这是 klog.afs 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
klog, klog.krb - 使用身份验证服务器进行身份验证
概要
博客 [-x[-主要的 <用户 姓名>]
[-密码用户的 密码>] [-细胞 <细胞 姓名>]
[-服务器 <明确的 名单 of 台服务器>+]
[-管[-无声]
[-寿命 <票 一生 in 啊[:mm[:ss]]>]
[-setpag[-tmp[-救命]
博客 [-x[-公关 <用户 姓名>] [-pa <用户的 密码>]
[-c <细胞 姓名>] [-s <明确的 名单 of 台服务器>+]
[-pi[-是的[-l <票 一生 in 啊[:mm[:ss]]>]
[-se[-t[-h]
日志文件 [-x[-主要的 <用户 姓名>]
[-密码用户的 密码>] [-细胞 <细胞 姓名>]
[-服务器 <明确的 名单 of 台服务器>+]
[-管[-无声]
[-寿命 <票 一生 in 啊[:mm[:ss]]>]
[-setpag[-tmp[-救命]
商品描述
这个 博客 和 日志文件 命令已过时,不应使用。 相反,使用 金妮特
其次是 阿克洛格 or klog.krb5。 看 阿克洛格(1)和 klog.krb5(1) 了解更多信息。
这个 博客 命令从过时的身份验证服务器或
使用相同协议的 Kerberos KDC,例如 假卡 或 Heimdal Kerberos KDC。 这
本地机器上的缓存管理器将令牌存储在内核中的凭证结构中
内存并在获得对 AFS 文件空间的认证访问时使用它。 这个命令
不影响本地文件系统中发行者的身份 (UNIX UID)。
这个 日志文件 命令从过时的身份验证服务器或
Kerberos v4 KDC 并将发行者的 Kerberos v4 票证放在由
KRBTKFILE 环境变量。 Kerberos v4 票证可能会被 Kerberos v4 感知使用
程式。 这 pagsh.krb文件 命令将 KRBTKFILE 环境变量定义为 /tmp/tktpX
协调 X 是用户的PAG号码。
默认情况下,命令解释器获取与 AFS 用户名匹配的令牌
发行者在本地文件系统中的身份。 要指定备用用户,请包括
-主要的 争论。 用户名 -主要的 参数不必出现在
本地密码文件( / etc / passwd文件 文件或等效文件)。
默认情况下,命令解释器获取本地单元格的令牌,如
AFSCELL 环境变量在命令 shell 中设置或由 /etc/openafs/ThisCell 文件
在本地机器上。 要指定备用单元格,请包括 -细胞 争论。 这
命令解释器联系从单元的随机选择的身份验证服务器
进入当地 /etc/openafs/服务器/CellServDB 文件,除非 -服务器 论点是
用于命名一台或多台数据库服务器机器。
一个用户可以同时在多个单元格中拥有令牌,但每个单元格只能拥有一个令牌
连接到客户端机器。 如果用户的凭证结构已经包含一个
所请求单元格的令牌,此命令产生的令牌将替换它。
此命令产生的令牌的生命周期是以下中最小的一个。
· 发行人指定的生命周期 -寿命 争论。 如果发行人这样做
不包括此参数,该值默认为 720 小时(30 天)。
· 为身份验证数据库中的 afs 条目记录的最长票证生命周期。
默认值为 100 小时。
· 指定用户的鉴权数据库中记录的最长票据生存期
入口。 对于由身份验证服务器创建的用户条目,默认值为 25 小时
运行 AFS 3.1 或更高版本。
· krbtgt 中记录的最长票证生命周期。细胞名 进入
认证数据库; 此条目对应于使用的票证授予票证
在内部生成令牌。 默认值为 720 小时(30 天)。
kas 检查命令的输出显示身份验证数据库条目的
最长票证有效期为“最长票证有效期”。 管理员可以显示任何条目,
并且用户可以显示他们自己的条目。
如果没有更改任何默认值,则用户的令牌生存期为 25 小时
由运行 AFS 3.1 或更高版本的身份验证服务器创建的帐户。 最大值
任何令牌的生命周期为 720 小时(30 天),最短为 5 分钟。
在最小值和最大值之间,身份验证服务器使用一组定义的
值,根据以下规则。 请求的生命周期在 5 分钟到 10 分钟之间
小时 40 分钟以 5 分钟为间隔授予,四舍五入。 例如,如果
发行者请求的生命周期为 12 分钟,令牌的实际生命周期为 15 分钟。
对于大于 10 小时 40 分钟的令牌生命周期,请参阅下表,其中
以单位表示所有可能的时间 个小时里:分钟:秒. 中的数
括号是相应时间的近似值,以天和小时为单位(如所示
由“d”和“h”字母组成)。 例如,“282:22:17”表示 282 小时 22 分钟和 17
秒,转换为大约 11 天 18 小时(“11d 18h”)。 这
身份验证服务器将请求的生命周期向上舍入到可能的下一个最高值
一生。
11:24:15 (0 天 11 小时) 46:26:01 (1 天 22 小时) 189:03:38 (7 天 21 小时)
12:11:34 (0 天 12 小时) 49:38:40 (2 天 01 小时) 202:08:00 (8 天 10 小时)
13:02:09 (0 天 13 小时) 53:04:37 (2 天 05 小时) 216:06:35 (9 天 00 小时)
13:56:14 (0 天 13 小时) 56:44:49 (2 天 08 小时) 231:03:09 (9 天 15 小时)
14:54:03 (0 天 14 小时) 60:40:15 (2 天 12 小时) 247:01:43 (10 天 07 小时)
15:55:52 (0 天 15 小时) 64:51:57 (2 天 16 小时) 264:06:34 (11 天 00 小时)
17:01:58 (0 天 17 小时) 69:21:04 (2 天 21 小时) 282:22:17 (11 天 18 小时)
18:12:38 (0 天 18 小时) 74:08:46 (3 天 02 小时) 301:53:45 (12 天 13 小时)
19:28:11 (0 天 19 小时) 79:16:23 (3 天 07 小时) 322:46:13 (13 天 10 小时)
20:48:57 (0 天 20 小时) 84:45:16 (3 天 12 小时) 345:05:18 (14 天 09 小时)
22:15:19 (0 天 22 小时) 90:36:53 (3 天 18 小时) 368:56:58 (15 天 08 小时)
23:47:38 (0 天 23 小时) 96:52:49 (4 天 00 小时) 394:27:37 (16 天 10 小时)
25:26:21 (1 天 01 小时) 103:34:45 (4 天 07 小时) 421:44:07 (17 天 13 小时)
27:11:54 (1 天 03 小时) 110:44:28 (4 天 14 小时) 450:53:46 (18 天 18 小时)
29:04:44 (1 天 05 小时) 118:23:54 (4 天 22 小时) 482:04:24 (20 天 02 小时)
31:05:22 (1 天 07 小时) 126:35:05 (5 天 06 小时) 515:24:22 (21 天 11 小时)
33:14:21 (1 天 09 小时) 135:20:15 (5 天 15 小时) 551:02:38 (22 天 23 小时)
35:32:15 (1 天 11 小时) 144:41:44 (6 天 00 小时) 589:08:45 (24 天 13 小时)
37:59:41 (1 天 13 小时) 154:42:01 (6 天 10 小时) 629:52:56 (26 天 05 小时)
40:37:19 (1 天 16 小时) 165:23:50 (6 天 21 小时) 673:26:07 (28 天 01 小时)
43:25:50(1 天 19 点) 176:50:01(7 天 08 点)
注意事项
博客 讲特定于过时的身份验证服务器的协议并提供
主要是为了支持尚未迁移到 Kerberos 版本 5 KDC 的单元。 这是
如果关联的 Kerberos,在未运行身份验证服务器的单元中仍然有用
领域支持身份验证服务器查询(例如 Heimdal KDC 或 假卡),但使用
klog.krb5 or 金妮特 加 阿克洛格 建议不要使用此命令。
默认情况下,该命令不会创建新的进程认证组(PAG); 见
的描述 帕格什 命令以了解 PAG。 如果单元不使用 AFS-
修改登录实用程序,用户必须包括 -setpag 此命令的选项,或发出
帕格什 在此之前的命令,将他们的令牌存储在一个凭证结构中
由 PAG 而非本地 UID 标识。
当一个凭证结构被本地 UID 识别时,潜在的安全暴露是
本地超级用户“root”可以使用 UNIX su 命令承担任何其他身份
并自动继承与该 UID 关联的令牌。 识别凭证
PAG 的结构消除了这种暴露。
如果 -密码 使用参数,指定的密码不能以连字符开头,
因为它被解释为另一个选项名称。 使用 -密码 论点不是
在任何情况下都推荐。
默认情况下,可以在正确配置的 NFS 客户端上发出此命令
通过 NFS/AFS Translator 访问 AFS 的机器,假设 NFS 客户端
machine 是受支持的系统类型。 但是,如果翻译机的管理员有
通过包含启用 UID 检查 -uid检查 on 论证 fs 出口 命令,
命令失败并显示类似于以下内容的错误消息:
警告:远程 pioctl 到失败(错误=8)。 . .
由于 pioctl 失败,无法向 AFS 进行身份验证。
启用 UID 检查意味着存储令牌的凭证结构
翻译机必须由与本地 UID 匹配的 UID 标识
将令牌放入凭证结构的过程。 之后 博客 命令
解释器在 NFS 客户端获取令牌,并将其传递给远程执行器
翻译机上的守护进程,它进行系统调用,将令牌存储在一个
翻译机上的凭证结构。 远程执行器通常作为
本地超级用户“root”,因此在大多数情况下,其本地 UID(通常为零)与
发布该用户的本地 UID 博客 NFS 客户端计算机上的命令。
发出 博客 NFS 客户端计算机上的命令会造成安全漏洞:命令
解释器通过网络将令牌以明文形式传递给远程执行程序守护进程
文本模式。
配置
-x 仅为向后兼容而出现。 它以前的功能现在是默认的
此命令的行为。
-主要的 <用户 姓名>
指定要验证的用户名。 如果省略此参数,则
身份验证服务器尝试对登录到本地系统的用户进行身份验证。
-密码 <用户的 密码>
指定发行人的密码(或由
-主要的 争论)。 省略此参数以使命令解释器提示
密码,在这种情况下,它不会在命令外壳中明显回显。
-细胞 <细胞 姓名>
指定要为其获取令牌的单元格。 该命令被定向到该单元格的
身份验证服务器。 在给定机器上的单个登录会话期间,用户可以
同时在多个单元中进行身份验证,但一次只能有一个令牌
他们每个人的时间(也就是说,每个单元只能在一个身份下进行身份验证)
机器上的会话)。 将单元格名称缩写为最短是可以接受的
将其与列在表中的其他单元格区分开来的形式 /etc/openafs/CellServDB
发出命令的客户端计算机上的文件。
如果省略此参数,则命令在本地单元格中执行,如定义
·首先,通过环境变量AFSCELL的值。
· 二、在 /etc/openafs/ThisCell 客户端计算机上的文件
命令发出。
-服务器 <明确的 名单 of 台服务器>+
与运行在每个指定服务器上的身份验证服务器建立连接
数据库服务器机器。 命令解释器然后随机选择其中之一
执行命令。 最好提供完全限定的主机名,但
根据单元格名称的状态,缩写形式可能是可以接受的
发出命令时的服务器。 此选项可用于测试特定的
服务器如果遇到问题。
如果省略此参数,命令解释器将建立与
在本地副本中为指定单元列出的每台机器
/etc/openafs/CellServDB 文件,然后随机选择其中之一作为命令
执行。
-管
禁止所有输出到标准输出流,包括提示和错误
消息。 这 博客 命令解释器期望从
标准输入流。 不要使用这个参数; 它专为应用程序使用而设计
程序而不是人类用户。
-无声
抑制 klog 命令在标准上产生的一些跟踪消息
默认输出流。 它仍然报告遇到的主要问题。
-寿命 <票 一生
请求令牌的特定生命周期。 提供几个小时和可选的
分钟和秒的格式 hh[:mm[:ss]]。 该值用于计算
令牌生命周期如描述中所述。
-setpag
在请求身份验证之前创建进程身份验证组 (PAG)。 这
令牌与新创建的 PAG 相关联。
-tmp
在 / tmp目录 本地机器的目录。 这
文件被称为 tkt.AFS_UID 协调 AFS_UID 是发行人的 AFS UID。
-救命
打印此命令的联机帮助。 所有其他有效选项都将被忽略。
OUTPUT
以下消息表明对连续身份验证失败的限制已
被超过了。 管理员可以使用 肌肉 开锁 命令解锁帐户,或
发行人可以等到账户的锁定时间过去。 (时间已定
与 -锁定时间 论证 肌肉 设置字段 命令并显示在输出中
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 肌肉 检查 命令)。
由于 ID 被锁定,无法向 AFS 进行身份验证 - 请咨询您的系统管理员
如果 -tmp 包含标志,以下消息确认 Kerberos 样式票证
文件已创建:
将票证文件写入 / tmp目录
示例
大多数情况下,此命令是不带参数发出的。 适当的密码用于
当前登录本地系统的人。 票证的生命周期计算为
描述中描述(如果没有更改默认值,则用户为 25 小时
其身份验证数据库条目是在 AFS 3.1 或更高版本中创建的)。
% 日志
密码:
以下示例在 ABC Corporation 的测试单元中将用户身份验证为 admin:
% klog -主体管理员 -cell test.abc.com
密码:
在下文中,发行人要求的票证有效期为 104 小时 30 分钟(4 天 8
小时 30 分钟)。 假设最大票证生命周期允许此生命周期
以及描述中描述的其他因素,令牌的生命周期为 110:44:28,即
下一个最大的可能值。
% klog-生命周期 104:30
密码:
特权 所需
没有
使用 onworks.net 服务在线使用 klog.afs
