Kerberos データベース管理プログラム。
kadmin.local [ -r realm ] [ -p principal ] [ -q query ] [ -d dbase ] [ -e "enc:salt ..." ] [ -m ] [ parameters ]
kadmin.local コマンドは、Kerberos データベース管理システムへのコマンド行インターフェースです。 kadmin.local はマスター鍵配布センター (KDC) で実行され、データベースへの認証には Kerberos を使用しません。
kadmin.local コマンドは Kerberos プリンシパル、ポリシー、およびサービス鍵テーブル (keytab) の保守を提供します。認証に使用されるクライアント・プリンシパル名を指定するには -p フラグと -k フラグを使用します。 kadmin.local は認証なしで直接マスター KDC で実行されます。
-d dbase | プリンシパル・データベースを保管するパスの名前を指定します。デフォルトでは、データベースは /var/krb5/krb5kdc に置かれます。 |
-e enctype | データベースにエントリーを書き込むときに使用する暗号化タイプを指定します。 |
-m | マスター・データベース・パスワードをファイルからではなくキーボードから取り出すことを指定します。 |
-p principal | 認証にプリンシパルを使用します。指定しない場合、kadmin は、優先順に、デフォルト・キャッシュの 1 次プリンシパル名、USER 環境変数の値、またはユーザー名に、/admin を追加します。 |
-q query | 照会を直接 kadmin に渡します。kadmin は照会を実行して終了します。これはスクリプトを作成するときに便利です。 |
-r realm | デフォルト・データベース・レルムとして realm を使用します。 |
add_policy [Flags] Policy | 指定されたポリシーをポリシー・データベースに追加します。
add 特権が必要です。別名: addpol。
|
add_principal [Flags] Newprinc | パスワードのプロンプトを 2 回出して、プリンシパル newprinc を作成します。
-policy フラグでポリシーを指定しなくても、デフォルト名のポリシーが存在する場合は、そのポリシーがプリンシパルに割り当てられます。
注:
ポリシー・デフォルトの割り当てはプリンシパルが最初に作成するされるときにのみ自動的に行われます。したがって、割り当てが行われるためにはポリシー・デフォルトがすでに存在している必要があります。このデフォルトの割り当ては、
-clearpolicy フラグを使用して抑制できます。
このパラメーターには、addprinc および ank という別名があります。
addpol フラグについては Add_principal フラグを参照してください。 |
change_password [Flags] Principal | プリンシパルのパスワードを変更します。
-randkey も -pw も指定しなかった場合は、新しいパスワードを求めるプロンプトが出されます。
changepw 特権を持っているか、あるいはプログラムを実行するプリンシパルが変更されるプリンシパルと同じである必要があります。別名: cpw。以下のフラグが使用できます。
|
delete_policy [-force] Policy | 指定されたポリシーを削除します。 -force フラグが指定されていない場合は、削除の前に確認プロンプトが出されます。いずれかのプリンシパルがポリシーを使用中の場合は、コマンドは失敗します。 delete 特権が必要です。別名: delpol。 |
delete_principal [-force] Principal | 指定されたプリンシパルをデータベースから削除します。 -force フラグが指定されていない場合、このコマンドは削除に関するプロンプトを出します。別名: delprinc。 |
get_policy [-terse] Policy | 指定されたポリシーの値を表示します。 inquire 特権が必要です。 -terse フラグを指定すると、タブで区切られた引用符付きストリングとしてフィールドを出力します。別名: getpol。 |
get_principal [-terse] Principal | プリンシパルの属性とポリシーを取得します。 inquire 特権を持っているか、あるいはプログラムを実行するプリンシパルがリストされるプリンシパルと同じである必要があります。 -terse フラグを指定すると、タブで区切られた引用符付きストリングとしてフィールドを出力します。別名: getprinc。 |
ktadd [-k Keytab] [-q] [Principal | -glob Princ-exp] [...] | プロセス内の各プリンシパルの鍵をランダム化し、princ-exp と一致する 1 つのプリンシパルまたはすべてのプリンシパルを keytab に追加します。このパラメーターはデータベース内の鍵を更新し、既存の鍵をすべて無効にします。プリンシパルの固有の暗号化タイプごとにエントリーが追加され、暗号化タイプが同じでも salt タイプが異なる複数の鍵は無視されます。 -k 引数を指定しなかった場合は、デフォルトの keytab が使用されます。 -q オプションを指定すると、簡潔な状況情報が表示されます。 -glob フラグを指定するには list 特権が必要です。コマンド princ-exp は、list_principals コマンドについて説明したのと同じ規則に従います。 |
ktremove [-k Keytab] [-q] Principal [kvno | all | old] | 指定されたプリンシパルのエントリーを keytab から除去します。文字列 all を指定すると、そのプリンシパルのすべてのエントリーが除去されます。文字列 old を指定すると、最高の kvno を持つエントリー以外の、そのプリンシパルのすべてのエントリーが除去されます。それ以外の場合、指定された値は整数として構文解析され、その整数に kvno が一致するすべてのエントリーが除去されます。 -k 引数を指定しなかった場合は、デフォルトの keytab が使用されます。 -q フラグを指定すると、簡潔な状況情報が表示されます。別名: ktrem。 |
list_policies [Expression] | 一部のポリシー名またはすべてのポリシー名を検索します。 Expression はシェル・タイプのグロブ式であり、ワイルドカード文字 ?、*、および [] を含めることができます。この式に一致するすべてのポリシー名が出力されます。式を指定しなかった場合は、すべての既存のポリシー名が出力されます。 list 特権が必要です。別名: getpols、get_policies、listpols。 |
list_principals [Expression] | 一部のプリンシパル名またはすべてのプリンシパル名を検索します。 Expression はシェル・タイプのグロブ式であり、ワイルドカード文字 ?、*、および [] を含めることができます。この式に一致するすべてのプリンシパル名が出力されます。式を指定しなかった場合は、すべてのプリンシパル名が出力されます。式に @ 文字が含まれていない場合は、@ 文字とそれに続くローカル・レルムが式に追加されます。別名: getprincs、get_principals、listprincs。 |
modify_policy [Flags] Policy | 指定されたポリシーを変更します。フラグは上記の add_policy の場合と同じです。別名: modpol。 |
modify_principal [Flags] Principal | 指定されたとおりにフィールドを変更して、指定されたプリンシパルを変更します。フラグは上記の add_principal の場合と同じですが、このコマンドではパスワード変更は禁止されています。また、 -clearpolicy フラグを指定すると、プリンシパルの現行ポリシーがクリアされます。別名: modprinc。 |
+allow_dup_skey はこのフラグをクリアします。
+allow_forwardable はこのフラグをクリアします。
+allow_postdated はこのフラグをクリアします。
+allow_proxiable はこのフラグをクリアします。
+allow_renewable はこのフラグをクリアします。
+allow_svr はこのフラグをクリアします。
+allow_tgs_req はこのフラグをクリアします。デフォルトは +allow_tgs_req です。
+allow_tix はこのフラグをクリアします。デフォルトは +allow_tix です。
-delegate_ok オプションはこのフラグをクリアします。
-needchange はこのフラグをクリアします。デフォルトは -needchange です。
-password_changing_service はこのフラグをクリアします。デフォルトは -password_changing_service です。
-requires_hwauth はこのフラグをクリアします。
-requires_preauth はこのフラグをクリアします。
-support_desmd5 オプションはこのフラグをクリアします。
kadmin コマンドでは、期間または絶対時刻の指定に各種の日付形式を使用できます。有効な日付形式の例は次のとおりです。
ago 指定子のない日付は、期間が予想されるフィールドに現れる場合を除いて、デフォルトで絶対日付になります。期間が予想されるフィールドでは、時間指定子は相対的と解釈されます。期間で ago を指定すると、予期しない結果になる可能性があります。
kadmin.local: addprinc henry/admin WARNING: no policy specified for/admin@AU.IBM.COM; defaulting to no policy. Enter password for principal henry/admin@AU.IBM.COM: Re-enter password for principal henry/admin@AU.IBM.COM: Principal henry/admin@AU.IBM.COM created. kadmin.local:
kadmin.local: delprinc mwm_user Are you sure you want to delete the principal "mwm_user@AU.IBM.COM"? (yes/no): yes Principal "mwm_user@AU.IBM.COM" deleted. Make sure that you have removed this principal from all ACLs before reusing. kadmin.local:
kadmin.local: cpw systest Enter password for principal systest@AU.IBM.COM: Re-enter password for principal systest@AU.IBM.COM: Password for systest@AU.IBM.COM changed. kadmin.local:
kadmin.local: getprinc henry/admin Principal: henry/admin@AU.IBM.COM Expiration date: [never] Last password change: Mon Aug 12 14:16:47 EDT 2000 Password expiration date: [none] Maximum ticket life: 0 days 10:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Mon Aug 12 14:16:47 EDT 1996 (admin/admin@au.IBM.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, DES cbc mode with CRC-32, no salt Key: vno 1, DES cbc mode with CRC-32, Version 4 Attributes: Policy: [none] kadmin.local: getprinc -terse systest systest@AU.IBM.COM 3 86400 604800 1 785926535 753241234 785900000 henry/admin@AU.IBM.COM 786100034 0 0 kadmin.local:
kadmin.local: listprincs test* test3@AU.IBM.COM test2@AU.IBM.COM test1@AU.IBM.COM testuser@AU.IBM.COM kadmin.local:
kadmin.local: del_pol guests Are you sure you want to delete the policy "guests"? (yes/no): yes Policy "guests" deleted. kadmin.local:
kadmin.local: getpol admin Policy: admin Maximum password life: 180 days 00:00:00 Minimum password life: 00:00:00 Minimum password length: 6 Minimum number of password character classes: 2 Number of old keys kept: 5 Reference count: 17 kadmin.local: getpol -terse admin admin 15552000 0 6 2 5 17 kadmin.local:
kadmin.local: listpols test-pol dict-only once-a-min test-pol-nopw kadmin.local: listpols t* test-pol test-pol-nopw kadmin.local:
kadmin.local: ktadd -k /tmp/foo-new-keytab host/foo.au.ibm.com Entry for principal host/foo.au.ibm.com@AU.IBM.COM with kvno 3, encryption type DES-CBC-CRC added to keytab WRFILE:/tmp/foo-new-keytab kadmin.local:
kadmin.local: ktremove -k /var/krb5/krb5kdc/kadmind.keytab kadmin/admin Entry for principal kadmin/admin with kvno 3 Removed from keytab WRFILE:/var/krb5/krb5kdc/kadmind.keytab. kadmin.local:
kadmin コマンド