Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 k5start 명령입니다.
프로그램:
이름
k5start - Kerberos 티켓을 얻고 선택적으로 활성 상태로 유지
개요
k5start [-abFhLnPqstvx] [-c 아이 PID 파일] [-f 키탭]
[-g 그룹] [-H 분] [-I 서비스 예]
[-i 클라이언트 예] [-K 분] [-k 표 캐시]
[-l 시간 현] [-m 모드] [-o 소유자]
[-p PID 파일] [-r 서비스 왕국] [-S 서비스 name]
[-u 클라이언트 본관] [본관 [명령 ...]]
k5start -U -f 키탭 [-abFhLnPqstvx] [-c 아이 PID 파일]
[-g 그룹] [-H 분] [-I 서비스 예]
[-K 분] [-k 표 캐시] [-l 시간 현]
[-m 모드] [-o 소유자] [-p PID 파일]
[-r 서비스 왕국] [-S 서비스 name] [명령 ...]
기술
k5start 보안 주체에 대한 초기 Kerberos 티켓 부여 티켓을 가져와 캐시합니다.
k5start 대안으로 사용할 수 있습니다 키닛하지만 주로 다음 사용자가 사용하도록 만들어졌습니다.
웹 서버와 같이 Kerberos 자격 증명을 얻기 위해 키탭을 사용하려는 프로그램
LDAP 서버와 같은 다른 서비스에 인증해야 합니다.
일반적으로 티켓을 제공할 주체를 첫 번째로 지정해야 합니다.
논의. 본관 단지 주체 이름일 수도 있습니다(선택적 인스턴스 포함).
또는 전체 주체 및 영역 문자열입니다. 그만큼 -u 과 -i 옵션을 대안으로 사용할 수 있습니다.
주체를 지정하는 메커니즘이지만 일반적으로 편리하지는 않습니다. 아니오인 경우
교장은 첫 번째 인수 또는 인수로 제공됩니다. -u 옵션,
클라이언트 주체의 기본값은 실행 중인 사용자의 Unix 사용자 이름입니다. k5start 기본적으로
지역 영역.
선택적으로 다음 명령줄에 명령을 내릴 수도 있습니다. k5start. 그렇다면 그 명령은
Kerberos 인증 후 실행(및 실행 aklog 원하는 경우) 적절한
올바른 티켓 캐시를 가리키도록 환경 변수가 설정되었습니다. k5start 그때
계속 실행하고 주기적으로 깨어나서 자격 증명을 새로 고치기 조금 전에
명령이 완료될 때까지 만료됩니다. (새로 고침을 위해 깨어나는 빈도
자격 증명은 여전히 -K 옵션.) 이 모드에서 실행하려면
주체는 일반 명령줄 인수로 지정하거나 다음을 통해 지정해야 합니다. -U
옵션; 그만큼 -u 과 -i 옵션을 사용할 수 없습니다. 또한 키탭은 다음과 같이 지정되어야 합니다. -f
특정 명령을 실행합니다.
명령은 셸을 사용하여 실행되지 않으므로 다음에서 셸 메타 문자를 사용하려는 경우
특별한 의미를 지닌 명령은 "sh -c 명령" 실행 명령으로
견적을 원하시면, 오늘 Kevin Lee Company 에 연락주세요. 명령.
명령에 명령줄 옵션(예: "-c")이 포함된 경우 명령줄에 --를 입력하세요.
명령이 시작되기 전에 k5start 해당 옵션을 자체적으로 구문 분석하지 않습니다.
명령을 실행할 때, k5start HUP, TERM, INT, QUIT 신호를 자식에게 전파합니다.
처리하고 해당 신호를 수신해도 종료하지 않습니다. (전파 신호
자식 프로세스가 종료되도록 하고, k5start 그러면 종료됩니다.) 이렇게 하면 k5start 반응하다
다음과 같은 명령 감독 시스템에서 실행될 때 올바르게 실행됩니다. 루밋(8) 또는 svscan(8)
신호를 사용하여 감독되는 명령을 제어하고 대화형 명령을 실행합니다.
Ctrl-C를 받습니다.
실행 중인 경우 k5start ALRM 신호를 수신하면 즉시 티켓 캐시를 새로 고칩니다.
만료될 위험이 있는지 여부에 관계없이.
If k5start 명령으로 실행되거나 -K 플래그와 -x 플래그가 제공되지 않으면 유지됩니다.
초기 인증에 실패하더라도 시도합니다. 초기 인증을 재시도합니다.
즉시 그리고 분당 한 번씩 지수 백오프를 사용하여 다음이 될 때까지 계속 시도합니다.
인증에 성공하거나 종료됩니다. 명령이 있는 경우 다음까지 시작되지 않습니다.
인증에 성공합니다.
옵션
-a 다음 중 하나로 실행할 때 -K 플래그 또는 명령을 사용하여 매번 티켓을 갱신하세요. k5start
깨어납니다. 이 옵션이 없으면 k5start 가능한 한 자주 티켓을 갱신하려고 시도합니다.
티켓이 만료되는 것을 방지하는 데 필요합니다. 이 옵션을 사용하면 k5start 갱신합니다
지정된 간격에 따른 티켓 -K 깃발.
이 동작은 아마도 다음의 기본 동작이었을 것입니다. -K. 기본값은
기존 사용자의 변경을 피하기 위해 변경되지 않았지만 새로운 애플리케이션의 경우 다음을 고려하십시오.
항상 사용 -a 과 -K.
이 옵션은 다른 프로그램이 티켓 캐시를 조작하는 경우 중요합니다.
k5start 사용하고 있습니다. 예를 들어, 다른 프로그램이 티켓을 자동으로 갱신하는 경우
보다 자주 k5start다음, k5start 가까운 티켓을 절대 볼 수 없습니다
만료되므로 기본적으로 티켓 갱신을 시도하지 않습니다. 이것은 의미합니다
그 k5start 또한 AFS 토큰을 갱신하지 않습니다. -t 옵션이 주어졌기 때문에
k5start 티켓을 성공적으로 갱신한 후에만 AFS 토큰을 갱신합니다. 이 옵션의 경우
그러한 상황에서 지정됩니다. k5start 확인할 때마다 티켓을 갱신합니다
티켓이므로 AFS 토큰이 갱신됩니다.
이 인수는 다음 중 하나와 조합해서만 유효합니다. -K 또는 실행할 명령.
-b 시작한 후 제어 터미널에서 분리하고 백그라운드에서 실행합니다. 이것
옵션은 -K 또는 그 명령 k5start 될거야
실행 중이며 키탭이 다음과 같이 지정된 경우에만 사용할 수 있습니다. -f. k5start 안
한 번 인증을 시도한 후까지 배경 자체를 유지하므로 모든 초기
오류가 보고되지만 출력은 다음으로 리디렉션됩니다. / dev / null 아니요
후속 오류가 보고됩니다.
이 플래그가 주어지면, k5start 또한 디렉토리를 "/"로 변경합니다. 모든 경로(예:
실행할 명령이나 PID 파일에 대해서는) 따라서 절대값이 아닌 절대값으로 제공되어야 합니다.
상대, 경로.
실행할 명령과 함께 사용하면 해당 명령은 다음 위치에서도 실행됩니다.
백그라운드이며 입력 및 출력도 다음으로 리디렉션됩니다. / dev / null. 그것은
오류를 보려면 다른 메커니즘을 통해 오류를 보고해야 합니다.
Mac OS X에서 기본 티켓 캐시 유형은 세션별이며 -b
플래그가 분리됩니다 k5start 기존 티켓 캐시에서. 사용할 때 -b in
~과 연계되어 -K Mac OS X에서는 아마도 -k 지정할 플래그
티켓 캐시 파일을 만들고 파일 캐시를 강제로 사용합니다.
이 옵션을 사용할 때는 다음도 사용하는 것을 고려하세요. -L 신고하기 k5start syslog에 오류가 발생했습니다.
-c 아이 PID 파일
하위 프로세스의 프로세스 ID(PID)를 다음 위치에 저장합니다. 아이 PID 파일. 아이 PID 파일 is
존재하지 않으면 생성되고 존재하면 덮어씁니다. 이 옵션은
명령줄에 명령이 주어졌을 때 허용되며 함께 사용할 때 가장 유용합니다.
과 -b 실행 중인 자식 프로세스의 관리를 허용합니다.
와 함께 사용하는 경우 -b, PID 파일은 다음에 기록됩니다. k5start is
백그라운드에서 작업 디렉터리를 다음으로 변경합니다. /, PID의 상대 경로
파일은 다음과 관련이 있습니다. / (아마도 당신이 원하는 것이 아닐 것입니다).
-F 로컬 구성에 전달 가능 티켓이 표시되더라도 전달 가능 티켓을 가져오지 않음
기본적으로 티켓. 이 플래그가 없으면 k5start 라이브러리 기본값이 무엇이든 수행합니다.
-f 키탭
키탭을 사용하여 인증 키탭 비밀번호를 묻는 것보다 에 대한 키
클라이언트 보안 주체는 다음에 있어야 합니다. 키탭.
-g 그룹
티켓 캐시를 만든 후 그룹 소유권을 다음으로 변경하세요. 그룹, 아마도
그룹 이름 또는 숫자 그룹 ID입니다. 티켓 캐시는 0600으로 생성됩니다.
기본적으로 권한이 있으므로 다음과 함께 사용하지 않으면 유용한 효과가 없습니다. -m.
-H 분
적어도 남은 수명이 있는 티켓으로 정의된 해피 티켓을 확인하세요.
분 분. 해당 티켓이 발견되면 인증을 시도하지 마세요. 대신에,
명령을 실행하거나(지정된 경우) 상태 0으로 즉시 종료합니다(아무것도 없는 경우).
였다). 그렇지 않은 경우 새 티켓을 얻은 다음 해당 명령을 실행해 보십시오.
If -H 와 함께 사용됩니다 -t, 외부 프로그램은 티켓이
충분한 잔여 수명을 찾았습니다.
If -H 와 함께 사용됩니다 -K, k5start 즉시 종료되지 않습니다. 대신에 지정된
남은 수명은 기본값인 XNUMX분을 대체합니다. 즉, k5start
깨어날 때마다 티켓의 남은 수명이 보장됩니다.
분 논쟁. 이것은 대안입니다 -a 티켓이 항상
특정 최소 수명이 남아 있습니다.
-h 사용 메시지를 표시하고 종료합니다.
-I 서비스 예
서비스 주체의 인스턴스 부분입니다. 기본값은 다음의 기본 영역입니다.
기계. 클라이언트 주체와 달리 기본이 아닌 서비스 주체는
다음과 같이 지정해야 합니다. -I 과 -S; 인스턴스 부분을 다음의 일부로 제공할 수 없습니다.
주장 -S.
-i 클라이언트 예
주체의 인스턴스 부분을 지정합니다. 이 옵션은 의미가 없습니다
와 함께 사용하는 경우를 제외하고 -u. 인스턴스는 다음의 일부로 지정될 수 있습니다.
사용자 이름 슬래시를 추가한 다음 인스턴스를 추가하는 일반적인 규칙을 통해
이 옵션을 사용할 필요는 없습니다.
-K 분
티켓을 무기한 활성 상태로 유지하려면 데몬 모드에서 실행하십시오. 이후 프로그램이 다시 깨어납니다.
분 분, 티켓이 XNUMX분 이전 또는 미만으로 만료되는지 확인합니다.
다음 예정된 확인 후 필요한 경우 새 티켓을 받습니다. (즉, 그것은
티켓의 남은 수명이 항상 최소 XNUMX회가 되도록 보장합니다.
분.) -H 플래그도 주어지면 이에 의해 지정된 수명이 두 플래그를 대체합니다.
분 기본값.
이 옵션이 제공되지 않았지만 명령줄에서 명령이 제공된 경우 기본값은
간격은 60분(1시간)입니다.
티켓 캐시를 새로 고치는 중 오류가 발생하면 깨우기 간격은 다음과 같습니다.
XNUMX분으로 단축되었으며 해당 간격으로 작업이 다시 시도되었습니다.
오류가 지속됩니다.
-k 표 캐시
표 캐시 환경의 내용이 아닌 티켓 캐시로
변수 KRB5CCNAME 또는 라이브러리 기본값. 표 캐시 임의의 티켓 캐시일 수 있습니다.
기본 Kerberos 라이브러리에서 인식되는 식별자입니다. 이는 일반적으로 다음을 지원합니다.
선행 "FILE:" 문자열이 있든 없든 파일 경로를 지정할 수 있지만 다른 경로도 지원할 수 있습니다.
티켓 캐시 유형.
만약에 -o, -g및 -m 주어진다, 표 캐시 파일의 단순 경로여야 합니다.
또는 "FILE:" 또는 "WRFILE:"으로 시작합니다.
-L 메시지를 syslog와 표준 출력 또는 표준 오류에 보고합니다. 모두
메시지는 LOG_DAEMON 기능으로 기록됩니다. 표시되는 일반 메시지
표준 출력에서는 LOG_NOTICE 수준으로 기록됩니다. 발생하지 않는 오류 k5start
종료하려면 LOG_WARNING 수준으로 기록됩니다. 치명적인 오류는 level로 기록됩니다.
로그 오류.
이는 다음과 함께 문제를 디버깅할 때 유용합니다. -b.
-l 시간 현
티켓 수명을 설정하세요. 시간 현 Kerberos에서 인식하는 형식이어야 합니다.
"10h"(10시간) 또는 "XNUMXm"(XNUMX분)과 같은 시간을 지정하는 라이브러리입니다.
알려진 단위는 "s", "m", "h" 및 "d"입니다. 자세한 내용은 다음을 참조하세요. 키닛(1).
-m 모드
티켓 캐시를 만든 후 파일 권한을 다음으로 변경하세요. 모드, 이는
파일 모드는 640진수(예: 444 또는 XNUMX)입니다.
설정 모드 허용하지 않는 k5start 티켓 캐시를 읽거나 쓰려면
원인 k5start 실패하고 종료하려면 -K 옵션을 사용하거나 명령을 실행합니다.
-n 무시됨, 현재는 사용되지 않는 옵션과의 옵션 호환성을 위해 제공됩니다. k4start.
-o 소유자
티켓 캐시를 만든 후 소유권을 다음으로 변경하세요. 소유자, 다음 중 하나일 수 있습니다.
사용자 이름 또는 숫자 사용자 ID. 만약에 소유자 사용자의 이름이고 -g 였다
또한 제공되지 않은 경우 티켓 캐시의 그룹 소유권도 기본값으로 변경합니다.
해당 사용자에 대한 그룹입니다.
-P 로컬 구성에 프록시 가능 티켓이 있어도 프록시 가능 티켓을 받지 마세요.
기본적으로 티켓. 이 플래그가 없으면 k5start 라이브러리 기본값이 무엇이든 수행합니다.
-p PID 파일
실행 중인 프로세스 ID(PID) 저장 k5start 로 처리 PID 파일. PID 파일 is
존재하지 않으면 생성되고 존재하면 덮어씁니다. 이 옵션은 대부분
와 함께 유용 -b 실행을 관리할 수 있도록 k5start 악마.
와 함께 사용하는 경우 -b PID 파일은 다음에 기록됩니다. k5start 배경이 있습니다
작업 디렉토리를 다음으로 변경합니다. /이므로 PID 파일의 상대 경로는 다음과 같습니다.
에 대한 / (아마도 당신이 원하는 것이 아닐 것입니다).
-q 조용한. Kerberos가 무엇인지 알려주는 초기 배너 메시지의 인쇄를 억제합니다.
주요 티켓을 획득하고 있을 때 비밀번호 프롬프트를 표시하지 않습니다.
전에, -s 옵션이 주어집니다.
-r 서비스 왕국
서비스 주체에 대한 영역입니다. 기본값은 기본 로컬 영역입니다.
-S 서비스 name
주체를 지정합니다. k5start 서비스 티켓을 받고 있어요. 기본값
값은 티켓 부여 티켓을 얻기 위한 "krbtgt"입니다. 이 옵션(함께 -I)
단일 서비스에만 액세스해야 하는 경우 사용할 수 있습니다. 클라이언트와 달리
주체, 기본이 아닌 서비스 주체를 두 가지 모두로 지정해야 합니다. -S 과 -I; 하나
인수의 일부로 인스턴스 부분을 제공할 수 없습니다. -S.
-s 표준 입력에서 비밀번호를 읽습니다. 이는 일반 비밀번호 프롬프트를 우회합니다.
이는 에코가 억제되지 않고 입력이 제어에서 강제로 발생하지 않음을 의미합니다.
단말기. 이 옵션을 사용하는 대부분의 경우 보안 위험이 있습니다. 당신은 일반적으로
키탭과 -f 대신 옵션.
-t 티켓을 받은 후 외부 프로그램을 실행해 보세요. 이것의 기본 사용은 실행하는 것입니다
aklog 토큰을 얻으려면. 환경 변수 KINIT_PROG가 설정되면 환경 변수가 재정의됩니다.
컴파일된 기본값.
If k5start AFS로 구축되었습니다. 세트팩() 지원하고 명령이 내려졌습니다.
명령 줄, k5start AFS 토큰을 얻기 전에 새로운 PAG를 생성합니다. 그렇지 않으면,
현재 PAG에서 토큰을 얻습니다.
-U 명령줄에서 인증 주체를 요구하는 대신 다음 내용을 읽어보세요.
로 지정된 keytab에서 -f. 교장은 첫 번째부터 가져옵니다.
키탭에 항목을 입력합니다. -f 이 옵션을 사용하는 경우 지정해야 합니다.
인셀덤 공식 판매점인 -U 주어진다, k5start 명령에 주체 이름이 제공될 것으로 예상하지 않습니다.
행, 옵션 뒤의 모든 인수는 실행할 명령으로 간주됩니다.
-u 클라이언트 본관
자격 증명을 얻을 주체를 지정합니다. 전체 교장은 다음과 같을 수 있습니다.
여기에 지정하거나 이 옵션으로 첫 번째 부분만 지정할 수도 있습니다.
플래그와 다음으로 지정된 인스턴스 -i.
일반적으로 단순히 다음을 제공하는 것 외에는 이 플래그를 사용할 이유가 없습니다.
명령줄의 첫 번째 일반 인수로 Principal을 사용합니다.
-v 장황하게 말하십시오. 그러면 현재 진행 중인 작업에 대한 약간의 추가 정보가 인쇄됩니다.
시도했고 결과는 어떤지.
-x 오류가 발생하면 즉시 종료하십시오. 일반적으로 명령을 실행할 때나
-K 선택권, k5start 티켓 캐시를 새로 고치지 못하더라도 계속 실행됩니다.
다음 확인 간격에 다시 시도하십시오. 이 옵션을 사용하면 k5start 대신 종료됩니다.
RETURN Values
성공적으로 티켓을 얻거나 행복한 티켓을 받은 경우 프로그램은 상태 0으로 종료됩니다.
(참조 -H). 만약 k5start aklog 또는 다른 프로그램 실행 k5start 종료 상태를 반환합니다.
그 프로그램.
예
사용 /etc/krb5.keytab 교장에 대한 티켓 부여 티켓을 얻기 위한 keytab
Host/example.com, 티켓 캐시 넣기 /tmp/service.tkt. 수명은 10시간
프로그램은 10분마다 깨어나 티켓이 곧 만료되는지 확인합니다.
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
호스트/example.com
동일한 작업을 수행하되 기본 티켓 캐시를 사용하여 명령을 실행합니다.
/usr/local/bin/auth-백업. k5start 명령이 완료될 때까지 계속 실행됩니다. 만약에
초기 인증이 실패하면 계속 시도하고 인증이 완료될 때까지 명령을 시작하지 마세요.
성공합니다. 이는 유효한 명령이 있어야 하는 시스템 시작 중에 사용될 수 있습니다.
시작하기 전에 티켓을 받고, k5start 네트워크가 시작되기 전에
완전히 설정.
k5start -f /etc/krb5.keytab -K 10 -l 10h 호스트/example.com \
/usr/local/bin/auth-백업
에 의해 생성된 임시 캐시 파일의 권한을 표시합니다. k5start:
k5start -f /etc/krb5.keytab 호스트/example.com \
-- sh -c 'ls -l $KRB5CCNAME'
유지하라는 명령 앞에 "--"를 확인하십시오. k5start "-c"를 자체적으로 구문 분석하여
옵션을 선택합니다.
동일한 작업을 수행하되 키 탭에서 주체를 결정합니다.
k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'
명령 앞에는 주체가 제공되지 않습니다.
시작 k5start 데비안을 사용하는 데몬으로 시작-중지-데몬 관리 프로그램. 이것은
데비안 초기화 스크립트에 넣을 수 있는 줄은 다음과 같습니다:
시작-중지-데몬 --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab 호스트/example.com
이것은 사용 /var/run/k5start.pid PID 파일로 사용하고 다음에서 Host/example.com 티켓을 얻습니다.
시스템 키탭 파일. k5start 그러면 다음과 같이 중지됩니다.
시작-정지-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
예를 들어, 이 코드를 Apache용 초기화 스크립트에 추가하여 다음을 시작할 수 있습니다. k5start
Kerberos 자격 증명을 관리하기 위해 Apache와 함께 프로세스를 수행합니다.
환경
환경 변수 AKLOG가 설정되면 해당 값은 실행할 프로그램으로 사용됩니다.
과 -t 기본값을 준수하는 대신 k5start. AKLOG가 설정되지 않았고 KINIT_PROG인 경우
설정되면 해당 값이 대신 사용됩니다. KINIT_PROG는 이전 버전과의 호환성을 인정 받았습니다.
하지만 이름이 혼동되기 때문에 사용하지 않는 것이 좋습니다.
티켓 파일이 없는 경우( -k) 또는 명령이 명령줄에 지정되었습니다. k5start 사용하게 될
티켓 부여 위치를 결정하기 위한 환경 변수 KRB5CCNAME
티켓. 명령이 지정되거나 -k 옵션을 사용하면 KRB5CCNAME이 설정됩니다.
실행하기 전에 티켓 파일을 가리키려면 aklog 프로그램이나 명령에 주어진
명령 행.
onworks.net 서비스를 사용하여 온라인에서 k5start 사용
