mkkrb5srv 命令

用途

配置 Kerberos 服务器。

语法

mkkrb5srv -h | [ -r 境界 -d 域名 -a AdminName ] [ -l ldapserver | ldapserver:port ] [-u ldap_DN ] [ -p ldap_DN_pw ] [ -f {keyring | keyring:entry_dn} ] [ -k keyring_pw ] [ -b 绑定类型 ] [-m 万能钥匙位置 ] [ -U ]

描述

mkkrb5srv 命令配置 Kerberos 服务器。该命令创建 kadm5.acl 文件、kdc.conf 文件和 Kerberos 数据库。它也将管理器添加到数据库，并且用 Kerberos 守护程序更新 /etc/inittab 文件。一旦设置这些变量，该命令就执行初始的配置。可以通过编辑以下文件修改这些变量：

项	描述
/etc/krb5/krb5.conf:	域名的值、Kerberos 管理服务器和域名按命令行所指定的进行设置。同样，更新 default_keytab_name、kdc 和 kadmin 日志文件的路径。
/var/krb5/krb5kdc/kdc.conf	该命令设置 kdc_ports 的值。数据库名称、admin_keytab、acl_file、dict_file 和 key_stash_file 的路径。 kadmin_port、max_life、max_renewable_life、master_key_type 和 supported_enctypes 的值。
/var/krb5/krb5kdc/kadm5.acl	设置管理员、root 用户和主机主体的 acl。

如果没有配置 DCE，那么该命令创建一个从 /etc/krb5.conf 到 /etc/krb5/krb5.conf 的链接。

项	描述
标准输出	使用 -h 标志时，由信息消息构成。
标准错误	命令不能成功完成时，由错误消息构成。

标志

项	描述
-a AdminName	指定管理员的“Kerberos 主体”名称。
-b 绑定类型	指定 LDAP 绑定类型。支持以下值： simple cram-md5 external 这些绑定类型可以用大写或小写字母指定。
-d 域	指定 Kerberos 域的域名。
-f { keyring \| keyring:entry_dn}	如果使用 SSL 通信，那么指定 LDAP 密钥环数据库文件名。
-h	指定该命令仅显示有效的命令语法。
-k 密钥环密码	指定 LDAP 密钥环数据库文件的密码。如果没有指定，那么 SSL 用户使用由相应的密码存储文件加密的密码。
-l ldapserver \| ldapserver:port	对于服务器，指定 LDAP 目录用于存储“网络认证服务”主体和策略信息。对于客户机，指定 LDAP 目录服务器用于“管理”服务器以及使用 LDAP 的 KDC 发现。如果使用了 -l 标志，那么 KDC 和服务器标志是可选的。如果没有使用 -l 选项，那么必须指定 KDC 和服务器标志。端口号指定是可选的。对于客户机和服务器，端口号指定是可选的。对于 SSL 连接，如果没有指定端口号，那么客户机连接到缺省的 LDAP 服务器端口 389 或 636。注: 仅更新客户机配置。
-m 万能钥匙位置	指定全限定文件名，当使用 LDAP 存储数据时，该文件用于在本地文件系统中存储主密钥。注: 此标志仅用于 LDAP 目录。
-p ldap_DN_pw	为正在使用的 ldap_DN_pw 的项指定密码。
-r 域	指定要配置 Kerberos 服务器的域。
-u ldap_DN	指定将 LDAP 项用作 ldap_DN。注: 使用外部绑定时，不需要 -u 和 -p 标志，值将来自证书。
-U	从以前的配置命令中撤销设置。

退出状态

命令未成功执行会导致服务器配置不完全。

项	描述
重大安全事件数量	表示命令成功完成。
第 1 年	表示发生错误。

安全性

具有 aix.security.kerberos 权限的用户有权使用此命令。

示例

要显示命令语法，请输入：
```
mkkrb5srv -h
```
要将 sundial 配置为 Kerberos 服务器，请输入：
```
mkkrb5srv -r UD3A.AUSTIN.IBM.COM -d austin.ibm.com
```

文件

项	描述
/usr/sbin/mkkrb5srv	包含 mkkrb5srv 命令。