KADMIN(8)

FreeBSD System Manager's Manual

KADMIN(8)

名称

kadmin — Kerberos 管理ユーティリティ

書式

kadmin

解説

kadmin プログラムは、 kadmind(8) デーモンを通してリモートで、またはローカル ( -l オプションで) のいずれかで、Kerberos データベースの変更を行うために使用されます。

サポートされるオプションは、次の通りです:

コマンド行で command が与えられないなら、 kadmin は、処理されるコマンドのためのプロンプトを出します。引数 ( delete, ext_keytab, get, modify と passwd) として 1 つ以上のプリンシパルを取るコマンドのいくつかは、 glob (ファイル名置換) スタイルのワイルドカードを受け付けて、すべての一致しているプリンシパルで操作を実行します。

コマンドは、次の通りです:

add [ -r | --random-key][ --random-password][ -p string | --password=string][ --key=string][ --max-ticket-life=lifetime][ --max-renewable-life=lifetime][ --attributes=attributes][ --expiration-time=time][ --pw-expiration-time=time] principal...

新しいプリンシパルをデータベースに追加します。コマンド行で渡されなかったオプションは、プロンプトが出されます。

add_enctype [ -r | --random-key] principal enctypes...

プリンシパルへの新しい暗号化タイプを追加し、ランダムキーだけがサポートされます。

delete principal...

プリンシパルを削除します。

del_enctype principal enctypes...

プリンシパルからいくつかの enctype を削除します。プリンシパルに属するサービスが、特定の enctype を取り扱わないことが知られているなら、これは、役に立ちます。

ext_keytab [ -k string | --keytab=string] principal...

指定されたプリンシパルのキーでキータブを作成します。

get [ -l | --long][ -s | --short][ -t | --terse][ -o string | --column-info=string] principal...

一致しているプリンシパルをリストし、short は、テーブルとして結果を印刷します、一方、長い (long) 形式は、より詳細な出力を生成します。 -o オプションでどのカラムを印刷できるかを選択することができます。引数は、等号 (‘=’) でオプションで追加されたカラム名のコンマの区切られたリストとカラムヘッダです。デフォルトでどのカラムが印刷されるかは、short と long の出力の間で若干異なります。

デフォルトの簡潔な出力形式は、ちょうど一致しているプリンシパルの名前を印刷する -s -o principal= と同様です。

指定できるカラム名は、次の通りです: principal, princ_expire_time, pw_expiration, last_pwd_change, max_life, max_rlife, mod_time, mod_name, attributes, kvno, mkvno, last_success, last_failed, fail_auth_count, policy と keytypes。

modify [ -a attributes | --attributes=attributes][ --max-ticket-life=lifetime][ --max-renewable-life=lifetime][ --expiration-time=time][ --pw-expiration-time=time][ --kvno=number] principal...

プリンシパルの特定の属性を変更します。コマンド行のオプションなしで実行するなら、利用者にプロンプトが出されます。コマンド行のオプションで、指定されたものだけを変更します。

指定できる属性は、次の通りです: new-princ, support-desmd5, pwchange-service, disallow-svr, requires-pw-change, requires-hw-auth, requires-pre-auth, disallow-all-tix, disallow-dup-skey, disallow-proxiable, disallow-renewable, disallow-tgt-based, disallow-forwardable, disallow-postdated

属性は、"-"で否定できます、例えば、次の通りです。

kadmin -l modify -a -disallow-proxiable user

passwd [ -r | --random-key][ --random-password][ -p string | --password=string][ --key=string] principal...

既存のプリンシパルのパスワードを変更します。

password-quality principal password

局所的にパスワードの品質をチェックする関数を実行します。利用者は、設定ファイルが正しいことを検証するために kadmind プロセスを実行して設定されるホストで、これを実行することができます。検証は、kadmin が、リモートモードで実行されるなら、局所的に行われ、サーバへの rpc 呼び出しは行われません。

privileges

利用者が実行することができる操作をリストします。これらは、 add, add_enctype, change-password, delete, del_enctype, get, list と modify を含みます。

rename from to

プリンシパルの名前を変更します。これは、通常透明ですが、キーがプリンシパル名で salt (塩) されるので、それらには、標準的でない salt (塩) があり、そして、これに対処できないクライアントは、失敗します。 Kerberos 4 は、これが欠点です。

check [ realm]

重要なプリンシパルで奇妙な設定がないかどうかデータベースをチェックします。レルムが与えられないなら、デフォルトのレルムが使用されます。

ローカルのモードで実行するとき、次のコマンドも使用することができます:

dump [ -d | --decrypt][ dump-file]

指定されたファイル、または標準出力へ“人間に読み込み可能な”形式でデータベースに書き込みます。データベースが暗号化されていて、 --decrypt が使用されていないなら、ダンプには、暗号化されたキーもあります。

init [ --realm-max-ticket-life=string][ --realm-max-renewable-life=string] realm

新しいレルムのためのエントリで Kerberos データベースを初期化します。 1 つのサーバによって 2 つ以上の動作するレルムを持つことは可能です。

load file

以前にダンプされたデータベースを読み込み、最初からそのデータベースを再作成します。

merge file

load と同様ですが、単にダンプファイルのエントリでデータベースを変更します。

stash [ -e enctype | --enctype=enctype][ -k keyfile | --key-file=keyfile][ --convert-file][ --master-key-fd=fd]

Kerberos マスタキーを KDC によって使用されたファイルに書き込みます。

YOS OPENSONAR

名称

書式

解説

関連項目