k5start - 云端在线

程序：

您的姓名

k5start - 获取并可选择保持活动的 Kerberos 票证

概要

k5开始 [-abFhLnPqstvx[-c 孩子 PID 文件[-f 密钥表]
[-g 组[-H 分钟[-I 服务 例]
[-i 客户 例[-K 分钟[-k 票 缓存]
[-l 次 绳子[-m 模式[-o 业主]
[-p PID 文件[-r 服务 境界[-S 服务 姓名]
[-u 客户 主要[主要 [命令 ...]]]

k5开始 -U -f 密钥表 [-abFhLnPqstvx[-c 孩子 PID 文件]
[-g 组[-H 分钟[-I 服务 例]
[-K 分钟[-k 票 缓存[-l 次 绳子]
[-m 模式[-o 业主[-p PID 文件]
[-r 服务 境界[-S 服务 姓名[命令 ...]

商品描述

k5开始 获取并缓存主体的初始 Kerberos 票证授予票证。
k5开始 可以替代 金妮特，但它主要供
想要使用密钥表获取 Kerberos 凭据的程序，例如 Web 服务器
需要向另一个服务（例如 LDAP 服务器）进行身份验证。

通常，应将为其提供票证的委托人指定为第一个
论据。 主要 可能只是一个主体名称（包括可选实例）
或完整的主体和领域字符串。 这 -u 和 -i 选项可以用作替代
指定主体的机制，但通常不那么方便。 如果不
主体作为第一个参数或参数给出 -u 选项，
客户端主体默认为运行用户的 Unix 用户名 k5开始 默认情况下
地方境界。

可选地，可以在命令行上给出命令 k5开始. 如果是这样，该命令是
在 Kerberos 身份验证之后运行（并运行 阿克洛格 如果需要），使用适当的
设置环境变量以将其指向正确的票证缓存。 k5开始 然后会
继续运行，定期唤醒以在它们之前稍微刷新凭据
过期，直到命令完成。 （唤醒刷新的频率
凭据仍然可以通过 -K 选项。）要在此模式下运行，
主体必须指定为常规命令行参数或通过 -U
选项; 这 -u 和 -i 可能不使用选项。 此外，必须指定一个密钥表 -f
运行特定命令。

该命令不会使用 shell 运行，因此如果您想在
具有特殊含义的命令，给“sh -c 命令” 作为运行的命令和
报价 命令.

如果命令包含命令行选项（如“-c”），将 -- 放在命令行上
在命令开始前告诉 k5开始 不要将这些选项解析为自己的选项。

运行命令时， k5开始 将 HUP、TERM、INT 和 QUIT 信号传播给孩子
处理并且在接收到这些信号时不会退出。 （如果传播的信号
导致子进程退出， k5开始 然后将退出。）这允许 k5开始 反应
在命令监督系统下正确运行时，例如 运行（8）或 扫描（8）
使用信号来控制受监督的命令，并运行应该
接收 Ctrl-C。

如果一个跑步 k5开始 收到 ALRM 信号，它立即刷新票证缓存
不管它是否有过期的危险。

If k5开始 使用命令或 -K 标志和 -x 未给出标志，它将保留
即使初始身份验证失败也会尝试。 它将重试初始身份验证
立即然后以指数退避到每分钟一次，并继续尝试直到
身份验证成功或被终止。 命令，如果有的话，直到
认证成功。

配置

-a 当运行时 -K 标志或命令，每次总是更新票 k5开始
醒来。 如果没有这个选项， k5开始 只会尝试更新机票
防止票据过期所必需的。 有了这个选项， k5开始 将更新
根据指定的时间间隔购票 -K 旗。

这种行为可能应该是默认行为 -K. 默认是
不会更改以避免对现有用户进行更改，但对于新应用程序，请考虑
一直在用 -a -K.

如果另一个程序正在操纵票证缓存，则此选项很重要
k5开始 正在使用。 例如，如果另一个程序正在自动更新票
比 k5开始， 然后 k5开始 永远不会看到接近的票
过期，因此默认情况下永远不会尝试续订票证。 这意味着
这 k5开始 也永远不会更新 AFS 令牌，即使 -t 给出了选项，因为
k5开始 仅在成功续订票证后才续订 AFS 令牌。 如果这个选项
在这种情况下被指定， k5开始 每次检查时都会更新它的票
票，因此 AFS 代币将被更新。

此参数仅在与任一组合使用时才有效 -K 或要运行的命令。

-b 启动后，脱离控制终端，在后台运行。 这个
选项仅与 -K 或命令 k5开始 会
正在运行并且只有在指定了 keytab 时才能使用 -f. k5开始 不会
背景本身直到它尝试过一次身份验证之后，以便任何初始
将报告错误，但随后会将输出重定向到 的/ dev / null的 和不
后续会报错。

如果给出这个标志， k5开始 还将目录更改为“/”。 所有路径（例如
对于要运行的命令或 PID 文件）因此应以绝对形式给出，而不是
相对, 路径.

如果与要运行的命令结合使用，该命令也将在
背景，并将其输入和输出重定向到 的/ dev / null的。 它会
必须通过某种其他机制报告任何错误才能看到错误。

请注意，在 Mac OS X 上，默认票证缓存类型是每个会话并使用 -b
标志将解除关联 k5开始 从现有的票证缓存。 使用时 -b in
与 -K 在 Mac OS X 上，您可能还想使用 -k 要指定的标志
票缓存文件并强制使用文件缓存。

使用此选项时，请考虑使用 -L 举报 k5开始 系统日志错误。

-c 孩子 PID 文件
将子进程的进程ID（PID）保存到 孩子 PID 文件. 孩子 PID 文件 is
如果不存在则创建，如果存在则覆盖。 该选项仅
当在命令行上给出命令时允许，并且结合使用最有用
-b 允许管理正在运行的子进程。

请注意，当与 -b,PID文件写出来之后 k5开始 is
背景并将其工作目录更改为 /, 所以 PID 的相对路径
文件将相对于 / （可能不是你想要的）。

-F 即使本地配置说可以转发，也不要获得可转发的票证
默认门票。 没有这面旗帜， k5开始 执行库默认设置的任何内容。

-f 密钥表
使用密钥表进行身份验证 密钥表 而不是要求输入密码。 一把钥匙
客户主体必须存在于 密钥表.

-g 组
创建票证缓存后，将其组所有权更改为 组，可能是
组名或数字组 ID。 票务缓存是用 0600 创建的
默认情况下的权限，因此除非与 -m.

-H 分钟
检查一张快乐票，定义为剩余生命周期至少为
分钟 分钟。 如果找到此类票证，请不要尝试进行身份验证。 反而，
只需运行命令（如果指定了）或立即退出，状态为 0（如果没有
曾是）。 否则，尝试获取新票证，然后运行该命令（如果有）。

If -H 用于 -t, 外部程序将始终运行，即使工单带有
发现足够的剩余寿命。

If -H 用于 -K, k5开始 不会立即退出。 相反，指定的
剩余生命周期将替换默认值两分钟，这意味着 k5开始
将确保每次唤醒时票证都有剩余的生命周期
分钟 争论。 这是一个替代方案 -a 以确保门票始终有一个
一定的最小剩余寿命。

-h 显示使用消息并退出。

-I 服务 例
服务主体的实例部分。 默认是默认的领域
机器。 请注意，与客户端主体不同，非默认服务主体
必须指定 -I 和 -S; 不能提供实例部分作为
论据 -S.

-i 客户 例
指定主体的实例部分。 这个选项没有意义
除了与 -u. 请注意，可以将实例指定为
用户名 通过附加斜杠然后附加实例的正常约定，所以
永远不必使用此选项。

-K 分钟
以守护程序模式运行以无限期地保持票证有效。 程序重新唤醒后
分钟 分钟，检查票是否会在两分钟之前或少于两分钟到期
在下一次预定检查之后，并在需要时获得新票。 （换句话说，它
确保票证的剩余生命周期至少为两个
分钟。）如果 -H 还给出了标志，它指定的生命周期替换了两个
分钟默认。

如果没有给出这个选项但在命令行上给出了一个命令，则默认
间隔为 60 分钟（1 小时）。

如果刷新票据缓存出错，唤醒间隔为
缩短到一分钟，并且操作在该时间间隔内重试只要
错误仍然存​​在。

-k 票 缓存
使用 票 缓存 作为票据缓存而不是环境的内容
变量 KRB5CCNAME 或库默认值。 票 缓存 可能是任何票证缓存
底层 Kerberos 库识别的标识符。 这通常支持一个
文件路径，带或不带前导“FILE:”字符串，但也可能支持其他
票证缓存类型。

如果有 -o, -g或 -m 给出， 票 缓存 必须是文件的简单路径
或以“FILE:”或“WRFILE:”开头。

-L 向系统日志以及标准输出或标准错误报告消息。 全部
消息将使用工具 LOG_DAEMON 记录。 显示的常规消息
在标准输出上以 LOG_NOTICE 级别记录。 不会导致的错误 k5开始
以 LOG_WARNING 级别记录终止。 使用级别记录致命错误
日志错误。

这在调试问题时很有用 -b.

-l 次 绳子
设置票证有效期。 次 绳子 应该是 Kerberos 认可的格式
用于指定时间的库，例如“10h”（十小时）或“10m”（十分钟）。
已知单位是“s”、“m”、“h”和“d”。 有关更多信息，请参阅 金妮特（1）。

-m 模式
创建票证缓存后，将其文件权限更改为 模式，这一定是一个
八进制文件模式（例如 640 或 444）。

设置一个 模式 那不允许 k5开始 读取或写入票证缓存将
原因 k5开始 使用时失败并退出 -K 选项或运行命令。

-n 忽略，用于与现已过时的选项兼容 k4开始.

-o 业主
创建票证缓存后，将其所有权更改为 业主，这可能是
用户名或数字用户 ID。 如果 业主 是用户名和 -g 是
也没有给出，还将票证缓存的组所有权更改为默认值
该用户的组。

-P 即使本地配置说要获取代理，也不要获取可代理的票证
默认门票。 没有这面旗帜， k5开始 执行库默认设置的任何内容。

-p PID 文件
保存运行的进程ID（PID） k5开始 加工成 PID 文件. PID 文件 is
如果不存在则创建，如果存在则覆盖。 这个选项最
结合使用很有用 -b 允许管理运行 k5开始 守护进程。

请注意，当与 -b PID 文件在之后被写出 k5开始 有背景
并将其工作目录更改为 /, 所以 PID 文件的相对路径将是
关系到 / （可能不是你想要的）。

-q 安静的。 禁止打印说明 Kerberos 内容的初始横幅消息
正在获取主体票证，并在以下情况下抑制密码提示
此 -s 给出了选项。

-r 服务 境界
服务主体的领域。 这默认为默认的本地领域。

-S 服务 姓名
指定主体 k5开始 正在获取服务票。 默认的
值为“krbtgt”，获取票据授权票据。 此选项（连同 -I)
如果只需要访问一项服务，则可以使用。 请注意，与客户端不同
主体，必须同时指定非默认服务主体 -S 和 -I; 一
不能提供实例部分作为参数的一部分 -S.

-s 从标准输入读取密码。 这绕过了正常的密码提示，
这意味着不会抑制回声，也不会强制输入来自控制
终端。 此选项的大多数用途都存在安全风险。 你通常想使用一个
密钥表和 -f 选项。

-t 拿到票后运行外部程序。 这个的默认用途是运行
阿克洛格 得到一个令牌。 如果设置了环境变量 KINIT_PROG，它将覆盖
默认编译。

If k5开始 已使用 AFS 构建 设置页（） 支持并下达了命令
命令行， k5开始 将在获取 AFS 令牌之前创建一个新的 PAG。 除此以外，
它将获得当前 PAG 中的令牌。

-U 而不是要求在命令行上给出身份验证主体，阅读
它来自指定的密钥表 -f. 校长将从第一个
密钥表中的条目。 -f 如果使用此选项，则必须指定。

什么时候 -U 给出， k5开始 不会期望在命令中给出主体名称
行，选项后的任何参数都将作为要运行的命令。

-u 客户 主要
这指定了要获取凭据的主体。 整个校长可能是
在此处指定，或者仅可以使用此指定第一部分
标志和指定的实例 -i.

请注意，通常没有理由使用这个标志，而不是简单地给出
命令行上的主体作为第一个常规参数。

-v 详细点。 这将打印出一些关于正在发生的事情的附加信息
尝试过以及结果如何。

-x 出现任何错误立即退出。 通常，当运行命令或使用
-K 选项， k5开始 即使无法刷新票证缓存也会继续运行
在下一个检查间隔重试。 有了这个选项， k5开始 而是会退出。

返回 价值观

如果程序成功获得一张票或有一张快乐的票，则该程序以状态 0 退出
（见 -H）。 如果 k5开始 运行 aklog 或其他一些程序 k5开始 返回退出状态
那个程序。

例

使用 /etc/krb5.keytab keytab 为主体获取票证授予票证
host/example.com，将票证缓存放入 /tmp/服务.tkt. 寿命为10小时
并且程序每 10 分钟唤醒一次以检查票证是否即将到期。

k5start -k /tmp/service.tkt -f /etc/krb5.keytab -K 10 -l 10h \
主机/example.com

执行相同操作，但使用默认票证缓存并运行命令
/usr/local/bin/auth-备份. k5开始 将继续运行，直到命令完成。 如果
初始验证失败，继续尝试，直到它启动命令
成功。 这可以在系统启动期间用于必须具有有效
开始前购票，并容忍有 k5开始 在网络之前开始
完全设置。

k5start -f /etc/krb5.keytab -K 10 -l 10h 主机/example.com \
/usr/local/bin/auth-备份

显示由创建的临时缓存文件的权限 k5开始:

k5start -f /etc/krb5.keytab 主机/example.com \
-- sh -c 'ls -l $KRB5CCNAME'

注意要保留的命令前的“--” k5开始 将“-c”解析为自己的
选项。

做同样的事情，但从密钥表中确定主体：

k5start -f /etc/krb5.keytab -U -- sh -c 'ls -l $KRB5CCNAME'

请注意，在命令之前没有给出主体。

开始 k5开始 作为使用 Debian 的守护进程 启动停止守护程序 管理程序。 这是
一种可以放入 Debian init 脚本的行：

启动-停止-守护进程 --start --pidfile /var/run/k5start.pid \
--exec /usr/local/bin/k5start -- -b -p /var/run/k5start.pid \
-f /etc/krb5.keytab 主机/example.com

这使用 /var/run/k5start.pid 作为 PID 文件并从以下位置获取 host/example.com 票证
系统密钥表文件。 k5开始 然后将停止：

启动-停止-守护进程 --stop --pidfile /var/run/k5start.pid
rm -f /var/run/k5start.pid

可以将此代码添加到 Apache 的 init 脚本中，例如，启动一个 k5开始
与 Apache 一起处理以管理其 Kerberos 凭据。

环境

如果设置了环境变量AKLOG，它的值将作为程序运行
-t 而不是默认的遵守 k5开始. 如果 AKLOG 未设置且 KINIT_PROG
设置后，将使用其值。 KINIT_PROG 因向后兼容而受到表彰
但由于其名称令人困惑，不推荐使用。

如果没有工单文件（带有 -k) 或 command 在命令行中指定， k5开始 将使用
环境变量 KRB5CCNAME 来确定票据授予的位置
票。 如果指定了命令或 -k 选项被使用，KRB5​​CCNAME 将被设置
在运行之前指向票证文件 阿克洛格 程序或任何命令
命令行。

使用 onworks.net 服务在线使用 k5start