klog.afs - クラウド上のオンライン

プログラム：

NAME

klog、klog.krb - 認証サーバーで認証します。

SYNOPSIS

ログ [-x] [-主要な <user 名>]
[-パスワードユーザーの password>] [-細胞 <セル 名>]
[-サーバー <明白な リスト of サーバ>+]
[-パイプ] [-サイレント]
[-一生 <チケット 一生 in hh[:mm[:ss]]>]
[-setpag] [-tmp] [-助けて]

ログ [-x] [-pr <user 名>] [-パ <ユーザーの password>]
[-c <セル 名>] [-s <明白な リスト of サーバ>+]
[-円周率] [-はい] [-l <チケット 一生 in hh[:mm[:ss]]>]
[-se] [-t] [-h]

klog.krb [-x] [-主要な <user 名>]
[-パスワードユーザーの password>] [-細胞 <セル 名>]
[-サーバー <明白な リスト of サーバ>+]
[-パイプ] [-サイレント]
[-一生 <チケット 一生 in hh[:mm[:ss]]>]
[-setpag] [-tmp] [-助けて]

DESCRIPTION

当学校区の ログ 　 klog.krb コマンドは廃止されたため、使用しないでください。 代わりに、使用してください キニット
続い アクログ or klog.krb5。 見る アクログ（1）と klog.krb5（1）詳細については。

当学校区の ログ コマンドは、廃止された認証サーバーから AFS トークンを取得するか、
同じプロトコルを話す Kerberos KDC など 偽者 またはHeimdal Kerberos KDC。 の
ローカル マシンのキャッシュ マネージャーは、カーネルの資格情報構造にトークンを保存します。
メモリーを管理し、AFS ファイル・スペースへの認証されたアクセスを取得するときにそれを使用します。 このコマンドは
ローカル ファイル システム内の発行者の ID (UNIX UID) には影響しません。

当学校区の klog.krb コマンドは、廃止された認証サーバーから AFS トークンを取得するか、
Kerberos v4 KDC は、発行者の Kerberos v4 チケットを、
KRBTKFILE 環境変数。 Kerberos v4 チケットは、Kerberos v4 対応で使用できます。
プログラム。 の パグシュ.krb コマンドは KRBTKFILE 環境変数を次のように定義します。 /tmp/tktpX
コラボレー X ユーザーの PAG の番号です。

デフォルトでは、コマンド・インタープリターは、AFS ユーザー名のトークンと一致するトークンを取得します。
ローカル ファイル システム内の発行者の ID。 代替ユーザーを指定するには、
-主要な 口論。 によって指名されたユーザー -主要な 引数を指定する必要はありません
ローカルパスワードファイル（ /etc/passwd ファイルまたは同等のもの)。

デフォルトでは、コマンドインタープリタは、
コマンド シェルまたはコマンドによって設定された AFSCELL 環境変数 /etc/openafs/ThisCell file
ローカルマシン上で。 代替セルを指定するには、 -細胞 引数。 は
コマンドインタープリターは、セルのサーバーからランダムに選択された認証サーバーに接続します。
現地でのエントリー /etc/openafs/server/CellServDB ファイル、 -サーバー 引数は
XNUMX つ以上のデータベース サーバー マシンの名前を付けるために使用されます。

ユーザーは複数のセルに同時にトークンを持つことができますが、各セルにトークンは XNUMX つだけです。
クライアントマシンへの接続。 ユーザーの資格情報構造にすでに
要求されたセルのトークンが存在する場合、このコマンドの結果として得られるトークンがそれを置き換えます。

このコマンドの結果として得られるトークンの有効期間は、次の中で最も短いものです。

· 発行者が指定した有効期間 -一生 口論。 発行者がそうする場合
この引数を含めない場合、値はデフォルトの 720 時間 (30 日) になります。

· 認証データベース内の afs エントリに対して記録されたチケットの最大有効期間。
デフォルトは 100 時間です。

· 指定されたユーザーの認証データベースに記録されるチケットの最大有効期間
エントリ。 認証サーバーによって作成されたユーザーエントリのデフォルトは 25 時間です
AFS 3.1 以降を実行している。

· krbtgt に記録されるチケットの最大有効期間。セル名 のエントリ
認証データベース。 このエントリは、使用されるチケット認可チケットに対応します
トークンの生成時に内部的に行われます。 デフォルトは 720 時間 (30 日) です。

kas Exam コマンドからの出力には、認証データベース エントリの
チケットの最大有効期間は「最大チケット有効期間」として指定します。 管理者は任意のエントリを表示できます。
ユーザーは独自のエントリを表示できます。

デフォルトが何も変更されていない場合、ユーザーのトークンの有効期間は 25 時間です。
AFS 3.1 以降を実行している認証サーバーによって作成されたアカウント。 最大
どのトークンの有効期間も 720 時間 (30 日) で、最小値は 5 分です。

認証サーバーは、最小値と最大値の間で定義された一連の値を使用します。
次のルールに従って値を設定します。 要求されたライフタイムは 5 分から 10 分の間です
時間 40 分は 5 分間隔で切り上げられます。 たとえば、
発行者は 12 分の有効期間を要求しますが、トークンの実際の有効期間は 15 分です。

トークンの有効期間が 10 時間 40 分を超える場合は、次の表を参照してください。
可能なすべての時間を単位で表します。 時:分:秒。 の番号
括弧内は、対応する日と時間のおおよその時間です (示されているように)
「d」と「h」の文字で表されます）。 たとえば、「282:22:17」は 282 時間 22 分 17 を意味します。
秒、これは約 11 日と 18 時間 (「11d 18h」) に相当します。 の
認証サーバーは、要求された有効期間を次に可能な値に切り上げます。
一生。

11:24:15 (0日 11時間) 46:26:01 (1日 22時間) 189:03:38 (7日 21時間)
12:11:34 (0日 12時間) 49:38:40 (2日 01時間) 202:08:00 (8日 10時間)
13:02:09 (0日 13時間) 53:04:37 (2日 05時間) 216:06:35 (9日 00時間)
13:56:14 (0日 13時間) 56:44:49 (2日 08時間) 231:03:09 (9日 15時間)
14:54:03 (0日 14時間) 60:40:15 (2日 12時間) 247:01:43 (10日 07時間)
15:55:52 (0日 15時間) 64:51:57 (2日 16時間) 264:06:34 (11日 00時間)
17:01:58 (0日 17時間) 69:21:04 (2日 21時間) 282:22:17 (11日 18時間)
18:12:38 (0日 18時間) 74:08:46 (3日 02時間) 301:53:45 (12日 13時間)
19:28:11 (0日 19時間) 79:16:23 (3日 07時間) 322:46:13 (13日 10時間)
20:48:57 (0日 20時間) 84:45:16 (3日 12時間) 345:05:18 (14日 09時間)
22:15:19 (0日 22時間) 90:36:53 (3日 18時間) 368:56:58 (15日 08時間)
23:47:38 (0日 23時間) 96:52:49 (4日 00時間) 394:27:37 (16日 10時間)
25:26:21 (1日 01時間) 103:34:45 (4日 07時間) 421:44:07 (17日 13時間)
27:11:54 (1日 03時間) 110:44:28 (4日 14時間) 450:53:46 (18日 18時間)
29:04:44 (1日 05時間) 118:23:54 (4日 22時間) 482:04:24 (20日 02時間)
31:05:22 (1日 07時間) 126:35:05 (5日 06時間) 515:24:22 (21日 11時間)
33:14:21 (1日 09時間) 135:20:15 (5日 15時間) 551:02:38 (22日 23時間)
35:32:15 (1日 11時間) 144:41:44 (6日 00時間) 589:08:45 (24日 13時間)
37:59:41 (1日 13時間) 154:42:01 (6日 10時間) 629:52:56 (26日 05時間)
40:37:19 (1日 16時間) 165:23:50 (6日 21時間) 673:26:07 (28日 01時間)
43:25:50 (1日19時間) 176:50:01 (7日08時間)

ご注意

ログ 廃止された認証サーバーに固有のプロトコルを話し、提供されます
主に、Kerberos バージョン 5 KDC にまだ移行していないセルをサポートするためです。 それは
関連する Kerberos が認証サーバーを実行していないセルでも引き続き役立ちます。
レルムは、認証サーバー クエリ (Heimdal KDC や 偽者) を使用しますが、
klog.krb5 or キニット さらに アクログ このコマンドの代わりに使用することをお勧めします。

デフォルトでは、このコマンドは新しいプロセス認証グループ (PAG) を作成しません。 を見てください
の説明 パグシュ PAG について学ぶためのコマンド。 セルが AFS を使用しない場合、
変更されたログイン ユーティリティ。ユーザーは以下を含める必要があります -setpag このコマンドのオプションを使用するか、
パグシュ このコマンドの前にコマンドを追加して、トークンを資格情報構造に保存します。
ローカル UID ではなく PAG によって識別されます。

資格情報構造がローカル UID によって識別される場合、セキュリティ上の危険にさらされる可能性があります。
ローカルスーパーユーザー「root」がUNIXを使用できること su 他のアイデンティティを引き受けるコマンド
そして、その UID に関連付けられたトークンを自動的に継承します。 資格情報の識別
PAG による構造により、この露出が排除されます。

Status -パスワード 引数が使用されている場合、指定されたパスワードはハイフンで始めることはできません。
別のオプション名として解釈されるためです。 の使用 -パスワード 引数はそうではありません
いずれにせよお勧めします。

デフォルトでは、適切に構成された NFS クライアントでこのコマンドを発行できます。
NFS クライアントが NFS/AFS Translator 経由で AFS にアクセスしているマシン。
machine はサポートされているシステム タイプです。 ただし、翻訳機の管理者が
を含めることで UID チェックを有効にしました -uidcheck on への議論 fs 輸出 コマンド、
コマンドは失敗し、次のようなエラー メッセージが表示されます。

警告: リモート pioctl へ失敗しました (err=8)。 。 。
pioctl が失敗したため、AFS に対して認証できません。

UID チェックを有効にするということは、トークンが保存される資格情報構造が
トランスレータ マシンは、ローカル UID と一致する UID によって識別される必要があります。
資格情報構造にトークンを配置するプロセス。 後に ログ command
インタプリタは NFS クライアント上でトークンを取得し、それをリモート エグゼキュータに渡します。
トランスレータ マシン上のデーモン。トークンをファイルに保存するシステム コールを実行します。
翻訳マシン上の資格情報構造。 リモート エグゼキュータは通常、次のように実行されます。
ローカル スーパーユーザー「root」であるため、ほとんどの場合、そのローカル UID (通常はゼロ) は、
を発行したユーザーのローカル UID ログ NFS クライアント マシン上のコマンド。

の発行 ログ NFS クライアント マシン上でコマンドを実行すると、セキュリティ上の危険が生じます: コマンド
インタプリタはトークンをネットワーク経由でリモート実行デーモンに平文で渡します
テキストモード。

OPTIONS

-x 下位互換性のためにのみ表示されます。 以前の機能がデフォルトになりました
このコマンドの動作。

-主要な <user 名>
認証するユーザー名を指定します。 この引数を省略した場合、
認証サーバーは、ローカル システムにログインしているユーザーの認証を試みます。

-パスワード <ユーザーの password>
発行者のパスワード (または発行者によって識別される代替ユーザーのパスワード) を指定します。
-主要な 口論）。 コマンドインタープリターにプロンプ​​トを表示するには、この引数を省略します。
パスワード。この場合、コマンド シェルには表示されません。

-細胞 <セル 名>
トークンを取得するセルを指定します。 コマンドはそのセルの
認証サーバー。 特定のマシンでの XNUMX 回のログイン セッション中に、ユーザーは次のことができます。
複数のセルで同時に認証されますが、一度に保持できるトークンは XNUMX つだけです
それぞれに時間がかかります（つまり、セルごとに XNUMX つの ID でのみ認証できます）
マシン上のセッション)。 セル名は最短でも構いません。
にリストされている他のセルと区別する形式。 /etc/openafs/CellServDB
コマンドが発行されるクライアント マシン上のファイル。

この引数を省略した場合、コマンドは定義に従ってローカル セルで実行されます。

· まず、環境変数 AFSCELL の値によって。

· 第二に、 /etc/openafs/ThisCell クライアント マシン上のファイル
コマンドが発行されます。

-サーバー <明白な リスト of サーバ>+
指定されたそれぞれで実行されている認証サーバーとの接続を確立します。
データベースサーバーマシン。 コマンドインタープリタはこれらのいずれかをランダムに選択します。
コマンドを実行します。 完全修飾ホスト名を指定するのが最善ですが、
セル名の状態によっては、省略形も許容される可能性があります。
コマンド発行時のサーバー。 このオプションは、特定のテストを行う場合に役立ちます。
問題が発生した場合はサーバーにアクセスします。

この引数を省略すると、コマンドインタープリタは次のコマンドとの接続を確立します。
のローカル コピー内の指定されたセルにリストされている各マシン
/etc/openafs/CellServDB ファイルを作成し、コマンド用にそのうちの XNUMX つをランダムに選択します
実行。

-パイプ
プロンプトやエラーを含む、標準出力ストリームへのすべての出力を抑制します。
メッセージ。 の ログ コマンドインタープリターはパスワードを受け取ることを期待しています。
標準入力ストリーム。 この引数は使用しないでください。 アプリケーションごとに使用するように設計されています
人間のユーザーではなくプログラムです。

-サイレント
klog コマンドが標準で生成するトレース メッセージの一部を抑制します。
デフォルトでは出力ストリーム。 発生した重大な問題については引き続き報告します。

-一生 <チケット 一生
トークンの特定の有効期間を要求します。 時間数を入力し、オプションで
分と秒の形式 hh[:mm[:ss]]。 値は計算に使用されます。
トークンの有効期間は「説明」で説明されています。

-setpag
認証を要求する前にプロセス認証グループ (PAG) を作成します。 の
トークンは新しく作成された PAG に関連付けられます。

-tmp
Kerberos スタイルのチケット ファイルを / tmpに ローカルマシンのディレクトリ。 の
ファイルが呼ばれます tkt.AFS_UID コラボレー AFS_UID 発行者の AFS UID です。

-助けて
このコマンドのオンラインヘルプを出力します。 他のすべての有効なオプションは無視されます。

出力

次のメッセージは、連続認証失敗の制限が設定されていることを示します。
超えてしまった。 管理者が使用できるのは、 カス アンロック アカウントのロックを解除するコマンド、または
発行者は、アカウントのロックアウト時間が経過するまで待つことができます。 (時間は決まっています
-ロックタイム への議論 カス セットフィールド コマンドを実行し、からの出力に表示されます
　 カス 調べる コマンド）。

ID がロックされているため、AFS に認証できません - システム管理者に問い合わせてください

Status -tmp フラグが含まれている場合、次のメッセージは Kerberos スタイルのチケットであることを確認します。
ファイルが作成されました:

チケットファイルの書き込み先 / tmpに

例

ほとんどの場合、このコマンドは引数なしで発行されます。 適切なパスワードは、
現在ローカル システムにログインしている人。 チケットの有効期間は次のように計算されます。
「説明」に記載されています (デフォルトが変更されていない場合、ユーザーの場合は 25 時間です)
その認証データベース エントリは AFS 3.1 以降で作成されました)。

%キロログ
パスワード:

次の例では、ABC Corporation のテスト セルでユーザーを管理者として認証します。

% klog -principal admin -cell test.abc.com
パスワード:

以下では、発行者は 104 時間 30 分 (4 日 8 分) のチケット有効期間を要求します。
時間30分）。 この有効期間はチケットの最大有効期間によって許可されると仮定します。
および説明で説明されているその他の要因により、トークンの有効期間は 110:44:28 です。
次に可能な最大の値。

% klog - 寿命 104:30
パスワード:

特権 REQUIRED

なし

onworks.net サービスを使用してオンラインで klog.afs を使用する