Provided by: manpages-de_4.26.0-1_all 
BEZEICHNUNG
systemd-ask-password - Den Benutzer nach einem Systempasswort fragen
ÜBERSICHT
systemd-ask-password [OPTIONEN…] [NACHRICHT]
BESCHREIBUNG
systemd-ask-password kann zur interaktiven Abfrage eines Passwortes oder einer Passphrase vom Benutzer
mit einer auf der Befehlszeile angegebenen Frageaufforderung verwandt werden. Bei der Ausführung auf
einem TTY wird es das Passwort auf dem TTY abfragen und es auf der Standardausgabe ausgeben. Bei der
Ausführung ohne TTY oder mit --no-tty wird es einen systemweiten oder benutzerbezogenen,
Agenten-basierten Abfragemechanismus verwenden, der es aktiven Benutzern erlaubt, mittels mehreren, unten
aufgeführten Agenten, zu antworten.
Der Zweck dieses Werkzeuges ist die Abfrage von systemweiten oder benutzerbezogenen Passwörtern —
ersteres bedeutet Passwörter, die möglicherweise nicht einem bestimmten Benutzerkonto zugeordnet sind.
Beispiele: Freigabe der Entschlüsselung von Festplatten, wenn diese eingesteckt werden oder der
Systemstart läuft, Eingabe der Passphrase eines SSL-Zertifikates für Web- und VPN-Server.
Bestehende systemweite Agenten sind:
• ein Systemstartpasswortagent, der den Benutzer mittels plymouth(8) nach Passwörtern fragt
• ein Systemstartpasswortagent, der den Benutzer direkt auf der Konsole fragt —
systemd-ask-password-console.service(8)
• ein Agent, der Passworteingaben über wall(1)-Nachrichten anfordert —
systemd-ask-password-wall.service(8)
• ein TTY-Agent, der temporär während Aufrufen von systemctl(1) gestartet wird
• ein Befehlszeilenagent, der temporär gestartet werden kann, um in der Warteschlange befindliche
Passwortanfragen zu bearbeiten — systemd-tty-ask-password-agent --query
Die Beantwortung systemweiter Passwortabfragen ist eine privilegierte Aktion, daher laufen alle oben
aufgeführten Agenten (außer dem letzten) als privilegierter Systemdienst. Der letzte benötigt auch
erweiterte Privilegien, daher sollte er mittels run0(1) oder ähnlichem ausgeführt werden.
Gemäß der Systemd-Passwortagentenspezifikation[1] können zusätzliche Passwortagenten implementiert
werden.
Falls ein Passwort auf einem TTY abgefragt wird, kann der Benutzer TAB drücken, um die Sternchen zu
verstecken, die normalerweise für jedes eingetippte Zeichen angezeigt werden. Drücken der
Rückschritttaste als erste Taste erzielt den gleichen Effekt.
OPTIONEN
Die folgenden Optionen werden verstanden:
--icon=
Gibt einen Icon-Namen neben der Passwortabfrage an, der in allen Agenten verwandt werden kann, die
eine graphische Anzeige unterstützen. Der Icon-Name sollte der XDG-Icon-Bennennungsspezifikation[2]
folgen.
--id=
Gibt eine Kennung für diese Passwortabfrage an. Diese Kennung kann frei gewählt werden und erlaubt
die Erkennung von Abfragen durch beteiligte Agenten. Sie sollte das Untersystem, das die Abfrage
durchführt, und das angegebene Objekt, für das die Abfrage erfolgt, enthalten. Beispiel:
»--id=cryptsetup:/dev/sda5«.
Hinzugefügt in Version 227.
--keyname=
Konfiguriert einen Kernelschlüsselbundnamen als Zwischenspeicher für Passwörter. Falls gesetzt, wird
das Werkzeug versuchen, alle gesammelten Passwörter als Benutzer root in den Kernelschlüsselbund
unter dem Schlüssel mit dem angegebenen Namen zu schieben. Falls mit --accept-cached kombiniert, wird
es auch versuchen, solche zwischengespeicherten Passwörter aus dem Schlüssel in dem Schlüsselbund des
Kernels abzufragen, statt den Benutzer sofort zu befragen. Durch Verwendung dieser Option kann der
Kernelschlüsselbund als effektiver Zwischenspeicher verwandt werden, um das wiederholte Abfragen von
Benutzern nach Passwörtern zu vermeiden, falls es mehrere Objekte gibt, die mit dem gleichen Passwort
entsperrt werden können. Der zwischengespeicherte Schlüssel wird eine gesetzte Zeitüberschreitung von
2,5 Minuten haben, nach der er aus dem Kernelzwischenspeicher dauerhaft gelöscht wird. Beachten Sie,
dass es möglich ist, mehrere Passwörter unter dem gleichen Schlüsselnamen zwischenzuspeichern. In
diesem Fall werden sie als NUL-getrennte Liste von Passwörtern gespeichert. Verwenden Sie keyctl(1),
um auf den zwischengespeicherten Schlüssel mittels des Kernelschlüsselbunds direkt zuzugreifen.
Beispiel: »--keyname=cryptsetup«
Hinzugefügt in Version 227.
--credential=
Konfiguriert ein Anmeldedatum, aus dem das Passwort gelesen werden soll, falls es existiert. Dies
kann in Zusammenhang mit den Einstellungen ImportCredential=, LoadCredential= und SetCredential= in
Unit-Dateien verwandt werden. Siehe systemd.exec(5) für Details. Falls nicht angegeben ist die
Vorgabe »password«. Diese Option hat keine Auswirkung, falls kein Anmeldedatumsverzeichnis an das
Programm übergeben wird (d.h. $CREDENTIALS_DIRECTORY nicht gesetzt ist) oder falls kein Anmeldedatum
mit dem angegebenen Namen existiert.
Hinzugefügt in Version 249.
--timeout=
Gibt die Abfragezeitüberschreitung in Sekunden an. Standardmäßig 90 s. Eine Zeitüberschreitung von 0
wartet unendlich.
--echo=yes|no|masked
Steuert, ob die Eingabe des Benutzers ausgeben wird. Akzeptiert einen logischen Wert oder die
besondere Zeichenkette »masked«, die auch die Vorgabe ist. Falls aktiviert, werden die eingegebenen
Zeichen 1:1 wieder ausgegeben, was für die Abfrage von Benutzernamen und anderen, ungeschützten Daten
nützlich ist. Falls deaktiviert, werden die eingegebenen Zeichen in keiner Weise wieder ausgegeben,
der Benutzer bekommt für seine Eingabe keine Rückmeldung. Falls auf »masked« gesetzt, wird ein
Sternchen (»*«) für jedes eingegebene Zeichen ausgegeben. In diesem Modus wird die Ausgabe
ausgeschaltet, falls der Benutzer die Tabulatortaste (»↹«) betätigt. (Alternativ wird die Ausgabe
auch ausgeschaltet, falls der Benutzer die Rückschritttaste (»⌫«) drückt, bevor andere Daten
eingegeben wurden).
Hinzugefügt in Version 249.
--echo, -e
gleichbedeutend mit --echo=yes, siehe oben.
Hinzugefügt in Version 217.
--emoji=yes|no|auto
Steuert, ob der Anfrage eine Sperre und ein Schlüssel-Emoji (🔐) vorangestellt werden soll, falls die
TTY-Einstellungen dieses erlauben. Die Vorgabe ist »auto«, was standardmäßig »yes« ist, außer
--echo=yes wurde übergeben.
Hinzugefügt in Version 249.
--no-tty
Niemals auf aktuellen TTY nach Passwörtern fragen, selbst falls eines verfügbar ist. Immer das
Agentensystem verwenden.
--accept-cached
Falls übergeben, zwischengespeicherte Passwörter akzeptieren, d.h. vorher eingegebene Passwörter.
--multiple
Bei der Verwendung zusammen mit --accept-cached werden mehrere Passwörter akzeptiert. Dies gibt ein
Passwort pro Zeile aus.
--no-output
Passwörter nicht auf der Standardausgabe ausgeben. Dies ist nützlich, wenn Sie mit --keyname= ein
Passwort im Kernelschlüsselbund speichern möchten, dies aber nicht auf dem Bildschirm oder in den
Protokollen auftauchen soll.
Hinzugefügt in Version 230.
-n
Standardmäßig wird ein Zeilenumbruchzeichen beim Schreiben eines erlangten Passworts auf die
Standardausgabe angehängt. Dies kann mit dem Schalter -n ausgeschaltet werden, ähnlich wie der
Schalter des gleichen Namens beim Befehl echo(1).
Hinzugefügt in Version 249.
--user, --system
Steuert, ob die systemweiten oder benutzerbezogenen Passwort-Agenten abgefragt werden sollen.
Standardmäßig werden beim Aufruf mit Privilegien die systemweiten Agenten abgefragt, ansonsten die
benutzerbezogenen. Diese Option ermöglicht es, das automatische Verhalten außer Kraft zu setzen.
Hinzugefügt in Version 257.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das Programm.
EXIT-STATUS
Bei Erfolg wird 0 zurückgegeben, anderenfalls ein Fehlercode ungleich Null.
SIEHE AUCH
systemd(1), systemd-ask-password-console.service(8), systemd-tty-ask-password-agent(1), keyctl(1),
plymouth(8), wall(1)
ANMERKUNGEN
1. Systemd-Passwortagentenspezifikation
https://systemd.io/PASSWORD_AGENTS/
2. XDG Icon-Benennungsspezifikation
https://standards.freedesktop.org/icon-naming-spec/icon-naming-spec-latest.html
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer.
systemd 257.3 SYSTEMD-ASK-PASSWORD(1)