kinit 명령
참고: Kerberos 티켓 수명은 설계에 따라 DST 변경 사항을 고려하여 계산됩니다. 따라서 DST 사용
불가능 시간 동안 발행된 Kerberos 티켓은 해당 유효성
검사가 DST 사용 가능 시간에 도달하거나 그 반대인 경우
klist에 1시간의 차이를 표시할 수 있습니다.
용도
Kerberos 티켓 부여 티켓을 획득 또는 갱신합니다.
구문
kinit [ -l lifetime ] [ -r renewable_life ] [ -f ] [ -p ] [ -A ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c cachename ] [ principal ] ]
설명
kinit 명령은 Kerberos 티켓 부여 티켓을 획득 또는 재생합니다. Kerberos 구성 파일(kdc.conf)의 [kdcdefault] 및 [realms]로 지정되는 키 분산 센터(KDC) 옵션은 명령행에서 티켓 플래그를 지정하지 않는 경우 사용됩니다.
기존 티켓을 갱신하지 않으면 명령이 신임 정보 캐시를 다시 초기화하고 KDC에서 받은 새로운 티켓 부여 티켓을 포함하게 됩니다. 명령행에서 Principal 이름을 지정하지 않고 -s 플래그를 지정하면 신임 정보 캐시에서 Principal 이름을 획득합니다. -c 플래그를 사용하여 캐시 이름을 지정하지 않는 한, 새로운 신임 캐시가 디폴트 캐시가 됩니다.
티켓 시간 값은 -l, -r 및 -s 플래그의 경우 ndnhnmns where로 표현됩니다:
- n
- 숫자를 나타냅니다.
- d
- 일을 나타냅니다.
- h
- 시간을 나타냅니다.
- m
- 분을 나타냅니다.
- s
- 초를 나타냅니다.
구성 요소를 이 순서대로 지정해야 하지만 다음과 같은 구성 요소는 생략할 수 있습니다4h5m은 4시간 5분을 나타내고1d2s는 1일 2초를 나타냅니다.
플래그
플래그 설명
| 항목 | 설명 |
|---|---|
| -A | 티켓에 클라이언트 주소의 목록이 포함되는 것으로 지정합니다. 이 옵션을 지정하지 않으면 티켓에 로컬 호스트 주소 리스트이 포함됩니다. 초기 티켓에 주소 리스트가 들어 있는 경우 주소 리스트의 주소 중 하나에서만 사용할 수 있습니다. |
| -c 캐시 이름 | 사용할 신임 정보 캐시의 이름을 지정합니다. 이 플래그를 지정하지 않으면 디폴트 신임 정보 캐시를 사용합니다. KRB5CCNAME 환경 변수가 설정되어 있으면 해당 값을 사용하여 디폴트 티켓 캐시의 이름을 지정합니다. 캐시 i의 기존 내용은 kinit로 영구 삭제됩니다. |
| -f | 티켓을 전달 가능하도록 지정합니다. 티켓을 전달하려면 이 플래그를 지정해야 합니다. |
| -k | 키 테이블로부터 티켓 프린시펄에 대한 키를 구하도록 지정합니다. 이 플래그를 지정하지 않으면 티켓 프린시펄에 대한 비밀번호를 입력하도록 프롬프트됩니다. |
| -l 평생 | 티켓 종료 시간 간격을 지정합니다. 티켓이 갱신되지 않으면 간격이 만기된 후 티켓을 사용할 수 없습니다. 디폴트 간격은 10시간입니다. |
| -p | 티켓이 프록시 가능하도록 지정합니다. 티켓을 프록시 가능하도록 지정하려면 이 플래그를 지정해야 합니다. |
| 핵심부 | 티켓 프린시펄을 지정합니다. 프린시펄을 명령행에서 지정하지 않으면 신임 정보 캐시로부터 프린시펄을 획득합니다. |
| -r renewable_life | 재생 가능한 티켓의 재생 시간 간격을 지정합니다. 간격이 만기된 후에는 티켓을 갱신할 수 없습니다. 갱신 시간은 종료 시간보다 커야 합니다. 이 플래그를 지정하지 않으면 티켓을 갱신할 수 없습니다. 그러나 요청된 티켓 사용 기간이 최대 티켓 사용 기간을 초과하더라도 갱신 가능 티켓을 계속 생성할 수 있습니다. |
| -R | 기존 티켓을 갱신하도록 지정합니다. 기존 티켓을 갱신할 때 다른 플래그를 지정할 수 없습니다. |
| -s start_time | start_time부터 유효한 사후 날짜 티켓에 대한 요청을 지정합니다. |
| -S target_service | 초기 티켓을 가져올 때 사용할 대체 서비스 이름을 지정합니다. |
| -t 키탭_파일 | 키 테이블 이름을 지정합니다. 이 플래그가 지정되지 않고 -k 플래그가 지정되면 디폴트 키 테이블을 사용합니다. -t 플래그는 -k 플래그를 의미합니다. |
| -v | 캐시의 티켓 부여 티켓이 유효화를 위해 kdc에 전달되도록 지정합니다. 티켓이 요청된 시간 범위 내에 있으면 캐시가 유효화된 티켓으로 대체됩니다. |
| -u | kinit 명령이 프로세스에 고유한 신임 정보 캐시 파일을 작성하도록 지정합니다. kinit 명령이 성공하면 신임 정보 캐시 파일 이름에 고유한 번호가 포함됩니다(프로세스 인증 그룹 또는 PAG). AIX® 버전 5.3 이상에서는 운영 체제 서비스에서 PAG가 생성됩니다. KRB5CCNAME 환경 변수는 이 신임 정보 캐시 파일로 설정되고 kinit 명령은 새 쉘을 실행합니다. |
예
- 5일 동안 갱신 가능하고 사용 기간이 10시간인 티켓 부여 티켓을 얻으려면
다음을 입력하십시오.
kinit -l 10h -r 5d my_principal - 기존 티켓을 갱신하려면 다음을 입력하십시오.
kinit -R
파일
파일
| 항목 | 설명 |
|---|---|
| /usr/krb5/bin/kinit | - |
| /var/krb5/security/creds/krb5cc_[uid] | 디폴트 신임 정보 캐시([uid]는 사용자의 UID) |
| /etc/krb5/krb5.keytab | 로컬 호스트의 키탭 파일에 대한 디폴트 위치 |
| /var/krb5/krb5kdc/kdc.conf | Kerberos KDC 구성 파일 |