process - 如何为已经运行的进程提供 Kerberos 和 AFS 票证？

Question

我有一个 Linux 服务器，使用 Kerberos 进行用户身份验证，并使用 AFS 进行用户主目录。当我使用可转发的 Kerberos 票证登录计算机时，(我想)PAM 也会处理我的 AFS 身份验证，因此我在登录后会自动访问我的 AFS 主目录。

假设我登录，然后创建一个 screen session 并在其中启动一个应用程序。然后我分离我的 screen session ，并从计算机上注销。我的 Kerberos 票证会自动删除，因此我的 screen session 在后台运行，并且其中运行的应用程序无法再访问我的 AFS 主目录。这是正常现象，而且这样就很好。

下次当我登录到计算机时，如何使用新的 Kerberos 票证“提供”已经运行的 screen session 和其中运行的应用程序(进程本身)，并使其能够再次访问我的 AFS 主目录，而无需需要重新启动吗？

Answer 1

您应该能够附加到 screen session ，在其中创建一个新窗口/“screen ”(使用默认配置，您可以通过按 C-a C-c 来完成此操作)，然后只需运行kinit && aklog。您不需要在现有正在运行的应用程序“内部”运行它或类似的东西；您只需在同一 screen session 中的某个位置运行它即可。之后，您可以分离 screen 并注销，并且 screen session 应该仍然具有您的凭据(直到它们过期；您可以使用 krenew 让它们保持更长时间，但不是永远)。

如果您想知道的话，可以更详细地解释正在发生的事情。我假设您通过 ssh 登录并且正在使用 PAM，但相同的一般过程也适用于其他设置:

当您第一次登录时，PAM 会为您分配一个 PAG(AFS token 的一种容器)，并运行一些类似于 kinit 和 aklog 的内容来为您提供该 PAG 内的 AFS 代币。然后，您的 shell 会在该 PAG 内运行，因此您在该 shell 中运行的所有内容都与该 PAG 及其凭据相关联。其中包括您创建的 screen session 。

当您注销时，PAM 配置会要求销毁您的凭据，这意味着它会销毁与该 PAG 关联的 AFS token 。这就是 screen session 丢失凭据并无法访问您的主目录的原因:该 PAG 的 token 已被销毁。

稍后，如果您再次登录，您将被分配一个新的单独 PAG，并且您将再次获得 AFS token 。旧 screen session 仍与另一个 PAG 关联，即销毁 token 的 PAG。因此，如果您附加到该 screen session ，并在其中的某个位置运行 kinit 和 aklog，这将创建与旧 PAG 关联的新 token (从您第一次使用时起)。然后您可以从 screen session 中分离并注销，并且当前 PAG 中的 token 将被销毁。但 screen session 的 PAG 未受影响，因为 PAM 或其他任何东西都不再知道该 PAG。因此它的 token 将继续有效，直到过期。