man/text
man · Metin İşleme

$ mkpassdb

Bölüm 8 · Metin İşleme

Mac OS X Server Password Server veritabanı oluşturma aracı

Özet

mkpassdb -deleteslot slot-ID
mkpassdb -dump [-v]
mkpassdb -dump [slot-ID]
mkpassdb -header
mkpassdb -kerberize
mkpassdb -key
mkpassdb -list
mkpassdb -mergedb path
mkpassdb -mergeparent path
mkpassdb -setadmin slot-ID [admin-class (0-7)]
mkpassdb -setglobalpolicy "policy1=value1 policy2=value2 etc."
mkpassdb -setkerberos slot-ID KerberosRealm
mkpassdb -setkeyagent slot-ID
mkpassdb -setcomputeraccount [off]
mkpassdb -setrealm realm
mkpassdb -getreplicationinterval
mkpassdb -setreplicationinterval seconds [policy]
mkpassdb -rekeydb [key-size-in-bits]
mkpassdb [-u user] [-m mech] [-a] [-b] [-e count] [-n replica-name] [-o] [-p] [-q]

Açıklama

mkpassdb, parola sunucusu veritabanını doğrudan oluşturur veya değiştirir.

mkpassdb'nin root olarak çalıştırılması gerekir; aksi takdirde sonlanır. -list komutu tek istisnadır.

Bu aracın amacı, parola sunucusu veritabanını oluşturmak ve yönetmektir. Güvenlik endişeleri nedeniyle parola sunucusu protokolü tarafından desteklenmeyen işlemleri gerçekleştirir. Bu işlemler; veritabanının kendisinin oluşturulmasını ve yok edilmesini, parola sunucusunun kimliğini belirleyen RSA güvenlik anahtarlarının oluşturulmasını, güvenilir mekanizma listesini ve yönetici hesaplarının başlangıçtaki üretimini içerir. Ayrıca root hesabının yerel sistemde bazı parola sunucusu değişiklikleri yapmasına izin verir.

Komutlar

  • -deleteslot: Veritabanındaki bir yuva kimliğini (slot ID) geçersiz kılar.
  • -dump: Tüm Kullanıcı Kimliklerini (User ID) ve bunlara karşılık gelen kullanıcı adlarını çıktılar. Bir yuva kimliği (slot-ID) belirtilirse, tek bir yuva için daha ayrıntılı bilgi yazdırır. [-v] seçeneği kullanılırsa ek sütunlar dahil edilir.
  • -header: Veritabanı başlık bilgisini çıktılar.
  • -kerberize: Parola sunucusundaki tüm Kerberos dışı hesaplar için Kerberos asılları (principals) eklemeye çalışır.
  • -key: Veritabanında saklanan RSA genel anahtarını çıktılar.
  • -list: Parola sunucusu için mevcut olan tüm SASL mekanizmalarını çıktılar.
  • -mergedb: Normal kullanımda daha üst düzey bir araç tarafından çağrılan düşük düzeyli bir komuttur. slapconfig(8) kılavuz sayfasındaki restoredb komutuna bakın. Bu komut, arka plan programı (daemon) çalışsın ya da çalışmasın, parola sunucusu veritabanının bir anlık görüntüsünü mevcut veritabanıyla birleştirir. Mevcut LDAP kullanıcılarını alır, belirtilen veritabanı dosyasında bunlara ait verileri arar ve veritabanı bilgilerini birleştirir. Veritabanında karşılık gelen bir LDAP kullanıcısı veya bilgisayarı olmayan veri varsa, bu veri birleştirilmez. Parola sunucusunun RSA anahtarları ve replika adı dahil olmak üzere kimlik öğeleri, anlık görüntünün içeriğiyle değiştirilir.
  • -mergeparent: Normal kullanımda daha üst düzey bir araç tarafından çağrılan düşük düzeyli bir komuttur. slapconfig(8) kılavuz sayfasındaki mergedb komutuna bakın. Bu komut, arka plan programı çalışsın ya da çalışmasın, parola sunucusu veritabanının bir anlık görüntüsünü mevcut veritabanıyla birleştirir. Mevcut LDAP kullanıcılarını alır, belirtilen veritabanı dosyasında bunlara ait verileri arar ve veritabanı bilgilerini birleştirir. Veritabanında karşılık gelen bir LDAP kullanıcısı veya bilgisayarı olmayan veri varsa, bu veri birleştirilmez. Parola sunucusunun mevcut kimliği korunur.
  • -setadmin: Bir yuva kimliğini (slot-ID) parola sunucusu için yönetici ayrıcalıklarına yükseltir. Varsayılan olarak, mkpassdb ile ayarlanan yöneticiler en ayrıcalıklı rütbeyi (0) alır.
  • -setglobalpolicy: Tüm kullanıcılar için varsayılan politikaları ayarlar.
  • -setkerberos: Bir parola sunucusu hesabına Kerberos alanı (realm) atar.
  • -setkeyagent: Bir yuva kimliğini (slot-ID), diğer hesaplar adına oturum anahtarlarını alabilmesi için yeterli yönetici ayrıcalıklarına yükseltir.
  • -setcomputeraccount: Parola sunucusuna hesabın bir kullanıcıya değil, bir bilgisayara ait olduğunu bildirir. Bilgisayar hesapları politikalara tabi değildir ve süreleri dolmaz. İsteğe bağlı off argümanının kullanılması, durumu tekrar bir kullanıcı hesabına döndürür.
  • -setrealm: Parola sunucusunun SASL alanını (realm) ayarlar.
  • -getreplicationinterval: Çoğaltma girişimleri arasındaki saniye sayısını alır.
  • -setreplicationinterval: Çoğaltma girişimleri arasındaki saniye sayısını ayarlar.
  • -rekeydb: Veritabanı için yeni bir RSA genel/özel anahtar çifti üretir. Geçerli boyutlar 1024, 2048 veya 3072'dir. Bu komut daha üst düzey bir araç tarafından çağrılmalıdır. Komut satırından çalıştırılırsa, mevcut kullanıcılar kimlik doğrulaması yapamaz. Bu komutun kullanılabilmesi için önce PasswordService arka plan programının NeST -stoppasswordserver ile kapatılması gerekir.

Seçenekler

  • -a: Mevcut bir veritabanına yeni bir yönetici ekler.
  • -b: Mevcut bir veritabanına yönetici olmayan yeni bir kullanıcı ekler.
  • -e count: Veritabanını belirli sayıda kayıt içerecek şekilde genişletir. Belirtilen sayı veritabanının mevcut boyutundan büyükse veritabanı genişletilir; aksi takdirde hiçbir işlem yapılmaz. Bu seçenek, diğer kurulum araçları tarafından bir replika veritabanı oluşturulurken kullanılır. Komut satırından kullanılmasını gerektirecek bir neden yoktur.
  • -m mech: Bir mekanizmayı zayıf olarak belirler. Bir mekanizma zayıf kabul edilirse, parolaları doğrulamak için kullanılabilir ancak parola sunucusu veritabanına yazma işlemlerine izin vermez. SMB-NT, SMB-LAN-MANAGER, CRYPT ve APOP mekanizmaları her zaman zayıf listesindedir. Directory Services, parola sunucusuna yazma işlemlerini gerçekleştirmek için DHX kullanır.
  • -n name: Bir replikaya ad atar.
  • -o: Mevcut bir veritabanının üzerine yazar. Mevcut bir veritabanını değiştirmek son derece yıkıcıdır ve tüm parola sunucusu kullanıcıları dizin sisteminden kaldırılmadığı sürece yapılmamalıdır.
  • -p: Parola ister.
  • -q: Sessiz mod.
  • -u user: Veritabanına bu kullanıcı adını ekler.

Kullanım

Tipik kullanımda, mkpassdb başka bir araç tarafından çağrılır. Doğrudan kullanımı nadirdir.

Dosyalar ve Klasörler

  • /Library/Preferences/com.apple.passwordserver.plist: PasswordService tercihleri dosyası.
  • /usr/sbin/PasswordService: Parola servisi arka plan programı.
  • /var/db/authserver/authservermain: Parola veritabanı (bunu koruyun).
  • /var/db/authserver/authserverfree: Veritabanındaki boş (yeniden kullanılabilir) yuvaların listesi.
  • /var/db/authserver/authserverreplicas: Parola sunucusu replikalarının tablosu.

Ayrıca Bakınız

NeST(8), PasswordService(8), slapconfig(8)