Ini ialah arahan k5start yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
k5start - Dapatkan dan secara pilihan terus aktifkan tiket Kerberos
SINOPSIS
k5start [-abFhLnPqstvx] [-c kanak-kanak pid fail] [-f tab kekunci]
[-g kumpulan] [-H minit] [-I perkhidmatan contohnya]
[-i pelanggan contohnya] [-K minit] [-k tiket cache]
[-l masa rentetan] [-m mod] [-o pemilik]
[-p pid fail] [-r perkhidmatan alam] [-S perkhidmatan nama]
[-u pelanggan utama] [utama [arahan ...]]
k5start -U -f tab kekunci [-abFhLnPqstvx] [-c kanak-kanak pid fail]
[-g kumpulan] [-H minit] [-I perkhidmatan contohnya]
[-K minit] [-k tiket cache] [-l masa rentetan]
[-m mod] [-o pemilik] [-p pid fail]
[-r perkhidmatan alam] [-S perkhidmatan nama] [arahan ...]
DESCRIPTION
k5start memperoleh dan menyimpan tiket permulaan pemberian tiket Kerberos untuk prinsipal.
k5start boleh digunakan sebagai alternatif untuk penemuan, tetapi ia bertujuan terutamanya untuk digunakan oleh
atur cara yang ingin menggunakan tab kekunci untuk mendapatkan bukti kelayakan Kerberos, seperti pelayan web
yang perlu membuat pengesahan kepada perkhidmatan lain seperti pelayan LDAP.
Biasanya, prinsipal yang akan diberikan tiket hendaklah dinyatakan sebagai yang pertama
hujah. utama mungkin sama ada hanya nama utama (termasuk contoh pilihan)
atau rentetan prinsipal dan alam penuh. The -u and -i pilihan boleh digunakan sebagai alternatif
mekanisme untuk menentukan prinsipal, tetapi secara amnya tidak begitu mudah. Jika tidak
prinsipal diberikan sama ada sebagai hujah pertama atau hujah kepada -u pilihan,
prinsipal klien lalai kepada nama pengguna Unix bagi pengguna yang sedang berjalan k5start dalam lalai
alam tempatan.
Secara pilihan, arahan boleh diberikan pada baris arahan k5start. Jika ya, perintah itu adalah
dijalankan selepas pengesahan Kerberos (dan berjalan aklog jika dikehendaki), dengan yang sesuai
pembolehubah persekitaran ditetapkan untuk menghalakannya ke cache tiket yang betul. k5start akan kemudian
teruskan berlari, bangun secara berkala untuk menyegarkan semula kelayakan sedikit sebelum mereka melakukannya
tamat tempoh, sehingga arahan selesai. (Kekerapan ia bangun untuk menyegarkan
kelayakan masih boleh dikawal dengan -K pilihan.) Untuk menjalankan dalam mod ini, yang
prinsipal mesti sama ada dinyatakan sebagai hujah baris perintah biasa atau melalui -U
pilihan; yang -u and -i pilihan mungkin tidak digunakan. Juga, tab kekunci mesti ditentukan dengan -f
untuk menjalankan arahan tertentu.
Perintah itu tidak akan dijalankan menggunakan shell, jadi jika anda ingin menggunakan metacharacters shell dalam
perintah dengan makna istimewanya, berikan "sh -c perintah" sebagai arahan untuk menjalankan dan
memetik arahan.
Jika arahan mengandungi pilihan baris arahan (seperti "-c"), letakkan -- pada baris arahan
sebelum permulaan arahan untuk memberitahu k5start untuk tidak menghuraikan pilihan tersebut sebagai pilihannya.
Apabila menjalankan arahan, k5start menyebarkan isyarat HUP, TERM, INT, dan QUIT kepada kanak-kanak
proses dan tidak keluar apabila isyarat tersebut diterima. (Jika isyarat yang disebarkan
menyebabkan proses kanak-kanak keluar, k5start kemudian akan keluar.) Ini membolehkan k5start untuk bertindak balas
dengan betul apabila dijalankan di bawah sistem pengawasan arahan seperti jalankannya(8) atau svscan(8) itu
menggunakan isyarat untuk mengawal arahan yang diselia, dan untuk menjalankan arahan interaktif yang sepatutnya
terima Ctrl-C.
Jika berlari k5start menerima isyarat ALRM, ia segera menyegarkan cache tiket
tidak kira sama ada ia berada dalam bahaya luput.
If k5start dijalankan dengan arahan atau -K bendera dan -x bendera tidak diberikan, ia akan disimpan
mencuba walaupun pengesahan awal gagal. Ia akan mencuba semula pengesahan awal
serta-merta dan kemudian dengan mundur eksponen kepada sekali seminit, dan terus mencuba sehingga
pengesahan berjaya atau ia dibunuh. Perintah, jika ada, tidak akan dimulakan sehingga
pengesahan berjaya.
PILIHAN
-a Apabila dijalankan dengan sama ada -K bendera atau arahan, sentiasa memperbaharui tiket setiap kali k5start
bangun. Tanpa pilihan ini, k5start hanya akan cuba memperbaharui tiket sekerap
perlu untuk mengelakkan tiket daripada luput. Dengan pilihan ini, k5start akan memperbaharui
tiket mengikut selang waktu yang ditentukan dengan -K bendera.
Tingkah laku ini mungkin sepatutnya menjadi tingkah laku lalai -K. Lalai ialah
tidak diubah untuk mengelakkan perubahan bagi pengguna sedia ada, tetapi untuk aplikasi baharu, pertimbangkan
selalu guna -a bersama -K.
Pilihan ini penting jika program lain memanipulasi cache tiket itu
k5start sedang menggunakan. Contohnya, jika program lain memperbaharui tiket secara automatik
lebih kerap daripada k5start, Maka k5start tidak akan pernah melihat tiket yang dekat dengan
tamat tempoh dan oleh itu, secara lalai, tidak akan cuba memperbaharui tiket. Ini bermaksud
Bahawa k5start juga tidak akan memperbaharui token AFS, walaupun jika -t pilihan telah diberikan, sejak
k5start hanya memperbaharui token AFS selepas ia berjaya memperbaharui tiket. Jika pilihan ini
dinyatakan dalam keadaan sedemikian, k5start akan memperbaharui tiketnya setiap kali ia menyemak
tiket, jadi token AFS akan diperbaharui.
Hujah ini hanya sah dalam kombinasi dengan mana-mana -K atau arahan untuk dijalankan.
-b Selepas bermula, tanggalkan daripada terminal kawalan dan jalankan di latar belakang. ini
pilihan hanya masuk akal dalam kombinasi dengan -K atau perintah itu k5start akan
berjalan dan hanya boleh digunakan jika tab kekunci ditentukan dengan -f. k5start tidak akan
latar belakang itu sendiri sehingga selepas ia telah mencuba mengesahkan sekali, supaya sebarang permulaan
ralat akan dilaporkan, tetapi ia akan mengubah hala output ke / dev / null dan tidak
kesilapan seterusnya akan dilaporkan.
Jika bendera ini diberikan, k5start juga akan menukar direktori kepada "/". Semua laluan (seperti
tentang arahan untuk dijalankan atau fail PID) oleh itu harus diberikan sebagai mutlak, bukan
relatif, jalan.
Jika digunakan bersama-sama dengan arahan untuk dijalankan, arahan itu juga akan dijalankan dalam
latar belakang dan juga akan mempunyai input dan outputnya diubah hala ke / dev / null. Ia akan
perlu melaporkan sebarang ralat melalui beberapa mekanisme lain untuk ralat itu dapat dilihat.
Ambil perhatian bahawa pada Mac OS X, jenis cache tiket lalai ialah setiap sesi dan menggunakan -b
bendera akan dipisahkan k5start daripada cache tiket sedia ada. Apabila menggunakan -b in
sempena -K pada Mac OS X, anda mungkin juga mahu menggunakan -k bendera untuk ditentukan
fail cache tiket dan memaksa penggunaan cache fail.
Apabila menggunakan pilihan ini, pertimbangkan juga untuk menggunakan -L melaporkan k5start ralat kepada syslog.
-c kanak-kanak pid fail
Simpan ID proses (PID) proses anak ke dalam kanak-kanak pid fail. kanak-kanak pid fail is
dicipta jika ia tidak wujud dan ditimpa jika ia wujud. Pilihan ini hanya
dibenarkan apabila arahan diberikan pada baris arahan dan paling berguna bersama
bersama -b untuk membenarkan pengurusan proses anak yang sedang berjalan.
Ambil perhatian bahawa, apabila digunakan dengan -b, fail PID ditulis selepas k5start is
berlatarbelakangkan dan menukar direktori kerjanya kepada /, jadi laluan relatif untuk PID
fail akan relatif kepada / (mungkin bukan apa yang anda mahukan).
-F Jangan dapatkan tiket boleh dimajukan walaupun konfigurasi setempat mengatakan untuk dimajukan
tiket secara lalai. Tanpa bendera ini, k5start melakukan apa sahaja lalai perpustakaan.
-f tab kekunci
Sahkan menggunakan tab kekunci tab kekunci daripada meminta kata laluan. Kunci untuk
prinsipal pelanggan mesti hadir tab kekunci.
-g kumpulan
Selepas mencipta cache tiket, tukar pemilikan kumpulannya kepada kumpulan, yang mana mungkin
sama ada nama kumpulan atau ID kumpulan berangka. Cache tiket dibuat dengan 0600
kebenaran secara lalai, jadi ini tidak akan mempunyai kesan yang berguna melainkan digunakan dengan -m.
-H minit
Semak tiket gembira, ditakrifkan sebagai tiket yang mempunyai baki hayat sekurang-kurangnya
minit minit. Jika tiket sedemikian ditemui, jangan cuba pengesahan. Sebaliknya,
hanya jalankan arahan (jika satu dinyatakan) atau keluar serta-merta dengan status 0 (jika tiada
adalah). Jika tidak, cuba dapatkan tiket baharu dan kemudian jalankan arahan, jika ada.
If -H digunakan dengan -t, program luar akan sentiasa dijalankan walaupun tiket dengan a
seumur hidup yang mencukupi ditemui.
If -H digunakan dengan -K, k5start tidak akan keluar serta merta. Sebaliknya, yang dinyatakan
seumur hidup yang tinggal akan menggantikan nilai lalai dua minit, bermakna itu k5start
akan memastikan, setiap kali ia bangun, bahawa tiket mempunyai baki seumur hidup
minit hujah. Ini adalah alternatif kepada -a untuk memastikan tiket sentiasa mempunyai a
baki jumlah minimum seumur hidup tertentu.
-h Paparkan mesej penggunaan dan keluar.
-I perkhidmatan contohnya
Bahagian contoh pengetua perkhidmatan. Lalai ialah alam lalai bagi
mesin itu. Ambil perhatian bahawa tidak seperti prinsipal pelanggan, prinsipal perkhidmatan bukan lalai
mesti dinyatakan dengan -I and -S; seseorang tidak boleh menyediakan bahagian contoh sebagai sebahagian daripada
hujah kepada -S.
-i pelanggan contohnya
Menentukan bahagian contoh pengetua. Pilihan ini tidak masuk akal
kecuali dalam kombinasi dengan -u. Ambil perhatian bahawa contoh boleh ditentukan sebagai sebahagian daripada
nama pengguna melalui konvensyen biasa untuk menambahkan garis miring dan kemudian contoh, jadi
seseorang tidak perlu menggunakan pilihan ini.
-K minit
Jalankan dalam mod daemon untuk memastikan tiket hidup selama-lamanya. Program bangkit semula selepas
minit minit, semak sama ada tiket akan tamat tempoh sebelum atau kurang daripada dua minit
selepas semakan berjadual seterusnya, dan dapatkan tiket baharu jika perlu. (Dengan kata lain, ia
memastikan bahawa tiket akan sentiasa mempunyai baki hayat sekurang-kurangnya dua
minit.) Jika -H bendera juga diberikan, jangka hayat yang ditentukan olehnya menggantikan kedua-duanya
lalai minit.
Jika pilihan ini tidak diberikan tetapi arahan diberikan pada baris arahan, pilihan lalai
selang 60 minit (1 jam).
Jika ralat berlaku dalam menyegarkan cache tiket, selang bangun adalah
dipendekkan kepada satu minit dan operasi dicuba semula pada selang waktu itu selama
ralat berterusan.
-k tiket cache
Penggunaan tiket cache sebagai cache tiket dan bukannya kandungan persekitaran
pembolehubah KRB5CCNAME atau lalai perpustakaan. tiket cache mungkin mana-mana cache tiket
pengecam yang diiktiraf oleh perpustakaan Kerberos asas. Ini secara amnya menyokong a
laluan ke fail, dengan atau tanpa rentetan "FILE:" terkemuka, tetapi mungkin juga menyokong yang lain
jenis cache tiket.
Jika mana-mana -o, -g, Atau -m diberikan, tiket cache mestilah sama ada laluan mudah ke fail
atau mulakan dengan "FILE:" atau "WRFILE:".
-L Laporkan mesej kepada syslog serta kepada output standard atau ralat standard. Semua
mesej akan dilog dengan kemudahan LOG_DAEMON. Mesej biasa yang dipaparkan
pada output standard dilog dengan tahap LOG_NOTICE. Ralat yang tidak menyebabkan k5start
untuk menamatkan dilog dengan tahap LOG_WARNING. Ralat maut direkodkan dengan tahap
LOG_ERR.
Ini berguna apabila menyahpepijat masalah dalam kombinasi dengan -b.
-l masa rentetan
Tetapkan jangka hayat tiket. masa rentetan hendaklah dalam format yang diiktiraf oleh Kerberos
perpustakaan untuk menentukan masa, seperti "10j" (sepuluh jam) atau "10m" (sepuluh minit).
Unit yang diketahui ialah "s", "m", "h", dan "d". Untuk maklumat lanjut, lihat penemuan(1).
-m mod
Selepas mencipta cache tiket, tukar kebenaran failnya kepada mod, yang mestilah a
mod fail dalam oktal (640 atau 444, contohnya).
Menetapkan a mod itu tidak membenarkan k5start untuk membaca atau menulis ke cache tiket akan
sebab k5start gagal dan keluar apabila menggunakan -K pilihan atau menjalankan arahan.
-n Diabaikan, hadir untuk keserasian pilihan dengan yang kini sudah usang k4start.
-o pemilik
Selepas mencipta cache tiket, tukar pemilikannya kepada pemilik, yang mungkin sama ada
nama pengguna atau ID pengguna berangka. Jika pemilik ialah nama pengguna dan -g adalah
tidak juga diberikan, tukar juga pemilikan kumpulan cache tiket kepada lalai
kumpulan untuk pengguna tersebut.
-P Jangan dapatkan tiket proksi walaupun konfigurasi setempat mengatakan untuk mendapatkan proksi
tiket secara lalai. Tanpa bendera ini, k5start melakukan apa sahaja lalai perpustakaan.
-p pid fail
Simpan ID proses (PID) yang sedang dijalankan k5start proses ke pid fail. pid fail is
dicipta jika ia tidak wujud dan ditimpa jika ia wujud. Pilihan ini adalah yang paling
berguna bersama-sama dengan -b untuk membolehkan pengurusan berjalan k5start daemon.
Ambil perhatian bahawa, apabila digunakan dengan -b fail PID ditulis selepas k5start berlatarbelakangkan
dan menukar direktori kerjanya kepada /, jadi laluan relatif untuk fail PID adalah
relatif kepada / (mungkin bukan apa yang anda mahukan).
-q Senyap. Menyekat pencetakan mesej sepanduk awal yang mengatakan apa yang Kerberos
tiket utama sedang diperolehi, dan juga menyekat gesaan kata laluan apabila
yang -s pilihan diberi.
-r perkhidmatan alam
Alam untuk pengetua perkhidmatan. Ini lalai kepada alam tempatan lalai.
-S perkhidmatan nama
Menentukan prinsipal yang k5start sedang mendapat tiket perkhidmatan. lalai
nilai ialah "krbtgt", untuk mendapatkan tiket pemberian tiket. Pilihan ini (bersama-sama dengan -I)
boleh digunakan jika seseorang hanya memerlukan akses kepada satu perkhidmatan. Perhatikan bahawa tidak seperti pelanggan
prinsipal, prinsipal perkhidmatan bukan lalai mesti dinyatakan dengan kedua-duanya -S and -I; satu
tidak boleh menyediakan bahagian contoh sebagai sebahagian daripada hujah kepada -S.
-s Baca kata laluan daripada input standard. Ini memintas gesaan kata laluan biasa,
yang bermaksud gema tidak ditindas dan input tidak dipaksa daripada pengawal
terminal. Kebanyakan penggunaan pilihan ini adalah risiko keselamatan. Anda biasanya ingin menggunakan a
tab kekunci dan -f pilihan sebaliknya.
-t Jalankan program luaran selepas mendapat tiket. Penggunaan lalai ini adalah untuk menjalankan
aklog untuk mendapatkan token. Jika pembolehubah persekitaran KINIT_PROG ditetapkan, ia akan mengatasi pembolehubah persekitaran
tersusun dalam lalai.
If k5start telah dibina dengan AFS setpag() sokongan dan arahan telah diberikan pada
baris arahan, k5start akan mencipta PAG baharu sebelum mendapatkan token AFS. Jika tidak,
ia akan memperoleh token dalam PAG semasa.
-U Daripada memerlukan prinsip pengesahan diberikan pada baris arahan, baca
ia daripada tab kekunci yang ditentukan dengan -f. Pengetua akan diambil dari yang pertama
entri dalam tab kekunci. -f mesti dinyatakan jika pilihan ini digunakan.
Bila -U diberikan, k5start tidak akan mengharapkan nama utama diberikan pada arahan itu
baris, dan sebarang hujah selepas pilihan akan diambil sebagai arahan untuk dijalankan.
-u pelanggan utama
Ini menentukan prinsipal untuk mendapatkan kelayakan sebagai. Keseluruhan pengetua mungkin
dinyatakan di sini, atau sebagai alternatif hanya bahagian pertama yang boleh ditentukan dengan ini
bendera dan contoh yang ditentukan dengan -i.
Ambil perhatian bahawa biasanya tiada sebab untuk menggunakan bendera ini dan bukannya hanya memberikan
prinsipal pada baris arahan sebagai hujah biasa pertama.
-v Berkata-kata. Ini akan mencetak sedikit maklumat tambahan tentang apa yang sedang berlaku
cuba dan apa hasilnya.
-x Keluar serta-merta atas sebarang ralat. Biasanya, apabila menjalankan arahan atau apabila dijalankan dengan
-K pilihan, k5start terus berjalan walaupun ia gagal menyegarkan cache dan kehendak tiket
cuba lagi pada selang semakan seterusnya. Dengan pilihan ini, k5start sebaliknya akan keluar.
PULANG BALIK NILAI-NILAI
Program keluar dengan status 0 jika ia berjaya mendapat tiket atau mempunyai tiket gembira
(Lihat -H). Jika k5start menjalankan aklog atau beberapa program lain k5start mengembalikan status keluar daripada
program itu.
CONTOH
Menggunakan /etc/krb5.keytab tab kekunci untuk mendapatkan tiket pemberian tiket untuk pengetua
host/example.com, meletakkan cache tiket /tmp/service.tkt. Jangka hayat ialah 10 jam
dan program bangun setiap 10 minit untuk menyemak sama ada tiket akan tamat tempoh.
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10j \
hos/contoh.com
Lakukan perkara yang sama, tetapi menggunakan cache tiket lalai dan jalankan arahan
/usr/local/bin/auth-backup. k5start akan terus berjalan sehingga arahan selesai. Jika
pengesahan awal gagal, teruskan mencuba, dan jangan mulakan arahan sehingga ia
berjaya. Ini boleh digunakan semasa permulaan sistem untuk arahan yang mesti sah
tiket sebelum memulakan, dan bertolak ansur mempunyai k5start mulakan sebelum rangkaian
ditetapkan sepenuhnya.
k5start -f /etc/krb5.keytab -K 10 -l 10j host/example.com \
/usr/local/bin/auth-backup
Menunjukkan kebenaran fail cache sementara yang dibuat oleh k5start:
k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'
Perhatikan "--" sebelum arahan untuk menyimpan k5start daripada menghuraikan "-c" sebagai miliknya
pilihan.
Lakukan perkara yang sama, tetapi tentukan prinsipal dari tab kekunci:
k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'
Perhatikan bahawa tiada prinsipal diberikan sebelum arahan.
Bermula k5start sebagai daemon menggunakan Debian mula-henti-daemon program pengurusan. Ini adalah
jenis baris yang boleh dimasukkan ke dalam skrip init Debian:
start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com
Ini menggunakan /var/run/k5start.pid sebagai fail PID dan mendapatkan tiket hos/example.com daripada
fail tab kekunci sistem. k5start kemudian akan dihentikan dengan:
start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
Kod ini boleh ditambah pada skrip init untuk Apache, sebagai contoh, untuk memulakan a k5start
proses bersama Apache untuk mengurus kelayakan Kerberosnya.
PERSEKITARAN
Jika pembolehubah persekitaran AKLOG ditetapkan, nilainya akan digunakan sebagai program untuk dijalankan
bersama -t dan bukannya lalai yang dipatuhi k5start. Jika AKLOG tidak ditetapkan dan KINIT_PROG
ditetapkan, nilainya akan digunakan sebaliknya. KINIT_PROG diberi penghormatan untuk keserasian ke belakang
tetapi penggunaannya tidak digalakkan kerana nama yang mengelirukan.
Jika tiada fail tiket (dengan -k) atau arahan ditentukan pada baris arahan, k5start akan guna
pembolehubah persekitaran KRB5CCNAME untuk menentukan lokasi pemberian tiket
tiket. Jika sama ada arahan ditentukan atau -k pilihan digunakan, KRB5CCNAME akan ditetapkan
untuk menunjuk ke fail tiket sebelum menjalankan aklog program atau sebarang arahan yang diberikan pada
baris perintah.
Gunakan k5start dalam talian menggunakan perkhidmatan onworks.net
