Minor reformating of kdb5_ldap_util documentation. Also, removed duplicates from...
authorZhanna Tsitkov <tsitkova@mit.edu>
Mon, 22 Aug 2011 20:24:07 +0000 (20:24 +0000)
committerZhanna Tsitkov <tsitkova@mit.edu>
Mon, 22 Aug 2011 20:24:07 +0000 (20:24 +0000)
git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@25110 dc483132-0cff-0310-8789-dd5450dbe970

doc/rst_source/krb_admins/admin_commands/kdb5_ldap_util.rst
doc/rst_source/krb_admins/database/ldap_operations/index.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_create_realm.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_del_realm.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_mod_realm.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_realm_info.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_realm_list.rst
doc/rst_source/krb_admins/database/ldap_operations/ldap_stash_pass.rst

index cf07a1d29d17235e979ad7404f3103063e97dc55..1038ee9b159bb67767924cb43118bd6b79aeb00a 100644 (file)
@@ -5,9 +5,13 @@ kdb5_ldap_util
 
 SYNOPSIS
 -----------------------
+
+.. _kdb5_ldap_util_synopsis:
        
 **kdb5_ldap_util** [**-D** *user_dn* [**-w** *passwd*]] [**-H** *ldapuri*] **command** [*command_options*]
 
+.. _kdb5_ldap_util_synopsis_end:
+
 DESCRIPTION
 -----------------------
        
@@ -16,6 +20,8 @@ DESCRIPTION
 COMMAND-LINE OPTIONS
 -----------------------
        
+.. _kdb5_ldap_util_options:
+
 **-D** *user_dn*
       Specifies the Distinguished name (DN) of the user who has sufficient rights to perform the operation on the LDAP server.
 
@@ -23,130 +29,157 @@ COMMAND-LINE OPTIONS
       Specifies the password of *user_dn*.  This option is not recommended.
 
 **-H** *ldapuri*
-      Specifies the URI of the LDAP server.
+      Specifies the URI of the LDAP server.  It is recommended to use *ldapi://* or *ldaps://* to connect to the LDAP server.
+
+.. _kdb5_ldap_util_options_end:
 
 
 COMMANDS
 -----------------------
        
-**create**  [**-subtrees** *subtree_dn_list*]  [**-sscope** *search_scope*]  [**-containerref** *container_reference_dn*]  [**-k** *mkeytype*] [**-kv** *mkeyVNO*] [**-m|-P** *password*|**-sf** *stashfilename*] [**-s**] [**-r** *realm*] [**-kdcdn** *kdc_service_list*] [**-admindn** *admin_service_list*] [**-maxtktlife** *max_ticket_life*] [**-maxrenewlife** *max_renewable_ticket_life*] [*ticket_flags*]
-        Creates realm in directory. Options:
+create
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_create:
+
+   **create**  
+   [**-subtrees** *subtree_dn_list*]  
+   [**-sscope** *search_scope*]  
+   [**-containerref** *container_reference_dn*]  
+   [**-k** *mkeytype*]
+   [**-kv** *mkeyVNO*]
+   [**-m|-P** *password*|**-sf** *stashfilename*]
+   [**-s**]
+   [**-r** *realm*]
+   [**-kdcdn** *kdc_service_list*]
+   [**-admindn** *admin_service_list*]
+   [**-maxtktlife** *max_ticket_life*]
+   [**-maxrenewlife** *max_renewable_ticket_life*]
+   [*ticket_flags*]
+             
+       Creates realm in directory. Options:
+
+   **-subtrees** *subtree_dn_list*
+              Specifies the list of subtrees containing the principals of a realm.   
+              The list contains the DNs of the subtree objects separated by colon(\:).
 
-**-subtrees** *subtree_dn_list*
-       Specifies the list of subtrees containing the principals of a realm.   
-       The list contains the DNs of the subtree objects separated by colon(\:).
+   **-sscope** *search_scope*
+              Specifies the scope for searching the principals under the subtree.  
+              The possible values are 1 or one (one level), 2 or sub (subtrees).
 
-**-sscope** *search_scope*
-       Specifies the scope for searching the principals under the subtree.  
-       The possible values are 1 or one (one level), 2 or sub (subtrees).
+   **-containerref** *container_reference_dn*
+              Specifies the DN of the container object in which the principals of a realm will be created.  
+              If the container reference is not configured  for  a  realm, the principals will be created in the realm container.
 
-**-containerref** *container_reference_dn*
-       Specifies the DN of the container object in which the principals of a realm will be created.  
-       If the container reference is not configured  for  a  realm, the principals will be created in the realm container.
+   **-k** *mkeytype*
+              Specifies the key type of the master key in the database; the default is that given in kdc.conf.
 
-**-k** *mkeytype*
-       Specifies the key type of the master key in the database; the default is that given in kdc.conf.
+   **-kv** *mkeyVNO*
+              Specifies the version number of the master key in the database; the default is 1. Note that 0 is not allowed.
 
-**-kv** *mkeyVNO*
-       Specifies the version number of the master key in the database; the default is 1. Note that 0 is not allowed.
+   **-m**     
+              Specifies that the master database password should be read from the TTY rather than fetched from a file on the disk.
 
-**-m**     
-       Specifies that the master database password should be read from the TTY rather than fetched from a file on the disk.
+   **-P** *password*
+              Specifies the master database password. This option is not recommended.
 
-**-P** *password*
-       Specifies the master database password. This option is not recommended.
+   **-r** *realm* 
+               Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3) is used.
 
-**-sf** *stashfilename*
-       Specifies the stash file of the master database password.
+   **-sf** *stashfilename*
+              Specifies the stash file of the master database password.
 
-**-s**
-       Specifies that the stash file is to be created.
+   **-s**
+              Specifies that the stash file is to be created.
 
-**-maxtktlife** *max_ticket_life*
-       Specifies maximum ticket life for principals in this realm.
+   **-maxtktlife** *max_ticket_life*
+              Specifies maximum ticket life for principals in this realm.
 
-**-maxrenewlife** *max_renewable_ticket_life*
-       Specifies maximum renewable life of tickets for principals in this realm.
+   **-maxrenewlife** *max_renewable_ticket_life*
+              Specifies maximum renewable life of tickets for principals in this realm.
 
-*ticket_flags*
-       Specifies  the ticket flags. 
-       If this option is not specified, by default, none of the flags are set. 
-       This means all the ticket options will be allowed and no restriction will be set.
+   *ticket_flags*
+              Specifies  the ticket flags. 
+              If this option is not specified, by default, none of the flags are set. 
+              This means all the ticket options will be allowed and no restriction will be set.
 
        The various flags are:
 
        {-\|+}allow_postdated
-           *-allow_postdated* prohibits principals from obtaining postdated tickets.  
-           (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.)  *+allow_postdated* clears this flag.
+                  *-allow_postdated* prohibits principals from obtaining postdated tickets.  
+                  (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.)  *+allow_postdated* clears this flag.
 
        {-\|+}allow_forwardable
-           *-allow_forwardable* prohibits principals from obtaining forwardable tickets.  
-           (Sets the  KRB5_KDB_DISALLOW_FORWARDABLE  flag.)   
-           *+allow_forwardable*  clears this flag.
+                  *-allow_forwardable* prohibits principals from obtaining forwardable tickets.  
+                  (Sets the  KRB5_KDB_DISALLOW_FORWARDABLE  flag.)   
+                  *+allow_forwardable*  clears this flag.
 
        {-\|+}allow_renewable
-           *-allow_renewable* prohibits principals from obtaining renewable tickets. 
-           (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.)  
-           *+allow_renewable* clears this flag.
+                  *-allow_renewable* prohibits principals from obtaining renewable tickets. 
+                  (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.)  
+                  *+allow_renewable* clears this flag.
 
        {-\|+}allow_proxiable
-           *-allow_proxiable* prohibits principals from obtaining proxiable tickets.  
-           (Sets the KRB5_KDB_DISALLOW_PROXIABLE flag.)  
-           *+allow_proxiable* clears this flag.
+                  *-allow_proxiable* prohibits principals from obtaining proxiable tickets.  
+                  (Sets the KRB5_KDB_DISALLOW_PROXIABLE flag.)  
+                  *+allow_proxiable* clears this flag.
 
        {-\|+}allow_dup_skey
-           *-allow_dup_skey*  disables  user-to-user  authentication  for principals by prohibiting principals 
-           from obtaining a session key for another user. 
-           (Sets the KRB5_KDB_DISALLOW_DUP_SKEY flag.)  
-           *+allow_dup_skey* clears this flag.
+                  *-allow_dup_skey*  disables  user-to-user  authentication  for principals by prohibiting principals 
+                  from obtaining a session key for another user. 
+                  (Sets the KRB5_KDB_DISALLOW_DUP_SKEY flag.)  
+                  *+allow_dup_skey* clears this flag.
+
+       {-\|+}ok_as_delegate
+                  +ok_as_delegate sets the OK-AS-DELEGATE flag on tickets issued for use with this principal as the service,
+                  which clients may use as a hint that credentials can and should be delegated when authenticating to the service.
+                  (Sets the KRB5_KDB_OK_AS_DELEGATE flag.) 
+                  *-ok_as_delegate* clears this flag.
 
        {-\|+}requires_preauth
-           *+requires_preauth* requires principals to preauthenticate before being allowed to *kinit*.  
-           (Sets the  KRB5_KDB_REQUIRES_PRE_AUTH  flag.)  
-           *-requires_preauth* clears this flag.
+                  *+requires_preauth* requires principals to preauthenticate before being allowed to *kinit*.  
+                  (Sets the  KRB5_KDB_REQUIRES_PRE_AUTH  flag.)  
+                  *-requires_preauth* clears this flag.
 
        {-\|+}requires_hwauth
-           *+requires_hwauth* requires principals to preauthenticate using a hardware device before being allowed to kinit.  
-           (Sets the KRB5_KDB_REQUIRES_HW_AUTH flag.)
-           *-requires_hwauth* clears this flag.
+                  *+requires_hwauth* requires principals to preauthenticate using a hardware device before being allowed to kinit.  
+                  (Sets the KRB5_KDB_REQUIRES_HW_AUTH flag.)
+                  *-requires_hwauth* clears this flag.
 
        {-\|+}allow_svr
-           *-allow_svr* prohibits the issuance of service tickets for principals.  (Sets the KRB5_KDB_DISALLOW_SVR flag.)  
-           *+allow_svr* clears this flag.
+                  *-allow_svr* prohibits the issuance of service tickets for principals.  (Sets the KRB5_KDB_DISALLOW_SVR flag.)  
+                  *+allow_svr* clears this flag.
 
        {-\|+}allow_tgs_req
-           *-allow_tgs_req* specifies that a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted.  
-           This option  is  useless  for most  things.   
-           *+allow_tgs_req*  clears  this flag.  The default is *+allow_tgs_req*.  
-           In effect, *-allow_tgs_req* sets the KRB5_KDB_DISALLOW_TGT_BASED flag on principals in the database.
+                  *-allow_tgs_req* specifies that a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted.  
+                  This option  is  useless  for most  things.   
+                  *+allow_tgs_req*  clears  this flag.  The default is *+allow_tgs_req*.  
+                  In effect, *-allow_tgs_req* sets the KRB5_KDB_DISALLOW_TGT_BASED flag on principals in the database.
 
        {-\|+}allow_tix
-           *-allow_tix* forbids the issuance of any tickets for principals.  *+allow_tix* clears this flag.  
-           The default is *+allow_tix*.  
-           In effect, *-allow_tix*  sets  the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database.
+                  *-allow_tix* forbids the issuance of any tickets for principals.  *+allow_tix* clears this flag.  
+                  The default is *+allow_tix*.  
+                  In effect, *-allow_tix*  sets  the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database.
 
        {-\|+}needchange
-           *+needchange*  sets  a  flag in attributes field to force a password change; *-needchange* clears it. 
-           The default is *-needchange*.  
-           In effect, *+needchange* sets the KRB5_KDB_REQUIRES_PWCHANGE flag on principals in the database.
+                  *+needchange*  sets  a  flag in attributes field to force a password change; *-needchange* clears it. 
+                  The default is *-needchange*.  
+                  In effect, *+needchange* sets the KRB5_KDB_REQUIRES_PWCHANGE flag on principals in the database.
 
        {-\|+}password_changing_service
-           *+password_changing_service* sets a flag in the attributes field marking principal as a password change service principal
-           (useless for most things).  
-           *-password_changing_service*  clears  the  flag. This flag intentionally has a long name. 
-           The default is *-password_changing_service*.  
-           In effect, *+password_changing_service* sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database.
-
-**-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+                  *+password_changing_service* sets a flag in the attributes field marking principal as a password change service principal
+                  (useless for most things).  
+                  *-password_changing_service*  clears  the  flag. This flag intentionally has a long name. 
+                  The default is *-password_changing_service*.  
+                  In effect, *+password_changing_service* sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database.
 
-Command Options Specific to eDirectory
+   Command options specific to eDirectory
 
-**-kdcdn** *kdc_service_list*
+   **-kdcdn** *kdc_service_list*
        Specifies the list of KDC service objects serving the realm. 
        The list contains the DNs of the KDC service objects separated by colon(\:).
 
-**-admindn** *admin_service_list*
+   **-admindn** *admin_service_list*
        Specifies the list of Administration service objects serving the realm. 
        The list contains the DNs of  the  Administration  service  objects  separated  by colon(\:).
 
@@ -161,132 +194,156 @@ EXAMPLE::
        Re-enter KDC database master key to verify:
 
 
-**modify**  [**-subtrees** *subtree_dn_list*]  [**-sscope** *search_scope*]  [**-containerref** *container_reference_dn*] [**-r** *realm*] [**-kdcdn** *kdc_service_list* | [**-clearkdcdn** *kdc_service_list*] [**-addkdcdn** *kdc_service_list*]] [**-admindn** *admin_service_list* | [**-clearadmindn** *admin_service_list*] [**-addadmindn** *admin_service_list*]] [**-maxtktlife** *max_ticket_life*] [**-maxrenewlife** *max_renewable_ticket_life*] [*ticket_flags*]
+.. _kdb5_ldap_util_create_end:
+
+modify
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_modify:
+
 
-Modifies the attributes of a realm. Options:
+   **modify**  
+   [**-subtrees** *subtree_dn_list*]
+   [**-sscope** *search_scope*]
+   [**-containerref** *container_reference_dn*]
+   [**-r** *realm*]
+   [**-kdcdn** *kdc_service_list* | [**-clearkdcdn** *kdc_service_list*] [**-addkdcdn** *kdc_service_list*]]
+   [**-admindn** *admin_service_list* | [**-clearadmindn** *admin_service_list*] [**-addadmindn** *admin_service_list*]]
+   [**-maxtktlife** *max_ticket_life*]
+   [**-maxrenewlife** *max_renewable_ticket_life*] 
+   [*ticket_flags*]
 
-**-subtrees** *subtree_dn_list*
-       Specifies  the  list  of subtrees containing the principals of a realm.  
-       The list contains the DNs of the subtree objects separated by colon(\:). This list replaces the existing list.
+       Modifies the attributes of a realm. Options:
 
-**-sscope** *search_scope*
-       Specifies the scope for searching the principals under the subtrees.  
-       The possible values are 1 or one (one level), 2 or sub (subtrees).
+   **-subtrees** *subtree_dn_list*
+              Specifies  the  list  of subtrees containing the principals of a realm.  
+              The list contains the DNs of the subtree objects separated by colon(\:). This list replaces the existing list.
 
-**-containerref** *container_reference_dn*
-       Specifies the DN of the container object in which the principals of a realm will be created.
+   **-sscope** *search_scope*
+              Specifies the scope for searching the principals under the subtrees.  
+              The possible values are 1 or one (one level), 2 or sub (subtrees).
+
+   **-containerref** *container_reference_dn*
+              Specifies the DN of the container object in which the principals of a realm will be created.
  
-**-maxtktlife** *max_ticket_life*
-       Specifies maximum ticket life for principals in this realm.
+   **-r** *realm*
+              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
-**-maxrenewlife** *max_renewable_ticket_life*
-       Specifies maximum renewable life of tickets for principals in this realm.
+   **-maxtktlife** *max_ticket_life*
+              Specifies maximum ticket life for principals in this realm.
 
-*ticket_flags*
-       Specifies the ticket flags. If this option is not specified, by default, none of the flags are set.
-       This means all the ticket options will be allowed  and no restriction will be set.
+   **-maxrenewlife** *max_renewable_ticket_life*
+              Specifies maximum renewable life of tickets for principals in this realm.
+
+   *ticket_flags*
+              Specifies the ticket flags. If this option is not specified, by default, none of the flags are set.
+              This means all the ticket options will be allowed  and no restriction will be set.
 
        The various flags are:
 
        {-\|+}allow_postdated
-           *-allow_postdated* prohibits principals from obtaining postdated tickets.  (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.)  
-           *+allow_postdated* clears this flag.
+                  *-allow_postdated* prohibits principals from obtaining postdated tickets.  (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.)  
+                  *+allow_postdated* clears this flag.
 
        {-\|+}allow_forwardable
-           *-allow_forwardable*  prohibits  principals  from  obtaining forwardable tickets.  
-           (Sets the KRB5_KDB_DISALLOW_FORWARDABLE flag.)  
-           *+allow_forwardable* clears this flag.
+                  *-allow_forwardable*  prohibits  principals  from  obtaining forwardable tickets.  
+                  (Sets the KRB5_KDB_DISALLOW_FORWARDABLE flag.)  
+                  *+allow_forwardable* clears this flag.
 
        {-\|+}allow_renewable
-           *-allow_renewable* prohibits principals from obtaining renewable tickets. (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.)  
-           *+allow_renewable* clears this flag.
+                  *-allow_renewable* prohibits principals from obtaining renewable tickets. (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.)  
+                  *+allow_renewable* clears this flag.
 
        {-\|+}allow_proxiable
-           *-allow_proxiable* prohibits principals from obtaining proxiable tickets.  (Sets the KRB5_KDB_DISALLOW_PROXIABLE flag.)  
-           *+allow_proxiable* clears this flag.
+                  *-allow_proxiable* prohibits principals from obtaining proxiable tickets.  (Sets the KRB5_KDB_DISALLOW_PROXIABLE flag.)  
+                  *+allow_proxiable* clears this flag.
 
        {-\|+}allow_dup_skey
-           *-allow_dup_skey* Disables user-to-user authentication for principals by prohibiting principals from 
-           obtaining a session key for  another  user.  
-           (Sets  the KRB5_KDB_DISALLOW_DUP_SKEY flag.)  
-           *+allow_dup_skey* clears this flag.
+                  *-allow_dup_skey* Disables user-to-user authentication for principals by prohibiting principals from 
+                  obtaining a session key for  another  user.  
+                  (Sets  the KRB5_KDB_DISALLOW_DUP_SKEY flag.)  
+                  *+allow_dup_skey* clears this flag.
 
        {-\|+}requires_preauth
-           *+requires_preauth*  requires  principals  to preauthenticate before being allowed to kinit.
-           (Sets the KRB5_KDB_REQUIRES_PRE_AUTH flag.)  *-requires_preauth* clears this flag.
+                  *+requires_preauth*  requires  principals  to preauthenticate before being allowed to kinit.
+                  (Sets the KRB5_KDB_REQUIRES_PRE_AUTH flag.)  *-requires_preauth* clears this flag.
 
        {-\|+}requires_hwauth
-           *+requires_hwauth* requires principals to preauthenticate using a hardware device before being allowed to kinit.  
-           (Sets the KRB5_KDB_REQUIRES_HW_AUTH flag.)
-           *-requires_hwauth* clears this flag.
+                  *+requires_hwauth* requires principals to preauthenticate using a hardware device before being allowed to kinit.  
+                  (Sets the KRB5_KDB_REQUIRES_HW_AUTH flag.)
+                  *-requires_hwauth* clears this flag.
 
        {-\|+}allow_svr
-           *-allow_svr* prohibits the issuance of service tickets for principals.  (Sets the KRB5_KDB_DISALLOW_SVR flag.)  
-           *+allow_svr* clears this flag.
+                  *-allow_svr* prohibits the issuance of service tickets for principals.  (Sets the KRB5_KDB_DISALLOW_SVR flag.) *+allow_svr* clears this flag.
 
        {-\|+}allow_tgs_req
-           *-allow_tgs_req*  specifies  that  a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted.  
-           This option is useless for most things.  
-           *+allow_tgs_req* clears this flag.  
-           The default is *+allow_tgs_req*.  In effect, *-allow_tgs_req* sets  the  KRB5_KDB_DISALLOW_TGT_BASED  flag  on principals in the database.
+                  *-allow_tgs_req*  specifies  that  a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted.  
+                  This option is useless for most things.  
+                  *+allow_tgs_req* clears this flag.  
+                  The default is *+allow_tgs_req*.  In effect, *-allow_tgs_req* sets  the  KRB5_KDB_DISALLOW_TGT_BASED  flag  on principals in the database.
 
        {-\|+}allow_tix
-           *-allow_tix*  forbids  the issuance of any tickets for principals.  
-           *+allow_tix* clears this flag.  The default is *+allow_tix*.  
-           In effect, *-allow_tix* sets the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database.
+                  *-allow_tix*  forbids  the issuance of any tickets for principals.  
+                  *+allow_tix* clears this flag.  The default is *+allow_tix*.  
+                  In effect, *-allow_tix* sets the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database.
 
        {-\|+}needchange
-           *+needchange* sets a flag in attributes field to force a password change; 
-           *-needchange* clears it. The default is *-needchange*.  
-           In  effect,  *+needchange*  sets the KRB5_KDB_REQUIRES_PWCHANGE flag on principals in the database.
+                  *+needchange* sets a flag in attributes field to force a password change; 
+                  *-needchange* clears it. The default is *-needchange*.  
+                  In  effect,  *+needchange*  sets the KRB5_KDB_REQUIRES_PWCHANGE flag on principals in the database.
 
        {-\|+}password_changing_service
-           *+password_changing_service* sets a flag in the attributes field marking principal as a password change service principal
-           (useless for most things).  *-password_changing_service* clears the flag. This flag intentionally has a long name. 
-           The default is *-password_changing_service*.   
-           In  effect,  *+password_changing_service* sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database.
-
-**-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+                  *+password_changing_service* sets a flag in the attributes field marking principal as a password change service principal
+                  (useless for most things).  *-password_changing_service* clears the flag. This flag intentionally has a long name. 
+                  The default is *-password_changing_service*.   
+                  In  effect,  *+password_changing_service* sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database.
 
-Command Options Specific to eDirectory
+   Command options specific to eDirectory
 
-**-kdcdn** *kdc_service_list*
-       Specifies  the  list  of  KDC  service objects serving the realm. 
-       The list contains the DNs of the KDC service objects separated by a colon (\:). 
-       This list replaces the existing list.
+   **-kdcdn** *kdc_service_list*
+              Specifies  the  list  of  KDC  service objects serving the realm. 
+              The list contains the DNs of the KDC service objects separated by a colon (\:). 
+              This list replaces the existing list.
 
-**-clearkdcdn** *kdc_service_list*
-       Specifies the list of KDC service objects that need to be removed from the existing list. 
-       The list contains the DNs of the KDC service  objects  separated by a colon (\:).
+   **-clearkdcdn** *kdc_service_list*
+              Specifies the list of KDC service objects that need to be removed from the existing list. 
+              The list contains the DNs of the KDC service  objects  separated by a colon (\:).
 
-**-addkdcdn** *kdc_service_list*
-       Specifies  the list of KDC service objects that need to be added to the existing list. 
-       The list contains the DNs of the KDC service objects separated by a colon (\:).
+   **-addkdcdn** *kdc_service_list*
+              Specifies  the list of KDC service objects that need to be added to the existing list. 
+              The list contains the DNs of the KDC service objects separated by a colon (\:).
 
-**-admindn** *admin_service_list*
-       Specifies the list of Administration service objects serving the realm. 
-       The list contains the DNs of the Administration service  objects  separated  by  a colon (\:). 
-       This list replaces the existing list.
+   **-admindn** *admin_service_list*
+              Specifies the list of Administration service objects serving the realm. 
+              The list contains the DNs of the Administration service  objects  separated  by  a colon (\:). 
+              This list replaces the existing list.
 
-**-clearadmindn** *admin_service_list*
-       Specifies  the list of Administration service objects that need to be removed from the existing list. 
-       The list contains the DNs of the Administration service objects separated by a colon (\:).
+   **-clearadmindn** *admin_service_list*
+              Specifies  the list of Administration service objects that need to be removed from the existing list. 
+              The list contains the DNs of the Administration service objects separated by a colon (\:).
 
-**-addadmindn** *admin_service_list*
-       Specifies the list of Administration service objects that need to be added to the existing list. 
-       The list contains the DNs of the  Administration  service objects separated by a colon (:).
+   **-addadmindn** *admin_service_list*
+              Specifies the list of Administration service objects that need to be added to the existing list. 
+              The list contains the DNs of the  Administration  service objects separated by a colon (:).
 
 EXAMPLE::
 
-       kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu modify +requires_preauth -r ATHENA.MIT.EDU
+       shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu modify +requires_preauth -r ATHENA.MIT.EDU
        Password for "cn=admin,o=org":
+       shell% 
+
+.. _kdb5_ldap_util_modify_end:
+
+view
+~~~~~~~~~~~~~~~~~~~
 
-**view** [**-r** *realm*]
+.. _kdb5_ldap_util_view:
+
+   **view** [**-r** *realm*]
        Displays the attributes of a realm.  Options:
 
-**-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+   **-r** *realm*
+              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
 EXAMPLE::
 
@@ -300,43 +357,67 @@ EXAMPLE::
        Maximum renewable life: 0 days 10:00:00
        Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 
-**destroy** [**-f**] [**-r** *realm*]
+.. _kdb5_ldap_util_view_end:
+
+destroy
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_destroy:
+
+   **destroy** [**-f**] [**-r** *realm*]
        Destroys an existing realm. Options:
 
-**-f**
-       If specified, will not prompt the user for confirmation.
+   **-f**
+              If specified, will not prompt the user for confirmation.
 
-**-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+   **-r** *realm*
+              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
 EXAMPLE::
 
-       kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu destroy -r ATHENA.MIT.EDU
+       shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu destroy -r ATHENA.MIT.EDU
        Password for "cn=admin,o=org":
        Deleting KDC database of 'ATHENA.MIT.EDU', are you sure?
        (type 'yes' to confirm)? yes
        OK, deleting database of 'ATHENA.MIT.EDU'...
+       shell% 
+
+.. _kdb5_ldap_util_destroy_end:
 
-**list**
+list
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_list:
+
+   **list**
        Lists the name of realms.
 
 EXAMPLE::
 
-       kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list
+       shell% kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list
        Password for "cn=admin,o=org":
        ATHENA.MIT.EDU
        OPENLDAP.MIT.EDU
        MEDIA-LAB.MIT.EDU
+       shell% 
+
+.. _kdb5_ldap_util_list_end:
+
+
+stashsrvpw
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_stashsrvpw:
 
-**stashsrvpw** [**-f** *filename*] *servicedn*
+   **stashsrvpw** [**-f** *filename*] *servicedn*
        Allows  an  administrator to store the password for service object in a file so that KDC and Administration server 
        can use it to authenticate to the LDAP server.  Options:
 
-**-f** *filename*
-       Specifies the complete path of the service password file. By default, */usr/local/var/service_passwd* is used.
+   **-f** *filename*
+           Specifies the complete path of the service password file. By default, */usr/local/var/service_passwd* is used.
 
-*servicedn*
-       Specifies Distinguished name (DN) of the service object whose password is to be stored in file.
+   *servicedn*
+           Specifies Distinguished name (DN) of the service object whose password is to be stored in file.
 
 EXAMPLE::
 
@@ -344,19 +425,26 @@ EXAMPLE::
        Password for "cn=service-kdc,o=org":
        Re-enter password for "cn=service-kdc,o=org":
 
-**create_policy** [**-r** *realm*] [**-maxtktlife** *max_ticket_life*] [**-maxrenewlife** *max_renewable_ticket_life*] [*ticket_flags*] *policy_name*
+.. _kdb5_ldap_util_stashsrvpw_end:
+
+create_policy
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_create_policy:
+
+   **create_policy** [**-r** *realm*] [**-maxtktlife** *max_ticket_life*] [**-maxrenewlife** *max_renewable_ticket_life*] [*ticket_flags*] *policy_name*
        Creates a ticket policy in directory. Options:
 
-**-r** *realm*
+   **-r** *realm*
        Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
-**-maxtktlife** *max_ticket_life*
+   **-maxtktlife** *max_ticket_life*
        Specifies maximum ticket life for principals.
 
-**-maxrenewlife** *max_renewable_ticket_life*
+   **-maxrenewlife** *max_renewable_ticket_life*
        Specifies maximum renewable life of tickets for principals.
 
-*ticket_flags*
+   *ticket_flags*
        Specifies the ticket flags. If this option is not specified, by default, none of the flags are set. 
        This means all the ticket options will be allowed  and no restriction will be set.
 
@@ -420,7 +508,7 @@ EXAMPLE::
            This flag intentionally has a long name. The default is -password_changing_service.   
            In  effect,  *+password_changing_service* sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database.
 
-*policy_name*
+   *policy_name*
        Specifies the name of the ticket policy.
 
 EXAMPLE::
@@ -428,11 +516,24 @@ EXAMPLE::
        kdb5_ldap_util  -D  cn=admin,o=org -H ldaps://ldap-server1.mit.edu create_policy -r ATHENA.MIT.EDU -maxtktlife "1 day" -maxrenewlife "1 week" -allow_postdated +needchange -allow_forwardable tktpolicy
        Password for "cn=admin,o=org":
 
+.. _kdb5_ldap_util_create_policy_end:
+
+modify_policy
+~~~~~~~~~~~~~~~~~~~
 
-**modify_policy** [**-r** *realm*] [**-maxtktlife** *max_ticket_life*] [**-maxrenewlife** *max_renewable_ticket_life*] [*ticket_flags*] *policy_name*
+.. _kdb5_ldap_util_modify_policy:
+
+
+   **modify_policy** 
+   [**-r** *realm*] 
+   [**-maxtktlife** *max_ticket_life*] 
+   [**-maxrenewlife** *max_renewable_ticket_life*] 
+   [*ticket_flags*] 
+   *policy_name*
+       
        Modifies the attributes of a ticket policy. Options are same as create_policy.
 
-**-r** *realm*
+   **-r** *realm*
        Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
 EXAMPLE::
@@ -440,10 +541,17 @@ EXAMPLE::
        kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu modify_policy  -r  ATHENA.MIT.EDU  -maxtktlife  "60  minutes"  -maxrenewlife  "10  hours" +allow_postdated -requires_preauth tktpolicy
        Password for "cn=admin,o=org":
 
-**view_policy** [**-r** *realm*] *policy_name*
+.. _kdb5_ldap_util_modify_policy_end:
+
+view_policy
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_view_policy:
+
+   **view_policy** [**-r** *realm*] *policy_name*
        Displays the attributes of a ticket policy. Options:
 
-*policy_name*
+   *policy_name*
        Specifies the name of the ticket policy.
 
 EXAMPLE::
@@ -455,17 +563,28 @@ EXAMPLE::
        Maximum renewable life: 0 days 10:00:00
        Ticket flags: DISALLOW_FORWARDABLE REQUIRES_PWCHANGE
 
-**destroy_policy** [**-r** *realm*] [**-force**] *policy_name*
+.. _kdb5_ldap_util_view_policy_end:
+
+destroy_policy
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_destroy_policy:
+
+   **destroy_policy** 
+   [**-r** *realm*] 
+   [**-force**] 
+   *policy_name*
+       
        Destroys an existing ticket policy. Options:
 
-**-r** *realm*
+   **-r** *realm*
        Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
-**-force** 
+   **-force** 
        Forces  the  deletion  of the policy object. If not specified, will be prompted for confirmation while deleting the policy. 
        Enter yes to confirm the deletion.
 
-*policy_name*
+   *policy_name*
        Specifies the name of the ticket policy.
 
 EXAMPLE::
@@ -476,81 +595,103 @@ EXAMPLE::
        (type 'yes' to confirm)? yes
        ** policy object 'tktpolicy' deleted.
 
-**list_policy** [**-r** *realm*]
-       Lists the ticket policies in realm if specified or in the default realm.  Options:
+.. _kdb5_ldap_util_destroy_policy_end:
 
-**-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+list_policy
+~~~~~~~~~~~~~~~~~~~
 
-EXAMPLE::
+.. _kdb5_ldap_util_list_policy:
 
-       kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list_policy -r ATHENA.MIT.EDU
-       Password for "cn=admin,o=org":
-       tktpolicy
-       tmppolicy
-       userpolicy
+   **list_policy** [**-r** *realm*]
+       Lists the ticket policies in realm if specified or in the default realm.  Options:
+
+   **-r** *realm*
+       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
 
 
-Commands Specific to eDirectory
+   Commands Specific to eDirectory
 
-**setsrvpw** [**-randpw\|-fileonly**] [**-f** *filename*] *service_dn*
+   **setsrvpw** 
+       [**-randpw\|-fileonly**] 
+       [**-f** *filename*] 
+       *service_dn*
+       
        Allows an administrator to set password for service objects such as KDC and Administration server in eDirectory and store them in a file.  
        The  *-fileonly*  option stores the password in a file and not in the eDirectory object. Options:
 
-**-randpw**
+   **-randpw**
        Generates  and  sets a random password. 
        This options can be specified to store the password both in eDirectory and a file. 
        The *-fileonly* option can not be used if *-randpw* option is already specified.
 
-**-fileonly**
+   **-fileonly**
        Stores the password only in a file and not in eDirectory. 
        The *-randpw* option can not be used when *-fileonly* options is specified.
 
-**-f** *filename*
+   **-f** *filename*
        Specifies complete path of the service password file. By default, */usr/local/var/service_passwd* is used.
 
-*service_dn*
+   *service_dn*
        Specifies Distinguished name (DN) of the service object whose password is to be set.
 
-EXAMPLE::
+EXAMPLES::
+
+       kdb5_ldap_util -D cn=admin,o=org -H ldaps://ldap-server1.mit.edu list_policy -r ATHENA.MIT.EDU
+       Password for "cn=admin,o=org":
+       tktpolicy
+       tmppolicy
+       userpolicy
 
        kdb5_ldap_util setsrvpw -D cn=admin,o=org setsrvpw -fileonly -f /home/andrew/conf_keyfile cn=service-kdc,o=org
        Password for "cn=admin,o=org":
        Password for "cn=service-kdc,o=org":
        Re-enter password for "cn=service-kdc,o=org":
 
-**create_service** {**-kdc\|-admin**} [**-servicehost** *service_host_list*] [**-realm** *realm_list*] [**-randpw\|-fileonly**] [**-f** *filename*] *service_dn*
+.. _kdb5_ldap_util_list_policy_end:
+
+create_service
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_create_service:
+
+   **create_service** 
+   {**-kdc\|-admin**} 
+   [**-servicehost** *service_host_list*] 
+   [**-realm** *realm_list*] 
+   [**-randpw\|-fileonly**] 
+   [**-f** *filename*] *service_dn*
+       
        Creates a service in directory and assigns appropriate rights. Options:
 
-**-kdc**
+   **-kdc**
        Specifies the service is a KDC service
 
-**-admin**
+   **-admin**
        Specifies the service is a Administration service
 
-**-servicehost** *service_host_list*
+   **-servicehost** *service_host_list*
        Specifies the list of entries separated by a colon (\:). 
        Each entry consists of the hostname or IP address of the server  hosting  the  service,  
        transport protocol, and the port number of the service separated by a pound sign (#).  
        For example, server1#tcp#88:server2#udp#89.
 
-**-realm** *realm_list*
+   **-realm** *realm_list*
        Specifies the list of realms that are to be associated with this service. 
        The list contains the name of the realms separated by a colon (\:).
 
-**-randpw**
+   **-randpw**
        Generates and sets a random password. This option is used to set the random password for 
        the service object in directory and also to store it in the file.
        The *-fileonly* option can not be used if *-randpw* option is specified.
 
-**-fileonly**
+   **-fileonly**
        Stores the password only in a file and not in eDirectory.
        The *-randpw* option can not be used when *-fileonly* option is specified.
 
-**-f** *filename*
+   **-f** *filename*
        Specifies the complete path of the file where the service object password is stashed.
 
-*service_dn*
+   *service_dn*
        Specifies Distinguished name (DN) of the Kerberos service to be created.
 
 EXAMPLE::
@@ -559,41 +700,52 @@ EXAMPLE::
        Password for "cn=admin,o=org":
        File does not exist. Creating the file /home/andrew/conf_keyfile...
 
+.. _kdb5_ldap_util_create_service_end:
+
+modify_service
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_modify_service:
 
-**modify_service**   [**-servicehost** *service_host_list*  |   [**-clearservicehost** *service_host_list*]   [**-addservicehost** *service_host_list*]]   [**-realm** *realm_list*   |    [**-clearrealm** *realm_list*] [**-addrealm** *realm_list*]] *service_dn*
+
+   **modify_service**   
+   [**-servicehost** *service_host_list*  |   [**-clearservicehost** *service_host_list*]   [**-addservicehost** *service_host_list*]]
+   [**-realm** *realm_list*   |    [**-clearrealm** *realm_list*] [**-addrealm** *realm_list*]] 
+   *service_dn*
+       
        Modifies the attributes of a service and assigns appropriate rights. Options:
 
-**-servicehost** *service_host_list*
+   **-servicehost** *service_host_list*
        Specifies the list of entries separated by a colon (\:). 
        Each entry consists of a host name or IP Address of the Server hosting the service, transport protocol, 
        and port number of the service separated by a pound sign (#).  For example::
 
             server1#tcp#88:server2#udp#89
 
-**-clearservicehost** *service_host_list*
+   **-clearservicehost** *service_host_list*
        Specifies the list of servicehost entries to be removed from the existing list separated by colon (\:). 
        Each entry consists of a host name or IP Address of
        the server hosting the service, transport protocol, and port number of the service separated by a pound sign (#).
 
-**-addservicehost** *service_host_list*
+   **-addservicehost** *service_host_list*
        Specifies the list of servicehost entries to be added to the existing list separated by colon (\:). 
        Each entry consists of a host name or IP Address of the
        server hosting the service, transport protocol, and port number of the service separated by a pound sign (#).
 
-**-realm** *realm_list*
+   **-realm** *realm_list*
        Specifies the list of realms that are to be associated with this service. 
        The list contains the name of the realms separated by a  colon  (\:).  
        This  list replaces the existing list.
 
-**-clearrealm** *realm_list*
+   **-clearrealm** *realm_list*
        Specifies the list of realms to be removed from the existing list. 
        The list contains the name of the realms separated by a colon (\:).
 
-**-addrealm** *realm_list*
+   **-addrealm** *realm_list*
        Specifies the list of realms to be added to the existing list. 
        The list contains the name of the realms separated by a colon (\:).
 
-*service_dn*
+   *service_dn*
        Specifies Distinguished name (DN) of the Kerberos service to be modified.
 
 EXAMPLE::
@@ -602,10 +754,17 @@ EXAMPLE::
        Password for "cn=admin,o=org":
        Changing rights for the service object. Please wait ... done
 
-**view_service** *service_dn*
+.. _kdb5_ldap_util_modify_service_end:
+
+view_service
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_view_service:
+
+   **view_service** *service_dn*
        Displays the attributes of a service.  Options:
 
-*service_dn*
+   *service_dn*
        Specifies Distinguished name (DN) of the Kerberos service to be viewed.
 
 EXAMPLE::
@@ -617,17 +776,24 @@ EXAMPLE::
        Service host list:
        Realm DN list: cn=ATHENA.MIT.EDU,cn=Kerberos,cn=Security
 
-**destroy_service** [**-force**] [**-f** *stashfilename*] *service_dn*
+.. _kdb5_ldap_util_view_service_end:
+
+destroy_service
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_destroy_service:
+
+   **destroy_service** [**-force**] [**-f** *stashfilename*] *service_dn*
        Destroys an existing service. Options:
 
-**-force**
+   **-force**
        If specified, will not prompt for user's confirmation, instead will force destruction of the service.
 
-**-f** *stashfilename*
+   **-f** *stashfilename*
        Specifies the complete path of the service password file from where the entry corresponding 
        to the service_dn needs to be removed.
 
-*service_dn*
+   *service_dn*
        Specifies Distinguished name (DN) of the Kerberos service to be destroyed.
 
 EXAMPLE::
@@ -638,10 +804,17 @@ EXAMPLE::
        (type 'yes' to confirm)? yes
        ** service object 'cn=service-kdc,o=org' deleted.
 
-**list_service** [**-basedn** *base_dn*]
+.. _kdb5_ldap_util_destroy_service_end:
+
+list_service
+~~~~~~~~~~~~~~~~~~~
+
+.. _kdb5_ldap_util_list_service:
+
+   **list_service** [**-basedn** *base_dn*]
        Lists the name of services under a given base in directory. Options:
 
-**-basedn** *base_dn*
+   **-basedn** *base_dn*
        Specifies the base DN for searching the service objects, limiting the search to a particular subtree. 
        If this option is not provided, LDAP Server specific search base will be used.  
        For eg, in the case of OpenLDAP, value of defaultsearchbase from *slapd.conf* file will be used, 
@@ -655,6 +828,9 @@ EXAMPLE::
        cn=service-adm,o=org
        cn=service-pwd,o=org
 
+.. _kdb5_ldap_util_list_service_end:
+
+
 SEE ALSO
 -----------------------
        
index ad1f885a72b575f6f377bf260696f386e5677684..3f36b7b6e93b7262c9b6c93a0f7b3450350c3bea 100644 (file)
@@ -5,15 +5,17 @@ Operations on the LDAP database
 
 The *kdb5_ldap_util* is the primary tool for administrating the Kerberos LDAP database. It allows an administrator to manage realms, Kerberos services ( KDC and Admin Server) and ticket policies.
 
-The syntax is::
-
-     kdb5_ldap_util [-D user_dn [-w passwd]] [-H ldap_uri] command [command_options]
-     
-======================= ====================================================
--D *user_dn*              Specifies the Distinguished Name (DN) of the user who has sufficient rights to perform the operation on the LDAP server. 
--w *passwd*              Specifies the password of *user_dn*. This option is not recommended. 
--H *ldap_uri*            Specifies the URI of the LDAP server. It is recommended to use *ldapi://* or *ldaps://* to connect to the LDAP server. 
-======================= ====================================================
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_synopsis:
+   :end-before: _kdb5_ldap_util_synopsis_end:
+
+**OPTIONS**
+
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_options:
+   :end-before: _kdb5_ldap_util_options_end:
+
+
 
 
 LDAP
index ce4e5477631ba14c69cfd4cbc679d8a7ea5a5086..b928c3aabd20b7410192387538f3efff5a6b0a9a 100644 (file)
@@ -3,78 +3,12 @@
 Creating a Kerberos realm
 ================================
 
-If you need to create a new realm, use the command as follows::
+If you need to create a new realm, use the :ref:`kdb5_ldap_util(8)` **create** command as follows.
 
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_create:
+   :end-before: _kdb5_ldap_util_create_end:
      
-     create  [-r realm]  [-subtrees subtree_dn_list] [-sscope search_scope] [-containerref container_reference_dn]
-     [-k  mkeytype] [-m|-P password][-sf stashlename] [-s] [-maxtktlife max_ticket_life]
-     [-maxrenewlife  max_renewable_ticket_life] [ticket_flags]
-     
-     
-
-Options to create realm in directory are as follows
-
-=========================================== ==============================================
--r *realm*                                   Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3) is used. 
--subtrees *subtree_dn_list*                  Specifies the list of subtrees containing principals of a realm. The list contains the DN of the subtree objects separated by colon(:). 
--sscope *search_scope*                          Specifies the scope for searching the principals under the subtree. The possible values are 1 or one (one level), 2 or sub (subtree). 
--containerref *container_reference_dn*            Specfies the DN of the container object in which the principals of a realm will be created. If the container reference is not configured for a realm, the principals will be created in the realm container. 
--k *mkeytype*                                  Specifies the key type of the master key in the database; the default is that given in kdc.conf. 
--m                                              Specifies that the master database password should be read from the TTY rather than fetched from a file on disk. 
--p *password*                                    Specifies the master database password. This option is not recommended. 
--sf *stashfilename*                            Specifies the stash file of the master database password. 
--s                                              Specifies that the stash file is to be created. 
--maxtktlife *max_ticket_life*                    Specifies maximum ticket life for principals in this realm. This value is used, if it is not set on the principal. 
--maxrenewlife *max_renewable_ticket_life*      Specifies maximum renewable life of tickets for principals in this realm. This value is used, if it is not set on the principal. 
-ticket_flags                                    Specifies the ticket flags_. If this option is not specified, by default, none of the flags are set. This means all the ticket options will be allowed and no restriction will be set. This value is used, if it is not set on the principal. 
-=========================================== ==============================================
-
-.. _flags:
-
-The various **ticket flags** are:
-
-    {-\|+}allow_postdated
-        -allow_postdated prohibits principals from obtaining postdated tickets. (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.).+allow_postdated clears this flag. 
-    {-\|+}allow_forwardable
-        -allow_forwardable prohibits principals from obtaining forwardable tickets. (Sets the KRB5_KDB_DISALLOW_FORWARDABLE flag.) +allow_forwardable clears this flag. 
-    {-\|+}allow_renewable
-        -allow_renewable prohibits principals from obtaining renewable tickets. (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.) +allow_renewable clears this flag. 
-    {-\|+}allow_proxiable
-        -allow_proxiable prohibits principals from obtaining proxiable tickets. (Sets the KRB5_KDB_DISALLOW_PROXABLE flag.) +allow_proxiable clears this flag. 
-    {-\|+}allow_dup_skey
-        -allow_dup_skey disables user-to-user authentication for principals by prohibiting principals from obtaining a sessions key for another user. (Sets the KRB5_KDB_DISALLOW_DUP_SKEY flag.) +allow_dup_skey clears this flag. 
-    {-\|+}requires_preauth
-        +requires_preauth requires principals to preauthenticate before being allowed to kinit. (Sets the KRB5_KDB_REQURES_PRE_AUTH flag.) -requires_preauth clears this flag. 
-    {-\|+}requires_hwauth
-        +requires_hwauth requires principals to preauthenticate using a hardware device before being allowed to kinit. (Sets the KRB5_KDB_REQURES_HW_AUTH flag.) -requires_hwauth clears this flag. 
-    {-\|+}ok_as_delegate
-        +ok_as_delegate sets the OK-AS-DELEGATE flag on tickets issued for use with this principal as the service, which clients may use as a hint that credentials can and should be delegated when authenticating to the service. (Sets the KRB5_KDB_OK_AS_DELEGATE flag.) -ok_as_delegate clears this flag. 
-    {-\|+}allow_svr
-        -allow_svr prohibits the issuance of service tickets for principals. (Sets the KRB5_KDB_DISALLOW_SVR flag.) +allow_svr clears this flag. 
-    {-\|+}allow_tgs_req
-        -allow_tgs_req specifies that a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted. This option is useless for most things.+allow_tgs_req clears this flag. The default is +allow_tgs_req. In effect, -allow_tgs_req sets the KRB5_KDB_DISALLOW_TGT_BASED flag on principals in the database. 
-    {-\|+}allow_tix
-        -allow_tix forbids the issuance of any tickets for principals. +allow_tix clears this flag. The default is +allow_tix. In effect, -allow_tix sets the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database. 
-    {-\|+}needchange
-        +needchange sets a flag in attributes field to force a password change; -needchange clears it. The default is -needchange. In effect, +needchange sets the KRB5_KDB_REQURES_PWCHANGE flag on principals in the database. 
-    {-\|+}password_changing_service
-        +password_changing_service sets a flag in the attributes field marking principal as a password change service principal (useless for most things). -password_changing_service clears the flag. This flag intentionally has a long name. The default is -password_changing_service. In effect, +password_changing_service sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database. 
-
-|
-
-For example::
-
-     shell% kdb5_ldap_util -D cn=admin,dc=example,dc=com -H ldaps://ldap-server1.mit.edu create -sscope 2
-     -subtree ou=users,dc=example,dc=com -r ATHENA.MIT.EDU
-     Password for "cn=admin,dc=example,dc=com":
-     Initializing database for realm 'ATHENA.MIT.EDU'
-     You will be prompted for the database Master Password.
-     It is important that you NOT FORGET this password.
-     Enter KDC database master key:
-     Re-enter KDC database master key to verify:
-     shell%
-     
-
 
 .. seealso:: :ref:`edir_create_realm_label`
 
index 1e729e03dceee984891ec4226ec3ce1cc4d8f8c7..6577aae51f85af217f2814802532841ba9e8c677 100644 (file)
@@ -2,30 +2,13 @@ Destroying a Kerberos realm
 ===============================================
 
 
-To destroy a Kerberos realm, use the command as follows::
+If you need to destroy a Kerberos realm, use the :ref:`kdb5_ldap_util(8)` **destroy** command as follows.
 
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_destroy:
+   :end-before: _kdb5_ldap_util_destroy_end:
+     
 
-   destroy [-f] [-r realm]
-
-Options are as follows
-
-============= =======================
--f             If specified, will not prompt the user for confirmation. 
--r *realm*     Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3)is used. 
-============= =======================
-
-|
-
-For example::
-
-     shell% kdb5_ldap_util -D cn=admin,dc=example,dc=com -H ldap-server1.mit.edu destroy -r ATHENA.MIT.EDU
-
-
-     Password for "cn=admin,dc=example,dc=com":
-     Deleting KDC database of 'ATHENA.MIT.EDU', are you sure?
-     type 'yes' to confirm)? Yes
-     OK, deleting database of 'ATHENA.MIT.EDU'...
-     shell%
 
 ------------
 
index 7f721c5dd688ce241b77cb1d1ec021584b7b7acd..78c49b5bd10eb96d8482f5f230c05da134829361 100644 (file)
@@ -3,64 +3,13 @@
 Modifying a Kerberos realm
 ==================================
 
-If you need to modify a realm, use the command as follows::
+If you need to modify a realm, use the :ref:`kdb5_ldap_util(8)` **modify** command as follows.
 
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_modify:
+   :end-before: _kdb5_ldap_util_modify_end:
      
-     modify  [-r realm] [-subtrees subtree_dn] [-sscope search_scope][-containerref container_reference_dn]
-     [-maxtktlifemax_ticket_life][-maxrenewlife max_renewable_ticket_life] [ticket_flags]
-     
-     
-
-Options to modify realm in directory are as follows
-
-================================================= ================================================
--r *realm*                                          Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3) is used. 
--subtrees *subtree_dn_list*                         Specifies the list of subtrees containing principal objects in the realm.The list contains the DN of the subtree objects separated by colon(:). This list replaces the existing list. 
--sscope *search_scope*                               Specifies the scope for searching the principals under the subtrees. The possible values are 1 or one (one level), 2 or sub (subtrees). 
--containerref *container_reference_dn*                Specifies the Distinguished Name (DN) of the container object in which the principals of a realm will be created. 
--maxtktlife *max_ticket_life*                         Specifies maximum ticket life for principals in this realm. This value is used, if it is not set on the principal. 
--maxrenewlife *max_renewable_ticket_life*             Specifies maximum renewable life of tickets for principals in this realm. This value is used, if it is not set on the principal. 
-ticket_flags                                        Specifies the ticket flags_. If this option is not specified, by default, none of the flags are set. This means all the ticket options will be allowed and no restriction will be set. This value is used, if it is not set on the principal.
-================================================= ================================================
-
-.. _flags:
-
-The various **ticket flags** are:
-
-    {-\|+}allow_postdated
-        -allow_postdated prohibits principals from obtaining postdated tickets. (Sets the KRB5_KDB_DISALLOW_POSTDATED flag.).+allow_postdated clears this flag. 
-    {-\|+}allow_forwardable
-        -allow_forwardable prohibits principals from obtaining forwardable tickets. (Sets the KRB5_KDB_DISALLOW_FORWARDABLE flag.) +allow_forwardable clears this flag. 
-    {-\|+}allow_renewable
-        -allow_renewable prohibits principals from obtaining renewable tickets. (Sets the KRB5_KDB_DISALLOW_RENEWABLE flag.) +allow_renewable clears this flag. 
-    {-\|+}allow_proxiable
-        -allow_proxiable prohibits principals from obtaining proxiable tickets. (Sets the KRB5_KDB_DISALLOW_PROXABLE flag.) +allow_proxiable clears this flag. 
-    {-\|+}allow_dup_skey
-        -allow_dup_skey Disables user-to-user authentication for principals by prohibiting principals from obtaining a sessions key for another user. (Sets the KRB5_KDB_DISALLOW_DUP_SKEY flag.). +allow_dup_skey clears This flag. 
-    {-\|+}requires_preauth
-        +requires_preauth requires principals to preauthenticate before being allowed to kinit. Sets the KRB5_KDB_REQURES_PRE_AUTH flag.-requires_preauth clears this flag. 
-    {-\|+}requires_hwauth
-        +requires_hwauth requires principals to preauthenticate using a hardware device before being allowed to kinit. (Sets the KRB5_KDB_REQURES_HW_AUTH flag.)-requires_hwauth clears this flag. 
-    {-\|+}allow_svr
-        -allow_svr prohibits the issuance of service tickets for principals. (Sets the KRB5_KDB_DISALLOW_SVR flag.) +allow_svr clears This flag. 
-    {-\|+}allow_tgs_req
-        -allow_tgs_req specifies that a Ticket-Granting Service (TGS) request for a service ticket for principals is not permitted. This option is useless for most things.+allow_tgs_req clears this flag. The default is. +allow_tgs_req. In effect, -allow_tgs_req sets the KRB5_KDB_DISALLOW_TGT_BASED flag on principals in the database. 
-    {-\|+}allow_tix
-        -allow_tix forbids the issuance of any tickets for principals. +allow_tix clears this flag. The default is +allow_tix. In effect, -allow_tix sets the KRB5_KDB_DISALLOW_ALL_TIX flag on principals in the database. 
-    {-\|+}needchange
-        +needchange sets a flag in attributes field to force a password change; -needchange clears it. The default is -needchange. In effect,+needchange sets the KRB5_KDB_REQURES_PWCHANGE flag on principals in the database. 
-    {-\|+}password_changing_service
-        +password_changing_service sets a flag in the attributes field marking principal as a password change service principal (useless for most things).-password_changing_service clears the flag. This flag intentionally has a long name. The default is -password_changing_service In effect, +password_changing_service sets the KRB5_KDB_PWCHANGE_SERVICE flag on principals in the database. 
-
-|
-
-For example::
 
-              shell% kdb5_ldap_util -D cn=admin,dc=example,dc=com -H ldaps://ldap-server1.mit.edu
-              modify -r ATHENA.MIT.EDU +requires_preauth
-              Password for "cn=admin,dc=example,dc=com":
-              shell%
-              
 .. seealso:: :ref:`edir_mod_realm_label`
 
 
index b779d2d6b0faee7b1a82ac24c1c8579fafae4542..e7be81a0073bb69e896de411d5ea9bf2b8337c1f 100644 (file)
@@ -1,29 +1,15 @@
 Retrieving information about a Kerberos realm
 ===============================================
 
-To display the attributes of a realm, use the command as follows::
+If you need to display the attributes of a realm, use the :ref:`kdb5_ldap_util(8)` **view** command as follows.
 
-     view [-r realm]
-
-where *-r realm* specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3)is used. 
-
-|
-
-For example::
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_view:
+   :end-before: _kdb5_ldap_util_view_end:
+     
 
-     shell% kdb5_ldap_util -D cn=admin,dc=example,dc=com -H ldaps://ldap-server1.mit.edu view -r ATHENA.MIT.EDU
 
 
-     Password for "cn=admin,dc=example,dc=com":
-     Realm Name: ATHENA.MIT.EDU
-     Subtree: ou=users,dc=example,dc=com
-     Subtree: ou=servers,dc=example,dc=com
-     SearchScope: ONE
-     Maximum ticket life: 0 days 01:00:00
-     Maximum renewable life: 0 days 10:00:00
-     Ticket flags: DISALLOW_FORWARDABLE
-     shell%
-     
 
 ------------
 
index 239cc09be18b6c865a47ae28025e93797adb4066..82cb147e7f6ddf01a61bd6915336ac091c2bdadd 100644 (file)
@@ -1,18 +1,13 @@
 Listing available Kerberos realms
 ===============================================
 
-To display the list of the realms, use the **list** command.
+If you need to display the list of the realms, use the :ref:`kdb5_ldap_util(8)` **list** command as follows.
 
-|
-
-For example::
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_list:
+   :end-before: _kdb5_ldap_util_list_end:
+     
 
-     shell% kdb5_ldap_util -D cn=admin,dc=example,dc=com -H ldaps://ldap-server1.mit.edu list
-     Password for "cn=admin,dc=example,dc=com":
-     ATHENA.MIT.EDU
-     OPENLDAP.MIT.EDU
-     MEDIA-LAB.MIT.EDU
-     shell%
      
 
 ------------
index 18b1437eff9ac946cd60c43e954fe3e5d26c9915..d79de064e6053498d5577fcac3bb59841b1273c9 100644 (file)
@@ -1,33 +1,16 @@
 .. _stash_ldap_label:
 
-Stashing Service object's password
+Stashing service object's password
 ========================================
 
-::
 
-     stashsrvpw [-f filename] servicedn
+The :ref:`kdb5_ldap_util(8)` **stashsrvpw** command allows an administrator to store the password of service object in a file. 
+The KDC and Administration server uses this password to authenticate to the LDAP server.
 
-This command allows an administrator to store the password of service object in a file. The KDC and Administration server uses this password to authenticate to the LDAP server.
-
-Options are as follows
-
-=============== ==================================
--f *filename*     Specifies the complete path of the service password file. By default, /usr/local/var/service_passwd is used. 
-servicedn          Specifies the Distinguished Name (DN) of the service object whose password is to be stored in file. 
-=============== ==================================
-
-|
-
-For example::
-
-     shell% kdb5_ldap_util stashsrvpw -f /home/andrew/conf_keyle cn=service-kdc,dc=example,dc=com
-
-
-     Password for "cn=service-kdc,dc=example,dc=com":
-     Re-enter password for "cn=service-kdc,dc=example,dc=com":
-     shell%
+.. include:: ../../admin_commands/kdb5_ldap_util.rst
+   :start-after:  _kdb5_ldap_util_list:
+   :end-before: _kdb5_ldap_util_list_end:
      
-
 ------------
 
 Feedback: