Kinit - 获取和授予 Kerberos 票证
介绍 Kinit
kinit - 获取和缓存 Kerberos 票证授予票证
概要
初始票证请求
kinit [-A] [-f] [-p] [-c cache_name] [-l lifetime] [-r renewable_time] [[-k [-t keytab_file_name]] [principal] [password]
续期票证
kinit -R [-c cache_name] [principal]
描述
此工具的功能类似于其他 Kerberos 实现(如 SEAM 和 MIT 参考实现)中常见的 kinit 工具。用户必须在运行 kinit 之前在密钥分发中心 (KDC) 注册为主体。
默认情况下,在 Windows 上,会生成一个名为 USER_HOME``\krb5cc_``USER_NAME 的缓存文件。
标识符 USER_HOME 来自 java.lang.System 属性 user.home。USER_NAME 来自 java.lang.System 属性 user.name。如果 USER_HOME 为空,则缓存文件将存储在运行程序的当前目录中。USER_NAME 是操作系统的登录用户名。此用户名可能与用户的主体名称不同。例如,在 Windows 上,缓存文件可能是 C:\Windows\Users\duke\krb5cc_duke,其中 duke 是 USER_NAME,而 C:\Windows\Users\duke 是 USER_HOME。
默认情况下,密钥表名称从 Kerberos 配置文件检索。如果 Kerberos 配置文件中未指定密钥表名称,则 kinit 工具假设该名称为 USER_HOME``\krb5.keytab
如果您没有使用命令行上的 password 选项指定密码,则 kinit 工具会提示您输入密码。
注意
password 选项仅用于测试目的。不要在脚本中指定您的密码,也不要在命令行上提供您的密码。这样做会危及您的密码。
命令
您可以指定以下命令之一。在命令之后,指定其选项。
-A
不包括地址。
-f
发出可转发票证。
-p
发出可代理票证。
-c cache_name
缓存名称(例如,FILE:D:\temp\mykrb5cc)。
-l lifetime
设置票证的有效期。该值可以是“h:m:s”、“NdNhNmNs”和“N”之一。有关更多信息,请参阅 MIT krb5 时间持续时间定义。
-r renewable_time
设置票证可以续期的总有效期。
-R
续期票证。
-k
使用密钥表
-t keytab_filename
密钥表名称(例如,D:\winnt\profiles\duke\krb5.keytab)。
主体
主体名称(例如,[[email protected]](/cdn-cgi/l/email-protection))。
密码
主体的 Kerberos 密码。不要在命令行或脚本中指定此项。
运行 kinit -help 以显示上面的说明。
示例
请求对当前客户端主机进行身份验证的有效凭据,用于默认服务,并将凭据缓存存储在默认位置(C:\Windows\Users\duke\krb5cc_duke)
kinit [[email protected]](/cdn-cgi/l/email-protection)
请求不同主体的可代理凭据,并将这些凭据存储在指定的缓存文件中
kinit -l 1h -r 10h [[email protected]](/cdn-cgi/l/email-protection)
请求指定主体的 TGT,该 TGT 将在 1 小时后过期,但可续期长达 10 小时。用户必须在票证过期之前续期票证。续期的票证可以在其初始请求后的 10 小时内重复续期。
kinit -R [[email protected]](/cdn-cgi/l/email-protection)
续期指定主体的现有可续期 TGT。
kinit -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef [[email protected]](/cdn-cgi/l/email-protection)
请求不同主体的可代理和可转发凭据,并将这些凭据存储在指定的缓存文件中
kinit -f -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef [[email protected]](/cdn-cgi/l/email-protection)
显示 kinit 工具的帮助菜单
kinit -help
上次更新: 2021 年 9 月 14 日