นี่คือคำสั่ง ksu ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ksu - Kerberized ผู้ใช้ขั้นสูง
เรื่องย่อ
ksu [ target_user ] [ -n target_principal_name ] [ -c source_cache_name ] [ -k ] [ -D ] [
-r เวลา ] [ -pf ] [ -l ตลอดชีวิต ] [ -z | Z ] [ -q ] [ -e คำสั่ง [ เถียง ... ] ] [ -a [
หาเรื่อง ... ] ]
สิ่งที่ต้องมี
ต้องติดตั้ง Kerberos เวอร์ชัน 5 เพื่อคอมไพล์ ksu ต้องมี Kerberos เวอร์ชัน 5
เซิร์ฟเวอร์ทำงานเพื่อใช้ ksu
DESCRIPTION
ksu เป็นเวอร์ชัน Kerberized ของโปรแกรม su ที่มีสองภารกิจ: หนึ่งคือการรักษาความปลอดภัย
เปลี่ยน ID ผู้ใช้จริงและมีผลเป็นของผู้ใช้เป้าหมาย และอีกอันคือ
สร้างบริบทความปลอดภัยใหม่
หมายเหตุ:
เพื่อความชัดเจน การอ้างอิงถึงและคุณลักษณะทั้งหมดของผู้ใช้ที่เรียกใช้
โปรแกรมจะเริ่มต้นด้วย "source" (เช่น "source user", "source cache" เป็นต้น)
ในทำนองเดียวกัน การอ้างอิงและคุณลักษณะทั้งหมดของบัญชีเป้าหมายจะเริ่มต้นด้วย
"เป้า".
การตรวจสอบ
เพื่อบรรลุภารกิจแรก ksu ดำเนินการในสองขั้นตอน: การรับรองความถูกต้องและ
การอนุญาต การแก้ไขชื่อหลักเป้าหมายเป็นขั้นตอนแรกในการพิสูจน์ตัวตน
ผู้ใช้สามารถระบุชื่อหลักของเขาด้วย -n ตัวเลือก (เช่น -n
[ป้องกันอีเมล]) หรือชื่อหลักเริ่มต้นจะถูกกำหนดโดยใช้ฮิวริสติกที่อธิบายไว้
ในส่วนตัวเลือก (ดู -n ตัวเลือก). ชื่อผู้ใช้เป้าหมายต้องเป็นอาร์กิวเมนต์แรก
ถึง ksu; หากไม่ได้ระบุรูทเป็นค่าเริ่มต้น ถ้า . ถูกระบุแล้วผู้ใช้เป้าหมายจะ
เป็นผู้ใช้ต้นทาง (เช่น ksu .). หากผู้ใช้ต้นทางเป็นรูทหรือผู้ใช้เป้าหมายคือ
ผู้ใช้ต้นทาง ไม่มีการพิสูจน์ตัวตนหรือการอนุญาตเกิดขึ้น มิฉะนั้น ksu มองหา an
ตั๋ว Kerberos ที่เหมาะสมในแคชต้นทาง
ตั๋วสามารถเป็นได้ทั้งเซิร์ฟเวอร์ปลายทางหรือตั๋วอนุญาตตั๋ว (TGT) สำหรับ
ขอบเขตหลักเป้าหมาย หากตั๋วสำหรับเซิร์ฟเวอร์ปลายทางอยู่ในแคชอยู่แล้ว แสดงว่าเป็น
ถอดรหัสและตรวจสอบ หากไม่ได้อยู่ในแคช แต่ TGT เป็น TGT จะถูกใช้เพื่อ
รับตั๋วสำหรับเซิร์ฟเวอร์ปลายทาง ตั๋วเซิร์ฟเวอร์ปลายทางจะได้รับการยืนยันแล้ว ถ้าไม่ใช่
ตั๋วอยู่ในแคช แต่ ksu ถูกคอมไพล์ด้วย GET_TGT_VIA_PASSWD กำหนด, ผู้ใช้
จะได้รับแจ้งให้ใส่รหัสผ่าน Kerberos ซึ่งจะใช้เพื่อรับ TGT ถ้า
ผู้ใช้เข้าสู่ระบบจากระยะไกลและไม่มีช่องทางที่ปลอดภัย รหัสผ่านอาจเป็น
ถูกเปิดเผย. หากไม่มีตั๋วใดอยู่ในแคชและ GET_TGT_VIA_PASSWD ไม่ได้กำหนด
การตรวจสอบล้มเหลว
การอนุมัติ
ส่วนนี้อธิบายการอนุญาตของผู้ใช้ต้นทางเมื่อ ksu ถูกเรียกใช้โดยไม่มี -e
ตัวเลือก. สำหรับคำอธิบายของ -e ตัวเลือก ดูส่วนตัวเลือก
เมื่อรับรองความถูกต้องสำเร็จ ksu จะตรวจสอบว่าตัวการเป้าหมายได้รับอนุญาตหรือไม่
เข้าถึงบัญชีเป้าหมาย ในโฮมไดเร็กทอรีของผู้ใช้เป้าหมาย ksu พยายามเข้าถึง
ไฟล์การอนุญาตสองไฟล์: .k5เข้าสู่ระบบ(5) และ .k5users ในไฟล์ .k5login แต่ละบรรทัด
มีชื่อของตัวการที่ได้รับอนุญาตให้เข้าถึงบัญชี
ตัวอย่างเช่น:
[ป้องกันอีเมล]
เจคิวพับลิช/[ป้องกันอีเมล]
เจคิวพับลิช/[ป้องกันอีเมล]
รูปแบบของ .k5users เหมือนกัน ยกเว้นชื่อหลักอาจตามด้วยรายการของ
คำสั่งที่ผู้บังคับบัญชาได้รับอนุญาตให้ดำเนินการ (ดู -e ตัวเลือกใน OPTIONS
ส่วนรายละเอียด)
ดังนั้น หากพบชื่อหลักเป้าหมายในไฟล์ .k5login ผู้ใช้ต้นทางคือ
ได้รับอนุญาตให้เข้าถึงบัญชีเป้าหมาย มิฉะนั้น ksu จะค้นหาในไฟล์ .k5users ถ้า
พบชื่อหลักเป้าหมายโดยไม่มีคำสั่งต่อท้ายหรือตามด้วย .เท่านั้น *
จากนั้นผู้ใช้ต้นทางจะได้รับอนุญาต หากมี .k5login หรือ .k5users อยู่แต่เป็น
ไม่มีรายการที่เหมาะสมสำหรับเป้าหมายหลัก การเข้าถึงจะถูกปฏิเสธ ถ้า
ไม่มีไฟล์ใดอยู่ เงินต้นจะได้รับการเข้าถึงบัญชีตาม
กฎการแมป aname->lname มิฉะนั้น การอนุญาตจะล้มเหลว
การดำเนินการ OF DIE เป้าหมาย SHELL
เมื่อตรวจสอบและอนุญาตสำเร็จแล้ว ksu จะดำเนินการในลักษณะเดียวกันกับ su
สภาพแวดล้อมไม่มีการแก้ไข ยกเว้นตัวแปร USER, HOME และ SHELL ถ้า
ผู้ใช้เป้าหมายไม่ใช่รูท USER จะถูกตั้งค่าเป็นชื่อผู้ใช้เป้าหมาย มิฉะนั้น USER
ยังคงไม่เปลี่ยนแปลง ทั้ง HOME และ SHELL ถูกตั้งค่าเป็นค่าเริ่มต้นของการเข้าสู่ระบบเป้าหมาย ใน
นอกจากนี้ตัวแปรสภาพแวดล้อม KRB5CCNAME ได้รับการตั้งค่าเป็นชื่อของแคชเป้าหมาย
ID ผู้ใช้จริงและมีผลจะเปลี่ยนเป็น ID ของผู้ใช้เป้าหมาย ผู้ใช้เป้าหมาย
จากนั้นเรียกใช้เชลล์ (ชื่อเชลล์ระบุไว้ในไฟล์รหัสผ่าน) เมื่อ
การสิ้นสุดของเชลล์ ksu จะลบแคชเป้าหมาย (ยกเว้นกรณีที่ ksu ถูกเรียกใช้ด้วย -k
ตัวเลือก). สิ่งนี้ถูกนำไปใช้โดยการทำ fork ก่อนแล้วจึง exec แทนที่จะเป็นเพียง
exec ตามที่ทำโดย su
การสร้าง A NEW การรักษาความปลอดภัย บริบท
ksu สามารถใช้เพื่อสร้างบริบทความปลอดภัยใหม่สำหรับโปรแกรมเป้าหมาย (ทั้ง target
เชลล์หรือคำสั่งที่ระบุผ่าน the -e ตัวเลือก). โปรแกรมเป้าหมายสืบทอดชุดของ
ข้อมูลประจำตัวจากผู้ใช้ต้นทาง โดยค่าเริ่มต้น ชุดนี้มีข้อมูลประจำตัวทั้งหมดใน
แคชต้นทางพร้อมข้อมูลประจำตัวเพิ่มเติมที่ได้รับระหว่างการตรวจสอบสิทธิ์ NS
ผู้ใช้ต้นทางสามารถ จำกัด ข้อมูลประจำตัวในชุดนี้โดยใช้ -z or -Z ตัวเลือก -z
จำกัดสำเนาตั๋วจากแคชต้นทางไปยังแคชเป้าหมายไว้เพียง
ตั๋วที่ลูกค้า == ชื่อหลักเป้าหมาย NS -Z ตัวเลือกให้ผู้ใช้เป้าหมาย
ด้วยแคชเป้าหมายใหม่ (ไม่มีเครดิตในแคช) โปรดทราบว่าด้วยเหตุผลด้านความปลอดภัย เมื่อ
ผู้ใช้ต้นทางคือรูทและผู้ใช้เป้าหมายไม่ใช่รูท -z ตัวเลือกคือโหมดเริ่มต้นของ
การทำงาน
แม้ว่าจะไม่มีการตรวจสอบสิทธิ์เกิดขึ้นหากผู้ใช้ต้นทางเป็นรูทหรือเหมือนกับ
ผู้ใช้เป้าหมาย ยังสามารถรับตั๋วเพิ่มเติมสำหรับแคชเป้าหมายได้ ถ้า -n is
ระบุและไม่สามารถคัดลอกข้อมูลประจำตัวไปยังแคชเป้าหมายได้ ผู้ใช้ต้นทางคือ
ถามรหัสผ่าน Kerberos (เว้นแต่ -Z ระบุหรือ GET_TGT_VIA_PASSWD ไม่ได้กำหนดไว้)
หากสำเร็จ จะได้รับ TGT จากเซิร์ฟเวอร์ Kerberos และจัดเก็บไว้ในแคชเป้าหมาย
มิฉะนั้น หากไม่มีการระบุรหัสผ่าน (ผู้ใช้กด return) ksu จะยังคงอยู่ในโหมดปกติ
ของการทำงาน (แคชเป้าหมายจะไม่มี TGT ที่ต้องการ) หากรหัสผ่านผิด
ถูกพิมพ์ ksu ล้มเหลว
หมายเหตุ:
ระหว่างการตรวจสอบสิทธิ์ เฉพาะตั๋วที่สามารถรับได้โดยไม่ระบุ a
รหัสผ่านถูกแคชในแคชต้นทาง
OPTIONS
-n target_principal_name
ระบุชื่อหลักของเป้าหมาย Kerberos ใช้ในการตรวจสอบและการอนุญาต
ขั้นตอนของ ksu
ถ้า ksu ถูกเรียกโดยไม่มี -n, ชื่อหลักเริ่มต้นถูกกำหนดผ่าน the
ฮิวริสติกต่อไปนี้:
· กรณีที่ 1: ผู้ใช้ต้นทางไม่ใช่รูท
หากผู้ใช้เป้าหมายเป็นผู้ใช้ต้นทาง ชื่อหลักเริ่มต้นจะถูกตั้งค่าเป็น
หลักการเริ่มต้นของแคชต้นทาง หากไม่มีแคชแสดงว่า
ชื่อหลักเริ่มต้นถูกตั้งค่าเป็น target_user@local_realm. หากแหล่งที่มาและ
ผู้ใช้เป้าหมายต่างกันและไม่เหมือนกัน ~target_user/.k5users ไม่
~target_user/.k5login มีอยู่จากนั้นชื่อหลักเริ่มต้นคือ
target_user_login_name@local_realm. มิเช่นนั้นให้เริ่มด้วยตัวการแรก
ตามรายการด้านล่าง ksu ตรวจสอบว่าอาจารย์ใหญ่ได้รับอนุญาตให้เข้าถึงเป้าหมายหรือไม่
บัญชีและมีตั๋วที่ถูกต้องสำหรับเงินต้นนั้นในแหล่งที่มาหรือไม่?
แคช หากตรงตามเงื่อนไขทั้งสอง เงินต้นจะกลายเป็นเป้าหมายเริ่มต้น
อาจารย์ใหญ่ มิฉะนั้น ไปที่อาจารย์ใหญ่คนต่อไป
NS. หลักเริ่มต้นของแคชต้นทาง
NS. target_user@local_realm
ค. source_user@local_realm
หาก ac ล้มเหลว ให้ลองใช้หลักการใด ๆ ที่มีตั๋วในแคชต้นทาง
และได้รับอนุญาตให้เข้าถึงบัญชีเป้าหมาย หากล้มเหลวให้เลือก
เงินต้นแรกที่ได้รับอนุญาตให้เข้าถึงบัญชีเป้าหมายจากด้านบน
รายการ. หากไม่มีใครได้รับอนุญาตและกำหนดค่า ksu ด้วย PRINC_LOOK_AHEAD หัน
บน เลือกหลักเริ่มต้นดังต่อไปนี้:
สำหรับผู้สมัครแต่ละคนในรายการด้านบน ให้เลือกตัวการที่มีอำนาจหน้าที่
ชื่ออาณาจักรเดียวกันและส่วนแรกของชื่อหลักเท่ากับคำนำหน้าของ
ผู้สมัคร. ตัวอย่างเช่น ถ้าผู้สมัคร ก) is [ป้องกันอีเมล] และ
เจคิวพับลิช/[ป้องกันอีเมล] ได้รับอนุญาตให้เข้าถึงบัญชีเป้าหมายแล้ว
เงินต้นเริ่มต้นถูกตั้งค่าเป็น เจคิวพับลิช/[ป้องกันอีเมล].
· กรณีที่ 2: ผู้ใช้ต้นทางคือรูท
หากผู้ใช้เป้าหมายไม่ใช่รูท ชื่อตัวการดีฟอลต์คือ
target_user@local_realm. มิฉะนั้น หากแคชต้นทางมีตัวการดีฟอลต์อยู่
ชื่อถูกตั้งค่าเป็นหลักการเริ่มต้นของแคชต้นทาง หากแคชต้นทาง
ไม่มีอยู่ ชื่อหลักเริ่มต้นถูกตั้งค่าเป็น รูท\@local_realm.
-c source_cache_name
ระบุชื่อแคชต้นทาง (เช่น -c ไฟล์:/tmp/my_cache) ถ้า -c ไม่ใช้ตัวเลือกแล้ว
ได้ชื่อมาจาก KRB5CCNAME ตัวแปรสภาพแวดล้อม ถ้า KRB5CCNAME ไม่ใช่
กำหนดชื่อแคชต้นทางถูกตั้งค่าเป็น krb5cc_ uid>. ชื่อแคชเป้าหมายคือ
ตั้งค่าอัตโนมัติเป็น krb5cc_ uid>.(gen_sym())โดยที่ gen_sym สร้างใหม่
หมายเลขดังกล่าวที่ไม่มีแคชผลลัพธ์ ตัวอย่างเช่น:
krb5cc_1984.2
-k อย่าลบแคชเป้าหมายเมื่อสิ้นสุดเชลล์เป้าหมายหรือคำสั่ง
(-e สั่งการ). ปราศจาก -k, ksu ลบแคชเป้าหมาย
-D เปิดโหมดแก้ไขข้อบกพร่อง
-z จำกัดสำเนาตั๋วจากแคชต้นทางไปยังแคชเป้าหมายไว้เพียง
ตั๋วที่ลูกค้า == ชื่อหลักเป้าหมาย ใช้ -n ตัวเลือกถ้าคุณต้องการ
ตั๋วสำหรับเงินต้นอื่นที่ไม่ใช่เงินต้น โปรดทราบว่า -z ตัวเลือกที่
แยกจากกันกับ -Z ตัวเลือก
-Z อย่าคัดลอกตั๋วใดๆ จากแคชต้นทางไปยังแคชเป้าหมาย เพียงแค่สร้าง
แคชเป้าหมายใหม่โดยที่ชื่อหลักเริ่มต้นของแคชถูกเตรียมใช้งานเป็น
ชื่อหลักเป้าหมาย โปรดทราบว่า -Z ตัวเลือกจะไม่เกิดร่วมกันกับ
-z ตัวเลือก
-q ระงับการพิมพ์ข้อความสถานะ
ตัวเลือกการออกตั๋ว:
-l ตลอดชีวิต -r เวลา -pf
ตัวเลือกการออกตั๋วจะใช้ได้เฉพาะในกรณีที่ไม่มี
ตั๋วที่เหมาะสมในแคชเพื่อตรวจสอบสิทธิ์ผู้ใช้ต้นทาง ในกรณีนี้ถ้า
ksu ได้รับการกำหนดค่าให้แจ้งให้ผู้ใช้ป้อนรหัสผ่าน Kerberos (GET_TGT_VIA_PASSWD is
กำหนดไว้) ตัวเลือกการอนุญาตตั๋วที่ระบุจะถูกใช้เมื่อ
การรับตั๋ว การออกตั๋วจากเซิร์ฟเวอร์ Kerberos
-l ตลอดชีวิต
(ระยะเวลา string.) ระบุอายุการใช้งานที่จะขอตั๋ว; ถ้านี้
ไม่ได้ระบุตัวเลือก อายุการใช้งานตั๋วเริ่มต้น (12 ชั่วโมง) จะถูกใช้แทน
-r เวลา
(ระยะเวลา string.) ระบุว่า ทดแทน ควรขอตัวเลือกสำหรับ
ตั๋ว และระบุอายุรวมของตั๋วที่ต้องการ
-p ระบุว่า ใกล้เคียง ควรขอตัวเลือกสำหรับตั๋ว
-f ตัวเลือกระบุว่า ส่งต่อได้ ควรขอตัวเลือกสำหรับตั๋ว
-e คำสั่ง [args ... ]
ksu ดำเนินการเหมือนกันทุกประการราวกับว่ามันถูกเรียกโดยไม่มี -e ตัวเลือก ยกเว้น
แทนที่จะรันเชลล์เป้าหมาย ksu รันคำสั่งที่ระบุ ตัวอย่าง
ของการใช้งาน:
ksu บ๊อบ -e ls -lag
อัลกอริทึมการอนุญาตสำหรับ -e จะเป็นดังนี้:
หากผู้ใช้ต้นทางเป็นผู้ใช้รูทหรือผู้ใช้ต้นทาง == ผู้ใช้เป้าหมายจะไม่มีการอนุญาต
สถานที่และคำสั่งถูกดำเนินการ หากรหัสผู้ใช้ต้นทาง != 0 และ
~target_user/.k5users ไม่มีไฟล์อยู่ การอนุญาตล้มเหลว มิฉะนั้น,
~target_user/.k5users ไฟล์ต้องมีรายการที่เหมาะสมสำหรับตัวการเป้าหมายถึง
ได้รับอนุญาต
รูปแบบไฟล์ .k5users:
รายการหลักเดียวในแต่ละบรรทัดที่อาจตามด้วยรายการคำสั่ง
ที่ผู้บังคับบัญชามีอำนาจดำเนินการได้ ชื่อหลักตามด้วย a *
หมายความว่าผู้ใช้ได้รับอนุญาตให้ดำเนินการคำสั่งใดๆ ดังนั้น ดังต่อไปนี้
ตัวอย่าง:
[ป้องกันอีเมล] ls เมล /local/kerberos/klist
เจคิวพับลิช/[ป้องกันอีเมล] *
เจคิวพับลิช/[ป้องกันอีเมล]
[ป้องกันอีเมล] ได้รับอนุญาตให้ดำเนินการเท่านั้น ls, อีเมล และ clist คำสั่ง
เจคิวพับลิช/[ป้องกันอีเมล] ได้รับอนุญาตให้ดำเนินการคำสั่งใด ๆ
เจคิวพับลิช/[ป้องกันอีเมล] ไม่ได้รับอนุญาตให้ดำเนินการคำสั่งใด ๆ สังเกตว่า
เจคิวพับลิช/[ป้องกันอีเมล] ได้รับอนุญาตให้ดำเนินการเชลล์เป้าหมาย (ปกติ ksu,
ปราศจาก -e ตัวเลือก) แต่ [ป้องกันอีเมล] ไม่ใช่.
คำสั่งที่แสดงหลังชื่อหลักต้องเป็นชื่อพาธแบบเต็มหรือ
แค่ชื่อโปรแกรม ในกรณีที่สอง CMD_PATH ระบุตำแหน่งของ
ต้องกำหนดโปรแกรมที่ได้รับอนุญาต ณ เวลารวบรวมของ ksu คำสั่งใด
ถูกประหารชีวิต?
หากผู้ใช้ต้นทางเป็นรูทหรือผู้ใช้เป้าหมายเป็นผู้ใช้ต้นทางหรือผู้ใช้เป็น
ได้รับอนุญาตให้ดำเนินการคำสั่งใด ๆ (* รายการ) จากนั้นคำสั่งอาจเป็นแบบเต็มหรือ a
เส้นทางสัมพัทธ์ที่นำไปสู่โปรแกรมเป้าหมาย มิฉะนั้นผู้ใช้จะต้องระบุ
เส้นทางแบบเต็มหรือเพียงแค่ชื่อโปรแกรม
-a args
ระบุอาร์กิวเมนต์ที่จะส่งผ่านไปยังเชลล์เป้าหมาย โปรดทราบว่าธงทั้งหมดและ
พารามิเตอร์ที่ตามมา -a จะถูกส่งไปยังเชลล์ ดังนั้นตัวเลือกทั้งหมดมีไว้สำหรับ
ksu ต้องมาก่อน -a.
การขอ -a สามารถใช้ตัวเลือกเพื่อจำลอง -e ตัวเลือกถ้าใช้ดังนี้:
-a -c [คำสั่ง [อาร์กิวเมนต์]]
-c ถูกตีความโดย c-shell เพื่อรันคำสั่ง
การติดตั้ง คำแนะนำ
ksu สามารถคอมไพล์ด้วยสี่แฟล็กต่อไปนี้:
GET_TGT_VIA_PASSWD
ในกรณีที่ไม่พบตั๋วที่เหมาะสมในแคชต้นทาง ผู้ใช้จะเป็น
ถามรหัสผ่าน Kerberos จากนั้นใช้รหัสผ่านเพื่อรับตั๋ว
การออกตั๋วจากเซิร์ฟเวอร์ Kerberos อันตรายของการกำหนดค่า ksu ด้วยสิ่งนี้
มาโครคือถ้าผู้ใช้ต้นทางเข้าสู่ระบบจากระยะไกลและไม่มีระบบรักษาความปลอดภัย
ช่องทาง รหัสผ่านอาจถูกเปิดเผย
PRINC_LOOK_AHEAD
ในระหว่างการแก้ไขชื่อหลักเริ่มต้น PRINC_LOOK_AHEAD เปิดใช้งาน ksu
เพื่อค้นหาชื่อหลักในไฟล์ .k5users ตามที่อธิบายไว้ในส่วนตัวเลือก
(ดู -n ตัวเลือก)
CMD_PATH
ระบุรายการไดเร็กทอรีที่มีโปรแกรมที่ผู้ใช้ได้รับอนุญาตให้
ดำเนินการ (ผ่านไฟล์ .k5users)
HAVE_GETUSERSSHELL
หากผู้ใช้ต้นทางไม่ใช่รูท ksu ยืนยันว่าเชลล์ของผู้ใช้เป้าหมายเป็น
เรียกเป็น "เปลือกทางกฎหมาย" getusershell(3) ถูกเรียกเพื่อรับชื่อของ
"เปลือกทางกฎหมาย". โปรดทราบว่าเชลล์ของผู้ใช้เป้าหมายได้มาจาก passwd
ไฟล์
ตัวอย่างการกำหนดค่า:
KSU_OPTS = -DGET_TGT_VIA_PASSWD -DPRINC_LOOK_AHEAD -DCMD_PATH='"/ bin /usr/ucb /local/bin"
ksu ควรเป็นเจ้าของโดย root และเปิดบิต ID ผู้ใช้ที่ตั้งค่าไว้
ksu พยายามรับตั๋วสำหรับเซิร์ฟเวอร์ปลายทางเช่นเดียวกับ Kerberized telnet และ rlogin
ดังนั้น จะต้องมีรายการสำหรับเซิร์ฟเวอร์ในฐานข้อมูล Kerberos (เช่น
เจ้าภาพ/[ป้องกันอีเมล]). ไฟล์ keytab ต้องอยู่ในตำแหน่งที่เหมาะสม
SIDE ผล
ksu ลบตั๋วที่หมดอายุทั้งหมดออกจากแคชต้นทาง
ผู้แต่ง OF KSU
เจนนาดี้ (อารีย์) เมดวินสกี้
ใช้ ksu ออนไลน์โดยใช้บริการ onworks.net
