附註: 根據設計,計算 Kerberos 通行證生命期限時,會將 DST 變更納入考量。 因此,在 DST 停用時間期間發出的 Kerberos 通行證,如果有效的跨距達到 DST 啟用時間,或反之亦然,則在 klist中顯示 1 小時的差異。
用途 取得或更新 Kerberos 授與通行證的通行證。
語法 基 init [ -l 生命期限 ] [ -r renewable_life ] [ -f ] [ -p ] [ -是 ] [ -s start_time ] [ -S target_service ] [ -k [ -t keytab_file ] ] [ -R ] [ -v ] [ -u ] [ -c 快取名稱 ] [ 校長 ]
說明 kinit 指令會取得或更新 Kerberos 授與通行證的通行證。 如果您未在指令行上指定通行證旗標,則會使用 Kerberos 配置檔 (kdc.conf) 中 [kdcdefault] 及 [realms] 指定的「金鑰配送中心 (KDC)」選項。
如果您不更新現有通行證,則指令會重新起始設定認證快取,並將包含從 KDC 接收的新授與通行證的通行證。 如果您未在指令行上指定 主體 名稱,且確實指定 -s 旗標,則會從認證快取中取得 主體 名稱。 除非您使用 -c 旗標指定快取名稱,否則新的認證快取會變成預設快取。
-l、 -r 及 -s 旗標的摘記卷 時間 值表示為 恩嫩斯 ,其中:
n
代表數字
日
代表天
h
代表小時
分鐘
代表分鐘
s
代表秒
您必須以此順序指定元件,但可以省略任何元件,例如4h5m代表 4 小時又 5 分鐘1d2s代表 1 天 2 秒。
旗標
旗標說明
項目
說明
-是
指定摘記卷包含用戶端位址清單。 如果未指定此選項,則摘記卷將包含本端主機位址清單。 當起始摘記卷包含位址清單時,只能從位址清單中的其中一個位址使用它。
-c 快取名稱
指定要使用的認證快取名稱。 如果未指定此旗標,則會使用預設認證快取。 如果設定 KRB5CCNAME 環境變數,則會使用其值來命名預設通行證快取。 基 init會毀損快取 i 的任何現有內容。
-f
指定摘記卷要可轉遞。 若要轉遞摘記卷,必須指定此旗標。
-k
指定從金鑰表取得通行證主體的金鑰。 如果未指定此旗標,則系統會提示您輸入摘記卷主體的密碼。
-l 生命期限
指定摘記卷結束時間間隔。 除非更新摘記卷,否則在間隔到期之後無法使用摘記卷。 間隔預設時間為 10 小時。
-P
指定摘記卷是可 proxiable。 若要使摘記卷可 proxiable ,必須指定此旗標。
主體
指定摘記卷主體。 如果未在指令行上指定主體,則會從認證快取中取得主體。
-r renewable_life
指定可更新摘記卷的更新時間間隔。 在間隔到期之後,無法更新摘記卷。 更新時間必須大於結束時間。 如果未指定此旗標,則通行證不可更新,但如果所要求的通行證生命期限超出通行證生命期限上限,您仍可以產生可更新的通行證。
-r
指定要更新現有的摘記卷。 更新現有摘記卷時,無法指定其他旗標。
-s start_time
指定後置日期摘記卷的要求,從 start_time開始有效。
-S target_service
指定取得起始摘記卷時要使用的替代服務名稱。
-t keytab_file
指定金鑰表格名稱。 如果未指定此旗標且指定 -k 旗標,則會使用預設金鑰表。 -t 旗標表示 -k 旗標。
-v
指定將快取中授與通行證的通行證傳遞至 kdc 進行驗證。 如果通行證在其要求的時間範圍內,則會以已驗證的通行證取代快取。
-u
指定 基 init 指令建立對處理程序唯一的認證快取檔。 如果 基 init 指令成功,則認證快取檔名包括唯一號碼 (處理程序鑑別群組或 PAG)。 在 AIX® 5.3 以及更新版本中, PAG 是從作業系統服務產生。 KRB5CCNAME 環境變數會設為此認證快取檔,而 kinit 指令會執行新的 Shell。
範例
若要取得授與通行證的通行證,其生命期限為 10 小時 (可延長 5 天) ,請鍵入: kinit -l 10h -r 5d my_principal
若要更新現有摘記卷,請鍵入: kinit -R
檔案
檔案
項目
說明
/usr/krb5/bin/kinit
-
/var/krb5/security/creds/krb5cc_[uid]
預設認證快取 ([uid] 是使用者的 UID。)
/etc/krb5/krb5.keytab
本端主機 keytab 檔的預設位置。
/var/krb5/krb5kdc/kdc.conf
Kerberos KDC 配置檔。