k5start - En ligne dans le Cloud

PROGRAMME:

Nom

k5start - Obtenir et éventuellement garder actif un ticket Kerberos

SYNOPSIS

k5début [-abFhLnPqstvx] [-c enfant Pid filet] [-f clavier]
[-g groupe] [-H minutes] [-I service instance]
[-i client instance] [-K minutes] [-k billet cachette]
[-l fiable un magnifique] [-m mode] [-o propriétaire]
[-p Pid filet] [-r service royaume] [-S service prénom]
[-u client principal] [principal [commander ...]]

k5début -U -f clavier [-abFhLnPqstvx] [-c enfant Pid filet]
[-g groupe] [-H minutes] [-I service instance]
[-K minutes] [-k billet cachette] [-l fiable un magnifique]
[-m mode] [-o propriétaire] [-p Pid filet]
[-r service royaume] [-S service prénom] [commander ...]

DESCRIPTION

k5début obtient et met en cache un ticket d'octroi de ticket Kerberos initial pour un principal.
k5début peut être utilisé comme alternative à kinite, mais il est principalement destiné à être utilisé par
programmes qui souhaitent utiliser un keytab pour obtenir les informations d'identification Kerberos, comme un serveur Web
qui doit s'authentifier auprès d'un autre service tel qu'un serveur LDAP.

Normalement, le principal pour lequel donner des billets doit être spécifié comme le premier
argument. principal peut être soit juste un nom principal (y compris l'instance facultative)
ou une chaîne complète de principal et de domaine. Les -u ainsi que -i les options peuvent être utilisées comme alternative
mécanisme pour spécifier le principal, mais ne sont généralement pas aussi pratiques. Sinon
principal est donné soit comme premier argument, soit comme argument du -u option, la
Le principal du client utilise par défaut le nom d'utilisateur Unix de l'utilisateur exécutant k5début par défaut
domaine local.

Facultativement, une commande peut être donnée sur la ligne de commande de k5début. Si c'est le cas, cette commande est
exécuté après l'authentification Kerberos (et en cours d'exécution aklog si vous le souhaitez), avec les
variables d'environnement définies pour le pointer vers le bon cache de ticket. k5début sera alors
continuer à fonctionner, se réveillant périodiquement pour actualiser les informations d'identification légèrement avant qu'elles ne le fassent
expire, jusqu'à ce que la commande se termine. (La fréquence à laquelle il se réveille pour se rafraîchir
les informations d'identification peuvent toujours être contrôlées avec le -K option.) Pour fonctionner dans ce mode, le
principal doit être spécifié en tant qu'argument de ligne de commande normal ou via le -U
option; les -u ainsi que -i les options ne peuvent pas être utilisées. En outre, un keytab doit être spécifié avec -f
pour exécuter une commande spécifique.

La commande ne sera pas exécutée à l'aide du shell, donc si vous souhaitez utiliser des métacaractères du shell dans
la commande avec leur signification particulière, donnez "sh -c commander" comme la commande pour exécuter et
Devis commander.

Si la commande contient des options de ligne de commande (comme "-c"), mettez -- sur la ligne de commande
avant le début de la commande pour dire k5début de ne pas analyser ces options comme les siennes.

Lors de l'exécution d'une commande, k5début propage les signaux HUP, TERM, INT et QUIT à l'enfant
processus et ne se termine pas lorsque ces signaux sont reçus. (Si le signal propagé
provoque la sortie du processus fils, k5début sortira ensuite.) Cela permet k5début réagir
correctement lorsqu'il est exécuté sous un système de supervision de commande tel que exécuter(8) ou svscan(8) que
utilise des signaux pour contrôler les commandes supervisées et exécuter des commandes interactives qui devraient
recevoir Ctrl-C.

Si une course k5début reçoit un signal ALRM, il rafraîchit immédiatement le cache des tickets
indépendamment du fait qu'il soit en danger d'expiration.

If k5début est exécuté avec une commande ou le -K drapeau et le -x flag n'est pas donné, il gardera
essayer même si l'authentification initiale échoue. Il va réessayer l'authentification initiale
immédiatement, puis avec un ralentissement exponentiel à une fois par minute, et continuez d'essayer jusqu'à ce que
l'authentification réussit ou elle est tuée. La commande, le cas échéant, ne sera pas lancée avant
l'authentification réussit.

OPTIONS

-a Lorsqu'il est exécuté avec le -K drapeau ou une commande, renouvelez toujours les tickets à chaque fois k5début
se réveille. Sans cette option, k5début essaiera seulement de renouveler un billet aussi souvent que
nécessaire pour empêcher l'expiration du ticket. Avec cette option, k5début va renouveler
billets selon l'intervalle spécifié avec le -K drapeau.

Ce comportement aurait probablement dû être le comportement par défaut de -K. La valeur par défaut était
pas modifié pour éviter les changements pour les utilisateurs existants, mais pour les nouvelles applications, envisagez
toujours utiliser -a avec -K.

Cette option est importante si un autre programme manipule le cache de tickets qui
k5début utilise. Par exemple, si un autre programme renouvelle automatiquement un billet
plus fréquemment que k5début, puis k5début ne verra jamais un ticket proche de
expirant et n'essaiera donc, par défaut, jamais de renouveler le ticket. Ça signifie
qui k5début ne renouvellera jamais non plus les jetons AFS, même si le -t l'option a été donnée, car
k5début ne renouvelle les jetons AFS qu'après avoir renouvelé avec succès un ticket. Si cette option
est spécifié dans une telle situation, k5début renouvellera son billet à chaque vérification
le ticket, donc les jetons AFS seront renouvelés.

Cet argument n'est valable qu'en combinaison avec -K ou une commande à exécuter.

-b Après le démarrage, détachez-vous du terminal de contrôle et exécutez-le en arrière-plan. Cette
option n'a de sens qu'en combinaison avec -K ou une commande qui k5début sera
en cours d'exécution et ne peut être utilisé que si un keytab est spécifié avec -f. k5début ne sera pas
l'arrière-plan lui-même jusqu'à ce qu'il ait essayé de s'authentifier une fois, de sorte que tout
les erreurs seront signalées, mais il redirigera ensuite la sortie vers / dev / null et non
les erreurs ultérieures seront signalées.

Si ce drapeau est donné, k5début changera également les répertoires en "/". Tous les chemins (tels
quant à une commande à exécuter ou un fichier PID) doit donc être donné comme absolu, et non
relatif, chemins.

Si elle est utilisée en conjonction avec une commande à exécuter, cette commande s'exécutera également dans le
arrière-plan et aura également son entrée et sa sortie redirigées vers / dev / null. Ce sera
doivent signaler toute erreur via un autre mécanisme pour que les erreurs soient visibles.

Notez que sur Mac OS X, le type de cache de ticket par défaut est par session et en utilisant le -b
le drapeau se dissociera k5début du cache de tickets existant. Lors de l'utilisation -b in
conjonction avec -K sur Mac OS X, vous voudrez probablement aussi utiliser le -k indicateur à spécifier
un fichier cache de tickets et forcer l'utilisation d'un cache de fichiers.

Lorsque vous utilisez cette option, pensez également à utiliser -L signaler k5début erreurs dans syslog.

-c enfant Pid filet
Enregistrez l'ID de processus (PID) du processus enfant dans enfant Pid filet. enfant Pid filet is
créé s'il n'existe pas et écrasé s'il existe. Cette option est uniquement
autorisé lorsqu'une commande a été donnée sur la ligne de commande et est plus utile en conjonction
avec -b pour permettre la gestion du processus fils en cours d'exécution.

Notez que, lorsqu'il est utilisé avec -b, le fichier PID est écrit après k5début is
en arrière-plan et change son répertoire de travail en /, donc chemins relatifs pour le PID
le fichier sera relatif à / (probablement pas ce que vous voulez).

-F N'obtenez pas de tickets transférables même si la configuration locale dit d'être transférable
billets par défaut. Sans ce drapeau, k5début fait quelle que soit la valeur par défaut de la bibliothèque.

-f clavier
S'authentifier à l'aide du keytab clavier plutôt que de demander un mot de passe. Une clé pour le
le client principal doit être présent dans clavier.

-g groupe
Après avoir créé le cache de tickets, modifiez sa propriété de groupe en groupe, qui peut être
soit le nom d'un groupe, soit un ID de groupe numérique. Les caches de tickets sont créés avec 0600
autorisations par défaut, cela n'aura donc aucun effet utile à moins d'être utilisé avec -m.

-H minutes
Recherchez un ticket heureux, défini comme un ticket qui a une durée de vie restante d'au moins
minutes minutes. Si un tel ticket est trouvé, ne tentez pas d'authentification. Au lieu,
exécutez simplement la commande (si elle a été spécifiée) ou quittez immédiatement avec le statut 0 (si aucune
était). Sinon, essayez d'obtenir un nouveau ticket, puis exécutez la commande, le cas échéant.

If -H s'utilise avec -t, le programme externe sera toujours exécuté même si un ticket avec un
une durée de vie restante suffisante a été trouvée.

If -H s'utilise avec -K, k5début ne sortira pas immédiatement. Au lieu de cela, le spécifié
durée de vie restante remplacera la valeur par défaut de deux minutes, ce qui signifie que k5début
s'assurera, à chaque réveil, que le ticket a une durée de vie restante du
minutes argument. C'est une alternative à -a pour s'assurer que les billets ont toujours un
certaine quantité minimale de vie restante.

-h Affichez un message d'utilisation et quittez.

-I service instance
La partie instance du principal de service. La valeur par défaut est le domaine par défaut de
la machine. Notez que contrairement au principal client, un principal de service autre que celui par défaut
doit être spécifié avec -I ainsi que -S; on ne peut pas fournir la partie instance dans le cadre de
l'argument de -S.

-i client instance
Spécifie la partie instance du principal. Cette option n'a pas de sens
sauf en combinaison avec -u. Notez que l'instance peut être spécifiée dans le cadre de
Nom d'utilisateur par la convention normale d'ajouter une barre oblique, puis l'instance, donc
on n'a jamais à utiliser cette option.

-K minutes
Exécutez en mode démon pour garder un ticket en vie indéfiniment. Le programme reprend après
minutes minutes, vérifie si le ticket expirera avant ou moins de deux minutes
après le prochain contrôle prévu, et obtient un nouveau ticket si nécessaire. (En d'autres termes, il
garantit que le ticket aura toujours une durée de vie restante d'au moins deux
minutes.) Si le -H est également donné, la durée de vie spécifiée par celui-ci remplace les deux
minute par défaut.

Si cette option n'est pas donnée mais qu'une commande a été donnée sur la ligne de commande, la valeur par défaut
l'intervalle est de 60 minutes (1 heure).

Si une erreur se produit lors de l'actualisation du cache des tickets, l'intervalle de réveil sera
réduite à une minute et l'opération est réessayée à cet intervalle aussi longtemps que le
l'erreur persiste.

-k billet cachette
Utilisez billet cachette comme le cache de tickets plutôt que le contenu de l'environnement
variable KRB5CCNAME ou la valeur par défaut de la bibliothèque. billet cachette peut être n'importe quel cache de tickets
identifiant reconnu par les bibliothèques Kerberos sous-jacentes. Cela prend généralement en charge un
chemin d'accès à un fichier, avec ou sans une chaîne « FILE : » au début, mais peut également prendre en charge d'autres
types de cache de billets.

Si l'un des -o, -gou -m sont donnés, billet cachette doit être soit un simple chemin d'accès à un fichier
ou commencez par « FILE : » ou « WRFILE : ».

-L Rapporter les messages à syslog ainsi qu'à la sortie standard ou à l'erreur standard. Tous
les messages seront enregistrés avec la fonction LOG_DAEMON. Messages réguliers qui s'affichent
sur la sortie standard sont enregistrés avec le niveau LOG_NOTICE. Des erreurs qui ne causent pas k5début
à terminer sont enregistrés avec le niveau LOG_WARNING. Les erreurs fatales sont enregistrées avec le niveau
LOG_ERR.

Ceci est utile lors du débogage des problèmes en combinaison avec -b.

-l fiable un magnifique
Définissez la durée de vie du ticket. fiable un magnifique doit être dans un format reconnu par Kerberos
bibliothèques pour spécifier des heures, telles que "10h" (dix heures) ou "10m" (dix minutes).
Les unités connues sont "s", "m", "h" et "d". Pour plus d'informations, voir kinite (1).

-m mode
Après avoir créé le cache de tickets, modifiez ses autorisations de fichier en mode, qui doit être un
mode fichier en octal (640 ou 444, par exemple).

Définir un mode qui ne permet pas k5début lire ou écrire dans le cache des tickets
causer k5début échouer et quitter lors de l'utilisation du -K option ou en exécutant une commande.

-n Ignoré, présent pour la compatibilité des options avec le désormais obsolète k4début.

-o propriétaire
Après avoir créé le cache de tickets, changez sa propriété en propriétaire, qui peut être soit
le nom d'un utilisateur ou un ID utilisateur numérique. Si propriétaire est le nom d'un utilisateur et -g était
pas également donné, modifiez également la propriété du groupe du cache de tickets par défaut
groupe pour cet utilisateur.

-P N'obtenez pas de tickets proxy même si la configuration locale dit d'obtenir un proxy
billets par défaut. Sans ce drapeau, k5début fait quelle que soit la valeur par défaut de la bibliothèque.

-p Pid filet
Enregistrez l'ID de processus (PID) de l'exécution k5début processus en Pid filet. Pid filet is
créé s'il n'existe pas et écrasé s'il existe. Cette option est la plus
utile en conjonction avec -b pour permettre la gestion de la course k5début démon.

Notez que, lorsqu'il est utilisé avec -b le fichier PID est écrit après k5début est en arrière-plan
et change son répertoire de travail en /, les chemins relatifs du fichier PID seront donc
relatif à / (probablement pas ce que vous voulez).

-q Calmer. Supprime l'impression du message de bannière initial indiquant ce que Kerberos
des tickets principaux sont obtenus pour, et supprime également l'invite de mot de passe lorsque
le -s option est donnée.

-r service royaume
Le domaine du principal de service. Il s'agit par défaut du domaine local par défaut.

-S service prénom
Spécifie le principal pour lequel k5début obtient un ticket de service. Le défaut
la valeur est "krbtgt", pour obtenir un ticket d'octroi de ticket. Cette option (avec -I)
peut être utilisé si l'on n'a besoin d'accéder qu'à un seul service. Notez que contrairement au client
principal, un principal de service autre que celui par défaut doit être spécifié avec les deux -S ainsi que -I; un
ne peut pas fournir la partie instance dans le cadre de l'argument à -S.

-s Lisez le mot de passe à partir de l'entrée standard. Cela contourne l'invite de mot de passe normale,
ce qui signifie que l'écho n'est pas supprimé et que l'entrée n'est pas forcée de provenir du contrôle
Terminal. La plupart des utilisations de cette option présentent un risque pour la sécurité. Vous voulez normalement utiliser un
keytab et le -f choix à la place.

-t Exécutez un programme externe après avoir obtenu un ticket. L'utilisation par défaut de ceci est d'exécuter
aklog pour obtenir un jeton. Si la variable d'environnement KINIT_PROG est définie, elle remplace le
par défaut compilé.

If k5début a été construit avec AFS setpag() soutien et un ordre a été donné sur le
ligne de commande, k5début créera un nouveau PAG avant d'obtenir des jetons AFS. Autrement,
il obtiendra des jetons dans le PAG actuel.

-U Plutôt que d'exiger que le principal d'authentification soit donné sur la ligne de commande, lisez
à partir du keytab spécifié avec -f. Le principal sera prélevé dès le premier
entrée dans le keytab. -f doit être spécifié si cette option est utilisée.

Quand -U est donné, k5début ne s'attendra pas à ce qu'un nom principal soit donné sur la commande
ligne, et tous les arguments après les options seront considérés comme une commande à exécuter.

-u client principal
Cela spécifie le principal sous lequel obtenir les informations d'identification. L'ensemble du principal peut être
spécifié ici, ou simplement la première partie peut être spécifiée avec ce
flag et l'instance spécifiée avec -i.

Notez qu'il n'y a normalement aucune raison d'utiliser ce drapeau plutôt que de simplement donner le
principal sur la ligne de commande comme premier argument normal.

-v Soyez verbeux. Cela imprimera un peu d'informations supplémentaires sur ce qui est en train d'être
tenté et quels en sont les résultats.

-x Quittez immédiatement en cas d'erreur. Normalement, lors de l'exécution d'une commande ou lors de l'exécution avec le
-K option, k5début continue de fonctionner même s'il ne parvient pas à actualiser le cache des tickets et
réessayez au prochain intervalle de contrôle. Avec cette option, k5début sortira à la place.

RETOUR VALEURS

Le programme se termine avec le statut 0 s'il obtient un ticket avec succès ou s'il a un ticket satisfait
(voir -H). Si k5début lance aklog ou un autre programme k5début renvoie l'état de sortie de
ce programme.

EXEMPLE

Utilisez l'option /etc/krb5.keytab keytab pour obtenir un ticket d'octroi de ticket pour le principal
host/example.com, en mettant le cache de tickets dans /tmp/service.tkt. La durée de vie est de 10 heures
et le programme se réveille toutes les 10 minutes pour vérifier si le ticket est sur le point d'expirer.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
hôte/exemple.com

Faites de même, mais en utilisant le cache de tickets par défaut et exécutez la commande
/usr/local/bin/auth-backup. k5début continuera à s'exécuter jusqu'à ce que la commande se termine. Si
l'authentification initiale échoue, continuez d'essayer et ne lancez pas la commande jusqu'à ce qu'elle
réussit. Cela pourrait être utilisé lors du démarrage du système pour une commande qui doit avoir une valeur valide
billets avant de commencer et accepte d'avoir k5début démarrer avant que le réseau ne soit
complètement mis en place.

k5start -f /etc/krb5.keytab -K 10 -l 10h hôte/exemple.com \
/usr/local/bin/auth-backup

Affiche les autorisations du fichier de cache temporaire créé par k5début:

k5start -f /etc/krb5.keytab hôte/exemple.com \
-- sh -c 'ls -l $KRB5CCNAME'

Remarquez le "--" avant la commande pour garder k5début d'analyser le "-c" comme le sien
option.

Faites la même chose, mais déterminez le principal à partir du keytab :

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Notez qu'aucun principal n'est donné avant la commande.

Début k5début en tant que démon utilisant Debian démon start-stop programme de gestion. C'est
le genre de ligne que l'on pourrait mettre dans un script d'initialisation Debian :

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab hôte/exemple.com

Cela utilise /var/run/k5start.pid comme fichier PID et obtient des tickets host/example.com de
le fichier keytab du système. k5début serait alors arrêté avec :

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Ce code peut être ajouté à un script d'initialisation pour Apache, par exemple, pour démarrer un k5début
processus aux côtés d'Apache pour gérer ses informations d'identification Kerberos.

ENVIRONNEMENT

Si la variable d'environnement AKLOG est définie, sa valeur sera utilisée comme programme à exécuter
avec -t plutôt que la valeur par défaut respectée k5début. Si AKLOG n'est pas défini et KINIT_PROG
est défini, sa valeur sera utilisée à la place. KINIT_PROG est honoré pour sa compatibilité descendante
mais son utilisation n'est pas recommandée en raison de son nom déroutant.

Si aucun dossier de ticket (avec -k) ou la commande est spécifiée sur la ligne de commande, k5début utilisera
la variable d'environnement KRB5CCNAME pour déterminer l'emplacement de l'octroi du ticket
billet. Si une commande est spécifiée ou si le -k est utilisée, KRB5CCNAME sera défini
pour pointer vers le fichier ticket avant d'exécuter le aklog programme ou toute commande donnée sur le
ligne de commande.

Utilisez k5start en ligne en utilisant les services onworks.net