kinit コマンド
注: Kerberos チケットの存続時間は、設計に従って DST の変更を考慮して計算されます。 DST 使用不可時間中に発行された Kerberos チケットでは有効期間が DST 使用可能時間にまたがっている場合、あるいはその逆の場合も同様に、klist に表示されるように 1 時間の差が発生する可能性があります。
目的
Kerberos 発券許可証を入手するか更新します。
構文
キニit [ - 存続時間 ] [ - 更新可能ライフ ] [ 「-f」 ] [ P- ] [ -A ] [ -s 開始時刻 ] [ -S (S) ターゲット・サービス ] [ -k (K) [ T キータブ・ファイル ] ] [ -R ] [ -v (V) ] [ -ウー ] [ 「-c」 キャッシュ名 ] [ プリンシパル ]
説明
kinit コマンドは、Kerberos 発券許可証を入手するか更新します。 コマンド・ラインでチケット・フラグを指定しない場合、Kerberos 構成ファイル (kdc.conf) で [kdcdefault] および [realms] によって指定される鍵配布センター (KDC) オプションが使用されます。
既存のチケットを更新しない場合、このコマンドにより、証明書キャッシュが初期設定し直され、KDC から受け取った新しい発券許可証が含められるようにします。 コマンド・ラインでプリンシパル 名を指定せず、-s フラグも指定しない場合、プリンシパル 名は証明書キャッシュから入手されます。 -c フラグを使用してキャッシュ名を指定しないと、新しい証明書キャッシュがデフォルトのキャッシュになります。
-、 - 、および -s フラグのチケット 時刻 値は、 NDNNNNS として表されます。ここで、
- N
- 数を表します。
- D
- 日を表します。
- 時間
- 時を表します。
- 分
- 分を表します。
- S
- 秒を表します。
コンポーネントはこの順序で指定する必要がありますが、任意のコンポーネントを省略できます。以下に例を示します。4h5m4 時間 5 分を表します。1d2s1 日と 2 秒を表します。
フラグ
フラグの説明
| 項目 | 説明 |
|---|---|
| -A | チケットにクライアント・アドレスのリストが含まれることを指定します。 このオプションを指定しないと、チケットにはローカル・ホストのアドレス・リストが含まれることになります。 イニシャル・チケットにアドレス・リストが含まれる場合、チケットはそのアドレス・リストに載せられているいずれかのアドレスからのみ使用できます。 |
| 「-c」 キャッシュ名 | 使用する証明書キャッシュの名前を指定します。 このフラグを指定しないと、デフォルトの証明書キャッシュが使用されます。 KRB5CCNAME 環境変数を設定する場合、デフォルトのチケット・キャッシュを指定するときに、その値が使用されます。 キャッシュ i の内容で残っているものがあれば、kinit によって破棄されます。 |
| -f | チケットが転送可能であることを指定します。 チケットを転送するためには、このフラグを指定する必要があります。 |
| -k | チケット・プリンシパルのキーをキー・テーブルから入手することを指定します。 このフラグを指定しなければ、チケット・プリンシパルのパスワードを入力するよう求められます。 |
| - 存続時間 | チケット終了時刻の間隔を指定します。 間隔の期限が切れたら、チケットを更新しない限り、チケットを使用できません。 間隔のデフォルトの時間は 10 時間です。 |
| -p | チケットがプロキシー化可能であることを指定します。 チケットをプロキシー化するためには、このフラグを指定する必要があります。 |
| プリンシパル | チケットのプリンシパルを指定します。 コマンド・ラインでプリンシパルを指定しない場合、プリンシパルは証明書キャッシュから入手されます。 |
| - 更新可能ライフ | 更新可能なチケットの更新時間間隔を指定します。 この間隔が過ぎたら、チケットを更新できません。 更新時間は終了時刻よりも長くする必要があります。 このフラグを指定しないでおくと、要求されたチケットの存続期間がチケットの最大存続期間を超過した場合に、更新可能なチケットを生成できる状態であっても、チケットは更新されません。 |
| -R | 既存のチケットを更新することを指定します。 既存のチケットを更新するときには、他のフラグを指定できません。 |
| -s 開始時刻 | start_time で開始し、有効な後の日付のチケットの要求を指定します。 |
| -S (S) ターゲット・サービス | イニシャル・チケットを取得するときに使用する別のサービス名を指定します。 |
| T キータブ・ファイル | キー・テーブル名を指定します。 このフラグを指定しないで -k フラグを指定する場合、デフォルトのキー・テーブルが使用されます。 -t フラグは -k フラグを包含します。 |
| -v | 検証のためにキャッシュ内の発券許可証が kdc へ渡されることを指定します。 要求された時間範囲内にチケットがあれば、キャッシュは検証されたチケットに置き換えられます。 |
| -u | プロセスに固有の資格情報キャッシュ・ファイルを kinit コマンドによって作成することを指定します。 kinit コマンドが正常に実行されると、資格情報キャッシュ・ファイル名に固有の数値 (プロセス認証グループ (PAG)) が含まれるようになります。 AIX® バージョン 5.3 以降では、PAG はオペレーティング・システム・サービスから生成されます。 KRB5CCNAME 環境変数はこの資格情報キャッシュ・ファイルに設定され、kinit コマンドは新しいシェルを実行します。 |
例
- 5 日間は更新が可能で、存続期間が 10 時間の発券許可証を取得するには、次のように入力します。
kinit -l 10h -r 5d my_principal - 既存のチケットを更新するには、次のように入力します。
kinit -R
ファイル
ファイル
| 項目 | 説明 |
|---|---|
| /usr/krb5/bin/kinit | - |
| /var/krb5/security/creds/krb5cc_[uid] | デフォルトの証明書キャッシュ ([uid] はユーザーの UID です)。 |
| /etc/krb5/krb5.keytab | ローカル・ホストの keytab ファイルのデフォルトのロケーションです。 |
| /var/krb5/krb5kdc/kdc.conf | Kerberos KDC 構成ファイルです。 |