rlogin - リモートログイン
rlogin [-8EL] [-ec ] [-A] [-K] [-x] [-PN | -PO] [-f | -F] [-a]
[-l username] [-k realm] hostname
rlogin ユーティリティーは、使用している端末から hostname で指定したリモートマシンへのリモートログインセッションを確立します。ユーザーは、Kerberos V5 を使用して rlogin セッションを Kerberos 認証するかどうかを選択できます。また、転送されるデータも保護できます。
ホスト名のリストは hosts データべースに格納されています。このデータべースは /etc/hosts ファイル、ネットワーク情報サービス (NIS) の hosts マップ、インターネットドメインネームサーバーのいずれかに含まれています。このうちのいくつかに含まれている場合もあります。各ホストには 1 つの正式名 (データべースエントリの最初の名前) があり、さらにいくつかのニックネームが存在することもあります。hostname には、正式ホスト名とニックネームのどちらでも指定できます。
ユーザーは、Kerberos V5 認証を使用して、rlogin セッションをセキュリティー保護することもできます。また、転送されるデータも暗号化できます。rlogin セッションで Kerberos 認証を使用するには、任意の Kerberos 固有オプションを使用します (–A、–PN または –PO、–x、–f または –F、および –k realm)。これらのオプションのうち、–A、–x、–PN または –PO、および –f または –F は、krb5.conf(4) の [appdefaults] セクションにも指定できます。これらのオプションの使用法と期待される動作については、次の「オプション」セクションを参照してください。Kerberos 承認を使用する場合、アカウントの承認は、krb5_auth_rules(5) の規則によって制御されます。この認証が失敗した場合、–PO オプションをコマンド行に明示的に指定するか、krb5.conf(4) 経由で指定している場合にのみ、rhosts を使用する通常の rlogin へのフォールバックが発生します。–PN または –PO、–x、–f または –F、および –k realm オプションは、–A オプションの上位集合です。
リモートの端末タイプは、環境変数 TERM を使用して、ローカルの端末タイプと同じになります。端末またはウィンドウのサイズもリモートシステムにコピーされます (ただし、サーバーがこのオプションをサポートしている場合)。また、サイズの変更も、リモートシステムに反映されます。処理内容は常にリモート側にエコーされるので、遅延が発生している場合以外は、リモートログイン処理であることを意識せずに操作できます。また Control-S や Control-Q を使ったフロー制御、割り込み時の入出力のフラッシュも正しく処理されます。
サポートしているオプションは、次のとおりです。
ネットワーク間で、7 ビットデータではなく 8 ビットデータを送信します。
リモートマシンがパスワードをたずねるようにします。具体的には、ヌルのローカルユーザー名を送信します。
このオプションは、Kerberos 認証を明示的に有効にし、アクセス制御において .k5login ファイルを信用します。サーバー側での in.rlogind(1M) による承認チェックが成功して、なおかつ、.k5login ファイルがアクセス権を許可する場合、ユーザーはパスワードを入力せずにログインすることが許可されます。
リモートホストとの接続を解除する際のエスケープ文字として、標準の文字ではなく c を使用します。
すべての文字が、エスケープ文字として認識されなくなります。
ローカルの証明書 (Kerberos チケット許可チケット) のコピーをリモートシステムに転送します。この証明書は再転送可能ではありません。このチケット許可チケットを転送する必要があるのは、リモートホスト上で Kerberos 認証を使用しているほかのネットワークサービスで自分自身を認証する必要がある場合です。たとえば、リモートホスト上にある自分のホームディレクトリが Kerberos V5 経由で NFS マウントされている場合などです。この場合、ローカルの証明書を転送しなければ、自分のホームディレクトリにアクセスできません。このオプションは、–F オプションと互いに排他の関係にあります。
ローカルの証明書 (Kerberos チケット許可チケット) のコピーをリモートシステムに転送します。この証明書は再転送可能です。–F オプションは、–f オプションが提供する機能の上位集合を提供します。たとえば、–f オプションの場合、リモートホストに接続したあとに、/usr/bin/ftp、/usr/bin/telnet、/usr/bin/rlogin、または /usr/bin/rsh を –f オプションまたは –F オプションで呼び出そうとしても失敗します。つまり、単一のネットワーク署名をほかのシステムにプッシュできません。このオプションは、–f オプションとは相互排他的です。
このオプションにより、rlogin は、krb5.conf(4) で定義されているリモートホストの領域ではなく、指定した realm 内のリモートホスト用のチケットを取得します。
このオプションは、Kerberos 認証を明示的に無効にします。このオプションを使用すると、krb5.conf(4) の autologin 変数をオーバーライドできます。
リモートログイン時のユーザー名として別の名前 (username) を指定します。このオプションを使用しない場合、使用されるリモートユーザー名はローカルユーザー名と同じになります。
litout モードでの rlogin セッションの実行を許可します。
Kerberos の「rcmd」プロトコルの新しいバージョン (–PN) または古いバージョン (–PO) を明示的に要求します。新しいプロトコルは、古いプロトコルにおける多くのセキュリティー問題を回避し、はるかに安全であると考えられますが、古い (MIT/SEAM) サーバーとは相互運用できません。これらのオプションを使うか、krb5.conf(4) を使って明示的に指定していない限り、デフォルトでは、新しいプロトコルが使用されます。古い「rcmd」プロトコルを使用しているときに Kerberos 承認が失敗した場合、Kerberos 承認を使用しない通常の rlogin へのフォールバックが発生します。これは、新しい、より安全な「rcmd」プロトコルを使用しているときには当てはまりません。
rlogin セッションを通過するすべてのデータに DES 暗号化を有効にします。これによって、応答時間が低下し、CPU 使用率が上昇します。
入力した行がチルド (~) で始まっている場合、その行は「エスケープシーケンス」と見なされます。–e オプションを使って、エスケープ文字をチルド以外に変更することもできます。
リモートホストとの接続を切断します。ローカルホストはリモート側に警告を出さずに切断を実行します。この点で通常のログアウトとは異なります。
ログインセッションを中断しますが、ジョブ制御を持つシェルを使用している場合のみです。susp は「中断用の」文字で、通常は CTRL-Z です。tty(1) を参照してください。
ログインの入力側で中断しますが、出力は引き続き表示できます (ジョブ制御を持つシェルを使用する場合のみ)。dsusp は「一時中断用の」文字であり、通常は CTRL-Y です。tty(1) を参照してください。
rlogin がリモートログインセッションを確立するリモートマシンです。
Kerberos 承認を使用する rlogin セッションの場合、各ユーザーは自分のホームディレクトリの .k5login ファイルに、専用の承認リストを持つことができます。このファイルの各行には、形式 principal/instance@realm の Kerberos 主体名が入っている必要があります。~/.k5login ファイルが存在する場合、起点ユーザーが ~/.k5login ファイルに指定された主体の 1 人であると認証された場合にのみ、起点ユーザーのアカウントにアクセス権が付与されます。それ以外の場合は、authenticated-principal-name -> local-user-name マッピング規則を使用して、起点ユーザーの認証された主体名をローカルアカウント名にマッピングできる場合にのみ、起点ユーザーのアカウントにアクセス権が付与されます。.k5login ファイル (アクセス制御用) が処理されるのは、Kerberos 認証が行われるときだけです。
セキュリティー保護されていない rlogin セッションの場合、各リモートマシンで /etc/hosts.equiv という名のファイルを使用できます。このファイルには、そのマシンとユーザー名を共有する、信頼できるホスト名のリストが含まれています。ローカルマシン上とリモートマシン上でのユーザー名が同一のユーザーは、リモートマシンの /etc/hosts.equiv ファイルにリストされているマシンから、パスワードを入力せずに rlogin を実行できます。個々のユーザーは、このような同等名リストを個人用の .rhosts ファイルとして、自身のホームディレクトリに作成できます。このファイル中の各行には 2 つの名前、ホスト名とユーザー名が含まれ、両者はスペースで区切られます。リモートユーザーの .rhosts ファイルの username に指定されているユーザーが hostname に指定されているホストにログインしていれば、そのユーザーはリモートユーザーとしてリモートマシンにパスワードなしでログインできます。ローカルホスト名がリモートマシン上の /etc/hosts.equiv ファイル中に見つからず、ローカルのユーザー名とホスト名がリモートユーザーの .rhosts ファイル中に見つからない場合、リモートマシンからパスワードを要求されます。/etc/hosts.equiv または .rhosts ファイルに記録されているホスト名は、hosts データべースに登録されている正式なホスト名である必要があります。この両ファイル中には、ニックネームは指定できません。
セキュリティー上の理由から、.rhosts ファイルの所有者はリモートユーザーまたは root でなければなりません。
ユーザーアカウントに関する情報が含まれています。
コマンドの hostname バージョンです。
ユーザー名を共有する、信頼できるホスト名が記述されています。
マシンのシャットダウン中にログインしようとするユーザーへのメッセージ。
信頼できるホスト名とユーザー名の組み合わせのプライベートリスト。
アクセスを許可する Kerberos 主体を含むファイル。
Kerberos 構成ファイル。
ホストデータベース。
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
rsh(1), stty(1), tty(1), in.rlogind(1M), hosts(4),hosts.equiv(4), krb5.conf(4), nologin(4), attributes(5), krb5_auth_rules(5)
次のメッセージは、マシンがシャットダウン中で、ログインできないことを表します。
NO LOGINS: System going down in N minutes
hosts.equiv に登録されているシステムのセキュリティーは、少なくともローカルシステムのセキュリティーと 同レベルである必要があります。セキュリティーレベルの低いシステムが hosts.equiv 中に 1 つでも存在していると、システム全体のセキュリティーが損なわれる可能性があります。
ネットワーク情報サービス (NIS) は、以前は Sun Yellow Pages (YP) として知られていました。これらの機能は同等です。名前が異なっているだけです。
この実装では TCP ネットワークサービス以外は使用できません。