k5start — online w chmurze

PROGRAM:

IMIĘ

k5start — Uzyskaj i opcjonalnie utrzymuj aktywny bilet Kerberos

STRESZCZENIE

k5 start [-abFhLnPqstvx] [-c dziecko Pid filet] [-f klawiatura]
[-g grupa] [-H minuty] [-I usługa przykład]
[-i klient przykład] [-K minuty] [-k bilet Pamięć podręczna]
[-l czas ciąg] [-m tryb] [-o właściciel]
[-p Pid filet] [-r usługa królestwo] [-S usługa Nazwa]
[-u klient główny] [główny [komenda ...]]

k5 start -U -f klawiatura [-abFhLnPqstvx] [-c dziecko Pid filet]
[-g grupa] [-H minuty] [-I usługa przykład]
[-K minuty] [-k bilet Pamięć podręczna] [-l czas ciąg]
[-m tryb] [-o właściciel] [-p Pid filet]
[-r usługa królestwo] [-S usługa Nazwa] [komenda ...]

OPIS

k5 start uzyskuje i przechowuje w pamięci podręcznej początkowy bilet uprawniający do biletu Kerberos dla podmiotu zabezpieczeń.
k5 start może być używany jako alternatywa dla kinit, ale jest przeznaczony głównie do użytku przez
programy, które chcą używać tabeli klawiszy do uzyskiwania poświadczeń Kerberos, takie jak serwer WWW
który wymaga uwierzytelnienia w innej usłudze, takiej jak serwer LDAP.

Normalnie jako pierwszy należy podać zleceniodawcę, któremu należy wystawić mandaty
argumenty. główny może być tylko nazwą główną (w tym opcjonalną instancją)
lub pełny łańcuch główny i dziedzina. The -u i -i opcji można użyć jako alternatywy
mechanizm określania podmiotu, ale generalnie nie są tak wygodne. Jeśli nie
główny jest podany jako pierwszy argument lub argument do -u opcja,
Domyślna nazwa klienta klienta to uniksowa nazwa użytkownika uruchomionego użytkownika k5 start w domyślnym
sfera lokalna.

Opcjonalnie w wierszu poleceń można wydać polecenie k5 start. Jeśli tak, to jest to polecenie
uruchom po uwierzytelnieniu Kerberos (i uruchomieniu Aklog w razie potrzeby) z odpowiednimi
zmienne środowiskowe ustawione tak, aby wskazywały właściwą pamięć podręczną biletów. k5 start będzie wtedy
kontynuują działanie, budząc się okresowo, aby odświeżyć dane uwierzytelniające nieco wcześniej
wygasa, aż do zakończenia polecenia. (Częstotliwość, z jaką budzi się w celu odświeżenia
poświadczenia nadal można kontrolować za pomocą programu -K opcja.) Aby uruchomić w tym trybie,
zleceniodawca musi być określony jako zwykły argument wiersza polecenia lub za pośrednictwem pliku -U
opcja; ten -u i -i opcje nie mogą być używane. Ponadto należy określić tabelę klawiszy za pomocą -f
wykonać określone polecenie.

Polecenie nie zostanie uruchomione przy użyciu powłoki, więc jeśli chcesz użyć metaznaków powłoki w
polecenie z ich specjalnym znaczeniem, podaj „sh -c Komenda" jako polecenie uruchomienia i
zacytować komenda.

Jeśli polecenie zawiera opcje wiersza poleceń (takie jak „-c”), umieść -- w wierszu poleceń
przed rozpoczęciem komendy powiedzieć k5 start aby nie analizować tych opcji jako własnych.

Uruchamiając polecenie, k5 start przekazuje do dziecka sygnały HUP, TERM, INT i QUIT
procesu i nie kończy działania po odebraniu tych sygnałów. (Jeśli propagowany sygnał
powoduje zakończenie procesu potomnego, k5 start następnie wyjdzie.) To pozwala k5 start reagować
prawidłowo, gdy są uruchamiane w systemie nadzoru dowodzenia, takim jak: Uruchom(8) lub svscan(8) to
wykorzystuje sygnały do ​​sterowania nadzorowanymi poleceniami i do uruchamiania interaktywnych poleceń, które powinny:
odbierz Ctrl+C.

Jeśli biegnie k5 start otrzymuje sygnał ALRM, natychmiast odświeża pamięć podręczną biletów
niezależnie od tego, czy grozi mu wygaśnięcie.

If k5 start jest uruchamiany za pomocą polecenia lub -K flaga i -x flaga nie zostanie podana, zostanie zachowana
próbuje, nawet jeśli początkowe uwierzytelnienie nie powiedzie się. Ponowi próbę wstępnego uwierzytelnienia
natychmiast, a następnie z wycofywaniem wykładniczym do raz na minutę i próbuj dalej, aż
uwierzytelnienie powiedzie się lub zostanie zabite. Komenda, jeśli istnieje, nie zostanie uruchomiona, dopóki
uwierzytelnienie się powiedzie.

OPCJE

-a Po uruchomieniu z -K flaga lub komenda, zawsze odnawiaj bilety za każdym razem k5 start
budzi się. Bez tej opcji k5 start tylko spróbuje odnowić bilet tak często, jak
niezbędne, aby bilet nie stracił ważności. Dzięki tej opcji k5 start odnowi się
bilety zgodnie z interwałem określonym w -K flag.

To zachowanie prawdopodobnie powinno być domyślnym zachowaniem -K. Wartość domyślna to
niezmienione, aby uniknąć zmian dla istniejących użytkowników, ale w przypadku nowych aplikacji należy rozważyć
zawsze używam -a w -K.

Ta opcja jest ważna, jeśli inny program manipuluje pamięcią podręczną biletów, która
k5 start jest używane. Na przykład, jeśli inny program automatycznie odnawia bilet
częściej niż k5 start, następnie k5 start nigdy nie zobaczę biletu, który jest blisko
wygasa i dlatego domyślnie nigdy nie będzie próbował odnowić biletu. To znaczy
że k5 start również nigdy nie odnowi tokenów AFS, nawet jeśli -t podano opcję, ponieważ
k5 start odnawia tokeny AFS dopiero po pomyślnym odnowieniu biletu. Jeśli ta opcja
jest określona w takiej sytuacji, k5 start odnowi swój bilet za każdym razem, gdy sprawdzi
bilet, więc tokeny AFS zostaną odnowione.

Ten argument jest ważny tylko w połączeniu z -K lub polecenie do uruchomienia.

-b Po uruchomieniu odłącz się od terminala sterującego i uruchom w tle. Ten
opcja ma sens tylko w połączeniu z -K lub polecenie, które k5 start będzie
uruchomiony i może być używany tylko wtedy, gdy określono keytab z -f. k5 start nie będzie
background, dopóki nie spróbuje raz uwierzytelnić, więc wszelkie inicjały
zostaną zgłoszone błędy, ale następnie przekieruje dane wyjściowe do / dev / null i nie
zostaną zgłoszone kolejne błędy.

Jeśli ta flaga jest podana, k5 start zmieni także katalogi na „/”. Wszystkie ścieżki (np
co do polecenia uruchomienia lub pliku PID) należy więc podawać bezwzględnie, a nie bezwzględnie
względne, ścieżki.

Jeśli zostanie użyte w połączeniu z poleceniem do uruchomienia, to polecenie zostanie również uruchomione w
w tle, a także jego wejście i wyjście zostanie przekierowane do / dev / null. To będzie
muszą zgłaszać wszelkie błędy za pośrednictwem innego mechanizmu, aby błędy były widoczne.

Należy pamiętać, że w systemie Mac OS X domyślny typ pamięci podręcznej biletów to na sesję i przy użyciu -b
flaga zostanie odłączona k5 start z istniejącej pamięci podręcznej biletów. Podczas używania -b in
łącznie z -K w systemie Mac OS X, prawdopodobnie chcesz również użyć -k flaga do określenia
plik pamięci podręcznej biletów i wymusić użycie pamięci podręcznej plików.

Korzystając z tej opcji, rozważ również użycie -L Zgłosić k5 start błędy do sysloga.

-c dziecko Pid filet
Zapisz identyfikator procesu (PID) procesu podrzędnego w dziecko Pid filet. dziecko Pid filet is
utworzony, jeśli nie istnieje i nadpisany, jeśli istnieje. Ta opcja jest tylko
dozwolone, gdy polecenie zostało wydane w wierszu poleceń i jest najbardziej przydatne w połączeniu
w -b aby umożliwić zarządzanie uruchomionym procesem podrzędnym.

Zwróć uwagę, że w przypadku użycia z -b, plik PID jest wypisywany po k5 start is
w tle i zmienia swój katalog roboczy na /, więc ścieżki względne dla PID
plik będzie względny / (prawdopodobnie nie to, czego chcesz).

-F Nie otrzymuj biletów z możliwością przekazywania, nawet jeśli lokalna konfiguracja mówi o możliwości przekazywania
bilety domyślnie. Bez tej flagi k5 start robi niezależnie od domyślnej biblioteki.

-f klawiatura
Uwierzytelnij za pomocą klawiatury klawiatura zamiast pytać o hasło. Klucz do
główny klient musi być obecny w klawiatura.

-g grupa
Po utworzeniu pamięci podręcznej zgłoszeń zmień własność grupy na grupa, Które może być
albo nazwę grupy, albo numeryczny identyfikator grupy. Pamięci podręczne biletów są tworzone za pomocą 0600
uprawnienia domyślnie, więc nie będzie to miało żadnego użytecznego efektu, chyba że zostanie użyte z -m.

-H minuty
Sprawdź szczęśliwy bilet, zdefiniowany jako taki, którego pozostały okres ważności wynosi co najmniej
minuty minuty. Jeśli taki bilet zostanie znaleziony, nie próbuj uwierzytelniać. Zamiast,
po prostu uruchom polecenie (jeśli zostało określone) lub natychmiast wyjdź ze statusem 0 (jeśli żaden
był). W przeciwnym razie spróbuj uzyskać nowy bilet, a następnie uruchom polecenie, jeśli istnieje.

If -H jest używany z -t, program zewnętrzny będzie zawsze uruchamiany, nawet jeśli bilet z a
znaleziono wystarczający pozostały czas życia.

If -H jest używany z -K, k5 start nie wyjdzie natychmiast. Zamiast tego określony
pozostały czas życia zastąpi domyślną wartość dwóch minut, co oznacza, że k5 start
zapewni, za każdym razem, gdy się obudzi, że bilet ma pozostały czas życia
minuty argument. To jest alternatywa dla -a aby bilety zawsze miały
pewna minimalna ilość pozostałego czasu życia.

-h Wyświetl komunikat o użyciu i wyjdź.

-I usługa przykład
Część wystąpienia jednostki usługi. Wartość domyślna to domyślna dziedzina
maszyna. Należy zauważyć, że w przeciwieństwie do podmiotu klienta, niedomyślna jednostka usługi
musi być określony z -I i -S; nie można zapewnić części instancji jako części
argument za… -S.

-i klient przykład
Określa część wystąpienia podmiotu zabezpieczeń. Ta opcja nie ma sensu
chyba że w połączeniu z -u. Należy zauważyć, że instancję można określić jako część
nazwa użytkownika poprzez normalną konwencję dodawania ukośnika, a następnie instancji, więc
nigdy nie trzeba korzystać z tej opcji.

-K minuty
Uruchom w trybie demona, aby utrzymać bilet przy życiu przez czas nieokreślony. Program budzi się ponownie po
minuty minut, sprawdza, czy bilet wygaśnie przed lub mniej niż dwie minuty
po następnej zaplanowanej kontroli i w razie potrzeby otrzymuje nowy bilet. (Innymi słowy, to
gwarantuje, że bilet zawsze będzie miał pozostały czas życia co najmniej dwa
minut.) Jeśli -H podana jest również flaga, czas życia przez nią określony zastępuje dwa
domyślna minuta.

Jeśli ta opcja nie jest podana, ale polecenie zostało wydane w wierszu poleceń, domyślnie
interwał wynosi 60 minut (1 godzina).

Jeśli podczas odświeżania pamięci podręcznej biletów wystąpi błąd, interwał budzenia będzie wynosił
skrócony do jednej minuty, a operacja ponawiana w tym przedziale tak długo, jak długo
błąd nadal występuje.

-k bilet Pamięć podręczna
Zastosowanie bilet Pamięć podręczna jako pamięć podręczna biletów, a nie zawartość środowiska
zmienna KRB5CCNAME lub domyślna biblioteka. bilet Pamięć podręczna może być dowolna pamięć podręczna biletów
identyfikator rozpoznawany przez podstawowe biblioteki Kerberos. To generalnie wspiera
ścieżka do pliku, z lub bez początkowego ciągu „FILE:”, ale może również obsługiwać inne
typy pamięci podręcznej biletów.

Jeśli którykolwiek z -o, -glub -m są podane, bilet Pamięć podręczna musi być prostą ścieżką do pliku
lub zacznij od „FILE:” lub „WRFILE:”.

-L Zgłaszaj komunikaty do dziennika systemowego, a także na standardowe wyjście lub standardowe błędy. Wszystko
wiadomości będą rejestrowane z funkcją LOG_DAEMON. Wyświetlane regularne komunikaty
na standardowym wyjściu są rejestrowane z poziomem LOG_NOTICE. Błędy, które nie powodują k5 start
do zakończenia są logowane z poziomem LOG_WARNING. Błędy krytyczne są rejestrowane wraz z poziomem
LOG_ERR.

Jest to przydatne podczas debugowania problemów w połączeniu z -b.

-l czas ciąg
Ustaw czas życia biletu. czas ciąg powinny być w formacie rozpoznawanym przez protokół Kerberos
biblioteki do określania czasu, takie jak „10h” (dziesięć godzin) lub „10m” (dziesięć minut).
Znane jednostki to „s”, „m”, „h” i „d”. Aby uzyskać więcej informacji, zobacz kinit(1).

-m tryb
Po utworzeniu pamięci podręcznej zgłoszeń zmień jej uprawnienia do plików na tryb, który musi być
tryb pliku w systemie ósemkowym (na przykład 640 lub 444).

Ustawianie a tryb to nie pozwala k5 start odczytywać lub zapisywać w pamięci podręcznej biletów
przyczyna k5 start zakończyć się niepowodzeniem i wyjść podczas korzystania z -K opcję lub uruchomić polecenie.

-n Ignorowane, obecne dla zgodności opcji z przestarzałymi k4 start.

-o właściciel
Po utworzeniu pamięci podręcznej zgłoszeń zmień jej właściciela na właściciel, który może być albo
nazwa użytkownika lub numeryczny identyfikator użytkownika. Jeśli właściciel to nazwa użytkownika i -g była
również nie podano, zmień również własność grupy w pamięci podręcznej biletów na domyślną
grupę dla tego użytkownika.

-P Nie otrzymuj biletów proxy, nawet jeśli lokalna konfiguracja mówi, aby uzyskać proxy
bilety domyślnie. Bez tej flagi k5 start robi niezależnie od domyślnej biblioteki.

-p Pid filet
Zapisz identyfikator procesu (PID) uruchomionego k5 start przetwarzać w Pid filet. Pid filet is
utworzony, jeśli nie istnieje i nadpisany, jeśli istnieje. Ta opcja jest najbardziej
przydatne w połączeniu z -b aby umożliwić zarządzanie bieganiem k5 start demon.

Zwróć uwagę, że w przypadku użycia z -b plik PID jest wypisywany po k5 start jest w tle
i zmienia swój katalog roboczy na /, więc ścieżki względne do pliku PID będą
w stosunku do / (prawdopodobnie nie to, czego chcesz).

-q Cichy. Pomija drukowanie początkowego komunikatu banerowego z informacją, co to jest Kerberos
główne bilety są uzyskiwane, a także pomija monit o podanie hasła, kiedy
dotychczasowy -s podana jest opcja.

-r usługa królestwo
Dziedzina dla nazwy głównej usługi. Domyślnie jest to domyślna dziedzina lokalna.

-S usługa Nazwa
Określa podmiot, dla którego k5 start otrzymuje bilet serwisowy. Domyślny
wartość to „krbtgt”, aby uzyskać bilet przyznający bilet. Ta opcja (wraz z -I)
może być używany, jeśli potrzebny jest dostęp tylko do jednej usługi. Zauważ, że w przeciwieństwie do klienta
podmiot główny, z obydwoma musi być określona jednostka usługi inna niż domyślna -S i -I; jeden
nie może podać części instancji jako części argumentu do -S.

-s Odczytaj hasło ze standardowego wejścia. Pomija to normalny monit o podanie hasła,
co oznacza, że ​​echo nie jest tłumione, a wejście nie jest wymuszane przez sterowanie
terminal. Większość zastosowań tej opcji stanowi zagrożenie dla bezpieczeństwa. Zwykle chcesz użyć a
zakładka klawiszy i -f opcja zamiast.

-t Uruchom zewnętrzny program po otrzymaniu biletu. Domyślnym zastosowaniem tego jest uruchomienie
Aklog aby otrzymać token. Jeśli ustawiona jest zmienna środowiskowa KINIT_PROG, zastępuje ona
wkompilowany domyślnie.

If k5 start został zbudowany z AFS ustaw pag() wsparcie i polecenie zostało wydane na
wiersz poleceń, k5 start utworzy nowy PAG przed uzyskaniem tokenów AFS. W przeciwnym razie,
uzyska tokeny w bieżącym PAG.

-U Zamiast wymagać podania podmiotu uwierzytelniania w wierszu poleceń, przeczytaj
go z klawiatury określonej za pomocą -f. Główny zostanie pobrany od pierwszego
wpis w karcie klawiszy. -f należy określić, jeśli ta opcja jest używana.

Kiedy -U jest podawany, k5 start nie będzie oczekiwał, że w poleceniu zostanie podane główne imię
linii, a wszelkie argumenty po opcjach będą traktowane jako polecenie do uruchomienia.

-u klient główny
Określa zleceniodawcę, który ma uzyskać poświadczenia jako. Może być cały dyrektor
określony tutaj, lub alternatywnie tylko pierwsza część może być określona z tym
flag i instancja określona za pomocą -i.

Zauważ, że zwykle nie ma powodu, aby używać tej flagi, zamiast po prostu podać the
główny w wierszu poleceń jako pierwszy zwykły argument.

-v Bądź gadatliwy. Spowoduje to wydrukowanie dodatkowych informacji o tym, co się dzieje
próbował i jakie są wyniki.

-x Wyjdź natychmiast po każdym błędzie. Zwykle po uruchomieniu polecenia lub po uruchomieniu z
-K opcja, k5 start działa nawet wtedy, gdy nie udaje się odświeżyć pamięci podręcznej zgłoszeń i tak się stanie
spróbuj ponownie przy następnej kontroli. Dzięki tej opcji k5 start zamiast tego wyjdzie.

POWRÓT WARTOŚCI

Program kończy pracę ze statusem 0, jeśli pomyślnie otrzyma bilet lub ma szczęśliwy bilet
(Patrz -H). Jeśli k5 start uruchamia aklog lub inny program k5 start zwraca status wyjścia
ten program.

PRZYKŁAD

Użyj /etc/krb5.keytab keytab, aby uzyskać bilet przyznający bilet dla zleceniodawcy
host/example.com, umieszczając pamięć podręczną biletów /tmp/service.tkt. Żywotność wynosi 10 godzin
a program budzi się co 10 minut, aby sprawdzić, czy bilet wkrótce wygaśnie.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/przyklad.com

Zrób to samo, ale używając domyślnej pamięci podręcznej biletów i uruchom polecenie
/usr/local/bin/auth-backup. k5 start będzie działać aż do zakończenia polecenia. Jeśli
początkowe uwierzytelnianie nie powiedzie się, próbuj dalej i nie uruchamiaj polecenia, dopóki się nie powiedzie
udaje się. Można tego użyć podczas uruchamiania systemu dla polecenia, które musi być ważne
biletów przed rozpoczęciem i toleruje ich posiadanie k5 start zacznij zanim powstanie sieć
całkowicie ustawiony.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup

Pokazuje uprawnienia tymczasowego pliku pamięci podręcznej utworzonego przez k5 start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

Zwróć uwagę na „--” przed poleceniem zachowania k5 start od parsowania „-c” jako własnego
opcja.

Zrób to samo, ale określ zasadę z tabeli klawiszy:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Zwróć uwagę, że przed poleceniem nie podano zasady.

Rozpoczyna k5 start jako demon używający Debiana start-stop-demon program zarządzania. To jest
rodzaj linii, którą można umieścić w skrypcie inicjującym Debiana:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

To używa /var/run/k5start.pid jako plik PID i uzyskuje bilety z hosta/example.com
plik tabeli kluczy systemowych. k5 start zostanie zatrzymany za pomocą:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Ten kod można dodać do skryptu init dla Apache, na przykład, aby uruchomić plik k5 start
proces wraz z Apache do zarządzania poświadczeniami Kerberos.

ŚRODOWISKO

Jeśli ustawiona jest zmienna środowiskowa AKLOG, jej wartość będzie używana jako program do uruchomienia
w -t a nie domyślnie przestrzegane k5 start. Jeśli AKLOG nie jest ustawiony i KINIT_PROG
jest ustawiona, zamiast tego zostanie użyta jego wartość. KINIT_PROG jest honorowany za kompatybilność wsteczną
ale jego użycie nie jest zalecane ze względu na mylącą nazwę.

Jeśli nie ma pliku biletu (z -k) lub polecenie jest podane w wierszu poleceń, k5 start będzie użyty
zmienna środowiskowa KRB5CCNAME do określenia lokalizacji przyznania biletu
bilet. Jeśli podano polecenie lub plik -k zostanie użyta opcja KRB5CCNAME zostanie ustawiona
aby wskazać plik biletu przed uruchomieniem Aklog programu lub dowolnego polecenia wydanego na
wiersz poleceń.

Korzystaj z k5start online, korzystając z usług onworks.net