mkkrb5clnt 命令
用途
配置 Kerberos 客户机。
语法
仅针对IBM网络身份验证服务配置Kerberos:
mkkrb5clnt -h | [ -c KDC -r 领域 -s 服务器 -U [ -a 管理 ] -d 域 [ -A ] [ -i 数据库 ] [ -K ] [ -T ] [ -t ticket_lifetime ] [ -n renew_lifetime ]] [ -l {ldapserver | ldapserver: port}]
要针对非 kadmind 服务配置 Kerberos:
mkkrb5clnt -h | -c KDC -r Realm -s Server -d Domain [ -i Database ] [ -K ] [ -t ticket_lifetime ] [ -n renew_lifetime ] -D [ -l {ldapserver | ldapserver: port}] | -U
描述
该命令配置 Kerberos 客户机。 命令的第一部分读取域名、KDC、VDB 路径和来自输入的域名并生成一个 krb5.conf 文件。
| 项 | 描述 |
|---|---|
| /etc/krb5/krb5.conf: | 域名的值、Kerberos 管理服务器和域名按命令行所指定的进行设置。 同样,更新 default_keytab_name、kdc 和 kadmin 日志文件的路径。 |
如果没有配置 DCE,那么该命令创建一个从 /etc/krb5.conf 到 /etc/krb5/krb5.conf 的链接。
该命令也允许配置 root 作为管理用户、配置集成 Kerberos 认证以及配置 Kerberos 作为缺省的认证方案。
对于集成登录,-i 标志需要正在使用的数据库的名称。 对于 LDAP,使用指定 LDAP 的装入模块名称。 对于本地文件,使用关键字文件。
| 项 | 描述 |
|---|---|
| 标准输出 | 使用 -h 标志时,由信息消息构成。 |
| 标准错误 | 命令不能成功完成时,由错误消息构成。 |
标志
| 项 | 描述 |
|---|---|
| 一 管理 | 指定 Kerberos 服务器管理员的主体名称。 |
| -一个 | 指定添加 root 用户作为 Kerberos 管理用户。 |
| -c KDC | 指定 KDC 服务器。 |
| -d 域 | 指定 Kerberos 客户机的完整域名。 |
| -D | 针对非 kadmind 服务指定 Kerberos。 |
| -h | 指定该命令仅显示有效的命令语法。 |
| -一 数据库 | 配置集成的 Kerberos 认证。 |
| -K | 指定将 Kerberos 作为缺省的认证方案进行配置。 |
| -l ldapserver | ldapserver:port | 对于服务器,指定 LDAP 目录用于存储“网络认证服务”主体和策略信息。 对于客户机,指定 LDAP 目录服务器用于“管理”服务器以及使用 LDAP 的 KDC 发现。 如果使用了 -l 标志,那么 KDC 和服务器标志是可选的。 如果没有使用 -l 选项,那么必须指定 KDC 和服务器标志。 端口号指定是可选的。 对于客户机和服务器,端口号指定是可选的。 对于 SSL 连接,如果没有指定端口号,那么客户机连接到缺省的 LDAP 服务器端口 389 或 636。 注: 仅更新了客户机配置。
|
| -n 生命周期 | 指定特定于客户机的时间以生成可更新的凭单(如果服务器支持该凭单)。 缺省情况下,凭单是不可更新的。 renew_lifetime 参数值由四个数字值组成,用冒号分隔。 |
| -r 域 | 指定将要配置的 Kerberos 客户机的完整域名。 |
| -s 服务器 | 指定 Kerberos 管理服务器的全限定主机名。 |
| -t 终身票 | 为接收到的凭单指定特定于客户机的凭单生存期(如果服务器支持该生存期)。 如果您不指定该标志,那么服务器设置凭单生存期。 ticket_lifetime 参数值由四个数字值组成,用冒号分隔。 |
| -t | 指定基于管理票据获得服务器管理 TGT 的标志。 |
| -U | 从以前的配置命令中撤销设置。 |
退出状态
命令未成功执行可能导致客户机配置不完全。
| 项 | 描述 |
|---|---|
| 重大安全事件数量 | 表示命令成功完成。 |
| 第 1 年 | 表示发生错误。 |
安全性
具有 aix.security.kerberos 权限的用户有权使用此命令。
示例
- 要显示命令语法,请输入以下命令:
mkkrb5clnt -h - 要将 testbox.austin.ibm.com 配置为 sundial.austin.ibm.com 的客户机,并且 KDC 也正在 sundial.austin.ibm.com 上运行,请输入以下命令:
mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM \ -s sundial.austin.ibm.com -d austin.ibm.com - 要将 testbox.austin.ibm.com 配置为客户机、使 root 用户作为服务器管理员、配置集成登录以及将
Kerberos 配置为缺省认证方案,请输入以下命令:
mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM \ -s sundial.austin.ibm.com -d austin.ibm.com \ -A -i files -K -T - 要将testbox.austin.ibm.com配置为非AIX机器的客户端,请输入以下命令:
mkkrb5clnt -c non-aix.austin.ibm.com -r NON-AIX.AUSTIN.IBM.COM \ -s non-aix.austin.ibm.com -d austin.ibm.com –D - 要针对凭单生存期为 1 天, 2 小时, 3 分钟和 4 秒以及更新生存期为 5 天, 6 小时, 7 分钟和 8 秒的非AIX 机器将 testbox.austin.ibm.com 配置为客户机,请输入以下命令:
mkkrb5clnt -c non-aix.austin.ibm.com -r NON-AIX.AUSTIN.IBM.COM \ -s non-aix.austin.ibm.com -d austin.ibm.com –D \ -t 1:2:3:4 -n 5:6:7:8
文件
| 项 | 描述 |
|---|---|
| /usr/krb5/sbin | 包含 mkkrb5clnt 命令。 |