Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
25 juin 2014

Kerberos sécurité authentification           Kerberos


kdb5_util

kdb5_util

Utilitaire de maintenance de la base Kerberos

   kdb5_util permet à un administrateur d'effectuer des procédures de maintenance dans la base Kerberos. Les base peuvent être crées, détruites, et dumpé/chargé vers/depuis un fichier. kdb5_util peut créer un fichier stash pour le clé maître Kerberos. Quand kdb5_util est lancé, il tente de récupérer la clé maître et d'ouvrir la base. Cependant, l'exécution continue sans s'occuper de savoir s'il a réussi, parce que la base peut ne pas exister ou le fichier stash peut être corrompus. Noter que certains module KDC ne supportent pas cette commande.

OPTIONS

-r realm Spécifie le domaine Kerberos
-d dbname Spécifie le nom de la base de données Kerberos principale.
-k mkeytype Spécifie le type de clé de la clé maître dans la base.
-kv mkeyVNO Spécifie le numéro de version de la clé maître dans la base; défaut: 1.
-M mkeyname Nom du principal pour la clé maître dans la base,
-m Spécifie que le mot de passe maître de la base devrait être lu depuis le clavier au lieu d'un fichier sur disque.
-sf stash_file Spécifie le fichier stash pour le mot de passe maître.
-P password Spécifie le mot de passe maître.

Commandes

create [-s] Crée une nouvelle base de données. -s créé également le fichier stash.
destroy [-f] Supprime une base de données. -f ne demande pas confirmation à l'utilisateur.
stash [-f keyfile] Stocke la clé du principal maître dans un fichier stash. -f écrase le keyfile dans kdc.conf
dump [-b7|-ov|-r13] [-verbose] [-mkey_convert] [-new_mkey_file mkey_file] [-rev] [-recurse] [filename [principals...]] Dumps la base courante et la base KADM5 dans un fichier ASCII. Par défaut, la base est dumpé dans le format courant.

        -b7 Dump dans le format Kerberos 5 beta 7
        -ov Dump au format ovsec_adm_export
        -r13 Dump au format Kerberos 5 1.3.
        -r18 Dump au format Kerberos 5 1.8.
        -verbose Affiche le nom de chaque principal et stratégie tel que dumpés
        -mkey_convert Demande pour une nouvelle clé maître. Cette clé est utilisé pour re-chiffrer la clé principal dans le dump
        -new_mkey_file mkey_file Nom du fichier stash.
        -rev dump dans l'ordre inverse. Permet de récupérer des principaux qui ne se dump pas normalement.
        -recurse Dump la base récursivement.

load [-b7|-ov|-r13] [-hash] [-verbose] [-update] filename [dbname] Charge un dump dans la base. Sans option pour déterminer le format du dump, le format est détecté automatiquement. Sauf avec l'option -udpate, load créé une nouvelle base contenant uniquement les données dans le dump.

        -b7 Spécifie que le dump est au format Kerberos 5 Beta 7
        -ov Spécifie que le dump est au format ovsec_adm_import
        -r13 Spécifie que le dump est au format Kerberos 5 1.3
        -r18 Spécifie que le dump est au format Kerberos 5 1.8
        -hash La base est stockée comme hash. Non spécifiée, la base est stockée comme un btree. Non recommandé.
        -verbose Affiche le nom de chaque principal et stratégie tel que dumpés
        -update Ajoute le dump à une base existante.

ark [-e enc:salt,...] principal Ajoute de nouvelles clé aléatoire au principal. -e spécifie la liste de type de chiffrement et de salt à utiliser.
add_mkey [-e etype] [-s] Ajoute une nouvelle clé maître, mais ne la marque par active. -e spécifie la liste de type de chiffrement et de salt à utiliser. -s place la clé dans le fichier stash (créé s'il n'existe pas)
use_mkey mkeyVNO [time] Définis le temps d'activation de la clé maître spécifiée par mkeyVNO. Une fois une clé maître active, elle sera utilisé comme nouvelle clé principal. si time n'est pas spécfié, l'heure courante est utilisée. time est au format getdate_time
list_mkeys Liste toutes les clés maître, de la plus récente à la plus ancienne.
purge_mkeys [-f] [-n] [-v] Supprime les clé maître non utilisée pour protéger un principal.

        -f Ne demande pas confirmation
        -n  Dry run, affiche les clé maître qui serait supprimées, mais ne les supprime pas.
        -v mode verbeux

        update_princ_encryption [-f] [-n] [-v] [princ-pattern] Met à jours les enregistrements de principal (ou ceux qui matchent le princ-pattern) pour re-chiffrer le clés en utilisant la clé maître active, si elle sont chiffrée en utilisant une autre version, et donne un compteur du nombre de principaux mis à jours. -f ne demande pas confirmation. -v traite chaque principal listé. -n simule l'action.