Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ksu komutudur.
Program:
ADI
ksu - Kerberized süper kullanıcı
SİNOPSİS
ksu [ hedef_kullanıcı ] [ -n hedef_ana_adı ] [ -c kaynak_önbellek_adı ] [ -k ] [ -D ] [
-r zaman ] [ -pf ] [ -l ömür ] [ -z | Z ] [ -q ] [ -e komuta [ argümanlar ... ] ] [ -a [
argümanlar ... ] ]
ŞARTLAR
ksu'yu derlemek için Kerberos sürüm 5'in kurulu olması gerekir. Kerberos sürüm 5 olmalıdır
sunucu ksu kullanmak için çalışıyor.
TANIM
ksu, su programının Kerberized versiyonudur ve iki görevi vardır: biri güvenli bir şekilde
gerçek ve etkili kullanıcı kimliğini hedef kullanıcınınkiyle değiştirmek ve diğeri
yeni bir güvenlik bağlamı oluşturun.
NOT:
Açıklık sağlamak amacıyla, kullanıcıya ilişkin tüm referanslar ve kullanıcı özellikleri,
program "source" ile başlayacaktır (örneğin, "source user", "source cache", vb.).
Aynı şekilde, hedef hesaba ilişkin tüm referanslar ve nitelikler ile başlayacak
"hedef".
KİMLİK DOĞRULAMA
İlk görevi yerine getirmek için ksu iki aşamada çalışır: kimlik doğrulama ve
yetki. Hedef asıl adının çözümlenmesi, kimlik doğrulamanın ilk adımıdır.
Kullanıcı, asıl adını şu şekilde belirtebilir: -n seçeneği (örn. -n
[e-posta korumalı]) veya varsayılan bir asıl ad, açıklanan bir buluşsal yöntem kullanılarak atanacaktır.
SEÇENEKLER bölümünde (bkz. -n seçenek). Hedef kullanıcı adı ilk argüman olmalıdır
ksu'ya; belirtilmemişse, kök varsayılandır. Eğer . belirtilirse, hedef kullanıcı
kaynak kullanıcı olun (örn. ksu .). Kaynak kullanıcı root ise veya hedef kullanıcı ise
kaynak kullanıcı, kimlik doğrulama veya yetkilendirme yapılmaz. Aksi takdirde, ksu bir
kaynak önbelleğinde uygun Kerberos bileti.
Bilet, son sunucu için veya bilet sağlayan bilet (TGT) için olabilir.
hedef müdürün alanı. Son sunucunun bileti zaten önbellekteyse,
şifresi çözüldü ve doğrulandı. Önbellekte değilse ancak TGT varsa, TGT
son sunucu için bileti alın. Son sunucu bileti daha sonra doğrulanır. eğer hiçbiri
bilet önbellektedir, ancak ksu ile derlenir GET_TGT_VIA_PASSWD tanımla, kullanıcı
daha sonra bir TGT almak için kullanılacak bir Kerberos şifresi istenecektir. Eğer
kullanıcı uzaktan oturum açtıysa ve güvenli bir kanalı yoksa şifre
maruz. Biletlerin hiçbiri önbellekte değilse ve GET_TGT_VIA_PASSWD Tanımlanmadı,
kimlik doğrulama başarısız olur.
YETKİ
Bu bölüm, ksu olmadan çağrıldığında kaynak kullanıcının yetkilendirmesini açıklar. -e
seçenek. açıklaması için -e seçeneği için SEÇENEKLER bölümüne bakın.
Başarılı kimlik doğrulamanın ardından, ksu hedef müdürün yetkilendirilip yetkilendirilmediğini kontrol eder.
hedef hesaba erişin. Hedef kullanıcının ana dizininde, ksu erişmeye çalışır
iki yetkilendirme dosyası: .k5giriş(5) ve .k5users. .k5login dosyasında her satır
hesaba erişme yetkisi olan bir müdürün adını içerir.
Örneğin:
[e-posta korumalı]
jqpublic/[e-posta korumalı]
jqpublic/[e-posta korumalı]
.k5users formatı aynıdır, ancak asıl adın ardından bir liste gelebilir.
müdürün yürütmeye yetkili olduğu komutlar (bkz. -e SEÇENEKLER'deki seçenek
bölüm).
Bu nedenle, hedef asıl adı .k5login dosyasında bulunursa, kaynak kullanıcı
hedef hesaba erişmeye yetkili. Aksi takdirde ksu, .k5users dosyasına bakar. Eğer
hedef asıl adı, takip eden komutlar olmadan bulunur veya yalnızca *
daha sonra kaynak kullanıcı yetkilendirilir. .k5login veya .k5users varsa, ancak
hedef sorumlu için uygun giriş yoksa erişim reddedilir. Eğer
hiçbir dosya mevcut değilse, sorumluya hesaba şu şekilde erişim izni verilir:
aname->lname eşleme kuralları. Aksi takdirde, yetkilendirme başarısız olur.
UYGULAMA OF L' HEDEF SHELL
Başarılı kimlik doğrulama ve yetkilendirmenin ardından ksu, su'ya benzer şekilde ilerler.
USER, HOME ve SHELL değişkenleri dışında ortam değiştirilmez. Eğer
hedef kullanıcı kök değil, KULLANICI hedef kullanıcı adına ayarlanır. Aksi takdirde KULLANICI
değişmeden kalır. Hem HOME hem de SHELL, hedef oturum açmanın varsayılan değerlerine ayarlanmıştır. İçinde
ek olarak, ortam değişkeni KRB5CCNAME hedef önbelleğin adına ayarlanır.
Gerçek ve etkin kullanıcı kimliği, hedef kullanıcının kimliğiyle değiştirilir. hedef kullanıcının
kabuk daha sonra çağrılır (kabuk adı parola dosyasında belirtilir). Üzerine
kabuğun sonlandırılması, ksu hedef önbelleği siler (ksu, -k
seçenek). Bu, önce bir çatal ve ardından sadece yerine bir exec yaparak uygulanır.
su tarafından yapıldığı gibi exec.
OLUŞTURMA A YENİ BAĞLAM
ksu hedef program için yeni bir güvenlik bağlamı oluşturmak için kullanılabilir (hedef
kabuk veya aracılığıyla belirtilen komut -e seçenek). Hedef program bir dizi miras alır
kaynak kullanıcıdan kimlik bilgileri. Varsayılan olarak, bu küme içindeki tüm kimlik bilgilerini içerir.
kaynak önbellek ve kimlik doğrulama sırasında elde edilen ek kimlik bilgileri. NS
kaynak kullanıcı, kullanarak bu kümedeki kimlik bilgilerini sınırlayabilir -z or -Z seçeneği. -z
biletlerin kaynak önbellekten hedef önbelleğe kopyalanmasını yalnızca
istemcinin == hedef asıl adı olduğu biletler. NS -Z seçenek, hedef kullanıcıya sağlar
yeni bir hedef önbellekle (önbellekte kredi yok). Güvenlik nedeniyle, ne zaman
kaynak kullanıcı root ve hedef kullanıcı root değil, -z seçeneği varsayılan moddur
çalışma.
Kaynak kullanıcı root ise veya kullanıcıyla aynıysa, kimlik doğrulama yapılmaz.
hedef kullanıcı, yine de hedef önbellek için ek biletler alınabilir. Eğer -n is
belirtilen ve hedef önbelleğe hiçbir kimlik bilgisi kopyalanamaz, kaynak kullanıcı
Kerberos parolası istenirse (eğer -Z belirtilen veya GET_TGT_VIA_PASSWD tanımsızdır).
Başarılı olursa, Kerberos sunucusundan bir TGT alınır ve hedef önbellekte saklanır.
Aksi takdirde, eğer bir şifre verilmezse (user hit return) ksu normal modda devam eder.
(hedef önbellek istenen TGT'yi içermeyecektir). yanlış şifre ise
yazıldığında, ksu başarısız olur.
NOT:
Kimlik doğrulama sırasında, yalnızca bir bilgi sağlamadan elde edilebilecek biletler
parola kaynak önbelleğinde önbelleğe alınır.
SEÇENEKLER
-n hedef_ana_adı
Bir Kerberos hedef asıl adı belirtin. Kimlik doğrulama ve yetkilendirmede kullanılır
ksu'nun aşamaları.
ksu olmadan çağrılırsa -naracılığıyla varsayılan bir asıl ad atanır.
aşağıdaki buluşsal yöntem:
· Durum 1: kaynak kullanıcı root değil.
Hedef kullanıcı kaynak kullanıcıysa, varsayılan asıl adı şu şekilde ayarlanır:
kaynak önbelleğin varsayılan sorumlusu. Önbellek yoksa, o zaman
varsayılan asıl adı olarak ayarlandı hedef_kullanıcı@yerel_bölge. Eğer kaynak ve
hedef kullanıcılar farklıdır ve hiçbiri ~hedef_kullanıcı/.k5users ne de
~hedef_kullanıcı/.k5login varsa, varsayılan asıl ad
hedef_kullanıcı_giriş_adı@yerel_bölge. Aksi takdirde, ilk müdürden başlayarak
aşağıda listelenmiştir, ksu müdürün hedefe erişim yetkisi olup olmadığını kontrol eder
hesap ve kaynakta bu müdür için meşru bir bilet olup olmadığı
önbellek. Her iki koşul da karşılanırsa, bu müdür varsayılan hedef olur
müdür, aksi takdirde bir sonraki müdüre gidin.
a. kaynak önbelleğin varsayılan sorumlusu
B. target_user@local_realm
C. kaynak_kullanıcı@local_realm
AC başarısız olursa, kaynak önbelleğinde bir bilet bulunan herhangi bir müdürü deneyin
ve bu, hedef hesaba erişme yetkisine sahiptir. Bu başarısız olursa,
yukarıdan hedef hesaba erişme yetkisi olan ilk müdür
liste. Hiçbiri yetkilendirilmemişse ve ksu ile yapılandırılmışsa PRINC_LOOK_AHEAD dönük
açık, varsayılan anaparayı aşağıdaki gibi seçin:
Yukarıdaki listedeki her aday için, aşağıdaki özelliklere sahip yetkili bir müdür seçin.
aynı bölge adı ve asıl adın ilk kısmı,
aday. Örneğin aday a) ise [e-posta korumalı] ve
jqpublic/[e-posta korumalı] hedef hesaba erişme yetkisine sahipse,
varsayılan asıl olarak ayarlandı jqpublic/[e-posta korumalı].
· Durum 2: kaynak kullanıcı root'tur.
Hedef kullanıcı root değilse, varsayılan asıl adı şudur:
hedef_kullanıcı@yerel_bölge. Aksi takdirde, kaynak önbellek varsa varsayılan asıl
name, kaynak önbelleğin varsayılan ilkesine ayarlanır. Kaynak önbelleği ise
mevcut değil, varsayılan asıl adı kök\@local_realm.
-c kaynak_önbellek_adı
Kaynak önbellek adını belirtin (örn. -c DOSYA:/tmp/my_cache). eğer -c o zaman seçenek kullanılmaz
isim şuradan alınmıştır KRB5CCNAME Çevre değişkeni. Eğer KRB5CCNAME değil
tanımlı kaynak önbellek adı olarak ayarlandı krb5cc_ kullanıcı kimliği>. Hedef önbellek adı
otomatik olarak ayarla krb5cc_ kullanıcı kimliği>.(gen_sym()), gen_sym yeni bir
numara, sonuçta ortaya çıkan önbellek zaten mevcut olmayacak şekilde. Örneğin:
krb5cc_1984.2
-k Hedef kabuğun veya bir komutun sonlandırılmasından sonra hedef önbelleği silmeyin
(-e emretmek). Olmadan -k, ksu hedef önbelleği siler.
-D Hata ayıklama modunu açın.
-z Biletlerin kaynak önbellekten hedef önbelleğe kopyalanmasını yalnızca
istemcinin == hedef asıl adı olduğu biletler. Kullan -n istersen seçenek
varsayılan asıldan başkası için biletler. Şuna dikkat edin: -z seçenektir
ile birbirini dışlayan -Z seçeneği.
-Z Kaynak önbellekten hedef önbelleğe hiçbir bilet kopyalamayın. Sadece bir
önbelleğin varsayılan asıl adının başlatıldığı yeni hedef önbellek
hedef asıl adı. Şuna dikkat edin: -Z seçeneği ile birbirini dışlayan
-z seçeneği.
-q Durum mesajlarının yazdırılmasını engelleyin.
Bilet veren bilet seçenekleri:
-l ömür -r zaman -pf
Bilet veren bilet seçenekleri, yalnızca
kaynak kullanıcının kimliğini doğrulamak için önbellekte uygun biletler. bu durumda eğer
ksu, kullanıcılardan bir Kerberos parolası isteyecek şekilde yapılandırılmıştır (GET_TGT_VIA_PASSWD is
tanımlı), belirtilen bilet veren bilet seçenekleri şu durumlarda kullanılacaktır:
Kerberos sunucusundan bilet veren bir bilet almak.
-l ömür
(süre string.) Bilet için talep edilecek yaşam süresini belirtir; Eğer bu
seçeneği belirtilmemişse, bunun yerine varsayılan bilet ömrü (12 saat) kullanılır.
-r zaman
(süre dize.) yenilenebilir seçeneği talep edilmelidir.
bilet ve biletin istenen toplam kullanım süresini belirtir.
-p belirtir yakın Bilet için seçenek talep edilmelidir.
-f seçeneği belirtir iletilebilir Bilet için seçenek talep edilmelidir.
-e komuta [args ...]
ksu olmadan çağrılmış gibi tam olarak aynı ilerler -e seçenek, hariç
hedef kabuğu yürütmek yerine, ksu belirtilen komutu yürütür. Örnek
kullanım:
ksu bob -e ls -gecikme
için yetkilendirme algoritması -e aşağıdaki gibidir:
Kaynak kullanıcı kök veya kaynak kullanıcı == hedef kullanıcı ise, yetkilendirme yapılmaz.
yerleştirir ve komut yürütülür. Kaynak kullanıcı kimliği != 0 ise ve
~hedef_kullanıcı/.k5users dosya yok, yetkilendirme başarısız. Aksi halde,
~hedef_kullanıcı/.k5users dosya, hedef anapara için uygun bir girişe sahip olmalıdır.
yetki almak.
.k5users dosya biçimi:
Her satırda bir komut listesi tarafından izlenebilen tek bir ana giriş
müdür yürütmeye yetkilidir. Bir asıl adın ardından bir *
kullanıcının herhangi bir komutu yürütme yetkisi olduğu anlamına gelir. Böylece, aşağıda
örnek:
[e-posta korumalı] ls postası /yerel/kerberos/klist
jqpublic/[e-posta korumalı] *
jqpublic/[e-posta korumalı]
[e-posta korumalı] sadece yürütmeye yetkilidir ls, posta ve liste emreder.
jqpublic/[e-posta korumalı] herhangi bir komutu yürütmeye yetkilidir.
jqpublic/[e-posta korumalı] herhangi bir komutu yürütme yetkisi yoktur. Bunu not et
jqpublic/[e-posta korumalı] hedef kabuğu (normal ksu,
olmadan -e seçenek) ancak [e-posta korumalı] değil.
Asıl addan sonra listelenen komutlar ya tam yol adları ya da
sadece programın adı İkinci durumda, CMD_PATH yerini belirten
yetkili programlar ksu'nun derlenmesi sırasında tanımlanmalıdır. hangi komut
idam edilir mi?
Kaynak kullanıcı root ise veya hedef kullanıcı kaynak kullanıcıysa veya kullanıcı
herhangi bir komutu yürütmeye yetkili (* giriş) o zaman komut tam veya bir olabilir
hedef programa giden göreceli yol. Aksi takdirde, kullanıcı belirtmelidir
ya tam yol ya da sadece program adı.
-a args
Hedef kabuğa iletilecek bağımsız değişkenleri belirtin. Tüm bayrakların ve
-a'dan sonraki parametreler kabuğa iletilecektir, bu nedenle tüm seçenekler aşağıdakilere yöneliktir:
ksu önce gelmeli -a.
The -a seçeneği simüle etmek için kullanılabilir -e seçeneği aşağıdaki gibi kullanılırsa:
-a -c [komut [argümanlar]].
-c komutu yürütmek için c-kabuğu tarafından yorumlanır.
MONTAJ Nasıl Başvurulur?
ksu aşağıdaki dört bayrakla derlenebilir:
GET_TGT_VIA_PASSWD
Kaynak önbelleğinde uygun bilet bulunamaması durumunda, kullanıcı
Kerberos parolası istenir. Şifre daha sonra bilet almak için kullanılır
Kerberos sunucusundan bilet verilmesi. ksu'yu bununla yapılandırmanın tehlikesi
makro, kaynak kullanıcının uzaktan oturum açması ve güvenli bir
kanal, şifre açığa çıkabilir.
PRINC_LOOK_AHEAD
Varsayılan asıl adın çözümlenmesi sırasında, PRINC_LOOK_AHEAD ksu'yu etkinleştirir
SEÇENEKLER bölümünde açıklandığı gibi .k5users dosyasındaki asıl adları bulmak için
(görmek -n seçenek).
CMD_PATH
Kullanıcıların yetkilendirildiği programları içeren dizinlerin listesini belirtir.
yürütün (.k5users dosyası aracılığıyla).
HAVE_GETUSERSHELL
Kaynak kullanıcı root değilse, ksu hedef kullanıcının kabuğunun olması konusunda ısrar eder.
çağrılan bir "yasal kabuk". kullanıcı kabuğunu al(3) isimlerini almak için çağrılır
"yasal kabuklar". Hedef kullanıcının kabuğunun passwd'den alındığını unutmayın.
dosyası.
Örnek yapılandırma:
KSU_OPTS = -DGET_TGT_VIA_PASSWD -DPRINC_LOOK_AHEAD -DCMD_PATH='"/çöp Kutusu /usr/ucb /yerel/bin"
ksu, root'a ait olmalı ve ayarlanan kullanıcı kimliği biti açık olmalıdır.
ksu, Kerberized telnet ve rlogin gibi uç sunucu için bir bilet almaya çalışır.
Bu nedenle, Kerberos veritabanında sunucu için bir giriş olmalıdır (örn.
ev sahibi/[e-posta korumalı]). Keytab dosyası uygun bir konumda olmalıdır.
YAN ETKİLERİ
ksu, süresi dolmuş tüm biletleri kaynak önbellekten siler.
YAZAR OF KSÜ
GENNADY (ARI) MEDVİNSKİ
onworks.net hizmetlerini kullanarak ksu'yu çevrimiçi kullanın
