rlogin [-8EL] [-ec ] [-A] [-K] [-x] [-PN | -PO] [-f | -F] [-a] [-l username] [-k realm] hostname
rlogin 实用程序会在终端与名为 hostname 的远程计算机之间建立一个远程登录会话。用户可选择使用 Kerberos V5 对 rlogin 会话执行 Kerberos 验证,并保护传输的数据。
主机名列在 hosts 数据库中,而后者可以包含在 /etc/hosts 文件、网络信息服务 (NIS) hosts 映射、Internet 域名服务器或以上几项的组合之中。每台主机都有一个正式名称(数据库条目中的第一个名称),也可以有一个或多个别名。正式名称或别名都可以在 hostname 中指定。
用户可选择采用 Kerberos V5 进行验证的安全 rlogin 会话。此外也可以对会话数据进行加密。rlogin 会话可使用以下 Kerberos 特定选项来执行 Kerberos 验证:–A、–PN 或 –PO、–x、–f 或 –F 以及 –k realm。上述部分选项(–A、–x、–PN 或 –PO 以及 –f 或 –F)也可以在 krb5.conf(4) 的 [appdefaults] 部分中指定。这些选项的用法及其预期行为将在下面的“选项”部分中讨论。使用 Kerberos 验证时,帐户授权将通过 krb5_auth_rules(5) 中的规则控制。如果此授权失败,则仅当在命令行上显式使用 –PO 选项,或者在 krb5.conf(4) 中指定了该选项时,才会出现使用 rhosts 回退到常规 rlogin 这一情况。另请注意,–PN 或 –PO、–x、–f 或 –F 以及 –k realm 选项只是 –A 选项的超集。
远程终端类型与环境 TERM 变量中所指定的本地终端类型相同。终端或窗口大小也会复制到远程系统中,前提是服务器支持该选项。大小的更改也会反映出来。所有回显都发生在远程站点,因此远程登录对用户是透明的(延迟除外)。使用 Ctrl-S 和 Ctrl-Q 控制流量以及在中断时刷新输入和输出都会得到正确处理。
支持以下选项:
跨网传递八位数据,而非七位数据。
通过发送一个空本地用户名,强制远程计算机要求用户输入口令。
显式启用 Kerberos 验证,并信任用于访问控制的 .k5login 文件。如果服务器端的 in.rlogind(1M) 成功执行了授权检查,且 .k5login 文件允许访问,则允许用户在不提供口令的情况下登录。
为用来与远程主机断开连接的行指定一个不同的转义符 c。
防止任何字符被识别为转义符。
将本地凭据(Kerberos 票证授予票证)的副本转发给远程系统。这是一个不可转发的票证授予票证。如果需要向远程主机上其他使用 Kerberos 验证的网络服务验证自己的身份,则必须转发一个票证授予票证。例如,您在远程主机上的起始目录是通过 Kerberos V5 挂载的 NFS。在此情况下,如果未转发本地凭据,您将无法访问起始目录。此选项与 –F 选项互斥。
将本地凭据(Kerberos 票证授予票证)的可转发副本转发给远程系统。–F 选项提供的功能是 –f 选项所提供功能的超集。例如,使用 –f 选项时,如果在连接到远程主机之后试图调用带 –f 或 –F 选项的 /usr/bin/ftp、/usr/bin/telnet、/usr/bin/rlogin 或 /usr/bin/rsh,则这些操作会失败。因此,您无法将单网络登录信任用到一个系统以外。此选项与 –f 选项互斥。
使 rlogin 获取用于 realm(而非 krb5.conf(4) 所确定的远程主机的领域)中的远程主机的票证。
此选项会显式禁用 Kerberos 验证。它可用来覆盖 krb5.conf(4) 中的 autologin 变量。
为远程登录指定不同的 username。如果未使用此选项,则所使用的远程用户名与本地用户名相同。
允许 rlogin 会话在 “litout” 模式下运行。
显式请求新版 (–PN) 或旧版 (–PO) Kerberos "rcmd" 协议。新协议避免了旧协议中常见的许多安全问题,安全性大幅提升,但它无法与早期的 (MIT/SEAM) 服务器互操作。缺省情况下会使用新协议,除非使用这些选项或通过使用 krb5.conf(4) 进行了显式指定。使用旧 "rcmd" 协议时,如果 Kerberos 验证失败,系统会回退到常规的非 Kerberos rlogin。使用更安全的新 "rcmd" 协议时不会发生这种情况。
为通过 rlogin 会话的所有数据启用 DES 加密。这可缩短响应时间,并提高 CPU 利用率。
键入的以波浪号字符 (~) 开头的行即“转义序列”。转义符可通过 –e 选项更改。
与远程主机断开连接。与远程端断开连接和注销不同,因为本地主机在断开连接时不会向远程端发送警告信息。
暂停登录会话,但仅在使用具备作业控制功能的 shell 时进行。susp 是“暂停”字符,通常为 Ctrl-Z。请参见 tty(1)。
在登录中途暂停输入,但是仍可看到输出(仅在使用具备作业控制功能的 shell 时)。dsusp 是“延迟暂停”字符,通常为 Ctrl-Y。请参见 tty(1)。
rlogin 建立远程登录会话时所在的远程计算机。
对于使用 Kerberos 验证的 rlogin 会话,每个用户都可在其起始目录中的 .k5login 文件中拥有一个专用验证列表。此文件中的每一行均应包含一个 principal/instance@realm 格式的 Kerberos 主体名称。如果存在一个 ~/.k5login 文件,则当且仅当发起方用户通过了 ~/.k5login 文件中所指定的某个主体的验证时,才会授予其对该帐户的访问权限。否则,当且仅当用户的已验证主体名称可以使用 authenticated-principal-name → local-user-name 映射规则映射至本地帐户名称时,才会授予发起方用户对该帐户的访问权限。.k5login 文件(用于访问控制)在 Kerberos 验证完成后才生效。
对于非安全 rlogin 会话,各个远程计算机可拥有一个名为 /etc/hosts.equiv 的文件,其中包含一个与其共享用户名的可信主机的名称列表。在本地计算机和远程计算机上拥有相同用户名的用户无需输入口令即可从远程计算机的 /etc/hosts.equiv 文件中所列的计算机执行 rlogin 操作。各个用户可使用其起始目录中的 .rhosts 文件建立一个效果类似的专用列表。此文件的每一行都包含两个名称,即主机名和用户名,而且二者由空格隔开。远程用户 .rhosts 文件中的条目允许登录到 hostname 的名为 username 的用户像远程用户一样,无需输入口令即可登录远程计算机。如果远程计算机上的 /etc/hosts.equiv 文件中不含该本地主机的名称,且远程用户的 .rhosts 文件中不含本地用户名和主机名,则远程计算机将提示用户输入口令。/etc/hosts.equiv 和 .rhosts 文件中所列的主机名必须是 hosts 数据库中所列的正式主机名。不可在这些文件中使用别名。
出于安全原因,.rhosts 文件必须由远程用户或 root 用户所有。
包含用户帐户的信息。
面向命令的 hostname 版本。
包含共享用户名的可信主机名列表。
向尝试在计算机关机时登录的用户显示的消息。
可信主机名/用户名组合的专用列表。
包含允许访问的 Kerberos 主体的文件。
Kerberos 配置文件。
主机数据库。
有关下列属性的说明,请参见 attributes(5):
|
rsh(1)、stty(1)、tty(1)、in.rlogind(1M)、hosts(4)、hosts.equiv(4)、krb5.conf(4)、nologin(4)、attributes(5)、krb5_auth_rules(5)
以下消息表明计算机正在关闭,且登录已禁用:
NO LOGINS: System going down in N minutes
将系统列在 hosts.equiv 中时,它必须具有与本地安全相当的安全性。将不安全的系统列在 hosts.equiv 中可能会危及整个系统的安全性。
网络信息服务 (NIS) 以前称作 Sun Yellow Pages (YP)。两者的功能相同。仅名称发生更改。
此实现仅可使用 TCP 网络服务。