# kdb5\_ldap\_util
Utilitaire de maintenance de la base LDAP de Kerberos
## OPTIONS
**-D user\_dn** DN de l'utilisateur pour les opérations sur le serveur
**-w passwd** Mot de passe de l'utilisateur
**-H ldapuri** URI du serveur LDAP à contacter.
## Commandes
**create \[-subtrees subtree\_dn\_list\] \[-sscope search\_scope\]
\[-containerref container\_reference\_dn\] \[-k mkeytype\] \[-kv
mkeyVNO\] \[-m|-P password|-sf stashfilename\] \[-s\] \[-r realm\]
\[-maxtktlife max\_ticket\_life\] \[-maxrenewlife
max\_renewable\_ticket\_life\]** **\[ticket\_flags\]** Crée un domaine
dans l'annuaire.
**-subtrees subtree\_dn\_list** Spécifie la liste des subtrees
contenant les principaux d'un domaine, séparés par ":"
**-sscope search\_scope** Spécifie le scope de recherche pour
les principaux sous le subtree (1 - onelevel, 2 - subtree)
**-containerref container\_reference\_dn** DN du conteneur dans
lequel les principaux d'un domaine seront créés.
**-k mkeytype** Spécifie le type de clé de la clé maître dans la
base.
**-kv mkeyVNO** Spécifie le numéro de version de la clé maître
dans la base; défaut: 1.
**-m** Spécifie que le mot de passe maître de la base devrait
être lu depuis le clavier au lieu d'un fichier sur disque.
**-P password** Spécifie le mot de passe maître.
**-r realm** Spécifie le domaine Kerberos
**-sf stashfilename** Spécifie le fichier stash pour le mot de
passe maître.
**-s** Spécifie que le fichier stash est à créer
**-maxtktlife max\_ticket\_life** (chaîne getdate\_time)
Spécifie la durée de vie max d'un ticket pour les principaux dans ce
domaine
**-maxrenewlife max\_renewable\_ticket\_life** (chaîne
getdate\_time) Spécifie la durée de vie max renouvelable pour les
principaux dans ce domaine
**ticket\_flags** Spécifie les flags global de ticket pour le
domaine. voir kadmin
add\_principal.
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
create -subtrees o=org -sscope SUB -r ATHENA.MIT.EDU
Password for "cn=admin,o=org":
Initializing database for realm 'ATHENA.MIT.EDU'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
**modify \[-subtrees subtree\_dn\_list\] \[-sscope search\_scope\]
\[-containerref container\_reference\_dn\] \[-r realm\] \[-maxtktlife
max\_ticket\_life\] \[-maxrenewlife max\_renewable\_ticket\_life\]
\[ticket\_flags\]** Modifie les attributs d'un domaine.
**-subtrees subtree\_dn\_list** Spécifie la liste des subtrees
contenant les principaux d'un domaine, séparés par ":"
**-sscope search\_scope** Spécifie le scope de recherche pour
les principaux sous le subtree (1 - onelevel, 2 - subtree)
**-containerref container\_reference\_dn** DN du conteneur dans
lequel les principaux d'un domaine seront créés.
**-r realm** Spécifie le domaine Kerberos
**-maxtktlife max\_ticket\_life** (chaîne getdate\_time)
Spécifie la durée de vie max d'un ticket pour les principaux dans ce
domaine
**-maxrenewlife max\_renewable\_ticket\_life** (chaîne
getdate\_time) Spécifie la durée de vie max renouvelable pour les
principaux dans ce domaine
**ticket\_flags** Spécifie les flags global de ticket pour le
domaine. voir kadmin
add\_principal.
Exemples
shell% kdb5\_ldap\_util -D cn=admin,o=org -H
ldaps://ldap-server1.mit.edu modify +requires\_preauth -r
ATHENA.MIT.EDU
Password for "cn=admin,o=org":
shell%
**view \[-r realm\]** Affiche les attribut d'un domaine. **-r** spécfie
le domaine Kerberos de la
base
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
view -r ATHENA.MIT.EDU
Password for "cn=admin,o=org":
Realm Name: ATHENA.MIT.EDU
Subtree: ou=users,o=org
Subtree: ou=servers,o=org
SearchScope: ONE
Maximum ticket life: 0 days 01:00:00
Maximum renewable life: 0 days 10:00:00
Ticket flags: DISALLOW\_FORWARDABLE REQUIRES\_PWCHANGE
**destroy \[-f\] \[-r realm\]** Supprime un domaine existant. **-f** ne
demande pas confirmation, **-r** spécifie de domaine de la
base.
Exemples
shell% kdb5\_ldap\_util -D cn=admin,o=org -H
ldaps://ldap-server1.mit.edu destroy -r ATHENA.MIT.EDU
Password for "cn=admin,o=org":
Deleting KDC database of 'ATHENA.MIT.EDU', are you sure?
(type 'yes' to confirm)? yes
OK, deleting database of 'ATHENA.MIT.EDU'...
shell%
**list** Liste le nom des
domaines
Exemples
shell% kdb5\_ldap\_util -D cn=admin,o=org -H
ldaps://ldap-server1.mit.edu list
Password for "cn=admin,o=org":
ATHENA.MIT.EDU
OPENLDAP.MIT.EDU
MEDIA-LAB.MIT.EDU
shell%
**stashsrvpw \[-f filename\] servicedn** Permet à un administrateur de
stocker un mot de passe pour un objet service dans un fichier pour que
le KDC et le serveur d'administration puissent l'utiliser pour
s'authentifier auprès du serveur LDAP. **-f filename** est le chemin
complet du fichier, **servicedn** est le DN de l'objet
service.
Exemples
kdb5\_ldap\_util stashsrvpw -f /home/andrew/conf\_keyfile
cn=service-kdc,o=org
Password for "cn=service-kdc,o=org":
Re-enter password for "cn=service-kdc,o=org":
**create\_policy \[-r realm\] \[-maxtktlife max\_ticket\_life\]
\[-maxrenewlife max\_renewable\_ticket\_life\] \[ticket\_flags\]
policy\_name** Crée une stratégie de ticket dans l'annuaire.
**-r realm** Spécifie le domaine Kerberos
**-maxtktlife max\_ticket\_life** (chaîne getdate\_time)
Spécifie la durée de vie max d'un ticket pour les principaux dans ce
domaine
**-maxrenewlife max\_renewable\_ticket\_life** (chaîne
getdate\_time) Spécifie la durée de vie max renouvelable pour les
principaux dans ce domaine
**ticket\_flags** Spécifie les flags global de ticket pour le
domaine. voir kadmin add\_principal.
**policy\_name** Nom de la stratégie de
ticket
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
create\_policy -r ATHENA.MIT.EDU -maxtktlife "1 day"
-maxrenewlife "1 week" -allow\_postdated +needchange
-allow\_forwardable tktpolicy
Password for "cn=admin,o=org":
**modify\_policy \[-r realm\] \[-maxtktlife max\_ticket\_life\]
\[-maxrenewlife max\_renewable\_ticket\_life\] \[ticket\_flags\]
policy\_name** Modifie les atributs d'une stratégie de ticket. Les
options sont les même que pour
**create\_policy**
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H
ldaps://ldap-server1.mit.edu modify\_policy -r ATHENA.MIT.EDU
-maxtktlife "60 minutes" -maxrenewlife "10 hours"
+allow\_postdated -requires\_preauth tktpolicy
Password for "cn=admin,o=org":
**view\_policy \[-r realm\] policy\_name** Affiche les attributs d'une
stratégie de ticket. **policy\_name** est le nom de la
stratégie
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
view\_policy -r ATHENA.MIT.EDU tktpolicy
Password for "cn=admin,o=org":
Ticket policy: tktpolicy
Maximum ticket life: 0 days 01:00:00
Maximum renewable life: 0 days 10:00:00
Ticket flags: DISALLOW\_FORWARDABLE REQUIRES\_PWCHANGE
**destroy\_policy \[-r realm\] \[-force\] policy\_name** Détruit une
stratégie de ticket. **-force** ne demande pas
confirmation.
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
destroy\_policy -r ATHENA.MIT.EDU tktpolicy
Password for "cn=admin,o=org":
This will delete the policy object 'tktpolicy', are you sure?
(type 'yes' to confirm)? yes
\*\* policy object 'tktpolicy' deleted.
**list\_policy \[-r realm\]** Liste les stratégie de ticket dans le
domaine.
Exemples
kdb5\_ldap\_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu
list\_policy -r ATHENA.MIT.EDU
Password for "cn=admin,o=org":
tktpolicy
tmppolicy
userpolicy