k5start - מקוון בענן

תָכְנִית:

שֵׁם

k5start - השג והשאר פעיל כרטיס Kerberos

תַקצִיר

k5start [-abFhLnPqstvx] [-c ילד PID פילה] [-f מקשים]
[-g קבוצה] [-H דקות] [-I שרות למשל]
[-i לקוחות למשל] [-K דקות] [-k כרטיס מטמון]
[-l זמן מחרוזת] [-m מצב] [-o בעלים]
[-p PID פילה] [-r שרות תחום] [-S שרות שם]
[-u לקוחות ראשי] [ראשי [הפקודה ...]]

k5start -U -f מקשים [-abFhLnPqstvx] [-c ילד PID פילה]
[-g קבוצה] [-H דקות] [-I שרות למשל]
[-K דקות] [-k כרטיס מטמון] [-l זמן מחרוזת]
[-m מצב] [-o בעלים] [-p PID פילה]
[-r שרות תחום] [-S שרות שם] [הפקודה ...]

תיאור

k5start משיג ומאחסן כרטיס ראשוני למתן כרטיס Kerberos למנהל.
k5start יכול לשמש כחלופה ל קיניט, אבל הוא מיועד בעיקר לשימוש על ידי
תוכניות שרוצות להשתמש ב-keytab כדי להשיג אישורי Kerberos, כגון שרת אינטרנט
שצריך לבצע אימות לשירות אחר כגון שרת LDAP.

בדרך כלל, יש לציין את המנהל שעבורו ייתן כרטיסים בתור הראשון
ויכוח. ראשי יכול להיות רק שם ראשי (כולל המופע האופציונלי)
או מחרוזת עיקרית וממלכה מלאה. ה -u ו -i ניתן להשתמש באפשרויות כחלופה
מנגנון לציון העיקר, אבל בדרך כלל הם לא כל כך נוחים. אם לא
המנהל ניתן כטיעון הראשון או כטיעון ל- -u אפשרות,
ברירת המחדל של מנהל הלקוח הוא שם המשתמש Unix של המשתמש הפועל k5start בברירת המחדל
ממלכה מקומית.

לחלופין, ניתן לתת פקודה בשורת הפקודה של k5start. אם כן, הפקודה הזו היא
הפעלה לאחר אימות Kerberos (ופועל אקלוג אם תרצה), עם המתאים
משתני סביבה מוגדרים להפנות אותו למטמון הכרטיסים הנכון. k5start אם כן
המשך לרוץ, מתעורר מעת לעת כדי לרענן את האישורים מעט לפני שיעשו זאת
יפוג, עד שהפקודה תושלם. (התדירות שבה הוא מתעורר כדי לרענן
עדיין ניתן לשלוט באישורים באמצעות -K אפשרות.) כדי להפעיל במצב זה, ה
יש לציין את ה- princip כארגומנט שורת פקודה רגיל או דרך ה- -U
אוֹפְּצִיָה; ה -u ו -i לא ניתן להשתמש באפשרויות. כמו כן, יש לציין מקלדת עם -f
כדי להפעיל פקודה מסוימת.

הפקודה לא תופעל באמצעות המעטפת, אז אם אתה רוצה להשתמש במטא-תווים של מעטפת
הפקודה עם המשמעות המיוחדת שלהם, תן "sh -c פקודה" בתור הפקודה להפעיל ו
לצטט הפקודה.

אם הפקודה מכילה אפשרויות שורת פקודה (כמו "-c"), שים -- בשורת הפקודה
לפני תחילת הפקודה לספר k5start לא לנתח את האפשרויות האלה כשלו.

בעת הפעלת פקודה, k5start מפיץ אותות HUP, TERM, INT ו-QUIT לילד
תהליך ואינו יוצא כאשר אותות אלו מתקבלים. (אם האות המופץ
גורם לתהליך הילד לצאת, k5start לאחר מכן ייצא.) זה מאפשר k5start להגיב
כראוי כאשר פועל תחת מערכת פיקוח פקודה כגון תריץ את זה(8) או svscan(8) זה
משתמש באותות כדי לשלוט בפקודות מפוקחות, ולהפעיל פקודות אינטראקטיביות שאמורות
קבל Ctrl-C.

אם ריצה k5start מקבל אות ALRM, הוא מרענן מיד את מטמון הכרטיסים
ללא קשר אם הוא בסכנת פקיעה.

If k5start מופעלת עם פקודה או ה- -K דגל ו -x הדגל לא ניתן, הוא ישמר
מנסה גם אם האימות הראשוני נכשל. זה ינסה שוב את האימות הראשוני
מיד ולאחר מכן עם גיבוי אקספוננציאלי לפעם בדקה, והמשיכו לנסות עד
האימות מצליח או שהוא נהרג. הפקודה, אם בכלל, לא תופעל עד
האימות מצליח.

אפשרויות

-a כאשר רצים עם או את -K דגל או פקודה, תמיד לחדש כרטיסים בכל פעם k5start
מתעורר. ללא אפשרות זו, k5start ינסה רק לחדש כרטיס בתדירות גבוהה ככל
הכרחי כדי למנוע את תוקף הכרטיס. עם אפשרות זו, k5start יתחדש
כרטיסים לפי המרווח שצוין ב- -K דגל.

התנהגות זו כנראה הייתה צריכה להיות התנהגות ברירת המחדל של -K. ברירת המחדל הייתה
לא השתנה כדי למנוע שינויים עבור משתמשים קיימים, אבל עבור יישומים חדשים, שקול
תמיד משתמש -a עם -K.

אפשרות זו חשובה אם תוכנה אחרת מבצעת מניפולציה במטמון הכרטיסים
k5start משתמש. לדוגמה, אם תוכנית אחרת מחדשת כרטיס אוטומטית
בתדירות גבוהה יותר מאשר k5start, לאחר מכן k5start לעולם לא יראה כרטיס שקרוב ל
יפוג ולכן, כברירת מחדל, לעולם לא ינסה לחדש את הכרטיס. זה אומר
זֶה k5start גם לעולם לא יחדש אסימוני AFS, גם אם -t ניתנה אפשרות, שכן
k5start מחדשת אסימוני AFS רק לאחר חידוש כרטיס בהצלחה. אם אפשרות זו
מצויין במצב כזה, k5start יחדש את הכרטיס שלו בכל פעם שהוא יבדוק
הכרטיס, אז אסימוני AFS יחודשו.

טיעון זה תקף רק בשילוב עם אחד מהם -K או פקודה להפעלה.

-b לאחר ההפעלה, התנתק מהמסוף השולט והפעל ברקע. זֶה
אפשרות הגיונית רק בשילוב עם -K או פקודה ש k5start יהיה
פועל וניתן להשתמש בו רק אם צוין כרטיסיית מקשים עם -f. k5start לא יהיה
רקע עצמו עד לאחר שניסה לאמת פעם אחת, כך שכל ראשי תיבות
שגיאות ידווחו, אך לאחר מכן הוא יפנה את הפלט אל / dev / null ולא
שגיאות עוקבות ידווחו.

אם ניתן הדגל הזה, k5start ישנה גם ספריות ל-"/". כל השבילים (כגון
לגבי פקודה להפעלה או קובץ PID) יש לתת אפוא כמוחלט, לא
קרוב משפחה, שבילים.

אם נעשה בו שימוש בשילוב עם פקודה להפעלה, הפקודה הזו תפעל גם ב-
רקע וגם הקלט והפלט שלו יופנו אליו / dev / null. זה יהיה
צריך לדווח על שגיאות דרך מנגנון אחר כדי שהשגיאות ייראו.

שים לב שב-Mac OS X, סוג מטמון הכרטיסים המוגדר כברירת מחדל הוא לכל הפעלה ושימוש ב- -b
הדגל יתנתק k5start ממטמון הכרטיסים הקיים. כשמשתמש -b in
בשילוב עם -K ב-Mac OS X, כנראה שגם אתה רוצה להשתמש ב- -k דגל לציין
קובץ מטמון כרטיס ולאלץ את השימוש בקובץ שמור.

בעת שימוש באפשרות זו, שקול להשתמש גם -L לדווח k5start שגיאות ל-syslog.

-c ילד PID פילה
שמור את מזהה התהליך (PID) של תהליך הצאצא לתוך ילד PID פילה. ילד PID פילה is
נוצר אם הוא לא קיים ומוחלף אם הוא קיים. אפשרות זו היא בלבד
מותר כאשר ניתנה פקודה בשורת הפקודה והוא שימושי ביותר בשילוב
עם -b כדי לאפשר ניהול של תהליך הילד הרץ.

שים לב שכאשר משתמשים בו עם -b, קובץ ה-PID נכתב לאחריו k5start is
רקע ומשנה את ספריית העבודה שלו ל /, אז נתיבים יחסיים עבור ה-PID
הקובץ יהיה יחסית ל / (כנראה לא מה שאתה רוצה).

-F אל תקבל כרטיסים הניתנים להעברה גם אם התצורה המקומית אומרת שיש להעביר אותם
כרטיסים כברירת מחדל. בלי הדגל הזה, k5start עושה את מה שברירת המחדל של הספרייה היא.

-f מקשים
אימות באמצעות לוח המקשים מקשים במקום לבקש סיסמה. מפתח עבור
מנהל הלקוח חייב להיות נוכח ב מקשים.

-g קבוצה
לאחר יצירת מטמון הכרטיסים, שנה את בעלות הקבוצה שלו ל קבוצה, שיכול להיות
שם של קבוצה או מזהה קבוצה מספרי. מטמון כרטיסים נוצר עם 0600
הרשאות כברירת מחדל, כך שלא תהיה לכך השפעה מועילה אלא אם כן נעשה שימוש עם -m.

-H דקות
בדוק אם יש כרטיס שמח, המוגדר ככזה שנותר לו חיים של לפחות
דקות דקות. אם נמצא כרטיס כזה, אל תנסה לבצע אימות. במקום זאת,
פשוט הפעל את הפקודה (אם צוינה) או צא מיד עם סטטוס 0 (אם אין
היה). אחרת, נסה להשיג כרטיס חדש ולאחר מכן הפעל את הפקודה, אם ישנה.

If -H משמש עם -t, התוכנית החיצונית תמיד תופעל גם אם כרטיס עם א
נמצאה מספיק זמן חיים.

If -H משמש עם -K, k5start לא ייצא מיד. במקום זאת, המצוין
משך החיים שנותר יחליף את ערך ברירת המחדל של שתי דקות, כלומר k5start
יבטיח, בכל פעם שהוא מתעורר, שלכרטיס ישנה חייו של הכרטיס
דקות טַעֲנָה. זוהי אלטרנטיבה ל -a כדי להבטיח שלכרטיסים תמיד יהיה א
כמות מינימלית מסוימת שנותרה לכל החיים.

-h הצג הודעת שימוש וצא.

-I שרות למשל
חלק המופע של מנהל השירות. ברירת המחדל היא תחום ברירת המחדל של
המכונה. שימו לב שבניגוד למנהל הלקוח, מנהל שירות שאינו ברירת מחדל
יש לציין עם -I ו -S; לא ניתן לספק את חלק המופע כחלק ממנו
הטיעון ל -S.

-i לקוחות למשל
מציין את חלק המופע של המנהל. אפשרות זו לא הגיונית
למעט בשילוב עם -u. שימו לב שניתן לציין את המופע כחלק ממנו
שם משתמש דרך הקונבנציה הרגילה של הוספת קו נטוי ואז המופע, אז
אף פעם לא צריך להשתמש באפשרות הזו.

-K דקות
הפעל במצב דמון כדי לשמור על כרטיס בחיים ללא הגבלת זמן. התוכנית מתעוררת מחדש לאחר מכן
דקות דקות, בודק אם תוקף הכרטיס יפוג לפני או פחות משתי דקות
לאחר הבדיקה המתוכננת הבאה, ומקבל כרטיס חדש במידת הצורך. (במילים אחרות, זה
מבטיח שלכרטיס תמיד ישנה חיים של שניים לפחות
דקות.) אם ה -H ניתן גם דגל, משך החיים שצוין על ידו מחליף את השניים
ברירת מחדל של דקות.

אם אפשרות זו אינה ניתנת אך ניתנה פקודה בשורת הפקודה, ברירת המחדל
המרווח הוא 60 דקות (שעה).

אם מתרחשת שגיאה ברענון מטמון הכרטיסים, מרווח ההשכמה יהיה
התקצר לדקה אחת והפעולה נוסתה שוב במרווח זה למשך כל עוד ה
השגיאה נמשכת.

-k כרטיס מטמון
השתמש כרטיס מטמון כמטמון הכרטיסים ולא כתוכן הסביבה
משתנה KRB5CCNAME או ברירת המחדל של הספרייה. כרטיס מטמון יכול להיות כל מטמון כרטיסים
מזהה מזוהה על ידי ספריות Kerberos הבסיסיות. זה תומך בדרך כלל א
נתיב לקובץ, עם או בלי מחרוזת "FILE:" מובילה, אך עשוי גם לתמוך באחר
סוגי מטמון כרטיסים.

אם מישהו מ -o, -g, או -m ניתנים, כרטיס מטמון חייב להיות נתיב פשוט לקובץ
או התחל עם "FILE:" או "WRFILE:".

-L דווח על הודעות ל-syslog וכן לפלט רגיל או שגיאה רגילה. את כל
הודעות יירשמו עם המתקן LOG_DAEMON. הודעות רגילות שמוצגות
על פלט רגיל מתועדים עם רמה LOG_NOTICE. שגיאות שאינן גורמות k5start
כדי לסיים מתועדים ברמה LOG_WARNING. שגיאות קטלניות נרשמות עם רמה
LOG_ERR.

זה שימושי בעת איתור באגים בשילוב עם -b.

-l זמן מחרוזת
הגדר את משך חיי הכרטיס. זמן מחרוזת צריך להיות בפורמט המוכר על ידי ה-Kerberos
ספריות לציון זמנים, כגון "10h" (עשר שעות) או "10m" (עשר דקות).
היחידות הידועות הן "s", "m", "h" ו-"d". למידע נוסף, ראה קיניט(1).

-m מצב
לאחר יצירת מטמון הכרטיסים, שנה את הרשאות הקובץ שלו ל מצב, שחייב להיות א
מצב קובץ באוקטלי (640 או 444, למשל).

הגדרת a מצב שלא מאפשר k5start לקרוא או לכתוב למטמון הכרטיסים יהיה
לגרום k5start להיכשל ולצאת בעת שימוש ב -K אפשרות או הפעלת פקודה.

-n התעלמו, קיים עבור תאימות אפשרויות עם המיושן כעת k4start.

-o בעלים
לאחר יצירת מטמון הכרטיסים, שנה את הבעלות שלו ל בעלים, שיכול להיות גם כן
שם משתמש או מזהה משתמש מספרי. אם בעלים הוא שם של משתמש ו -g היה
לא ניתן גם, שנה גם את הבעלות הקבוצה על מטמון הכרטיסים לברירת המחדל
קבוצה עבור אותו משתמש.

-P אל תקבל כרטיסים ניתנים לסירוגין גם אם התצורה המקומית אומרת לקבל סמוך
כרטיסים כברירת מחדל. בלי הדגל הזה, k5start עושה את מה שברירת המחדל של הספרייה היא.

-p PID פילה
שמור את מזהה התהליך (PID) של הריצה k5start תהליך לתוך PID פילה. PID פילה is
נוצר אם הוא לא קיים ומוחלף אם הוא קיים. אפשרות זו היא רוב
שימושי בשילוב עם -b כדי לאפשר ניהול של הריצה k5start דמון.

שים לב שכאשר משתמשים בו עם -b קובץ PID נכתב לאחר k5start הוא ברקע
ומשנה את ספריית העבודה שלו ל /, אז נתיבים יחסיים עבור קובץ PID יהיו
ביחס ל / (כנראה לא מה שאתה רוצה).

-q שֶׁקֶט. מדכא את הדפסת הודעת הבאנר הראשונית האומרת מה Kerberos
הכרטיסים העיקריים מתקבלים עבור, וגם מדכא את בקשת הסיסמה מתי
מה היא -s ניתנת אפשרות.

-r שרות תחום
התחום למנהל השירות. זה כברירת מחדל לתחום המקומי המוגדר כברירת מחדל.

-S שרות שם
מציין את המנהל עבורו k5start מקבל כרטיס שירות. ברירת המחדל
הערך הוא "krbtgt", כדי להשיג כרטיס המעניק כרטיס. אפשרות זו (יחד עם -I)
ניתן להשתמש אם צריך רק גישה לשירות בודד. שימו לב שבניגוד ללקוח
מנהל, יש לציין מנהל שירות שאינו ברירת מחדל עם שניהם -S ו -I; אחד
לא יכול לספק את חלק המופע כחלק מהארגומנט ל -S.

-s קרא את הסיסמה מקלט רגיל. זה עוקף את בקשת הסיסמה הרגילה,
כלומר הד לא מדוכא והקלט לא נאלץ להיות מהשליטה
מָסוֹף. רוב השימושים באפשרות זו מהווים סיכון אבטחה. בדרך כלל אתה רוצה להשתמש ב-a
keytab וה- -f אפשרות במקום זאת.

-t הפעל תוכנית חיצונית לאחר קבלת כרטיס. שימוש ברירת המחדל של זה הוא הפעלה
אקלוג כדי לקבל אסימון. אם משתנה הסביבה KINIT_PROG מוגדר, הוא מחליף את
ברירת מחדל מהודרת.

If k5start נבנה עם AFS setpag() ניתנה תמיכה ופקודה על
שורת פקודה, k5start תיצור PAG חדש לפני השגת אסימוני AFS. אחרת,
הוא ישיג אסימונים ב-PAG הנוכחי.

-U במקום לדרוש שמנהל האימות יינתן בשורת הפקודה, קרא
זה מלוח המקשים שצוין עם -f. המנהל יילקח מהראשון
ערך בלוח המקשים. -f יש לציין אם נעשה שימוש באפשרות זו.

מתי -U נתון, k5start לא יצפה שיינתן שם ראשי בפקודה
שורה, וכל הארגומנטים לאחר האפשרויות יילקחו כפקודה להפעלה.

-u לקוחות ראשי
זה מציין את המנהל לקבל אישורים כמו. יכול להיות שכל המנהל
שצוין כאן, או לחילופין רק החלק הראשון עשוי להיות מצוין עם זה
דגל והמופע שצוין עם -i.

שימו לב שבדרך כלל אין סיבה להשתמש בדגל הזה במקום פשוט לתת את
main בשורת הפקודה בתור הארגומנט הרגיל הראשון.

-v היו מילוליים. זה ידפיס קצת מידע נוסף על מה שקיים
ניסו ומה התוצאות.

-x צא מיד על כל שגיאה. בדרך כלל, בעת הפעלת פקודה או בעת הפעלה עם ה-
-K אוֹפְּצִיָה, k5start ממשיך לרוץ גם אם הוא לא מצליח לרענן את מטמון הכרטיסים והרצון
נסה שוב במרווח הבדיקה הבא. עם אפשרות זו, k5start במקום זאת ייצא.

לַחֲזוֹר ערכים

התוכנית יוצאת עם סטטוס 0 אם היא מקבלת כרטיס בהצלחה או אם יש לה כרטיס שמח
(ראה -H). אם k5start מפעיל aklog או תוכנית אחרת k5start מחזיר את מצב היציאה של
התוכנית ההיא.

דוגמא

השתמש /etc/krb5.keytab keytab כדי להשיג כרטיס הענקת כרטיס עבור המנהל
host/example.com, הכנסת מטמון הכרטיסים /tmp/service.tkt. משך החיים הוא 10 שעות
והתוכנית מתעוררת כל 10 דקות כדי לבדוק אם הכרטיס עומד לפוג.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/example.com

עשה את אותו הדבר, אך השתמש במטמון הכרטיסים המוגדר כברירת מחדל והפעל את הפקודה
/usr/local/bin/auth-backup. k5start ימשיך לפעול עד לסיום הפקודה. אם
האימות הראשוני נכשל, המשך לנסות ואל תתחיל את הפקודה עד שהיא
מצליח. זה יכול לשמש במהלך אתחול המערכת עבור פקודה שחייבת להיות חוקית
כרטיסים לפני שמתחילים, וסובלת שיש k5start להתחיל לפני הרשת
מוגדר לחלוטין.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup

מציג את ההרשאות של קובץ המטמון הזמני שנוצר על ידי k5start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

שימו לב ל-"--" לפני הפקודה לשמור k5start מניתוח ה-"-c" כשלו
אוֹפְּצִיָה.

עשה את אותו הדבר, אבל קבע את המנהל מלוח המקשים:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

שימו לב שלא ניתן מנהל לפני הפקודה.

מתחיל k5start בתור דמון המשתמש בדביאן התחלה-עצירה-דימון תוכנית ניהול. זה
סוג השורה שאפשר להכניס לסקריפט init של דביאן:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

זה משתמש /var/run/k5start.pid כקובץ PID ומשיג כרטיסים מארח/example.com
קובץ keytab של המערכת. k5start אז יופסק עם:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

ניתן להוסיף קוד זה לסקריפט init עבור Apache, למשל, כדי להתחיל א k5start
תהליך לצד Apache לניהול האישורים שלה Kerberos.

הסביבה

אם משתנה הסביבה AKLOG מוגדר, הערך שלו ישמש כתוכנית להפעלה
עם -t במקום ברירת המחדל k5start. אם AKLOG לא מוגדר ו-KINIT_PROG
מוגדר, הערך שלו ישמש במקום זאת. KINIT_PROG זוכה לכבוד עבור תאימות לאחור
אך השימוש בו אינו מומלץ בשל שמו המבלבל.

אם אין קובץ כרטיס (עם -k) או הפקודה מצוינת בשורת הפקודה, k5start אשתמש
משתנה הסביבה KRB5CCNAME כדי לקבוע את המיקום של מתן הכרטיס
כַּרְטִיס. אם צוינה פקודה או -k נעשה שימוש, KRB5CCNAME יוגדר
להצביע על קובץ הכרטיסים לפני הפעלת ה אקלוג תוכנית או כל פקודה שניתנה ב-
שורת הפקודה.

השתמש ב-k5start באינטרנט באמצעות שירותי onworks.net