kinit - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

kinit - lấy và lưu vào bộ nhớ cache phiếu cấp vé Kerberos

SYNOPSIS

dệt kim [-V] [-l đời] [-s thời gian bắt đầu] [-r cuộc sống tái tạo] [-p | -P] [-f | -F] [-a] [-A]
[-C] [-E] [-v] [-R] [-k [-t keytab_file]] [-c tên_bộ nhớ cache] [-n] [-S Tên dịch vụ] [-I
đầu vào_ccache] [-T Armor_ccache] [-X thuộc tính[=giá trị]] [chính]

MÔ TẢ

kinit lấy và lưu vào bộ nhớ cache một vé cấp vé ban đầu cho chính.

LỰA CHỌN

-V hiển thị đầu ra dài dòng.

-l đời
(thời gian string.) Yêu cầu một vé trọn đời đời.

Ví dụ, dệt kim -l 5:30 or dệt kim -l 5h30 phút.

Nếu -l tùy chọn không được chỉ định, thời gian tồn tại của vé mặc định (được định cấu hình theo từng
trang web) được sử dụng. Chỉ định thời hạn của vé dài hơn thời hạn của vé tối đa
thời gian tồn tại (được định cấu hình bởi từng trang web) sẽ không ghi đè vé tối đa đã định cấu hình
cả đời.

-s thời gian bắt đầu
(thời gian string.) Yêu cầu một phiếu gửi sau. Vé trễ hạn được phát hành với
các không hợp lệ cờ được đặt và cần được gửi lại cho KDC để xác thực trước
sử dụng.

thời gian bắt đầu chỉ định thời gian trì hoãn trước khi vé có hiệu lực.

-r cuộc sống tái tạo
(thời gian string.) Yêu cầu vé gia hạn, với tổng thời gian tồn tại là
cuộc sống tái tạo.

-f yêu cầu vé có thể chuyển tiếp.

-F yêu cầu vé không thể chuyển tiếp.

-p yêu cầu vé proxiable.

-P yêu cầu vé không proxiable.

-a yêu cầu các vé bị hạn chế đối với [es] địa chỉ địa phương của máy chủ.

-A yêu cầu vé không bị giới hạn bởi địa chỉ.

-C yêu cầu chuẩn hóa tên chính và cho phép KDC trả lời bằng
khách hàng chính khác với người được yêu cầu.

-E coi tên chính là tên doanh nghiệp (ngụ ý -C Tùy chọn).

-v yêu cầu rằng phiếu cấp vé trong bộ nhớ cache (với không hợp lệ cờ đặt)
được chuyển đến KDC để xác nhận. Nếu vé còn trong thời gian yêu cầu
phạm vi, bộ nhớ cache được thay thế bằng vé đã được xác thực.

-R yêu cầu gia hạn phiếu xuất vé. Lưu ý rằng vé hết hạn không thể
được gia hạn, ngay cả khi vé vẫn còn trong thời hạn gia hạn.

Lưu ý rằng vé gia hạn đã hết hạn theo báo cáo của danh sách(1) đôi khi có thể
được gia hạn bằng cách sử dụng tùy chọn này, vì KDC áp dụng thời gian gia hạn để tính
xiên đồng hồ client-KDC. Nhìn thấy krb5.conf(5) cái đồng hồ thiết lập.

-k [-tôi | -t keytab_file]
yêu cầu một vé, lấy từ một khóa trong keytab của máy chủ lưu trữ địa phương. Vị trí của
keytab có thể được chỉ định với -t keytab_file tùy chọn, hoặc với -i tùy chọn
để chỉ định việc sử dụng keytab máy khách mặc định; nếu không thì keytab mặc định sẽ
được dùng. Theo mặc định, một vé máy chủ cho máy chủ lưu trữ địa phương được yêu cầu, nhưng bất kỳ
gốc có thể được chỉ định. Trên KDC, vị trí keytab đặc biệt KĐB: có thể được sử dụng
để chỉ ra rằng kinit nên mở cơ sở dữ liệu KDC và tra cứu khóa trực tiếp.
Điều này cho phép quản trị viên có được vé dưới dạng bất kỳ chủ sở hữu nào hỗ trợ
xác thực dựa trên khóa.

-n Yêu cầu xử lý ẩn danh. Hai loại hiệu trưởng ẩn danh được hỗ trợ.

Đối với Kerberos ẩn danh hoàn toàn, hãy định cấu hình pkinit trên KDC và định cấu hình
pkinit_anchors trong khách hàng krb5.conf(5). Sau đó, sử dụng -n tùy chọn với một
chính của biểu mẫu @THỰC SỰ (một tên chính trống, theo sau là dấu tại và một
tên cảnh giới). Nếu được KDC cho phép, một phiếu ẩn danh sẽ được trả lại.

Hình thức vé ẩn danh thứ hai được hỗ trợ; những tấm vé lộ diện này ẩn náu
danh tính của khách hàng nhưng không phải lĩnh vực của khách hàng. Đối với chế độ này, hãy sử dụng dệt kim -n
với một tên chính bình thường. Nếu được KDC hỗ trợ, hiệu trưởng (nhưng không
cảnh giới) sẽ được thay thế bởi hiệu trưởng ẩn danh.

Kể từ phiên bản 1.8, MIT Kerberos KDC chỉ hỗ trợ hoạt động ẩn danh hoàn toàn.

-I đầu vào_ccache
Chỉ định tên của bộ đệm ẩn thông tin xác thực đã chứa một vé. Khi nào
nhận được vé đó, nếu thông tin về cách lấy vé đó cũng được
được lưu trữ vào bộ nhớ cache, thông tin đó sẽ được sử dụng để ảnh hưởng đến cách các thông tin đăng nhập mới
thu được, bao gồm cả việc chọn trước các phương pháp xác thực tương tự đối với KDC.

-T Armor_ccache
Chỉ định tên của bộ đệm ẩn thông tin xác thực đã chứa một vé. Nếu như
được KDC hỗ trợ, bộ đệm này sẽ được sử dụng để giáp yêu cầu, ngăn chặn
tấn công từ điển ngoại tuyến và cho phép sử dụng xác thực trước bổ sung
các cơ chế. Việc điều động cũng đảm bảo rằng phản hồi từ KDC không
sửa đổi trong quá trình vận chuyển.

-c tên_bộ nhớ cache
sử dụng tên_bộ nhớ cache làm vị trí bộ nhớ cache của thông tin xác thực Kerberos 5 (vé). Nếu điều này
tùy chọn không được sử dụng, vị trí bộ nhớ cache mặc định được sử dụng.

Vị trí bộ nhớ cache mặc định có thể khác nhau giữa các hệ thống. Nếu KRB5CCNAME môi trường
biến được đặt, giá trị của nó được sử dụng để định vị bộ đệm mặc định. Nếu một hiệu trưởng
tên được chỉ định và loại bộ đệm ẩn mặc định hỗ trợ một bộ sưu tập (chẳng hạn như
loại DIR), một bộ nhớ cache hiện có chứa thông tin xác thực cho hiệu trưởng là
được chọn hoặc một cái mới được tạo và trở thành bộ đệm chính mới. Nếu không, bất kỳ
nội dung hiện có của bộ đệm ẩn mặc định bị phá hủy bởi kinit.

-S Tên dịch vụ
chỉ định tên dịch vụ thay thế để sử dụng khi nhận vé ban đầu.

-X thuộc tính[=giá trị]
chỉ định xác thực trước thuộc tính và giá trị được giải thích bởi
các mô-đun xác thực trước. Giá trị thuộc tính và giá trị được chấp nhận thay đổi từ
mô-đun này sang mô-đun khác. Tùy chọn này có thể được chỉ định nhiều lần để chỉ định nhiều
thuộc tính. Nếu không có giá trị nào được chỉ định, nó được giả định là "có".

Các thuộc tính sau được công nhận bởi cơ chế xác thực trước PKINIT:

X509_user_identity =giá trị
chỉ định nơi tìm thông tin nhận dạng X509 của người dùng

X509_anchors =giá trị
chỉ định nơi để tìm thông tin neo X509 đáng tin cậy

flag_RSA_PROTOCOL [= yes]
chỉ định sử dụng RSA, thay vì giao thức Diffie-Hellman mặc định

MÔI TRƯỜNG

kinit sử dụng các biến môi trường sau:

KRB5CCNAME
Vị trí của bộ đệm ẩn thông tin xác thực Kerberos 5 mặc định, trong biểu mẫu kiểu:dư.
Nếu không kiểu tiền tố là hiện tại, FILE loại được giả định. Loại mặc định
bộ nhớ cache có thể xác định tính khả dụng của bộ sưu tập bộ nhớ cache; ví dụ, một mặc định
bộ nhớ cache của loại DIR khiến bộ nhớ đệm trong thư mục hiện diện trong
bộ sưu tập.

Sử dụng kinit trực tuyến bằng các dịch vụ onworks.net