k5start - Online in de cloud

PROGRAMMA:

NAAM

k5start - Verkrijg en optioneel actief houden van een Kerberos-ticket

KORTE INHOUD

k5start [-abFhLnPqstvx] [-c kind pid filet] [-f toetstab]
[-g groep] [-H minuten] [-I service instantie]
[-i klant instantie] [-K minuten] [-k ticket cache]
[-l niet de tijd of snaar] [-m mode] [-o eigenaar]
[-p pid filet] [-r service rijk] [-S service naam]
[-u klant hoofd-] [hoofd- [commando ...]]

k5start -U -f toetstab [-abFhLnPqstvx] [-c kind pid filet]
[-g groep] [-H minuten] [-I service instantie]
[-K minuten] [-k ticket cache] [-l niet de tijd of snaar]
[-m mode] [-o eigenaar] [-p pid filet]
[-r service rijk] [-S service naam] [commando ​

PRODUCTBESCHRIJVING

k5start verkrijgt en bewaart een eerste Kerberos-ticket voor het verlenen van tickets voor een opdrachtgever.
k5start kan worden gebruikt als alternatief voor Kinit, maar het is in de eerste plaats bedoeld voor gebruik door
programma's die een keytab willen gebruiken om Kerberos-referenties te verkrijgen, zoals een webserver
die moet worden geverifieerd bij een andere service, zoals een LDAP-server.

Normaal gesproken moet de opdrachtgever waarvoor kaartjes worden afgegeven als eerste worden opgegeven
argument. hoofd- kan alleen een hoofdnaam zijn (inclusief de optionele instantie)
of een volledige hoofdsom- en rijksreeks. De -u en -i opties kunnen als alternatief worden gebruikt
mechanisme voor het specificeren van de hoofdsom, maar zijn over het algemeen niet zo handig. Als Nee
hoofdsom wordt opgegeven als het eerste argument of als argument voor de -u optie, de
client-principal is standaard de Unix-gebruikersnaam van de actieve gebruiker k5start in de standaardinstelling
lokale sfeer.

Optioneel kan een opdracht worden gegeven op de opdrachtregel van k5start. Als dat zo is, dan is dat commando
uitvoeren na Kerberos-authenticatie (en running aklog indien gewenst), met de juiste
omgevingsvariabelen ingesteld om deze naar de juiste ticketcache te verwijzen. k5start zal dan
blijven werken en worden regelmatig wakker om de inloggegevens iets eerder te vernieuwen
verlopen, totdat de opdracht is voltooid. (De frequentie waarmee het wakker wordt om zich te vernieuwen
inloggegevens kunnen nog steeds worden beheerd met de -K optie.) Om in deze modus te werken, moet de
principal moet worden opgegeven als een regulier opdrachtregelargument of via de -U
optie; de -u en -i opties mogen niet worden gebruikt. Ook moet er een keytab worden opgegeven met -f
om een ​​specifiek commando uit te voeren.

De opdracht wordt niet uitgevoerd met behulp van de shell, dus als u shell-metatekens wilt gebruiken in
het commando met hun speciale betekenis, geef "sh -c opdracht" als het commando om uit te voeren en
citeren commando.

Als de opdracht opdrachtregelopties bevat (zoals "-c"), plaatst u -- op de opdrachtregel
vóór het begin van het commando om te vertellen k5start om deze opties niet als zijn eigen opties te parseren.

Bij het uitvoeren van een opdracht, k5start verspreidt HUP-, TERM-, INT- en QUIT-signalen naar het kind
proces en gaat niet weg wanneer die signalen worden ontvangen. (Als het gepropageerde signaal
zorgt ervoor dat het onderliggende proces wordt afgesloten, k5start zal dan afsluiten.) Dit maakt het mogelijk k5start reageren
goed wanneer deze wordt uitgevoerd onder een systeem voor supervisie van commando's, zoals voer het uit(8) of svscan(8) dat
gebruikt signalen om gecontroleerde commando's te besturen en om interactieve commando's uit te voeren die zouden moeten
ontvang Ctrl-C.

Als een hardlopen k5start een ALRM-signaal ontvangt, wordt de ticketcache onmiddellijk vernieuwd
ongeacht of deze dreigt te verlopen.

If k5start wordt uitgevoerd met een commando of de -K vlag en de -x vlag niet wordt gegeven, blijft hij behouden
proberen, zelfs als de initiële authenticatie mislukt. Er wordt opnieuw geprobeerd de initiële authenticatie uit te voeren
onmiddellijk en vervolgens met exponentieel uitstel tot één keer per minuut, en blijf het proberen tot
authenticatie slaagt of wordt beëindigd. Het eventuele commando wordt pas gestart
authenticatie slaagt.

OPTIES

-a Wanneer uitgevoerd met ofwel de -K vlag of een commando, vernieuw tickets altijd elke keer k5start
wordt wakker. Zonder deze optie k5start zal slechts zo vaak proberen een ticket te verlengen als
nodig om te voorkomen dat het ticket verloopt. Met deze optie k5start zal vernieuwen
tickets volgens het interval gespecificeerd met de -K vlag.

Dit gedrag had waarschijnlijk het standaardgedrag moeten zijn van -K. De standaard was
niet gewijzigd om wijzigingen voor bestaande gebruikers te voorkomen, maar voor nieuwe toepassingen te overwegen
altijd gebruiken -a Met -K.

Deze optie is belangrijk als een ander programma de ticketcache manipuleert
k5start gebruikt. Bijvoorbeeld als een ander programma automatisch een ticket verlengt
vaker dan k5startdan k5start zal nooit een kaartje zien dat dichtbij is
verlopen en zal daarom standaard nooit proberen het ticket te verlengen. Dit betekent
dat k5start zal ook nooit AFS-tokens vernieuwen, zelfs niet als de -t optie werd gegeven, aangezien
k5start vernieuwt alleen AFS-tokens nadat het een ticket succesvol heeft vernieuwd. Als deze optie
wordt gespecificeerd in een dergelijke situatie, k5start vernieuwt zijn ticket elke keer dat hij controleert
het ticket, dus AFS-tokens worden vernieuwd.

Dit argument is alleen geldig in combinatie met een van beide -K of een opdracht om uit te voeren.

-b Koppel na het starten los van de besturingsterminal en voer het op de achtergrond uit. Dit
optie heeft alleen zin in combinatie met -K of een commando dat k5start zal zijn
actief en kan alleen worden gebruikt als er een keytab is opgegeven met -f. k5start zal niet
achtergrond zelf totdat het eenmaal heeft geprobeerd te authenticeren, zodat elke initiaal
fouten worden gerapporteerd, maar de uitvoer wordt vervolgens omgeleid naar / Dev / null en nee
daaropvolgende fouten zullen worden gerapporteerd.

Als deze vlag wordt gegeven, k5start zal ook de mappen wijzigen in "/". Alle paden (zoals
wat betreft een uit te voeren commando of een PID-bestand) moet daarom als absoluut worden opgegeven, niet
relatief, paden.

Indien gebruikt in combinatie met een opdracht om uit te voeren, zal die opdracht ook worden uitgevoerd in de
achtergrond en zal ook de invoer en uitvoer ernaar laten omleiden / Dev / null. Het zal
moeten eventuele fouten via een ander mechanisme melden om de fouten zichtbaar te maken.

Houd er rekening mee dat in Mac OS X het standaard ticketcachetype per sessie is en gebruikmaakt van de -b
vlag zal uiteenvallen k5start uit de bestaande ticketcache. Tijdens gebruik -b in
combinatie met -K op Mac OS X wil je waarschijnlijk ook de -k vlag te specificeren
een ticketcachebestand en forceer het gebruik van een bestandscache.

Overweeg ook om deze optie te gebruiken -L rapporteren k5start fouten naar syslog.

-c kind pid filet
Sla de proces-ID (PID) van het onderliggende proces op in kind pid filet. kind pid filet is
gemaakt als het niet bestaat en overschreven als het wel bestaat. Deze optie is alleen
toegestaan ​​wanneer een opdracht op de opdrachtregel is gegeven en is het handigst in combinatie
Met -b om het lopende onderliggende proces te kunnen beheren.

Merk op dat, wanneer gebruikt met -b, wordt het PID-bestand daarna uitgeschreven k5start is
achtergrond en verandert de werkmap naar /, dus relatieve paden voor de PID
bestand zal relatief zijn ten opzichte van / (waarschijnlijk niet wat je wilt).

-F Ontvang geen doorstuurbare tickets, ook al zegt de lokale configuratie dat ze doorgestuurd moeten worden
kaartjes standaard. Zonder deze vlag, k5start doet wat de standaardbibliotheek is.

-f toetstab
Authenticeer met behulp van de keytab toetstab in plaats van om een ​​wachtwoord te vragen. Een sleutel voor de
opdrachtgever opdrachtgever moet aanwezig zijn toetstab.

-g groep
Nadat u de ticketcache hebt gemaakt, wijzigt u het groepseigendom in groep, wat kan zijn
de naam van een groep of een numeriek groeps-ID. Ticketcaches worden aangemaakt met 0600
standaard machtigingen, dus dit heeft geen nuttig effect tenzij het wordt gebruikt met -m.

-H minuten
Controleer op een happy ticket, gedefinieerd als een ticket met een resterende levensduur van minimaal
minuten minuten. Als een dergelijk ticket wordt gevonden, probeer dan niet te authenticeren. In plaats van,
voer gewoon de opdracht uit (als er een is opgegeven) of sluit onmiddellijk af met status 0 (als er geen is).
was). Probeer anders een nieuw ticket te verkrijgen en voer vervolgens de opdracht uit, indien aanwezig.

If -H wordt gebruikt met -t, wordt het externe programma altijd uitgevoerd, zelfs als een ticket met a
voldoende resterende levensduur werd gevonden.

If -H wordt gebruikt met -K, k5start gaat niet meteen weg. In plaats daarvan de opgegeven
resterende levensduur vervangt de standaardwaarde van twee minuten, wat betekent dat k5start
zal ervoor zorgen, elke keer dat het ontwaakt, dat het ticket een resterende levensduur heeft van de
minuten argument. Dit is een alternatief voor -a om ervoor te zorgen dat tickets altijd een
bepaalde minimale resterende levensduur.

-h Geef een gebruiksbericht weer en sluit af.

-I service instantie
Het exemplaargedeelte van de Service-Principal. De standaardwaarde is het standaarddomein van
de machine. Houd er rekening mee dat dit, in tegenstelling tot de client-principal, een niet-standaard Service-Principal is
moet worden opgegeven met -I en -S; men kan het instancegedeelte niet leveren als onderdeel van
het argument om -S.

-i klant instantie
Specificeert het exemplaargedeelte van de opdrachtgever. Deze optie heeft geen zin
behalve in combinatie met -u. Houd er rekening mee dat de instantie kan worden opgegeven als onderdeel van
gebruikersnaam via de normale conventie van het toevoegen van een schuine streep en vervolgens de instantie, dus
je hoeft deze optie nooit te gebruiken.

-K minuten
Draai in daemon-modus om een ​​ticket voor onbepaalde tijd in leven te houden. Het programma ontwaakt daarna
minuten minuten, controleert of het ticket eerder of minder dan twee minuten verloopt
na de volgende geplande controle, en krijgt indien nodig een nieuw ticket. (Met andere woorden: het
zorgt ervoor dat het ticket altijd een resterende levensduur heeft van minimaal twee
minuten.) Als de -H flag wordt ook gegeven, de levensduur die erdoor wordt gespecificeerd, vervangt de twee
minuut standaard.

Als deze optie niet wordt gegeven maar er wel een opdracht is gegeven op de opdrachtregel, is de standaardinstelling
interval is 60 minuten (1 uur).

Als er een fout optreedt bij het vernieuwen van de ticketcache, is het wake-up-interval hetzelfde
verkort tot één minuut en de handeling wordt met dat interval opnieuw geprobeerd zolang als
fout blijft bestaan.

-k ticket cache
Te gebruiken ticket cache als de ticketcache in plaats van de inhoud van de omgeving
variabele KRB5CCNAME of de bibliotheekstandaard. ticket cache kan elke ticketcache zijn
identifier herkend door de onderliggende Kerberos-bibliotheken. Dit ondersteunt over het algemeen een
pad naar een bestand, met of zonder een leidende "FILE:"-tekenreeks, maar kan ook andere ondersteunen
soorten ticketcache.

als een van -o, -gof -m zijn gegeven, ticket cache moet een eenvoudig pad naar een bestand zijn
of begin met "FILE:" of "WRFILE:".

-L Rapporteer berichten zowel aan syslog als aan standaarduitvoer of standaardfout. Alle
berichten worden gelogd met faciliteit LOG_DAEMON. Regelmatige berichten die worden weergegeven
op standaarduitvoer worden gelogd met niveau LOG_NOTICE. Fouten die niet veroorzaken k5start
te beëindigen worden geregistreerd met niveau LOG_WARNING. Fatale fouten worden geregistreerd met niveau
LOG_ERR.

Dit is handig bij het debuggen van problemen in combinatie met -b.

-l niet de tijd of snaar
Stel de levensduur van het ticket in. niet de tijd of snaar moet een formaat hebben dat door Kerberos wordt herkend
bibliotheken voor het opgeven van tijden, zoals "10h" (tien uur) of "10m" (tien minuten).
Bekende eenheden zijn "s", "m", "h" en "d". Voor meer informatie, zie Kinit(1).

-m mode
Nadat u de ticketcache hebt gemaakt, wijzigt u de bestandsrechten in mode, wat een moet zijn
bestandsmodus in octaal (bijvoorbeeld 640 of 444).

Een instellen mode dat staat niet toe k5start om naar de ticketcache te lezen of te schrijven
oorzaak k5start om te mislukken en af ​​te sluiten bij gebruik van de -K optie of het uitvoeren van een opdracht.

-n Genegeerd, aanwezig voor optiecompatibiliteit met het inmiddels verouderde k4start.

-o eigenaar
Nadat u de ticketcache hebt gemaakt, wijzigt u het eigendom ervan in eigenaar, wat kan zijn ofwel
de naam van een gebruiker of een numerieke gebruikers-ID. Als eigenaar is de naam van een gebruiker en -g was
niet ook gegeven, verander ook het groepseigendom van de ticketcache naar de standaardwaarde
groep voor die gebruiker.

-P Ontvang geen proxiable tickets, ook al zegt de lokale configuratie dat proxiable moet worden
kaartjes standaard. Zonder deze vlag, k5start doet wat de standaardbibliotheek is.

-p pid filet
Sla de proces-ID (PID) van de lopende op k5start verwerken in pid filet. pid filet is
gemaakt als het niet bestaat en overschreven als het wel bestaat. Deze optie is het meest
handig in combinatie met -b om het beheer van de running mogelijk te maken k5start demon.

Merk op dat, wanneer gebruikt met -b het PID-bestand wordt daarna uitgeschreven k5start is achtergrond
en verandert zijn werkmap in /, dus relatieve paden voor het PID-bestand zullen zijn
in verhouding tot / (waarschijnlijk niet wat je wilt).

-q Rustig. Onderdrukt het afdrukken van het eerste bannerbericht waarin staat wat Kerberos
hoofdtickets waarvoor worden verkregen, en onderdrukt ook de wachtwoordprompt wanneer
de -s optie wordt gegeven.

-r service rijk
Het domein voor de service-principal. Dit is standaard de standaard lokale realm.

-S service naam
Specificeert de hoofdsom waarvoor k5start krijgt een serviceticket. De standaard
waarde is "krbtgt", om een ​​ticket voor het verlenen van tickets te verkrijgen. Deze optie (samen met -I)
kan worden gebruikt als men slechts toegang nodig heeft tot één dienst. Merk op dat in tegenstelling tot de klant
principal, moet bij beide een niet-standaard service-principal worden opgegeven -S en -I; een
kan het instantiegedeelte niet opgeven als onderdeel van het argument -S.

-s Lees het wachtwoord uit de standaardinvoer. Dit omzeilt de normale wachtwoordprompt,
wat betekent dat de echo niet wordt onderdrukt en dat de invoer niet van de besturing komt
terminal. Het meeste gebruik van deze optie brengt een veiligheidsrisico met zich mee. Normaal gesproken wil je een
toetsenbord en de -f optie in plaats daarvan.

-t Voer een extern programma uit nadat je een ticket hebt gekregen. Het standaardgebruik hiervan is om uit te voeren
aklog om een ​​fiche te krijgen. Als de omgevingsvariabele KINIT_PROG is ingesteld, overschrijft deze de
standaard gecompileerd.

If k5start is gebouwd met AFS setpag() ondersteuning en er werd een commando gegeven op de
opdrachtregel, k5start zal een nieuwe PAG aanmaken voordat AFS-tokens worden verkregen. Anders,
het zal tokens verkrijgen in de huidige PAG.

-U In plaats van te vereisen dat de authenticatie-principal op de opdrachtregel wordt opgegeven, kunt u read
vanaf het toetsenbord dat is opgegeven met -f. De directeur wordt vanaf het eerste overgenomen
invoer in het toetsenbord. -f moet worden opgegeven als deze optie wordt gebruikt.

. -U is gegeven, k5start verwacht niet dat er een hoofdnaam wordt opgegeven bij de opdracht
regel, en alle argumenten na de opties zullen worden opgevat als een opdracht om uit te voeren.

-u klant hoofd-
Hiermee wordt de opdrachtgever opgegeven die referenties moet verkrijgen. De hele directeur mag dat zijn
hier gespecificeerd, of als alternatief kan alleen het eerste deel hiermee worden gespecificeerd
flag en de instantie die is opgegeven met -i.

Houd er rekening mee dat er normaal gesproken geen reden is om deze vlag te gebruiken in plaats van simpelweg de
principal op de opdrachtregel als het eerste reguliere argument.

-v Wees uitgebreid. Dit zal een beetje aanvullende informatie afdrukken over wat er aan de hand is
geprobeerd en wat de resultaten zijn.

-x Sluit onmiddellijk af bij een fout. Normaal gesproken, bij het uitvoeren van een opdracht of bij het uitvoeren met de
-K keuze, k5start blijft actief, zelfs als de ticketcache niet wordt vernieuwd
probeer het opnieuw bij het volgende controle-interval. Met deze optie k5start zal in plaats daarvan verlaten.

RETURN WAARDEN

Het programma eindigt met status 0 als het succesvol een ticket heeft verkregen of een happy ticket heeft
(Zie -H). Als k5start voert aklog of een ander programma uit k5start retourneert de afsluitstatus van
dat programma.

VOORBEELD

Gebruik de /etc/krb5.keytab keytab om een ​​ticket voor de opdrachtgever te verkrijgen
host/example.com, waarbij de ticketcache wordt geplaatst /tmp/service.tkt. De levensduur bedraagt ​​10 uur
en het programma wordt elke 10 minuten wakker om te controleren of het ticket bijna verloopt.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h
host/voorbeeld.com

Doe hetzelfde, maar gebruik de standaard ticketcache en voer de opdracht uit
/usr/local/bin/auth-backup. k5start blijft actief totdat de opdracht is voltooid. Als
de initiële authenticatie mislukt, blijf het proberen en start de opdracht pas
slaagt. Dit kan worden gebruikt tijdens het opstarten van het systeem voor een opdracht die geldig moet zijn
kaartjes voordat u begint, en tolereert het hebben ervan k5start starten voordat het netwerk is
helemaal opgezet.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com
/usr/local/bin/auth-backup

Toont de machtigingen van het tijdelijke cachebestand gemaakt door k5start:

k5start -f /etc/krb5.keytab host/example.com
-- sh -c 'ls -l $KRB5CCNAME'

Let op de "--" vóór het commando om te behouden k5start door de "-c" als zijn eigen te ontleden
optie.

Doe hetzelfde, maar bepaal de opdrachtgever uit de keytab:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Merk op dat er vóór het commando geen hoofdsom wordt gegeven.

Begint k5start als een daemon met behulp van Debian start-stop-daemon management programma. Dit is
het soort regel dat je in een Debian init-script zou kunnen plaatsen:

start-stop-daemon --start --pidbestand /var/run/k5start.pid
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid
-f /etc/krb5.keytab host/example.com

Dit gebruikt /var/run/k5start.pid als het PID-bestand en verkrijgt host/example.com-tickets van
het systeemsleuteltabbestand. k5start zou dan worden gestopt met:

start-stop-daemon --stop --pidbestand /var/run/k5start.pid
rm -f /var/run/k5start.pid

Deze code kan bijvoorbeeld worden toegevoegd aan een init-script voor Apache om een k5start
proces naast Apache om de Kerberos-referenties te beheren.

MILIEU

Als de omgevingsvariabele AKLOG is ingesteld, wordt de waarde ervan gebruikt als het programma dat moet worden uitgevoerd
Met -t in plaats van dat de standaard werd nageleefd k5start. Als AKLOG niet is ingesteld en KINIT_PROG
is ingesteld, wordt in plaats daarvan de waarde ervan gebruikt. KINIT_PROG wordt geëerd voor achterwaartse compatibiliteit
maar het gebruik ervan wordt niet aanbevolen vanwege de verwarrende naam.

Als er geen ticketbestand (met -k) of opdracht is opgegeven op de opdrachtregel, k5start zal gebruiken
de omgevingsvariabele KRB5CCNAME om de locatie van de ticketverlening te bepalen
ticket. Als er een opdracht is opgegeven of de -k optie wordt gebruikt, wordt KRB5CCNAME ingesteld
om naar het ticketbestand te verwijzen voordat u de aklog programma of een opdracht gegeven op het
opdrachtregel.

Gebruik k5start online met behulp van onworks.net-services