The ktab Command

名称

ktab - 管理本地密钥表中存储的主体名称和服务密钥

简介

ktab [命令] [选项]

[命令] [选项]
列出密钥表的名称和条目,向密钥表添加新的密钥条目,删除现有的密钥条目,并显示说明。请参阅命令和选项

描述

ktab使用户能够管理存储在本地密钥表中的主体名称和服务密钥。在密钥表中列出的主体和密钥对使在主机上运行的服务能够向密钥分发中心(KDC)进行身份验证。

在配置服务器使用Kerberos之前,您必须在运行服务器的主机上设置一个密钥表。请注意,使用ktab工具对密钥表进行的任何更新都不会影响Kerberos数据库。

密钥表是主机自己密钥列表的副本,类似于用户的密码。需要向密钥分发中心(KDC)进行身份验证的应用服务器必须具有包含其自身主体和密钥的密钥表。如果更改密钥表中的密钥,则必须同时对Kerberos数据库进行相应更改。ktab工具使您能够列出、添加、更新或删除密钥表中的主体名称和密钥对。这些操作都不会影响Kerberos数据库。

安全警告

不要在命令行上指定密码。这样做可能存在安全风险。例如,攻击者可能在运行UNIXps命令时发现您的密码。

就像用户保护他们的密码一样重要,主机保护他们的密钥表同样重要。您应该始终将密钥表文件存储在本地磁盘上,并且只允许root用户读取。您不应该通过网络明文传输密钥表文件。

命令和选项

-l [-e] [-t]
列出密钥表的名称和条目。当指定-e时,显示每个条目的加密类型。当指定-t时,显示每个条目的时间戳。
-a 主体名称 [密码] [-n kvno] [-s salt | -f] [-append]

向密钥表为给定主体名称添加新的密钥条目,可选密码。如果指定kvno,则新密钥的密钥版本号等于该值,否则自动递增密钥版本号。如果指定salt,则将使用该值而不是默认盐。如果指定-f,将联系KDC获取盐。如果指定-append,新密钥将附加到密钥表,否则将删除相同主体的旧密钥。

不会对Kerberos数据库进行任何更改。 不要在命令行或脚本中指定密码。 如果未指定密码,此工具将提示输入密码。

-d 主体名称 [-f] [-e etype] [kvno | all| old]

从密钥表中删除指定主体的密钥条目。不会对Kerberos数据库进行任何更改。

  • 如果指定kvno,则工具将删除密钥版本号与kvno匹配的密钥。如果指定all,则删除所有密钥。

  • 如果指定old,则工具将删除除具有最高kvno之外的所有密钥。默认操作为all

  • 如果指定etype,则工具仅删除此加密类型的密钥。应将etype指定为RFC 3961第8节中定义的数字值etype。除非指定-f,否则将显示确认删除的提示。

提供etype时,仅删除与此加密类型匹配的条目。否则,将删除所有条目。

-help
显示说明。

常见选项

此选项可与-l-a-d命令一起使用。

-k 密钥表名称
使用FILE:前缀指定密钥表名称和路径。

示例