k5start - Online în cloud

PROGRAM:

NUME

k5start - Obține și opțional menține activ un bilet Kerberos

REZUMAT

k5start [-abFhLnPqstvx] [-c copil pid fişier] [-f tastatura de taste]
[-g grup] [-H minute] [-I serviciu instanță]
[-i client instanță] [-K minute] [-k bilet cache]
[-l timp şir] [-m mod] [-o proprietar]
[-p pid fişier] [-r serviciu tărâm] [-S serviciu nume]
[-u client principal] [principal [comandă ...]]

k5start -U -f tastatura de taste [-abFhLnPqstvx] [-c copil pid fişier]
[-g grup] [-H minute] [-I serviciu instanță]
[-K minute] [-k bilet cache] [-l timp şir]
[-m mod] [-o proprietar] [-p pid fişier]
[-r serviciu tărâm] [-S serviciu nume] [comandă ...]

DESCRIERE

k5start obține și memorează în cache un bilet inițial de acordare a biletelor Kerberos pentru un principal.
k5start poate fi folosit ca alternativă la constatări, dar este destinat în primul rând să fie utilizat de
programe care doresc să utilizeze o tablă de taste pentru a obține acreditări Kerberos, cum ar fi un server web
care trebuie să se autentifice la un alt serviciu, cum ar fi un server LDAP.

În mod normal, principalul pentru care să se acorde bilete ar trebui să fie specificat ca primul
a susținut. principal poate fi fie doar un nume principal (inclusiv instanța opțională)
sau un șir de principal și tărâm complet. The -u și -i opțiunile pot fi folosite ca alternativă
mecanism pentru specificarea principalului, dar în general nu sunt la fel de convenabile. Daca nu
principal este dat fie ca prim argument, fie ca argument la -u opțiune,
Principalul client este implicit la numele de utilizator Unix al utilizatorului care rulează k5start în mod implicit
domeniul local.

Opțional, o comandă poate fi dată pe linia de comandă a k5start. Dacă da, acea comandă este
rulează după autentificarea Kerberos (și rulează aklog dacă se dorește), cu cea corespunzătoare
variabilele de mediu setate să-l orienteze către memoria cache a biletelor potrivite. k5start va atunci
continuă să ruleze, trezindu-te periodic pentru a reîmprospăta acreditările cu puțin înainte
expiră, până la finalizarea comenzii. (Frecvența cu care se trezește pentru a se reîmprospăta
acreditările pot fi încă controlate cu -K opțiunea.) Pentru a rula în acest mod,
principal trebuie să fie specificat fie ca argument obișnuit de linie de comandă, fie prin intermediul -U
opțiune; cel -u și -i opțiunile nu pot fi utilizate. De asemenea, trebuie specificată un keytab cu -f
pentru a rula o anumită comandă.

Comanda nu va fi rulată folosind shell-ul, deci dacă doriți să utilizați metacaracterele shell-ul în
comanda cu semnificația lor specială, da „sh -c comanda" ca comanda de a rula si
cita comandă.

Dacă comanda conține opțiuni de linie de comandă (cum ar fi „-c”), puneți -- pe linia de comandă
înainte de începerea comenzii de a spune k5start pentru a nu analiza acele opțiuni ca fiind proprii.

Când rulați o comandă, k5start transmite copilului semnale HUP, TERM, INT și QUIT
proces și nu iese atunci când acele semnale sunt recepționate. (Dacă semnalul propagat
determină părăsirea procesului copil, k5start va ieşi apoi.) Acest lucru permite k5start a reactiona
corect atunci când sunt conduse sub un sistem de supraveghere de comandă, cum ar fi rulați-l(8) sau svscan(8) că
folosește semnale pentru a controla comenzile supravegheate și pentru a rula comenzi interactive care ar trebui
primiți Ctrl-C.

Dacă o alergare k5start primește un semnal ALRM, reîmprospătează imediat memoria cache a biletelor
indiferent dacă este în pericol de expirare.

If k5start este rulat cu o comandă sau -K steagul și -x steagul nu este dat, se va păstra
încercând chiar dacă autentificarea inițială eșuează. Va încerca din nou autentificarea inițială
imediat și apoi cu backoff exponențial la o dată pe minut și continuați să încercați până când
autentificarea reușește sau este ucis. Comanda, dacă există, nu va fi pornită până când
autentificarea reușește.

OPŢIUNI

-a Când rulați fie cu -K steag sau o comandă, reînnoiți întotdeauna biletele de fiecare dată k5start
se trezește. Fără această opțiune, k5start va încerca să reînnoiască un bilet doar cât de des
necesare pentru a preveni expirarea biletului. Cu această opțiune, k5start se va reînnoi
bilete conform intervalului specificat cu -K steag.

Acest comportament probabil ar fi trebuit să fie comportamentul implicit al -K. Implicit a fost
nu a fost modificat pentru a evita modificările pentru utilizatorii existenți, dar pentru aplicații noi, luați în considerare
folosind mereu -a cu -K.

Această opțiune este importantă dacă un alt program manipulează memoria cache a biletelor
k5start folosește. De exemplu, dacă un alt program reînnoiește automat un bilet
mai frecvent decât k5start, Apoi k5start nu va vedea niciodată un bilet care este aproape de
expiră și, prin urmare, în mod implicit, nu va încerca niciodată să reînnoiască biletul. Acest lucru înseamnă
acea k5start De asemenea, nu va reînnoi niciodată jetoanele AFS, chiar dacă -t s-a dat opțiune, deoarece
k5start reînnoiește jetoanele AFS numai după ce reînnoiește cu succes un bilet. Dacă această opțiune
este specificat într-o astfel de situație, k5start își va reînnoi biletul de fiecare dată când verifică
biletul, astfel încât jetoanele AFS vor fi reînnoite.

Acest argument este valabil numai în combinație cu oricare -K sau o comandă pentru a rula.

-b După pornire, detașați de terminalul de control și rulați în fundal. Acest
opțiunea are sens numai în combinație cu -K sau o comandă care k5start va fi
rulează și poate fi utilizat numai dacă este specificată o tastatură cu -f. k5start nu va
fundalul în sine până după ce a încercat să se autentifice o dată, astfel încât orice inițială
erorile vor fi raportate, dar apoi va redirecționa ieșirea către / Dev / null si nu
erorile ulterioare vor fi raportate.

Dacă acest steag este dat, k5start va schimba, de asemenea, directoarele în „/”. Toate căile (cum ar fi
în ceea ce privește o comandă de rulat sau un fișier PID) ar trebui, prin urmare, să fie dat ca absolut, nu
relativă, căi.

Dacă este utilizată împreună cu o comandă pentru a rula, acea comandă va rula și în
fundal și va avea, de asemenea, intrarea și ieșirea redirecționate către / Dev / null. O sa
trebuie să raportați orice erori prin alt mecanism pentru ca erorile să fie văzute.

Rețineți că pe Mac OS X, tipul implicit de cache a biletelor este pe sesiune și se utilizează -b
steagul se va disocia k5start din memoria cache a biletelor existentă. Atunci când se utilizează -b in
coroborat cu -K pe Mac OS X, probabil că doriți să utilizați și -k steag pentru a specifica
un fișier cache de bilet și forțați utilizarea unui fișier cache.

Când utilizați această opțiune, luați în considerare și utilizarea -L a raporta k5start erori la syslog.

-c copil pid fişier
Salvați ID-ul procesului (PID) al procesului copil în copil pid fişier. copil pid fişier is
creat dacă nu există și suprascris dacă există. Această opțiune este numai
permis atunci când o comandă a fost dată pe linia de comandă și este cea mai utilă împreună
cu -b pentru a permite gestionarea procesului copil care rulează.

Rețineți că, atunci când este utilizat cu -b, fișierul PID este scris după k5start is
în fundal și își schimbă directorul de lucru în /, deci căi relative pentru PID
fișierul va fi relativ la / (probabil nu ceea ce vrei tu).

-F Nu primiți bilete redirecționabile chiar dacă configurația locală spune că trebuie redirecționate
bilete în mod implicit. Fără acest steag, k5start face orice este implicit bibliotecă.

-f tastatura de taste
Autentificați-vă folosind tasta-cheie tastatura de taste mai degrabă decât să ceri o parolă. O cheie pentru
principalul client trebuie să fie prezent în tastatura de taste.

-g grup
După crearea memoriei cache a biletelor, schimbați calitatea de proprietar al grupului în grup, care poate fi
fie numele unui grup, fie un ID de grup numeric. Cache-urile de bilete sunt create cu 0600
permisiunile implicite, deci acest lucru nu va avea niciun efect util decât dacă este utilizat cu -m.

-H minute
Verificați un bilet fericit, definit ca unul care are o durată de viață rămasă de cel puțin
minute minute. Dacă se găsește un astfel de bilet, nu încercați să vă autentificați. In schimb,
doar rulați comanda (dacă a fost specificată una) sau ieșiți imediat cu starea 0 (dacă nu există
a fost). În caz contrar, încercați să obțineți un nou bilet și apoi executați comanda, dacă există.

If -H este folosit cu -t, programul extern va fi întotdeauna rulat chiar dacă un bilet cu a
a fost găsită durata de viață rămasă suficientă.

If -H este folosit cu -K, k5start nu va ieși imediat. În schimb, cele specificate
durata de viață rămasă va înlocui valoarea implicită de două minute, adică k5start
se va asigura, de fiecare dată când se trezește, că biletul are o durată de viață rămasă din
minute argument. Aceasta este o alternativă la -a pentru a se asigura că biletele au întotdeauna un
o anumită perioadă minimă de viață rămasă.

-h Afișați un mesaj de utilizare și ieșiți.

-I serviciu instanță
Porțiunea de instanță a principalului serviciu. Valoarea implicită este domeniul implicit al
Mașina. Rețineți că, spre deosebire de principalul client, un principal de serviciu care nu este implicit
trebuie specificat cu -I și -S; nu se poate furniza porțiunea de instanță ca parte a
argumentul la -S.

-i client instanță
Specifică porțiunea de instanță a principalului. Această opțiune nu are sens
cu exceptia in combinatie cu -u. Rețineți că instanța poate fi specificată ca parte a
nume de utilizator prin convenția normală de a adăuga o bară oblică și apoi instanța, deci
nu trebuie să folosești niciodată această opțiune.

-K minute
Rulați în modul daemon pentru a menține un bilet în viață pe o perioadă nedeterminată. Programul se trezește după
minute minute, verifică dacă biletul va expira înainte sau mai puțin de două minute
după următoarea verificare programată și primește un nou bilet, dacă este necesar. (Cu alte cuvinte, acesta
asigură că biletul va avea întotdeauna o durată de viață rămasă de cel puțin două
minute.) Dacă -H este de asemenea dat, durata de viață specificată de acesta le înlocuiește pe cele două
minute implicite.

Dacă această opțiune nu este dată, dar a fost dată o comandă pe linia de comandă, implicit
intervalul este de 60 de minute (1 oră).

Dacă apare o eroare la reîmprospătarea memoriei cache a biletelor, intervalul de trezire va fi
scurtat la un minut și operațiunea reîncercată la acel interval atât timp cât
eroarea persistă.

-k bilet cache
Utilizare bilet cache cache-ul biletelor, mai degrabă decât conținutul mediului
variabila KRB5CCNAME sau implicită bibliotecă. bilet cache poate fi orice cache de bilete
identificator recunoscut de bibliotecile Kerberos subiacente. Aceasta susține în general a
cale către un fișier, cu sau fără un șir „FILE:” inițial, dar poate accepta și altele
tipuri de cache de bilete.

Dacă vreunul dintre -o, -g, Sau -m sunt date, bilet cache trebuie să fie fie o cale simplă către un fișier
sau începeți cu „FILE:” sau „WRFILE:”.

-L Raportați mesajele către syslog, precum și către ieșirea standard sau eroare standard. Toate
mesajele vor fi înregistrate cu facilitatea LOG_DAEMON. Mesajele obișnuite care sunt afișate
la ieșirea standard sunt înregistrate cu nivelul LOG_NOTICE. Erori care nu provoacă k5start
pentru a termina sunt înregistrate cu nivelul LOG_WARNING. Erorile fatale sunt înregistrate cu nivelul
LOG_ERR.

Acest lucru este util atunci când depanați probleme în combinație cu -b.

-l timp şir
Setați durata de viață a biletului. timp şir ar trebui să fie într-un format recunoscut de Kerberos
biblioteci pentru specificarea timpilor, cum ar fi „10h” (zece ore) sau „10m” (zece minute).
Unitățile cunoscute sunt „s”, „m”, „h” și „d”. Pentru mai multe informații, vezi constatări(1).

-m mod
După crearea memoriei cache a biletelor, modificați permisiunile pentru fișiere ale acestuia mod, care trebuie să fie a
modul fișier în octal (640 sau 444, de exemplu).

Setarea unui mod asta nu permite k5start pentru a citi sau a scrie în memoria cache a biletelor va
cauză k5start pentru a eșua și a ieși atunci când utilizați -K opțiune sau rularea unei comenzi.

-n Ignorat, prezent pentru compatibilitate cu opțiunile acum învechite k4start.

-o proprietar
După crearea memoriei cache a biletelor, schimbați-i proprietatea în proprietar, care poate fi fie
numele unui utilizator sau un ID numeric de utilizator. Dacă proprietar este numele unui utilizator și -g a fost
nu este de asemenea dat, schimbați și proprietatea de grup a memoriei cache a biletelor la valoarea implicită
grup pentru acel utilizator.

-P Nu primiți bilete proxiabile, chiar dacă configurația locală spune să deveniți proxiable
bilete în mod implicit. Fără acest steag, k5start face orice este implicit bibliotecă.

-p pid fişier
Salvați ID-ul procesului (PID) al rulării k5start proces în pid fişier. pid fişier is
creat dacă nu există și suprascris dacă există. Această opțiune este cea mai mare
util împreună cu -b pentru a permite gestionarea alergării k5start demonul.

Rețineți că, atunci când este utilizat cu -b fișierul PID este scris după k5start este pe fundal
și își schimbă directorul de lucru în /, deci căile relative pentru fișierul PID vor fi
relativ la / (probabil nu ceea ce vrei tu).

-q Liniște. Suprimă tipărirea mesajului banner inițial care spune ce Kerberos
biletele principale sunt obținute pentru și, de asemenea, suprimă solicitarea parolei când
il -s este dată opțiunea.

-r serviciu tărâm
Regiunea pentru principalul serviciului. Acesta este implicit la domeniul local implicit.

-S serviciu nume
Specifică principalul pentru care k5start primește un bilet de serviciu. Implicit
valoarea este „krbtgt”, pentru a obține un bilet de acordare a biletelor. Această opțiune (împreună cu -I)
poate fi utilizat dacă aveți nevoie doar de acces la un singur serviciu. Rețineți că spre deosebire de client
principal, un principal de serviciu non-implicit trebuie specificat cu ambele -S și -I; unu
nu poate furniza porțiunea de instanță ca parte a argumentului către -S.

-s Citiți parola de la intrarea standard. Aceasta ocolește solicitarea normală a parolei,
ceea ce înseamnă că ecoul nu este suprimat și intrarea nu este forțată să provină de la control
Terminal. Cele mai multe utilizări ale acestei opțiuni reprezintă un risc de securitate. În mod normal, doriți să utilizați a
keytab și -f opțiune în schimb.

-t Rulați un program extern după ce obțineți un bilet. Utilizarea implicită a acestuia este de a rula
aklog pentru a obține un jeton. Dacă variabila de mediu KINIT_PROG este setată, aceasta suprascrie
compilat implicit.

If k5start a fost construit cu AFS setpag() sprijin şi s-a dat o comandă asupra
Linie de comanda, k5start va crea un nou PAG înainte de a obține jetoane AFS. In caz contrar,
va obține jetoane în PAG-ul curent.

-U În loc să ceri ca principalul de autentificare să fie dat pe linia de comandă, citiți
aceasta din tastatura specificată cu -f. Principalul va fi luat din prima
intrare în keytab. -f trebuie specificat dacă se utilizează această opțiune.

Cand -U este dată, k5start nu se va aștepta ca un nume principal să fie dat pe comandă
linie și orice argument după opțiuni va fi luat ca o comandă de rulat.

-u client principal
Aceasta specifică principalul pentru a obține acreditările ca. Întregul principal poate fi
specificat aici, sau alternativ doar prima porțiune poate fi specificată cu aceasta
flag și instanța specificată cu -i.

Rețineți că, în mod normal, nu există niciun motiv pentru a utiliza acest steag în loc să dați pur și simplu
principal pe linia de comandă ca prim argument obișnuit.

-v Fii verbis. Acest lucru va imprima câteva informații suplimentare despre ceea ce este
încercat și care sunt rezultatele.

-x Ieșiți imediat la orice eroare. În mod normal, când rulați o comandă sau când rulați cu
-K opțiune, k5start continuă să ruleze chiar dacă nu reușește să reîmprospăteze memoria cache a biletelor și o va face
încercați din nou la următorul interval de verificare. Cu această opțiune, k5start va ieși în schimb.

A REVENI VALORI

Programul iese cu starea 0 dacă primește cu succes un bilet sau are un bilet fericit
(A se vedea -H). dacă k5start rulează aklog sau alt program k5start returnează starea de ieșire a
acel program.

EXEMPLU

Folosește /etc/krb5.keytab keytab pentru a obține un bilet de acordare a biletului pentru principal
host/example.com, introducând memoria cache a biletelor /tmp/service.tkt. Durata de viață este de 10 ore
iar programul se trezește la fiecare 10 minute pentru a verifica dacă biletul este pe cale să expire.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
gazdă/example.com

Faceți același lucru, dar folosind memoria cache implicită a biletelor și rulați comanda
/usr/local/bin/auth-backup. k5start va continua să ruleze până când comanda se termină. Dacă
autentificarea inițială nu reușește, continuați să încercați și nu porniți comanda până nu aceasta
reușește. Aceasta ar putea fi folosită în timpul pornirii sistemului pentru o comandă care trebuie să fie validă
bilete înainte de a începe și tolerează să aibă k5start începe înainte ca rețeaua să fie
complet pus la punct.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup

Afișează permisiunile fișierului cache temporar creat de k5start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

Observați „--” înainte de comanda de păstrat k5start de la analiza „-c” ca fiind propriu
opțiune.

Faceți același lucru, dar determinați principalul din keytab:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Rețineți că nu este dat niciun principal înainte de comandă.

Începe k5start ca un daemon folosind Debian start-stop-daemon program de management. Aceasta este
genul de linie pe care s-ar putea pune într-un script de pornire Debian:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

Aceasta folosește /var/run/k5start.pid ca fișier PID și obține bilete host/example.com de la
fișierul keytab de sistem. k5start ar fi apoi oprit cu:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Acest cod ar putea fi adăugat la un script init pentru Apache, de exemplu, pentru a porni un k5start
proces împreună cu Apache pentru a-și gestiona acreditările Kerberos.

MEDIUL

Dacă variabila de mediu AKLOG este setată, valoarea acesteia va fi folosită ca program de rulat
cu -t mai degrabă decât implicit respectată k5start. Dacă AKLOG nu este setat și KINIT_PROG
este setată, valoarea sa va fi folosită în schimb. KINIT_PROG este onorat pentru compatibilitatea anterioară
dar utilizarea lui nu este recomandată din cauza denumirii sale confuze.

Dacă nu există fișier de bilet (cu -k) sau comanda este specificată pe linia de comandă, k5start voi folosi
variabila de mediu KRB5CCNAME pentru a determina locația acordării biletului
bilet. Dacă este specificată fie o comandă, fie -k este utilizată opțiunea, KRB5CCNAME va fi setat
pentru a indica fișierul bilet înainte de a rula aklog program sau orice comandă dată pe
Linie de comanda.

Utilizați k5start online folosind serviciile onworks.net