rsh o mandato remsh
Finalidad
Ejecuta el mandato especificado en el host remoto o inicia sesión en el host remoto.
Sintaxis
{ rsh | remsh } RemoteHost [ -n ] [ -l Usuario ] [ -f | -F ] [ -k reino ] [ -S ] [ -u ] [ Comando ]
Descripción
- Archivos de acceso
Si no especifica el distintivo -l , se utiliza el nombre de usuario local en el host remoto. Si se especifica -l Usuario , el nombre de usuario especificado se utiliza en el host remoto.
- Utilización de la autenticación estándar
El host remoto sólo permite el acceso si se cumple al menos una de las condiciones siguientes:
- El ID de usuario local no es el usuario root y el nombre del host local se lista como un host equivalente en el archivo /etc/hosts.equiv remoto.
- Si el ID de usuario local es el usuario root o la comprobación de /etc/hosts.equiv no es satisfactoria, el directorio de inicio del usuario remoto debe contener un archivo $HOME/.rhosts que lista el host local y el nombre de usuario.
Aunque puede establecer cualquier permiso para el archivo $HOME/.rhosts , se recomienda que los permisos del archivo .rhosts se establezcan en 600 (sólo lectura y escritura por parte del propietario).
Además de las condiciones anteriores, el mandato rsh también permite el acceso al host remoto si la cuenta de usuario remoto no tiene una contraseña definida. Sin embargo, por razones de seguridad, se recomienda el uso de una contraseña en todas las cuentas de usuario.
- Para la autenticación de Kerberos 5
El host remoto sólo permite el acceso si se cumplen todas las condiciones siguientes:
- El usuario local tiene las credenciales de DCE actuales.
- Los sistemas local y remoto están configurados para la autenticación de Kerberos 5 (en algunos sistemas remotos, este método no es necesario. Es necesario que un daemon esté escuchando en el puerto klogin).
- El sistema remoto acepta las credenciales de DCE como suficientes para acceder a la cuenta remota. Consulte la función usuario_kvalido para obtener más información.
- Ejecución remota de mandatos
Cuando se ejecuta el mandato remoto, al pulsar las secuencias de teclas Interrumpir, Terminar o Abandonar envía la señal correspondiente al proceso remoto. Sin embargo, al pulsar la secuencia de teclas Detener sólo se detiene el proceso local. Normalmente, cuando el mandato remoto termina, el proceso rsh local termina.
Para que los metacaracteres de shell se interpreten en el host remoto, coloque los metacaracteres dentro" "(comillas dobles). De lo contrario, los metacaracteres son interpretados por el shell local.
Al utilizar el mandato rsh , puede crear un enlace a una vía de acceso (en la que tiene permiso para escribir), utilizando un nombre de host especificado por el parámetro HostName como nombre de enlace. Por ejemplo:
ln -s /usr/bin/rsh HostNameUna vez establecido el enlace, puede especificar el parámetro HostName y un mandato especificado por el parámetro Mandato desde la línea de mandatos. El mandato rsh ejecuta de forma remota el mandato en el host remoto. La sintaxis es:
HostName CommandPor ejemplo, si está enlazado a un host remotoopusy desea ejecutar el mandato fecha , especifique:
opus datePuesto que no puede especificar el distintivo -l Usuario , el mandato remoto sólo es satisfactorio si el usuario local tiene una cuenta de usuario en el host remoto. De lo contrario, el mandato rsh devuelve unLogin incorrectmensaje de error. Cuando especifica el parámetro HostName sin un mandato, el mandato rsh llama al mandato rlogin , que inicia sesión en el host remoto. De nuevo, para un inicio de sesión satisfactorio, el usuario local debe tener una cuenta de usuario en el host remoto.
Distintivos
- -a
- Indica que el error estándar del mandato remoto es el mismo que la salida estándar. No se prevé el envío de señales arbitrarias al proceso remoto.
- -f
- Hace que se reenvíen las credenciales. Este distintivo se ignora si Kerberos 5 no es el método de autenticación actual. La autenticación falla si las credenciales de DCE actuales no están marcadas como reenviables.
- -F
- Hace que se reenvíen las credenciales. Además, las credenciales del sistema remoto se marcan como reenviables (lo que permite pasarlas a otro sistema remoto). Este distintivo se ignora si Kerberos 5 no es el método de autenticación actual. La autenticación falla si las credenciales de DCE actuales no están marcadas como reenviables.
- --k reino
- Permite al usuario especificar el dominio de la estación remota si es diferente del dominio de los sistemas locales. Para estos fines, un reino es sinónimo de una célula DCE. Este distintivo se ignora si Kerberos 5 no es el método de autenticación actual.
- --l Usuario
- Especifica que el mandato rsh debe iniciar la sesión en el host remoto como el usuario especificado por la variable Usuario en lugar del nombre de usuario local. Si no se especifica este distintivo, los nombres de usuario local y remoto son los mismos.
- -n
- Especifica que el mandato rsh no debe leer de la entrada estándar.
- -S
- Opción segura, forzar que la dirección IP remota de la conexión de error estándar sea la misma que la conexión de salida estándar.
- -u
- Utilice únicamente la autenticación AIX estándar.
Estado de salida
- 0
- Finalización satisfactoria.
- >0
- Se ha producido un error.
Seguridad
- El ID de usuario local se lista como principal en la base de datos de autenticación y ha realizado un Kinit para obtener un tíquet de autenticación.
- Si existe un archivo $HOME/.klogin , debe estar en el directorio $HOME del usuario local en el sistema de destino. El usuario local y cualquier usuario deben aparecer en la lista o se tienen en cuenta los servicios que se permiten en el mandato rsh . Este archivo realiza una función similar a un archivo .rhosts local. Cada línea de este archivo debe contener un principal con el formato de principal.instance@reino. Si el usuario de origen se autentica como uno de los principales que se nombran en el archivo .klogin , se otorga acceso a la cuenta. Al propietario de la cuenta se le otorga acceso si el archivo .klogin no está presente.
Por motivos de seguridad, cualquier archivo $HOME/.klogin debe ser propiedad del usuario remoto y solo el ID de propietario de AIX tiene acceso de lectura y escritura (permisos = 600) al archivo .klogin .
Atención a los usuarios de RBAC: este mandato puede ejecutar operaciones con privilegios. Sólo los usuarios con privilegios pueden ejecutar operaciones con privilegios. Para obtener más información sobre autorizaciones y privilegios, consulte el apartado Base de datos de mandatos con privilegios en Seguridad. Para obtener una lista de los privilegios y las autorizaciones asociadas a este mandato, consulte el mandato lssecattr o el submandato getcmdattr.
Ejemplos
En los ejemplos siguientes, el host local,host1, se lista en el archivo /etc/hosts.equiv en el host remoto,host2.
- Para comprobar la cantidad de espacio de disco libre en un host remoto, entre:
Cantidad de espacio de disco libre enhost2en el sistema local.rsh host2 df - Para añadir un archivo remoto a otro archivo en el host remoto, coloque los metacaracteres > > entre comillas y especifique:
En el archivo se etiquetarátest1se añade atest2en host remotohost2.rsh host2 cat test1 ">>" test2 - Para añadir un archivo remoto en el sistema principal remoto a un archivo local, omita las comillas y especifique:
El archivo remototest2activadohost2se añade al archivo localtest3.rsh host2 cat test2 >> test3 - Para añadir un archivo remoto a un archivo local y utilizar los permisos de un usuario remoto en el host remoto, entre:rsh host2 -l jane cat test4 >> test5El archivo remototest4se añade al archivo localtest5en el host remoto, con el usuariojane' s permisos.
- Este ejemplo muestra cómo el usuario root puede emitir un rcp en un host remoto cuando la autenticación es Kerberos 4 en el destino y el servidor. El usuario root debe estar en la base de datos de autenticación y ya debe haber emitido Kinit en el host local. El mandato se emite en el host local para copiar el archivo, material, del nodo r05n07 al nodo r05n05 en un SP.
El usuario root establece la variable de entorno KRBTKTFILE en el nombre de un archivo de memoria caché de tíquets temporal y, a continuación, obtiene un tíquet de servicio emitiendo el mandato rcmdtgt . El rcp utiliza el tíquet de servicio para autenticarse desde el host r05n07 al host r05n05./usr/lpp/ssp/rcmd/bin/rsh r05n07 'export KRBTKTFILE=/tmp/rcmdtkt$$; \ /usr/lpp/ssp/rcmd/bin/rcmdtgt; \ /usr/lpp/ssp/rcmd/bin/rcp /tmp/stuff r05n05:/tmp/stuff;'
Archivos
| Elemento | Descripción |
|---|---|
| $HOME/.klogin | Especifica los usuarios remotos que pueden utilizar una cuenta de usuario local. |
| /usr/lpp/ssp/rcmd/bin/rsh | Enlace a AIX Secure /usr/bin/rsh que llama a la rutina SP Kerberos 4 rsh si procede. |
| /usr/lpp/ssp/rcmd/bin/remsh | Enlace a AIX Secure /usr/bin/rsh que llama a la rutina SP Kerberos 4 rsh si procede. |
Información de prerrequisito
Consulte el capítulo sobre seguridad en IBM Parallel System Support Programs for AIX: Administration Guidepara obtener una visión general. Puede acceder a esta publicación en el siguiente sitio web: http://www.rs6000.ibm.com/resource/aix_resource
Consulte la secciónRS/6000 SP Files and Other Technical Information" de IBM Parallel System Support Programs for AIX: Command and Technical Reference para obtener información adicional sobre Kerberos. Puede acceder a esta publicación en el siguiente sitio web: http://www.rs6000.ibm.com/resource/aix_resource