doc/rst_source/krb_admins/admin_commands/kdb5_ldap_util.rst

   1 .. _kdb5_ldap_util(8):
   2
   3 kdb5_ldap_util
   4 ===============
   5
   6 SYNOPSIS
   7 --------
   8
   9 .. _kdb5_ldap_util_synopsis:
  10
  11 **kdb5_ldap_util**
  12 [**-D** *user_dn* [**-w** *passwd*]]
  13 [**-H** *ldapuri*]
  14 **command**
  15 [*command_options*]
  16
  17 .. _kdb5_ldap_util_synopsis_end:
  18
  19 DESCRIPTION
  20 -----------
  21
  22 kdb5_ldap_util allows an administrator to manage realms, Kerberos
  23 services and ticket policies.
  24
  25 COMMAND-LINE OPTIONS
  26 --------------------
  27
  28 .. _kdb5_ldap_util_options:
  29
  30 **-D** *user_dn*
  31     Specifies the Distinguished Name (DN) of the user who has
  32     sufficient rights to perform the operation on the LDAP server.
  33
  34 **-w** *passwd*
  35     Specifies the password of *user_dn*.  This option is not
  36     recommended.
  37
  38 **-H** *ldapuri*
  39     Specifies the URI of the LDAP server.  It is recommended to use
  40     ``ldapi://`` or ``ldaps://`` to connect to the LDAP server.
  41
  42 .. _kdb5_ldap_util_options_end:
  43
  44
  45 COMMANDS
  46 --------
  47
  48 create
  49 ~~~~~~
  50
  51 .. _kdb5_ldap_util_create:
  52
  53     **create**
  54     [**-subtrees** *subtree_dn_list*]
  55     [**-sscope** *search_scope*]
  56     [**-containerref** *container_reference_dn*]
  57     [**-k** *mkeytype*]
  58     [**-kv** *mkeyVNO*]
  59     [**-m|-P** *password*\|\ **-sf** *stashfilename*]
  60     [**-s**]
  61     [**-r** *realm*]
  62     [**-kdcdn** *kdc_service_list*]
  63     [**-admindn** *admin_service_list*]
  64     [**-maxtktlife** *max_ticket_life*]
  65     [**-maxrenewlife** *max_renewable_ticket_life*]
  66     [*ticket_flags*]
  67
  68 Creates realm in directory. Options:
  69
  70 **-subtrees** *subtree_dn_list*
  71     Specifies the list of subtrees containing the principals of a
  72     realm.  The list contains the DNs of the subtree objects separated
  73     by colon (``:``).
  74
  75 **-sscope** *search_scope*
  76     Specifies the scope for searching the principals under the
  77     subtree.  The possible values are 1 or one (one level), 2 or sub
  78     (subtrees).
  79
  80 **-containerref** *container_reference_dn*
  81     Specifies the DN of the container object in which the principals
  82     of a realm will be created.  If the container reference is not
  83     configured for a realm, the principals will be created in the
  84     realm container.
  85
  86 **-k** *mkeytype*
  87     Specifies the key type of the master key in the database; the
  88     default is that given in :ref:`kdc.conf(5)`.
  89
  90 **-kv** *mkeyVNO*
  91     Specifies the version number of the master key in the database;
  92     the default is 1.  Note that 0 is not allowed.
  93
  94 **-m**
  95     Specifies that the master database password should be read from
  96     the TTY rather than fetched from a file on the disk.
  97
  98 **-P** *password*
  99     Specifies the master database password. This option is not
 100     recommended.
 101
 102 **-r** *realm*
 103     Specifies the Kerberos realm of the database.
 104
 105 **-sf** *stashfilename*
 106     Specifies the stash file of the master database password.
 107
 108 **-s**
 109     Specifies that the stash file is to be created.
 110
 111 **-maxtktlife** *max_ticket_life*
 112     Specifies maximum ticket life for principals in this realm.
 113
 114 **-maxrenewlife** *max_renewable_ticket_life*
 115     Specifies maximum renewable life of tickets for principals in this
 116     realm.
 117
 118 *ticket_flags*
 119     Specifies the ticket flags.  If this option is not specified, by
 120     default, none of the flags are set.  This means all the ticket
 121     options will be allowed and no restriction will be set.
 122
 123     The various flags are:
 124
 125     {-\|+}\ **allow_postdated**
 126         **-allow_postdated** prohibits this principal from obtaining
 127         postdated tickets.  (Sets the **KRB5_KDB_DISALLOW_POSTDATED**
 128         flag.)  **+allow_postdated** clears this flag.
 129
 130     {-\|+}\ **allow_forwardable**
 131         **-allow_forwardable** prohibits this principal from obtaining
 132         forwardable tickets.  (Sets the
 133         **KRB5_KDB_DISALLOW_FORWARDABLE** flag.)
 134         **+allow_forwardable** clears this flag.
 135
 136     {-\|+}\ **allow_renewable**
 137         **-allow_renewable** prohibits this principal from obtaining
 138         renewable tickets.  (Sets the **KRB5_KDB_DISALLOW_RENEWABLE**
 139         flag.)  **+allow_renewable** clears this flag.
 140
 141     {-\|+}\ **allow_proxiable**
 142         **-allow_proxiable** prohibits this principal from obtaining
 143         proxiable tickets.  (Sets the **KRB5_KDB_DISALLOW_PROXIABLE**
 144         flag.)  **+allow_proxiable** clears this flag.
 145
 146     {-\|+}\ **allow_dup_skey**
 147         **-allow_dup_skey** disables user-to-user authentication for
 148         this principal by prohibiting this principal from obtaining a
 149         session key for another user.  (Sets the
 150         **KRB5_KDB_DISALLOW_DUP_SKEY** flag.)  **+allow_dup_skey**
 151         clears this flag.
 152
 153     {-\|+}\ **requires_preauth**
 154         **+requires_preauth** requires this principal to
 155         preauthenticate before being allowed to kinit.  (Sets the
 156         **KRB5_KDB_REQUIRES_PRE_AUTH** flag.)  **-requires_preauth**
 157         clears this flag.
 158
 159     {-\|+}\ **requires_hwauth**
 160         **+requires_hwauth** requires this principal to
 161         preauthenticate using a hardware device before being allowed
 162         to kinit.  (Sets the **KRB5_KDB_REQUIRES_HW_AUTH** flag.)
 163         **-requires_hwauth** clears this flag.
 164
 165     {-\|+}\ **allow_svr**
 166         **-allow_svr** prohibits the issuance of service tickets for
 167         this principal.  (Sets the **KRB5_KDB_DISALLOW_SVR** flag.)
 168         **+allow_svr** clears this flag.
 169
 170     {-\|+}\ **allow_tgs_req**
 171         **-allow_tgs_req** specifies that a Ticket-Granting Service
 172         (TGS) request for a service ticket for this principal is not
 173         permitted.  This option is useless for most things.
 174         **+allow_tgs_req** clears this flag.  The default is
 175         +allow_tgs_req.  In effect, **-allow_tgs_req sets** the
 176         **KRB5_KDB_DISALLOW_TGT_BASED** flag on the principal in the
 177         database.
 178
 179     {-\|+}\ **allow_tix**
 180         **-allow_tix** forbids the issuance of any tickets for this
 181         principal.  **+allow_tix** clears this flag.  The default is
 182         **+allow_tix**.  In effect, **-allow_tix** sets the
 183         **KRB5_KDB_DISALLOW_ALL_TIX** flag on the principal in the
 184         database.
 185
 186     {-\|+}\ **needchange**
 187         **+needchange** sets a flag in attributes field to force a
 188         password change; **-needchange** clears it.  The default is
 189         **-needchange**.  In effect, **+needchange** sets the
 190         **KRB5_KDB_REQUIRES_PWCHANGE** flag on the principal in the
 191         database.
 192
 193     {-\|+}\ **password_changing_service**
 194         **+password_changing_service** sets a flag in the attributes
 195         field marking this as a password change service principal
 196         (useless for most things).  **-password_changing_service**
 197         clears the flag.  This flag intentionally has a long name.
 198         The default is **-password_changing_service**.  In effect,
 199         **+password_changing_service** sets the
 200         *KRB5_KDB_PWCHANGE_SERVICE* flag on the principal in the
 201         database.
 202
 203 EXAMPLE:
 204  ::
 205
 206     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu create -subtrees o=org -sscope SUB -r ATHENA.MIT.EDU
 207     Password for "cn=admin,o=org":
 208     Initializing database for realm 'ATHENA.MIT.EDU'
 209     You will be prompted for the database Master Password.
 210     It is important that you NOT FORGET this password.
 211     Enter KDC database master key:
 212     Re-enter KDC database master key to verify:
 213
 214 .. _kdb5_ldap_util_create_end:
 215
 216 modify
 217 ~~~~~~
 218
 219 .. _kdb5_ldap_util_modify:
 220
 221     **modify**
 222     [**-subtrees** *subtree_dn_list*]
 223     [**-sscope** *search_scope*]
 224     [**-containerref** *container_reference_dn*]
 225     [**-r** *realm*]
 226     [**-kdcdn** *kdc_service_list* | [**-clearkdcdn** *kdc_service_list*] [**-addkdcdn** *kdc_service_list*]]
 227     [**-admindn** *admin_service_list* | [**-clearadmindn** *admin_service_list*] [**-addadmindn** *admin_service_list*]]
 228     [**-maxtktlife** *max_ticket_life*]
 229     [**-maxrenewlife** *max_renewable_ticket_life*]
 230     [*ticket_flags*]
 231
 232 Modifies the attributes of a realm.  Options:
 233
 234 **-subtrees** *subtree_dn_list*
 235
 236     Specifies the list of subtrees containing the principals of a
 237     realm.  The list contains the DNs of the subtree objects separated
 238     by colon (``:``).  This list replaces the existing list.
 239
 240 **-sscope** *search_scope*
 241     Specifies the scope for searching the principals under the
 242     subtrees.  The possible values are 1 or one (one level), 2 or sub
 243     (subtrees).
 244
 245 **-containerref** *container_reference_dn* Specifies the DN of the
 246     container object in which the principals of a realm will be
 247     created.
 248
 249 **-r** *realm*
 250     Specifies the Kerberos realm of the database.
 251
 252 **-maxtktlife** *max_ticket_life*
 253     Specifies maximum ticket life for principals in this realm.
 254
 255 **-maxrenewlife** *max_renewable_ticket_life*
 256     Specifies maximum renewable life of tickets for principals in this
 257     realm.
 258
 259 *ticket_flags*
 260     Specifies the ticket flags. If this option is not specified, by
 261     default, none of the flags are set.  This means all the ticket
 262     options will be allowed and no restriction will be set.
 263
 264     The various flags are:
 265
 266     {-\|+}\ **allow_postdated**
 267         **-allow_postdated** prohibits this principal from obtaining
 268         postdated tickets.  (Sets the **KRB5_KDB_DISALLOW_POSTDATED**
 269         flag.)  **+allow_postdated** clears this flag.
 270
 271     {-\|+}\ **allow_forwardable**
 272         **-allow_forwardable** prohibits this principal from obtaining
 273         forwardable tickets.  (Sets the
 274         **KRB5_KDB_DISALLOW_FORWARDABLE** flag.)
 275         **+allow_forwardable** clears this flag.
 276
 277     {-\|+}\ **allow_renewable**
 278         **-allow_renewable** prohibits this principal from obtaining
 279         renewable tickets.  (Sets the **KRB5_KDB_DISALLOW_RENEWABLE**
 280         flag.)  **+allow_renewable** clears this flag.
 281
 282     {-\|+}\ **allow_proxiable**
 283         **-allow_proxiable** prohibits this principal from obtaining
 284         proxiable tickets.  (Sets the **KRB5_KDB_DISALLOW_PROXIABLE**
 285         flag.)  **+allow_proxiable** clears this flag.
 286
 287     {-\|+}\ **allow_dup_skey**
 288         **-allow_dup_skey** disables user-to-user authentication for
 289         this principal by prohibiting this principal from obtaining a
 290         session key for another user.  (Sets the
 291         **KRB5_KDB_DISALLOW_DUP_SKEY** flag.)  **+allow_dup_skey**
 292         clears this flag.
 293
 294     {-\|+}\ **requires_preauth**
 295         **+requires_preauth** requires this principal to
 296         preauthenticate before being allowed to kinit.  (Sets the
 297         **KRB5_KDB_REQUIRES_PRE_AUTH** flag.)  **-requires_preauth**
 298         clears this flag.
 299
 300     {-\|+}\ **requires_hwauth**
 301         **+requires_hwauth** requires this principal to
 302         preauthenticate using a hardware device before being allowed
 303         to kinit.  (Sets the **KRB5_KDB_REQUIRES_HW_AUTH** flag.)
 304         **-requires_hwauth** clears this flag.
 305
 306     {-\|+}\ **allow_svr**
 307         **-allow_svr** prohibits the issuance of service tickets for
 308         this principal.  (Sets the **KRB5_KDB_DISALLOW_SVR** flag.)
 309         **+allow_svr** clears this flag.
 310
 311     {-\|+}\ **allow_tgs_req**
 312         **-allow_tgs_req** specifies that a Ticket-Granting Service
 313         (TGS) request for a service ticket for this principal is not
 314         permitted.  This option is useless for most things.
 315         **+allow_tgs_req** clears this flag.  The default is
 316         +allow_tgs_req.  In effect, **-allow_tgs_req sets** the
 317         **KRB5_KDB_DISALLOW_TGT_BASED** flag on the principal in the
 318         database.
 319
 320     {-\|+}\ **allow_tix**
 321         **-allow_tix** forbids the issuance of any tickets for this
 322         principal.  **+allow_tix** clears this flag.  The default is
 323         **+allow_tix**.  In effect, **-allow_tix** sets the
 324         **KRB5_KDB_DISALLOW_ALL_TIX** flag on the principal in the
 325         database.
 326
 327     {-\|+}\ **needchange**
 328         **+needchange** sets a flag in attributes field to force a
 329         password change; **-needchange** clears it.  The default is
 330         **-needchange**.  In effect, **+needchange** sets the
 331         **KRB5_KDB_REQUIRES_PWCHANGE** flag on the principal in the
 332         database.
 333
 334     {-\|+}\ **password_changing_service**
 335         **+password_changing_service** sets a flag in the attributes
 336         field marking this as a password change service principal
 337         (useless for most things).  **-password_changing_service**
 338         clears the flag.  This flag intentionally has a long name.
 339         The default is **-password_changing_service**.  In effect,
 340         **+password_changing_service** sets the
 341         *KRB5_KDB_PWCHANGE_SERVICE* flag on the principal in the
 342         database.
 343
 344 EXAMPLE:
 345  ::
 346
 347     shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu modify +requires_preauth -r ATHENA.MIT.EDU
 348     Password for "cn=admin,o=org":
 349     shell%
 350
 351 .. _kdb5_ldap_util_modify_end:
 352
 353 view
 354 ~~~~
 355
 356 .. _kdb5_ldap_util_view:
 357
 358     **view** [**-r** *realm*]
 359
 360 Displays the attributes of a realm.  Options:
 361
 362 **-r** *realm*
 363     Specifies the Kerberos realm of the database.
 364
 365 EXAMPLE:
 366  ::
 367
 368     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu view -r ATHENA.MIT.EDU
 369     Password for "cn=admin,o=org":
 370     Realm Name: ATHENA.MIT.EDU
 371     Subtree: ou=users,o=org
 372     Subtree: ou=servers,o=org
 373     SearchScope: ONE
 374     Maximum ticket life: 0 days 01:00:00
 375     Maximum renewable life: 0 days 10:00:00
 376     Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 377
 378 .. _kdb5_ldap_util_view_end:
 379
 380 destroy
 381 ~~~~~~~
 382
 383 .. _kdb5_ldap_util_destroy:
 384
 385     **destroy** [**-f**] [**-r** *realm*]
 386
 387 Destroys an existing realm. Options:
 388
 389 **-f**
 390     If specified, will not prompt the user for confirmation.
 391
 392 **-r** *realm*
 393     Specifies the Kerberos realm of the database.
 394
 395 EXAMPLE:
 396  ::
 397
 398     shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu destroy -r ATHENA.MIT.EDU
 399     Password for "cn=admin,o=org":
 400     Deleting KDC database of 'ATHENA.MIT.EDU', are you sure?
 401     (type 'yes' to confirm)? yes
 402     OK, deleting database of 'ATHENA.MIT.EDU'...
 403     shell%
 404
 405 .. _kdb5_ldap_util_destroy_end:
 406
 407 list
 408 ~~~~
 409
 410 .. _kdb5_ldap_util_list:
 411
 412     **list**
 413
 414 Lists the name of realms.
 415
 416 EXAMPLE:
 417  ::
 418
 419     shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list
 420     Password for "cn=admin,o=org":
 421     ATHENA.MIT.EDU
 422     OPENLDAP.MIT.EDU
 423     MEDIA-LAB.MIT.EDU
 424     shell%
 425
 426 .. _kdb5_ldap_util_list_end:
 427
 428 stashsrvpw
 429 ~~~~~~~~~~
 430
 431 .. _kdb5_ldap_util_stashsrvpw:
 432
 433     **stashsrvpw**
 434     [**-f** *filename*]
 435     *servicedn*
 436
 437 Allows an administrator to store the password for service object in a
 438 file so that KDC and Administration server can use it to authenticate
 439 to the LDAP server.  Options:
 440
 441 **-f** *filename*
 442     Specifies the complete path of the service password file. By
 443     default, ``/usr/local/var/service_passwd`` is used.
 444
 445 *servicedn*
 446     Specifies Distinguished Name (DN) of the service object whose
 447     password is to be stored in file.
 448
 449 EXAMPLE:
 450  ::
 451
 452     kdb5_ldap_util stashsrvpw -f /home/andrew/conf_keyfile cn=service-kdc,o=org
 453     Password for "cn=service-kdc,o=org":
 454     Re-enter password for "cn=service-kdc,o=org":
 455
 456 .. _kdb5_ldap_util_stashsrvpw_end:
 457
 458 create_policy
 459 ~~~~~~~~~~~~~
 460
 461 .. _kdb5_ldap_util_create_policy:
 462
 463     **create_policy**
 464     [**-r** *realm*]
 465     [**-maxtktlife** *max_ticket_life*]
 466     [**-maxrenewlife** *max_renewable_ticket_life*]
 467     [*ticket_flags*]
 468     *policy_name*
 469
 470 Creates a ticket policy in directory. Options:
 471
 472 **-r** *realm*
 473     Specifies the Kerberos realm of the database.
 474
 475 **-maxtktlife** *max_ticket_life*
 476     Specifies maximum ticket life for principals.
 477
 478 **-maxrenewlife** *max_renewable_ticket_life*
 479     Specifies maximum renewable life of tickets for principals.
 480
 481 *ticket_flags*
 482     Specifies the ticket flags. If this option is not specified, by
 483     default, none of the flags are set.  This means all the ticket
 484     options will be allowed and no restriction will be set.
 485
 486     The various flags are:
 487
 488     {-\|+}\ **allow_postdated**
 489         **-allow_postdated** prohibits this principal from obtaining
 490         postdated tickets.  (Sets the **KRB5_KDB_DISALLOW_POSTDATED**
 491         flag.)  **+allow_postdated** clears this flag.
 492
 493     {-\|+}\ **allow_forwardable**
 494         **-allow_forwardable** prohibits this principal from obtaining
 495         forwardable tickets.  (Sets the
 496         **KRB5_KDB_DISALLOW_FORWARDABLE** flag.)
 497         **+allow_forwardable** clears this flag.
 498
 499     {-\|+}\ **allow_renewable**
 500         **-allow_renewable** prohibits this principal from obtaining
 501         renewable tickets.  (Sets the **KRB5_KDB_DISALLOW_RENEWABLE**
 502         flag.)  **+allow_renewable** clears this flag.
 503
 504     {-\|+}\ **allow_proxiable**
 505         **-allow_proxiable** prohibits this principal from obtaining
 506         proxiable tickets.  (Sets the **KRB5_KDB_DISALLOW_PROXIABLE**
 507         flag.)  **+allow_proxiable** clears this flag.
 508
 509     {-\|+}\ **allow_dup_skey**
 510         **-allow_dup_skey** disables user-to-user authentication for
 511         this principal by prohibiting this principal from obtaining a
 512         session key for another user.  (Sets the
 513         **KRB5_KDB_DISALLOW_DUP_SKEY** flag.)  **+allow_dup_skey**
 514         clears this flag.
 515
 516     {-\|+}\ **requires_preauth**
 517         **+requires_preauth** requires this principal to
 518         preauthenticate before being allowed to kinit.  (Sets the
 519         **KRB5_KDB_REQUIRES_PRE_AUTH** flag.)  **-requires_preauth**
 520         clears this flag.
 521
 522     {-\|+}\ **requires_hwauth**
 523         **+requires_hwauth** requires this principal to
 524         preauthenticate using a hardware device before being allowed
 525         to kinit.  (Sets the **KRB5_KDB_REQUIRES_HW_AUTH** flag.)
 526         **-requires_hwauth** clears this flag.
 527
 528     {-\|+}\ **allow_svr**
 529         **-allow_svr** prohibits the issuance of service tickets for
 530         this principal.  (Sets the **KRB5_KDB_DISALLOW_SVR** flag.)
 531         **+allow_svr** clears this flag.
 532
 533     {-\|+}\ **allow_tgs_req**
 534         **-allow_tgs_req** specifies that a Ticket-Granting Service
 535         (TGS) request for a service ticket for this principal is not
 536         permitted.  This option is useless for most things.
 537         **+allow_tgs_req** clears this flag.  The default is
 538         +allow_tgs_req.  In effect, **-allow_tgs_req sets** the
 539         **KRB5_KDB_DISALLOW_TGT_BASED** flag on the principal in the
 540         database.
 541
 542     {-\|+}\ **allow_tix**
 543         **-allow_tix** forbids the issuance of any tickets for this
 544         principal.  **+allow_tix** clears this flag.  The default is
 545         **+allow_tix**.  In effect, **-allow_tix** sets the
 546         **KRB5_KDB_DISALLOW_ALL_TIX** flag on the principal in the
 547         database.
 548
 549     {-\|+}\ **needchange**
 550         **+needchange** sets a flag in attributes field to force a
 551         password change; **-needchange** clears it.  The default is
 552         **-needchange**.  In effect, **+needchange** sets the
 553         **KRB5_KDB_REQUIRES_PWCHANGE** flag on the principal in the
 554         database.
 555
 556     {-\|+}\ **password_changing_service**
 557         **+password_changing_service** sets a flag in the attributes
 558         field marking this as a password change service principal
 559         (useless for most things).  **-password_changing_service**
 560         clears the flag.  This flag intentionally has a long name.
 561         The default is **-password_changing_service**.  In effect,
 562         **+password_changing_service** sets the
 563         *KRB5_KDB_PWCHANGE_SERVICE* flag on the principal in the
 564         database.
 565
 566 *policy_name*
 567     Specifies the name of the ticket policy.
 568
 569 EXAMPLE:
 570  ::
 571
 572     kdb5_ldap_util  -D  cn=admin,o=org -H ldaps://ldap-server1.mit.edu create_policy -r ATHENA.MIT.EDU -maxtktlife "1 day" -maxrenewlife "1 week" -allow_postdated +needchange -allow_forwardable tktpolicy
 573     Password for "cn=admin,o=org":
 574
 575 .. _kdb5_ldap_util_create_policy_end:
 576
 577 modify_policy
 578 ~~~~~~~~~~~~~
 579
 580 .. _kdb5_ldap_util_modify_policy:
 581
 582     **modify_policy**
 583     [**-r** *realm*]
 584     [**-maxtktlife** *max_ticket_life*]
 585     [**-maxrenewlife** *max_renewable_ticket_life*]
 586     [*ticket_flags*]
 587     *policy_name*
 588
 589 Modifies the attributes of a ticket policy.  Options are same as
 590 create_policy.
 591
 592 **-r** *realm*
 593     Specifies the Kerberos realm of the database.
 594
 595 EXAMPLE:
 596  ::
 597
 598     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu modify_policy  -r  ATHENA.MIT.EDU  -maxtktlife  "60  minutes"  -maxrenewlife  "10  hours" +allow_postdated -requires_preauth tktpolicy
 599     Password for "cn=admin,o=org":
 600
 601 .. _kdb5_ldap_util_modify_policy_end:
 602
 603 view_policy
 604 ~~~~~~~~~~~
 605
 606 .. _kdb5_ldap_util_view_policy:
 607
 608     **view_policy**
 609     [**-r** *realm*]
 610     *policy_name*
 611
 612 Displays the attributes of a ticket policy. Options:
 613
 614 *policy_name*
 615     Specifies the name of the ticket policy.
 616
 617 EXAMPLE:
 618  ::
 619
 620     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu view_policy -r ATHENA.MIT.EDU tktpolicy
 621     Password for "cn=admin,o=org":
 622     Ticket policy: tktpolicy
 623     Maximum ticket life: 0 days 01:00:00
 624     Maximum renewable life: 0 days 10:00:00
 625     Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 626
 627 .. _kdb5_ldap_util_view_policy_end:
 628
 629 destroy_policy
 630 ~~~~~~~~~~~~~~
 631
 632 .. _kdb5_ldap_util_destroy_policy:
 633
 634     **destroy_policy**
 635     [**-r** *realm*]
 636     [**-force**]
 637     *policy_name*
 638
 639 Destroys an existing ticket policy. Options:
 640
 641 **-r** *realm*
 642     Specifies the Kerberos realm of the database.
 643
 644 **-force**
 645     Forces the deletion of the policy object.  If not specified, will
 646     be prompted for confirmation while deleting the policy.  Enter yes
 647     to confirm the deletion.
 648
 649 *policy_name*
 650     Specifies the name of the ticket policy.
 651
 652 EXAMPLE:
 653  ::
 654
 655     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu destroy_policy -r ATHENA.MIT.EDU tktpolicy
 656     Password for "cn=admin,o=org":
 657     This will delete the policy object 'tktpolicy', are you sure?
 658     (type 'yes' to confirm)? yes
 659     ** policy object 'tktpolicy' deleted.
 660
 661 .. _kdb5_ldap_util_destroy_policy_end:
 662
 663 list_policy
 664 ~~~~~~~~~~~
 665
 666 .. _kdb5_ldap_util_list_policy:
 667
 668     **list_policy**
 669     [**-r** *realm*]
 670
 671 Lists the ticket policies in realm if specified or in the default
 672 realm.  Options:
 673
 674 **-r** *realm*
 675     Specifies the Kerberos realm of the database.
 676
 677 EXAMPLE:
 678  ::
 679
 680     kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list_policy -r ATHENA.MIT.EDU
 681     Password for "cn=admin,o=org":
 682     tktpolicy
 683     tmppolicy
 684     userpolicy
 685
 686 .. _kdb5_ldap_util_list_policy_end:
 687
 688
 689 SEE ALSO
 690 --------
 691
 692 :ref:`kadmin(1)`