k5start - Online di Cloud

PROGRAM:

NAMA

k5start - Dapatkan dan secara opsional tetap aktifkan tiket Kerberos

RINGKASAN

k5start [-abFhLnPqstvx] [-c anak pid fillet] [-f tab kunci]
[-g kelompok] [-H menit] [-I layanan contoh]
[-i klien contoh] [-K menit] [-k tiket Cache]
[-l waktu tali] [-m mode] [-o pemilik]
[-p pid fillet] [-r layanan dunia] [-S layanan nama]
[-u klien utama] [utama [Command ...]]

k5start -U -f tab kunci [-abFhLnPqstvx] [-c anak pid fillet]
[-g kelompok] [-H menit] [-I layanan contoh]
[-K menit] [-k tiket Cache] [-l waktu tali]
[-m mode] [-o pemilik] [-p pid fillet]
[-r layanan dunia] [-S layanan nama] [Command ...]

DESKRIPSI

k5start memperoleh dan menyimpan tiket awal pemberian tiket Kerberos untuk prinsipal.
k5start dapat digunakan sebagai alternatif kinit, tetapi ini terutama dimaksudkan untuk digunakan oleh
program yang ingin menggunakan tab kunci untuk mendapatkan kredensial Kerberos, seperti server web
yang perlu mengautentikasi ke layanan lain seperti server LDAP.

Biasanya, prinsipal yang memberikan tiket harus ditentukan sebagai yang pertama
argumen. utama mungkin hanya nama utama (termasuk contoh opsional)
atau string utama dan ranah penuh. NS -u dan -i pilihan dapat digunakan sebagai alternatif
mekanisme untuk menentukan prinsipal, tetapi umumnya tidak senyaman itu. Jika tidak
prinsipal diberikan sebagai argumen pertama atau argumen ke -u opsi, opsi
default utama klien ke nama pengguna Unix dari pengguna yang berjalan k5start secara default
ranah lokal.

Opsional, perintah dapat diberikan pada baris perintah dari k5start. Jika demikian, perintah itu adalah
dijalankan setelah otentikasi Kerberos (dan menjalankan aklog jika diinginkan), dengan yang sesuai
variabel lingkungan diatur untuk mengarahkannya ke cache tiket yang tepat. k5start kemudian akan
terus berjalan, bangun secara berkala untuk menyegarkan kredensial sedikit sebelum mereka melakukannya
kedaluwarsa, hingga perintah selesai. (Frekuensi bangun untuk menyegarkan
kredensial masih dapat dikontrol dengan -K pilihan.) Untuk menjalankan dalam mode ini, tombol
prinsipal harus ditentukan sebagai argumen baris perintah biasa atau melalui -U
pilihan; NS -u dan -i pilihan tidak dapat digunakan. Juga, tab kunci harus ditentukan dengan -f
untuk menjalankan perintah tertentu.

Perintah tidak akan dijalankan menggunakan shell, jadi jika Anda ingin menggunakan metakarakter shell di
perintah dengan arti khusus mereka, berikan "sh -c memerintah" sebagai perintah untuk menjalankan dan
mengutip Command.

Jika perintah berisi opsi baris perintah (seperti "-c"), letakkan -- di baris perintah
sebelum awal perintah untuk memberi tahu k5start untuk tidak mengurai opsi tersebut sebagai miliknya.

Saat menjalankan perintah, k5start menyebarkan sinyal HUP, TERM, INT, dan QUIT ke anak
proses dan tidak keluar ketika sinyal tersebut diterima. (Jika sinyal yang disebarkan
menyebabkan proses anak untuk keluar, k5start kemudian akan keluar.) Ini memungkinkan k5start untuk bereaksi
dengan benar ketika dijalankan di bawah sistem pengawasan perintah seperti menjalankannya(8) atau svscan(8) itu
menggunakan sinyal untuk mengontrol perintah yang diawasi, dan untuk menjalankan perintah interaktif yang seharusnya
menerima Ctrl-C.

Jika berlari k5start menerima sinyal ALRM, itu segera menyegarkan cache tiket
terlepas dari apakah itu dalam bahaya kedaluwarsa.

If k5start dijalankan dengan perintah atau -K bendera dan -x bendera tidak diberikan, itu akan disimpan
mencoba bahkan jika otentikasi awal gagal. Ini akan mencoba lagi otentikasi awal
segera dan kemudian dengan backoff eksponensial menjadi sekali per menit, dan terus mencoba sampai
otentikasi berhasil atau dimatikan. Perintah, jika ada, tidak akan dimulai sampai
otentikasi berhasil.

PILIHAN

-a Saat dijalankan dengan salah satu dari -K bendera atau perintah, selalu perbarui tiket setiap kali k5start
bangun. Tanpa opsi ini, k5start hanya akan mencoba memperbarui tiket sesering
diperlukan untuk mencegah tiket dari kedaluwarsa. Dengan opsi ini, k5start akan memperbarui
tiket sesuai dengan interval yang ditentukan dengan -K bendera.

Perilaku ini mungkin seharusnya menjadi perilaku default -K. Standarnya adalah
tidak diubah untuk menghindari perubahan bagi pengguna yang sudah ada, tetapi untuk aplikasi baru, pertimbangkan
selalu menggunakan -a dengan -K.

Opsi ini penting jika program lain memanipulasi cache tiket yang
k5start sedang menggunakan. Misalnya, jika program lain memperbarui tiket secara otomatis
lebih sering daripada k5start, kemudian k5start tidak akan pernah melihat tiket yang dekat dengan
kedaluwarsa dan karena itu, secara default, tidak akan pernah mencoba memperbarui tiket. Ini berarti
bahwa k5start juga tidak akan pernah memperbarui token AFS, meskipun -t pilihan diberikan, karena
k5start hanya memperbarui token AFS setelah berhasil memperbarui tiket. Jika opsi ini
ditentukan dalam situasi seperti itu, k5start akan memperbarui tiketnya setiap kali diperiksa
tiket, jadi token AFS akan diperbarui.

Argumen ini hanya valid dalam kombinasi dengan keduanya -K atau perintah untuk dijalankan.

-b Setelah memulai, lepaskan dari terminal pengontrol dan jalankan di latar belakang. Ini
pilihan hanya masuk akal dalam kombinasi dengan -K atau perintah itu k5start akan
berjalan dan hanya dapat digunakan jika tab kunci ditentukan dengan -f. k5start tidak akan
latar belakang itu sendiri sampai setelah mencoba mengautentikasi sekali, sehingga inisial apa pun
kesalahan akan dilaporkan, tetapi kemudian akan mengarahkan output ke / dev / null dan tidak
kesalahan berikutnya akan dilaporkan.

Jika bendera ini diberikan, k5start juga akan mengubah direktori menjadi "/". Semua jalur (seperti
untuk perintah untuk menjalankan atau file PID) karena itu harus diberikan sebagai absolut, bukan
relatif, jalan.

Jika digunakan bersama dengan perintah untuk dijalankan, perintah itu juga akan berjalan di
latar belakang dan juga akan mengarahkan input dan outputnya ke / dev / null. Itu akan
harus melaporkan kesalahan apa pun melalui mekanisme lain agar kesalahan terlihat.

Perhatikan bahwa di Mac OS X, jenis cache tiket default adalah per sesi dan menggunakan -b
bendera akan berpisah k5start dari cache tiket yang ada. Ketika menggunakan -b in
berhubungan dengan -K di Mac OS X, Anda mungkin juga ingin menggunakan -k bendera untuk menentukan
file cache tiket dan memaksa penggunaan cache file.

Saat menggunakan opsi ini, pertimbangkan juga untuk menggunakan -L melaporkan k5start kesalahan ke syslog.

-c anak pid fillet
Simpan ID proses (PID) dari proses anak ke dalam anak pid fillet. anak pid fillet is
dibuat jika tidak ada dan ditimpa jika memang ada. Pilihan ini hanya
diizinkan ketika perintah diberikan pada baris perintah dan paling berguna dalam hubungannya
dengan -b untuk memungkinkan pengelolaan proses anak yang sedang berjalan.

Perhatikan bahwa, bila digunakan dengan -b, file PID ditulis setelah k5start is
berlatar belakang dan mengubah direktori kerjanya menjadi /, jadi jalur relatif untuk PID
file akan relatif terhadap / (mungkin bukan yang Anda inginkan).

-F Jangan dapatkan tiket yang dapat diteruskan meskipun konfigurasi lokal mengatakan untuk dapat diteruskan
tiket secara default. Tanpa bendera ini, k5start melakukan apa pun default perpustakaan.

-f tab kunci
Otentikasi menggunakan keytab tab kunci daripada meminta kata sandi. Sebuah kunci untuk
kepala klien harus hadir di tab kunci.

-g kelompok
Setelah membuat cache tiket, ubah kepemilikan grupnya menjadi kelompok, yang mungkin
baik nama grup atau ID grup numerik. Tembolok tiket dibuat dengan 0600
izin secara default, jadi ini tidak akan memiliki efek yang berguna kecuali digunakan dengan -m.

-H menit
Periksa tiket bahagia, yang didefinisikan sebagai tiket yang memiliki sisa masa hidup setidaknya
menit menit. Jika tiket seperti itu ditemukan, jangan coba autentikasi. Sebagai gantinya,
jalankan saja perintah (jika ada yang ditentukan) atau segera keluar dengan status 0 (jika tidak ada
NS). Jika tidak, coba dapatkan tiket baru lalu jalankan perintah, jika ada.

If -H digunakan dengan -t, program eksternal akan selalu dijalankan meskipun tiket dengan
sisa masa hidup yang cukup ditemukan.

If -H digunakan dengan -K, k5start tidak akan langsung keluar. Sebaliknya, yang ditentukan
sisa masa pakai akan menggantikan nilai default dua menit, artinya k5start
akan memastikan, setiap kali bangun, bahwa tiket memiliki sisa masa pakai
menit argumen. Ini adalah alternatif untuk -a untuk memastikan bahwa tiket selalu memiliki
sisa masa hidup minimal tertentu.

-h Tampilkan pesan penggunaan dan keluar.

-I layanan contoh
Bagian instan dari prinsip layanan. Standarnya adalah ranah default
mesin. Perhatikan bahwa tidak seperti prinsipal klien, prinsipal layanan non-default
harus ditentukan dengan -I dan -S; seseorang tidak dapat memberikan bagian instans sebagai bagian dari
argumen untuk -S.

-i klien contoh
Menentukan bagian instan dari prinsipal. Opsi ini tidak masuk akal
kecuali dalam kombinasi dengan -u. Perhatikan bahwa instance dapat ditentukan sebagai bagian dari
nama pengguna melalui konvensi normal menambahkan garis miring dan kemudian instance, jadi
seseorang tidak pernah harus menggunakan opsi ini.

-K menit
Jalankan dalam mode daemon untuk menjaga tiket tetap hidup tanpa batas. Program bangkit kembali setelah
menit menit, memeriksa apakah tiket akan kedaluwarsa sebelum atau kurang dari dua menit
setelah pemeriksaan terjadwal berikutnya, dan dapatkan tiket baru jika diperlukan. (Dengan kata lain, itu
memastikan bahwa tiket akan selalu memiliki sisa masa pakai setidaknya dua
menit.) Jika -H bendera juga diberikan, masa pakai yang ditentukan olehnya menggantikan keduanya
standar menit.

Jika opsi ini tidak diberikan tetapi perintah diberikan pada baris perintah, default
selang waktu 60 menit (1 jam).

Jika terjadi kesalahan dalam menyegarkan cache tiket, interval bangun akan menjadi
dipersingkat menjadi satu menit dan operasi dicoba lagi pada interval itu selama
kesalahan tetap ada.

-k tiket Cache
penggunaan tiket Cache sebagai cache tiket daripada konten lingkungan
variabel KRB5CCNAME atau default perpustakaan. tiket Cache mungkin ada cache tiket
pengenal yang dikenali oleh pustaka Kerberos yang mendasarinya. Ini umumnya mendukung
path ke file, dengan atau tanpa string "FILE:" di depan, tetapi juga dapat mendukung lainnya
jenis cache tiket.

Jika salah satu dari -o, -g, atau -m diberikan, tiket Cache harus berupa jalur sederhana ke file
atau mulai dengan "FILE:" atau "WRFILE:".

-L Laporkan pesan ke syslog serta ke output standar atau kesalahan standar. Semua
pesan akan dicatat dengan fasilitas LOG_DAEMON. Pesan reguler yang ditampilkan
pada output standar dicatat dengan level LOG_NOTICE. Kesalahan yang tidak menyebabkan k5start
untuk mengakhiri dicatat dengan level LOG_WARNING. Kesalahan fatal dicatat dengan level
LOG_ERR.

Ini berguna saat men-debug masalah dalam kombinasi dengan -b.

-l waktu tali
Atur masa pakai tiket. waktu tali harus dalam format yang dikenali oleh Kerberos
perpustakaan untuk menentukan waktu, seperti "10j" (sepuluh jam) atau "10m" (sepuluh menit).
Satuan yang diketahui adalah "s", "m", "h", dan "d". Untuk informasi lebih lanjut, lihat kinit(1).

-m mode
Setelah membuat cache tiket, ubah izin filenya menjadi mode, yang harus
mode file dalam oktal (640 atau 444, misalnya).

Pengaturan a mode itu tidak memungkinkan k5start untuk membaca atau menulis ke cache tiket akan
sebab k5start gagal dan keluar saat menggunakan -K pilihan atau menjalankan perintah.

-n Diabaikan, hadir untuk kompatibilitas opsi dengan yang sekarang sudah usang k4start.

-o pemilik
Setelah membuat cache tiket, ubah kepemilikannya menjadi pemilik, yang dapat berupa
nama pengguna atau ID pengguna numerik. Jika pemilik adalah nama pengguna dan -g adalah
tidak juga diberikan, ubah juga kepemilikan grup cache tiket ke default
grup untuk pengguna tersebut.

-P Jangan dapatkan tiket proxy meskipun konfigurasi lokal mengatakan untuk mendapatkan proxy
tiket secara default. Tanpa bendera ini, k5start melakukan apa pun default perpustakaan.

-p pid fillet
Simpan ID proses (PID) yang sedang berjalan k5start proses menjadi pid fillet. pid fillet is
dibuat jika tidak ada dan ditimpa jika memang ada. Opsi ini paling
berguna dalam hubungannya dengan -b untuk memungkinkan manajemen menjalankan k5start daemon.

Perhatikan bahwa, bila digunakan dengan -b file PID ditulis setelah k5start berlatar belakang
dan mengubah direktori kerjanya menjadi /, jadi jalur relatif untuk file PID adalah
tergantung pada / (mungkin bukan yang Anda inginkan).

-q Diam. Menekan pencetakan pesan spanduk awal yang mengatakan apa Kerberos
tiket utama sedang diperoleh, dan juga menekan permintaan kata sandi ketika
itu -s pilihan diberikan.

-r layanan dunia
Wilayah untuk kepala layanan. Ini default ke ranah lokal default.

-S layanan nama
Menentukan prinsipal yang k5start mendapatkan tiket layanan. Standarnya
nilainya adalah "krbtgt", untuk mendapatkan tiket pemberian tiket. Opsi ini (bersama dengan -I)
dapat digunakan jika seseorang hanya membutuhkan akses ke satu layanan. Perhatikan bahwa tidak seperti klien
prinsipal, prinsipal layanan non-default harus ditentukan dengan keduanya -S dan -I; satu
tidak dapat memberikan bagian instance sebagai bagian dari argumen untuk -S.

-s Baca kata sandi dari input standar. Ini melewati prompt kata sandi normal,
yang berarti gema tidak ditekan dan input tidak dipaksa dari pengontrol
terminal. Sebagian besar penggunaan opsi ini adalah risiko keamanan. Anda biasanya ingin menggunakan
tab kunci dan -f pilihan sebagai gantinya.

-t Jalankan program eksternal setelah mendapatkan tiket. Penggunaan default ini adalah untuk menjalankan
aklog untuk mendapatkan token. Jika variabel lingkungan KINIT_PROG diatur, itu akan menimpa
dikompilasi secara default.

If k5start telah dibangun dengan AFS halaman setel() dukungan dan perintah diberikan pada
garis komando, k5start akan membuat PAG baru sebelum mendapatkan token AFS. Sebaliknya,
itu akan mendapatkan token di PAG saat ini.

-U Daripada mengharuskan prinsip otentikasi diberikan pada baris perintah, baca
dari keytab yang ditentukan dengan -f. Kepala sekolah akan diambil dari yang pertama
masuk ke tab kunci. -f harus ditentukan jika opsi ini digunakan.

Ketika -U diberikan, k5start tidak akan mengharapkan nama utama diberikan pada perintah
baris, dan argumen apa pun setelah opsi akan diambil sebagai perintah untuk dijalankan.

-u klien utama
Ini menentukan kepala sekolah untuk mendapatkan kredensial sebagai. Seluruh kepala sekolah mungkin
ditentukan di sini, atau sebagai alternatif hanya bagian pertama yang dapat ditentukan dengan ini
flag dan instance yang ditentukan dengan -i.

Perhatikan bahwa biasanya tidak ada alasan untuk menggunakan tanda ini daripada hanya memberikan
prinsipal pada baris perintah sebagai argumen reguler pertama.

-v Bertele-tele. Ini akan mencetak sedikit informasi tambahan tentang apa yang sedang
dicoba dan bagaimana hasilnya.

-x Keluar segera pada kesalahan apa pun. Biasanya, saat menjalankan perintah atau saat dijalankan dengan
-K pilihan, k5start terus berjalan meskipun gagal menyegarkan cache tiket dan akan
coba lagi pada interval pemeriksaan berikutnya. Dengan opsi ini, k5start sebagai gantinya akan keluar.

KEMBALI NILAI

Program keluar dengan status 0 jika berhasil mendapatkan tiket atau memiliki tiket bahagia
(Lihat -H). Jika k5start menjalankan aklog atau program lain k5start mengembalikan status keluar dari
program itu.

CONTOH

Gunakan /etc/krb5.keytab keytab untuk mendapatkan tiket pemberian tiket untuk kepala sekolah
host/example.com, masukkan cache tiket /tmp/service.tkt. Seumur hidup adalah 10 jam
dan program bangun setiap 10 menit untuk memeriksa apakah tiket akan segera kedaluwarsa.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/contoh.com

Lakukan hal yang sama, tetapi gunakan cache tiket default dan jalankan perintah
/usr/local/bin/auth-backup. k5start akan terus berjalan sampai perintah selesai. Jika
otentikasi awal gagal, terus coba, dan jangan mulai perintah sampai itu
berhasil. Ini dapat digunakan selama startup sistem untuk perintah yang harus valid
tiket sebelum memulai, dan mentolerir memiliki k5start mulai sebelum jaringan
sepenuhnya diatur.

k5start -f /etc/krb5.keytab -K 10 -l 10j host/contoh.com \
/usr/local/bin/auth-backup

Menunjukkan izin file cache sementara yang dibuat oleh k5start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

Perhatikan "--" sebelum perintah untuk menyimpan k5start dari menguraikan "-c" sebagai miliknya
.

Lakukan hal yang sama, tetapi tentukan prinsipal dari keytab:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Perhatikan bahwa tidak ada prinsipal yang diberikan sebelum perintah.

Mulai k5start sebagai daemon menggunakan Debian daemon start-stop- program manajemen. Ini adalah
jenis baris yang dapat dimasukkan ke dalam skrip init Debian:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

Ini menggunakan /var/run/k5start.pid sebagai file PID dan mendapatkan tiket host/example.com dari
file tab kunci sistem. k5start kemudian akan dihentikan dengan:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Kode ini dapat ditambahkan ke skrip init untuk Apache, misalnya, untuk memulai a k5start
proses bersama Apache untuk mengelola kredensial Kerberos-nya.

LINGKUNGAN

Jika variabel lingkungan AKLOG diatur, nilainya akan digunakan sebagai program untuk dijalankan
dengan -t daripada default yang dipenuhi k5start. Jika AKLOG tidak disetel dan KINIT_PROG
diatur, nilainya akan digunakan sebagai gantinya. KINIT_PROG dihormati untuk kompatibilitas ke belakang
tetapi penggunaannya tidak disarankan karena namanya membingungkan.

Jika tidak ada file tiket (dengan -k) atau perintah ditentukan pada baris perintah, k5start akan menggunakan
variabel lingkungan KRB5CCNAME untuk menentukan lokasi pemberian tiket
tiket. Jika salah satu perintah ditentukan atau -k opsi digunakan, KRB5CCNAME akan disetel
untuk menunjuk ke file tiket sebelum menjalankan aklog program atau perintah apa pun yang diberikan pada
garis komando.

Gunakan k5start online menggunakan layanan onworks.net