Este es el comando k5start que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
k5start: obtenga y, opcionalmente, mantenga activo un ticket de Kerberos
SINOPSIS
k5inicio [-abFhLnPqstvx] [-c sus hijos pid presentar] [-f tabulador]
[-g grupo de XNUMX] [-H minutos] [-I de coches ejemplo]
[-i cliente ejemplo] [-K minutos] [-k boleto cache]
[-l equipo cadena] [-m modo] [-o propietario]
[-p pid presentar] [-r de coches reino] [-S de coches nombre ]
[-u cliente directora] [directora [comando ...]]
k5inicio -U -f tabulador [-abFhLnPqstvx] [-c sus hijos pid presentar]
[-g grupo de XNUMX] [-H minutos] [-I de coches ejemplo]
[-K minutos] [-k boleto cache] [-l equipo cadena]
[-m modo] [-o propietario] [-p pid presentar]
[-r de coches reino] [-S de coches nombre ] [comando ...]
DESCRIPCIÓN
k5inicio obtiene y almacena en caché un ticket de concesión de tickets Kerberos inicial para un principal.
k5inicio se puede utilizar como alternativa a kinito, pero está destinado principalmente a ser utilizado por
programas que desean utilizar una tabla de claves para obtener las credenciales de Kerberos, como un servidor web
que necesita autenticarse en otro servicio, como un servidor LDAP.
Normalmente, el principal por el cual entregar boletos debe especificarse como el primero
argumento. directora puede ser solo un nombre principal (incluida la instancia opcional)
o una cadena de dominio y principal completa. los -u y -i las opciones se pueden utilizar como alternativa
mecanismo para especificar el principal, pero generalmente no son tan convenientes. Si no
principal se da como el primer argumento o el argumento de la -u opción, la
El principal del cliente toma por defecto el nombre de usuario Unix del usuario que ejecuta k5inicio en el defecto
reino local.
Opcionalmente, se puede dar un comando en la línea de comando de k5inicio. Si es así, ese comando es
ejecutar después de la autenticación Kerberos (y ejecutar registro si lo desea), con el apropiado
variables de entorno configuradas para apuntar a la caché de tickets correcta. k5inicio entonces
continuar ejecutándose, despertando periódicamente para actualizar las credenciales un poco antes de que
expirará, hasta que se complete el comando. (La frecuencia con la que se despierta para refrescarse
las credenciales aún se pueden controlar con el -K opción.) Para ejecutar en este modo, el
principal debe especificarse como un argumento de línea de comando regular o mediante el -U
opción; los -u y -i es posible que no se utilicen opciones. Además, una tabla de teclas debe especificarse con -f
para ejecutar un comando específico.
El comando no se ejecutará utilizando el shell, por lo que si desea utilizar los metacaracteres del shell en
el comando con su significado especial, da "sh -c mando" como el comando para ejecutar y
cotización inicial comando.
Si el comando contiene opciones de la línea de comandos (como "-c"), coloque - en la línea de comandos
antes del comienzo del comando para decir k5inicio para no analizar esas opciones como propias.
Al ejecutar un comando, k5inicio propaga las señales HUP, TERM, INT y QUIT al niño
proceso y no sale cuando se reciben esas señales. (Si la señal propagada
hace que el proceso hijo salga, k5inicio luego saldrá.) Esto permite k5inicio reaccionar
correctamente cuando se ejecuta bajo un sistema de supervisión de comando como ejecutarlo(8) o svscan(8) que
utiliza señales para controlar comandos supervisados y para ejecutar comandos interactivos que deberían
recibir Ctrl-C.
Si una carrera k5inicio recibe una señal ALRM, actualiza inmediatamente la caché de tickets
independientemente de si está en peligro de caducar.
If k5inicio se ejecuta con un comando o el -K bandera y la -x la bandera no se da, se mantendrá
intentando incluso si la autenticación inicial falla. Reintentará la autenticación inicial
inmediatamente y luego con retroceso exponencial a una vez por minuto, y siga intentándolo hasta
la autenticación se realiza correctamente o se elimina. El comando, si lo hay, no se iniciará hasta
la autenticación se realiza correctamente.
CAMPUS
-a Cuando se ejecuta con el -K bandera o un comando, siempre renueve los tickets cada vez k5inicio
se levanta. Sin esta opción, k5inicio solo intentará renovar un boleto con la frecuencia
necesario para evitar que el ticket caduque. Con esta opción, k5inicio renovará
boletos de acuerdo con el intervalo especificado con el -K bandera.
Este comportamiento probablemente debería haber sido el comportamiento predeterminado de -K. El valor predeterminado era
no cambia para evitar cambios para los usuarios existentes, pero para nuevas aplicaciones, considere
siempre usando -a -K.
Esta opción es importante si otro programa está manipulando la caché de tickets que
k5inicio esta usando. Por ejemplo, si otro programa renueva automáticamente un boleto
más frecuentemente que k5inicio, entonces k5inicio nunca veré un boleto que esté cerca de
expirará y, por lo tanto, de forma predeterminada, nunca intentará renovar el boleto. Esto significa
esa k5inicio tampoco renovará nunca los tokens AFS, incluso si el -t se dio la opción, ya que
k5inicio solo renueva tokens AFS después de que renueva exitosamente un boleto. Si esta opcion
se especifica en tal situación, k5inicio renovará su ticket cada vez que revise
el boleto, por lo que se renovarán los tokens AFS.
Este argumento solo es válido en combinación con -K o un comando para ejecutar.
-b Después de comenzar, desconéctese del terminal de control y ejecútelo en segundo plano. Esta
La opción solo tiene sentido en combinación con -K o un comando que k5inicio se mostrarán
en ejecución y solo se puede utilizar si se especifica una tabla de claves con -f. k5inicio no
fondo en sí hasta después de que haya intentado autenticarse una vez, de modo que cualquier
Se informarán los errores, pero luego redirigirá la salida a / dev / null y no
Se informarán los errores posteriores.
Si se da esta bandera, k5inicio también cambiará los directorios a "/". Todos los caminos (tales
en cuanto a un comando para ejecutar o un archivo PID), por lo tanto, debe darse como absoluto, no
relativo, caminos.
Si se usa junto con un comando para ejecutar, ese comando también se ejecutará en el
background y también tendrá su entrada y salida redirigida a / dev / null. Va a
tiene que informar cualquier error a través de algún otro mecanismo para que se vean los errores.
Tenga en cuenta que en Mac OS X, el tipo de caché de tickets predeterminado es por sesión y -b
la bandera se disociará k5inicio del caché de tickets existente. Cuando usas -b in
en conjunción con -K en Mac OS X, probablemente también desee utilizar el -k bandera para especificar
un archivo de caché de ticket y forzar el uso de un archivo de caché.
Cuando use esta opción, considere también usar -L Reportar k5inicio errores en syslog.
-c sus hijos pid presentar
Guarde el ID de proceso (PID) del proceso hijo en sus hijos pid presentar. sus hijos pid presentar is
creado si no existe y sobrescrito si existe. Esta opción es solo
permitido cuando se dio un comando en la línea de comando y es más útil en conjunto
-b para permitir la gestión del proceso hijo en ejecución.
Tenga en cuenta que, cuando se utiliza con -b, el archivo PID se escribe después k5inicio is
en segundo plano y cambia su directorio de trabajo a /, así que rutas relativas para el PID
el archivo será relativo a / (probablemente no sea lo que quieres).
-F No obtenga boletos reenviables incluso si la configuración local dice que se pueden reenviar
entradas por defecto. Sin esta bandera k5inicio hace lo que sea la biblioteca predeterminada.
-f tabulador
Autenticarse usando la tabla de claves tabulador en lugar de pedir una contraseña. Una clave para el
el principal del cliente debe estar presente en tabulador.
-g grupo de XNUMX
Después de crear la caché de tickets, cambie la propiedad de su grupo a grupo de XNUMX, que puede ser
ya sea el nombre de un grupo o un ID de grupo numérico. Las memorias caché de tickets se crean con 0600
permisos de forma predeterminada, por lo que esto no tendrá ningún efecto útil a menos que se utilice con -m.
-H minutos
Busque un boleto feliz, definido como uno que tiene una vida útil restante de al menos
minutos minutos. Si se encuentra un ticket de este tipo, no intente la autenticación. En lugar de,
simplemente ejecute el comando (si se especificó uno) o salga inmediatamente con el estado 0 (si no
era). De lo contrario, intente obtener un nuevo ticket y luego ejecute el comando, si lo hay.
If -H se usa con -t, el programa externo siempre se ejecutará incluso si un ticket con un
se encontró suficiente vida útil restante.
If -H se usa con -K, k5inicio no saldrá inmediatamente. En cambio, el especificado
La vida útil restante reemplazará el valor predeterminado de dos minutos, lo que significa que k5inicio
se asegurará, cada vez que se despierte, de que el ticket tenga una vida útil restante del
minutos argumento. Esta es una alternativa a -a para asegurar que las entradas siempre tengan un
cierta cantidad mínima de vida restante.
-h Muestre un mensaje de uso y salga.
-I de coches ejemplo
La parte de instancia de la entidad de servicio. El valor predeterminado es el reino predeterminado de
la máquina. Tenga en cuenta que, a diferencia de la entidad de seguridad del cliente, una entidad de servicio no predeterminada
debe especificarse con -I y -S; uno no puede proporcionar la porción de instancia como parte de
el argumento para -S.
-i cliente ejemplo
Especifica la parte de instancia del principal. Esta opción no tiene sentido
excepto en combinación con -u. Tenga en cuenta que la instancia se puede especificar como parte de
nombre de usuario a través de la convención normal de agregar una barra y luego la instancia, por lo que
uno nunca tiene que usar esta opción.
-K minutos
Ejecutar en modo demonio para mantener un ticket activo indefinidamente. El programa vuelve a despertar después
minutos minutos, comprueba si el ticket vencerá antes o menos de dos minutos
después de la siguiente verificación programada y obtiene un nuevo boleto si es necesario. (En otras palabras,
asegura que el boleto siempre tendrá una vida útil restante de al menos dos
minutos.) Si el -H También se da la bandera, la vida útil especificada por ella reemplaza las dos
minuto predeterminado.
Si no se da esta opción pero se dio un comando en la línea de comando, el valor predeterminado
el intervalo es de 60 minutos (1 hora).
Si ocurre un error al actualizar la caché de tickets, el intervalo de activación será
abreviado a un minuto y la operación se reintenta en ese intervalo durante el tiempo que el
El error persiste.
-k boleto cache
Uso boleto cache como la memoria caché del ticket en lugar del contenido del entorno
variable KRB5CCNAME o la biblioteca por defecto. boleto cache puede ser cualquier caché de tickets
identificador reconocido por las bibliotecas Kerberos subyacentes. Esto generalmente admite una
ruta a un archivo, con o sin una cadena "FILE:" inicial, pero también puede admitir otras
tipos de caché de tickets.
Si alguno de -o, -go -m son dados, boleto cache debe ser una ruta simple a un archivo
o comience con "FILE:" o "WRFILE:".
-L Informe los mensajes al syslog, así como a la salida estándar o al error estándar. Todos
los mensajes se registrarán con la instalación LOG_DAEMON. Mensajes regulares que se muestran
en la salida estándar se registran con el nivel LOG_NOTICE. Errores que no causan k5inicio
para terminar se registran con el nivel LOG_WARNING. Los errores fatales se registran con el nivel
LOG_ERR.
Esto es útil cuando se depuran problemas en combinación con -b.
-l equipo cadena
Establezca la vida útil del boleto. equipo cadena debe estar en un formato reconocido por Kerberos
bibliotecas para especificar tiempos, como "10h" (diez horas) o "10m" (diez minutos).
Las unidades conocidas son "s", "m", "h" y "d". Para más información, ver kinito(1).
-m modo
Después de crear la caché de tickets, cambie sus permisos de archivo a modo, que debe ser un
modo de archivo en octal (640 o 444, por ejemplo).
Establecer un modo eso no permite k5inicio leer o escribir en la memoria caché de tickets
porque k5inicio fallar y salir al usar el -K opción o ejecutando un comando.
-n Ignorado, presente para compatibilidad de opciones con el ahora obsoleto k4inicio.
-o propietario
Después de crear la caché de tickets, cambie su propiedad a propietario, que puede ser
el nombre de un usuario o un ID de usuario numérico. Si propietario es el nombre de un usuario y -g fue
no dado también, también cambie la propiedad del grupo de la caché de tickets a la predeterminada
grupo para ese usuario.
-P No obtenga tickets proxibles incluso si la configuración local dice que sea proxiable
entradas por defecto. Sin esta bandera k5inicio hace lo que sea la biblioteca predeterminada.
-p pid presentar
Guarde el ID de proceso (PID) de la ejecución k5inicio proceso en pid presentar. pid presentar is
creado si no existe y sobrescrito si existe. Esta opción es la más
útil junto con -b para permitir la gestión del funcionamiento k5inicio demonio.
Tenga en cuenta que, cuando se utiliza con -b el archivo PID se escribe después k5inicio está en segundo plano
y cambia su directorio de trabajo a /, por lo que las rutas relativas para el archivo PID serán
relativo a / (probablemente no sea lo que quieres).
-q Tranquilo. Suprime la impresión del mensaje de banner inicial que dice lo que Kerberos
se obtienen tickets del director y también suprime la solicitud de contraseña cuando
las -s se da la opción.
-r de coches reino
El reino de la entidad de servicio. Esto tiene como valor predeterminado el reino local predeterminado.
-S de coches nombre
Especifica el principal para el que k5inicio está recibiendo un ticket de servicio. El valor por defecto
el valor es "krbtgt", para obtener un boleto de otorgamiento de boletos. Esta opción (junto con -I)
se puede utilizar si solo se necesita acceso a un único servicio. Tenga en cuenta que a diferencia del cliente
principal, se debe especificar una entidad de servicio no predeterminada con ambos -S y -I; uno
no puede proporcionar la parte de la instancia como parte del argumento para -S.
-s Lea la contraseña de la entrada estándar. Esto pasa por alto la solicitud de contraseña normal,
lo que significa que el eco no se suprime y la entrada no está obligada a ser del controlador
Terminal. La mayoría de los usos de esta opción suponen un riesgo para la seguridad. Normalmente desea utilizar un
keytab y el -f opción en lugar.
-t Ejecute un programa externo después de obtener un boleto. El uso predeterminado de esto es ejecutar
registro para conseguir una ficha. Si se establece la variable de entorno KINIT_PROG, anula la
compilado por defecto.
If k5inicio ha sido construido con AFS setpag () apoyo y se dio una orden en el
línea de comando, k5inicio creará un nuevo PAG antes de obtener los tokens AFS. De lo contrario,
obtendrá tokens en el PAG actual.
-U En lugar de requerir que se proporcione el principal de autenticación en la línea de comando, lea
desde la tabla de teclas especificada con -f. El director se tomará desde el primer
entrada en la tabla de teclas. -f debe especificarse si se utiliza esta opción.
Cuándo -U es dado, k5inicio no esperará que se dé un nombre principal en el comando
línea, y cualquier argumento después de las opciones se tomará como un comando para ejecutar.
-u cliente directora
Esto especifica el principal para obtener las credenciales. Todo el director puede ser
especificado aquí, o alternativamente, sólo la primera parte puede especificarse con este
bandera y la instancia especificada con -i.
Tenga en cuenta que normalmente no hay razón para usar esta bandera en lugar de simplemente dar la
principal en la línea de comando como primer argumento regular.
-v Sea prolijo. Esto imprimirá un poco de información adicional sobre lo que se está
intentado y cuáles son los resultados.
-x Salga inmediatamente ante cualquier error. Normalmente, cuando se ejecuta un comando o cuando se ejecuta con el
-K opción, k5inicio sigue funcionando incluso si no actualiza la memoria caché de tickets y
inténtelo de nuevo en el siguiente intervalo de verificación. Con esta opción, k5inicio en su lugar saldrá.
DEVOLUCION VALORES
El programa sale con el estado 0 si obtiene un boleto con éxito o tiene un boleto feliz
(consulta: -H) Si k5inicio ejecuta aklog o algún otro programa k5inicio devuelve el estado de salida de
ese programa
EJEMPLO
Ingrese al /etc/krb5.keytab keytab para obtener un ticket de concesión de tickets para el director
host / example.com, poniendo la caché de tickets en /tmp/servicio.tkt. La vida útil es de 10 horas.
y el programa se despierta cada 10 minutos para comprobar si el ticket está a punto de caducar.
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host / example.com
Haga lo mismo, pero usando el caché de tickets predeterminado y ejecute el comando
/ usr / local / bin / auth-backup. k5inicio continuará ejecutándose hasta que finalice el comando. Si
la autenticación inicial falla, siga intentándolo y no inicie el comando hasta que
tiene éxito. Esto podría usarse durante el inicio del sistema para un comando que debe tener
boletos antes de comenzar, y tolera tener k5inicio comenzar antes de que la red esté
completamente configurado.
k5start -f /etc/krb5.keytab -K 10 -l 10h host / example.com \
/ usr / local / bin / auth-backup
Muestra los permisos del archivo de caché temporal creado por k5inicio:
k5start -f /etc/krb5.keytab host / example.com \
- sh -c 'ls -l $ KRB5CCNAME'
Observe el "-" antes del comando para mantener k5inicio de analizar el "-c" como propio
.
Haga lo mismo, pero determine el principal a partir de la tabla de teclas:
k5start -f /etc/krb5.keytab -U - sh -c 'ls -l $ KRB5CCNAME'
Tenga en cuenta que no se da ningún principal antes del comando.
Empieza k5inicio como un demonio usando Debian demonio de inicio-parada programa de gestión. Este es
el tipo de línea que se podría poner en un script de inicio de Debian:
start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec / usr / local / bin / k5start - -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host / example.com
Esto usa /var/run/k5start.pid como archivo PID y obtiene tickets de host / example.com de
el archivo keytab del sistema. k5inicio luego se detendría con:
start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
Este código podría agregarse a un script de inicio para Apache, por ejemplo, para iniciar un k5inicio
proceso junto con Apache para administrar sus credenciales Kerberos.
MEDIO AMBIENTE
Si se establece la variable de entorno AKLOG, su valor se utilizará como programa para ejecutar
-t en lugar del cumplimiento predeterminado en k5inicio. Si AKLOG no está configurado y KINIT_PROG
se establece, su valor se utilizará en su lugar. KINIT_PROG tiene el honor de ser compatible con versiones anteriores
pero no se recomienda su uso debido a su nombre confuso.
Si no hay archivo de ticket (con -k) o el comando se especifica en la línea de comando, k5inicio utilizará
la variable de entorno KRB5CCNAME para determinar la ubicación de la concesión del ticket
billete. Si se especifica un comando o el -k se utiliza la opción, se establecerá KRB5CCNAME
para apuntar al archivo de ticket antes de ejecutar el registro programa o cualquier comando dado en el
línea de comando.
Utilice k5start en línea utilizando los servicios de onworks.net
