kinit 命令

在线编辑
注: 根据设计,计算 Kerberos 凭单生存期时将考虑 DST 更改。 因此,在禁用 DST 期间发出的 Kerberos 凭单(如果从禁用 DST 的阶段持续到启用 DST 的阶段,或者从启用 DST 的阶段持续到禁用 DST 的阶段都有效)可能与 klist 中所显示的值相差 1 小时。

用途

获得或更新 Kerberos 票据授权票据(ticket-granting ticket)。

语法

基 init [ -我 生存期 ] [ -r 可续订 _ 生命周期 ] [ - ] [ -p ] [ -一个 ] [ -s 开始时间 ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c 高速缓存名称 ] [ ]

描述

kinit 命令获得或更新 Kerberos 票据授权票据。 如果不在命令行上指定一个票据标志,那么使用由在 Kerberos 配置文件(kdc.conf )中的 [kdcdefault] 和 [realms] 指定的密钥分发中心(KDC)选项。

如果不更新一个存在的票据,该命令重新初始化凭证高速缓存并将包含从 KDC 接受的新的票据授权票据。 如果不在命令行上指定 Principal 名并且指定 -s 标志,Principal 名从凭证高速缓存中获取。 新的凭证高速缓存成为缺省的高速缓存,除非用 -c 标志指定高速缓存的名称。

-我-r-s 标志的凭单 时间 值将表示为 恩恩姆恩斯 ,其中:

N
代表一个数字
D
代表天
H
代表小时
M
代表分钟
S
代表秒

您必须按此顺序指定组件,但可以省略任何组件,例如:4h5m代表 4 小时 5 分钟1d2s表示 1 天 2 秒。

标志

标志描述
描述
-一个 指定这个票据包含一个客户机地址的列表。 如果不指定这个选项,这个票据将包含本地主机地址。 当一个初始票据包含一个地址列表时,它仅可从地址列表中的一个地址中使用。
-c 高速缓存名称 指定要用的凭证高速缓存的名称。 如果该标志没被指定,应用缺省凭证高速缓存。 如果 KRB5CCNAME 环境变量被设置,它的值被用来命名缺省票据高速缓存。 高速缓存的任何存在的内容可由 kinit 破坏。
-f 指定票据是可转发的。 为转发票据,该标志必须被指定。
-k 指定从密钥表获得票据主体的密钥。 如果不指定该标志,将提示您为票据主体输入密码。
-l 生存期 指定票据结束时间间隔。 在到期失效后,不能再用此票据,除非票据被更新。 这个间隔缺省时间是 10 小时。
-p 指定这个票据是可代理的。 要使票据可代理,该标志必须被指定。
本金 指定票据的主体。 如果主体不在命令行中指定,那么主体从凭证高速缓存获得。
-r 可续订 _ 生命周期 为可更新的票据指定更新时间间隔。 在间隔到期后,票据不能被更新。 更新时间必须大于结束时间。 如果该标志不指定,那么这个票据是不可更新的,尽管如果请求的票据的生命期超出最大票据生命期仍能生成一个可更新的票据。
-R 指定更新一个存在的票据。 当更新一个存在的票据时,可能没指定其他标志。
-s 开始时间 为一个迟后的票据指定一个请求,从 start_time 开始有效。
-S 目标服务 当得到初始票据时指定一个备用服务名来用。
-t keytab_file 指定密钥表名。 如果没指定该标志并且 -k 标志被指定,用缺省的密钥表。 -t 标志意味着 -k 标志。
-v 指定在高速缓存中的票据授权票据应被传到 kdc 来确认。 如果票据在它的请求的时间范围内,高速缓存用确认过的票据替换。
-U 指定 kinit 命令创建进程的唯一凭证高速缓存文件。 如果 kinit 命令成功,那么凭证高速缓存文件名将包含一个唯一编号(进程认证组或 PAG)。 在 AIX® V 5.3 和更高版本中,将从操作系统服务生成 PAG。 KRB5CCNAME 环境变量设置为此凭证高速缓存文件,而 kinit 命令执行新的 shell。

示例

  1. 要获得一个生命期为 10 小时五天内可更新的票据授权票据,请输入:
    kinit -l 10h -r 5d my_principal
  2. 要更新一个存在票据,请输入:
    kinit -R

文件

文件
描述
/usr/krb5/bin/kinit -
/var/krb5/security/creds/krb5cc_[uid] 缺省凭证高速缓存([uid] 是用户的 UID。)
/etc/krb5/krb5.keytab 本地主机的密钥表文件的缺省位置。
/var/krb5/krb5kdc/kdc.conf Kerberos KDC 配置文件。