share/man/man5/krb5_auth_rules.5

   1 '\" te
   2 .\"  Copyright (c) 2006, Sun Microsystems, Inc. All Rights Reserved
   3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   6 .TH KRB5_AUTH_RULES 5 "Oct 29, 2015"
   7 .SH NAME
   8 krb5_auth_rules \- overview of Kerberos V5 authorization
   9 .SH DESCRIPTION
  10 .sp
  11 .LP
  12 When kerberized versions of the \fBftp\fR, \fBrcp\fR,
  13 \fBrlogin\fR, \fBrsh\fR, \fBtelnet\fR, or \fBssh\fR clients are used to connect
  14 to a server, the identity of the originating user must be authenticated to the
  15 Kerberos V5 authentication system. Account access can then be authorized if
  16 appropriate entries exist in the \fB~/.k5login\fR file, the \fBgsscred\fR
  17 table, or if the default GSS/Kerberos authentication rules successfully map the
  18 Kerberos principal name to Unix login name.
  19 .sp
  20 .LP
  21 To avoid security problems, the \fB~/.k5login\fR file must be owned by the
  22 remote user on the server the client is attempting to access. The file should
  23 contain a private authorization list comprised of Kerberos principal names of
  24 the form \fIprincipal/instance\fR@\fIrealm\fR. The \fI/instance\fR variable is
  25 optional in Kerberos principal names. For example, different principal names
  26 such as \fBjdb@ENG.ACME.COM\fR and \fBjdb/happy.eng.acme.com@ENG.ACME.COM\fR
  27 would each be legal, though not equivalent, Kerberos principals. The client is
  28 granted access if the \fB~/.k5login\fR file is located in the login directory
  29 of the remote user account and if the originating user can be authenticated to
  30 one of the principals named in the file. See \fBkadm5.acl\fR(4) for more
  31 information on Kerberos principal names.
  32 .sp
  33 .LP
  34 When no \fB~/.k5login\fR file is found in the remote user's login account, the
  35 Kerberos V5 principal name associated with the originating user is checked
  36 against the \fBgsscred\fR table. If a \fBgsscred\fR table exists and the
  37 principal name is matched in the table, access is granted if the Unix user ID
  38 listed in the table corresponds to the user account the client is attempting to
  39 access. If the Unix user ID does not match, access is denied. See
  40 \fBgsscred\fR(1M).
  41 .sp
  42 .LP
  43 For example, an originating user listed in the \fBgsscred\fR table with the
  44 principal name \fBjdb@ENG.ACME.COM\fR and the \fBuid\fR \fB23154\fR is granted
  45 access to the \fBjdb-user\fR account if \fB23154\fR is also the \fBuid\fR of
  46 \fBjdb-user\fR listed in the user account database. See \fBpasswd\fR(4).
  47 .sp
  48 .LP
  49 Finally, if there is no \fB~/.k5login\fR file and the Kerberos V5 identity of
  50 the originating user is not in the \fBgsscred\fR table, or if the \fBgsscred\fR
  51 table does not exist, the client is granted access to the account under the
  52 following conditions (default GSS/Kerberos auth rules):
  53 .RS +4
  54 .TP
  55 .ie t \(bu
  56 .el o
  57 The user part of the authenticated principal name is the same as the Unix
  58 account name specified by the client.
  59 .RE
  60 .RS +4
  61 .TP
  62 .ie t \(bu
  63 .el o
  64 The realm part of the client and server are the same, unless the
  65 \fBkrb5.conf\fR(4) \fIauth_to_local_realm\fR parameter is used to create
  66 equivalence.
  67 .RE
  68 .RS +4
  69 .TP
  70 .ie t \(bu
  71 .el o
  72 The Unix account name exists on the server.
  73 .RE
  74 .sp
  75 .LP
  76 For example, if the originating user has the principal name
  77 \fBjdb@ENG.ACME.COM\fR and if the server is in realm \fBSALES.ACME.COM\fR, the
  78 client would be denied access even if \fBjdb\fR is a valid account name on the
  79 server. This is because the realms \fBSALES.ACME.COM\fR and \fBENG.ACME.COM\fR
  80 differ.
  81 .sp
  82 .LP
  83 The \fBkrb5.conf\fR(4) \fIauth_to_local_realm\fR parameter also affects
  84 authorization. Non-default realms can be equated with the default realm for
  85 authenticated \fBname-to-local name\fR mapping.
  86 .SH FILES
  87 .sp
  88 .ne 2
  89 .na
  90 \fB\fB~/.k5login\fR\fR
  91 .ad
  92 .RS 15n
  93 Per user-account authorization file.
  94 .RE
  95
  96 .sp
  97 .ne 2
  98 .na
  99 \fB\fB/etc/passwd\fR\fR
 100 .ad
 101 .RS 15n
 102 System account file. This information may also be in a directory service. See
 103 \fBpasswd\fR(4).
 104 .RE
 105
 106 .SH ATTRIBUTES
 107 .sp
 108 .LP
 109 See \fBattributes\fR(5) for a description of the following attributes:
 110 .sp
 111
 112 .sp
 113 .TS
 114 box;
 115 c | c
 116 l | l .
 117 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 118 _
 119 Interface Stability     Evolving
 120 .TE
 121
 122 .SH SEE ALSO
 123 .sp
 124 .LP
 125 \fBftp\fR(1), \fBrcp\fR(1), \fBrlogin\fR(1), \fBrsh\fR(1),
 126 \fBtelnet\fR(1), \fBgsscred\fR(1M), \fBkadm5.acl\fR(4),
 127 \fBkrb5.conf\fR(4), \fBpasswd\fR(4), \fBattributes\fR(5),
 128 \fBgss_auth_rules\fR(5)