← Back to branch summary

~ubuntu-branches/ubuntu/utopic/krb5/utopic

« back to all changes in this revision

Viewing changes to .pc/debian-local/0002-Debian-manpage-patch.patch/src/kadmin/server/kadmind.M

  • Committer: Package Import Robot
  • Author(s): Dmitrijs Ledkovs
  • Date: 2013-11-10 02:20:12 UTC
  • mfrom: (53.1.3 trusty-proposed)
  • Revision ID: package-import@ubuntu.com-20131110022012-b8ojkqhcxos55kln
Add alternate dependency on libverto-libevent1 as that's the package
ABI name in ubuntu.

Show diffs side-by-side

added added

removed removed

Lines of Context:
.pc/debian-local/0002-Debian-manpage-patch.patch/src/kadmin/server/kadmind.M
1
 
.TH KADMIND 8
2
 
.SH NAME
3
 
kadmind \- KADM5 administration server
4
 
.SH SYNOPSIS
5
 
.B kadmind
6
 
[\fB\-x\fP \fIdb_args\fP] [\fB-r\fP \fIrealm\fP] [\fB\-m\fP] [\fB\-nofork\fP] [\fB\-port\fP
7
 
\fIport-number\fP]
8
 
    [\fB\-P\fP \fIpid_file\fP]
9
 
.SH DESCRIPTION
10
 
This command starts the KADM5 administration server.  If the database is db2, 
11
 
the administration server runs on the master Kerberos server, which stores the KDC
12
 
principal database and the KADM5 policy database. If the database is LDAP,
13
 
the administration server and the KDC server need not run on the same machine.  
14
 
.B Kadmind
15
 
accepts remote requests to administer the information in these
16
 
databases.  Remote requests are sent, for example, by
17
 
.IR kadmin (8)
18
 
and the
19
 
.IR kpasswd (1)
20
 
command, both of which are clients of
21
 
.BR kadmind .
22
 
.PP
23
 
.B kadmind
24
 
requires a number of configuration files to be set up in order
25
 
for it to work:
26
 
.TP "\w'kdc.conf\ \ 'u"
27
 
kdc.conf
28
 
The KDC configuration file contains configuration information for the KDC
29
 
and the KADM5 system.  
30
 
.B Kadmind
31
 
understands a number of variable settings in this file, some of which are
32
 
mandatory and some of which are optional.  See the CONFIGURATION VALUES
33
 
section below.
34
 
.TP
35
 
keytab
36
 
.B Kadmind
37
 
requires a keytab containing correct entries for the 
38
 
.I kadmin/admin
39
 
and
40
 
.I kadmin/changepw
41
 
principals for every realm that kadmind will answer requests for.  The
42
 
keytab can be created with the
43
 
.IR kadmin (8)
44
 
client.  The location of the keytab is determined by the
45
 
.I admin_keytab
46
 
configuration variable (see CONFIGURATION VALUES).
47
 
.TP
48
 
ACL file
49
 
.BR Kadmind 's
50
 
ACL (access control list) tells it which principals are allowed to
51
 
perform KADM5 administration actions.  The path of the ACL file is
52
 
specified via the acl_file configuration variable (see CONFIGURATION
53
 
VALUES).  The syntax of the ACL file is specified in the ACL FILE SYNTAX
54
 
section below.
55
 
.PP
56
 
After the server begins running, it puts itself in the background and
57
 
disassociates itself from its controlling terminal.
58
 
.PP
59
 
kadmind can be configured for incremental database propagation.
60
 
Incremental propagation allows slave KDC servers to receive principal
61
 
and policy updates incrementally instead of receiving full dumps of
62
 
the database.  This facility can be enabled in the
63
 
.I kdc.conf
64
 
file with the
65
 
.I iprop_enable
66
 
option.  See the
67
 
.I kdc.conf
68
 
documentation for other options for tuning incremental propagation
69
 
parameters.  Incremental propagation requires the principal
70
 
"kiprop/MASTER@REALM" (where MASTER is the master KDC's canonical host
71
 
name, and REALM the realm name) to be registered in the database.
72
 
 
73
 
.SH OPTIONS
74
 
.TP 
75
 
\fB\-x\fP \fIdb_args\fP
76
 
specifies the database specific arguments.
77
 
 
78
 
Options supported for LDAP database are:
79
 
.sp 
80
 
.nf 
81
 
.RS 12
82
 
\-x nconns=<number_of_connections>
83
 
.fi
84
 
specifies the number of connections to be maintained per LDAP server.
85
 
 
86
 
.nf
87
 
\-x host=<ldapuri>
88
 
specifies the LDAP server to connect to by a LDAP URI.
89
 
 
90
 
\-x binddn=<binddn>
91
 
.fi
92
 
specifies the DN of the object used by the administration server to bind to the LDAP server. 
93
 
This object should have the read and write rights on the realm container, principal container
94
 
and the subtree that is referenced by the realm.
95
 
 
96
 
\-x bindpwd=<bind_password>
97
 
.fi
98
 
specifies the password for the above mentioned binddn. It is recommended not to use this option.
99
 
Instead, the password can be stashed using the stashsrvpw command of kdb5_ldap_util.
100
 
.RE
101
 
.fi
102
 
.TP
103
 
\fB\-r\fP \fIrealm\fP
104
 
specifies the default realm that kadmind will serve; if it is not
105
 
specified, the default realm of the host is used.  
106
 
.B kadmind
107
 
will answer requests for any realm that exists in the local KDC database
108
 
and for which the appropriate principals are in its keytab.
109
 
.TP
110
 
.B \-m
111
 
specifies that the master database password should be fetched from the
112
 
keyboard rather than from a file on disk.  Note that the server gets the
113
 
password prior to putting itself in the background; in combination with
114
 
the -nofork option, you must place it in the background by hand.
115
 
.TP
116
 
.B \-nofork
117
 
specifies that the server does not put itself in the background and does
118
 
not disassociate itself from the terminal.  In normal operation, you
119
 
should always allow the server place itself in the background.
120
 
.TP
121
 
\fB\-port\fP \fIport-number\fB
122
 
specifies the port on which the administration server listens for
123
 
connections.  The default is is controlled by the 
124
 
.I kadmind_port
125
 
configuration variable (see below).
126
 
.TP
127
 
\fB\-P\fP \fIpid_file\fP
128
 
specifies the file to which the PID of
129
 
.B kadmind
130
 
process should be written to after it starts up.  This can be used to
131
 
identify whether
132
 
.B kadmind
133
 
is still running and to allow init scripts to stop the correct process.
134
 
.SH CONFIGURATION VALUES
135
 
.PP
136
 
In addition to the relations defined in kdc.conf(5), kadmind
137
 
understands the following relations, all of which should
138
 
appear in the [realms] section:
139
 
.TP
140
 
acl_file
141
 
The path of kadmind's ACL file.  Mandatory.  No default.
142
 
.TP
143
 
dict_file
144
 
The path of kadmind's password dictionary.  A principal with any
145
 
password policy will not be allowed to select any password in the
146
 
dictionary.  Optional.  No default.
147
 
.TP
148
 
admin_keytab
149
 
The name of the keytab containing entries for the principals
150
 
.I kadmin/admin
151
 
and
152
 
.I kadmin/changepw
153
 
in each realm that
154
 
.B kadmind
155
 
will serve.  The default is the value of the 
156
 
.SM KRB5_KTNAME
157
 
environment variable, if defined.  Mandatory.
158
 
.TP
159
 
kadmind_port
160
 
The
161
 
.SM TCP
162
 
port on which
163
 
.B kadmind
164
 
will listen.  The default is 749.
165
 
.SH ACL FILE SYNTAX
166
 
.PP
167
 
The ACL file controls which principals can or cannot perform which
168
 
administrative functions.  For operations that affect principals, the
169
 
ACL file also controls which principals can operate on which other
170
 
principals.  This file can contain comment lines, null lines or lines
171
 
which contain ACL entries.  Comment lines start with the sharp sign
172
 
(\fB\&#\fP) and continue until the end of the line.  Lines containing ACL
173
 
entries have the format of
174
 
.B principal
175
 
.I whitespace
176
 
.B operation-mask
177
 
[\fIwhitespace\fP \fBoperation-target\fP]
178
 
.PP
179
 
Ordering is important.  The first matching entry is the one which will
180
 
control access for a particular principal on a particular principal.
181
 
.PP
182
 
.IP principal
183
 
may specify a partially or fully qualified Kerberos version 5
184
 
principal name.  Each component of the name may be wildcarded using
185
 
the asterisk (
186
 
.B *
187
 
) character.
188
 
.IP operation-target
189
 
[Optional] may specify a partially or fully qualified Kerberos version 5
190
 
principal name.  Each component of the name may be wildcarded using the
191
 
asterisk (
192
 
.B *
193
 
) character.
194
 
.IP operation-mask
195
 
Specifies what operations may or may not be performed by a principal
196
 
matching a particular entry.  This is a string of one or more of the
197
 
following list of characters or their upper-case counterparts.  If the
198
 
character is upper-case, then the operation is disallowed.  If the
199
 
character is lower-case, then the operation is permitted.
200
 
.RS
201
 
.TP 5
202
 
.B a
203
 
[Dis]allows the addition of principals or policies in the database.
204
 
.sp -1v
205
 
.TP
206
 
.B d
207
 
[Dis]allows the deletion of principals or policies in the database.
208
 
.sp -1v
209
 
.TP
210
 
.B m
211
 
[Dis]allows the modification of principals or policies in the database.
212
 
.sp -1v
213
 
.TP
214
 
.B c
215
 
[Dis]allows the changing of passwords for principals in the database.
216
 
.sp -1v
217
 
.TP
218
 
.B i
219
 
[Dis]allows inquiries to the database.
220
 
.sp -1v
221
 
.TP
222
 
.B l
223
 
[Dis]allows the listing of principals or policies in the database.
224
 
.sp -1v
225
 
.TP
226
 
.B p
227
 
[Dis]allows the propagation of the principal database.
228
 
.sp -1v
229
 
.TP
230
 
.B x
231
 
Short for
232
 
.IR admcil .
233
 
.sp -1v
234
 
.TP
235
 
.B \&*
236
 
Same as
237
 
.BR x .
238
 
.RE
239
 
Some examples of valid entries here are:
240
 
.TP
241
 
.I user/instance@realm adm
242
 
A standard fully qualified name.  The
243
 
.B operation-mask
244
 
only applies to this principal and specifies that [s]he may add,
245
 
delete or modify principals and policies, but not change anybody
246
 
else's password.
247
 
.TP
248
 
.I user/instance@realm cim service/instance@realm
249
 
A standard fully qualified name and a standard fully qualified target.  The
250
 
.B operation-mask
251
 
only applies to this principal operating on this target and specifies that
252
 
[s]he may change the target's password, request information about the
253
 
target and modify it.
254
 
.TP
255
 
.I user/*@realm ac
256
 
A wildcarded name.  The
257
 
.B operation-mask
258
 
applies to all principals in realm "realm" whose first component is
259
 
"user" and specifies that [s]he may add principals and change
260
 
anybody's password.
261
 
.TP
262
 
.I user/*@realm i */instance@realm
263
 
A wildcarded name and target.  The
264
 
.B operation-mask
265
 
applies to all principals in realm "realm" whose first component is
266
 
"user" and specifies that [s]he may perform
267
 
inquiries on principals whose second component is "instance" and realm
268
 
is "realm".
269
 
.SH FILES
270
 
.TP "\w'<dbname>.kadm5.lock\ 'u"
271
 
principal.db
272
 
default name for Kerberos principal database
273
 
.TP
274
 
<dbname>.kadm5
275
 
KADM5 administrative database.  (This would be "principal.kadm5", if you
276
 
use the default database name.)  Contains policy information.
277
 
.TP
278
 
<dbname>.kadm5.lock
279
 
lock file for the KADM5 administrative database.  This file works
280
 
backwards from most other lock files.  I.e.,
281
 
.B kadmin
282
 
will exit with an error if this file does
283
 
.I not
284
 
exist.
285
 
.TP
286
 
.B Note:
287
 
The above three files are specific to db2 database.
288
 
.TP
289
 
kadm5.acl
290
 
file containing list of principals and their
291
 
.B kadmin
292
 
administrative privileges.  See above for a description.
293
 
.TP
294
 
kadm5.keytab
295
 
keytab file for
296
 
.I kadmin/admin
297
 
principal.
298
 
.TP
299
 
kadm5.dict
300
 
file containing dictionary of strings explicitly disallowed as
301
 
passwords.
302
 
.SH SEE ALSO
303
 
kpasswd(1), kadmin(8), kdb5_util(8), kadm5_export(8), kadm5_import(8),
304
 
kdb5_ldap_util(8)
305