Це команда ksu, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн- емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
ksu - Керберизований суперкористувач
СИНТАКСИС
ksu [ цільовий_користувач ] [ -n target_principal_name ] [ -c ім'я_кешу джерела ] [ -k ] [ -D ] [
-r час ] [ -пф ] [ -l термін ] [ -z | Z ] [ -q ] [ -e команда [ аргументи ... ] ] [ -a [
аргументи ... ]]
ВИМОГИ
Для компіляції ksu необхідно встановити Kerberos версії 5. Повинен мати Kerberos версії 5
сервер працює для використання ksu.
ОПИС
ksu — це версія програми su із Kerberized, яка має дві місії: одна — безпечна
змінити реальний та ефективний ідентифікатор користувача на ідентифікатор цільового користувача, а інший – на
створити новий контекст безпеки.
ПРИМІТКА:
Для ясності всі посилання та атрибути користувача, який викликає
програма почнеться з "джерело" (наприклад, "джерело користувача", "джерело кеш" тощо).
Аналогічно, усі посилання та атрибути цільового облікового запису починаються з
«ціль».
АВТЕНТИКАЦІЯ
Для виконання першої місії ksu працює у два етапи: аутентифікація та
авторизація. Визначення цільового імені принципала є першим кроком аутентифікації.
Користувач може вказати своє основне ім’я за допомогою -n варіант (наприклад, -n
[захищено електронною поштою]) або ім'я основного за замовчуванням буде призначено за допомогою описаної евристики
у розділі ОПЦІЇ (див -n варіант). Ім'я цільового користувача має бути першим аргументом
до ксу; якщо не вказано root, за замовчуванням. Якщо . вказано, то цільовий користувач буде
бути вихідним користувачем (наприклад, ksu .). Якщо вихідним користувачем є root або цільовим користувачем є
вихідного користувача, аутентифікація чи авторизація не відбувається. В іншому випадку ksu шукає
відповідний квиток Kerberos у вихідному кеші.
Квиток може бути або для кінцевого сервера, або квиток надання квитка (TGT) для
сфера цільового директора. Якщо квиток для кінцевого сервера вже є в кеші, це
розшифровано та перевірено. Якщо його немає в кеші, але TGT є, TGT звик
отримати квиток для кінцевого сервера. Потім перевіряється квиток кінцевого сервера. Якщо ні
квиток знаходиться в кеші, але ksu скомпільовано з GET_TGT_VIA_PASSWD визначити, користувач
буде запропоновано ввести пароль Kerberos, який потім використовуватиметься для отримання TGT. Якщо
користувач увійшов віддалено і не має захищеного каналу, пароль може бути
оголений. Якщо жодного квитка немає в кеші і GET_TGT_VIA_PASSWD не визначено,
автентифікація не вдається.
АВТОРИЗАЦІЯ
Цей розділ описує авторизацію вихідного користувача, коли ksu викликається без файлу -e
варіант. Для опису -e опцію, див. розділ ОПЦІЇ.
Після успішної автентифікації ksu перевіряє, чи авторизований цільовий принципал
отримати доступ до цільового облікового запису. У домашньому каталозі цільового користувача ksu намагається отримати доступ
два файли авторизації: .k5login(5) та .k5users. У файлі .k5login кожен рядок
містить ім’я принципала, який має право доступу до облікового запису.
Наприклад:
[захищено електронною поштою]
jqpublic/[захищено електронною поштою]
jqpublic/[захищено електронною поштою]
Формат .k5users той самий, за винятком того, що після основного імені може бути список
команди, які принципал має право виконувати (див -e опцію в опціях
розділ для детальної інформації).
Таким чином, якщо цільове ім’я принципала знайдено у файлі .k5login, вихідним користувачем є
авторизований доступ до цільового облікового запису. Інакше ksu шукатиме файл .k5users. Якщо
цільове ім’я принципала знайдено без будь-яких кінцевих команд або за ним лише *
тоді вихідний користувач авторизований. Якщо .k5login або .k5users існують, але
відповідний запис для цільового принципала не існує, то доступ заборонено. Якщо
жоден файл не існує, то принципал отримає доступ до облікового запису відповідно до
правила зіставлення aname->lname. В іншому випадку авторизація не вдається.
ВИКОНАННЯ OF THE TARGET SHELL
Після успішної аутентифікації та авторизації ksu працює аналогічно su.
Середовище не змінено, за винятком змінних USER, HOME та SHELL. Якщо
цільовий користувач не є root, USER встановлює ім’я цільового користувача. Інакше USER
залишається незмінним. І HOME, і SHELL мають значення за замовчуванням для цільового входу. в
крім того, змінна середовища KRB5CCNAME встановлюється на ім’я цільового кешу.
Справжній та ефективний ідентифікатор користувача змінюється на ідентифікатор цільового користувача. Цільовий користувач
потім викликається оболонка (ім’я оболонки вказується у файлі паролів). На
завершення роботи оболонки, ksu видаляє цільовий кеш (якщо ksu не викликається за допомогою -k
варіант). Це реалізується, спочатку роблячи fork, а потім exec, замість just
exec, як це зроблено su.
СТВОРЕННЯ A Нове БЕЗПЕКА КОНТЕКСТ
ksu можна використовувати для створення нового контексту безпеки для цільової програми (або цільової
оболонку або команду, зазначену через -e варіант). Цільова програма успадковує набір
облікові дані від вихідного користувача. За замовчуванням цей набір включає всі облікові дані
вихідний кеш плюс будь-які додаткові облікові дані, отримані під час аутентифікації. The
вихідний користувач може обмежити облікові дані в цьому наборі за допомогою -z or -Z варіант. -z
обмежує копію кеш-пам’яті з вихідного кешу в цільовий кеш лише до
квитки, де клієнт == цільове ім'я принципала. The -Z Опція надає цільовому користувачеві
зі свіжим цільовим кешем (у кеші немає кредитів). Зауважте, що з міркувань безпеки, коли
вихідний користувач є root, а цільовий користувач не root, -z Параметр – це режим за замовчуванням
операції.
Хоча автентифікація не відбувається, якщо вихідний користувач є root або такий самий, як і
цільового користувача, додаткові квитки все ще можна отримати для цільового кешу. Якщо -n is
вказано, і жодні облікові дані не можуть бути скопійовані до цільового кешу, як вихідний користувач
запитується пароль Kerberos (якщо -Z зазначений або GET_TGT_VIA_PASSWD не визначено).
У разі успіху TGT отримується від сервера Kerberos і зберігається в цільовому кеші.
В іншому випадку, якщо пароль не надано (користувач натискає повернення), ksu продовжує працювати у звичайному режимі
операції (цільовий кеш не міститиме потрібний TGT). Якщо неправильний пароль
введено, ksu не працює.
ПРИМІТКА:
Під час аутентифікації лише ті квитки, які можна було отримати без надання a
пароль кешується у вихідному кеші.
ВАРІАНТИ
-n target_principal_name
Вкажіть цільове ім’я принципала Kerberos. Використовується для аутентифікації та авторизації
фази ксу.
Якщо ksu викликається без -n, ім'я основного за замовчуванням призначається через
наступна евристика:
· Випадок 1: вихідний користувач не є root.
Якщо цільовим користувачем є вихідний користувач, ім’я принципала за замовчуванням встановлюється на
за замовчуванням принципал вихідного кешу. Якщо кеш-пам’яті не існує, то
за замовчуванням встановлено ім’я принципала target_user@local_realm. Якщо джерело і
цільові користувачі різні і ні ~цільовий_користувач/.k5users ні
~цільовий_користувач/.k5login існує, тоді основним ім'ям за замовчуванням є
ім'я_цільового_користувача_для входу@local_realm. Інакше, починаючи з першого керівника
наведені нижче, ksu перевіряє, чи має принципал право доступу до цілі
обліковий запис і чи є законний квиток для цього принципала у джерелі
кеш. Якщо обидві умови виконуються, цей принципал стає цільовим за замовчуванням
директора, інакше перейдіть до наступного директора.
а. Принципал за замовчуванням вихідного кешу
б. target_user@local_realm
в. джерело_користувач@локальна_сфера
Якщо ac не вдається, спробуйте будь-який принципал, для якого є квиток у вихідному кеші
і має право доступу до цільового облікового запису. Якщо це не вдається, виберіть
перший принципал, який уповноважений отримати доступ до цільового облікового запису з наведеного вище
список. Якщо ніхто не авторизований і ksu налаштовано с PRINC_LOOK_AHEAD Виявилося
увімкніть, виберіть принципала за замовчуванням таким чином:
Для кожного кандидата у наведеному вище списку виберіть уповноваженого довірителя, який має
те саме ім'я області та перша частина основного імені дорівнює префіксу
кандидата. Наприклад, якщо кандидат а) є [захищено електронною поштою] та
jqpublic/[захищено електронною поштою] має право доступу до цільового облікового запису, тоді
за замовчуванням принципала встановлено на jqpublic/[захищено електронною поштою].
· Випадок 2: вихідний користувач є root.
Якщо цільовий користувач не є користувачем root, тоді ім’я принципала за замовчуванням є
target_user@local_realm. Інакше, якщо вихідний кеш існує, основний за замовчуванням
name встановлюється за умовчанням принципала вихідного кешу. Якщо вихідний кеш
не існує, за замовчуванням встановлено ім’я принципала root\@local_realm.
-c ім'я_кешу джерела
Вкажіть назву кешу джерела (наприклад, -c ФАЙЛ:/tmp/my_cache). Якщо -c тоді параметр не використовується
назва отримано з KRB5CCNAME змінна середовища. Якщо KRB5CCNAME НЕ
визначено ім’я кешу джерела krb5cc_ uid>. Ім’я цільового кешу
автоматично встановлюється на krb5cc_ uid>.(gen_sym()), де gen_sym генерує новий
таким числом, що отриманий кеш ще не існує. Наприклад:
krb5cc_1984.2
-k Не видаляйте цільовий кеш після завершення роботи цільової оболонки або команди
(-e команда). Без -k, ksu видаляє цільовий кеш.
-D Увімкніть режим налагодження.
-z Обмежити копію кеш-пам'яті з вихідного кешу в цільовий кеш лише до
квитки, де клієнт == цільове ім'я принципала. Використовувати -n варіант, якщо хочете
квитки для інших, ніж основний за замовчуванням. Зауважте, що -z опція
взаємовиключні з -Z варіант.
-Z Не копіюйте квитки з вихідного кешу в цільовий. Просто створіть a
свіжий цільовий кеш, де ініціалізується основна назва кешу за замовчуванням
цільове ім'я принципала. Зауважте, що -Z варіант взаємовиключний з
-z варіант.
-q Призупинити друк повідомлень про стан.
Варіанти надання квитків:
-l термін -r час -пф
Варіанти надання квитків застосовуються лише у випадку, якщо їх немає
відповідні квитки в кеші для автентифікації вихідного користувача. У цьому випадку якщо
ksu налаштовано так, щоб запропонувати користувачам ввести пароль Kerberos (GET_TGT_VIA_PASSWD is
визначені), вказані варіанти надання квитка будуть використані, коли
отримання квитка на надання квитка з сервера Kerberos.
-l термін
(тривалість string.) Вказує тривалість життя, яка запитується для квитка; якщо це
параметр не вказано, замість нього використовується термін служби квитка за замовчуванням (12 годин).
-r час
(тривалість рядок.) Вказує, що поновлюваний Варіант повинен бути запитаний для
квиток і вказує бажаний загальний термін служби квитка.
-p вказує, що проксійний для квитка слід запитувати опцію.
-f параметр визначає, що пересилається для квитка слід запитувати опцію.
-e команда [аргументи ...]
ksu виконується точно так само, як якщо б він був викликаний без -e варіант, крім
замість виконання цільової оболонки, ksu виконує вказану команду. Приклад
використання:
ксу боб -е лс -лаг
Алгоритм авторизації для -e полягає в наступному:
Якщо вихідним користувачем є користувач root або вихідний користувач == цільовий користувач, авторизація не потрібна
місце, і команда виконується. Якщо вихідний ідентифікатор користувача != 0, і
~цільовий_користувач/.k5users файл не існує, авторизація не вдається. інакше
~цільовий_користувач/.k5users файл повинен мати відповідний запис для цільового принципала
отримати авторизацію.
Формат файлу .k5users:
Один основний запис у кожному рядку, за яким може слідувати список команд
які довіритель уповноважений виконувати. Основне ім'я, за яким слідує a *
означає, що користувач має право виконувати будь-яку команду. Таким чином, у наступному
приклад:
[захищено електронною поштою] ls mail /local/kerberos/list
jqpublic/[захищено електронною поштою] *
jqpublic/[захищено електронною поштою]
[захищено електронною поштою] має право лише виконувати ls, пошта та klist команди.
jqpublic/[захищено електронною поштою] має право виконувати будь-яку команду.
jqpublic/[захищено електронною поштою] не має права виконувати жодну команду. Зауважте, що
jqpublic/[захищено електронною поштою] має право виконувати цільову оболонку (звичайний ksu,
без того -e варіант), але [захищено електронною поштою] не.
Команди, перелічені після основного імені, мають бути повними іменами шляху або
просто назва програми. У другому випадку CMD_PATH із зазначенням місцезнаходження
авторизовані програми повинні бути визначені під час компіляції ksu. Яка команда
буде страчено?
Якщо вихідним користувачем є користувач root або цільовим користувачем є вихідний користувач, або користувач
уповноважений виконувати будь-яку команду (* запис), то команда може бути повною або a
відносний шлях, що веде до цільової програми. В іншому випадку користувач повинен вказати
або повний шлях, або лише ім'я програми.
-a аргументи
Вкажіть аргументи, які будуть передані в цільову оболонку. Зверніть увагу, що всі прапори і
Параметри, наступні за -a, будуть передані в оболонку, таким чином, усі параметри призначені для
ksu має передувати -a.
Команда -a опцію можна використовувати для імітації -e варіант, якщо використовується таким чином:
-a -c [команда [аргументи]].
-c інтерпретується с-оболонкою для виконання команди.
УСТАНОВКА ІНСТРУКЦІЯ
ksu може бути скомпільований з такими чотирма прапорами:
GET_TGT_VIA_PASSWD
Якщо у вихідному кеші не буде знайдено відповідних квитків, користувач буде
запитується пароль Kerberos. Потім пароль використовується для отримання квитка
надання квитка з сервера Kerberos. Небезпека конфігурування ksu з цим
макрос — якщо вихідний користувач увійшов віддалено і не має захищеного
канал, пароль може бути розкритий.
PRINC_LOOK_AHEAD
Під час вирішення основного імені за замовчуванням, PRINC_LOOK_AHEAD вмикає ksu
щоб знайти основні імена у файлі .k5users, як описано в розділі OPTIONS
(Див. -n варіант).
CMD_PATH
Вказує список каталогів, що містять програми, на які користувачі мають права доступу
виконати (через файл .k5users).
HAVE_GETUSERSHELL
Якщо вихідний користувач не має права root, ksu наполягає, щоб оболонка цільового користувача була
Викликаний є "юридичною оболонкою". getusershell(3) викликається для отримання назв
«юридичні оболонки». Зауважте, що оболонка цільового користувача отримується з passwd
файлу.
Зразок конфігурації:
KSU_OPTS = -DGET_TGT_VIA_PASSWD -DPRINC_LOOK_AHEAD -DCMD_PATH='"/ bin /usr/ucb /local/bin"
ksu має належати користувачу root і мати ввімкнений біт ідентифікатора користувача.
ksu намагається отримати квиток для кінцевого сервера так само, як Kerberized telnet і rlogin.
Таким чином, у базі даних Kerberos має бути запис для сервера (наприклад,
господар/[захищено електронною поштою]). Файл ключової вкладки має бути у відповідному місці.
САЙТ ЕФЕКТИ
ksu видаляє всі прострочені квитки з вихідного кешу.
АВТОР OF KSU
ГЕННАДІЙ (АРІ) МЕДВІНСЬКИЙ
Використовуйте ksu онлайн за допомогою служб onworks.net
