usr/src/man/man1m/tnctl.1m

   1 '\" te
   2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved.
   3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   6 .TH TNCTL 1M "Mar 6, 2008"
   7 .SH NAME
   8 tnctl \- configure Trusted Extensions network parameters
   9 .SH SYNOPSIS
  10 .LP
  11 .nf
  12 \fB/usr/sbin/tnctl\fR [\fB-dfv\fR] [\fB-h\fR \fIhost\fR [/\fIprefix\fR] [:\fItemplate\fR]]
  13      [\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR][\fB-t\fR \fItemplate\fR [:\fIkey=val\fR [;\fIkey=val\fR]]]
  14      [\fB-HTz\fR] \fIfile\fR]
  15 .fi
  16
  17 .SH DESCRIPTION
  18 .sp
  19 .LP
  20 \fBtnctl\fR provides an interface to manipulate trusted network parameters in
  21 the Solaris kernel.
  22 .sp
  23 .LP
  24 As part of Solaris Trusted Extensions initialization, \fBtnctl\fR is run in the
  25 global zone by an \fBsmf\fR(5) script during system boot. The \fBtnctl\fR
  26 command is not intended to be used during normal system administration.
  27 Instead, if a local trusted networking database file is modified without using
  28 the Solaris Management Console, the administrator first issues
  29 \fBtnchkdb\fR(1M) to check the syntax, and then refreshes the kernel copy with
  30 this command:
  31 .sp
  32 .in +2
  33 .nf
  34 # \fBsvcadm restart svc:/network/tnctl\fR
  35 .fi
  36 .in -2
  37 .sp
  38
  39 .sp
  40 .LP
  41 See \fBWARNINGS\fR about the risks of changing remote host and template
  42 information on a running system.
  43 .SH OPTIONS
  44 .sp
  45 .ne 2
  46 .na
  47 \fB\fB-d\fR\fR
  48 .ad
  49 .sp .6
  50 .RS 4n
  51 Delete matching entries from the kernel. The default is to add new entries.
  52 .sp
  53 When deleting MLPs, the MLP range must match exactly. MLPs are specified in the
  54 form:
  55 .sp
  56 .in +2
  57 .nf
  58 \fIport\fR[-\fIport\fR]/\fIprotocol\fR
  59 .fi
  60 .in -2
  61 .sp
  62
  63 Where \fIport\fR can be a number in the range 1 to 65535. or any known service
  64 (see \fBservices\fR(4)), and protocol can be a number in the range 1 to 255, or
  65 any known protocol (see \fBprotocols\fR(4)).
  66 .RE
  67
  68 .sp
  69 .ne 2
  70 .na
  71 \fB\fB-f\fR\fR
  72 .ad
  73 .sp .6
  74 .RS 4n
  75 Flush all kernel entries before loading the entries that are specified on the
  76 command line. The flush does not take place unless at least one entry parsed
  77 successfully.
  78 .RE
  79
  80 .sp
  81 .ne 2
  82 .na
  83 \fB\fB-v\fR\fR
  84 .ad
  85 .sp .6
  86 .RS 4n
  87 Turn on verbose mode.
  88 .RE
  89
  90 .sp
  91 .ne 2
  92 .na
  93 \fB\fB-h\fR \fIhost\fR[/\fIprefix\fR][:\fItemplate\fR]\fR
  94 .ad
  95 .sp .6
  96 .RS 4n
  97 Update the kernel remote-host cache on the local host for  the specified
  98 \fIhost\fR or, if a template name is given, change the kernel's cache to use
  99 the specified \fItemplate\fR. If \fIprefix\fR is not specified, then an implied
 100 prefix length is determined according to the rules used for interpreting the
 101 \fBtnrhdb\fR. If \fB-d\fR is specified, then a template name cannot be
 102 specified.
 103 .RE
 104
 105 .sp
 106 .ne 2
 107 .na
 108 \fB\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR\fR
 109 .ad
 110 .sp .6
 111 .RS 4n
 112 Modify the kernel's multilevel port (MLP) configuration cache for the specified
 113 \fIzone\fR. \fIzone\fR specifies the zone to be updated. \fImlp\fR and
 114 \fIshared-mlp\fR specify the MLPs for the zone-specific and shared IP
 115 addresses. The \fIshared-mlp\fR field is effective in the global zone only.
 116 .RE
 117
 118 .sp
 119 .ne 2
 120 .na
 121 \fB\fB-t\fR \fItemplate\fR[\fIkey=val\fR[;\fIkey=val\fR]]\fR
 122 .ad
 123 .sp .6
 124 .RS 4n
 125 Update the kernel template cache for \fItemplate\fR or, if a list of
 126 \fIkey=val\fR pairs is given, change the kernel's cache to use the specified
 127 entry. If \fB-d\fR is specified, then \fIkey=val\fR pairs cannot be specified.
 128 .RE
 129
 130 .sp
 131 .ne 2
 132 .na
 133 \fB\fB-T\fR \fIfile\fR\fR
 134 .ad
 135 .sp .6
 136 .RS 4n
 137 Load all template entries in \fIfile\fR into the kernel cache.
 138 .RE
 139
 140 .sp
 141 .ne 2
 142 .na
 143 \fB\fB-H\fR \fIfile\fR\fR
 144 .ad
 145 .sp .6
 146 .RS 4n
 147 Load all remote host entries in \fIfile\fR into the kernel cache.
 148 .RE
 149
 150 .sp
 151 .ne 2
 152 .na
 153 \fB\fB-z\fR \fIfile\fR\fR
 154 .ad
 155 .sp .6
 156 .RS 4n
 157 Load just the global zone's MLPs from \fIfile\fR into the kernel cache. To
 158 reload MLPs for a non-global zone, reboot the zone:
 159 .sp
 160 .in +2
 161 .nf
 162 # \fBzoneadm -z\fR \fInon-global zone\fR \fBreboot\fR
 163 .fi
 164 .in -2
 165 .sp
 166
 167 .RE
 168
 169 .SH ATTRIBUTES
 170 .sp
 171 .LP
 172 See \fBattributes\fR(5) for descriptions of the following attributes:
 173 .sp
 174
 175 .sp
 176 .TS
 177 box;
 178 c | c
 179 l | l .
 180 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 181 _
 182 Interface Stability     Uncommitted
 183 .TE
 184
 185 .SH FILES
 186 .sp
 187 .ne 2
 188 .na
 189 \fB\fB/etc/security/tsol/tnrhdb\fR\fR
 190 .ad
 191 .sp .6
 192 .RS 4n
 193 Trusted network remote-host database
 194 .RE
 195
 196 .sp
 197 .ne 2
 198 .na
 199 \fB\fB/etc/security/tsol/tnrhtp\fR\fR
 200 .ad
 201 .sp .6
 202 .RS 4n
 203 Trusted network remote-host templates
 204 .RE
 205
 206 .sp
 207 .ne 2
 208 .na
 209 \fB\fB/etc/security/tsol/tnzonecfg\fR\fR
 210 .ad
 211 .sp .6
 212 .RS 4n
 213 Trusted zone configuration database
 214 .RE
 215
 216 .sp
 217 .ne 2
 218 .na
 219 \fB\fB/etc/nsswitch.conf\fR\fR
 220 .ad
 221 .sp .6
 222 .RS 4n
 223 Configuration file for the name service switch
 224 .RE
 225
 226 .SH SEE ALSO
 227 .sp
 228 .LP
 229 \fBsvcs\fR(1), \fBsvcadm\fR(1M), \fBtninfo\fR(1M), \fBtnd\fR(1M),
 230 \fBtnchkdb\fR(1M), \fBzoneadm\fR(1M), \fBnsswitch.conf\fR(4),
 231 \fBprotocols\fR(4), \fBservices\fR(4), \fBattributes\fR(5), \fBsmf\fR(5)
 232 .sp
 233 .LP
 234 \fIHow to Synchronize Kernel Cache With Network Databases\fR in \fISolaris
 235 Trusted Extensions Administrator\&'s Procedures\fR
 236 .SH WARNINGS
 237 .sp
 238 .LP
 239 Changing a template while the network is up can change the security view of an
 240 undetermined number of hosts.
 241 .SH NOTES
 242 .sp
 243 .LP
 244 The functionality described on this manual page is available only if the system
 245 is configured with Trusted Extensions.
 246 .sp
 247 .LP
 248 The \fBtnctl\fR service is managed by the service management facility,
 249 \fBsmf\fR(5), under the service identifier:
 250 .sp
 251 .in +2
 252 .nf
 253 svc:/network/tnctl
 254 .fi
 255 .in -2
 256 .sp
 257
 258 .sp
 259 .LP
 260 The service's status can be queried by using \fBsvcs\fR(1). Administrative
 261 actions on this service, such as refreshing the kernel cache, can be performed
 262 using \fBsvcadm\fR(1M), as in:
 263 .sp
 264 .in +2
 265 .nf
 266 svcadm restart svc:/network/tnctl
 267 .fi
 268 .in -2
 269 .sp
 270