k5start - Online sa Cloud

PROGRAMA:

NAME

k5start - Kumuha at opsyonal na panatilihing aktibo ang isang tiket sa Kerberos

SINOPSIS

k5start [-abFhLnPqstvx] [-c anak pid file] [-f keytab]
[-g grupo] [-H minuto] [-I serbisyo halimbawa]
[-i kliente halimbawa] [-K minuto] [-k tiket cache]
[-l oras pisi] [-m paraan] [-o may-ari]
[-p pid file] [-r serbisyo kaharian] [-S serbisyo pangalan]
[-u kliente pangunahin] [pangunahin [utos ...]]

k5start -U -f keytab [-abFhLnPqstvx] [-c anak pid file]
[-g grupo] [-H minuto] [-I serbisyo halimbawa]
[-K minuto] [-k tiket cache] [-l oras pisi]
[-m paraan] [-o may-ari] [-p pid file]
[-r serbisyo kaharian] [-S serbisyo pangalan] [utos ...]

DESCRIPTION

k5start nakakakuha at nag-cache ng paunang tiket na nagbibigay ng tiket sa Kerberos para sa isang prinsipal.
k5start maaaring magamit bilang isang kahalili sa napag-alaman, ngunit ito ay pangunahing inilaan na gamitin ng
mga program na gustong gumamit ng keytab upang makakuha ng mga kredensyal ng Kerberos, gaya ng isang web server
na kailangang mag-authenticate sa isa pang serbisyo tulad ng isang LDAP server.

Karaniwan, ang punong-guro kung saan bibigyan ng mga tiket ay dapat na tukuyin bilang ang una
argumento. pangunahin maaaring isa lamang pangunahing pangalan (kabilang ang opsyonal na halimbawa)
o isang buong principal at realm string. Ang -u at -i ang mga opsyon ay maaaring gamitin bilang alternatibo
mekanismo para sa pagtukoy ng punong-guro, ngunit sa pangkalahatan ay hindi gaanong maginhawa. Kung hindi
ibinibigay ang punong-guro bilang alinman sa unang argumento o argumento sa -u opsyon, ang
Nagde-default ang client principal sa Unix username ng user na tumatakbo k5start sa default
lokal na kaharian.

Opsyonal, maaaring magbigay ng command sa command line ng k5start. Kung gayon, ang utos na iyon ay
tumakbo pagkatapos ng pagpapatunay ng Kerberos (at tumatakbo aklog kung ninanais), na may naaangkop
nakatakda ang mga variable ng kapaligiran upang ituro ito sa tamang cache ng tiket. k5start ay pagkatapos
ipagpatuloy ang pagtakbo, paggising sa pana-panahon upang i-refresh nang bahagya ang mga kredensyal bago ito gawin
mag-expire, hanggang sa makumpleto ang utos. (Ang dalas ng paggising nito para mag-refresh
ang mga kredensyal ay maaari pa ring kontrolin gamit ang -K opsyon.) Upang tumakbo sa mode na ito, ang
Ang punong-guro ay dapat na tukuyin bilang isang regular na argumento ng command-line o sa pamamagitan ng -U
opsyon; ang -u at -i maaaring hindi gamitin ang mga opsyon. Gayundin, dapat na tukuyin ang isang keytab na may -f
upang magpatakbo ng isang tiyak na utos.

Ang utos ay hindi tatakbo gamit ang shell, kaya kung gusto mong gumamit ng shell metacharacters in
ang utos na may espesyal na kahulugan, ibigay ang "sh -c utos" bilang utos na tumakbo at
sipi utos.

Kung ang command ay naglalaman ng mga opsyon sa command-line (tulad ng "-c"), ilagay -- sa command line
bago ang simula ng utos na sabihin k5start upang hindi i-parse ang mga opsyon na iyon bilang sarili nito.

Kapag nagpapatakbo ng isang utos, k5start nagpapalaganap ng HUP, TERM, INT, at QUIT signal sa bata
proseso at hindi lalabas kapag natanggap ang mga signal na iyon. (Kung ang propagated signal
nagiging sanhi ng paglabas ng proseso ng bata, k5start ay pagkatapos ay lalabas.) Ito ay nagpapahintulot k5start magreact
nang maayos kapag tumatakbo sa ilalim ng isang command supervision system tulad ng runit(8) o svscan(8) na
gumagamit ng mga signal para kontrolin ang mga pinangangasiwaang command, at para magpatakbo ng mga interactive na command na dapat
tumanggap ng Ctrl-C.

Kung tumatakbo k5start tumatanggap ng signal ng ALRM, agad nitong nire-refresh ang cache ng ticket
hindi alintana kung ito ay nasa panganib na mag-expire.

If k5start ay pinapatakbo gamit ang isang utos o ang -K bandila at ang -x watawat ay hindi ibinigay, ito ay panatilihin
sinusubukan kahit na nabigo ang paunang pagpapatunay. Susubukan nitong muli ang paunang pagpapatunay
kaagad at pagkatapos ay may exponential backoff sa isang beses bawat minuto, at patuloy na subukan hanggang
nagtagumpay ang pagpapatunay o ito ay pinapatay. Ang utos, kung mayroon man, ay hindi magsisimula hanggang
nagtagumpay ang pagpapatunay.

Opsyon

-a Kapag tumakbo sa alinman sa -K bandila o isang command, palaging i-renew ang mga tiket sa bawat oras k5start
gumising. Kung wala ang pagpipiliang ito, k5start susubukan lang mag-renew ng ticket nang madalas
kinakailangan upang maiwasan ang pag-expire ng tiket. Gamit ang pagpipiliang ito, k5start magre-renew
mga tiket ayon sa agwat na tinukoy sa -K bandila.

Ang pag-uugaling ito ay malamang na ang default na pag-uugali ng -K. Ang default ay
hindi binago upang maiwasan ang mga pagbabago para sa mga umiiral nang user, ngunit para sa mga bagong application, isaalang-alang
laging ginagamit -a sa -K.

Ang opsyon na ito ay mahalaga kung ang isa pang programa ay nagmamanipula sa ticket cache na iyon
k5start ay gumagamit. Halimbawa, kung ang isa pang programa ay awtomatikong nagre-renew ng tiket
mas madalas kaysa sa k5start, Pagkatapos k5start ay hindi kailanman makakakita ng isang tiket na malapit sa
mag-e-expire at samakatuwid, bilang default, ay hinding-hindi susubukan na i-renew ang tiket. Ibig sabihin nito
na k5start hindi rin magre-renew ng mga token ng AFS, kahit na ang -t ang opsyon ay ibinigay, dahil
k5start Nire-renew lang ang mga token ng AFS pagkatapos nitong matagumpay na mag-renew ng ticket. Kung ang pagpipiliang ito
ay tinukoy sa ganoong sitwasyon, k5start ay magre-renew ng tiket nito sa tuwing magsuri ito
ang ticket, kaya mare-renew ang mga token ng AFS.

Ang argumentong ito ay may bisa lamang sa kumbinasyon ng alinman -K o isang utos na tumakbo.

-b Pagkatapos magsimula, humiwalay sa controlling terminal at tumakbo sa background. Ito
ang pagpipilian ay may katuturan lamang sa kumbinasyon ng -K o isang utos na k5start ay
tumatakbo at magagamit lang kung may tinukoy na keytab na may -f. k5start ay hindi mag
background mismo hanggang matapos itong subukang mag-authenticate nang isang beses, upang ang anumang inisyal
iuulat ang mga error, ngunit ire-redirect nito ang output sa / dev / null at hindi
iuulat ang mga kasunod na pagkakamali.

Kung ibibigay ang watawat na ito, k5start babaguhin din ang mga direktoryo sa "/". Lahat ng mga landas (tulad ng
bilang sa isang utos na tumakbo o isang PID file) ay dapat samakatuwid ay ibigay bilang ganap, hindi
kamag-anak, mga landas.

Kung ginamit kasabay ng isang command na tumakbo, ang command na iyon ay tatakbo din sa
background at ire-redirect din ang input at output nito / dev / null. Ito ay
kailangang mag-ulat ng anumang mga error sa pamamagitan ng ilang iba pang mekanismo para makita ang mga error.

Tandaan na sa Mac OS X, ang default na uri ng cache ng ticket ay per-session at gamit ang -b
mawawala ang bandila k5start mula sa umiiral na cache ng tiket. Kapag gumagamit -b in
kaugnay ng -K sa Mac OS X, malamang na gusto mo ring gamitin ang -k watawat upang tukuyin
isang ticket cache file at pilitin ang paggamit ng isang file cache.

Kapag ginagamit ang opsyong ito, isaalang-alang din ang paggamit -L mag-ulat k5start mga error sa syslog.

-c anak pid file
I-save ang process ID (PID) ng proseso ng bata sa anak pid file. anak pid file is
nilikha kung wala ito at na-overwrite kung mayroon nga. Ang pagpipiliang ito ay lamang
pinapayagan kapag ang isang utos ay ibinigay sa linya ng utos at ito ay pinakakapaki-pakinabang kasama
sa -b upang payagan ang pamamahala ng tumatakbong proseso ng bata.

Tandaan na, kapag ginamit sa -b, ang PID file ay isinusulat pagkatapos k5start is
naka-background at binago ang gumaganang direktoryo nito sa /, kaya mga kamag-anak na landas para sa PID
Ang file ay magiging nauugnay sa / (malamang hindi kung ano ang gusto mo).

-F Huwag kumuha ng mga maipapasa na tiket kahit na ang lokal na pagsasaayos ay nagsabing mapapasa
mga tiket bilang default. Kung wala itong watawat, k5start ginagawa ang anuman ang default ng library.

-f keytab
Patotohanan gamit ang keytab keytab sa halip na humingi ng password. Isang susi para sa
dapat naroroon ang punong-guro ng kliyente keytab.

-g grupo
Pagkatapos gawin ang cache ng ticket, palitan ang pagmamay-ari ng grupo nito sa grupo, na maaaring
alinman sa pangalan ng isang grupo o isang numeric group ID. Ang mga cache ng tiket ay nilikha gamit ang 0600
mga pahintulot bilang default, kaya hindi ito magkakaroon ng kapaki-pakinabang na epekto maliban kung ginamit kasama ng -m.

-H minuto
Tingnan ang isang masayang tiket, na tinukoy bilang isa na may natitirang panghabambuhay na hindi bababa sa
minuto minuto. Kung ang naturang tiket ay natagpuan, huwag subukan ang pagpapatunay. sa halip,
patakbuhin lamang ang utos (kung tinukoy ang isa) o lumabas kaagad na may katayuan 0 (kung wala
noon). Kung hindi, subukang kumuha ng bagong tiket at pagkatapos ay patakbuhin ang command, kung mayroon man.

If -H ay ginagamit sa -t, ang panlabas na programa ay palaging tatakbo kahit na ang isang tiket na may a
natagpuan ang sapat na natitirang buhay.

If -H ay ginagamit sa -K, k5start hindi agad lalabas. Sa halip, ang tinukoy
ang natitirang buhay ay papalitan ang default na halaga ng dalawang minuto, ibig sabihin iyon k5start
titiyakin, sa bawat oras na magigising ito, na ang tiket ay may natitirang buhay ng
minuto argumento. Ito ay isang alternatibo sa -a upang matiyak na ang mga tiket ay laging may a
tiyak na minimal na haba ng buhay ang natitira.

-h Magpakita ng mensahe ng paggamit at lumabas.

-I serbisyo halimbawa
Ang halimbawang bahagi ng punong-guro ng serbisyo. Ang default ay ang default na kaharian ng
ang makina. Tandaan na hindi tulad ng client principal, isang non-default na service principal
dapat tukuyin sa -I at -S; hindi maaaring ibigay ng isa ang bahagi ng halimbawa bilang bahagi ng
ang argumento sa -S.

-i kliente halimbawa
Tinutukoy ang bahagi ng halimbawa ng punong-guro. Walang saysay ang opsyong ito
maliban sa kumbinasyon ng -u. Tandaan na maaaring tukuyin ang instance bilang bahagi ng
username sa pamamagitan ng normal na kumbensyon ng pagdaragdag ng isang slash at pagkatapos ay ang halimbawa, kaya
hindi kailanman kailangang gamitin ng isa ang opsyong ito.

-K minuto
Tumakbo sa daemon mode upang panatilihing buhay ang isang tiket nang walang katapusan. Ang programa ay muling gumising pagkatapos
minuto minuto, tinitingnan kung mag-e-expire ang ticket bago o wala pang dalawang minuto
pagkatapos ng susunod na naka-iskedyul na tseke, at makakakuha ng bagong tiket kung kinakailangan. (Sa madaling salita, ito
tinitiyak na ang tiket ay palaging may natitirang buhay na hindi bababa sa dalawa
minuto.) Kung ang -H ang bandila ay ibinigay din, ang buhay na tinukoy nito ay pumapalit sa dalawa
minutong default.

Kung ang opsyong ito ay hindi ibinigay ngunit ang isang command ay ibinigay sa command line, ang default
ang pagitan ay 60 minuto (1 oras).

Kung may naganap na error sa pag-refresh ng ticket cache, ang wake-up interval ay magiging
pinaikli sa isang minuto at ang operasyon ay muling sinubukan sa pagitan na iyon hangga't ang
nagpapatuloy ang error.

-k tiket cache
paggamit tiket cache bilang ticket cache sa halip na ang mga nilalaman ng kapaligiran
variable na KRB5CCNAME o ang default na library. tiket cache maaaring anumang cache ng tiket
identifier na kinikilala ng mga pangunahing aklatan ng Kerberos. Ito ay karaniwang sumusuporta sa a
path sa isang file, mayroon man o walang nangungunang "FILE:" na string, ngunit maaari ring suportahan ang iba
mga uri ng cache ng tiket.

Kung alinman sa -o, -g, O -m ay ibinigay, tiket cache ay dapat na alinman sa isang simpleng landas sa isang file
o magsimula sa "FILE:" o "WRFILE:".

-L Mag-ulat ng mga mensahe sa syslog gayundin sa karaniwang output o karaniwang error. Lahat
ang mga mensahe ay ila-log gamit ang pasilidad na LOG_DAEMON. Mga regular na mensahe na ipinapakita
sa karaniwang output ay naka-log na may antas na LOG_NOTICE. Mga error na hindi sanhi k5start
upang wakasan ay naka-log na may antas na LOG_WARNING. Naka-log na may level ang mga fatal error
LOG_ERR.

Ito ay kapaki-pakinabang kapag nagde-debug ng mga problema kasama ng -b.

-l oras pisi
Itakda ang habambuhay ng ticket. oras pisi dapat nasa format na kinikilala ng mga Kerberos
mga aklatan para sa pagtukoy ng mga oras, gaya ng "10h" (sampung oras) o "10m" (sampung minuto).
Ang mga kilalang unit ay "s", "m", "h", at "d". Para sa karagdagang impormasyon, tingnan napag-alamanNa (1).

-m paraan
Pagkatapos gawin ang cache ng ticket, baguhin ang mga pahintulot ng file nito sa paraan, na dapat ay a
file mode sa octal (640 o 444, halimbawa).

Pagtatakda ng isang paraan hindi pinapayagan k5start magbasa o sumulat sa ticket cache ay
maging sanhi k5start mabigo at lumabas kapag ginagamit ang -K opsyon o pagpapatakbo ng isang command.

-n Hindi pinansin, naroroon para sa pagiging tugma ng opsyon sa hindi na ginagamit ngayon k4start.

-o may-ari
Pagkatapos gawin ang cache ng ticket, palitan ang pagmamay-ari nito sa may-ari, na maaaring alinman
ang pangalan ng isang user o isang numerong user ID. Kung may-ari ay ang pangalan ng isang gumagamit at -g ay
hindi rin ibinigay, baguhin din ang pagmamay-ari ng grupo ng cache ng tiket sa default
pangkat para sa gumagamit na iyon.

-P Huwag kumuha ng mga proxiable na tiket kahit na sinasabi ng lokal na configuration na makakuha ng proxiable
mga tiket bilang default. Kung wala itong watawat, k5start ginagawa ang anuman ang default ng library.

-p pid file
I-save ang process ID (PID) ng tumatakbo k5start proseso sa pid file. pid file is
nilikha kung wala ito at na-overwrite kung mayroon nga. Ang pagpipiliang ito ay pinaka
kapaki-pakinabang kasabay ng -b upang payagan ang pamamahala ng pagtakbo k5start daemon

Tandaan na, kapag ginamit sa -b ang PID file ay isinusulat pagkatapos k5start ay may background
at binabago ang gumaganang direktoryo nito sa /, kaya ang mga kamag-anak na landas para sa PID file ay magiging
may kaugnayan sa / (malamang hindi kung ano ang gusto mo).

-q Tahimik. Pinipigilan ang pag-print ng paunang mensahe ng banner na nagsasabi kung ano ang Kerberos
ang mga pangunahing tiket ay kinukuha para sa, at pinipigilan din ang prompt ng password kung kailan
ang -s ang pagpipilian ay ibinigay.

-r serbisyo kaharian
Ang kaharian para sa punong-guro ng serbisyo. Nagde-default ito sa default na lokal na kaharian.

-S serbisyo pangalan
Tinutukoy ang punong-guro kung saan k5start ay nakakakuha ng service ticket. Ang default
ang halaga ay "krbtgt", para makakuha ng ticket na nagbibigay ng ticket. Ang pagpipiliang ito (kasama ang -I)
maaaring gamitin kung ang isa ay nangangailangan lamang ng access sa isang serbisyo. Tandaan na hindi katulad ng kliyente
punong-guro, ang isang non-default na punong-guro ng serbisyo ay dapat na tinukoy sa pareho -S at -I; isa
hindi maaaring magbigay ng bahagi ng halimbawa bilang bahagi ng argumento sa -S.

-s Basahin ang password mula sa karaniwang input. Nilalampasan nito ang normal na prompt ng password,
na nangangahulugan na ang echo ay hindi pinigilan at ang input ay hindi pinipilit na mula sa pagkontrol
terminal. Karamihan sa mga paggamit ng opsyong ito ay isang panganib sa seguridad. Karaniwang nais mong gumamit ng a
keytab at ang -f opsyon sa halip.

-t Magpatakbo ng panlabas na programa pagkatapos makakuha ng tiket. Ang default na paggamit nito ay upang tumakbo
aklog para makakuha ng token. Kung nakatakda ang environment variable na KINIT_PROG, ino-override nito ang
pinagsama-samang default.

If k5start ay binuo gamit ang AFS setpag() suporta at isang utos ang ibinigay sa
command line, k5start lilikha ng bagong PAG bago makakuha ng mga token ng AFS. kung hindi,
makakakuha ito ng mga token sa kasalukuyang PAG.

-U Sa halip na hilingin na ibigay ang punong-guro ng pagpapatunay sa command line, basahin
ito mula sa keytab na tinukoy sa -f. Kukunin ang principal mula sa una
entry sa keytab. -f dapat tukuyin kung ang opsyon na ito ay ginagamit.

Kailan -U ay ibinigay, k5start hindi aasahan ang isang pangunahing pangalan na ibibigay sa utos
linya, at anumang mga argumento pagkatapos ng mga pagpipilian ay kukunin bilang isang utos na tumakbo.

-u kliente pangunahin
Tinutukoy nito ang punong-guro upang makakuha ng mga kredensyal bilang. Maaaring ang buong punong-guro
tinukoy dito, o bilang kahalili ang unang bahagi lamang ang maaaring tukuyin kasama nito
flag at ang halimbawang tinukoy sa -i.

Tandaan na karaniwang walang dahilan para gamitin ang flag na ito sa halip na ibigay ang
punong-guro sa command line bilang unang regular na argumento.

-v Maging verbose. Ito ay magpi-print ng kaunting karagdagang impormasyon tungkol sa kung ano ang pagiging
sinubukan at kung ano ang mga resulta.

-x Lumabas kaagad sa anumang error. Karaniwan, kapag nagpapatakbo ng isang command o kapag tumakbo gamit ang
-K pagpipilian, k5start patuloy na tumatakbo kahit na nabigo itong i-refresh ang ticket cache at will
subukang muli sa susunod na agwat ng pagsusuri. Gamit ang pagpipiliang ito, k5start sa halip ay lalabas.

RETURN Mga halaga

Ang programa ay lalabas na may katayuan 0 kung ito ay matagumpay na nakakuha ng tiket o may masayang tiket
(Tingnan ang -H). Kung k5start nagpapatakbo ng aklog o iba pang programa k5start ibinabalik ang exit status ng
programang iyon.

Halimbawa

Gamitin ang /etc/krb5.keytab keytab para makakuha ng ticket na nagbibigay ng ticket para sa principal
host/example.com, inilalagay ang cache ng ticket /tmp/service.tkt. Ang buhay ay 10 oras
at ang programa ay gumigising tuwing 10 minuto upang suriin kung ang tiket ay malapit nang mag-expire.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/example.com

Gawin ang parehong, ngunit gamit ang default na cache ng tiket at patakbuhin ang command
/usr/local/bin/auth-backup. k5start ay magpapatuloy sa pagtakbo hanggang sa matapos ang utos. Kung
nabigo ang paunang pagpapatunay, patuloy na subukan, at huwag simulan ang utos hanggang dito
nagtagumpay. Ito ay maaaring gamitin sa panahon ng system startup para sa isang utos na dapat ay may bisa
tiket bago magsimula, at kinukunsinti ang pagkakaroon k5start magsimula bago ang network
ganap na naka-set up.

k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup

Ipinapakita ang mga pahintulot ng pansamantalang cache file na ginawa ni k5start:

k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

Pansinin ang "--" bago ang utos na panatilihin k5start mula sa pag-parse ng "-c" bilang sarili nito
pagpipilian.

Gawin ang parehong bagay, ngunit tukuyin ang punong-guro mula sa keytab:

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

Tandaan na walang punong guro ang ibinigay bago ang utos.

Nagsisimula k5start bilang isang daemon gamit ang Debian start-stop-daemon programa sa pamamahala. Ito ay
ang uri ng linya na maaaring ilagay sa isang Debian init script:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com

Ito ay gumagamit ng /var/run/k5start.pid bilang PID file at kumukuha ng mga tiket sa host/example.com mula sa
ang system keytab file. k5start ay titigil sa:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Maaaring idagdag ang code na ito sa isang init script para sa Apache, halimbawa, upang simulan ang isang k5start
proseso kasama ng Apache upang pamahalaan ang mga kredensyal nito sa Kerberos.

Kapaligiran

Kung nakatakda ang environment variable na AKLOG, gagamitin ang value nito bilang program na tatakbo
sa -t sa halip na ang default ay sumunod sa k5start. Kung hindi nakatakda ang AKLOG at KINIT_PROG
ay nakatakda, ang halaga nito ang gagamitin sa halip. Pinarangalan ang KINIT_PROG para sa backward compatibility
ngunit hindi inirerekomenda ang paggamit nito dahil sa nakakalito nitong pangalan.

Kung walang ticket file (na may -k) o command ay tinukoy sa command line, k5start gagamitin
ang environment variable na KRB5CCNAME upang matukoy ang lokasyon ng pagbibigay ng ticket
tiket. Kung ang alinman sa isang utos ay tinukoy o ang -k ginagamit ang opsyon, itatakda ang KRB5CCNAME
upang ituro ang file ng tiket bago patakbuhin ang aklog programa o anumang utos na ibinigay sa
command line.

Gamitin ang k5start online gamit ang mga serbisyo ng onworks.net