mkkrb5clnt コマンド
目的
Kerberos クライアントを構成します。
構文
IBM® ネットワーク認証サービスに対して Kerberos を構成するには、次のように入力します。
mkkrb5clnt -h | [ -c KDC -r Realm -s Server -U [ -a Admin ] -d Domain [ -A ] [ -i Database ] [ -K ] [ -T ] [ -t ticket_lifetime ] [ -n renew_lifetime ] ] [ -l {ldapserver | ldapserver:port} ]
kadmind 以外のサービスに対して Kerberos を構成するには、次のように入力します。
mkkrb5clnt -h | -c KDC -r Realm -s Server -d Domain [ -i Database ] [ -K ] [ -t ticket_lifetime ] [ -n renew_lifetime ] -D [ -l {ldapserver | ldapserver:port} ] | -U
説明
このコマンドは、Kerberos クライアントを構成します。 コマンドの最初の部分では、入力からレルム名、KDC、VDB パス、およびドメイン名が読み取られ、 さらに、krb5.conf ファイルが生成されます。
| 項目 | 説明 |
|---|---|
| /etc/krb5/krb5.conf: | レルム名、Kerberos admin サーバー、およびドメイン名は、コマンド・ラインで指定されたとおりに設定されます。 さらに、default_keytab_name、kdc、 および kadmin ログ・ファイルへのパスが更新されます。 |
DCE が構成されていない場合は、このコマンドにより、 /etc/krb5.conf から /etc/krb5/krb5.conf へのパスが作成されます。
このコマンドを使用すると、root を管理ユーザーとして構成し、統合された Kerberos 認証を構成し、 Kerberos をデフォルトの認証方式として構成することができます。
統合ログインのためには、-i フラグで、 使用されるデータベースの名前を指定することが必要です。 LDAP の場合、LDAP を指定するロード・モジュールの名前を使用してください。 ローカル・ファイルの場合、キーワード・ファイルを使用してください。
| 項目 | 説明 |
|---|---|
| Standard Output | -h フラグが使用されているとき、情報メッセージから成り立っています。 |
| Standard Error | コマンドが正常に完了できないとき、エラー・メッセージから成り立っています。 |
フラグ
| 項目 | 説明 |
|---|---|
| -a Admin | Kerberos サーバー管理者のプリンシパル名を指定します。 |
| -A | root が Kerberos 管理ユーザーとして追加されるように指定します。 |
| -c KDC | KDC サーバーを指定します。 |
| -d Domain | Kerberos クライアントの完全なドメイン名を指定します。 |
| -D | 非 kadmind サービスに対して Kerberos を指定します。 |
| -h | コマンドが有効なコマンド構文のみを表示することを指定します。 |
| -i Database | 統合された Kerberos 認証を構成します。 |
| -K | Kerberos がデフォルトの認証方式として構成されるように指定します。 |
| -l ldapserver | ldapserver:port | サーバーの場合は、ネットワーク認証サービス・プリンシパルおよびポリシー情報を保管するのに
使用する LDAP ディレクトリーを指定します。
クライアントの場合は、管理サーバーおよび LDAP を使用する KDC ディスカバリーに 使用する LDAP ディレクトリー・サーバーを指定します。 -l フラグを使用する場合は、KDC およびサーバー・フラグの指定はオプションです。 -l オプションを使用しない場合は、KDC およびサーバー・フラグを 指定する必要があります。オプションとして、ポート番号を指定することができます。 クライアントおよびサーバーの場合、オプションとして、ポート番号を指定することができます。 ポート番号を指定しないと、クライアントは、デフォルトの LDAP サーバー・ポート 389 または SSL 接続の場合は 636 に接続します。 注: クライアント構成のみが更新されます。
|
| -n renew_lifetime | サーバーがサポートしている場合、更新可能なチケットを生成するための、クライアントに特定の時刻を指定します。デフォルトで、チケットは更新不可です。renew_lifetime パラメーター値は、コロンで区切られた 4 個の数値で構成されています。 |
| -r Realm | Kerberos クライアントが構成されるレルムの完全名を指定します。 |
| -s Server | Kerberos 管理サーバーの完全修飾ホスト名を指定します。 |
| -t ticket_lifetime | サーバーがサポートしている場合、受信済みチケットに、クライアントに特定のチケット存続時間を指定します。このフラグが指定されない場合は、サーバーがチケット存続時間を設定します。ticket_lifetime パラメーター値は、コロンで区切られた 4 個の数値で構成されます。 |
| -T | サーバー管理者の TGT ベースの管理チケットを獲得するためのフラグを指定します。 |
| -U | セットアップを直前の構成コマンドから元に戻します。 |
終了状況
このコマンドが正常に実行されない場合、結果として、不完全なクライアント構成が生じる可能性があります。
| 項目 | 説明 |
|---|---|
| 0 | コマンドの正常終了を示します。 |
| 1 | エラーが発生したことを示します。 |
セキュリティー
aix.security.kerberos 権限のあるユーザーがこのコマンドの使用を許可されます。
例
- コマンド構文を表示するには、次のコマンドを入力します。
mkkrb5clnt -h - testbox.austin.ibm.com を、sundial.austin.ibm.com のクライアントとして構成する (ここでは、KDC も sundial.austin.ibm.com で実行されている) には、次のコマンドを入力します。
mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM ¥ -s sundial.austin.ibm.com -d austin.ibm.com - testbox.austin.ibm.com をクライアントとして構成し、サーバー管理者として root を作成し、統合ログインを構成し、デフォルト認証スキームとして Kerberos を構成するには、次のコマンドを入力します。
mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM ¥ -s sundial.austin.ibm.com -d austin.ibm.com ¥ -A -i files -K -T - AIX® 以外のマシンに対して testbox.austin.ibm.com をクライアントとして構成するには、次のコマンドを入力します。
mkkrb5clnt -c non-aix.austin.ibm.com -r NON-AIX.AUSTIN.IBM.COM ¥ -s non-aix.austin.ibm.com -d austin.ibm.com -D - AIX 以外のマシンに対して testbox.austin.ibm.com をクライアントとして構成し、1 日、2 時間、3 分、および 4 秒のチケット存続時間と、5 日、6 時間、7 分、および 8 秒の更新存続時間を指定するには、次のコマンドを入力します。
mkkrb5clnt -c non-aix.austin.ibm.com -r NON-AIX.AUSTIN.IBM.COM ¥ -s non-aix.austin.ibm.com -d austin.ibm.com -D ¥ -t 1:2:3:4 -n 5:6:7:8
ファイル
| 項目 | 説明 |
|---|---|
| /usr/krb5/sbin | mkkrb5clnt コマンドが入っています。 |