ktab
を使用すると、ローカルの鍵テーブルに保存された主体名とサービス鍵を管理することができます。キータブに一覧表示された主体と鍵のペアを使用することにより、ホスト上で実行しているサービスを、Key Distribution Center (KDC) に認証させることができます。Kerberos を使用できるようにサーバを設定するには、サーバを実行しているホスト上でキータブを設定する必要があります。ktab
を使用してキータブを更新した場合、Kerberos データベースは変更されません。キータブ内の鍵を変更した場合、Kerberos データベースにも同様の変更を加えなければなりません。
ktab [ commands ]
ktab
は、鍵テーブルの主体名と鍵のペアを管理します。また、ユーザは ktab を使用して、鍵テーブル内の主体名とキーのペアを一覧表示、追加、更新、または削除できます。どの操作を行っても、Kerberos データベースには影響しません。
- キータブ
- キータブは、ホスト自身の鍵リストをコピーしたものです。鍵リストはユーザのパスワードに類似しています。Key Distribution Center (KDC) に認証してもらう必要のあるアプリケーションサーバでは、サーバ自身の主体と鍵が記述されたキータブが必要になります。ユーザにとって自身のパスワードの保護が重要であるように、ホストにとって自身のキータブの保護が重要になります。キータブファイルは、必ずローカルディスクに保存し、スーパーユーザ以外には読み取れないようにする必要があります。キータブファイルを平文のままネットワークで送信しないでください。
使用方法: コマンド行オプションは、大文字と小文字を区別しません。
ktab -help
ktab -l [-k <keytab_name>]
ktab [-a <principal_name> <password>] [-k <keytab_name>]
ktab [-d <principal_name>] [-k <keytab_name>]
コマンドオプション 説明 -l
キータブ名とエントリを一覧表示する -a <principal_name> <password>
エントリをキータブに追加する。Kerberos データベースは変更されない。コマンド行またはスクリプトでパスワードを指定しないこと -d <principal_name>
エントリをキータブから削除する。Kerberos データベースは変更されない -k <keytab_name>
接頭辞 FILE:
を使用してキータブ名とパスを指定する-help
説明を表示する
- デフォルトの鍵テーブル内のエントリをすべて一覧表示する場合
ktab -l
- 鍵テーブルに新しい主体を追加する場合 (パスワードを求められることに注意)
ktab -a duke@java.sun.com
- 鍵テーブルから主体を削除する場合
ktab -d duke@java.sun.com
コマンド行にパスワードを入力しないでください。パスワードを入力すると、セキュリティ上の危険が生じます。たとえば、Unix
ps
コマンドを実行しているときに、攻撃者にパスワードを発見される可能性があります。