Ktab - 管理本地密钥表

介绍 ktab

ktab - 管理存储在本地密钥表中的主体名称和服务密钥

概要

ktab [commands] [options]

[命令] [选项] 列出密钥表名称和条目，将新的密钥条目添加到密钥表，删除现有的密钥条目，并显示说明。请参阅 命令和选项.

描述

ktab 使用户能够管理存储在本地密钥表中的主体名称和服务密钥。密钥表中列出的主体和密钥对使运行在主机上的服务能够向密钥分发中心 (KDC) 进行身份验证。在配置服务器以使用 Kerberos 之前，必须在运行服务器的主机上设置密钥表。请注意，使用 ktab 工具对密钥表进行的任何更新都不会影响 Kerberos 数据库。

密钥表 是主机对其自身密钥列表的副本，类似于用户的密码。需要向密钥分发中心 (KDC) 进行身份验证的应用程序服务器必须具有包含其自身主体和密钥的密钥表。如果更改密钥表中的密钥，则还必须对 Kerberos 数据库进行相应的更改。ktab 工具使您能够列出、添加、更新或删除密钥表中的主体名称和密钥对。这些操作都不会影响 Kerberos 数据库。

安全警报

不要在命令行上指定您的密码。这样做会存在安全风险。例如，攻击者可能会在运行 UNIX ps 命令时发现您的密码。与用户保护其密码一样重要，主机保护其密钥表也同样重要。您应该始终将密钥表文件存储在本地磁盘上，并使其仅对 root 可读。您绝不应该在网络上以明文形式发送密钥表文件。

命令和选项

-l [-e] [-t]

列出密钥表名称和条目。当指定 -e 时，将显示每个条目的加密类型。当指定 -t 时，将显示每个条目的时间戳。

-a 主体名称 [密码] [-n kvno] [-append]

为给定主体名称添加新的密钥条目到密钥表，并提供可选的 密码。如果指定了 kvno，则新密钥的密钥版本号等于该值，否则，自动递增密钥版本号。如果指定了 -append，则将新密钥追加到密钥表，否则，将删除同一主体的旧密钥。

不会对 Kerberos 数据库进行任何更改。不要在命令行或脚本中指定密码。如果未指定密码，此工具将提示您输入密码。

-d 主体名称 [-f] [-e etype] [kvno | all| old] 从密钥表中删除指定主体的密钥条目。不会对 Kerberos 数据库进行任何更改。

• 如果指定了 kvno，则该工具将删除密钥版本号与 kvno 匹配的密钥。如果指定了 all，则删除所有密钥。
• 如果指定了 old，则该工具将删除除具有最高 kvno 的密钥之外的所有密钥。默认操作为 all。
• 如果指定了 etype，则该工具仅删除此加密类型的密钥。etype 应指定为 RFC 3961 第 8 节中定义的数字值 etype。除非指定了 -f，否则将显示提示以确认删除操作。

当提供 etype 时，仅删除与该加密类型匹配的条目。否则，将删除所有条目。

-help

显示说明。

常用选项

此选项可与 -l、-a 或 -d 命令一起使用。

-k 密钥表名称

使用 FILE: 前缀指定密钥表名称和路径。

示例

• 列出默认密钥表中的所有条目

  ktab -l
  

• 将新的主体添加到密钥表（请注意，系统将提示您输入密码）

  ktab -a [[email protected]](/cdn-cgi/l/email-protection)
  

• 从密钥表中删除主体

  ktab -d [[email protected]](/cdn-cgi/l/email-protection)