_skey vô hiệu hóa xác thực người dùng với người dùng cho hiệu trưởng này bằng cách
cấm hiệu trưởng này lấy khóa phiên cho người dùng khác.
+allow_dup_skey xóa cờ này.
{-|+}requires_preauth
+yêu cầu_preauth yêu cầu hiệu trưởng này phải xác thực trước khi được phép
để kinit. -requires_preauth xóa cờ này. Khi +yêu cầu_preauth được thiết lập trên một
dịch vụ gốc thì KDC chỉ phát hành phiếu dịch vụ cho dịch vụ đó
chính nếu xác thực ban đầu của khách hàng được thực hiện bằng cách sử dụng
xác thực trước.
{-|+}requires_hwauth
+yêu cầu_hwauth yêu cầu hiệu trưởng này xác thực trước bằng thiết bị phần cứng
trước khi được phép kinit. -requires_hwauth xóa cờ này. Khi
+yêu cầu_hwauth được thiết lập dựa trên nguyên tắc dịch vụ, KDC sẽ chỉ phát hành dịch vụ
vé cho dịch vụ chính đó nếu xác thực ban đầu của khách hàng là
được thực hiện bằng cách sử dụng thiết bị phần cứng để xác thực trước.
{-|+}ok_as_delegate
+ok_as_delegate thiết lập được as ủy thác cờ trên vé được phát hành với điều này
chính là dịch vụ. Khách hàng có thể sử dụng cờ này như một gợi ý rằng thông tin đăng nhập
nên được ủy quyền khi xác thực dịch vụ. -ok_as_delegate thanh minh
cờ này.
{-|+}allow_svr
-allow_svr nghiêm cấm việc phát hành vé dịch vụ cho hiệu trưởng này.
+allow_svr xóa cờ này.
{-|+}allow_tgs_req
-allow_tgs_req chỉ định rằng yêu cầu Dịch vụ cấp vé (TGS) cho một dịch vụ
vé cho hiệu trưởng này không được phép. +allow_tgs_req xóa cờ này.
{-|+}allow_tix
-allow_tix cấm việc phát hành bất kỳ vé nào cho hiệu trưởng này. +cho phép_tix
xóa cờ này.
{-|+}cần thay đổi
+cần thay đổi buộc thay đổi mật khẩu trong lần xác thực đầu tiên tiếp theo
chính -cần thay đổi xóa cờ này.
{-|+}password_change_service
+password_change_service đánh dấu hiệu trưởng này là dịch vụ thay đổi mật khẩu
chính
{-|+}ok_to_auth_as_delegate
+ok_to_auth_as_delegate cho phép hiệu trưởng này có được vé có thể chuyển tiếp tới
chính nó từ những người dùng tùy ý, để sử dụng với sự ủy quyền bị hạn chế.
{-|+}no_auth_data_required
+no_auth_data_required ngăn không cho dữ liệu PAC hoặc AD-SIGNEDPATH được thêm vào
phiếu phục vụ cho hiệu trưởng.
-randkey
Đặt khóa của hiệu trưởng thành một giá trị ngẫu nhiên.
-không được Làm cho tiền gốc được tạo mà không có khóa. Mới trong phiên bản 1.12.
-pw mật khẩu
Đặt mật khẩu của hiệu trưởng thành chuỗi được chỉ định và không nhắc nhập
Một mật khẩu. Lưu ý: sử dụng tùy chọn này trong tập lệnh shell có thể làm lộ mật khẩu
người dùng khác trên hệ thống thông qua danh sách quy trình.
-e mã hóa:muối, ...
Sử dụng danh sách muối khóa được chỉ định để đặt khóa của hiệu trưởng. Nhìn thấy
Keysalt_lists in kdc.conf(5) để biết danh sách các giá trị có thể.
-x db_princ_args
Cho biết các tùy chọn dành riêng cho cơ sở dữ liệu. Các tùy chọn cho mô-đun cơ sở dữ liệu LDAP là:
-x dn=dn
Chỉ định đối tượng LDAP sẽ chứa chủ thể Kerberos
tạo ra.
-x linkdn=dn
Chỉ định đối tượng LDAP mà Kerberos chính mới được tạo
đối tượng sẽ chỉ.
-x containerdn=container_dn
Chỉ định đối tượng chứa mà trong đó hiệu trưởng Kerberos sẽ được đặt
tạo ra.
-x tktpolicy=điều luật
Liên kết chính sách vé với hiệu trưởng Kerberos.
LƯU Ý:
· Các containerdn và liên kết các tùy chọn không thể được chỉ định bằng dn tùy chọn.
· Nếu dn or containerdn các tùy chọn không được chỉ định trong khi thêm tiền gốc,
các hiệu trưởng được tạo trong vùng chứa chính được định cấu hình trong
cảnh giới hoặc vùng chứa cảnh giới.
· dn và containerdn phải nằm trong cây con hoặc vùng chứa chính
được cấu hình trong lĩnh vực này.
Ví dụ:
kadmin: addprinc jennifer
CẢNH BÁO: không có chính sách nào được chỉ định cho "[email được bảo vệ]";
mặc định không có chính sách.
Nhập mật khẩu cho hiệu trưởng [email được bảo vệ]:
Nhập lại mật khẩu cho hiệu trưởng [email được bảo vệ]:
Hiệu trưởng "[email được bảo vệ]" tạo.
quản trị viên:
sửa đổi_principal
sửa đổi_principal [lựa chọn] chính
Sửa đổi hiệu trưởng được chỉ định, thay đổi các trường theo quy định. Các tùy chọn để
thêm_principal cũng áp dụng cho lệnh này, ngoại trừ -randkey, -pwvà -e tùy chọn.
Ngoài ra, tùy chọn -chính sách rõ ràng sẽ xóa chính sách hiện tại của một hiệu trưởng.
Lệnh này yêu cầu sửa đổi đặc ân.
Bí danh: modprinc
Các tùy chọn (ngoài addprinc tùy chọn):
-mở khóa
Mở khóa một khoản tiền gốc bị khóa (một khoản tiền đã nhận được quá nhiều lần xác thực không thành công)
các lần thử mà không có đủ thời gian giữa chúng theo chính sách mật khẩu của nó) để
nó có thể xác thực thành công.
đổi tên_principal
đổi tên_principal [-lực lượng] old_principal new_principal
Đổi tên đã chỉ định old_principal đến new_principal. Lệnh này nhắc nhở
xác nhận, trừ khi -lực lượng tùy chọn được đưa ra.
Lệnh này yêu cầu thêm vào và xóa đặc quyền.
Bí danh: renprinc
xóa_principal
xóa_principal [-lực lượng] chính
Xóa đã chỉ định chính từ cơ sở dữ liệu. Lệnh này nhắc xóa,
trừ khi -lực lượng tùy chọn được đưa ra.
Lệnh này yêu cầu xóa đặc ân.
Bí danh: delprinc
đổi mật khẩu
đổi mật khẩu [lựa chọn] chính
Thay đổi mật khẩu của chính. Nhắc nhập mật khẩu mới nếu không có -randkey or -pw
được quy định.
Lệnh này yêu cầu thay đổi đặc quyền, hoặc hiệu trưởng chạy chương trình là
giống như hiệu trưởng được thay đổi.
Bí danh: cpw
Lựa chọn tiếp theo đã khả thi:
-randkey
Đặt khóa của hiệu trưởng thành một giá trị ngẫu nhiên.
-pw mật khẩu
Đặt mật khẩu cho chuỗi được chỉ định. Sử dụng tùy chọn này trong tập lệnh có thể làm lộ
mật khẩu cho người dùng khác trên hệ thống thông qua danh sách quy trình.
-e mã hóa:muối, ...
Sử dụng danh sách muối khóa được chỉ định để đặt khóa của hiệu trưởng. Nhìn thấy
Keysalt_lists in kdc.conf(5) để biết danh sách các giá trị có thể.
-giữ lại
Giữ các khóa hiện có trong cơ sở dữ liệu. Cờ này thường không cần thiết ngoại trừ
có lẽ cho krbtgt các hiệu trưởng.
Ví dụ:
kadmin: cpw systest
Nhập mật khẩu cho hiệu trưởng [email được bảo vệ]:
Nhập lại mật khẩu cho hiệu trưởng [email được bảo vệ]:
Mật khẩu cho [email được bảo vệ] đã thay đổi
quản trị viên:
chìa khóa thanh lọc
chìa khóa thanh lọc [-tất cả|-keepkvno lâu đời nhất_kvno_to_keep] chính
Xóa sạch các khóa cũ đã được giữ lại trước đó (ví dụ: từ đổi mật khẩu -giữ lại) từ chính.
If -keepkvno được chỉ định thì chỉ xóa các khóa có kvnos thấp hơn
lâu đời nhất_kvno_to_keep. Nếu -tất cả được chỉ định thì tất cả các khóa sẽ bị xóa. Các -tất cả Tùy chọn là
mới trong phiên bản 1.12.
Lệnh này yêu cầu sửa đổi đặc ân.
get_principal
get_principal [-ngắn gọn] chính
Lấy các thuộc tính của hiệu trưởng. Với -ngắn gọn tùy chọn, các trường đầu ra như được trích dẫn
các chuỗi được phân tách bằng tab.
Lệnh này yêu cầu hỏi thăm đặc quyền, hoặc hiệu trưởng chạy chương trình
giống với cái được liệt kê.
Bí danh: getprinc
Ví dụ:
kadmin: getprinc tlyu/admin
Hiệu trưởng: llyu/[email được bảo vệ]
Ngày hết hạn: [không bao giờ]
Lần thay đổi mật khẩu cuối cùng: Thứ Hai ngày 12 tháng 14 16:47:1996 EDT XNUMX
Ngày hết hạn mật khẩu: [không có]
Thời hạn vé tối đa: 0 ngày 10:00:00
Tuổi thọ tái tạo tối đa: 7 ngày 00:00:00
Sửa đổi lần cuối: Thứ Hai ngày 12 tháng 14 16:47:1996 EDT XNUMX (bjaspan/[email được bảo vệ])
Xác thực thành công lần cuối: [không bao giờ]
Xác thực thất bại lần cuối: [không bao giờ]
Số lần thử mật khẩu không thành công: 0
Số phím: 2
Key: vno 1, des-cbc-crc
Khóa: vno 1, des-cbc-crc:v4
Các thuộc tính:
Chính sách: [không có]
kadmin: getprinc -terse systest
[email được bảo vệ] 3 86400 604800 1
785926535 753241234 785900000
lyu/[email được bảo vệ] 786100034 0 0
quản trị viên:
danh sách_principals
danh sách_principals [biểu hiện]
Lấy tất cả hoặc một số tên chính. biểu hiện là một biểu thức toàn cầu kiểu shell
có thể chứa các ký tự đại diện ?, *và []. Tất cả các tên chính phù hợp với
biểu thức được in. Nếu không có biểu thức nào được cung cấp, tất cả tên chính sẽ được in.
Nếu biểu thức không chứa @ nhân vật, một @ nhân vật theo sau là địa phương
lĩnh vực được thêm vào biểu thức.
Lệnh này yêu cầu đặc ân.
Bí danh: danh sách, get_principals, get_princs
Ví dụ:
kadmin: kiểm tra listprincs*
[email được bảo vệ]
[email được bảo vệ]
[email được bảo vệ]
[email được bảo vệ]
quản trị viên:
get_strings
get_strings chính
Hiển thị thuộc tính chuỗi trên chính.
Lệnh này yêu cầu hỏi thăm đặc ân.
Bí danh: gettr
set_string
set_string chính tên giá trị
Đặt thuộc tính chuỗi trên chính. Thuộc tính chuỗi được sử dụng để cung cấp theo hiệu trưởng
cấu hình cho KDC và một số mô-đun bổ trợ KDC. Thuộc tính chuỗi sau
Những cái tên được KDC công nhận:
phiên_enctypes
Chỉ định các loại mã hóa được hỗ trợ cho các khóa phiên khi khóa chính được
được xác thực là máy chủ. Nhìn thấy Mã hóa_types in kdc.conf(5) cho một danh sách
các giá trị được chấp nhận.
otp Cho phép xác thực trước Mật khẩu một lần (OTP) cho khách hàng chính. Các
giá trị là một chuỗi JSON biểu diễn một mảng các đối tượng, mỗi đối tượng có các tùy chọn kiểu
và tên truy nhập các lĩnh vực.
Lệnh này yêu cầu sửa đổi đặc ân.
Bí danh: settr
Ví dụ:
set_string Host/foo.mit.edu session_enctypes aes128-cts
set_string [email được bảo vệ] otp [{"type:"hotp","tên người dùng":"tùy chỉnh"}]
del_string
del_string chính chính
Xóa thuộc tính chuỗi khỏi chính.
Lệnh này yêu cầu xóa đặc ân.
Bí danh: delstr
chính sách bổ sung
chính sách bổ sung [lựa chọn] điều luật
Thêm chính sách mật khẩu có tên điều luật vào cơ sở dữ liệu.
Lệnh này yêu cầu thêm vào đặc ân.
Bí danh: addpol
Lựa chọn tiếp theo đã khả thi:
-tối đa thời gian
(hẹn gặp string) Đặt thời gian tồn tại tối đa của mật khẩu.
-sinh sống thời gian
(hẹn gặp string) Đặt thời gian tồn tại tối thiểu của mật khẩu.
-Độ dài nhỏ nhất chiều dài
Đặt độ dài tối thiểu của mật khẩu.
-minclasses con số
Đặt số lượng lớp ký tự tối thiểu được yêu cầu trong mật khẩu. năm
Các lớp ký tự là chữ thường, chữ hoa, số, dấu chấm câu và
khoảng trắng/ký tự không thể in được.
-lịch sử con số
Đặt số lượng khóa trước đây được giữ cho hiệu trưởng. Tùy chọn này không được hỗ trợ
với mô-đun cơ sở dữ liệu LDAP KDC.
-lỗi tối đa số lượng tối đa
Đặt số lần xác thực không thành công trước khi khóa chính.
Lỗi xác thực chỉ được theo dõi đối với các hiệu trưởng yêu cầu
xác thực trước. Bộ đếm số lần thử thất bại đặt lại về 0 sau khi thành công
cố gắng xác thực. MỘT số lượng tối đa giá trị 0 (mặc định) sẽ vô hiệu hóa khóa.
-khoảng thời gian thất bại thời gian thất bại
(hẹn gặp string) Đặt thời gian cho phép giữa các lần xác thực thất bại. Nếu một
lỗi xác thực xảy ra sau thời gian thất bại đã trôi qua kể từ lần trước
không thành công, số lần xác thực không thành công được đặt lại thành 1. A thời gian thất bại giá trị
bằng 0 (mặc định) có nghĩa là mãi mãi.
-thời gian khóa thời gian khóa máy
(hẹn gặp string) Đặt khoảng thời gian mà hiệu trưởng bị khóa
xác thực nếu xảy ra quá nhiều lỗi xác thực mà không có chỉ định
khoảng thời gian đếm lỗi trôi qua. Thời lượng bằng 0 (mặc định) có nghĩa là tiền gốc
vẫn bị khóa cho đến khi nó được mở khóa về mặt quản trị bằng modprinc -mở khóa.
-phím được phép
Chỉ định các bộ khóa/muối được hỗ trợ cho các khóa dài hạn khi cài đặt hoặc thay đổi
mật khẩu/chìa khóa của hiệu trưởng. Nhìn thấy Keysalt_lists in kdc.conf(5) để có danh sách các
các giá trị được chấp nhận, nhưng lưu ý rằng các bộ khóa/muối phải được phân tách bằng dấu phẩy (',')
chỉ một. Để xóa chính sách khóa/muối được phép, hãy sử dụng giá trị '-'.
Ví dụ:
kadmin: add_policy -maxlife "2 ngày" -minlength 5 khách
quản trị viên:
sửa đổi_chính sách
sửa đổi_chính sách [lựa chọn] điều luật
Sửa đổi chính sách mật khẩu có tên điều luật. Các tùy chọn như được mô tả cho chính sách bổ sung.
Lệnh này yêu cầu sửa đổi đặc ân.
Bí danh: modpol
xóa_chính sách
xóa_chính sách [-lực lượng] điều luật
Xóa chính sách mật khẩu có tên điều luật. Nhắc nhở xác nhận trước khi xóa. Các
lệnh sẽ thất bại nếu chính sách này được sử dụng bởi bất kỳ hiệu trưởng nào.
Lệnh này yêu cầu xóa đặc ân.
Bí danh: delpol
Ví dụ:
kadmin: del_policy khách
Bạn có chắc chắn muốn xóa chính sách "khách" không?
(có/không): có
quản trị viên:
get_policy
get_policy [ -ngắn gọn ] điều luật
Hiển thị các giá trị của chính sách mật khẩu có tên điều luật. Với -ngắn gọn cờ, kết quả đầu ra
các trường dưới dạng chuỗi trích dẫn được phân tách bằng tab.
Lệnh này yêu cầu hỏi thăm đặc ân.
Bí danh: getpol
Ví dụ:
kadmin: quản trị viên get_policy
Chính sách: quản trị viên
Tuổi thọ mật khẩu tối đa: 180 ngày 00:00:00
Tuổi thọ mật khẩu tối thiểu: 00:00:00
Độ dài mật khẩu tối thiểu: 6
Số lớp ký tự mật khẩu tối thiểu: 2
Số lượng chìa khóa cũ được giữ: 5
Số lượng tham khảo: 17
kadmin: get_policy -quản trị viên ngắn gọn
quản trị viên 15552000 0 6 2 5 17
quản trị viên:
"Số tham chiếu" là số hiệu trưởng sử dụng chính sách đó. Với LDAP KDC
mô-đun cơ sở dữ liệu, trường đếm tham chiếu không có ý nghĩa.
danh sách_chính sách
danh sách_chính sách [biểu hiện]
Truy xuất tất cả hoặc một số tên chính sách. biểu hiện là một biểu thức toàn cầu kiểu shell có thể
chứa các ký tự đại diện ?, *và []. Tất cả tên chính sách khớp với biểu thức
được in. Nếu không có biểu thức nào được cung cấp thì tất cả các tên chính sách hiện có sẽ được in.
Lệnh này yêu cầu đặc ân.
Bí danh: danh sách, get_policies, getpol.
Ví dụ:
kadmin: listpols
kiểm tra-pol
chỉ đọc chính tả
một lần một phút
kiểm tra-pol-nopw
kadmin: listpols t*
kiểm tra-pol
kiểm tra-pol-nopw
quản trị viên:
ktadd
ktadd [tùy chọn] chính
ktadd [tùy chọn] -bóng đá hoàng tử-exp
thêm một chính, hoặc tất cả các hiệu trưởng phù hợp hoàng tử-exp, vào một tập tin keytab. Mỗi
các khóa của hiệu trưởng được chọn ngẫu nhiên trong quá trình này. Các quy tắc cho hoàng tử-exp được mô tả trong
các danh sách_principals chỉ huy.
Lệnh này yêu cầu hỏi thăm và thay đổi đặc quyền. Với -bóng đá hình thức, nó cũng
yêu cầu đặc ân.
Các tùy chọn là:
-k[eytab] bàn phím
Sử dụng bàn phím dưới dạng tệp keytab. Nếu không, keytab mặc định sẽ được sử dụng.
-e mã hóa:muối, ...
Sử dụng danh sách muối khóa được chỉ định để đặt khóa mới của khóa chính. Nhìn thấy
Keysalt_lists in kdc.conf(5) để biết danh sách các giá trị có thể.
-q Hiển thị thông tin ít dài dòng hơn.
-norandkey
Đừng chọn ngẫu nhiên các phím. Các phím và số phiên bản của chúng không thay đổi. Cái này
tùy chọn chỉ khả dụng trong kadmin.local và không thể được chỉ định kết hợp
với -e tùy chọn.
Một mục nhập cho mỗi loại mã hóa duy nhất của hiệu trưởng được thêm vào, bỏ qua nhiều loại
các khóa có cùng loại mã hóa nhưng có loại muối khác nhau.
Ví dụ:
kadmin: ktadd -k /tmp/foo-new-keytab Host/foo.mit.edu
Mục nhập cho máy chủ chính/[email được bảo vệ] với kvno 3,
loại mã hóa aes256-cts-hmac-sha1-96 được thêm vào keytab
TẬP TIN:/tmp/foo-new-keytab
quản trị viên:
ktremove
ktremove [tùy chọn] chính [kvno | tất cả các | xưa]
Xóa các mục nhập cho mục được chỉ định chính từ một keytab. Không yêu cầu quyền, vì
điều này không yêu cầu truy cập cơ sở dữ liệu.
Nếu chuỗi "tất cả" được chỉ định, tất cả các mục nhập cho chuỗi đó sẽ bị xóa; nếu
chuỗi "cũ" được chỉ định, tất cả các mục nhập cho chuỗi đó ngoại trừ những mục có giá trị cao nhất
kvno đã bị xóa. Mặt khác, giá trị được chỉ định sẽ được phân tích cú pháp dưới dạng số nguyên và tất cả các mục nhập
kvno của ai khớp với số nguyên đó sẽ bị loại bỏ.
Các tùy chọn là:
-k[eytab] bàn phím
Sử dụng bàn phím dưới dạng tệp keytab. Nếu không, keytab mặc định sẽ được sử dụng.
-q Hiển thị thông tin ít dài dòng hơn.
Ví dụ:
kadmin: ktremove kadmin/admin tất cả
Mục dành cho kadmin/admin chính có kvno 3 đã bị xóa khỏi keytab
TẬP TIN: /etc/krb5.keytab
quản trị viên:
khóa
Khóa cơ sở dữ liệu độc quyền. Sử dụng hết sức thận trọng! Lệnh này chỉ hoạt động với
Mô-đun cơ sở dữ liệu DB2 KDC.
mở khóa
Giải phóng khóa cơ sở dữ liệu độc quyền.
list_request
Danh sách có sẵn cho các yêu cầu kadmin.
Bí danh: lr, ?
bỏ thuốc lá
Thoát chương trình. Nếu cơ sở dữ liệu bị khóa, khóa sẽ được giải phóng.
Bí danh: ra, q
LỊCH SỬ
Chương trình kadmin ban đầu được viết bởi Tom Yu tại MIT, như một giao diện cho
Chương trình quản trị OpenVision Kerberos.
Sử dụng kadmin trực tuyến bằng dịch vụ onworks.net
