这是命令 klog.krb5,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
klog.krb5 - 向 Kerberos 进行身份验证并获得令牌
概要
klog.krb5 [-x[-主要的 <用户 姓名>]
[-密码用户的 密码>] [-细胞 <细胞 姓名>]
[-k <境界>] [-管[-无声]
[-寿命 <票 一生 in 啊[:mm[:ss]]>]
[-setpag[-tmp[-noprdb[-解开[-救命]
klog.krb5 [-x[-公关 <用户 姓名>]
[-pa <用户的 密码>]
[-c <细胞 姓名>]
[-k <境界>] [-pi[-是的]
[-l <票 一生 in 啊[:mm[:ss]]>]
[-se[-t[-n[-u[-h]
商品描述
这个 klog.krb5 命令从 Kerberos KDC 获取 Kerberos v5 票证,并从
票证,一个 AFS 令牌,然后将其存储在缓存管理器中。 缓存管理器保持
内核内存中的令牌并在获得对 AFS 的认证访问时使用它
文件空间。 此命令不会影响本地发行者的身份 (UNIX UID)
文件系统。
默认情况下,命令解释器获取与 AFS 用户名匹配的令牌
发行人的本地用户名。 要指定备用用户,请包括 -主要的 论据。
用户名 -主要的 参数不必出现在本地密码中
文件( / etc / passwd文件 文件或等效文件)。
默认情况下,命令解释器获取本地单元格的令牌,如
AFSCELL 环境变量在命令 shell 中设置或由 /etc/openafs/ThisCell 文件
在本地机器上。 要指定备用单元格,请包括 -细胞 争论。 一个用户
可以同时在多个单元格中拥有令牌,但每个单元格只有一个令牌
连接到客户端机器。 如果用户的凭证结构已经包含一个
所请求单元格的令牌,此命令产生的令牌将替换它。
默认情况下,命令解释器获取本地域的 Kerberos 票证。 到
指定不同的 Kerberos 领域,包括 -k 争论。 Kerberos 域名需要
与 AFS 单元名称不匹配。 klog.krb5 将为主体“afs/细胞”
协调 细胞 是用户请求令牌的单元名称,回退到
主体“afs”,如果该主体不起作用。
此命令产生的令牌的生命周期是以下最小的:
· 发行人指定的生命周期 -寿命 论点,如果该论点是
给定的。
· 记录的“afs/细胞” Kerberos 中的主体
数据库。
· 记录在指定用户的 Kerberos 数据库条目中的最长票证生命周期。
注意事项
默认情况下,该命令不会创建新的进程认证组(PAG); 见
的描述 帕格什 命令以了解 PAG。 如果单元不使用 AFS-
修改登录实用程序,用户必须包括 -setpag 此命令的选项,或发出
帕格什 在此之前的命令,将他们的令牌存储在一个凭证结构中
由 PAG 而非本地 UID 标识。 用户应该意识到 -setpag 将
不适用于某些系统,尤其是最近的 Linux 系统,并且使用 帕格什 is
更可取且更可靠。
当一个凭证结构被本地 UID 识别时,潜在的安全暴露是
本地超级用户“root”可以使用 UNIX su 命令承担任何其他身份
并自动继承与该 UID 关联的令牌。 识别凭证
PAG 的结构使本地超级用户更难(但并非不可能)
获取其他用户的代币。
如果 -密码 使用参数,指定的密码不能以连字符开头,
因为它被解释为另一个选项名称。 使用 -密码 论点不是
在任何情况下都推荐。
默认情况下,可以在正确配置的 NFS 客户端上发出此命令
通过 NFS/AFS Translator 访问 AFS 的机器,假设 NFS 客户端
machine 是受支持的系统类型。 但是,如果翻译机的管理员有
通过包含启用 UID 检查 -uid检查 on 论证 fs 出口 命令,
命令失败并显示类似于以下内容的错误消息:
警告:远程 pioctl 到失败(错误=8)。 . .
由于 pioctl 失败,无法向 AFS 进行身份验证。
启用 UID 检查意味着存储令牌的凭证结构
翻译机必须由与本地 UID 匹配的 UID 标识
将令牌放入凭证结构的过程。 之后 klog.krb5
命令解释器获取 NFS 客户端上的令牌,并将其传递给远程
翻译机上的执行程序守护进程,它使系统调用存储
翻译机上凭证结构中的令牌。 远程执行器一般
作为本地超级用户“root”运行,因此在大多数情况下,它的本地 UID(通常为零)不会
与发布该用户的本地 UID 不匹配 klog.krb5 NFS 客户端上的命令
机。
发出 klog.krb5 NFS 客户端计算机上的命令会造成安全漏洞:
命令解释器通过网络将令牌传递给远程执行程序守护进程
明文模式。
配置
-x 仅为向后兼容而出现。 它以前的功能现在是默认的
此命令的行为。
-主要的 <用户 姓名>
指定要验证的用户名。 如果省略此参数,则默认
value 是本地用户名。
-密码 <用户的 密码>
指定发行人的密码(或由
-主要的 争论)。 省略此参数以使命令解释器提示
密码,在这种情况下,它不会在命令外壳中明显回显。
-细胞 <细胞 姓名>
指定要为其获取令牌的单元格。 在单个登录会话期间
给定的机器,一个用户可以同时在多个单元中进行身份验证,但可以
每个人一次只有一个令牌(也就是说,只能在以下情况下进行身份验证)
一台机器上每个会话的每个单元一个身份)。 缩写是可以接受的
单元格名称为最短形式,以区别于列在中的其他单元格
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 /etc/openafs/CellServDB 发出命令的客户端计算机上的文件。
如果省略此参数,则命令在本地单元格中执行,如定义
·首先,通过环境变量AFSCELL的值。
· 二、在 /etc/openafs/ThisCell 客户端计算机上的文件
命令发出。
-k <境界>
获取门票和代币境界> Kerberos 领域。 如果没有这个选项
给定, klog.krb5 默认使用默认的本地领域。 Kerberos 领域名称
不需要匹配 AFS 单元名称。
-管
禁止所有输出到标准输出流,包括提示和错误
消息。 这 klog.krb5 命令解释器期望从
标准输入流。 不要使用这个参数; 它专为应用程序使用而设计
程序而不是人类用户。
-无声
抑制某些跟踪消息 klog.krb5 命令在
默认为标准输出流。 它仍然报告遇到的主要问题。
-寿命 <票 一生
请求令牌的特定生命周期。 提供几个小时和可选的
分钟和秒的格式 hh[:mm[:ss]。
-setpag
在请求身份验证之前创建进程身份验证组 (PAG)。 这
令牌与新创建的 PAG 相关联。
-tmp
创建 Kerberos 样式的票证文件,而不仅仅是获取令牌。 门票
文件将存储在默认的 Kerberos 票证缓存位置,通常在
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 / tmp目录 本地机器的目录(但取决于 Kerberos 实现
用过的)。
-noprdb
默认情况下, klog.krb5 在保护服务器中查找用户的 AFS ID 并
将令牌与该 AFS ID 相关联。 这在查看输出时很有帮助
命令像 令牌 但不是必需的。 如果给出此选项,则此行为是
压制和 klog.krb5 将令牌存储在通用名称下。 你可能希望这个
例如,如果您在联系 AFS 单元的保护服务器时遇到问题
由于某些原因。
-解开
通常情况下, klog.krb5 使用 AFS 主体的 Kerberos 服务票据作为 AFS
令牌。 如果给出这个选项, klog.krb5 创建不同的、简化的 AFS 令牌
基于服务票证的形式(所谓的“rxkad 2b”令牌)。 通常,这是
没有必要。 但是,如果您使用的是无法处理的旧版 OpenAFS 软件
与作为 Kerberos 服务器的 Active Directory 结合使用的大票证大小,使用
-解开 可以缩小 AFS 令牌大小,以便较旧的软件可以处理更多
容易。
-救命
打印此命令的联机帮助。 所有其他有效选项都将被忽略。
OUTPUT
如果 -tmp 包含标志,以下消息确认 Kerberos 票证缓存
被创建:
将票文件写入 /tmp/krb5cc_1000_rENJoZ
当然,缓存的路径会有所不同。
示例
大多数情况下,此命令是不带参数发出的。 适当的密码用于
当前登录本地系统的人。 票证的生命周期计算为
描述中描述。
% klog.krb5
密码 [电子邮件保护]:
以下示例在 ABC Corporation 的测试单元中将用户身份验证为 admin:
% klog.krb5 -principal admin -cell test.abc.com
密码 [电子邮件保护]:
在下文中,发行人要求的票证有效期为 104 小时 30 分钟(4 天 8
小时 30 分钟)。
% klog.krb5 - 生命周期 104:30
密码 [电子邮件保护]:
特权 所需
没有
使用 onworks.net 服务在线使用 klog.krb5
