← Back to branch summary

~hartmans/ubuntu/trusty/krb5/gss-infinite-loop

« back to all changes in this revision

Viewing changes to src/man/kdb5_ldap_util.man

  • Committer: Package Import Robot
  • Author(s): Dmitrijs Ledkovs
  • Date: 2013-11-10 02:20:12 UTC
  • mfrom: (53.1.3 trusty-proposed)
  • Revision ID: package-import@ubuntu.com-20131110022012-b8ojkqhcxos55kln
Tags: 1.11.3+dfsg-3ubuntu2
Add alternate dependency on libverto-libevent1 as that's the package
ABI name in ubuntu.

Show diffs side-by-side

added added

removed removed

Lines of Context:
src/man/kdb5_ldap_util.man
 
1
.TH "KDB5_LDAP_UTIL" "8" " " "1.11.3" "MIT Kerberos"
 
2
.SH NAME
 
3
kdb5_ldap_util \- Kerberos configuration utility
 
4
.
 
5
.nr rst2man-indent-level 0
 
6
.
 
7
.de1 rstReportMargin
 
8
\\$1 \\n[an-margin]
 
9
level \\n[rst2man-indent-level]
 
10
level margin: \\n[rst2man-indent\\n[rst2man-indent-level]]
 
11
-
 
12
\\n[rst2man-indent0]
 
13
\\n[rst2man-indent1]
 
14
\\n[rst2man-indent2]
 
15
..
 
16
.de1 INDENT
 
17
.\" .rstReportMargin pre:
 
18
. RS \\$1
 
19
. nr rst2man-indent\\n[rst2man-indent-level] \\n[an-margin]
 
20
. nr rst2man-indent-level +1
 
21
.\" .rstReportMargin post:
 
22
..
 
23
.de UNINDENT
 
24
. RE
 
25
.\" indent \\n[an-margin]
 
26
.\" old: \\n[rst2man-indent\\n[rst2man-indent-level]]
 
27
.nr rst2man-indent-level -1
 
28
.\" new: \\n[rst2man-indent\\n[rst2man-indent-level]]
 
29
.in \\n[rst2man-indent\\n[rst2man-indent-level]]u
 
30
..
 
31
.\" Man page generated from reStructuredText.
 
32
.
 
33
.SH SYNOPSIS
 
34
.sp
 
35
\fBkdb5_ldap_util\fP
 
36
[\fB\-D\fP \fIuser_dn\fP [\fB\-w\fP \fIpasswd\fP]]
 
37
[\fB\-H\fP \fIldapuri\fP]
 
38
\fBcommand\fP
 
39
[\fIcommand_options\fP]
 
40
.SH DESCRIPTION
 
41
.sp
 
42
kdb5_ldap_util allows an administrator to manage realms, Kerberos
 
43
services and ticket policies.
 
44
.SH COMMAND-LINE OPTIONS
 
45
.INDENT 0.0
 
46
.TP
 
47
.B \fB\-D\fP \fIuser_dn\fP
 
48
Specifies the Distinguished Name (DN) of the user who has
 
49
sufficient rights to perform the operation on the LDAP server.
 
50
.TP
 
51
.B \fB\-w\fP \fIpasswd\fP
 
52
Specifies the password of \fIuser_dn\fP.  This option is not
 
53
recommended.
 
54
.TP
 
55
.B \fB\-H\fP \fIldapuri\fP
 
56
Specifies the URI of the LDAP server.  It is recommended to use
 
57
\fBldapi://\fP or \fBldaps://\fP to connect to the LDAP server.
 
58
.UNINDENT
 
59
.SH COMMANDS
 
60
.SS create
 
61
.INDENT 0.0
 
62
.INDENT 3.5
 
63
\fBcreate\fP
 
64
[\fB\-subtrees\fP \fIsubtree_dn_list\fP]
 
65
[\fB\-sscope\fP \fIsearch_scope\fP]
 
66
[\fB\-containerref\fP \fIcontainer_reference_dn\fP]
 
67
[\fB\-k\fP \fImkeytype\fP]
 
68
[\fB\-kv\fP \fImkeyVNO\fP]
 
69
[\fB\-m|\-P\fP \fIpassword\fP|\fB\-sf\fP \fIstashfilename\fP]
 
70
[\fB\-s\fP]
 
71
[\fB\-r\fP \fIrealm\fP]
 
72
[\fB\-maxtktlife\fP \fImax_ticket_life\fP]
 
73
[\fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP]
 
74
[\fIticket_flags\fP]
 
75
.UNINDENT
 
76
.UNINDENT
 
77
.sp
 
78
Creates realm in directory. Options:
 
79
.INDENT 0.0
 
80
.TP
 
81
.B \fB\-subtrees\fP \fIsubtree_dn_list\fP
 
82
Specifies the list of subtrees containing the principals of a
 
83
realm.  The list contains the DNs of the subtree objects separated
 
84
by colon (\fB:\fP).
 
85
.TP
 
86
.B \fB\-sscope\fP \fIsearch_scope\fP
 
87
Specifies the scope for searching the principals under the
 
88
subtree.  The possible values are 1 or one (one level), 2 or sub
 
89
(subtrees).
 
90
.TP
 
91
.B \fB\-containerref\fP \fIcontainer_reference_dn\fP
 
92
Specifies the DN of the container object in which the principals
 
93
of a realm will be created.  If the container reference is not
 
94
configured for a realm, the principals will be created in the
 
95
realm container.
 
96
.TP
 
97
.B \fB\-k\fP \fImkeytype\fP
 
98
Specifies the key type of the master key in the database.  The
 
99
default is given by the \fBmaster_key_type\fP variable in
 
100
\fIkdc.conf(5)\fP.
 
101
.TP
 
102
.B \fB\-kv\fP \fImkeyVNO\fP
 
103
Specifies the version number of the master key in the database;
 
104
the default is 1.  Note that 0 is not allowed.
 
105
.TP
 
106
.B \fB\-m\fP
 
107
Specifies that the master database password should be read from
 
108
the TTY rather than fetched from a file on the disk.
 
109
.TP
 
110
.B \fB\-P\fP \fIpassword\fP
 
111
Specifies the master database password. This option is not
 
112
recommended.
 
113
.TP
 
114
.B \fB\-r\fP \fIrealm\fP
 
115
Specifies the Kerberos realm of the database.
 
116
.TP
 
117
.B \fB\-sf\fP \fIstashfilename\fP
 
118
Specifies the stash file of the master database password.
 
119
.TP
 
120
.B \fB\-s\fP
 
121
Specifies that the stash file is to be created.
 
122
.TP
 
123
.B \fB\-maxtktlife\fP \fImax_ticket_life\fP
 
124
(\fIgetdate\fP string) Specifies maximum ticket life for
 
125
principals in this realm.
 
126
.TP
 
127
.B \fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP
 
128
(\fIgetdate\fP string) Specifies maximum renewable life of
 
129
tickets for principals in this realm.
 
130
.TP
 
131
.B \fIticket_flags\fP
 
132
Specifies global ticket flags for the realm.  Allowable flags are
 
133
documented in the description of the \fBadd_principal\fP command in
 
134
\fIkadmin(1)\fP.
 
135
.UNINDENT
 
136
.sp
 
137
Example:
 
138
.INDENT 0.0
 
139
.INDENT 3.5
 
140
.sp
 
141
.nf
 
142
.ft C
 
143
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
144
    create \-subtrees o=org \-sscope SUB \-r ATHENA.MIT.EDU
 
145
Password for "cn=admin,o=org":
 
146
Initializing database for realm \(aqATHENA.MIT.EDU\(aq
 
147
You will be prompted for the database Master Password.
 
148
It is important that you NOT FORGET this password.
 
149
Enter KDC database master key:
 
150
Re\-enter KDC database master key to verify:
 
151
.ft P
 
152
.fi
 
153
.UNINDENT
 
154
.UNINDENT
 
155
.SS modify
 
156
.INDENT 0.0
 
157
.INDENT 3.5
 
158
\fBmodify\fP
 
159
[\fB\-subtrees\fP \fIsubtree_dn_list\fP]
 
160
[\fB\-sscope\fP \fIsearch_scope\fP]
 
161
[\fB\-containerref\fP \fIcontainer_reference_dn\fP]
 
162
[\fB\-r\fP \fIrealm\fP]
 
163
[\fB\-maxtktlife\fP \fImax_ticket_life\fP]
 
164
[\fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP]
 
165
[\fIticket_flags\fP]
 
166
.UNINDENT
 
167
.UNINDENT
 
168
.sp
 
169
Modifies the attributes of a realm.  Options:
 
170
.INDENT 0.0
 
171
.TP
 
172
.B \fB\-subtrees\fP \fIsubtree_dn_list\fP
 
173
Specifies the list of subtrees containing the principals of a
 
174
realm.  The list contains the DNs of the subtree objects separated
 
175
by colon (\fB:\fP).  This list replaces the existing list.
 
176
.TP
 
177
.B \fB\-sscope\fP \fIsearch_scope\fP
 
178
Specifies the scope for searching the principals under the
 
179
subtrees.  The possible values are 1 or one (one level), 2 or sub
 
180
(subtrees).
 
181
.TP
 
182
.B \fB\-containerref\fP \fIcontainer_reference_dn\fP Specifies the DN of the
 
183
container object in which the principals of a realm will be
 
184
created.
 
185
.TP
 
186
.B \fB\-r\fP \fIrealm\fP
 
187
Specifies the Kerberos realm of the database.
 
188
.TP
 
189
.B \fB\-maxtktlife\fP \fImax_ticket_life\fP
 
190
(\fIgetdate\fP string) Specifies maximum ticket life for
 
191
principals in this realm.
 
192
.TP
 
193
.B \fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP
 
194
(\fIgetdate\fP string) Specifies maximum renewable life of
 
195
tickets for principals in this realm.
 
196
.TP
 
197
.B \fIticket_flags\fP
 
198
Specifies global ticket flags for the realm.  Allowable flags are
 
199
documented in the description of the \fBadd_principal\fP command in
 
200
\fIkadmin(1)\fP.
 
201
.UNINDENT
 
202
.sp
 
203
Example:
 
204
.INDENT 0.0
 
205
.INDENT 3.5
 
206
.sp
 
207
.nf
 
208
.ft C
 
209
shell% kdb5_ldap_util \-D cn=admin,o=org \-H
 
210
    ldaps://ldap\-server1.mit.edu modify +requires_preauth \-r
 
211
    ATHENA.MIT.EDU
 
212
Password for "cn=admin,o=org":
 
213
shell%
 
214
.ft P
 
215
.fi
 
216
.UNINDENT
 
217
.UNINDENT
 
218
.SS view
 
219
.INDENT 0.0
 
220
.INDENT 3.5
 
221
\fBview\fP [\fB\-r\fP \fIrealm\fP]
 
222
.UNINDENT
 
223
.UNINDENT
 
224
.sp
 
225
Displays the attributes of a realm.  Options:
 
226
.INDENT 0.0
 
227
.TP
 
228
.B \fB\-r\fP \fIrealm\fP
 
229
Specifies the Kerberos realm of the database.
 
230
.UNINDENT
 
231
.sp
 
232
Example:
 
233
.INDENT 0.0
 
234
.INDENT 3.5
 
235
.sp
 
236
.nf
 
237
.ft C
 
238
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
239
    view \-r ATHENA.MIT.EDU
 
240
Password for "cn=admin,o=org":
 
241
Realm Name: ATHENA.MIT.EDU
 
242
Subtree: ou=users,o=org
 
243
Subtree: ou=servers,o=org
 
244
SearchScope: ONE
 
245
Maximum ticket life: 0 days 01:00:00
 
246
Maximum renewable life: 0 days 10:00:00
 
247
Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 
248
.ft P
 
249
.fi
 
250
.UNINDENT
 
251
.UNINDENT
 
252
.SS destroy
 
253
.INDENT 0.0
 
254
.INDENT 3.5
 
255
\fBdestroy\fP [\fB\-f\fP] [\fB\-r\fP \fIrealm\fP]
 
256
.UNINDENT
 
257
.UNINDENT
 
258
.sp
 
259
Destroys an existing realm. Options:
 
260
.INDENT 0.0
 
261
.TP
 
262
.B \fB\-f\fP
 
263
If specified, will not prompt the user for confirmation.
 
264
.TP
 
265
.B \fB\-r\fP \fIrealm\fP
 
266
Specifies the Kerberos realm of the database.
 
267
.UNINDENT
 
268
.sp
 
269
Example:
 
270
.INDENT 0.0
 
271
.INDENT 3.5
 
272
.sp
 
273
.nf
 
274
.ft C
 
275
shell% kdb5_ldap_util \-D cn=admin,o=org \-H
 
276
    ldaps://ldap\-server1.mit.edu destroy \-r ATHENA.MIT.EDU
 
277
Password for "cn=admin,o=org":
 
278
Deleting KDC database of \(aqATHENA.MIT.EDU\(aq, are you sure?
 
279
(type \(aqyes\(aq to confirm)? yes
 
280
OK, deleting database of \(aqATHENA.MIT.EDU\(aq...
 
281
shell%
 
282
.ft P
 
283
.fi
 
284
.UNINDENT
 
285
.UNINDENT
 
286
.SS list
 
287
.INDENT 0.0
 
288
.INDENT 3.5
 
289
\fBlist\fP
 
290
.UNINDENT
 
291
.UNINDENT
 
292
.sp
 
293
Lists the name of realms.
 
294
.sp
 
295
Example:
 
296
.INDENT 0.0
 
297
.INDENT 3.5
 
298
.sp
 
299
.nf
 
300
.ft C
 
301
shell% kdb5_ldap_util \-D cn=admin,o=org \-H
 
302
    ldaps://ldap\-server1.mit.edu list
 
303
Password for "cn=admin,o=org":
 
304
ATHENA.MIT.EDU
 
305
OPENLDAP.MIT.EDU
 
306
MEDIA\-LAB.MIT.EDU
 
307
shell%
 
308
.ft P
 
309
.fi
 
310
.UNINDENT
 
311
.UNINDENT
 
312
.SS stashsrvpw
 
313
.INDENT 0.0
 
314
.INDENT 3.5
 
315
\fBstashsrvpw\fP
 
316
[\fB\-f\fP \fIfilename\fP]
 
317
\fIservicedn\fP
 
318
.UNINDENT
 
319
.UNINDENT
 
320
.sp
 
321
Allows an administrator to store the password for service object in a
 
322
file so that KDC and Administration server can use it to authenticate
 
323
to the LDAP server.  Options:
 
324
.INDENT 0.0
 
325
.TP
 
326
.B \fB\-f\fP \fIfilename\fP
 
327
Specifies the complete path of the service password file. By
 
328
default, \fB/usr/local/var/service_passwd\fP is used.
 
329
.TP
 
330
.B \fIservicedn\fP
 
331
Specifies Distinguished Name (DN) of the service object whose
 
332
password is to be stored in file.
 
333
.UNINDENT
 
334
.sp
 
335
Example:
 
336
.INDENT 0.0
 
337
.INDENT 3.5
 
338
.sp
 
339
.nf
 
340
.ft C
 
341
kdb5_ldap_util stashsrvpw \-f /home/andrew/conf_keyfile
 
342
    cn=service\-kdc,o=org
 
343
Password for "cn=service\-kdc,o=org":
 
344
Re\-enter password for "cn=service\-kdc,o=org":
 
345
.ft P
 
346
.fi
 
347
.UNINDENT
 
348
.UNINDENT
 
349
.SS create_policy
 
350
.INDENT 0.0
 
351
.INDENT 3.5
 
352
\fBcreate_policy\fP
 
353
[\fB\-r\fP \fIrealm\fP]
 
354
[\fB\-maxtktlife\fP \fImax_ticket_life\fP]
 
355
[\fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP]
 
356
[\fIticket_flags\fP]
 
357
\fIpolicy_name\fP
 
358
.UNINDENT
 
359
.UNINDENT
 
360
.sp
 
361
Creates a ticket policy in the directory.  Options:
 
362
.INDENT 0.0
 
363
.TP
 
364
.B \fB\-r\fP \fIrealm\fP
 
365
Specifies the Kerberos realm of the database.
 
366
.TP
 
367
.B \fB\-maxtktlife\fP \fImax_ticket_life\fP
 
368
(\fIgetdate\fP string) Specifies maximum ticket life for
 
369
principals.
 
370
.TP
 
371
.B \fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP
 
372
(\fIgetdate\fP string) Specifies maximum renewable life of
 
373
tickets for principals.
 
374
.TP
 
375
.B \fIticket_flags\fP
 
376
Specifies the ticket flags.  If this option is not specified, by
 
377
default, no restriction will be set by the policy.  Allowable
 
378
flags are documented in the description of the \fBadd_principal\fP
 
379
command in \fIkadmin(1)\fP.
 
380
.TP
 
381
.B \fIpolicy_name\fP
 
382
Specifies the name of the ticket policy.
 
383
.UNINDENT
 
384
.sp
 
385
Example:
 
386
.INDENT 0.0
 
387
.INDENT 3.5
 
388
.sp
 
389
.nf
 
390
.ft C
 
391
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
392
    create_policy \-r ATHENA.MIT.EDU \-maxtktlife "1 day"
 
393
    \-maxrenewlife "1 week" \-allow_postdated +needchange
 
394
    \-allow_forwardable tktpolicy
 
395
Password for "cn=admin,o=org":
 
396
.ft P
 
397
.fi
 
398
.UNINDENT
 
399
.UNINDENT
 
400
.SS modify_policy
 
401
.INDENT 0.0
 
402
.INDENT 3.5
 
403
\fBmodify_policy\fP
 
404
[\fB\-r\fP \fIrealm\fP]
 
405
[\fB\-maxtktlife\fP \fImax_ticket_life\fP]
 
406
[\fB\-maxrenewlife\fP \fImax_renewable_ticket_life\fP]
 
407
[\fIticket_flags\fP]
 
408
\fIpolicy_name\fP
 
409
.UNINDENT
 
410
.UNINDENT
 
411
.sp
 
412
Modifies the attributes of a ticket policy.  Options are same as for
 
413
\fBcreate_policy\fP.
 
414
.sp
 
415
Example:
 
416
.INDENT 0.0
 
417
.INDENT 3.5
 
418
.sp
 
419
.nf
 
420
.ft C
 
421
kdb5_ldap_util \-D cn=admin,o=org \-H
 
422
    ldaps://ldap\-server1.mit.edu modify_policy \-r ATHENA.MIT.EDU
 
423
    \-maxtktlife "60 minutes" \-maxrenewlife "10 hours"
 
424
    +allow_postdated \-requires_preauth tktpolicy
 
425
Password for "cn=admin,o=org":
 
426
.ft P
 
427
.fi
 
428
.UNINDENT
 
429
.UNINDENT
 
430
.SS view_policy
 
431
.INDENT 0.0
 
432
.INDENT 3.5
 
433
\fBview_policy\fP
 
434
[\fB\-r\fP \fIrealm\fP]
 
435
\fIpolicy_name\fP
 
436
.UNINDENT
 
437
.UNINDENT
 
438
.sp
 
439
Displays the attributes of a ticket policy.  Options:
 
440
.INDENT 0.0
 
441
.TP
 
442
.B \fIpolicy_name\fP
 
443
Specifies the name of the ticket policy.
 
444
.UNINDENT
 
445
.sp
 
446
Example:
 
447
.INDENT 0.0
 
448
.INDENT 3.5
 
449
.sp
 
450
.nf
 
451
.ft C
 
452
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
453
    view_policy \-r ATHENA.MIT.EDU tktpolicy
 
454
Password for "cn=admin,o=org":
 
455
Ticket policy: tktpolicy
 
456
Maximum ticket life: 0 days 01:00:00
 
457
Maximum renewable life: 0 days 10:00:00
 
458
Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 
459
.ft P
 
460
.fi
 
461
.UNINDENT
 
462
.UNINDENT
 
463
.SS destroy_policy
 
464
.INDENT 0.0
 
465
.INDENT 3.5
 
466
\fBdestroy_policy\fP
 
467
[\fB\-r\fP \fIrealm\fP]
 
468
[\fB\-force\fP]
 
469
\fIpolicy_name\fP
 
470
.UNINDENT
 
471
.UNINDENT
 
472
.sp
 
473
Destroys an existing ticket policy.  Options:
 
474
.INDENT 0.0
 
475
.TP
 
476
.B \fB\-r\fP \fIrealm\fP
 
477
Specifies the Kerberos realm of the database.
 
478
.TP
 
479
.B \fB\-force\fP
 
480
Forces the deletion of the policy object.  If not specified, the
 
481
user will be prompted for confirmation before deleting the policy.
 
482
.TP
 
483
.B \fIpolicy_name\fP
 
484
Specifies the name of the ticket policy.
 
485
.UNINDENT
 
486
.sp
 
487
Example:
 
488
.INDENT 0.0
 
489
.INDENT 3.5
 
490
.sp
 
491
.nf
 
492
.ft C
 
493
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
494
    destroy_policy \-r ATHENA.MIT.EDU tktpolicy
 
495
Password for "cn=admin,o=org":
 
496
This will delete the policy object \(aqtktpolicy\(aq, are you sure?
 
497
(type \(aqyes\(aq to confirm)? yes
 
498
** policy object \(aqtktpolicy\(aq deleted.
 
499
.ft P
 
500
.fi
 
501
.UNINDENT
 
502
.UNINDENT
 
503
.SS list_policy
 
504
.INDENT 0.0
 
505
.INDENT 3.5
 
506
\fBlist_policy\fP
 
507
[\fB\-r\fP \fIrealm\fP]
 
508
.UNINDENT
 
509
.UNINDENT
 
510
.sp
 
511
Lists the ticket policies in realm if specified or in the default
 
512
realm.  Options:
 
513
.INDENT 0.0
 
514
.TP
 
515
.B \fB\-r\fP \fIrealm\fP
 
516
Specifies the Kerberos realm of the database.
 
517
.UNINDENT
 
518
.sp
 
519
Example:
 
520
.INDENT 0.0
 
521
.INDENT 3.5
 
522
.sp
 
523
.nf
 
524
.ft C
 
525
kdb5_ldap_util \-D cn=admin,o=org \-H ldaps://ldap\-server1.mit.edu
 
526
    list_policy \-r ATHENA.MIT.EDU
 
527
Password for "cn=admin,o=org":
 
528
tktpolicy
 
529
tmppolicy
 
530
userpolicy
 
531
.ft P
 
532
.fi
 
533
.UNINDENT
 
534
.UNINDENT
 
535
.SH SEE ALSO
 
536
.sp
 
537
\fIkadmin(1)\fP
 
538
.SH AUTHOR
 
539
MIT
 
540
.SH COPYRIGHT
 
541
1985-2013, MIT
 
542
.\" Generated by docutils manpage writer.
 
543
.