← Back to branch summary

~ubuntu-branches/ubuntu/saucy/lcmaps-plugins-voms/saucy

« back to all changes in this revision

Viewing changes to .pc/lcmaps-voms-poolaccount-manpage.patch/doc/lcmaps_voms_poolaccount.mod.8

  • Committer: Package Import Robot
  • Author(s): Dennis van Dok
  • Date: 2012-11-06 00:50:24 UTC
  • Revision ID: package-import@ubuntu.com-20121106005024-79sceptpdifzio5i
Tags: 1.5.5-2
* Add a patch to prevent warnings from 'man'
* Updated the copyright format

Show diffs side-by-side

added added

removed removed

Lines of Context:
.pc/lcmaps-voms-poolaccount-manpage.patch/doc/lcmaps_voms_poolaccount.mod.8
 
1
.\" In .TH, FOO should be all caps, SECTION should be 1-8, maybe w/ subsection
 
2
.\" other parms are allowed: see man(7), man(1)
 
3
.\"
 
4
.\" This template provided by Tom Christiansen <tchrist@jhereg.perl.com>.
 
5
.\" 
 
6
.TH LCMAPS_VOMS_POOLACCOUNT.MOD 8 "March 14, 2012" "Stichting FOM/Nikhef" "Site Access Control"
 
7
.SH NAME
 
8
lcmaps_voms_poolaccount.mod \- LCMAPS plugin to switch user identity based on VOMS credentials by pool accounts
 
9
.SH SYNOPSIS
 
10
.nh
 
11
.ad l
 
12
.B lcmaps_voms_poolaccount.mod
 
13
.RB [ -gridmapfile
 
14
.IR gridmapfile ]
 
15
.RB [ -gridmapdir
 
16
.IR gridmapdir ]
 
17
.RB [ --add-primary-gid-from-mapped-account ]
 
18
.RB [ --do-not-add-primary-gid-from-mapped-account ]
 
19
.RB [ --add-primary-gid-as-secondary-gid-from-mapped-account ]
 
20
.RB [ --add-secondary-gids-from-mapped-account ]
 
21
.RB [ --do-not-require-primary-gid ]
 
22
.RB [ --require-primary-gid ]
 
23
.RB [ -override_inconsistency ]
 
24
.RB [ -max_mappings_per_credential 
 
25
.IR max mappings per credential ]
 
26
.RB [ -strict_poolprefix_match 
 
27
.IR yes_or_no ]
 
28
.hy
 
29
.ad b
 
30
.SH DESCRIPTION
 
31
This VOMS poolaccount acquisition plugin is a 'VOMS-aware' modification of the
 
32
\fBlcmaps_poolaccount.mod.8\fR plugin.  The plugin tries to find a local
 
33
account (more specifically a UserID) based on the VOMS information that has
 
34
available from the LCMAPS, in particular the Fully Qualified Attribute Names
 
35
(FQAN). The account is acquired from an account pool. The accounts in the account pool must exist on the system, either locally or through a centralized account database, e.g. LDAP.
 
36
 
 
37
The \fBgridmapdir\fR directory is going to be used as a persistent and open mapping database. A pool is defined as being a set of accounts following a particular pattern in their naming, i.e. pool001 or atlas001. In the directory the plug-in will make a new filename build-up of the Subject-DN of the user, in URL-encode form, followed by the name of the Unix groups that are already mapped by other plug-ins.
 
38
 
 
39
Example showing the output of ls -li:
 
40
 
 
41
1836080 -rw-r--r-- 2 root root %2fdc%3dorg%2fdc%3dterena%2fdc%3dtcs%2fc%3dnl%2fo%3dnikhef%2fcn%3doscar%20koeroo%20okoeroo%40nikhef%2enl:pool:group004
 
42
1836080 -rw-r--r-- 2 root root pool003
 
43
 
 
44
This filename is hardlinked to the mapped accountname. Creating this hardlink is designed to be an atomic operation and verified to work on large installations serving multiple services from one NFS-share.
 
45
 
 
46
The VOMS credentials need to be available from the LCMAPS framework.
 
47
.SH  OPTIONS
 
48
.TP
 
49
.BI "-gridmapfile " gridmapfile
 
50
This file must contain FQANs to (local) user account names.
 
51
If this option is set, it will override the default path of the
 
52
gridmapfile.  It is advised to use an absolute path to the gridmapfile
 
53
to avoid usage of the wrong file(path).
 
54
 
 
55
.TP
 
56
.BI "-gridmapdir " gridmapdir
 
57
A directory used for the mapping database.
 
58
 
 
59
.TP
 
60
.BI "--add-primary-gid-from-mapped-account"
 
61
After the account is mapped, add the primary Group ID from the passwd-file/LDAP of the mapped account as a part of the mapping result. Default is to not add the primary Group ID.
 
62
 
 
63
.TP
 
64
.BI "--do-not-add-primary-gid-from-mapped-account"
 
65
After the account is mapped, explicity avoid adding the primary Group ID from the passwd-file/LDAP of the mapped account as a part of the mapping result.. Default is to not add the primary Group ID.
 
66
 
 
67
.TP
 
68
.BI "--add-primary-gid-as-secondary-gid-from-mapped-account"
 
69
After the account is mapped, add the primary Group ID from the passwd-file/LDAP of the mapped account as a secondary Group ID as a part of the mapping result.
 
70
 
 
71
.TP
 
72
.BI "--add-secondary-gids-from-mapped-account"
 
73
After the account is mapped, add the secondary Group ID from the groups-file/LDAP of the mapped account as a secondary Group ID(s) as a part of the mapping result.
 
74
 
 
75
.TP
 
76
.BI "--do-not-require-primary-gid"
 
77
This option will inspect the LCMAPS mapping store and fail enforce the existance of a primary Group ID prior to running this plug-in. When enabled the plug-in will ignore the absence of the primary Group ID prior to its own mapping sequences.
 
78
This plugin or the next plug-in must map the user's credentials to a primary Group ID in an LCMAPS plug-in exexexcution policy.
 
79
Default is: do not require a primary GID.
 
80
 
 
81
.TP
 
82
.BI "--require-primary-gid"
 
83
This option will inspect the LCMAPS mapping store and fail enforce the existance of a primary Group ID prior to running this plug-in. When enabled the plug-in will fail before doing anything on the grounds of the primary Group ID inexistence. The solution is to make sure that another plug-in is ensured to map the user's credentials to a primary Group ID.
 
84
Default is: do not require a primary GID.
 
85
 
 
86
 
 
87
.TP
 
88
.BI "-override_inconsistency"
 
89
If the poolaccount is mapped from an URL-encoded Subject DN and Unix Group names to an account, and when the gridmapfile states that this user needs to move to another pool, then the plug-in will remap the user to the new pool. Without this option the plug-in will fail if an existing mapping for the user credentials exist, but do not map the configured mapping pool.
 
90
 
 
91
.TP
 
92
.BI "-max_mappings_per_credential " max_mappings_per_credential
 
93
This feature is depricated. It was intended to work together with the Globus Dynamic Account Service/Workspace Service.
 
94
This value indicates the maximum number of accounts a user, or more
 
95
specifically a set of credentials (=DN + FQANS), can be mapped to.  Normally
 
96
this number is 1.  But if each job should run under its own account the number
 
97
should be increased.  The leasename (or poolindex) in this case looks like:
 
98
 
 
99
        \fBurl_encoded(<DN>):gid1[:gid2[:gid3[...]]]:mapcount=<mapnumber>)\fR
 
100
 
 
101
.TP
 
102
.BI "-strict_poolprefix_match " yes/no
 
103
If this is set to 'yes', a line in the gridmapfile like \fB<FQAN> .pool\fR will
 
104
result in accounts matching the regexp \fBpool[0-9]+\fR. Otherwise it will be
 
105
allowed to match \fBpool.*\fR (legacy behaviour).
 
106
 
 
107
 
 
108
 
 
109
.SH "RETURN VALUES"
 
110
.TP
 
111
.B LCMAPS_MOD_SUCCESS
 
112
Success.
 
113
.TP
 
114
.B LCMAPS_MOD_FAIL
 
115
Failure.
 
116
.SH BUGS
 
117
Please report any errors to the Nikhef Grid Middleware Security Team
 
118
<grid-mw-security-support@nikhef.nl>.
 
119
.SH "SEE ALSO"
 
120
.BR lcmaps.db (5), 
 
121
.BR lcmaps (3).
 
122
.SH AUTHORS
 
123
LCMAPS and the LCMAPS plug-ins were written by the Grid Middleware Security Team 
 
124
<grid-mw-security@nikhef.nl>.