crypto/dist/heimdal/kadmin/kadmind.8

   1 .\" Copyright (c) 2002 - 2004 Kungliga Tekniska Högskolan
   2 .\" (Royal Institute of Technology, Stockholm, Sweden).
   3 .\" All rights reserved.
   4 .\"
   5 .\" Redistribution and use in source and binary forms, with or without
   6 .\" modification, are permitted provided that the following conditions
   7 .\" are met:
   8 .\"
   9 .\" 1. Redistributions of source code must retain the above copyright
  10 .\"    notice, this list of conditions and the following disclaimer.
  11 .\"
  12 .\" 2. Redistributions in binary form must reproduce the above copyright
  13 .\"    notice, this list of conditions and the following disclaimer in the
  14 .\"    documentation and/or other materials provided with the distribution.
  15 .\"
  16 .\" 3. Neither the name of the Institute nor the names of its contributors
  17 .\"    may be used to endorse or promote products derived from this software
  18 .\"    without specific prior written permission.
  19 .\"
  20 .\" THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND
  21 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE
  24 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30 .\" SUCH DAMAGE.
  31 .\"
  32 .\" $Heimdal: kadmind.8 14370 2004-12-08 17:20:21Z lha $
  33 .\" $NetBSD: kadmind.8,v 1.10 2008/03/22 08:37:02 mlelstv Exp $
  34 .\"
  35 .Dd December  8, 2004
  36 .Dt KADMIND 8
  37 .Os
  38 .Sh NAME
  39 .Nm kadmind
  40 .Nd "server for administrative access to Kerberos database"
  41 .Sh SYNOPSIS
  42 .Nm
  43 .Bk -words
  44 .Oo Fl c Ar file \*(Ba Xo
  45 .Fl -config-file= Ns Ar file
  46 .Xc
  47 .Oc
  48 .Oo Fl k Ar file \*(Ba Xo
  49 .Fl -key-file= Ns Ar file
  50 .Xc
  51 .Oc
  52 .Op Fl -keytab= Ns Ar keytab
  53 .Oo Fl r Ar realm \*(Ba Xo
  54 .Fl -realm= Ns Ar realm
  55 .Xc
  56 .Oc
  57 .Op Fl d | Fl -debug
  58 .Oo Fl p Ar port \*(Ba Xo
  59 .Fl -ports= Ns Ar port
  60 .Xc
  61 .Oc
  62 .Ek
  63 .Sh DESCRIPTION
  64 .Nm
  65 listens for requests for changes to the Kerberos database and performs
  66 these, subject to permissions.  When starting, if stdin is a socket it
  67 assumes that it has been started by
  68 .Xr inetd 8 ,
  69 otherwise it behaves as a daemon, forking processes for each new
  70 connection. The
  71 .Fl -debug
  72 option causes
  73 .Nm
  74 to accept exactly one connection, which is useful for debugging.
  75 .Pp
  76 The
  77 .Xr kpasswdd 8
  78 daemon is responsible for the Kerberos 5 password changing protocol
  79 (used by
  80 .Xr kpasswd 1 )
  81 .
  82 .Pp
  83 This daemon should only be run on the master server, and not on any
  84 slaves.
  85 .Pp
  86 Principals are always allowed to change their own password and list
  87 their own principal.  Apart from that, doing any operation requires
  88 permission explicitly added in the ACL file
  89 .Pa /var/heimdal/kadmind.acl .
  90 The format of this file is:
  91 .Bd -ragged
  92 .Va principal
  93 .Va rights
  94 .Op Va principal-pattern
  95 .Ed
  96 .Pp
  97 Where rights is any (comma separated) combination of:
  98 .Bl -bullet -compact
  99 .It
 100 change-password or cpw
 101 .It
 102 list
 103 .It
 104 delete
 105 .It
 106 modify
 107 .It
 108 add
 109 .It
 110 get
 111 .It
 112 all
 113 .El
 114 .Pp
 115 And the optional
 116 .Ar principal-pattern
 117 restricts the rights to operations on principals that match the
 118 glob-style pattern.
 119 .Pp
 120 Supported options:
 121 .Bl -tag -width Ds
 122 .It Fl c Ar file , Fl -config-file= Ns Ar file
 123 location of config file
 124 .It Fl k Ar file , Fl -key-file= Ns Ar file
 125 location of master key file
 126 .It Fl -keytab= Ns Ar keytab
 127 what keytab to use
 128 .It Fl r Ar realm , Fl -realm= Ns Ar realm
 129 realm to use
 130 .It Fl d , Fl -debug
 131 enable debugging
 132 .It Fl p Ar port , Fl -ports= Ns Ar port
 133 ports to listen to. By default, if run as a daemon, it listens to port
 134 749, but you can add any number of ports with this option. The port
 135 string is a whitespace separated list of port specifications, with the
 136 special string
 137 .Dq +
 138 representing the default port.
 139 .El
 140 .\".Sh ENVIRONMENT
 141 .Sh FILES
 142 .Pa /var/heimdal/kadmind.acl
 143 .Sh EXAMPLES
 144 This will cause
 145 .Nm
 146 to listen to port 4711 in addition to any
 147 compiled in defaults:
 148 .Pp
 149 .D1 Nm Fl -ports Ns Li "=\*[q]+ 4711\*[q] &"
 150 .Pp
 151 This acl file will grant Joe all rights, and allow Mallory to view and
 152 add host principals.
 153 .Bd -literal -offset indent
 154 joe/admin@EXAMPLE.COM      all
 155 mallory/admin@EXAMPLE.COM  add,get  host/*@EXAMPLE.COM
 156 .Ed
 157 .\".Sh DIAGNOSTICS
 158 .Sh SEE ALSO
 159 .Xr kpasswd 1 ,
 160 .Xr kadmin 8 ,
 161 .Xr kdc 8 ,
 162 .Xr kpasswdd 8