kinit は、Kerberos チケット認可チケット (Ticket Granting Ticket、TGT) の取得とキャッシュに使用されます。このツールの機能は、SEAM や MIT リファレンス実装など、他の Kerberos 実装に一般的に見られる kinit ツールと類似しています。
kinit を実行する前に、Key Distribution Center (KDC) を使用してユーザを主体として登録する必要があります。
kinit [ commands ] <principal name>
デフォルトでは、どの Unix プラットフォームでも、
/tmp/krb5cc_<uid>というキャッシュファイルが生成されます。<uid>は、システムにログインしているユーザのユーザ ID 番号です。他のすべてのプラットフォームでは、<USER_HOME>/krb5cc_<USER_NAME>というキャッシュファイルが生成されます。
<USER_HOME>は、java.lang.Systemプロパティuser.homeから取得されます。<USER_NAME>は、java.lang.Systemプロパティuser.nameから取得されます。<USER_HOME>が null の場合、キャッシュファイルは現在 kinit を実行しているディレクトリに保存されます。<USER_NAME>は、オペレーティングシステムのログインユーザ名です。このユーザ名は、ユーザの主体名とは別の名前にすることもできます。 Solaris での一例を挙げると、このキャッシュファイルは/home/duke/krb5cc_dukeとなります。ここで、dukeは<USER_NAME>であり、/home/dukeは<USER_HOME>になります。デフォルトでは、キータブ名は Kerberos 構成ファイルから取得されます。Kerberos 構成ファイルでキータブ名が指定されていない場合、キータブ名は
<USER_HOME>/krb5.keytabであると見なされます。コマンド行で
passwordオプションを使用する場合、パスワードを指定しないと、kinit からパスワードの入力を要求されます。注:
passwordは、テスト目的でのみ用意されています。スクリプトにパスワードを記述したり、コマンド行にパスワードを入力したりしないでください。このようにすると、パスワードが漏洩する危険性があります。詳細は、kinit のマニュアルページを参照してください。
使用方法:
kinit -fp [-c <cache_name>] [-k] [-t <keytab_filename>] [<principal>] [<password>] [-help]
コマンドオプション 説明 -f転送可能チケットを発行する -pプロキシ化可能チケットを発行する -c <cache_name>キャッシュ名 (つまり、 FILE:/temp/mykrb5cc)-kキータブを使用 -t <keytab_filename>キータブ名 (つまり、 /home/duke/krb5.keytab)<principal>主体名 (つまり、 duke@java.sun.com)<password>主体の Kerberos パスワード。
コマンド行またはスクリプトで指定しないこと-help説明を表示する
デフォルトサービスについて、現在のクライアントホストから認証に対して有効な資格を要求し、デフォルトの場所 (
/home/duke/krb5cc_duke) に資格キャッシュを保存します。
kinit duke@JAVA.SUN.COM異なる主体ごとにプロキシ化可能な資格を要求し、指定したファイルキャッシュにこれらの資格を保存します。
kinit -p -c FILE:/home/duke/credentials/krb5cc_cafebeef cafebeef@JAVA.SUN.COM異なる主体ごとにプロキシ化可能および転送可能な資格を要求し、指定したファイルキャッシュにこれらの資格を保存します。
kinit -f -p -c FILE:/home/duke/credentials/krb5cc_cafebeef cafebeef@JAVA.SUN.COMkinit のヘルプメニューを表示します。
kinit -help
passwordフラグは、テスト目的でのみ用意されています。コマンド行にパスワードを入力しないでください。パスワードを入力するとセキュリティホールが生じ、たとえば Unixpsコマンドを実行しているときに、そのパスワードが攻撃者によって発見される可能性があります。