Це команда k5start, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн емулятор Windows або онлайн емулятор MAC OS
ПРОГРАМА:
ІМ'Я
k5start — отримати та за бажанням залишати активним квиток Kerberos
СИНТАКСИС
k5start [-abFhLnPqstvx] [-c дитина ПІД файл] [-f клавіша]
[-g група] [-H протокол] [-I обслуговування екземпляр]
[-i клієнт екземпляр] [-K протокол] [-k квиток cache]
[-l час рядок] [-m режим] [-o власник]
[-p ПІД файл] [-r обслуговування царство] [-S обслуговування ім'я]
[-u клієнт головний] [головний [команда ...]]
k5start -U -f клавіша [-abFhLnPqstvx] [-c дитина ПІД файл]
[-g група] [-H протокол] [-I обслуговування екземпляр]
[-K протокол] [-k квиток cache] [-l час рядок]
[-m режим] [-o власник] [-p ПІД файл]
[-r обслуговування царство] [-S обслуговування ім'я] [команда ...]
ОПИС
k5start отримує та кешує початковий квиток Kerberos для надання квитка для принципала.
k5start можна використовувати як альтернативу kinit, але в першу чергу він призначений для використання
програми, які хочуть використовувати ключову вкладку для отримання облікових даних Kerberos, наприклад веб-сервер
який потребує автентифікації на іншій службі, наприклад, на сервері LDAP.
Як правило, першим слід вказати довірителя, для якого надавати квитки
аргумент. головний може бути просто основним ім'ям (включаючи необов'язковий екземпляр)
або повний рядок принципала та області. The -u та -i варіанти можна використовувати як альтернативу
механізм визначення принципала, але, як правило, не такі зручні. Якщо ні
principal подається або як перший аргумент, або як аргумент для -u варіант,
принципал клієнта за замовчуванням використовує ім'я користувача Unix для запущеного користувача k5start за замовчуванням
місцева сфера.
За бажанням, команда може бути подана в командному рядку k5start. Якщо так, то ця команда
запустити після аутентифікації Kerberos (і запустити аклог за бажанням), з відповідним
змінні середовища, які вказують на правильний кеш кешів. k5start тоді буде
продовжуйте працювати, періодично прокидаючись, щоб трохи оновити облікові дані раніше
закінчується, доки команда не завершиться. (Частота, з якою він прокидається для оновлення
обліковими даними все ще можна керувати за допомогою -K опція.) Щоб запустити в цьому режимі,
principal необхідно вказати як звичайний аргумент командного рядка або за допомогою -U
варіант; в -u та -i опції не можна використовувати. Також необхідно вказати ключову вкладку -f
для виконання певної команди.
Команда не буде запущена за допомогою оболонки, тому, якщо ви хочете використовувати метасимволи оболонки
команди з їх особливим значенням, дайте «ш -с команда" як команда для запуску і
цитувати команда.
Якщо команда містить параметри командного рядка (наприклад, "-c"), введіть -- у командному рядку
перед початком команди розповісти k5start щоб не аналізувати ці параметри як власні.
Під час виконання команди, k5start поширює сигнали HUP, TERM, INT та QUIT до дитини
процес і не завершується, коли ці сигнали отримані. (Якщо поширений сигнал
змушує дочірній процес вийти, k5start потім вийде.) Це дозволяє k5start реагувати
належним чином при запуску під системою командного нагляду, наприклад runit(8) або svscan(8) що
використовує сигнали для керування контрольованими командами та для виконання інтерактивних команд, які повинні
отримати Ctrl-C.
Якщо біг k5start отримує сигнал ALRM, він негайно оновлює кеш кешів
незалежно від того, чи загрожує його закінчення.
If k5start запускається за допомогою команди або -K прапор та -x прапора не дають, його збережуть
намагається, навіть якщо початкова аутентифікація не вдається. Він повторить спробу початкової аутентифікації
негайно, а потім із експоненційним відступом до одного разу на хвилину, і продовжуйте намагатися доти
автентифікація пройшла успішно або її знищено. Команда, якщо така є, не буде запущена доки
аутентифікація пройшла успішно.
ВАРІАНТИ
-a При запуску з будь-яким -K прапорець або команда, завжди поновлюйте квитки щоразу k5start
прокидається. Без цієї опції, k5start буде намагатися поновлювати квиток так часто, як
необхідно, щоб запобігти закінченню терміну дії квитка. За допомогою цієї опції, k5start буде оновлюватися
квитки відповідно до інтервалу, зазначеного в -K прапор
Така поведінка, ймовірно, мала бути поведінкою за замовчуванням -K. За замовчуванням було
не змінено, щоб уникнути змін для існуючих користувачів, але для нових програм, розгляньте
завжди користується -a з -K.
Ця опція важлива, якщо інша програма маніпулює кеш-пам'яттю
k5start використовує. Наприклад, якщо інша програма автоматично поновлює квиток
частіше ніж k5start, То k5start ніколи не побачить квиток, який знаходиться близько до
термін дії закінчується, і тому за замовчуванням ніколи не намагатиметься поновити квиток. Це означає
Що k5start також ніколи не оновлюватиме маркери AFS, навіть якщо -t був наданий варіант, оскільки
k5start поновлює маркери AFS лише після успішного поновлення квитка. Якщо цей варіант
зазначено в такій ситуації, k5start буде оновлювати свій квиток щоразу, коли він перевіряє
квиток, токени AFS будуть оновлені.
Цей аргумент справедливий лише в поєднанні з будь-яким -K або команду для запуску.
-b Після запуску від’єднайтеся від керуючого терміналу та запустіть у фоновому режимі. Це
варіант має сенс тільки в поєднанні з -K або команду, що k5start буде
виконується і може використовуватися, лише якщо вказано ключову вкладку -f. k5start не буде
фону до тих пір, поки він не спробує автентифікацію один раз, так що будь-який ініціал
буде повідомлено про помилки, але потім буде переспрямовано вихід на / dev / null і ні
буде повідомлено про наступні помилки.
Якщо дано цей прапор, k5start також змінить каталоги на "/". Усі шляхи (напр
що стосується команди для запуску або файлу PID) слід надавати як абсолютну, а не як абсолютну
родич, шляхи.
Якщо використовується разом з командою для запуску, ця команда також буде виконуватися в
фону, а також буде перенаправлений вхід і вихід / dev / null. Це буде
повинні повідомляти про будь-які помилки через якийсь інший механізм, щоб помилки було видно.
Зауважте, що в Mac OS X тип кеш-пам’яті за замовчуванням – це сеанс і використання -b
прапор відокремиться k5start з наявного кешу квитків. При використанні -b in
поєднання з -K у Mac OS X ви, ймовірно, також захочете використовувати -k прапор, щоб указати
файл кешу квитка та примусово використовувати кеш файлів.
Використовуючи цю опцію, подумайте також про використання -L повідомити k5start помилки в системному журналі.
-c дитина ПІД файл
Збережіть ідентифікатор процесу (PID) дочірнього процесу дитина ПІД файл. дитина ПІД файл is
створюється, якщо він не існує, і перезаписується, якщо він існує. Цей варіант тільки
дозволяється, коли команда була подана в командному рядку, і є найбільш корисною в поєднанні
з -b щоб дозволити керування запущеним дочірнім процесом.
Зверніть увагу, що при використанні з -b, файл PID записується після k5start is
у фоновому режимі та змінює свій робочий каталог на /, тому відносні шляхи для PID
файл буде відносно / (мабуть, не те, що ти хочеш).
-F Не отримуйте квитки для пересилання, навіть якщо в локальній конфігурації зазначено, що пересилаються
квитки за замовчуванням. Без цього прапора, k5start виконує те, що є бібліотекою за замовчуванням.
-f клавіша
Аутентифікація за допомогою клавіші клавіша а не запитувати пароль. Ключ для
Принципал клієнта повинен бути присутнім в клавіша.
-g група
Після створення кешу квитків змініть право власності на групу на група, що може бути
або ім'я групи, або числовий ідентифікатор групи. Кеші квитків створюються з 0600
дозволи за замовчуванням, тому це не матиме корисного ефекту, якщо не використовуватиметься разом із -m.
-H протокол
Перевірте наявність щасливого квитка, визначеного як квиток, термін дії якого залишився принаймні
протокол хвилин. Якщо такий квиток знайдено, не намагайтеся пройти аутентифікацію. натомість
просто запустіть команду (якщо вона була вказана) або негайно вийдіть зі статусом 0 (якщо немає
був). В іншому випадку спробуйте отримати новий квиток, а потім виконайте команду, якщо така є.
If -H використовується з -t, зовнішня програма завжди запускатиметься, навіть якщо квиток з a
було знайдено достатній залишок життя.
If -H використовується з -K, k5start не вийде відразу. Натомість зазначений
час, що залишився, замінить значення за замовчуванням у дві хвилини, тобто k5start
щоразу, коли він прокидається, гарантує, що у квитка залишився термін служби
протокол аргумент. Це альтернатива -a щоб у квитках завжди було a
певний мінімальний час, що залишився.
-h Відобразити повідомлення про використання та вийти.
-I обслуговування екземпляр
Частина екземпляра субъекта-служби. За замовчуванням є область за замовчуванням
машина. Зауважте, що на відміну від принципала-клієнта, принципала-служби не за замовчуванням
необхідно вказати з -I та -S; не можна надати частину екземпляра як частину
аргумент до -S.
-i клієнт екземпляр
Вказує частину екземпляра принципала. Цей варіант не має сенсу
крім поєднання з -u. Зауважте, що екземпляр можна вказати як частину
ім'я користувача через звичайну конвенцію додавання косої риски, а потім екземпляра, так
ніколи не потрібно використовувати цю опцію.
-K протокол
Запустіть у режимі демона, щоб зберегти квиток на невизначений термін. Після цього програма знову прокидається
протокол хвилин, перевіряє, чи закінчиться термін дії квитка раніше або менше двох хвилин
після наступної запланованої перевірки, і за потреби отримує новий квиток. (Іншими словами, це
гарантує, що термін служби квитка завжди буде не менше двох
хвилин.) Якщо -H також дається прапор, зазначений ним час життя замінює два
хвилина за замовчуванням.
Якщо ця опція не вказана, але команда була дана в командному рядку, значення за замовчуванням
інтервал 60 хвилин (1 година).
Якщо під час оновлення кешу квитків виникла помилка, інтервал пробудження буде дорівнювати
скорочується до однієї хвилини, і операція повторюється з цим інтервалом так довго, як
помилка зберігається.
-k квиток cache
Скористайтесь квиток cache як кеш білетів, а не вміст середовища
змінна KRB5CCNAME або бібліотека за замовчуванням. квиток cache може бути будь-який кеш квитків
ідентифікатор, розпізнаний базовими бібліотеками Kerberos. Це, як правило, підтримує а
шлях до файлу, з або без провідного рядка "FILE:", але може також підтримувати інші
типи кешу квитків.
Якщо будь-який з -o, -gабо -m дані, квиток cache має бути або простим шляхом до файлу
або почати з "FILE:" або "WRFILE:".
-L Повідомляти повідомлення в системний журнал, а також на стандартний вихід або стандартну помилку. всі
повідомлення будуть реєструватися за допомогою засобу LOG_DAEMON. Звичайні повідомлення, які відображаються
на стандартному виводі реєструються з рівнем LOG_NOTICE. Помилки, які не викликають k5start
для завершення реєструються з рівнем LOG_WARNING. Фатальні помилки реєструються з рівнем
LOG_ERROR.
Це корисно під час налагодження проблем у поєднанні з -b.
-l час рядок
Установіть термін служби квитка. час рядок має бути у форматі, який розпізнається Kerberos
бібліотеки для вказівки часу, наприклад "10 годин" (десять годин) або "10 хвилин" (десять хвилин).
Відомі одиниці: "s", "m", "h" і "d". Додаткову інформацію див kinit(1).
-m режим
Після створення кешу квитків змініть його права доступу до файлів на режим, який має бути a
вісімковий режим файлу (наприклад, 640 або 444).
Встановлення a режим що не дозволяє k5start для читання або запису в кеш квитків буде
викликати k5start для збою та виходу під час використання -K опцію або запуск команди.
-n Проігноровано, представлено для сумісності параметрів із застарілими k4start.
-o власник
Після створення кешу квитків змініть його власника на власник, який може бути будь-яким
ім'я користувача або цифровий ідентифікатор користувача. Якщо власник це ім’я користувача та -g було
також не вказано, також змініть групове право власності на кеш кешів на значення за замовчуванням
групу для цього користувача.
-P Не отримуйте проксі-квитки, навіть якщо в локальній конфігурації зазначено, що потрібно отримати проксі
квитки за замовчуванням. Без цього прапора, k5start виконує те, що є бібліотекою за замовчуванням.
-p ПІД файл
Збережіть ідентифікатор процесу (PID) запущеного k5start обробляти в ПІД файл. ПІД файл is
створюється, якщо він не існує, і перезаписується, якщо він існує. Цей варіант найбільше
корисно в поєднанні з -b щоб дозволити керування запуском k5start демон
Зверніть увагу, що при використанні з -b файл PID записується після k5start є фоновим
і змінює свій робочий каталог на /, тому відносні шляхи до файлу PID будуть
щодо / (мабуть, не те, що ти хочеш).
-q Спокійно. Пригнічує друк початкового банера із зазначенням того, що Kerberos
отримують основні квитки, а також пригнічує запит на пароль, коли
-s надається варіант.
-r обслуговування царство
Область для принципала служби. За замовчуванням це локальна область за замовчуванням.
-S обслуговування ім'я
Вказує принципала, для якого k5start отримує службовий квиток. За замовчуванням
значення "krbtgt", щоб отримати квиток на надання квитка. Цей варіант (разом з -I)
можна використовувати, якщо потрібен доступ лише до однієї служби. Зауважте, що на відміну від клієнта
principal, принципал служби, що не є за замовчуванням, має бути вказаний для обох -S та -I; один
не може надати частину екземпляра як частину аргументу до -S.
-s Прочитайте пароль зі стандартного введення. Це обходить звичайний запит на пароль,
що означає, що луна не пригнічується, а вхід не примусово надходить від контрольного
термінал. Більшість використання цієї опції є ризиком для безпеки. Зазвичай ви хочете використовувати a
клавіша та -f натомість варіант.
-t Запустіть зовнішню програму після отримання квитка. За замовчуванням це використовується для запуску
аклог щоб отримати жетон. Якщо змінна середовища KINIT_PROG встановлена, вона перевизначає
скомпільований за замовчуванням.
If k5start був побудований з AFS setpag() була дана підтримка і команда на
командний рядок, k5start створить новий PAG перед отриманням маркерів AFS. інакше
він отримає токени в поточному PAG.
-U Замість того, щоб вимагати введення принципала аутентифікації в командному рядку, читайте
його з ключової вкладки, зазначеної за допомогою -f. Основний буде братися з першого
введення на вкладці ключів. -f необхідно вказати, якщо використовується ця опція.
Коли -U дається, k5start не очікує, що в команді буде надано ім'я принципала
рядок, а будь-які аргументи після параметрів будуть прийняті як команда для виконання.
-u клієнт головний
Це визначає принципала для отримання облікових даних як. Може бути вся довірена особа
зазначено тут, або, як альтернатива, лише перша частина може бути зазначена з цим
прапор і екземпляр, зазначений with -i.
Зауважте, що зазвичай немає причин використовувати цей прапор, а не просто давати
principal у командному рядку як перший регулярний аргумент.
-v Будьте багатослівними. Це роздрукує трохи додаткової інформації про те, що відбувається
спроби і які результати.
-x При будь-якій помилці негайно вийдіть. Як правило, під час виконання команди або при запуску з
-K варіант k5start продовжує працювати, навіть якщо не вдасться оновити кеш кеш-пам’яті
повторіть спробу з наступним інтервалом перевірки. За допомогою цієї опції, k5start замість цього вийде.
ПОВЕРНЕННЯ ЗНАЧЕННЯ
Програма виходить зі статусом 0, якщо вона успішно отримує квиток або має щасливий квиток
(Див. -H). Якщо k5start запускає aklog або іншу програму k5start повертає статус виходу
цю програму.
приклад
Використовувати /etc/krb5.keytab keytab, щоб отримати квиток на надання квитка для принципала
host/example.com, вставляючи кеш квитків /tmp/service.tkt. Термін служби 10 годин
і програма прокидається кожні 10 хвилин, щоб перевірити, чи закінчиться термін дії квитка.
k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host/example.com
Зробіть те ж саме, але використовуючи кеш кешів за замовчуванням, і запустіть команду
/usr/local/bin/auth-backup. k5start продовжуватиме працювати, доки команда не завершиться. Якщо
початкова аутентифікація не вдається, продовжуйте пробувати і не запускайте команду, доки вона не виконується
досягає успіху. Це можна використовувати під час запуску системи для команди, яка повинна бути дійсною
квитки перед стартом, і терпить k5start почати до того, як мережа буде
повністю налаштований.
k5start -f /etc/krb5.keytab -K 10 -l 10h host/example.com \
/usr/local/bin/auth-backup
Показує дозволи файлу тимчасового кешу, створеного k5start:
k5start -f /etc/krb5.keytab host/example.com \
-- sh -c 'ls -l $KRB5CCNAME'
Зверніть увагу на «--» перед командою, щоб зберегти k5start від розбору "-c" як власного
варіант.
Зробіть те ж саме, але визначте принципала з ключової вкладки:
k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'
Зауважте, що перед командою не дається принципал.
Починає k5start як демон, який використовує Debian старт-стоп-демон програма управління. Це
тип рядка, який можна було б додати в сценарій ініціалізації Debian:
start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host/example.com
Для цього використовується /var/run/k5start.pid як файл PID і отримує квитки host/example.com з
файл системної ключової вкладки. k5start тоді буде зупинено за допомогою:
start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid
Цей код можна додати до сценарію ініціалізації для Apache, наприклад, для запуску a k5start
обробляти разом з Apache для керування обліковими даними Kerberos.
НАВКОЛИШНЄ СЕРЕДОВИЩЕ
Якщо змінна середовища AKLOG встановлена, її значення буде використовуватися як програма для запуску
з -t а не за замовчуванням k5start. Якщо AKLOG не встановлено і KINIT_PROG
встановлено, замість нього буде використано його значення. KINIT_PROG відзначається за зворотну сумісність
але його використання не рекомендується через його заплутану назву.
Якщо немає файлу квитка (з -k) або команда вказана в командному рядку, k5start буде використовувати
змінна середовища KRB5CCNAME, щоб визначити місце надання квитка
квиток. Якщо вказана команда або -k використовується параметр, буде встановлено KRB5CCNAME
щоб вказати на файл квитка перед запуском аклог програму або будь-яку команду, подану на
command line.
Використовуйте k5start онлайн за допомогою служб onworks.net
