Это команда k5start, которую можно запустить в провайдере бесплатного хостинга OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
k5start - Получить и, при необходимости, сохранить активным билет Kerberos
СИНТАКСИС
к5старт [-abFhLnPqstvx] [-c ребенок ПИД-регулятор файл] [-f клавишная вкладка]
[-g группы] [-H минут] [-I обслуживание пример]
[-i клиент пример] [-K минут] [-k билет кэш]
[-l время string] [-m Режим] [-o владелец]
[-p ПИД-регулятор файл] [-r обслуживание область] [-S обслуживание имя]
[-u клиент главный] [главный [команду ...]]
к5старт -U -f клавишная вкладка [-abFhLnPqstvx] [-c ребенок ПИД-регулятор файл]
[-g группы] [-H минут] [-I обслуживание пример]
[-K минут] [-k билет кэш] [-l время string]
[-m Режим] [-o владелец] [-p ПИД-регулятор файл]
[-r обслуживание область] [-S обслуживание имя] [команду ...]
ОПИСАНИЕ
к5старт получает и кэширует начальный билет на выдачу билетов Kerberos для принципала.
к5старт может использоваться как альтернатива кинит, но в первую очередь он предназначен для использования
программы, которые хотят использовать keytab для получения учетных данных Kerberos, например веб-сервер
который должен пройти аутентификацию в другой службе, например, на сервере LDAP.
Обычно принципал, которому выдают билеты, должен быть указан первым.
аргумент. главный может быть либо просто основным именем (включая необязательный экземпляр)
или полная строка принципала и области. В -u и -i варианты можно использовать как альтернативу
механизм для указания принципала, но обычно не такой удобный. Если нет
принципал задается либо как первый аргумент, либо как аргумент для -u вариант,
клиентский принципал по умолчанию использует имя пользователя Unix для запущенного пользователя к5старт по умолчанию
местное царство.
По желанию, команда может быть дана в командной строке к5старт. Если да, то эта команда
запускается после проверки подлинности Kerberos (и запускается Aklog при желании), с соответствующими
переменные среды устанавливаются так, чтобы указывать на правильный кеш билетов. к5старт будет затем
продолжайте работать, периодически просыпаясь, чтобы обновить учетные данные, прежде чем они
истекает, пока команда не завершится. (Частота, с которой он просыпается, чтобы обновить
учетными данными по-прежнему можно управлять с помощью -K вариант.) Для работы в этом режиме
принципал должен быть указан как обычный аргумент командной строки или через -U
вариант; в -u и -i опции не могут быть использованы. Кроме того, keytab должен быть указан с -f
для запуска определенной команды.
Команда не будет запускаться с использованием оболочки, поэтому, если вы хотите использовать метасимволы оболочки в
команда с их особым значением, дайте "sh -c команда " как команду для запуска и
цену команду.
Если команда содержит параметры командной строки (например, "-c"), укажите - в командной строке.
перед началом команды сказать к5старт чтобы не разбирать эти параметры как свои собственные.
При запуске команды к5старт передает дочернему элементу сигналы HUP, TERM, INT и QUIT
процесс и не завершается при получении этих сигналов. (Если распространяемый сигнал
вызывает завершение дочернего процесса, к5старт затем выйдет.) Это позволяет к5старт реагировать
должным образом при запуске под системой контроля команд, такой как запустить его(8) или свскан(8), что
использует сигналы для управления контролируемыми командами и для запуска интерактивных команд, которые должны
получить Ctrl-C.
Если запущен к5старт получает сигнал ALRM, он немедленно обновляет кеш билетов
независимо от того, существует ли опасность истечения срока его действия.
If к5старт запускается с помощью команды или -K флаг и -x флаг не дан, он сохранит
пытается, даже если первоначальная аутентификация не удалась. Он повторит первоначальную аутентификацию.
немедленно, а затем с экспоненциальной задержкой до одного раза в минуту, и продолжайте попытки, пока
проверка подлинности успешна или завершена. Команда, если таковая имеется, не будет запущена до тех пор, пока
аутентификация прошла успешно.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-a При запуске с -K флаг или команду, всегда обновлять билеты каждый раз к5старт
просыпается. Без этой опции к5старт будет пытаться продлевать билет только так часто, как
необходимо для предотвращения истечения срока действия билета. С этой опцией к5старт будет обновлять
билеты в соответствии с интервалом, указанным в -K флаг.
Такое поведение, вероятно, должно было быть поведением по умолчанию -K. По умолчанию было
не изменено, чтобы избежать изменений для существующих пользователей, но для новых приложений рассмотрите
всегда использую -a -K.
Эта опция важна, если другая программа манипулирует кешем билетов, который
к5старт использует. Например, если другая программа автоматически продлевает билет
чаще чем к5старт, то к5старт никогда не увидит билет, который близок к
истекает и поэтому по умолчанию никогда не будет пытаться продлить билет. Это означает
который к5старт также никогда не будет обновлять токены AFS, даже если -t был предоставлен вариант, поскольку
к5старт обновляет токены AFS только после успешного обновления билета. Если этот вариант
указывается в такой ситуации, к5старт будет обновлять свой билет каждый раз, когда проверяет
билет, поэтому токены AFS будут обновлены.
Этот аргумент действителен только в сочетании с -K или команду для запуска.
-b После запуска отсоединитесь от управляющего терминала и запустите в фоновом режиме. Этот
опция имеет смысл только в сочетании с -K или команда, которая к5старт будет
работает и может использоваться только в том случае, если keytab указан с -f. к5старт не будет
фонового изображения до тех пор, пока он не попытается аутентифицироваться один раз, так что любой начальный
будут сообщаться об ошибках, но затем вывод будет перенаправлен на / DEV / нуль и нет
о последующих ошибках будет сообщено.
Если установлен этот флаг, к5старт также изменит каталоги на "/". Все пути (такие
что касается команды для запуска или файла PID), следовательно, следует указывать как абсолютное, а не
относительные, пути.
Если используется вместе с командой для запуска, эта команда также будет запускаться в
background, а также его ввод и вывод будут перенаправлены на / DEV / нуль, Будет
должны сообщать о любых ошибках через какой-либо другой механизм, чтобы ошибки были видны.
Обратите внимание, что в Mac OS X тип кэша билетов по умолчанию - для каждого сеанса и с использованием -b
флаг разъединится к5старт из существующего кеша билетов. Когда используешь -b in
в сочетании с -K в Mac OS X вы, вероятно, также захотите использовать -k флаг указать
файл кеша билетов и принудительно использовать кеш файлов.
При использовании этой опции рассмотрите также возможность использования -L сообщить к5старт ошибки в системном журнале.
-c ребенок ПИД-регулятор файл
Сохраните идентификатор процесса (PID) дочернего процесса в ребенок ПИД-регулятор файл. ребенок ПИД-регулятор файл is
создается, если он не существует, и перезаписывается, если он существует. Этот вариант только
разрешено, когда команда была дана в командной строке, и наиболее полезно в сочетании
-b чтобы разрешить управление запущенным дочерним процессом.
Обратите внимание, что при использовании с -b, файл PID записывается после к5старт is
фоновый и меняет свой рабочий каталог на /, поэтому относительные пути для PID
файл будет относиться к / (вероятно, не то, что вы хотите).
-F Не получать переадресованные билеты, даже если локальная конфигурация говорит о пересылке
билеты по умолчанию. Без этого флага к5старт делает все, что есть в библиотеке по умолчанию.
-f клавишная вкладка
Аутентифицироваться с помощью keytab клавишная вкладка вместо того, чтобы спрашивать пароль. Ключ к
клиент-принципал должен присутствовать в клавишная вкладка.
-g группы
После создания кеша билетов измените его групповое владение на группы, который может быть
либо имя группы, либо числовой идентификатор группы. Тайники билетов создаются с помощью 0600
разрешения по умолчанию, поэтому это не будет иметь никакого полезного эффекта, если не используется с -m.
-H минут
Проверьте наличие счастливого билета, который определяется как билет, оставшийся срок службы которого составляет не менее
минут минут. Если такой билет найден, не пытайтесь выполнить аутентификацию. Вместо,
просто запустите команду (если она была указана) или немедленно выйдите со статусом 0 (если нет
было). В противном случае попробуйте получить новый билет, а затем выполните команду, если таковая имеется.
If -H используется с -t, внешняя программа всегда будет запускаться, даже если тикет с
найден достаточный оставшийся срок службы.
If -H используется с -K, к5старт не выйдет сразу. Вместо этого указанный
оставшееся время жизни заменит значение по умолчанию в две минуты, что означает, что к5старт
будет гарантировать, каждый раз, когда он просыпается, что билет имеет оставшийся срок службы
минут аргумент. Это альтернатива -a чтобы билеты всегда имели
определенный минимальный оставшийся срок службы.
-h Отобразите сообщение об использовании и выйдите.
-I обслуживание пример
Экземплярная часть субъекта-службы. По умолчанию это область по умолчанию
машина. Обратите внимание, что в отличие от принципала-клиента, субъект-служба не по умолчанию
должен быть указан с -I и -S; нельзя предоставить часть экземпляра как часть
аргумент -S.
-i клиент пример
Задает экземплярную часть принципала. Этот вариант не имеет смысла
кроме комбинации с -u. Обратите внимание, что экземпляр может быть указан как часть
username через обычное соглашение о добавлении косой черты, а затем экземпляра, поэтому
никогда не нужно использовать эту опцию.
-K минут
Запустите в режиме демона, чтобы билет оставался в живых на неопределенный срок. Программа пробуждается после
минут минут, проверяет, истечет ли срок действия билета до или менее двух минут
после следующей запланированной проверки и при необходимости получает новый билет. (Другими словами, это
гарантирует, что у билета всегда будет оставшееся время жизни не менее двух
минут.) Если -H также указывается, время жизни, указанное в нем, заменяет два
минут по умолчанию.
Если эта опция не указана, но была дана команда в командной строке, по умолчанию
интервал 60 минут (1 час).
Если при обновлении кеша билетов возникает ошибка, интервал пробуждения будет равен
сокращается до одной минуты, и операция повторяется с этим интервалом до тех пор, пока
ошибка сохраняется.
-k билет кэш
Используйте билет кэш как кеш билетов, а не содержимое среды
переменная KRB5CCNAME или значение библиотеки по умолчанию. билет кэш может быть любой кеш билетов
идентификатор, распознаваемый базовыми библиотеками Kerberos. Обычно это поддерживает
путь к файлу со строкой "FILE:" или без нее, но может также поддерживать другие
типы кеша билетов.
Если любой из -o, -gили -m даны, билет кэш должен быть либо простой путь к файлу
или начните с «FILE:» или «WRFILE:».
-L Сообщать сообщения в системный журнал, а также в стандартный вывод или стандартную ошибку. Все
сообщения будут регистрироваться с помощью средства LOG_DAEMON. Отображаются регулярные сообщения
на стандартный вывод регистрируются с уровнем LOG_NOTICE. Ошибки, которые не вызывают к5старт
для завершения регистрируются с уровнем LOG_WARNING. Фатальные ошибки регистрируются с уровнем
ЛОГ_ОШИБКА.
Это полезно при отладке проблем в сочетании с -b.
-l время string
Установите срок действия билета. время string должен быть в формате, распознаваемом Kerberos
библиотеки для указания времени, например «10 часов» (десять часов) или «10 минут» (десять минут).
Известные единицы: s, m, h и d. Для получения дополнительной информации см. кинит(1).
-m Режим
После создания кеша билетов измените права доступа к файлам на Режим, который должен быть
файловый режим в восьмеричном формате (например, 640 или 444).
Установка Режим что не позволяет к5старт для чтения или записи в кеш билетов будет
вызывать к5старт сбой и выход при использовании -K вариант или запуск команды.
-n Игнорируется, присутствует для совместимости опций с устаревшими к4старт.
-o владелец
После создания кеша билетов измените его владельца на владелец, который может быть
имя пользователя или числовой идентификатор пользователя. Если владелец имя пользователя и -g законопроект
также не указано, также измените групповое владение кешем билетов на значение по умолчанию
группа для этого пользователя.
-P Не получать проксируемые билеты, даже если в локальной конфигурации указано, что проксируемые билеты
билеты по умолчанию. Без этого флага к5старт делает все, что есть в библиотеке по умолчанию.
-p ПИД-регулятор файл
Сохраните идентификатор процесса (PID) запущенного к5старт процесс в ПИД-регулятор файл. ПИД-регулятор файл is
создается, если он не существует, и перезаписывается, если он существует. Этот вариант наиболее
полезно в сочетании с -b для управления бегом к5старт демон.
Обратите внимание, что при использовании с -b файл PID записывается после к5старт на заднем плане
и меняет свой рабочий каталог на /, поэтому относительные пути для файла PID будут
относительно / (вероятно, не то, что вы хотите).
-q Тихий. Подавляет печать начального рекламного сообщения, в котором говорится, что Kerberos
основные билеты получаются, а также подавляет запрос пароля, когда
домен -s предоставляется вариант.
-r обслуживание область
Область для принципала службы. По умолчанию используется локальная область по умолчанию.
-S обслуживание имя
Определяет принципала, для которого к5старт получает служебный билет. По умолчанию
значение - "krbtgt", чтобы получить билет на выдачу билетов. Этот вариант (вместе с -I)
может использоваться, если требуется доступ только к одной услуге. Обратите внимание, что в отличие от клиента
субъект, субъект-служба, не являющийся субъектом службы по умолчанию, должен быть указан с обоими -S и -I; один
не может предоставить часть экземпляра как часть аргумента для -S.
-s Считайте пароль со стандартного ввода. Это обходит обычный запрос пароля,
что означает, что эхо не подавляется, и ввод не принудительно поступает от управляющего
Терминал. Большинство случаев использования этой опции представляют угрозу безопасности. Обычно вы хотите использовать
keytab и -f вариант вместо.
-t После получения билета запустить внешнюю программу. По умолчанию это используется для запуска
Aklog получить жетон. Если установлена переменная среды KINIT_PROG, она переопределяет
вкомпилированный по умолчанию.
If к5старт был построен с AFS setpag () поддержка и команда была дана на
командная строка, к5старт создаст новую PAG перед получением токенов AFS. Иначе,
он получит токены в текущей PAG.
-U Вместо того, чтобы требовать указания участника аутентификации в командной строке, прочтите
это из keytab, указанного с -f. Основная сумма будет снята с первого
запись в keytab. -f необходимо указать, если используется эта опция.
После появления -U дано, к5старт не будет ожидать, что в команде будет указано главное имя
строка, и любые аргументы после параметров будут приняты как команда для запуска.
-u клиент главный
Это указывает принципала для получения учетных данных как. Весь принципал может быть
указан здесь, или, альтернативно, только первая часть может быть указана с этим
флаг и экземпляр, указанный с помощью -i.
Обратите внимание, что обычно нет причин использовать этот флаг, а не просто указывать
принципала в командной строке в качестве первого обычного аргумента.
-v Будьте многословны. Это распечатает немного дополнительной информации о том, что
попытка и каковы результаты.
-x Немедленно выходите при любой ошибке. Обычно при запуске команды или при запуске с
-K вариант, к5старт продолжает работать, даже если ему не удается обновить кеш билетов, и
попробуйте еще раз в следующий интервал проверки. С этой опцией к5старт вместо этого выйдет.
ВЕРНУТЬ ЦЕННОСТИ:
Программа завершает работу со статусом 0, если она успешно получает билет или имеет счастливый билет.
(См. -H). если к5старт запускает aklog или другую программу к5старт возвращает статус выхода
эта программа.
ПРИМЕР
Использовать /etc/krb5.keytab keytab для получения билета на выдачу билета для принципала
host / example.com, поместив кеш билетов в /tmp/service.tkt. Срок службы 10 часов
и программа просыпается каждые 10 минут, чтобы проверить, не истекает ли срок действия билета.
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host / example.com
Сделайте то же самое, но используя кеш билетов по умолчанию, и запустите команду
/ USR / местные / бен / авторизация-резервное копирование. к5старт будет продолжать работать, пока команда не завершится. Если
первоначальная аутентификация не удалась, продолжайте попытки и не запускайте команду, пока она
удается. Это может быть использовано во время запуска системы для команды, которая должна иметь действительный
билеты перед стартом и допускает наличие к5старт начать до того, как сеть будет
полностью настроен.
k5start -f /etc/krb5.keytab -K 10 -l 10h хост / example.com \
/ USR / местные / бен / авторизация-резервное копирование
Показывает права доступа к временному файлу кеша, созданному к5старт:
k5start -f /etc/krb5.keytab host / example.com \
- sh -c 'ls -l $ KRB5CCNAME'
Обратите внимание на "-" перед командой сохранить к5старт от синтаксического анализа "-c" как собственного
опцию.
Сделайте то же самое, но определите принципала на вкладке keytab:
k5start -f /etc/krb5.keytab -U - sh -c 'ls -l $ KRB5CCNAME'
Обратите внимание, что перед командой не указывается принципал.
Старты к5старт как демон, использующий Debian старт-стоп-демон программа управления. Это
что-то вроде строки, которую можно было бы вставить в сценарий инициализации Debian:
старт-стоп-демон --start --pidfile /var/run/k5start.pid \
--exec / usr / local / bin / k5start - -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host / example.com
Это использует /var/run/k5start.pid как файл PID и получает билеты host / example.com из
системный файл keytab. к5старт затем будет остановлен:
старт-стоп-демон --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
Этот код можно добавить в сценарий инициализации для Apache, например, чтобы запустить к5старт
вместе с Apache для управления его учетными данными Kerberos.
ОКРУЖАЮЩАЯ СРЕДА
Если установлена переменная среды AKLOG, ее значение будет использоваться как программа для запуска.
-t а не по умолчанию соблюдается к5старт. Если AKLOG не установлен и KINIT_PROG
установлен, вместо него будет использоваться его значение. KINIT_PROG отмечен за обратную совместимость
но его использование не рекомендуется из-за запутанного названия.
Если нет файла билета (с -k) или команда указана в командной строке, к5старт буду использовать
переменная среды KRB5CCNAME для определения места выдачи билета
проездной билет. Если указана команда или -k используется опция, будет установлено KRB5CCNAME
чтобы указать на файл билета перед запуском Aklog программу или любую команду, заданную на
командная строка.
Используйте k5start онлайн с помощью сервисов onworks.net
