Este es el comando ksu que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ksu - superusuario kerberizado
SINOPSIS
ksu [ usuario objetivo ] [ -n nombre_principal_objetivo ] [ -c nombre_caché_fuente ] [ -k ] [ -D ] [
-r tiempo ] [ -pf ] [ -l momentos involvidables ] [ -z | Z ] [ -q ] [ -e comando [argumentos ...]] [ -a [
argumentos ...]]
REQUISITOS
Debe tener instalada la versión 5 de Kerberos para compilar ksu. Debe tener una versión 5 de Kerberos
servidor en ejecución para utilizar ksu.
DESCRIPCIÓN
ksu es una versión kerberizada del programa su que tiene dos misiones: una es
cambiar el ID de usuario real y efectivo por el del usuario objetivo, y el otro es
crear un nuevo contexto de seguridad.
NOTA:
En aras de la claridad, todas las referencias y atributos del usuario que invoca el
El programa comenzará con "fuente" (por ejemplo, "usuario fuente", "caché fuente", etc.).
Asimismo, todas las referencias y atributos de la cuenta de destino comenzarán con
"objetivo".
AUTENTICACIÓN
Para cumplir con la primera misión, ksu opera en dos fases: autenticación y
autorización. La resolución del nombre principal de destino es el primer paso en la autenticación.
El usuario puede especificar su nombre principal con el -n opción (p. ej., -n
[email protected]) o se asignará un nombre principal predeterminado utilizando una heurística descrita
en la sección OPCIONES (ver -n opción). El nombre de usuario de destino debe ser el primer argumento
a ksu; si no se especifica, la raíz es la predeterminada. Si . se especifica, entonces el usuario de destino
ser el usuario de origen (p. ej., ksu .). Si el usuario de origen es root o el usuario de destino es el
usuario de origen, no se realiza ninguna autenticación o autorización. De lo contrario, ksu busca un
ticket Kerberos apropiado en la caché de origen.
El ticket puede ser para el servidor final o un ticket de concesión de tickets (TGT) para el
reino del director de destino. Si el ticket para el servidor final ya está en la caché, es
descifrado y verificado. Si no está en la caché pero el TGT sí, el TGT se usa para
obtener el ticket para el servidor final. A continuación, se verifica el ticket del servidor final. Si ninguno
el ticket está en la caché, pero ksu se compila con el GET_TGT_VIA_PASSWD definir, el usuario
se le pedirá una contraseña de Kerberos que luego se utilizará para obtener un TGT. Si el
El usuario ha iniciado sesión de forma remota y no tiene un canal seguro, la contraseña puede ser
expuesto. Si ninguno de los tickets está en la caché y GET_TGT_VIA_PASSWD no está definido,
la autenticación falla.
AUTORIZACIÓN
Esta sección describe la autorización del usuario de origen cuando se invoca ksu sin la -e
opción. Para obtener una descripción del -e opción, consulte la sección OPCIONES.
Tras la autenticación exitosa, ksu verifica si el principal de destino está autorizado para
acceder a la cuenta de destino. En el directorio de inicio del usuario de destino, ksu intenta acceder
dos archivos de autorización: .k5iniciar sesión(5) y .k5users. En el archivo .k5login cada línea
contiene el nombre de un principal autorizado para acceder a la cuenta.
Por ejemplo:
[email protected]
jqpublic /[email protected]
jqpublic /[email protected]
El formato de .k5users es el mismo, excepto que el nombre principal puede ir seguido de una lista de
comandos que el principal está autorizado a ejecutar (consulte la -e opción en las OPCIONES
sección para más detalles).
Por lo tanto, si el nombre principal de destino se encuentra en el archivo .k5login, el usuario de origen es
autorizado para acceder a la cuenta de destino. De lo contrario, ksu busca en el archivo .k5users. Si
el nombre principal de destino se encuentra sin ningún comando final o seguido solo por *
entonces el usuario de origen está autorizado. Si existen .k5login o .k5users pero un
Si no existe la entrada adecuada para el principal de destino, se deniega el acceso. Si
ninguno de los archivos existe, entonces el principal tendrá acceso a la cuenta de acuerdo con
las reglas de mapeo aname-> lname. De lo contrario, la autorización falla.
EJECUCIÓN OF EL REINO UNIDO OBJETIVO SHELL
Tras la autenticación y autorización satisfactorias, ksu procede de forma similar a su.
El entorno no se modifica con la excepción de las variables USER, HOME y SHELL. Si
el usuario de destino no es root, USER se establece en el nombre de usuario de destino. De lo contrario, USUARIO
permanece sin cambios. Tanto HOME como SHELL están configurados con los valores predeterminados del inicio de sesión de destino. En
Además, la variable de entorno KRB5CCNOMBRE se establece en el nombre de la caché de destino.
El ID de usuario real y efectivo se cambia por el del usuario de destino. El usuario objetivo
Luego se invoca el shell (el nombre del shell se especifica en el archivo de contraseñas). Sobre
terminación del shell, ksu borra la caché de destino (a menos que se invoque ksu con el -k
opción). Esto se implementa haciendo primero una bifurcación y luego un ejecutivo, en lugar de solo
exec, como lo hizo su.
CREANDO A NUEVO SEGURIDAD CONTEXTO
ksu se puede utilizar para crear un nuevo contexto de seguridad para el programa de destino (ya sea el
shell, o comando especificado a través del -e opción). El programa de destino hereda un conjunto de
credenciales del usuario de origen. De forma predeterminada, este conjunto incluye todas las credenciales en
la caché de origen más cualquier credencial adicional obtenida durante la autenticación. los
el usuario de origen puede limitar las credenciales en este conjunto utilizando -z or -Z . -z
restringe la copia de tickets de la caché de origen a la caché de destino a solo el
tickets donde cliente == el nombre principal de destino. los -Z La opción proporciona al usuario objetivo
con un caché de destino nuevo (sin créditos en el caché). Tenga en cuenta que, por razones de seguridad, cuando
el usuario de origen es root y el usuario de destino no es root, -z opción es el modo predeterminado de
operación.
Si bien no se realiza ninguna autenticación si el usuario de origen es root o es el mismo que el
usuario de destino, aún se pueden obtener tickets adicionales para el caché de destino. Si -n is
especificado y no se pueden copiar credenciales en la caché de destino, el usuario de origen es
se le solicite una contraseña de Kerberos (a menos que -Z especificado o GET_TGT_VIA_PASSWD es indefinido).
Si tiene éxito, se obtiene un TGT del servidor Kerberos y se almacena en la caché de destino.
De lo contrario, si no se proporciona una contraseña (el usuario presiona regresar), ksu continúa en un modo normal
de operación (la caché de destino no contendrá el TGT deseado). Si la contraseña incorrecta
se escribe, ksu falla.
NOTA:
Durante la autenticación, solo los tickets que se pudieron obtener sin proporcionar un
Las contraseñas se almacenan en caché en la caché de origen.
CAMPUS
-n nombre_principal_objetivo
Especifique un nombre principal de destino de Kerberos. Utilizado en autenticación y autorización
fases de ksu.
Si ksu se invoca sin -n, se asigna un nombre principal predeterminado a través del
siguiente heurística:
· Caso 1: el usuario de origen no es root.
Si el usuario de destino es el usuario de origen, el nombre principal predeterminado se establece en el
principal predeterminado de la caché de origen. Si el caché no existe, entonces el
el nombre principal predeterminado se establece en target_user @ local_realm. Si la fuente y
los usuarios objetivo son diferentes y ninguno ~ target_user / .k5users ni
~ target_user / .k5login existe, entonces el nombre principal predeterminado es
target_user_login_name @ local_realm. De lo contrario, comenzando con el primer principal
enumerados a continuación, ksu comprueba si el principal está autorizado para acceder al objetivo
cuenta y si hay un ticket legítimo para ese principal en la fuente
cache. Si se cumplen ambas condiciones, el principal se convierte en el objetivo predeterminado
director; de lo contrario, vaya al siguiente director.
una. principal predeterminado de la caché de origen
B. target_user @ local_realm
C. source_user @ local_realm
Si ac falla, intente con cualquier principal para el que haya un ticket en la caché de origen
y que está autorizado para acceder a la cuenta de destino. Si eso falla, seleccione el
primer principal autorizado para acceder a la cuenta de destino desde arriba
lista. Si ninguno está autorizado y ksu está configurado con PRINC_LOOK_AHEAD convertido
activado, seleccione el principal predeterminado de la siguiente manera:
Para cada candidato en la lista anterior, seleccione un director autorizado que tenga la
mismo nombre de reino y la primera parte del nombre principal es igual al prefijo del
candidato. Por ejemplo, si el candidato a) es [email protected] y
jqpublic /[email protected] está autorizado para acceder a la cuenta de destino, entonces el
principal predeterminado está establecido en jqpublic /[email protected].
· Caso 2: el usuario de origen es root.
Si el usuario de destino no es root, el nombre principal predeterminado es
target_user @ local_realm. De lo contrario, si la caché de origen existe, el principal predeterminado
name se establece en el principal predeterminado de la caché de origen. Si la caché de origen
no existe, el nombre principal predeterminado se establece en root \ @local_realm.
-c nombre_caché_fuente
Especifique el nombre de la caché de origen (p. Ej., -c ARCHIVO: / tmp / my_cache) Si -c la opción no se usa entonces
el nombre se obtiene de KRB5CCNOMBRE Variable ambiental. Si KRB5CCNOMBRE no es
definido, el nombre de la caché de origen se establece en krb5cc_ uid>. El nombre de la caché de destino es
establecido automáticamente en krb5cc_ uid>. (gen_sym ()), donde gen_sym genera un nuevo
número tal que la caché resultante no exista todavía. Por ejemplo:
krb5cc_1984.2
-k No elimine el caché de destino al finalizar el shell de destino o un comando
(-e mando). Sin -k, ksu elimina la caché de destino.
-D Activa el modo de depuración.
-z Restringir la copia de tickets de la caché de origen a la caché de destino a solo el
tickets donde cliente == el nombre principal de destino. Utilizar el -n opción si quieres
los tickets para otros que no sean el principal predeterminado. Tenga en cuenta que el -z opción es
mutuamente excluyentes con el -Z .
-Z No copie ningún ticket del caché de origen al caché de destino. Solo crea un
caché de destino nuevo, donde el nombre principal predeterminado de la caché se inicializa a
el nombre principal de destino. Tenga en cuenta que el -Z La opción es mutuamente excluyente con la
-z .
-q Suprime la impresión de mensajes de estado.
Opciones de entradas para la concesión de entradas:
-l momentos involvidables -r equipo -pf
Las opciones de boleto de otorgamiento de boleto solo se aplican al caso donde no hay
tickets apropiados en la caché para autenticar al usuario de origen. En este caso si
ksu está configurado para solicitar a los usuarios una contraseña de Kerberos (GET_TGT_VIA_PASSWD is
definido), las opciones de ticket de concesión de ticket que se especifican se utilizarán cuando
obtener un ticket de concesión de tickets del servidor Kerberos.
-l momentos involvidables
(duración cadena.) Especifica la vida útil que se solicitará para el boleto; si esto
no se especifica la opción, en su lugar se utiliza la duración predeterminada del ticket (12 horas).
-r equipo
(duración cadena.) Especifica que el renovable Se debe solicitar la opción para
ticket y especifica la vida útil total deseada del ticket.
-p especifica que el proxyable Se debe solicitar la opción para el boleto.
-f La opción especifica que la reenviable Se debe solicitar la opción para el boleto.
-e comando [args ...]
ksu procede exactamente igual que si fuera invocado sin la -e opción, excepto
en lugar de ejecutar el shell de destino, ksu ejecuta el comando especificado. Ejemplo
de uso:
ksu bob-e ls-lag
El algoritmo de autorización para -e es el siguiente:
Si el usuario de origen es root o usuario de origen == usuario de destino, no se requiere autorización
lugar y se ejecuta el comando. Si id de usuario de origen! = 0, y
~ target_user / .k5users el archivo no existe, la autorización falla. De lo contrario,
~ target_user / .k5users El archivo debe tener una entrada adecuada para que el principal de destino
obtener la autorización.
El formato de archivo .k5users:
Una única entrada principal en cada línea que puede ir seguida de una lista de comandos.
que el mandante está autorizado a ejecutar. Un nombre principal seguido de un *
significa que el usuario está autorizado a ejecutar cualquier comando. Por lo tanto, en el siguiente
ejemplo:
[email protected] ls mail / local / kerberos / klist
jqpublic /[email protected] *
jqpublic /[email protected]
[email protected] solo está autorizado para ejecutar ls, mail y lista de klist comandos.
jqpublic /[email protected] está autorizado para ejecutar cualquier comando.
jqpublic /[email protected] no está autorizado para ejecutar ningún comando. Tenga en cuenta que
jqpublic /[email protected] está autorizado para ejecutar el shell de destino (ksu regular,
sin el -e opción) pero [email protected] no es.
Los comandos enumerados después del nombre principal deben ser nombres de ruta completos o
solo el nombre del programa. En el segundo caso, CMD_RUTA especificando la ubicación de
los programas autorizados deben definirse en el momento de la compilación de ksu. Cual comando
se ejecuta?
Si el usuario de origen es root o el usuario de destino es el usuario de origen o el usuario es
autorizado para ejecutar cualquier comando (* entrada), entonces el comando puede ser completo o
ruta relativa que conduce al programa de destino. De lo contrario, el usuario debe especificar
ya sea una ruta completa o solo el nombre del programa.
-a args
Especifique los argumentos que se pasarán al shell de destino. Tenga en cuenta que todas las banderas y
los parámetros que siguen a -a se pasarán al shell, por lo que todas las opciones
ksu debe preceder -a.
El -a La opción se puede utilizar para simular la -e opción si se usa de la siguiente manera:
-a -c [comando [argumentos]].
-c es interpretado por el c-shell para ejecutar el comando.
INSTALACIÓN INSTRUCCIONES
ksu se puede compilar con los siguientes cuatro indicadores:
GET_TGT_VIA_PASSWD
En caso de que no se encuentren tickets apropiados en la caché de origen, el usuario será
se le solicita una contraseña de Kerberos. Luego, la contraseña se usa para obtener un boleto
concesión de ticket desde el servidor Kerberos. El peligro de configurar ksu con este
macro es si el usuario de origen ha iniciado sesión de forma remota y no tiene un seguro
canal, la contraseña puede quedar expuesta.
PRINC_LOOK_AHEAD
Durante la resolución del nombre principal predeterminado, PRINC_LOOK_AHEAD habilita ksu
para encontrar nombres principales en el archivo .k5users como se describe en la sección OPCIONES
(consulta: -n opción).
CMD_RUTA
Especifica una lista de directorios que contienen programas a los que los usuarios están autorizados
ejecutar (a través del archivo .k5users).
HAVE_GETUSERSHELL
Si el usuario de origen no es root, ksu insiste en que el shell del usuario de destino sea
invocado es un "caparazón legal". getusershell(3) es llamado para obtener los nombres de
"cáscaras legales". Tenga en cuenta que el shell del usuario de destino se obtiene de la contraseña
archivo.
Configuración de muestra:
KSU_OPTS = -DGET_TGT_VIA_PASSWD -DPRINC_LOOK_AHEAD -DCMD_PATH = '"/compartimiento / usr / ucb / local / bin "
ksu debe ser propiedad de root y tener activado el bit de identificación de usuario establecido.
ksu intenta obtener un ticket para el servidor final tal como Kerberized telnet y rlogin.
Por lo tanto, debe haber una entrada para el servidor en la base de datos Kerberos (por ejemplo,
anfitrión/[email protected]). El archivo de tabla de claves debe estar en una ubicación adecuada.
LADO EFECTOS
ksu elimina todos los tickets caducados de la caché de origen.
AUTOR OF KSU
GENNADY (ARI) MEDVINSKY
Use ksu en línea usando los servicios de onworks.net
