これは、Ubuntu Online、Fedora Online、Windowsオンラインエミュレーター、MACOSオンラインエミュレーターなどの複数の無料オンラインワークステーションの5つを使用してOnWorks無料ホスティングプロバイダーで実行できるコマンドkXNUMXstartです。
プログラム:
NAME
k5start-Kerberosチケットを取得し、オプションでアクティブに保ちます
SYNOPSIS
k5スタート [-abFhLnPqstvx] [-c 子 ピッド file] [-f キータブ]
[-g グループヘッド] [-H 分] [-I サービス ]
[-i クライアント ] [-K 分] [-k チケット キャッシュ]
[-l 時間 文字列] [-m モード] [-o 所有者]
[-p ピッド file] [-r サービス realm] [-S サービス 名]
[-u クライアント 校長] [校長 [ command ...]]
k5スタート -U -f キータブ [-abFhLnPqstvx] [-c 子 ピッド file]
[-g グループヘッド] [-H 分] [-I サービス ]
[-K 分] [-k チケット キャッシュ] [-l 時間 文字列]
[-m モード] [-o 所有者] [-p ピッド file]
[-r サービス realm] [-S サービス 名] [ command ...]
DESCRIPTION
k5スタート プリンシパルの初期Kerberosチケット許可チケットを取得してキャッシュします。
k5スタート の代わりに使用できます キニット、ただし、主に次のユーザーが使用することを目的としています
キータブを使用してKerberosクレデンシャルを取得するプログラム(Webサーバーなど)
LDAPサーバーなどの別のサービスに対して認証する必要があります。
通常、チケットを提供するプリンシパルを最初に指定する必要があります
引数。 校長 単なるプリンシパル名(オプションのインスタンスを含む)のいずれかです。
または完全なプリンシパルとレルムの文字列。 The -u & -i オプションは代替として使用できます
プリンシパルを指定するためのメカニズムですが、一般的にはそれほど便利ではありません。 いいえの場合
プリンシパルは、最初の引数または -u オプション、
クライアントプリンシパルのデフォルトは、実行しているユーザーのUnixユーザー名です。 k5スタート デフォルトで
ローカルレルム。
オプションで、コマンドラインでコマンドを指定できます。 k5スタート。 もしそうなら、そのコマンドは
Kerberos認証後に実行(および実行 アクログ 必要に応じて)、適切な
適切なチケットキャッシュを指すように設定された環境変数。 k5スタート その後
実行を継続し、定期的にウェイクアップして、資格情報を少し前に更新します
コマンドが完了するまで、expireします。 (リフレッシュするためにウェイクアップする頻度
クレデンシャルは引き続き -K オプション。)このモードで実行するには、
プリンシパルは、通常のコマンドライン引数として指定するか、 -U
オプション; the -u & -i オプションは使用できません。 また、キータブは次のように指定する必要があります -f
特定のコマンドを実行します。
コマンドはシェルを使用して実行されないため、シェルのメタ文字を使用する場合は
特別な意味を持つコマンド、「sh-c 指図" 実行するコマンドとして
率 command.
コマンドにコマンドラインオプション(「-c」など)が含まれている場合は、コマンドラインに-を入力します
伝えるコマンドの開始前 k5スタート それらのオプションを独自のものとして解析しないようにします。
コマンドを実行するとき、 k5スタート HUP、TERM、INT、およびQUITシグナルを子に伝播します
処理し、これらの信号を受信しても終了しません。 (伝播された信号の場合
子プロセスを終了させ、 k5スタート その後終了します。)これにより、 k5スタート 反応する
次のようなコマンド監視システムで実行すると適切に それを実行します(8)または SVスキャン(8)それ
信号を使用して、監視対象コマンドを制御し、必要な対話型コマンドを実行します
Ctrl-Cを受け取ります。
実行中の場合 k5スタート ALRM信号を受信すると、すぐにチケットキャッシュを更新します
有効期限が切れる危険があるかどうかに関係なく。
If k5スタート コマンドまたは -K フラグと -x フラグは与えられていません、それは維持します
初期認証が失敗した場合でも試行します。 初期認証を再試行します
すぐに、そして指数バックオフでXNUMX分にXNUMX回になり、
認証が成功するか、認証が強制終了されます。 コマンドがある場合は、それまで開始されません
認証は成功します。
OPTIONS
-a いずれかで実行する場合 -K フラグまたはコマンド、常にチケットを毎回更新します k5スタート
目覚める。 このオプションがないと、 k5スタート チケットの更新は次の頻度でのみ試行されます
チケットの有効期限が切れるのを防ぐために必要です。 このオプションを使用すると、 k5スタート 更新します
で指定された間隔に従ったチケット -K フラグ。
この動作は、おそらくデフォルトの動作であるはずです。 -K。 デフォルトは
既存のユーザーの変更を避けるために変更されていませんが、新しいアプリケーションの場合は、
常に使用 -a -K.
このオプションは、別のプログラムがチケットキャッシュを操作している場合に重要です。
k5スタート 使用しています。 たとえば、別のプログラムがチケットを自動的に更新している場合
より頻繁に k5スタートをタップし、その後、 k5スタート に近いチケットは表示されません
有効期限が切れるため、デフォルトでは、チケットを更新しようとはしません。 これの意味は
それ k5スタート また、たとえ -t オプションが与えられたので、
k5スタート チケットが正常に更新された後にのみ、AFSトークンを更新します。 このオプションの場合
そのような状況で指定されている、 k5スタート チェックするたびにチケットを更新します
チケットなので、AFSトークンが更新されます。
この引数は、いずれかと組み合わせた場合にのみ有効です。 -K または実行するコマンド。
-b 起動後、制御端末から切り離してバックグラウンドで実行します。 これ
オプションは、と組み合わせた場合にのみ意味があります -K またはそのコマンド k5スタート なります
実行中であり、キータブがで指定されている場合にのみ使用できます -f. k5スタート ないでしょう
一度認証を試みた後までバックグラウンド自体をバックグラウンドで処理するため、
エラーが報告されますが、出力はにリダイレクトされます / dev / null そしていいえ
その後のエラーが報告されます。
このフラグが与えられた場合、 k5スタート また、ディレクトリを「/」に変更します。 すべてのパス(
したがって、実行するコマンドまたはPIDファイルに関して)は絶対値として指定する必要があります。
相対パス。
実行するコマンドと組み合わせて使用すると、そのコマンドは
バックグラウンドであり、その入力と出力もにリダイレクトされます / dev / null。 そうなる
エラーが表示されるようにするには、他のメカニズムを介してエラーを報告する必要があります。
Mac OS Xでは、デフォルトのチケットキャッシュタイプはセッションごとであり、 -b
フラグは関連付けを解除します k5スタート 既存のチケットキャッシュから。 使用する場合 -b in
と組み合わせて -K Mac OS Xでは、おそらく -k 指定するフラグ
チケットキャッシュファイルとファイルキャッシュの使用を強制します。
このオプションを使用する場合は、次の使用も検討してください。 -L 報告する k5スタート syslogへのエラー。
-c 子 ピッド file
子プロセスのプロセスID(PID)をに保存します 子 ピッド file. 子 ピッド file is
存在しない場合は作成され、存在する場合は上書きされます。 このオプションは
コマンドラインでコマンドが指定された場合に許可され、組み合わせて使用すると最も便利です
-b 実行中の子プロセスの管理を可能にします。
と一緒に使用する場合は注意してください -b、PIDファイルは後に書き出されます k5スタート is
バックグラウンドで動作ディレクトリを次のように変更します /、したがって、PIDの相対パス
ファイルは相対的です / (おそらくあなたが望むものではありません)。
-F ローカル構成で転送可能になるように指示されている場合でも、転送可能なチケットを取得しないでください
デフォルトではチケット。 このフラグがないと、 k5スタート ライブラリのデフォルトが何であれ実行します。
-f キータブ
キータブを使用して認証する キータブ パスワードを要求するのではなく。 の鍵
クライアントプリンシパルはに存在する必要があります キータブ.
-g グループヘッド
チケットキャッシュを作成したら、グループの所有権を次のように変更します グループヘッド、それは
グループの名前または数値のグループIDのいずれか。 チケットキャッシュは0600で作成されます
デフォルトでは権限があるため、これを使用しない限り、効果はありません。 -m.
-H 分
少なくとも残りの寿命があるものとして定義された幸せなチケットを確認してください
分 分。 そのようなチケットが見つかった場合は、認証を試みないでください。 その代わり、
コマンドを実行するか(指定されている場合)、ステータス0ですぐに終了します(指定されていない場合)。
だった)。 それ以外の場合は、新しいチケットを取得してから、コマンドを実行してください(存在する場合)。
If -H と一緒に使用されます -t、外部プログラムは、
十分な残存寿命が見つかりました。
If -H と一緒に使用されます -K, k5スタート すぐには終了しません。 代わりに、指定された
残りの存続期間は、デフォルト値のXNUMX分に置き換わります。つまり、 k5スタート
ウェイクアップするたびに、チケットの残りの有効期間が確保されます
分 口論。 これはに代わるものです -a チケットに常に
残りの寿命の特定の最小量。
-h 使用法メッセージを表示して終了します。
-I サービス
サービスプリンシパルのインスタンス部分。 デフォルトはのデフォルトレルムです
この機械。 クライアントプリンシパルとは異なり、デフォルト以外のサービスプリンシパルであることに注意してください
で指定する必要があります -I & -S; の一部としてインスタンス部分を提供することはできません
への議論 -S.
-i クライアント
プリンシパルのインスタンス部分を指定します。 このオプションは意味がありません
との組み合わせを除いて -u。 インスタンスはの一部として指定できることに注意してください
ユーザ名 スラッシュを追加してからインスタンスを追加するという通常の規則により、
このオプションを使用する必要はありません。
-K 分
デーモンモードで実行して、チケットを無期限に存続させます。 プログラムは後に再び目覚めます
分 分、チケットの有効期限がXNUMX分前かXNUMX分未満かを確認します
次に予定されているチェックの後、必要に応じて新しいチケットを取得します。 (言い換えれば、それは
チケットの残りの有効期間が常に少なくともXNUMXになるようにします
分。) -H フラグも与えられ、それによって指定された寿命がXNUMXつを置き換えます
分デフォルト。
このオプションが指定されていないが、コマンドラインでコマンドが指定された場合、デフォルト
間隔は60分(1時間)です。
チケットキャッシュの更新中にエラーが発生した場合、ウェイクアップ間隔は次のようになります。
XNUMX分に短縮され、操作はその間隔で再試行されました。
エラーが続く。
-k チケット キャッシュ
チケット キャッシュ 環境のコンテンツではなく、チケットキャッシュとして
変数KRB5CCNAMEまたはライブラリーのデフォルト。 チケット キャッシュ 任意のチケットキャッシュである可能性があります
基盤となるKerberosライブラリによって認識される識別子。 これは一般的にサポートします
先頭に「FILE:」文字列がある場合とない場合のファイルへのパス。ただし、他の文字列もサポートされる場合があります。
チケットキャッシュタイプ。
のいずれか -o, -gまたは -m 与えられ、 チケット キャッシュ ファイルへの単純なパスである必要があります
または、「FILE:」または「WRFILE:」で開始します。
-L メッセージをsyslogに報告するだけでなく、標準出力または標準エラーにも報告します。 全て
メッセージはファシリティLOG_DAEMONでログに記録されます。 表示される通常のメッセージ
標準出力では、レベルLOG_NOTICEでログに記録されます。 原因とならないエラー k5スタート
終了するには、レベルLOG_WARNINGでログに記録されます。 致命的なエラーはレベルでログに記録されます
LOG_ERR。
これは、問題をデバッグするときに役立ちます。 -b.
-l 時間 文字列
チケットの有効期間を設定します。 時間 文字列 Kerberosによって認識される形式である必要があります
「10h」(10時間)や「XNUMXm」(XNUMX分)などの時間を指定するためのライブラリ。
既知の単位は「s」、「m」、「h」、および「d」です。 詳細については、を参照してください。 キニットとします。
-m モード
チケットキャッシュを作成したら、ファイルのアクセス許可を次のように変更します モード、これは
640進数のファイルモード(たとえば、444またはXNUMX)。
設定する モード それは許可されません k5スタート チケットキャッシュの読み取りまたは書き込みを行うには
原因となる k5スタート を使用するときに失敗して終了する -K オプションまたはコマンドの実行。
-n 無視され、現在は廃止されているオプションとの互換性のために存在します k4スタート.
-o 所有者
チケットキャッシュを作成したら、所有権を次のように変更します 所有者、どちらでもかまいません
ユーザーの名前または数値のユーザーID。 もしも 所有者 ユーザーの名前であり、 -g ました
また、指定されていない場合は、チケットキャッシュのグループ所有権もデフォルトに変更します
そのユーザーのグループ。
-P ローカル構成でプロキシ可能になるように指示されている場合でも、プロキシ可能なチケットを取得しないでください
デフォルトではチケット。 このフラグがないと、 k5スタート ライブラリのデフォルトが何であれ実行します。
-p ピッド file
実行中のプロセスID(PID)を保存します k5スタート に処理する ピッド file. ピッド file is
存在しない場合は作成され、存在する場合は上書きされます。 このオプションはほとんどです
と組み合わせて便利 -b ランニングの管理を可能にする k5スタート デーモン。
と一緒に使用する場合は注意してください -b PIDファイルは後に書き出されます k5スタート 背景があります
作業ディレクトリを次のように変更します /、したがって、PIDファイルの相対パスは次のようになります。
に関連して / (おそらくあなたが望むものではありません)。
-q 静かな。 Kerberosが何であるかを示す最初のバナーメッセージの印刷を抑制します
プリンシパルチケットが取得されており、パスワードプロンプトが抑制されている場合
-s オプションが与えられます。
-r サービス realm
サービスプリンシパルのレルム。 これはデフォルトでデフォルトのローカルレルムになります。
-S サービス 名
対象となるプリンシパルを指定します k5スタート サービスチケットを取得しています。 デフォルト
値は「krbtgt」で、チケット付与チケットを取得します。 このオプション(および -I)
単一のサービスにのみアクセスする必要がある場合に使用できます。 クライアントとは異なり、注意してください
プリンシパル、デフォルト以外のサービスプリンシパルは両方で指定する必要があります -S & -I; XNUMX
の引数の一部としてインスタンス部分を提供することはできません -S.
-s 標準入力からパスワードを読み取ります。 これにより、通常のパスワードプロンプトがバイパスされます。
これは、エコーが抑制されず、入力が制御から強制されないことを意味します
ターミナル。 このオプションのほとんどの使用法はセキュリティリスクです。 あなたは通常使用したい
キータブと -f 代わりにオプション。
-t チケットを取得した後、外部プログラムを実行します。 これのデフォルトの使用法は実行することです
アクログ トークンを取得します。 環境変数KINIT_PROGが設定されている場合、それは
コンパイル済み-デフォルト。
If k5スタート AFSで構築されています setpag() サポートとコマンドが与えられました
コマンドライン、 k5スタート AFSトークンを取得する前に新しいPAGを作成します。 さもないと、
現在のPAGでトークンを取得します。
-U コマンドラインで認証プリンシパルを指定する必要はなく、次のように読みます。
で指定されたキータブから -f。 プリンシパルは最初から取得されます
キータブのエントリ。 -f このオプションを使用する場合は指定する必要があります。
日時 -U 与えられる、 k5スタート コマンドでプリンシパル名が指定されることを期待しません
行、およびオプションの後の引数は、実行するコマンドとして使用されます。
-u クライアント 校長
これは、資格情報を取得するプリンシパルを指定します。 プリンシパル全体が
ここで指定するか、または最初の部分だけをこれで指定することもできます
フラグとで指定されたインスタンス -i.
通常、単にこのフラグを与えるのではなく、このフラグを使用する理由はないことに注意してください。
最初の通常の引数としてのコマンドラインのプリンシパル。
-v 冗長になります。 これにより、何が行われているのかについての追加情報が少し印刷されます
試みられた結果は何ですか。
-x エラーが発生したらすぐに終了します。 通常、コマンドを実行するとき、またはコマンドを実行するとき
-K オプション、 k5スタート チケットキャッシュの更新に失敗しても実行を継続し、
次のチェック間隔で再試行してください。 このオプションを使用すると、 k5スタート 代わりに終了します。
リターン VALUES
プログラムは、チケットの取得に成功した場合、またはハッピーチケットを持っている場合、ステータス0で終了します。
(参照してください -H) もし k5スタート aklogまたはその他のプログラムを実行します k5スタート の終了ステータスを返します
そのプログラム。
実施例
/etc/krb5.keytab プリンシパルのチケット付与チケットを取得するためのキータブ
host / example.com、チケットキャッシュを入れます /tmp/service.tkt。 寿命は10時間です
プログラムは10分ごとにウェイクアップして、チケットの有効期限が近づいているかどうかを確認します。
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host / example.com
同じことを行いますが、デフォルトのチケットキャッシュを使用して、コマンドを実行します
/ usr / local / bin / auth-backup. k5スタート コマンドが終了するまで実行を継続します。 もしも
最初の認証は失敗し、試行を続け、それまでコマンドを開始しないでください
成功します。 これは、システムの起動時に、有効である必要があるコマンドに使用できます。
開始前のチケット、および持っていることを許容します k5スタート ネットワークが
完全にセットアップしました。
k5start -f /etc/krb5.keytab -K 10 -l 10h host / example.com \
/ usr / local / bin / auth-backup
によって作成された一時キャッシュファイルの権限を表示します k5スタート:
k5start -f /etc/krb5.keytab host / example.com \
--sh -c'ls -l $ KRB5CCNAME'
保持するコマンドの前の「-」に注意してください k5スタート 「-c」をそれ自体として解析することから
オプションを選択します。
同じことを行いますが、キータブからプリンシパルを決定します。
k5start -f /etc/krb5.keytab -U --sh -c'ls -l $ KRB5CCNAME'
コマンドの前にプリンシパルが指定されていないことに注意してください。
開始 k5スタート Debianを使用するデーモンとして 起動停止デーモン 管理プログラム。 これは
Debianのinitスクリプトに入れることができる種類の行:
start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start-- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host / example.com
これは /var/run/k5start.pid PIDファイルとして、host/example.comチケットをから取得します
システムキータブファイル。 k5スタート その後、次のように停止されます。
start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
このコードをApacheのinitスクリプトに追加して、たとえば、 k5スタート
Apacheと一緒に処理して、Kerberosクレデンシャルを管理します。
ENVIRONMENT
環境変数AKLOGが設定されている場合、その値が実行するプログラムとして使用されます
-t に準拠したデフォルトではなく k5スタート。 AKLOGが設定されておらず、KINIT_PROGの場合
が設定されている場合は、代わりにその値が使用されます。 KINIT_PROGは、下位互換性を尊重しています
ただし、名前がわかりにくいため、使用はお勧めしません。
チケットファイルがない場合( -k)またはコマンドがコマンドラインで指定されている場合、 k5スタート 使用する
チケット付与の場所を決定するための環境変数KRB5CCNAME
チケット。 コマンドが指定されているか、 -k オプションを使用すると、KRB5CCNAMEが設定されます
を実行する前にチケットファイルを指す アクログ プログラムまたはで与えられたコマンド
コマンドライン。
onworks.netサービスを使用してオンラインでk5startを使用する
