Name

kinit - 获取并缓存 Kerberos 票证授予票证

概要

初始票务请求：

kinit [-A ] [-f ] [-p ] [-c cache_name ] [-l lifetime ] [-r renewable_time ] [[-k [-t keytab_file_name ]] [principal ] [password ]

续订ticket：

kinit -R [-c cache_name ] [principal ]

Description

此工具在功能上类似于在其他 Kerberos 实现（例如 SEAM 和 MIT 参考实现）中常见的 kinit 工具。在运行 kinit 之前，用户必须在密钥分发中心 (KDC) 注册为主体。

默认情况下，在 Windows 上，会生成一个名为 USER_HOME \krb5cc_ USER_NAME 的缓存文件。

标识符 USER_HOME 是从 java.lang.System 属性 user.home 获得的。 USER_NAME 是从 java.lang.System 属性 user.name 获得的。如果USER_HOME 为空，则缓存文件存储在程序运行的当前目录中。 USER_NAME 是操作系统的登录用户名。此用户名可能与用户的主体名称不同。例如，在 Windows 上，缓存文件可能是 C:\Windows\Users\duke\krb5cc_duke，其中 duke 是 USER_NAME，C:\Windows\Users\duke 是 USER_HOME。

默认情况下，keytab 名称是从 Kerberos 配置文件中检索的。如果 Kerberos 配置文件中未指定密钥表名称，则 kinit 工具假定名称为 USER_HOME \krb5.keytab

如果您未在命令行上使用 password 选项指定密码，则 kinit 工具会提示您输入密码。

Note:

password 选项仅用于测试目的。不要在脚本中指定密码或在命令行中提供密码。这样做会泄露您的密码。

命令

您可以指定以下命令之一。在命令之后，为其指定选项。

-A

不包括地址。

-f

签发可转发的机票。

-p

签发可代理票证。

-c cache_name

缓存名称（例如 FILE:D:\temp\mykrb5cc ）。

-l lifetime

设置票证的生命周期。该值可以是“h:m[:s]”、“NdNhNmNs”和“N”之一。请参阅 MIT krb5 持续时间定义 了解更多信息。

-r renewable_time

设置票证可以续订的总生命周期。

-R

续订ticket。

-k

使用密钥表

-t keytab_filename

keytab 名称（例如，D:\winnt\profiles\duke\krb5.keytab）。

principal

主体名称（例如 duke@example.com ）。

password

principal 的 Kerberos 密码。 Don't specify this on the command line or in a script.

运行 kinit -help 以显示上面的说明。

示例

从当前客户端主机请求对身份验证有效的凭据，对于默认服务，将凭据缓存存储在默认位置 (C:\Windows\Users\duke\krb5cc_duke)：

kinit duke@example.com

请求不同主体的可代理凭据并将这些凭据存储在指定的文件缓存中：

kinit -l 1h -r 10h duke@example.com

为指定主体请求 TGT，该主体将在 1 小时后到期，但最多可续订 10 小时。用户必须在票过期之前续订票。续签的机票可以在其最初请求后的 10 小时内重复续签。

kinit -R duke@example.com

为指定的主体更新现有的可更新 TGT。

kinit -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com

为不同的主体请求可代理和可转发的凭据，并将这些凭据存储在指定的文件缓存中：

kinit -f -p -c FILE:C:\Windows\Users\duke\credentials\krb5cc_cafebeef cafebeef@example.com

显示 kinit 工具的帮助菜单：

kinit -help