k5start - Online na nuvem

PROGRAMA:

NOME

k5start - Obtenha e, opcionalmente, mantenha ativo um tíquete Kerberos

SINOPSE

k5start [-abFhLnPqstvx] [-c criança pid lima] [-f tecla]
[-g grupo] [-H minutos] [-I serviço instância]
[-i cliente instância] [-K minutos] [-k bilhete esconderijo]
[-l tempo corda] [-m modo] [-o proprietário]
[-p pid lima] [-r serviço reino] [-S serviço nome]
[-u cliente principal] [principal [comando ...]]

k5start -U -f tecla [-abFhLnPqstvx] [-c criança pid lima]
[-g grupo] [-H minutos] [-I serviço instância]
[-K minutos] [-k bilhete esconderijo] [-l tempo corda]
[-m modo] [-o proprietário] [-p pid lima]
[-r serviço reino] [-S serviço nome] [comando ...]

DESCRIÇÃO

k5start obtém e armazena em cache um tíquete de concessão de tíquete Kerberos inicial para um principal.
k5start pode ser usado como uma alternativa para Kinit, mas destina-se principalmente a ser usado por
programas que desejam usar um keytab para obter credenciais Kerberos, como um servidor web
que precisa se autenticar em outro serviço, como um servidor LDAP.

Normalmente, o principal para o qual dar os ingressos deve ser especificado como o primeiro
argumento. principal pode ser apenas um nome principal (incluindo a instância opcional)
ou uma string completa de principal e domínio. o -u e -i as opções podem ser usadas como alternativa
mecanismo para especificar o principal, mas geralmente não são tão convenientes. Se não
principal é dado como o primeiro argumento ou o argumento para o -u opção, o
cliente principal padrão para o nome de usuário Unix do usuário executando k5start no padrão
reino local.

Opcionalmente, um comando pode ser dado na linha de comando do k5start. Nesse caso, esse comando é
executado após a autenticação Kerberos (e executando Aklog se desejado), com o apropriado
variáveis ​​de ambiente definidas para apontá-lo para o cache de tíquetes correto. k5start irá então
continuar executando, acordando periodicamente para atualizar as credenciais um pouco antes de
expirar, até que o comando seja concluído. (A frequência com que ele acorda para se atualizar
as credenciais ainda podem ser controladas com o -K opção.) Para executar neste modo, o
principal deve ser especificado como um argumento de linha de comando regular ou por meio do -U
opção; a -u e -i opções não podem ser usadas. Além disso, um keytab deve ser especificado com -f
para executar um comando específico.

O comando não será executado usando o shell, então se você quiser usar metacaracteres shell em
o comando com seu significado especial, dê "sh -c comando" como o comando para executar e
citar comando.

Se o comando contiver opções de linha de comando (como "-c"), coloque - na linha de comando
antes do início do comando para contar k5start para não analisar essas opções como se fossem suas.

Ao executar um comando, k5start propaga sinais HUP, TERM, INT e QUIT para o filho
processo e não sai quando esses sinais são recebidos. (Se o sinal propagado
faz com que o processo filho saia, k5start sairá.) Isso permite k5start reagir
corretamente quando executado sob um sistema de supervisão de comando, como executá-lo(8) ou svscan(8) que
usa sinais para controlar comandos supervisionados e para executar comandos interativos que devem
receba Ctrl-C.

Se um correndo k5start recebe um sinal ALRM, ele atualiza imediatamente o cache do tíquete
independentemente de estar ou não em perigo de expiração.

If k5start é executado com um comando ou o -K bandeira e o -x bandeira não é dada, vai manter
tentando mesmo se a autenticação inicial falhar. Ele tentará novamente a autenticação inicial
imediatamente e depois com recuo exponencial para uma vez por minuto, e continue tentando até
a autenticação é bem-sucedida ou é eliminada. O comando, se houver, não será iniciado até
autenticação bem-sucedida.

OPÇÕES

-a Quando executado com o -K bandeira ou um comando, sempre renove os tíquetes a cada vez k5start
acorda. Sem esta opção, k5start só tentará renovar um tíquete com a freqüência
necessário para evitar que o bilhete expire. Com esta opção, k5start vai renovar
bilhetes de acordo com o intervalo especificado com o -K bandeira.

Este comportamento provavelmente deveria ter sido o comportamento padrão do -K. O padrão era
não mudou para evitar mudanças para usuários existentes, mas para novos aplicativos, considere
sempre usando -a com -K.

Esta opção é importante se outro programa estiver manipulando o cache de tíquetes que
k5start está usando. Por exemplo, se outro programa está renovando automaticamente um tíquete
mais frequentemente do que k5start, Em seguida k5start nunca verá um ingresso que esteja perto de
expirando e, portanto, por padrão, nunca tentará renovar o tíquete. Isso significa
que k5start também nunca renovará tokens AFS, mesmo se o -t opção foi dada, uma vez que
k5start só renova tokens AFS depois de renovar com êxito um tíquete. Se esta opção
é especificado em tal situação, k5start irá renovar seu tíquete toda vez que verificar
o tíquete, então os tokens AFS serão renovados.

Este argumento só é válido em combinação com qualquer -K ou um comando para executar.

-b Após iniciar, desconecte-se do terminal de controle e execute em segundo plano. Esse
opção só faz sentido em combinação com -K ou um comando que k5start será
em execução e só pode ser usado se um keytab for especificado com -f. k5start não vou
o próprio fundo até depois de tentar autenticar uma vez, de modo que qualquer
erros serão relatados, mas ele redirecionará a saída para / dev / null e não
erros subsequentes serão relatados.

Se esta bandeira for dada, k5start também mudará os diretórios para "/". Todos os caminhos (como
quanto a um comando para executar ou um arquivo PID) deve, portanto, ser dado como absoluto, não
relativo, caminhos.

Se usado em conjunto com um comando para executar, esse comando também será executado no
fundo e também terá sua entrada e saída redirecionadas para / dev / null. Será
tem que relatar quaisquer erros por meio de algum outro mecanismo para que os erros sejam vistos.

Observe que no Mac OS X, o tipo de cache de tíquete padrão é por sessão e usando o -b
bandeira irá desassociar k5start do cache de tíquetes existente. Ao usar -b in
Conjunção com -K no Mac OS X, você provavelmente também deseja usar o -k sinalizar para especificar
um arquivo de cache de tíquete e forçar o uso de um cache de arquivo.

Ao usar esta opção, considere também usar -L reportar k5start erros no syslog.

-c criança pid lima
Salve o ID do processo (PID) do processo filho em criança pid lima. criança pid lima is
criado se não existir e sobrescrito se existir. Esta opção é apenas
permitido quando um comando foi dado na linha de comando e é mais útil em conjunto
com -b para permitir o gerenciamento do processo filho em execução.

Observe que, quando usado com -b, o arquivo PID é escrito após k5start is
em segundo plano e muda seu diretório de trabalho para /, caminhos relativos para o PID
arquivo será relativo a / (provavelmente não é o que você deseja).

-F Não obtenha tíquetes encaminháveis, mesmo que a configuração local indique para recebê-los
ingressos por padrão. Sem esta bandeira, k5start faz o que quer que seja o padrão da biblioteca.

-f tecla
Autenticar usando o keytab tecla em vez de pedir uma senha. Uma chave para o
o principal do cliente deve estar presente em tecla.

-g grupo
Depois de criar o cache do tíquete, altere a propriedade do grupo para grupo, que pode ser
o nome de um grupo ou um ID de grupo numérico. Caches de tíquetes são criados com 0600
permissões por padrão, então isso não terá nenhum efeito útil, a menos que usado com -m.

-H minutos
Verifique se há um tíquete feliz, definido como aquele que tem uma vida útil restante de pelo menos
minutos minutos. Se tal tíquete for encontrado, não tente autenticação. Em vez de,
apenas execute o comando (se um foi especificado) ou saia imediatamente com o status 0 (se nenhum
era). Caso contrário, tente obter um novo tíquete e execute o comando, se houver.

If -H é usado com -t, o programa externo sempre será executado, mesmo se um tíquete com um
foi encontrada vida útil restante suficiente.

If -H é usado com -K, k5start não sairá imediatamente. Em vez disso, o especificado
a vida útil restante substituirá o valor padrão de dois minutos, o que significa que k5start
irá garantir, cada vez que acordar, que o tíquete tenha uma vida útil restante do
minutos argumento. Esta é uma alternativa para -a para garantir que os ingressos sempre tenham um
certa quantidade mínima de vida restante.

-h Exibir uma mensagem de uso e sair.

-I serviço instância
A parte da instância do principal do serviço. O padrão é o domínio padrão de
a máquina. Observe que, ao contrário do principal do cliente, um principal de serviço não padrão
deve ser especificado com -I e -S; não se pode fornecer a parte da instância como parte de
o argumento para -S.

-i cliente instância
Especifica a parte da instância do principal. Esta opção não faz sentido
exceto em combinação com -u. Observe que a instância pode ser especificada como parte de
nome de usuário por meio da convenção normal de anexar uma barra e, em seguida, a instância,
nunca é preciso usar essa opção.

-K minutos
Execute no modo daemon para manter um tíquete ativo indefinidamente. O programa desperta novamente após
minutos minutos, verifica se o tíquete vai expirar antes ou menos de dois minutos
após a próxima verificação agendada e obtém um novo tíquete, se necessário. (Em outras palavras,
garante que o tíquete sempre terá uma vida útil restante de pelo menos dois
minutos.) Se o -H sinalizador também é fornecido, o tempo de vida especificado por ele substitui os dois
padrão de minuto.

Se esta opção não for fornecida, mas um comando foi fornecido na linha de comando, o padrão
o intervalo é de 60 minutos (1 hora).

Se ocorrer um erro na atualização do cache do tíquete, o intervalo de ativação será
encurtado para um minuto e a operação repetida nesse intervalo enquanto o
erro persistir.

-k bilhete esconderijo
Use bilhete esconderijo como o cache do tíquete, em vez do conteúdo do ambiente
variável KRB5CCNAME ou o padrão da biblioteca. bilhete esconderijo pode ser qualquer cache de tíquetes
identificador reconhecido pelas bibliotecas Kerberos subjacentes. Isso geralmente suporta um
caminho para um arquivo, com ou sem uma string "FILE:" inicial, mas também pode oferecer suporte a outros
tipos de cache de tíquetes.

Se algum de -o, -gou -m são dados, bilhete esconderijo deve ser um caminho simples para um arquivo
ou comece com "FILE:" ou "WRFILE:".

-L Reportar mensagens ao syslog, bem como à saída padrão ou erro padrão. Tudo
as mensagens serão registradas com a facilidade LOG_DAEMON. Mensagens regulares que são exibidas
na saída padrão são registrados com o nível LOG_NOTICE. Erros que não causam k5start
para encerrar são registrados com o nível LOG_WARNING. Erros fatais são registrados com nível
LOG_ERR.

Isso é útil ao depurar problemas em combinação com -b.

-l tempo corda
Defina a vida útil do tíquete. tempo corda deve estar em um formato reconhecido pelo Kerberos
bibliotecas para especificar horários, como "10h" (dez horas) ou "10m" (dez minutos).
As unidades conhecidas são "s", "m", "h" e "d". Para mais informações, veja Kinit(1).

-m modo
Depois de criar o cache do tíquete, altere suas permissões de arquivo para modo, que deve ser um
modo de arquivo em octal (640 ou 444, por exemplo).

Definir um modo isso não permite k5start ler ou escrever no cache do tíquete
causa k5start falhar e sair ao usar o -K opção ou executando um comando.

-n Ignorado, presente para compatibilidade de opção com o agora obsoleto k4start.

-o proprietário
Depois de criar o cache do tíquete, mude sua propriedade para proprietário, que pode ser
o nome de um usuário ou um ID de usuário numérico. Se proprietário é o nome de um usuário e -g foi
também não fornecido, também altera a propriedade do grupo do cache do tíquete para o padrão
grupo para esse usuário.

-P Não obtenha tíquetes com proxy, mesmo que a configuração local indique para obter tíquetes com proxy
ingressos por padrão. Sem esta bandeira, k5start faz o que quer que seja o padrão da biblioteca.

-p pid lima
Salve o ID do processo (PID) da execução k5start processo em pid lima. pid lima is
criado se não existir e sobrescrito se existir. Esta opção é mais
útil em conjunto com -b para permitir a gestão do funcionamento k5start demônio.

Observe que, quando usado com -b o arquivo PID é escrito após k5start está em segundo plano
e muda seu diretório de trabalho para /, então os caminhos relativos para o arquivo PID serão
relativo a / (provavelmente não é o que você deseja).

-q Quieto. Suprime a impressão da mensagem de banner inicial dizendo o que Kerberos
tíquetes principais estão sendo obtidos e também suprime o prompt de senha quando
que o -s opção é fornecida.

-r serviço reino
O reino do principal de serviço. O padrão é o domínio local padrão.

-S serviço nome
Especifica o principal para o qual k5start está recebendo um tíquete de serviço. O padrão
o valor é "krbtgt", para obter um tíquete de concessão de tíquete. Esta opção (junto com -I)
pode ser usado se alguém só precisar de acesso a um único serviço. Observe que, ao contrário do cliente
principal, um principal de serviço não padrão deve ser especificado com ambos -S e -I; XNUMX
não pode fornecer a parte da instância como parte do argumento para -S.

-s Leia a senha da entrada padrão. Isso ignora o prompt normal de senha,
o que significa que o eco não é suprimido e a entrada não é forçada a vir do controlador
terminal. A maioria dos usos dessa opção é um risco à segurança. Você normalmente deseja usar um
keytab e o -f opção.

-t Execute um programa externo após obter um tíquete. O uso padrão disso é executar
Aklog para obter um token. Se a variável de ambiente KINIT_PROG for definida, ela substitui o
padrão compilado.

If k5start foi construído com AFS setpag () suporte e um comando foi dado no
linha de comando, k5start irá criar um novo PAG antes de obter tokens AFS. De outra forma,
ele obterá tokens no PAG atual.

-U Em vez de exigir que o principal de autenticação seja fornecido na linha de comando, leia
a partir do keytab especificado com -f. O principal será levado desde o primeiro
entrada no keytab. -f deve ser especificado se esta opção for usada.

Quando -U é dada, k5start não esperará que um nome principal seja dado no comando
linha e quaisquer argumentos após as opções serão considerados como um comando a ser executado.

-u cliente principal
Isso especifica o principal para obter as credenciais. Todo o diretor pode ser
especificado aqui, ou alternativamente apenas a primeira parte pode ser especificada com este
sinalizador e a instância especificada com -i.

Observe que normalmente não há razão para usar este sinalizador em vez de simplesmente fornecer o
principal na linha de comando como o primeiro argumento regular.

-v Seja prolixo. Isso imprimirá um pouco de informação adicional sobre o que está sendo
tentados e quais são os resultados.

-x Saia imediatamente em qualquer erro. Normalmente, ao executar um comando ou quando executado com o
-K opção, k5start continua em execução mesmo se não conseguir atualizar o cache do tíquete e
tente novamente no próximo intervalo de verificação. Com esta opção, k5start em vez disso, sairá.

RETORNO VALORES

O programa sai com status 0 se obtiver um tíquete com sucesso ou se tiver um tíquete feliz
(Vejo -H). Se k5start executa aklog ou algum outro programa k5start retorna o status de saída de
esse programa.

EXEMPLO

Use o /etc/krb5.keytab keytab para obter um tíquete de concessão de tíquete para o principal
host / example.com, colocando o cache do tíquete em /tmp/service.tkt. A vida é de 10 horas
e o programa acorda a cada 10 minutos para verificar se o tíquete está prestes a expirar.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host / example.com

Faça o mesmo, mas usando o cache de tíquete padrão e execute o comando
/ usr / local / bin / auth-backup. k5start continuará em execução até que o comando termine. Se
a autenticação inicial falhar, continue tentando e não inicie o comando até que ele
tem sucesso. Isso pode ser usado durante a inicialização do sistema para um comando que deve ter
ingressos antes de começar, e tolera ter k5start comece antes que a rede seja
completamente configurado.

k5start -f /etc/krb5.keytab -K 10 -l 10h host / example.com \
/ usr / local / bin / auth-backup

Mostra as permissões do arquivo de cache temporário criado por k5start:

k5start -f /etc/krb5.keytab host / example.com \
- sh -c 'ls -l $ KRB5CCNAME'

Observe o "-" antes do comando para manter k5start de analisar o "-c" como seu próprio
opção.

Faça a mesma coisa, mas determine o principal a partir do keytab:

k5start -f /etc/krb5.keytab -U - sh -c 'ls -l $ KRB5CCNAME'

Observe que nenhum principal é fornecido antes do comando.

Inicia k5start como um daemon usando o Debian start-stop-daemon programa de gestão. Isto é
o tipo de linha que se poderia colocar em um script de inicialização do Debian:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec / usr / local / bin / k5start - -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host / example.com

Isso usa /var/run/k5start.pid como o arquivo PID e obtém tíquetes host / example.com de
o arquivo keytab do sistema. k5start seria então interrompido com:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Este código pode ser adicionado a um script de inicialização do Apache, por exemplo, para iniciar um k5start
processo junto com o Apache para gerenciar suas credenciais Kerberos.

MEIO AMBIENTE

Se a variável de ambiente AKLOG for definida, seu valor será usado como o programa a ser executado
com -t ao invés do padrão cumprido em k5start. Se AKLOG não estiver definido e KINIT_PROG
for definido, seu valor será usado em seu lugar. KINIT_PROG é homenageado por compatibilidade com versões anteriores
mas seu uso não é recomendado devido ao seu nome confuso.

Se nenhum arquivo de tíquete (com -k) ou o comando é especificado na linha de comando, k5start usará
a variável de ambiente KRB5CCNAME para determinar a localização da concessão do tíquete
bilhete. Se um comando for especificado ou o -k opção for usada, KRB5CCNAME será definido
para apontar para o arquivo do tíquete antes de executar o Aklog programa ou qualquer comando dado no
linha de comando.

Use o k5start online usando os serviços onworks.net