angielskufrancuskihiszpański

Uruchom serwery | Ubuntu > | Fedora > |


Ulubiona usługa OnWorks

k5start - Online w chmurze

Uruchom k5start u dostawcy bezpłatnego hostingu OnWorks przez Ubuntu Online, Fedora Online, emulator online Windows lub emulator online MAC OS

To jest polecenie k5start, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu darmowych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online Windows lub emulator online MAC OS

PROGRAM:

IMIĘ


k5start - Uzyskaj i opcjonalnie zachowaj aktywny bilet Kerberos

STRESZCZENIE


k5start [-abFhLnPqstvx] [-c dziecko Pid filet] [-f klawiatura]
[-g grupa] [-H minuty] [-I usługa przykład]
[-i klient przykład] [-K minuty] [-k bilet Pamięć podręczna]
[-l czas ciąg] [-m tryb] [-o właściciel]
[-p Pid filet] [-r usługa królestwo] [-S usługa Nazwa]
[-u klient główny] [główny [komenda ...]]

k5start -U -f klawiatura [-abFhLnPqstvx] [-c dziecko Pid filet]
[-g grupa] [-H minuty] [-I usługa przykład]
[-K minuty] [-k bilet Pamięć podręczna] [-l czas ciąg]
[-m tryb] [-o właściciel] [-p Pid filet]
[-r usługa królestwo] [-S usługa Nazwa] [komenda ...]

OPIS


k5start uzyskuje i buforuje początkowy bilet Kerberos przyznający bilet dla podmiotu zabezpieczeń.
k5start może być używany jako alternatywa dla kinit, ale jest przeznaczony głównie do użytku przez
programy, które chcą używać tablicy kluczy do uzyskiwania poświadczeń Kerberos, takie jak serwer WWW
który wymaga uwierzytelnienia w innej usłudze, takiej jak serwer LDAP.

Zwykle zleceniodawca, za który wystawiane są bilety, powinien być określony jako pierwszy
argumenty. główny może być tylko nazwą główną (w tym opcjonalną instancją)
lub pełny ciąg podmiotu i dziedziny. ten -u i -i opcje mogą być używane jako alternatywa
mechanizm określania zleceniodawcy, ale generalnie nie są tak wygodne. Jeśli nie
główny jest podawany jako pierwszy argument lub argument -u opcja,
domyślną nazwą główną klienta jest uniksowa nazwa użytkownika uruchomionego k5start domyślnie
lokalne królestwo.

Opcjonalnie polecenie może być podane w wierszu poleceń k5start. Jeśli tak, to polecenie to
uruchom po uwierzytelnieniu Kerberos (i uruchomieniu aklog w razie potrzeby), z odpowiednim
zmienne środowiskowe ustawione tak, aby wskazywały odpowiednią pamięć podręczną biletów. k5start będzie wtedy
kontynuuj działanie, budząc się okresowo, aby odświeżyć dane uwierzytelniające nieco wcześniej niż by to zrobiły
wygasa, dopóki polecenie się nie zakończy. (Częstotliwość, z jaką budzi się do odświeżenia
poświadczenia mogą być nadal kontrolowane za pomocą -K opcja.) Aby uruchomić w tym trybie,
Principal musi być określony jako zwykły argument wiersza poleceń lub poprzez -U
opcja; ten -u i -i opcje nie mogą być używane. Ponadto, tablica klawiszy musi być określona za pomocą -f
uruchomić określone polecenie.

Polecenie nie zostanie uruchomione przy użyciu powłoki, więc jeśli chcesz używać metaznaków powłoki w
polecenie z ich specjalnym znaczeniem, podaj "sh -c Komenda" jako polecenie do uruchomienia i
zacytować komenda.

Jeśli polecenie zawiera opcje wiersza poleceń (takie jak "-c"), wstaw -- w wierszu poleceń
przed początkiem polecenia do powiedzenia k5start aby nie analizować tych opcji jako własnych.

Uruchamiając polecenie, k5start przekazuje do dziecka sygnały HUP, TERM, INT i QUIT
procesu i nie kończy działania po odebraniu tych sygnałów. (Jeśli propagowany sygnał
powoduje zakończenie procesu potomnego, k5start następnie wyjdzie.) To pozwala k5start reagować
prawidłowo, gdy są uruchamiane w systemie nadzoru dowodzenia, takim jak: Uruchom(8) lub svscan(8) to
wykorzystuje sygnały do ​​sterowania nadzorowanymi poleceniami i do uruchamiania interaktywnych poleceń, które powinny:
odbierz Ctrl+C.

Jeśli biegnie k5start otrzymuje sygnał ALRM, natychmiast odświeża pamięć podręczną biletów
niezależnie od tego, czy grozi mu wygaśnięcie.

If k5start jest uruchamiany za pomocą polecenia lub -K flaga i -x flaga nie jest podana, zostanie zachowana
próbuje, nawet jeśli początkowe uwierzytelnienie nie powiedzie się. Ponowna próba początkowego uwierzytelnienia
natychmiast, a następnie z wykładniczym wycofywaniem się raz na minutę i próbuj dalej, aż
uwierzytelnianie się powiedzie lub zostanie zabite. Polecenie, jeśli istnieje, nie zostanie uruchomione, dopóki
uwierzytelnianie się powiedzie.

OPCJE


-a Po uruchomieniu z -K flaga lub komenda, zawsze odnawiaj bilety za każdym razem k5start
budzi się. Bez tej opcji k5start tylko spróbuje odnowić bilet tak często, jak
niezbędne, aby bilet nie stracił ważności. Dzięki tej opcji k5start odnowi się
bilety zgodnie z interwałem określonym w -K flag.

To zachowanie prawdopodobnie powinno być domyślnym zachowaniem -K. Wartość domyślna to
niezmienione, aby uniknąć zmian dla istniejących użytkowników, ale w przypadku nowych aplikacji należy rozważyć
zawsze używam -a z -K.

Ta opcja jest ważna, jeśli inny program manipuluje pamięcią podręczną biletów, która
k5start jest używane. Na przykład, jeśli inny program automatycznie odnawia bilet
częściej niż k5start, następnie k5start nigdy nie zobaczę biletu, który jest blisko
wygasa i dlatego domyślnie nigdy nie będzie próbował odnowić biletu. To znaczy
że k5start również nigdy nie odnowi tokenów AFS, nawet jeśli -t podano opcję, ponieważ
k5start odnawia tokeny AFS dopiero po pomyślnym odnowieniu biletu. Jeśli ta opcja
jest określona w takiej sytuacji, k5start odnowi swój bilet za każdym razem, gdy sprawdzi
bilet, więc tokeny AFS zostaną odnowione.

Ten argument jest ważny tylko w połączeniu z -K lub polecenie do uruchomienia.

-b Po uruchomieniu odłącz się od terminala sterującego i uruchom w tle. Ten
opcja ma sens tylko w połączeniu z -K lub polecenie, które k5start będzie
działa i może być używany tylko wtedy, gdy określono tablicę klawiszy za pomocą -f. k5start nie będzie
tło, aż do jednorazowej próby uwierzytelnienia, tak aby każdy inicjał
błędy zostaną zgłoszone, ale następnie przekieruje dane wyjściowe do / dev / null i nie
kolejne błędy zostaną zgłoszone.

Jeśli ta flaga jest podana, k5start zmieni również katalogi na "/". Wszystkie ścieżki (takie
co do polecenia uruchomienia lub pliku PID) należy zatem podać jako bezwzględne, a nie
względne, ścieżki.

Jeśli zostanie użyte w połączeniu z poleceniem do uruchomienia, to polecenie zostanie również uruchomione w
w tle, a także jego wejście i wyjście zostanie przekierowane do / dev / null. To będzie
muszą zgłaszać wszelkie błędy za pośrednictwem innego mechanizmu, aby błędy były widoczne.

Zwróć uwagę, że w systemie Mac OS X domyślnym typem pamięci podręcznej biletów jest na sesję i użycie -b
flaga odłączy się k5start z istniejącej pamięci podręcznej biletów. Podczas używania -b in
łącznie z -K w systemie Mac OS X prawdopodobnie chcesz również użyć -k flaga do określenia
plik pamięci podręcznej biletów i wymusza użycie pamięci podręcznej plików.

Korzystając z tej opcji, rozważ również użycie -L Zgłosić k5start błędy do sysloga.

-c dziecko Pid filet
Zapisz identyfikator procesu (PID) procesu podrzędnego w dziecko Pid filet. dziecko Pid filet is
utworzony, jeśli nie istnieje i nadpisany, jeśli istnieje. Ta opcja jest tylko
dozwolone, gdy polecenie zostało wydane w wierszu poleceń i jest najbardziej przydatne w połączeniu
z -b aby umożliwić zarządzanie uruchomionym procesem podrzędnym.

Zwróć uwagę, że w przypadku użycia z -b, plik PID jest wypisywany po k5start is
w tle i zmienia swój katalog roboczy na /, a więc ścieżki względne dla PID
plik będzie względny do / (prawdopodobnie nie to, czego chcesz).

-F Nie otrzymuj biletów, które można przekazać, nawet jeśli lokalna konfiguracja mówi, aby uzyskać możliwość przekazywania
bilety domyślnie. Bez tej flagi k5start robi to, co jest domyślne w bibliotece.

-f klawiatura
Uwierzytelnij się za pomocą keytab klawiatura zamiast prosić o hasło. Klucz do
zleceniodawca musi być obecny w klawiatura.

-g grupa
Po utworzeniu pamięci podręcznej biletów zmień jej własność grupy na grupa, Które może być
albo nazwę grupy, albo numeryczny identyfikator grupy. Skrzynki z biletami są tworzone z 0600
uprawnień domyślnie, więc nie przyniesie to żadnego użytecznego efektu, chyba że zostanie użyte z -m.

-H minuty
Sprawdź, czy masz szczęśliwy bilet, zdefiniowany jako taki, który ma pozostały czas życia co najmniej
minuty minuty. Jeśli taki bilet zostanie znaleziony, nie próbuj uwierzytelniania. Zamiast,
po prostu uruchom polecenie (jeśli zostało określone) lub wyjdź natychmiast ze statusem 0 (jeśli brak)
było). W przeciwnym razie spróbuj uzyskać nowy bilet, a następnie uruchom polecenie, jeśli takie istnieje.

If -H jest używany z -t, program zewnętrzny będzie zawsze uruchamiany, nawet jeśli bilet z
znaleziono wystarczający pozostały czas życia.

If -H jest używany z -K, k5start nie wyjdzie natychmiast. Zamiast tego określony
pozostały czas życia zastąpi domyślną wartość dwóch minut, co oznacza, że k5start
zapewni, za każdym razem, gdy się obudzi, że bilet ma pozostały czas życia
minuty argument. To jest alternatywa dla -a aby bilety zawsze miały
pewna minimalna ilość pozostałego czasu życia.

-h Wyświetl komunikat o użyciu i wyjdź.

-I usługa przykład
Część wystąpienia jednostki usługi. Wartość domyślna to domyślna dziedzina
maszyna. Zwróć uwagę, że w przeciwieństwie do jednostki klienta, jednostka usługi niedomyślna
musi być określony za pomocą -I i -S; nie można dostarczyć części instancji w ramach
argument za… -S.

-i klient przykład
Określa część instancji podmiotu zabezpieczeń. Ta opcja nie ma sensu
z wyjątkiem w połączeniu z -u. Zauważ, że instancję można określić jako część
nazwa użytkownika przez normalną konwencję dodawania ukośnika, a następnie instancji, więc
nigdy nie trzeba korzystać z tej opcji.

-K minuty
Uruchom w trybie demona, aby utrzymać bilet przy życiu przez czas nieokreślony. Program budzi się ponownie po
minuty minut, sprawdza, czy bilet wygaśnie przed lub mniej niż dwie minuty
po następnej zaplanowanej kontroli i w razie potrzeby otrzymuje nowy bilet. (Innymi słowy, to
gwarantuje, że bilet zawsze będzie miał pozostały czas życia co najmniej dwa
minut.) Jeśli -H podana jest również flaga, czas życia przez nią określony zastępuje dwa
domyślna minuta.

Jeśli ta opcja nie jest podana, ale polecenie zostało wydane w wierszu poleceń, domyślnie
interwał wynosi 60 minut (1 godzina).

Jeśli wystąpi błąd podczas odświeżania pamięci podręcznej biletów, interwał budzenia będzie
skrócone do jednej minuty, a operacja była ponawiana w tym odstępie czasu tak długo, jak
błąd nadal występuje.

-k bilet Pamięć podręczna
Zastosowanie bilet Pamięć podręczna jako pamięć podręczna biletów, a nie zawartość środowiska
zmienna KRB5CCNAME lub domyślna biblioteka. bilet Pamięć podręczna może być dowolna pamięć podręczna biletów
identyfikator rozpoznawany przez podstawowe biblioteki Kerberos. To generalnie wspiera
ścieżka do pliku, z lub bez początkowego ciągu „FILE:”, ale może również obsługiwać inne
typy pamięci podręcznej biletów.

Jeśli którykolwiek z -o, -glub -m są podane, bilet Pamięć podręczna musi być prostą ścieżką do pliku
lub zacznij od "PLIK:" lub "WRFILE:".

-L Zgłaszaj komunikaty do dziennika systemowego, a także na standardowe wyjście lub standardowe błędy. Wszystko
wiadomości będą rejestrowane z funkcją LOG_DAEMON. Wyświetlane regularne komunikaty
na standardowym wyjściu są rejestrowane z poziomem LOG_NOTICE. Błędy, które nie powodują k5start
do zakończenia są rejestrowane z poziomem LOG_WARNING. Błędy krytyczne są rejestrowane wraz z poziomem
LOG_ERR.

Jest to przydatne podczas debugowania problemów w połączeniu z -b.

-l czas ciąg
Ustaw czas życia biletu. czas ciąg powinien być w formacie rozpoznawanym przez Kerberos
biblioteki do określania czasów, takie jak „10h” (dziesięć godzin) lub „10m” (dziesięć minut).
Znane jednostki to „s”, „m”, „h” i „d”. Aby uzyskać więcej informacji, zobacz kinit(1).

-m tryb
Po utworzeniu pamięci podręcznej biletów zmień jej uprawnienia do plików na tryb, który musi być
tryb pliku w formacie ósemkowym (na przykład 640 lub 444).

Ustawianie a tryb to nie pozwala k5start czytać lub pisać do pamięci podręcznej biletów będzie
przyczyna k5start zawieść i wyjść podczas korzystania z -K opcja lub uruchomienie polecenia.

-n Ignorowane, obecne dla zgodności opcji z przestarzałą wersją k4start.

-o właściciel
Po utworzeniu pamięci podręcznej biletów zmień jej właściciela na właściciel, który może być albo
nazwa użytkownika lub numeryczny identyfikator użytkownika. Gdyby właściciel to nazwa użytkownika i -g był
nie podano również, zmień również własność grupy pamięci podręcznej biletów na domyślną
grupy dla tego użytkownika.

-P Nie otrzymuj biletów proxiable, nawet jeśli lokalna konfiguracja mówi, aby uzyskać proxiable
bilety domyślnie. Bez tej flagi k5start robi to, co jest domyślne w bibliotece.

-p Pid filet
Zapisz identyfikator procesu (PID) uruchomionego k5start przetwarzać w Pid filet. Pid filet is
utworzony, jeśli nie istnieje i nadpisany, jeśli istnieje. Ta opcja jest najbardziej
przydatne w połączeniu z -b aby umożliwić zarządzanie bieganiem k5start demon.

Zwróć uwagę, że w przypadku użycia z -b plik PID jest wypisywany po k5start jest w tle
i zmienia swój katalog roboczy na /, więc ścieżki względne do pliku PID będą
w stosunku do / (prawdopodobnie nie to, czego chcesz).

-q Cichy. Pomija drukowanie początkowego komunikatu baneru mówiącego, co Kerberos
pozyskiwane są główne bilety, a także pomija pytanie o hasło, gdy:
die,en -s podana jest opcja.

-r usługa królestwo
Dziedzina jednostki usługi. Domyślnie jest to domyślna dziedzina lokalna.

-S usługa Nazwa
Określa zleceniodawcę, dla którego k5start otrzymuje bilet serwisowy. Domyślny
wartość to „krbtgt”, aby uzyskać bilet nadania biletu. Ta opcja (wraz z -I)
może być używany, jeśli potrzebny jest tylko dostęp do jednej usługi. Zauważ, że w przeciwieństwie do klienta
jednostka główna, jednostka główna usługi niedomyślna musi być określona z obydwoma wartościami -S i -I; jeden
nie może dostarczyć części instancji jako części argumentu do -S.

-s Odczytaj hasło ze standardowego wejścia. To omija zwykłe pytanie o hasło,
co oznacza, że ​​echo nie jest tłumione, a wejście nie jest zmuszane do sterowania
terminal. Większość zastosowań tej opcji stanowi zagrożenie bezpieczeństwa. Zwykle chcesz użyć
klawiatura i -f opcja zamiast.

-t Uruchom zewnętrzny program po otrzymaniu biletu. Domyślnym zastosowaniem tego jest uruchomienie
aklog aby otrzymać token. Jeśli ustawiona jest zmienna środowiskowa KINIT_PROG, zastępuje ona
wkompilowany domyślnie.

If k5start został zbudowany z AFS setpag() wsparcie i polecenie zostało wydane na
wiersz poleceń, k5start utworzy nową PAG przed uzyskaniem tokenów AFS. Inaczej,
uzyska tokeny w aktualnym PAG.

-U Zamiast wymagać podania nazwy głównej uwierzytelniania w wierszu poleceń, przeczytaj
to z tablicy klawiszy określonej za pomocą -f. Zleceniodawca zostanie pobrany od pierwszego
wpis w zakładce klawiszy. -f należy określić, jeśli ta opcja jest używana.

Gdy -U jest podawany, k5start nie będzie oczekiwać, że w poleceniu zostanie podane główne imię
wiersz, a wszelkie argumenty po opcjach zostaną potraktowane jako polecenie do uruchomienia.

-u klient główny
Określa podmiot zabezpieczeń do uzyskania poświadczeń jako. Cały zleceniodawca może być
określone tutaj, lub alternatywnie tylko pierwsza część może być określona z tym
flaga i instancja określona za pomocą -i.

Pamiętaj, że zwykle nie ma powodu, aby używać tej flagi, zamiast po prostu podawać
Principal w wierszu poleceń jako pierwszy zwykły argument.

-v Bądź gadatliwy. Spowoduje to wydrukowanie dodatkowych informacji o tym, co się dzieje
próbował i jakie są wyniki.

-x Wyjdź natychmiast po każdym błędzie. Zwykle po uruchomieniu polecenia lub po uruchomieniu z
-K opcja, k5start działa, nawet jeśli nie odświeży pamięci podręcznej biletów i będzie
spróbuj ponownie w następnym interwale sprawdzania. Dzięki tej opcji k5start zamiast tego wyjdzie.

POWRÓT WARTOŚCI


Program kończy pracę ze statusem 0, jeśli pomyślnie otrzyma bilet lub ma szczęśliwy bilet
(Patrz -H). Jeśli k5start uruchamia aklog lub inny program k5start zwraca status wyjścia
ten program.

PRZYKŁAD


Użyj /etc/krb5.keytab keytab do uzyskania biletu przyznającego bilet dla zleceniodawcy
host/example.com, umieszczanie pamięci podręcznej biletów /tmp/usługa.tkt. Żywotność to 10 godzin
a program budzi się co 10 minut, aby sprawdzić, czy bilet wkrótce wygaśnie.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/example.com

Zrób to samo, ale używając domyślnej pamięci podręcznej biletów i uruchom polecenie
/usr/local/bin/auth-backup. k5start będzie działać aż do zakończenia polecenia. Gdyby
początkowe uwierzytelnianie nie powiedzie się, próbuj dalej i nie uruchamiaj polecenia, dopóki się nie pojawi
się powiedzie. Może to być użyte podczas uruchamiania systemu w przypadku polecenia, które musi być poprawne
bilety przed rozpoczęciem i toleruje posiadanie k5start zacznij, zanim sieć zostanie
całkowicie skonfigurowany.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup

Pokazuje uprawnienia tymczasowego pliku pamięci podręcznej utworzonego przez k5start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

Zwróć uwagę na „--” przed poleceniem zachowania k5start od parsowania "-c" jako własnego
opcja.

Zrób to samo, ale określ zleceniodawcę z karty kluczy:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Zwróć uwagę, że przed poleceniem nie podano żadnego podmiotu głównego.

Rozpoczyna k5start jako demon korzystający z Debiana start-stop-demon program zarządzania. To jest
rodzaj linii, którą można umieścić w skrypcie startowym Debiana:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

To używa /var/run/k5start.pid jako plik PID i uzyskuje bilety host/example.com z
plik tabeli kluczy systemowych. k5start zostałby wówczas zatrzymany za pomocą:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Ten kod można dodać do skryptu init dla Apache, na przykład, aby rozpocząć a k5start
przetwarzać razem z Apache, aby zarządzać jego danymi uwierzytelniającymi Kerberos.

ŚRODOWISKO


Jeśli ustawiona jest zmienna środowiskowa AKLOG, jej wartość będzie używana jako program do uruchomienia
z -t a nie domyślnie przestrzegane k5start. Jeśli AKLOG nie jest ustawiony i KINIT_PROG
jest ustawiona, zamiast tego zostanie użyta jego wartość. KINIT_PROG jest honorowany za kompatybilność wsteczną
ale jego użycie nie jest zalecane ze względu na mylącą nazwę.

Jeśli nie ma pliku biletu (z -k) lub polecenie jest podane w wierszu poleceń, k5start będzie użyty
zmienna środowiskowa KRB5CCNAME do określenia lokalizacji przyznania biletu
bilet. Jeśli podano polecenie lub -k używana jest opcja KRB5CCNAME zostanie ustawiona
wskazać plik biletu przed uruchomieniem aklog program lub dowolne polecenie podane na
wiersz poleceń.

Korzystaj z k5start online za pomocą usług onworks.net


Ad


Ad