k5start - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

k5start - Nhận và tùy chọn duy trì một vé Kerberos đang hoạt động

SYNOPSIS

k5start [-abFhLnPqstvx] [-c trẻ em pid hồ sơ] [-f bàn phím]
[-g nhóm] [-H phút] [-I dịch vụ ví dụ]
[-i khách hàng ví dụ] [-K phút] [-k vé bộ nhớ cache]
[-l thời gian chuỗi] [-m chế độ] [-o chủ sở hữu]
[-p pid hồ sơ] [-r dịch vụ vương quốc] [-S dịch vụ tên]
[-u khách hàng chính] [chính [lệnh ...]]

k5start -U -f bàn phím [-abFhLnPqstvx] [-c trẻ em pid hồ sơ]
[-g nhóm] [-H phút] [-I dịch vụ ví dụ]
[-K phút] [-k vé bộ nhớ cache] [-l thời gian chuỗi]
[-m chế độ] [-o chủ sở hữu] [-p pid hồ sơ]
[-r dịch vụ vương quốc] [-S dịch vụ tên] [lệnh ...]

MÔ TẢ

k5start lấy và lưu vào bộ nhớ cache một phiếu cấp vé Kerberos ban đầu cho một mã chính.
k5start có thể được sử dụng như một sự thay thế cho dệt kim, nhưng nó chủ yếu được sử dụng bởi
các chương trình muốn sử dụng keytab để lấy thông tin đăng nhập Kerberos, chẳng hạn như máy chủ web
cần xác thực với một dịch vụ khác, chẳng hạn như máy chủ LDAP.

Thông thường, người giao vé phải được chỉ định là người đầu tiên
tranh luận. chính có thể chỉ là một tên chính (bao gồm cả phiên bản tùy chọn)
hoặc một chuỗi chính và cảnh giới đầy đủ. Các -u và -i các tùy chọn có thể được sử dụng như một sự thay thế
cơ chế chỉ định hiệu trưởng, nhưng nhìn chung không thuận tiện. Nếu không
chính được đưa ra dưới dạng đối số đầu tiên hoặc đối số cho -u tùy chọn,
máy khách chính mặc định cho tên người dùng Unix của người dùng đang chạy k5start trong mặc định
cảnh giới địa phương.

Theo tùy chọn, một lệnh có thể được đưa ra trên dòng lệnh của k5start. Nếu vậy, lệnh đó là
chạy sau xác thực Kerberos (và đang chạy aklog nếu muốn), với
các biến môi trường được đặt để trỏ nó vào bộ nhớ cache của vé phù hợp. k5start sau đó sẽ
tiếp tục chạy, thức dậy định kỳ để làm mới thông tin đăng nhập một chút trước khi chúng
hết hạn, cho đến khi lệnh hoàn thành. (Tần suất mà nó thức dậy để làm mới
thông tin đăng nhập vẫn có thể được kiểm soát bằng -K .) Để chạy ở chế độ này,
chính phải được chỉ định dưới dạng đối số dòng lệnh thông thường hoặc thông qua -U
Lựa chọn; NS -u và -i các tùy chọn có thể không được sử dụng. Ngoài ra, một keytab phải được chỉ định với -f
để chạy một lệnh cụ thể.

Lệnh sẽ không được chạy bằng shell, vì vậy nếu bạn muốn sử dụng siêu ký tự shell trong
lệnh với ý nghĩa đặc biệt của chúng, cho "sh -c chỉ huy" như lệnh để chạy và
trích dẫn lệnh.

Nếu lệnh chứa các tùy chọn dòng lệnh (như "-c"), hãy đặt - trên dòng lệnh
trước khi bắt đầu lệnh để nói k5start để không phân tích cú pháp các tùy chọn đó như là của riêng nó.

Khi chạy một lệnh, k5start truyền các tín hiệu HUP, TERM, INT và QUIT cho trẻ
xử lý và không thoát ra khi nhận được các tín hiệu đó. (Nếu tín hiệu lan truyền
khiến quy trình con thoát ra, k5start sau đó sẽ thoát.) Điều này cho phép k5start phản ứng
đúng cách khi chạy dưới một hệ thống giám sát chỉ huy, chẳng hạn như runit(8) hoặc quét svs(8) đó
sử dụng các tín hiệu để điều khiển các lệnh được giám sát và chạy các lệnh tương tác cần
nhận Ctrl-C.

Nếu chạy k5start nhận được một tín hiệu ALRM, nó ngay lập tức làm mới bộ đệm vé
bất chấp việc nó có nguy cơ hết hạn sử dụng.

If k5start được chạy bằng một lệnh hoặc -K cờ và -x cờ không được đưa ra, nó sẽ giữ
cố gắng ngay cả khi xác thực ban đầu không thành công. Nó sẽ thử lại xác thực ban đầu
ngay lập tức và sau đó với thời gian lùi theo cấp số nhân đến một lần mỗi phút và tiếp tục cố gắng cho đến khi
xác thực thành công hoặc nó bị giết. Lệnh, nếu có, sẽ không được bắt đầu cho đến khi
xác thực thành công.

LỰA CHỌN

-a Khi chạy với một trong hai -K cờ hoặc lệnh, luôn gia hạn vé mỗi lần k5start
thức dậy. Nếu không có tùy chọn này, k5start sẽ chỉ cố gắng gia hạn vé thường xuyên
cần thiết để ngăn vé hết hạn. Với tùy chọn này, k5start sẽ gia hạn
vé theo khoảng thời gian được chỉ định với -K cờ.

Hành vi này có lẽ nên là hành vi mặc định của -K. Mặc định là
không được thay đổi để tránh những thay đổi đối với người dùng hiện tại, nhưng đối với các ứng dụng mới, hãy cân nhắc
luôn luôn sử dụng -a với -K.

Tùy chọn này rất quan trọng nếu một chương trình khác đang thao tác bộ đệm vé
k5start đang sử dụng. Ví dụ: nếu một chương trình khác tự động gia hạn vé
thường xuyên hơn k5startthì k5start sẽ không bao giờ thấy một vé gần với
hết hạn và do đó, theo mặc định, không bao giờ cố gắng gia hạn vé. Điều này có nghĩa là
việc này k5start cũng sẽ không bao giờ gia hạn mã thông báo AFS, ngay cả khi -t tùy chọn đã được đưa ra, vì
k5start chỉ gia hạn mã thông báo AFS sau khi nó gia hạn vé thành công. Nếu tùy chọn này
được chỉ định trong một tình huống như vậy, k5start sẽ gia hạn vé mỗi khi nó kiểm tra
vé, vì vậy mã thông báo AFS sẽ được gia hạn.

Đối số này chỉ hợp lệ khi kết hợp với -K hoặc một lệnh để chạy.

-b Sau khi khởi động, hãy tách khỏi thiết bị đầu cuối điều khiển và chạy ở chế độ nền. Cái này
tùy chọn chỉ có ý nghĩa khi kết hợp với -K hoặc một lệnh mà k5start sẽ được
đang chạy và chỉ có thể được sử dụng nếu một keytab được chỉ định với -f. k5start sẽ không
nền của chính nó cho đến sau khi nó đã thử xác thực một lần, để bất kỳ
lỗi sẽ được báo cáo, nhưng sau đó nó sẽ chuyển hướng đầu ra đến / dev / null và không
các lỗi tiếp theo sẽ được báo cáo.

Nếu cờ này được đưa ra, k5start cũng sẽ thay đổi thư mục thành "/". Tất cả các con đường (chẳng hạn như
như một lệnh để chạy hoặc một tệp PID) do đó nên được cung cấp là tuyệt đối, không phải
tương đối, các đường dẫn.

Nếu được sử dụng kết hợp với một lệnh để chạy, lệnh đó cũng sẽ chạy trong
nền và cũng sẽ có đầu vào và đầu ra của nó được chuyển hướng đến / dev / null. Nó sẽ
phải báo cáo bất kỳ lỗi nào thông qua một số cơ chế khác để các lỗi được nhìn thấy.

Lưu ý rằng trên Mac OS X, loại bộ đệm ẩn vé mặc định là mỗi phiên và sử dụng -b
cờ sẽ tách ra k5start từ bộ đệm vé hiện có. Khi đang sử dụng -b in
kết hợp với -K trên Mac OS X, bạn có thể cũng muốn sử dụng -k cờ để chỉ định
một tệp bộ đệm ẩn vé và buộc sử dụng bộ đệm tệp.

Khi sử dụng tùy chọn này, hãy cân nhắc việc sử dụng -L báo cáo k5start lỗi đối với nhật ký hệ thống.

-c trẻ em pid hồ sơ
Lưu ID quy trình (PID) của quy trình con vào trẻ em pid hồ sơ. trẻ em pid hồ sơ is
được tạo nếu nó không tồn tại và được ghi đè nếu nó tồn tại. Tùy chọn này chỉ là
được phép khi một lệnh được đưa ra trên dòng lệnh và hữu ích nhất khi kết hợp
với -b để cho phép quản lý tiến trình con đang chạy.

Lưu ý rằng, khi sử dụng với -b, tệp PID được viết ra sau k5start is
nền và thay đổi thư mục làm việc của nó thành /, vì vậy các đường dẫn tương đối cho PID
tệp sẽ liên quan đến / (có thể không phải những gì bạn muốn).

-F Không nhận được vé có thể chuyển tiếp ngay cả khi cấu hình cục bộ cho biết là có thể chuyển tiếp
vé theo mặc định. Nếu không có cờ này, k5start làm bất cứ điều gì mặc định của thư viện.

-f bàn phím
Xác thực bằng keytab bàn phím hơn là yêu cầu mật khẩu. Một chìa khóa cho
hiệu trưởng của khách hàng phải có mặt tại bàn phím.

-g nhóm
Sau khi tạo bộ đệm ẩn vé, hãy thay đổi quyền sở hữu nhóm của nó thành nhóm, có thể là
tên của một nhóm hoặc một ID nhóm số. Bộ nhớ đệm vé được tạo bằng 0600
quyền theo mặc định, vì vậy điều này sẽ không có tác dụng hữu ích trừ khi được sử dụng với -m.

-H phút
Kiểm tra một tấm vé hạnh phúc, được định nghĩa là một tấm vé có thời gian tồn tại ít nhất là
phút phút. Nếu một vé như vậy được tìm thấy, đừng cố xác thực. Thay thế,
chỉ cần chạy lệnh (nếu một lệnh đã được chỉ định) hoặc thoát ngay lập tức với trạng thái 0 (nếu không có
là). Nếu không, hãy cố gắng lấy một vé mới và sau đó chạy lệnh, nếu có.

If -H được sử dụng với -t, chương trình bên ngoài sẽ luôn được chạy ngay cả khi một vé có
đủ thời gian còn lại đã được tìm thấy.

If -H được sử dụng với -K, k5start sẽ không thoát ngay lập tức. Thay vào đó, chỉ định
thời gian tồn tại còn lại sẽ thay thế giá trị mặc định là hai phút, nghĩa là k5start
sẽ đảm bảo, mỗi khi nó thức dậy, rằng vé có thời gian tồn tại còn lại của
phút tranh luận. Đây là một sự thay thế cho -a để đảm bảo rằng vé luôn có
số lượng thời gian tồn tại tối thiểu nhất định còn lại.

-h Hiển thị thông báo sử dụng và thoát.

-I dịch vụ ví dụ
Phần thể hiện của dịch vụ chính. Mặc định là lĩnh vực mặc định của
máy. Lưu ý rằng không giống như khách hàng chính, một dịch vụ chính không mặc định
phải được chỉ định với -I và -S; người ta không thể cung cấp phần phiên bản như một phần của
đối số với -S.

-i khách hàng ví dụ
Chỉ định phần cá thể của phần gốc. Tùy chọn này không có ý nghĩa
ngoại trừ sự kết hợp với -u. Lưu ý rằng phiên bản có thể được chỉ định như một phần của
tên truy nhập thông qua quy ước thông thường về thêm dấu gạch chéo và sau đó là trường hợp, vì vậy
người ta không bao giờ phải sử dụng tùy chọn này.

-K phút
Chạy ở chế độ daemon để giữ vé tồn tại vô thời hạn. Chương trình hoạt động lại sau khi
phút phút, kiểm tra xem vé sẽ hết hạn trước hoặc ít hơn hai phút
sau lần kiểm tra theo lịch trình tiếp theo, và nhận vé mới nếu cần. (Nói cách khác, nó
đảm bảo rằng vé sẽ luôn có thời hạn sử dụng còn lại ít nhất là hai
phút.) Nếu -H cờ cũng được đưa ra, thời gian tồn tại được chỉ định bởi nó thay thế cho hai
phút mặc định.

Nếu tùy chọn này không được cung cấp nhưng một lệnh đã được đưa ra trên dòng lệnh, mặc định
khoảng thời gian là 60 phút (1 giờ).

Nếu xảy ra lỗi khi làm mới bộ nhớ đệm vé, khoảng thời gian đánh thức sẽ là
rút ngắn còn một phút và hoạt động được thử lại ở khoảng thời gian đó miễn là
lỗi vẫn còn.

-k vé bộ nhớ cache
Sử dụng vé bộ nhớ cache như bộ đệm vé chứ không phải là nội dung của môi trường
biến KRB5CCNAME hoặc mặc định của thư viện. vé bộ nhớ cache có thể là bất kỳ bộ nhớ cache vé
mã định danh được các thư viện Kerberos bên dưới công nhận. Điều này thường hỗ trợ một
đường dẫn đến tệp, có hoặc không có chuỗi "FILE:" ở đầu, nhưng cũng có thể hỗ trợ các
các loại bộ đệm vé.

Nếu có -o, -g, hoặc là -m được tặng, vé bộ nhớ cache phải là một đường dẫn đơn giản đến một tệp
hoặc bắt đầu bằng "FILE:" hoặc "WRFILE:".

-L Báo cáo thông báo đến nhật ký hệ thống cũng như đầu ra tiêu chuẩn hoặc lỗi tiêu chuẩn. Tất cả các
tin nhắn sẽ được ghi bằng cơ sở LOG_DAEMON. Thông báo thường xuyên được hiển thị
trên đầu ra tiêu chuẩn được ghi với mức LOG_NOTICE. Những lỗi không gây ra k5start
để kết thúc được ghi lại bằng cấp LOG_WARNING. Các lỗi nghiêm trọng được ghi lại với mức độ
LOG_ERR.

Điều này rất hữu ích khi gỡ lỗi sự cố kết hợp với -b.

-l thời gian chuỗi
Đặt thời hạn của vé. thời gian chuỗi phải ở định dạng được Kerberos công nhận
thư viện để xác định thời gian, chẳng hạn như "10h" (mười giờ) hoặc "10m" (mười phút).
Các đơn vị đã biết là "s", "m", "h" và "d". Để biết thêm thông tin, hãy xem dệt kim(1).

-m chế độ
Sau khi tạo bộ đệm ẩn vé, hãy thay đổi quyền đối với tệp của nó thành chế độ, mà phải là một
chế độ tệp trong bát phân (ví dụ: 640 hoặc 444).

Đặt một chế độ điều đó không cho phép k5start để đọc hoặc ghi vào bộ nhớ cache của vé sẽ
gây ra k5start không thành công và thoát ra khi sử dụng -K tùy chọn hoặc chạy một lệnh.

-n Bỏ qua, hiện tại cho khả năng tương thích của tùy chọn với cái đã lỗi thời k4start.

-o chủ sở hữu
Sau khi tạo bộ đệm ẩn vé, hãy thay đổi quyền sở hữu của nó thành chủ sở hữu, có thể là một trong hai
tên của người dùng hoặc ID người dùng dạng số. Nếu như chủ sở hữu là tên của một người dùng và -g là
không được cung cấp, cũng thay đổi quyền sở hữu nhóm của bộ đệm ẩn vé thành mặc định
nhóm cho người dùng đó.

-P Không nhận được vé có thể proxiable ngay cả khi cấu hình cục bộ cho biết nhận được proxiable
vé theo mặc định. Nếu không có cờ này, k5start làm bất cứ điều gì mặc định của thư viện.

-p pid hồ sơ
Lưu ID quy trình (PID) của quá trình đang chạy k5start quá trình thành pid hồ sơ. pid hồ sơ is
được tạo nếu nó không tồn tại và được ghi đè nếu nó tồn tại. Tùy chọn này là hầu hết
hữu ích kết hợp với -b để cho phép quản lý hoạt động k5start yêu tinh.

Lưu ý rằng, khi sử dụng với -b tệp PID được viết ra sau k5start được làm nền
và thay đổi thư mục làm việc của nó thành /, vì vậy các đường dẫn tương đối cho tệp PID sẽ là
liên quan đên / (có thể không phải những gì bạn muốn).

-q Yên lặng. Ngăn chặn việc in thông báo biểu ngữ ban đầu nói gì về Kerberos
vé chính đang được lấy cho và cũng chặn lời nhắc mật khẩu khi
các -s tùy chọn được đưa ra.

-r dịch vụ vương quốc
Cảnh giới cho hiệu trưởng dịch vụ. Điều này mặc định cho vùng cục bộ mặc định.

-S dịch vụ tên
Chỉ định hiệu trưởng cho k5start đang nhận được một vé dịch vụ. Mặc định
giá trị là "krbtgt", để lấy vé cấp vé. Tùy chọn này (cùng với -I)
có thể được sử dụng nếu một người chỉ cần truy cập vào một dịch vụ duy nhất. Lưu ý rằng không giống như khách hàng
chính, một dịch vụ chính không mặc định phải được chỉ định với cả hai -S và -I; một
không thể cung cấp phần phiên bản như một phần của đối số -S.

-s Đọc mật khẩu từ đầu vào tiêu chuẩn. Điều này bỏ qua lời nhắc mật khẩu thông thường,
có nghĩa là tiếng vọng không bị triệt tiêu và đầu vào không bị buộc phải từ bộ điều khiển
phần cuối. Hầu hết việc sử dụng tùy chọn này là một rủi ro bảo mật. Bạn thường muốn sử dụng
keytab và -f thay vào đó.

-t Chạy một chương trình bên ngoài sau khi nhận được vé. Việc sử dụng mặc định của điều này là để chạy
aklog để nhận mã thông báo. Nếu biến môi trường KINIT_PROG được đặt, nó sẽ ghi đè
được biên dịch trong mặc định.

If k5start đã được xây dựng với AFS setpag () hỗ trợ và một lệnh đã được đưa ra trên
dòng lệnh, k5start sẽ tạo một PAG mới trước khi nhận được mã thông báo AFS. Nếu không thì,
nó sẽ nhận được các mã thông báo trong PAG hiện tại.

-U Thay vì yêu cầu cung cấp gốc xác thực trên dòng lệnh, hãy đọc
nó từ keytab được chỉ định với -f. Tiền gốc sẽ được lấy từ cái đầu tiên
mục nhập trong keytab. -f phải được chỉ định nếu tùy chọn này được sử dụng.

Thời Gian -U được đưa ra, k5start sẽ không mong đợi một tên chính được đưa ra trong lệnh
và bất kỳ đối số nào sau các tùy chọn sẽ được coi là lệnh để chạy.

-u khách hàng chính
Điều này chỉ định hiệu trưởng để có được thông tin xác thực là. Toàn bộ tiền gốc có thể là
được chỉ định ở đây, hoặc chỉ có phần đầu tiên có thể được chỉ định với phần này
cờ và phiên bản được chỉ định với -i.

Lưu ý rằng thông thường không có lý do gì để sử dụng cờ này thay vì chỉ đưa ra
chính trên dòng lệnh như là đối số chính quy đầu tiên.

-v Dài dòng. Điều này sẽ in ra một chút thông tin bổ sung về những gì đang được
đã cố gắng và kết quả là gì.

-x Thoát ngay lập tức khi có bất kỳ lỗi nào. Thông thường, khi chạy một lệnh hoặc khi chạy với
-K Tùy chọn, k5start tiếp tục chạy ngay cả khi nó không làm mới bộ đệm vé và sẽ
thử lại vào khoảng thời gian kiểm tra tiếp theo. Với tùy chọn này, k5start thay vào đó sẽ thoát.

TRỞ VỀ GIÁ TRỊ

Chương trình sẽ thoát với trạng thái 0 nếu nhận được vé thành công hoặc có vé vui
(xem -H). Nếu k5start chạy aklog hoặc một số chương trình khác k5start trả về trạng thái thoát của
chương trình đó.

THÍ DỤ

Sử dụng /etc/krb5.keytab keytab để lấy phiếu cấp vé cho người chủ
host / example.com, đặt bộ đệm vé vào /tmp/service.tkt. Thời gian tồn tại là 10 giờ
và chương trình sẽ thức dậy sau mỗi 10 phút để kiểm tra xem vé có sắp hết hạn hay không.

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
host / example.com

Làm tương tự, nhưng sử dụng bộ đệm ẩn vé mặc định và chạy lệnh
/ usr / local / bin / auth-backup. k5start sẽ tiếp tục chạy cho đến khi lệnh kết thúc. Nếu như
xác thực ban đầu không thành công, hãy tiếp tục thử và không bắt đầu lệnh cho đến khi nó
thành công. Điều này có thể được sử dụng trong quá trình khởi động hệ thống cho một lệnh phải có giá trị
vé trước khi bắt đầu và chấp nhận việc có k5start bắt đầu trước khi mạng
hoàn toàn được thiết lập.

k5start -f /etc/krb5.keytab -K 10 -l 10h host / example.com \
/ usr / local / bin / auth-backup

Hiển thị các quyền của tệp bộ đệm tạm thời được tạo bởi k5start:

k5start -f /etc/krb5.keytab host / example.com \
- sh -c 'ls -l $ KRB5CCNAME'

Chú ý dấu "-" trước lệnh giữ k5start khỏi phân tích cú pháp "-c" như của riêng nó
tùy chọn.

Làm điều tương tự, nhưng xác định gốc từ keytab:

k5start -f /etc/krb5.keytab -U - sh -c 'ls -l $ KRB5CCNAME'

Lưu ý rằng không có tiền gốc nào được đưa ra trước lệnh.

Bắt đầu k5start dưới dạng daemon sử dụng Debian start-stop-daemon chương trình quản lý. Đây là
loại dòng mà người ta có thể đưa vào tập lệnh init Debian:

start-stop-daemon --start --pidfile /var/run/k5start.pid \
--exec / usr / local / bin / k5start - -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab host / example.com

Điều này sử dụng /var/run/k5start.pid dưới dạng tệp PID và nhận vé host / example.com từ
tệp keytab hệ thống. k5start sau đó sẽ bị dừng lại với:

start-stop-daemon --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

Mã này có thể được thêm vào một tập lệnh init cho Apache, chẳng hạn, để bắt đầu một k5start
xử lý cùng với Apache để quản lý thông tin đăng nhập Kerberos của nó.

MÔI TRƯỜNG

Nếu biến môi trường AKLOG được đặt, giá trị của nó sẽ được sử dụng làm chương trình chạy
với -t thay vì tuân theo mặc định thành k5start. Nếu AKLOG chưa được đặt và KINIT_PROG
được đặt, giá trị của nó sẽ được sử dụng thay thế. KINIT_PROG được vinh danh vì khả năng tương thích ngược
nhưng việc sử dụng nó không được khuyến khích do tên khó hiểu của nó.

Nếu không có tệp vé (với -k) hoặc lệnh được chỉ định trên dòng lệnh, k5start sẽ sử dụng
biến môi trường KRB5CCNAME để xác định vị trí cấp vé
vé. Nếu một lệnh được chỉ định hoặc -k tùy chọn được sử dụng, KRB5CCNAME sẽ được đặt
để trỏ đến tệp vé trước khi chạy aklog chương trình hoặc bất kỳ lệnh nào được đưa ra trên
dòng lệnh.

Sử dụng k5start trực tuyến bằng các dịch vụ onworks.net