kinit - Kerberos チケット認可チケットの取得とキャッシュ

kinit は、Kerberos チケット認可チケット (Ticket Granting Ticket、TGT) の取得とキャッシュに使用されます。このツールの機能は、SEAM や MIT リファレンス実装など、他の Kerberos 実装に一般的に見られる kinit ツールと類似しています。

kinit を実行する前に、Key Distribution Center (KDC) を使用してユーザを主体として登録する必要があります。

形式

kinit [ commands ] <principal name> [<password>]

説明

Windows プラットフォームではデフォルトで、<USER_HOME>\krb5cc_<USER_NAME> というキャッシュファイルが生成されます。<uid> は、システムにログインしているユーザのユーザ ID 番号です。すべての Unix プラットフォームではデフォルトで、/tmp/krb5cc_<uid> というキャッシュファイルが生成されます。

<USER_HOME> は、java.lang.System プロパティ user.home から取得されます。<USER_NAME> は、java.lang.System プロパティ user.name から取得されます。<USER_HOME> が null の場合、キャッシュファイルは、kinit を実行したカレントディレクトリに保存されます。<USER_NAME> は、オペレーティングシステムのログインユーザ名です。このユーザ名は、ユーザの主体名と別の名前にすることもできます。たとえば Windows NT では、c:\winnt\profiles\duke\krb5cc_duke のようになります。この場合、duke は <USER_NAME> であり、c:\winnt\profiles\duke は <USER_HOME> です。

デフォルトでは、キータブ名は、Kerberos 設定ファイルから取得されます。Kerberos 設定ファイルでキータブ名が指定されていない場合、キータブ名は <USER_HOME>\krb5.keytab と見なされます。

コマンド行で password オプションを使用する場合、パスワードを指定しないと、kinit からパスワードの入力を要求されます。

注 - password は、テスト用に用意されているだけです。スクリプトにパスワードを記述したり、コマンド行にパスワードを入力したりしないでください。このようにした場合、パスワードが漏洩する危険性があります。

詳細は、kinit のマニュアルページを参照してください。

コマンド

使用方法: kinit [-fp] [-c <cache_name>] [-k] [-t <keytab_filename>] [<principal>] [<password>] [-help]

コマンドオプション説明

-f 転送可能チケットを発行する

-p プロキシ化可能チケットを発行する

-c <cache_name> キャッシュ名 (つまり、FILE:d:\temp\mykrb5cc)

-k キータブを使用

-t <keytab_filename> キータブ名 (つまり、d:\winnt\profiles\duke\krb5.keytab)

<principal> 主体名 (つまり、duke@java.sun.com)

<password> 主体の Kerberos パスワード。
コマンド行またはスクリプトで指定しないこと

-help 説明を表示する

コマンドオプション	説明
`-f`	転送可能チケットを発行する
`-p`	プロキシ化可能チケットを発行する
`-c <cache_name>`	キャッシュ名 (つまり、`FILE:d:\temp\mykrb5cc`)
`-k`	キータブを使用
`-t <keytab_filename>`	キータブ名 (つまり、`d:\winnt\profiles\duke\krb5.keytab`)
`<principal>`	主体名 (つまり、`duke@java.sun.com`)
`<password>`	主体の Kerberos パスワード。コマンド行またはスクリプトで指定しないこと
`-help`	説明を表示する

例

デフォルトサービスについて、現在のクライアントホストから認証に対して有効な資格を要求し、デフォルトの場所 (c:\winnt\profiles\duke\krb5cc_duke) に資格キャッシュを保存します。

kinit duke@JAVA.SUN.COM

異なる主体ごとにプロキシ化可能な資格を要求し、指定したファイルキャッシュにこれらの資格を保存します。

kinit -p -c FILE:c:\winnt\profiles\duke\credentials\krb5cc_cafebeef cafebeef@JAVA.SUN.COM

異なる主体ごとにプロキシ化可能および転送可能な資格を要求し、指定したファイルキャッシュにこれらの資格を保存します。

kinit -f -p -c FILE:c:\winnt\profiles\duke\credentials\krb5cc_cafebeef cafebeef@JAVA.SUN.COM

kinit のヘルプメニューを表示します。

kinit -help

セキュリティ上の注意

password フラグは、テスト用に用意されているだけです。コマンド行にパスワードを入力しないでください。パスワードを入力するとセキュリティホールが生じ、たとえば Unix ps コマンドを実行しているときに、そのパスワードが攻撃者に見つけられる可能性があります。