Este es el comando klog.afs que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
klog, klog.krb: se autentica con el servidor de autenticación
SINOPSIS
Iniciar sesión [-x] [-director de escuela <usuario nombre >]
[-contraseñausuario la contraseña>] [-célula <(SCD por sus siglas en inglés), nombre >]
[-servidores <explícito lista of servidores> +]
[-tubo] [-silencio]
[-toda la vida <boleto momentos involvidables in hh [: mm [: ss]]>]
[-setpag] [-tmp] [-ayuda]
Iniciar sesión [-x] [-pr <usuario nombre >] [-Pensilvania <usuario la contraseña>]
[-c <(SCD por sus siglas en inglés), nombre >] [-s <explícito lista of servidores> +]
[-Pi] [-si] [-l <boleto momentos involvidables in hh [: mm [: ss]]>]
[-Si] [-t] [-h]
klog.krb [-x] [-director de escuela <usuario nombre >]
[-contraseñausuario la contraseña>] [-célula <(SCD por sus siglas en inglés), nombre >]
[-servidores <explícito lista of servidores> +]
[-tubo] [-silencio]
[-toda la vida <boleto momentos involvidables in hh [: mm [: ss]]>]
[-setpag] [-tmp] [-ayuda]
DESCRIPCIÓN
El Iniciar sesión y klog.krb Los comandos son obsoletos y no deben utilizarse. En su lugar, use kinito
seguido por registro or klog.krb5. Vea registro(1) y klog.krb5(1) para obtener más información.
El Iniciar sesión El comando obtiene un token AFS del servidor de autenticación obsoleto o un
Kerberos KDC que habla el mismo protocolo, como falsoka o un KDC Kerberos de Heimdal. los
El administrador de caché en la máquina local almacena el token en una estructura de credenciales en el kernel
memoria y la utiliza para obtener acceso autenticado al espacio de archivos AFS. Este comando
no afecta la identidad del emisor (UNIX UID) en el sistema de archivos local.
El klog.krb El comando obtiene un token AFS del servidor de autenticación obsoleto o un
Kerberos v4 KDC y también coloca los tickets de Kerberos v4 del emisor en el archivo nombrado por el
Variable de entorno KRBTKFILE. El vale de Kerberos v4 puede ser utilizado por Kerberos v4
programas los pagsh.krb El comando define la variable de entorno KRBTKFILE como / tmp / tktpX
donde X es el número de PAG del usuario.
De forma predeterminada, el intérprete de comandos obtiene un token para el nombre de usuario de AFS que coincide con el
la identidad del emisor en el sistema de archivos local. Para especificar un usuario alternativo, incluya el
-director de escuela argumento. El usuario nombrado por el -director de escuela argumento no tiene que aparecer en
el archivo de contraseña local (el / Etc / passwd archivo o equivalente).
De forma predeterminada, el intérprete de comandos obtiene un token para la celda local, según lo definido por el
Variable de entorno AFSCELL establecida en el shell de comandos o por el / etc / openafs / ThisCell presentar
en la máquina local. Para especificar una celda alternativa, incluya el -célula argumento. La
El intérprete de comandos se pone en contacto con un servidor de autenticación elegido al azar de la celda.
entrada en el local / etc / openafs / server / CellServDB archivo, a menos que el -servidores el argumento es
se utiliza para nombrar una o más máquinas del servidor de bases de datos.
Un usuario puede tener tokens en varias celdas simultáneamente, pero solo un token por celda por
conexión a la máquina cliente. Si la estructura de credenciales del usuario ya contiene un
token para la celda solicitada, el token resultante de este comando lo reemplaza.
La vida útil del token resultante de este comando es la más pequeña de las siguientes.
· La vida útil especificada por el emisor con el -toda la vida argumento. Si el emisor lo hace
Si no incluye este argumento, el valor predeterminado es 720 horas (30 días).
· La vida útil máxima del ticket registrada para la entrada afs en la base de datos de autenticación.
El valor predeterminado es 100 horas.
· La vida útil máxima del ticket registrada en la base de datos de autenticación del usuario especificado
entrada. El valor predeterminado es de 25 horas para las entradas de usuario creadas por un servidor de autenticación.
ejecutando AFS 3.1 o posterior.
· La vida máxima del billete registrada en el krbtgt.NOMBRE CELULAR entrada en el
Base de datos de autenticación; esta entrada corresponde al ticket de concesión de tickets utilizado
internamente en la generación del token. El valor predeterminado es 720 horas (30 días).
La salida del comando kas examine muestra una entrada de la base de datos de autenticación.
vida útil máxima del boleto como "Vida útil máxima del boleto". Los administradores pueden mostrar cualquier entrada,
y los usuarios pueden mostrar sus propias entradas.
Si no se ha cambiado ninguno de los valores predeterminados, la vida útil del token es de 25 horas para el usuario
cuentas creadas por un servidor de autenticación que ejecuta AFS 3.1 o superior. El maximo
La vida útil de cualquier token es de 720 horas (30 días) y el mínimo es de 5 minutos.
Entre los valores mínimo y máximo, el servidor de autenticación utiliza un conjunto definido de
valores, de acuerdo con las siguientes reglas. Duraciones solicitadas entre 5 minutos y 10
las horas 40 minutos se otorgan a intervalos de 5 minutos, redondeando al alza. Por ejemplo, si el
El emisor solicita una vida útil de 12 minutos, la vida útil real del token es de 15 minutos.
Para la vida útil de las fichas superiores a 10 horas y 40 minutos, consulte la siguiente tabla, que
presenta todos los tiempos posibles en unidades de horas:minutos:segundos. El numero en
paréntesis es una aproximación del tiempo correspondiente en días y horas (como se indica
por las letras "d" y "h"). Por ejemplo, "282: 22: 17" significa 282 horas, 22 minutos y 17
segundos, lo que se traduce en aproximadamente 11 días y 18 horas ("11d 18h"). los
El servidor de autenticación redondea una vida útil solicitada al siguiente nivel más alto posible
toda la vida.
11:24:15 (0d 11h) 46:26:01 (1d 22h) 189: 03: 38 (7d 21h)
12:11:34 (0d 12h) 49:38:40 (2d 01h) 202: 08: 00 (8d 10h)
13:02:09 (0d 13h) 53:04:37 (2d 05h) 216: 06: 35 (9d 00h)
13:56:14 (0d 13h) 56:44:49 (2d 08h) 231: 03: 09 (9d 15h)
14:54:03 (0d 14h) 60:40:15 (2d 12h) 247: 01: 43 (10d 07h)
15:55:52 (0d 15h) 64:51:57 (2d 16h) 264: 06: 34 (11d 00h)
17:01:58 (0d 17h) 69:21:04 (2d 21h) 282: 22: 17 (11d 18h)
18:12:38 (0d 18h) 74:08:46 (3d 02h) 301: 53: 45 (12d 13h)
19:28:11 (0d 19h) 79:16:23 (3d 07h) 322: 46: 13 (13d 10h)
20:48:57 (0d 20h) 84:45:16 (3d 12h) 345: 05: 18 (14d 09h)
22:15:19 (0d 22h) 90:36:53 (3d 18h) 368: 56: 58 (15d 08h)
23:47:38 (0d 23h) 96:52:49 (4d 00h) 394: 27: 37 (16d 10h)
25:26:21 (1d 01h) 103:34:45 (4d 07h) 421: 44: 07 (17d 13h)
27:11:54 (1d 03h) 110:44:28 (4d 14h) 450: 53: 46 (18d 18h)
29:04:44 (1d 05h) 118:23:54 (4d 22h) 482: 04: 24 (20d 02h)
31:05:22 (1d 07h) 126:35:05 (5d 06h) 515: 24: 22 (21d 11h)
33:14:21 (1d 09h) 135:20:15 (5d 15h) 551: 02: 38 (22d 23h)
35:32:15 (1d 11h) 144:41:44 (6d 00h) 589: 08: 45 (24d 13h)
37:59:41 (1d 13h) 154:42:01 (6d 10h) 629: 52: 56 (26d 05h)
40:37:19 (1d 16h) 165:23:50 (6d 21h) 673: 26: 07 (28d 01h)
43:25:50 (1d 19h) 176: 50: 01 (7d 08h)
PRECAUCIONES
Iniciar sesión habla un protocolo específico para el servidor de autenticación obsoleto y se proporciona
principalmente para admitir celdas que aún no se han migrado a un KDC Kerberos versión 5. Está
sigue siendo útil en las células que no ejecutan el servidor de autenticación si el Kerberos asociado
reino admite consultas del servidor de autenticación (como un KDC de Heimdal o falsoka), pero usando
klog.krb5 or kinito más registro en lugar de este comando se recomienda.
De forma predeterminada, este comando no crea un nuevo grupo de autenticación de proceso (PAG); ver el
descripción del pagsh comando para aprender acerca de los PAG. Si una celda no usa un AFS-
utilidad de inicio de sesión modificada, los usuarios deben incluir -setpag opción a este comando, o emita la
pagsh comando antes de este, para tener sus tokens almacenados en una estructura de credenciales que
se identifica por PAG en lugar de por UID local.
Cuando una estructura de credenciales es identificada por UID local, la posible exposición a la seguridad es
que el superusuario local "root" puede usar UNIX su comando para asumir cualquier otra identidad
y hereda automáticamente los tokens asociados con ese UID. Identificación de la credencial
estructura por PAG elimina esta exposición.
Si -contraseña se utiliza el argumento, la contraseña especificada no puede comenzar con un guión,
porque se interpreta como otro nombre de opción. Uso del -contraseña el argumento no es
recomendado en cualquier caso.
De forma predeterminada, es posible emitir este comando en un cliente NFS configurado correctamente
máquina que accede a AFS a través del traductor NFS / AFS, asumiendo que el cliente NFS
La máquina es un tipo de sistema compatible. Sin embargo, si el administrador de la máquina traductora ha
habilitó la verificación de UID al incluir el -uidcheck on argumento a la fs exportaciones mando,
el comando falla con un mensaje de error similar al siguiente:
Advertencia: Remote pioctl to ha fallado (err = 8). . .
No se puede autenticar en AFS porque falló un pioctl.
Habilitar la verificación de UID significa que la estructura de credenciales en la que se almacenan los tokens
La máquina traductora debe estar identificada por un UID que coincida con el UID local del
proceso que coloca los tokens en la estructura de credenciales. Después de la Iniciar sesión comando
el intérprete obtiene el token en el cliente NFS, lo pasa al ejecutor remoto
demonio en la máquina traductora, que hace la llamada al sistema que almacena el token en un
estructura de credenciales en la máquina traductora. El ejecutor remoto generalmente se ejecuta como el
superusuario local "root", por lo que en la mayoría de los casos su UID local (normalmente cero) no coincide con el
UID local del usuario que emitió el Iniciar sesión comando en la máquina cliente NFS.
Emitiendo el Iniciar sesión comando en una máquina cliente NFS crea una exposición de seguridad: el comando
El intérprete pasa el token a través de la red al demonio ejecutor remoto en claro
modo texto.
CAMPUS
-x Aparece solo para compatibilidad con versiones anteriores. Su antigua función es ahora la predeterminada
comportamiento de este comando.
-director de escuela <usuario nombre >
Especifica el nombre de usuario para autenticar. Si se omite este argumento, el
Authentication Server intenta autenticar al usuario conectado al sistema local.
-contraseña <usuario la contraseña>
Especifica la contraseña del emisor (o la del usuario alternativo identificado por el
-director de escuela argumento). Omita este argumento para que el intérprete de comandos le solicite
la contraseña, en cuyo caso no se hace eco visiblemente en el shell de comandos.
-célula <(SCD por sus siglas en inglés), nombre >
Especifica la celda para la que obtener un token. El comando se dirige a la celda
Servidores de autenticación. Durante una sola sesión de inicio de sesión en una máquina determinada, un usuario puede
ser autenticado en varias celdas simultáneamente, pero solo puede tener un token en un
tiempo para cada uno de ellos (es decir, solo se puede autenticar bajo una identidad por celda por
sesión en una máquina). Es aceptable abreviar el nombre de la celda al más corto
forma que lo distingue de las otras celdas enumeradas en el / etc / openafs / CellServDB
archivo en la máquina cliente en la que se emite el comando.
Si se omite este argumento, el comando se ejecuta en la celda local, como se define
· Primero, por el valor de la variable de entorno AFSCELL.
· Segundo, en el / etc / openafs / ThisCell archivo en la máquina cliente en la que el
se emite el comando.
-servidores <explícito lista of servidores>+
Establece una conexión con el servidor de autenticación que se ejecuta en cada
máquina servidor de base de datos. El intérprete de comandos elige uno de estos al azar
para ejecutar el comando. Es mejor proporcionar nombres de host completamente calificados, pero
Las formas abreviadas son posiblemente aceptables dependiendo del estado del nombre de la celda.
servidor en el momento en que se emite el comando. Esta opción es útil para realizar pruebas específicas
servidores si se encuentran problemas.
Si se omite este argumento, el intérprete de comandos establece una conexión con
cada máquina listada para la celda indicada en la copia local del
/ etc / openafs / CellServDB archivo, y luego elige uno de ellos al azar para el comando
ejecución.
-tubo
Suprime toda la salida al flujo de salida estándar, incluidas las indicaciones y los errores
mensajes. los Iniciar sesión El intérprete de comandos espera recibir la contraseña del
flujo de entrada estándar. No use este argumento; está diseñado para su uso por aplicación
programas en lugar de usuarios humanos.
-silencio
Suprime algunos de los mensajes de seguimiento que produce el comando klog en el estándar
flujo de salida por defecto. Todavía informa sobre los principales problemas encontrados.
-toda la vida <boleto momentos involvidables
Solicita una vida útil específica para el token. Proporcionar un número de horas y opcionalmente
minutos y segundos en el formato hh[:mm[:ss]]. El valor se utiliza para calcular el
vida útil del token como se describe en DESCRIPCIÓN.
-setpag
Crea un grupo de autenticación de procesos (PAG) antes de solicitar la autenticación. los
El token está asociado con el PAG recién creado.
-tmp
Crea un archivo de ticket de estilo Kerberos en el / Tmp directorio de la máquina local. los
el archivo se llama tkt.AFS_UID donde AFS_UID es el AFS UID del emisor.
-ayuda
Imprime la ayuda en línea para este comando. Todas las otras opciones válidas son ignoradas.
SALIDA
El siguiente mensaje indica que el límite de fallas de autenticación consecutivas ha
ha sido excedido. Un administrador puede utilizar el kas desbloquear comando para desbloquear la cuenta, o
el emisor puede esperar hasta que haya pasado el tiempo de bloqueo de la cuenta. (La hora está fijada
con el -hora del reloj argumento a la kas establecer campos comando y se muestra en la salida de
las kas examinar mando).
No se puede autenticar en AFS porque la identificación está bloqueada; consulte al administrador de su sistema
Si -tmp La bandera está incluida, el siguiente mensaje confirma que un ticket estilo Kerberos
archivo fue creado:
Escribí el archivo del ticket a / Tmp
EJEMPLOS
La mayoría de las veces, este comando se emite sin argumentos. La contraseña adecuada es para
persona actualmente conectada al sistema local. La vida útil del billete se calcula como
descrito en DESCRIPCIÓN (si no se han cambiado los valores predeterminados, son 25 horas para un usuario
cuya entrada de la base de datos de autenticación se creó en AFS 3.1 o posterior).
% kilogramo
Contraseña:
El siguiente ejemplo autentica al usuario como administrador en la celda de prueba de ABC Corporation:
% klog -administrador principal -celda test.abc.com
Contraseña:
A continuación, el emisor solicita una vida útil del boleto de 104 horas 30 minutos (4 días 8
horas 30 minutos). Suponiendo que esta vida útil está permitida por la vida útil máxima de los boletos
y otros factores descritos en DESCRIPCIÓN, la vida útil del token es 110: 44: 28, que es
el siguiente valor más grande posible.
% klog -tiempo de vida 104: 30
Contraseña:
PRIVILEGIO REQUERIDO
Ninguna
Utilice klog.afs en línea utilizando los servicios de onworks.net
