管理解説書

kas

目的

kas コマンド・セットの概要

構文

kas コマンド・セットのコマンドは、セル内のデータベース・サーバー・マシンで実行されている認証サーバーへの管理インターフェースです。これらのコマンドを使用すると、認証データベースを保守したり、クライアント・アプリケーションが AFS データおよび他のサービスにアクセスするために AFS サーバーに渡す必要がある認証チケットを提供することができます。

kas コマンド・セットには、いくつかの種類があります。

パスワードを含む、認証データベースの項目を作成、変更、テストおよび削除するコマンド: kas create、 kas delete、kas examine、kas list、 kas setfields、kas setkey、kas setpassword、および kas unlock
トークンおよびサーバー・チケットを作成、削除およびテストするコマンド: kas forgetticket、 kas listtickets、kas noauthentication、および kas stringtokey
対話モードに切り替えるコマンド: kas interactive
認証サーバーのオペレーションをトレースするコマンド: kas statistics
ヘルプを呼び出すコマンド: kas apropos および kas help

認証データベースの情報は機密性が高いため、認証サーバーは、チケット獲得サービスが生成した標準のトークンではなく、kas コマンドの発行者を直接認証します。管理特権を必要とする kas コマンドは、パスワードを要求するプロンプトを出します。この結果、チケットは、発行者の最大チケット存続時間または認証サーバーのチケット許可サービスが短くない限り 6 時間有効です。

一連の kas コマンドを発行するときに、パスワードを繰り返し入力しなくても済むようにするには、 kas interactive コマンドを発行して対話モード にしてから、操作コードを付けずに kas と入力するか、または kas に続けてアットマーク (@; 例は kas smith.admin@abc.com) を入力し、ユーザー名とセル名を分けてください。パスワードを要求するプロンプトを出すと、認証サーバーは、対話式セッションの間に発行されたすべてのコマンドのトークンを受け入れます。対話モードの切り替え用の各メソッドをいつ使用するか、およびセッションの切り替えの効果については、 kas interactive コマンドの解説ページを参照してください。

認証サーバーは、サーバーを実行するマシンのローカル・ディスク上に 2 つのデータベースを保守します。

認証データベース (/usr/afs/db/kaserver.DB0) は、暗号化キーで暗号化されたパスワードなど、ユーザーおよびサーバーに対して AFS 認証サービスを提供するために使用される情報を保管します。データベース項目の情報については、kas examine コマンドの解説ページを参照してください。
ローカル認証サーバーに無効なパスワード入力を行った回数が記録されている補助ファイル。(デフォルトでは、/usr/afs/local/kaauxdb です。) 認証サーバーがこのファイルを使用して、連続する認証エラーに制限を設定する方法については、kas setfields コマンドの解説ページを参照してください。ファイルの代替ディレクトリーを指定する場合には、 kaserver コマンドに -localfiles 引き数を使用してください。

オプション

kas コマンド・セットの多くのコマンドでは、以下の引き数およびフラグを使用することができます。(対話モードでは入力できないコマンドもあります。これらのコマンドは、対話モードに入ると、指定された情報に接続します。この情報は対話モードを終了するまで変更されません。) 各コマンドの解説ページにも説明はありますが、ここでは詳しく説明します。

-admin_username

コマンド実行時の認証サーバーによる認証で使用されるユーザー ID を指定します。この引き数が省略された場合、 kas コマンド・インタープリターは、発行者がログオンしたローカル・マシンの中で識別のための認証を要求します。この引き数は、-noauth フラグと一緒に使用してはなりません。

-cell <cell name>

コマンドを実行するセルの名前を示します。ローカル・マシン上の /usr/vice/etc/CellServDB ファイルにある他の項目と区別できる場合には、セル名の省略形を使用することができます。 -cell 引き数が省略されると、コマンド・インタープリターは、次の内容を順に読み込み、ローカル・セルの名前を判別します。

AFSCELL 環境変数値
ローカル /usr/vice/etc/ThisCell ファイル

-cell 引き数は、対話モードのコマンドでは使用できません。 kas コマンド・インタープリターが対話モードになっているときに定義されるセルは、対話セッション中に発行されるすべてのコマンドに適用されます。

-help

標準出力ストリームにコマンドのオンライン・ヘルプ・メッセージを出力します。このフラグは、コマンドの他のオプションと一緒に使用してはなりません。このフラグを使用すると、コマンド・インタープリターは、他のすべての引き数およびフラグを無視し、ヘルプ・メッセージの出力だけを行います。

-noauth

認証サーバーが、コマンドの発行者を非特権ユーザー anonymous として扱い、認証されていない認証サーバーへの接続を確立します。サーバー・マシン上で許可検査ができない場合 (ファイル・サーバー・マシンのインストレーションや bos setauth コマンドが通常以外の環境で使用された場合) にだけ有効です。通常の環境では、認証サーバーは、大半の kas コマンドを特権ユーザーだけに許可します。-noauth フラグが指定されていても、このようなアクションの実行は許可しません。このフラグは、-admin_username および -password_for_admin 引き数と一緒に使用してはなりません。

-password_for_admin

コマンド発行者のパスワードを指定します。パスワードがコマンド・シェルにそのまま表示されてしまうため、この引き数は省略して、プロンプトでパスワードを入力することをお勧めします。この引き数は、-noauth フラグと一緒に使用してはなりません。

-servers

ローカル /usr/vice/etc/CellServDB ファイルにリストされた各マシンではなく、指定されたデータベース・サーバー・マシンで実行する認証サーバーとの接続を確立します。いずれの場合も、 kas コマンド・インタープリターは、ランダムにマシンを選択して、後続のコマンドを実行します。ローカル・ネーム・サービスが一意的に識別できる範囲であれば、マシン名を短くすることができます。

必要となる特権

多くの kas コマンドでは、コマンドの発行者は、その認証データベースの項目に ADMIN フラグがセットされていなければなりません。(kas setfieldsコマンドを使用すると、フラグをオンにすることができます。)

関連情報

CellServDB (クライアント・バージョン)

kaserver.DB0 および kaserver.DBSYS1