AIX命令参考大全，卷 3，i - m

krshd 守护进程

用途

为远程命令执行提供服务器函数。

语法

/usr/sbin/krshd

注：rshd 守护进程正常由 inetd 守护进程启动。它还可从命令行用 SRC 命令来控制。

描述

/usr/sbin/krshd 守护进程是使用 Kerberos 认证的 rcp 和 rsh 命令的服务器。krshd 守护进程提供 shell 命令的远程执行。这些命令基于在可信的主机上来自特权套接字的请求。shell 命令必须有用户认证。krshd 守护进程侦听定义在 /etc/services 文件中的 kshell 套接字。

krshd 守护进程的改变可通过用系统管理界面程序（SMIT）或系统资源控制器（SRC）编辑 /etc/inetd.conf 或 /etc/services 文件来进行。不推荐在命令行输入 krshd。当 krshd 守护进程在 /etc/inetd.conf 文件中没注释时，它由缺省启动。

inetd 守护进程从 /etc/inetd.conf 文件和 /etc/services 文件获取它的信息。

在改变 /etc/inetd.conf 或 /etc/services 文件后，运行 refresh -s inetd 或 kill 1 InetdPID 命令来通知 inetd 守护进程它的配置文件的更改。

服务请求协议

当 krshd 守护进程接受到一个服务请求时，它启动下列协议：

1. krshd 为请求检查源端口号。如果这个端口号不在 0 到 1023 范围，krshd 守护进程终止这个连接。
2. krshd 从套接字读取字符直到一个空字节为止。读取的字符串解释为 ASCII 数（以 10 为基)。如果这个数不是零，krshd 守护进程解释它为用于标准错误的次要流的端口号。创建第二个到客户机主机的指定端口的连接。本地主机上的源端口也在 0 到 1023 范围内。
3. krshd 用初始连接请求的源地址来确定客户机主机的名字。如果这个名字不能确定， krshd 守护进程用客户机地址的点分十进制表示形式。
4. krshd 守护进程从初始套接字检索以下信息：
   • Kerberos 服务票据。
   • 至多 16 字节的以空字符结尾的字符串解释为在客户机主机上的用户的用户名。
   • 另外的以空字符结尾的字符串解释为传到本地服务器主机上的 shell 的命令行。
   • 至多 16 字节的以空字符结尾的字符串解释为用在本地服务器主机上的用户名。
   • 如果这个服务票是 Kerberos 5 票据，这个守护进程将预期一个 Kerberos 5 TGT 或空串。
5. krshd 守护进程试图用以下步骤来确认用户：
   • 如果进入的票据是 Kerberos 5 票据，确保 Kerberos 5 是一个有效的认证方法。同样的，如果来的票据是一个 Kerberos 4 票据，Kerberos 4 认证必须配置。
   • 用本地帐户名称和 DCE 主体来调用 kvalid_user。
6. 一旦 krshd 确认用户，krshd 守护进程在初始连接上返回一个空字节。如果连接是一个 Kerberos 5 票据并且 TGT 被发送，命令行传到 k5dcelogin 命令（升级它到完全 DCE 凭证）。如果 TGT 不被发送或如果连接是一个 Kerberos 4 票据，命令行传到用户的本地登录 shell。shell 然后继承由 krshd 守护进程建立的网络连接。

   krshd 守护进程通过用系统管理界面程序（SMIT) 或更改 /etc/inetd.conf 文件来控制。不推荐在命令行中输入 krshd。

处理 krshd 守护进程

krshd 守护进程是 inetd 守护进程的子服务器，后者是系统资源控制器（SRC) 的子系统。krshd 守护进程是 tcpip SRC 子系统组的成员。用 chauthent 命令将注释／反注释掉在 /etc/inetd.conf 文件中的 kshell 行，并根据是否 Kerberos 5 或 Kerberos 4 被配置／未配置来重新启动 inetd 守护进程。这个守护进程应当用 chauthent/lsauthent 命令来操作。不推荐直接修改 inetd.conf 文件的 kshell 条目。

相关信息

rsh 命令。

inetd 守护进程。

kvalid_user 函数。

/etc/hosts.equiv 文件格式、/etc/inetd.conf 文件格式和 /etc/services 文件格式。

网络概述 在 《AIX 5L V5.2 系统管理指南：通信与网络》.

安全 Rcmds 在 《AIX 5L V5.2 系统用户指南：通信与网络》.