Removed references to non-existing krb5_default_local_realm(3) and some source-code...
authorZhanna Tsitkov <tsitkova@mit.edu>
Fri, 7 Oct 2011 21:19:41 +0000 (21:19 +0000)
committerZhanna Tsitkov <tsitkova@mit.edu>
Fri, 7 Oct 2011 21:19:41 +0000 (21:19 +0000)
Also, minor cleanup & corrections.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@25322 dc483132-0cff-0310-8789-dd5450dbe970

doc/rst_source/krb_admins/admin_commands/kadmin_local.rst
doc/rst_source/krb_admins/admin_commands/kadmind.rst
doc/rst_source/krb_admins/admin_commands/kdb5_ldap_util.rst
doc/rst_source/krb_admins/admin_commands/kdb5_util.rst
doc/rst_source/krb_admins/admin_commands/kprop.rst
doc/rst_source/krb_admins/admin_commands/kpropd.rst
doc/rst_source/krb_admins/admin_commands/kproplog.rst
doc/rst_source/krb_admins/admin_commands/krb5kdc.rst
doc/rst_source/krb_admins/admin_commands/ktutil.rst

index e8716592bb77aea770d6f34cb1f16e6012cbd2cd..4b5b607a3169c086797fcb619c0de6dfeb0b6032 100644 (file)
@@ -18,7 +18,7 @@ SYNOPSYS
          [**-q** *query*]
          [[**-c** *cache_name*] | [**-k** [**-t** *keytab* ]] | **-n**]
          [**-w** *password*] 
-         [**-s** *admin_server* [:*port*]
+         [**-s** *admin_server* [:*port*]]
 
 
 **kadmin.local**
@@ -50,7 +50,7 @@ Otherwise, the *-p* and *-k* options are used to specify the client Kerberos pri
 Once *kadmin* has determined the principal name, it requests a *kadmin/admin* Kerberos service ticket from the KDC, 
 and uses that service ticket to authenticate to KADM5.
 
-If the database is db2, the local client *kadmin.local*, is intended to run directly on the master KDC without Kerberos authentication.
+If the database is db2, the local client *kadmin.local* is intended to run directly on the master KDC without Kerberos authentication.
 The local version provides all of the functionality of the now obsolete kdb5_edit(8), except for database dump and load, 
 which is now provided by the :ref:`kdb5_util(8)` utility.
 
@@ -134,7 +134,7 @@ OPTIONS
 
               **-x** bindpwd=<bind_password>
                      specifies the password for the above mentioned binddn. It is recommended not to use this option.  
-                     Instead, the password can be stashed using the stashsrvpw command of :ref:`kdb5_ldap_util(8)`
+                     Instead, the password can be stashed using the *stashsrvpw* command of :ref:`kdb5_ldap_util(8)`
 
 
 .. _kadmin_options_end:
@@ -256,7 +256,7 @@ add_principal
 
               {- | +} **allow_postdated**
                      *-allow_postdated* prohibits this principal from obtaining postdated tickets.
-                     (Sets the KRB5_*KDB_DISALLOW_POSTDATED* flag.) *+allow_postdated* clears this flag.
+                     (Sets the *KRB5_KDB_DISALLOW_POSTDATED* flag.) *+allow_postdated* clears this flag.
 
               {- | +} **allow_forwardable**
                      *-allow_forwardable* prohibits this principal from obtaining forwardable tickets.  
@@ -743,7 +743,7 @@ get_policy
                      admin     15552000  0    6    2    5    17
                      kadmin:
 
-The *Reference count* is the number of principals using that policy.
+              The *Reference count* is the number of principals using that policy.
 
               ERRORS::
 
@@ -808,7 +808,6 @@ ktadd
                      The enctype-salttype pairs may be delimited with commas or whitespace.
                      The quotes are necessary for whitespace-delimited list.
                      If this option is not specified, then *supported_enctypes* from :ref:`krb5.conf` will be used.
-                     This will not function against kadmin daemons earlier than krb5-1.2. 
                      See :ref:`Supported_Encryption_Types_and_Salts` for all possible values.
 
               **-q**
index 4c7144aa59a2b356a0b3cf40ba8ebb55bc55987b..422b514dfc72adca52ac5a46bf6f33346cee3d89 100644 (file)
@@ -140,45 +140,40 @@ Ordering  is important.  The first matching entry is the one which will control
                   x    Short for admcil.
                   *    Same as x.
        
-Some examples of valid entries here are:
+              Some examples of valid entries here are:
 
-*user/instance@realm adm*
-              A standard fully qualified name.  The *operation-mask* only applies to this principal and specifies that [s]he may add, delete  or
-              modify principals and policies, but not change anybody else's password.
 
-*user/instance@realm cim service/instance@realm*
-              A  standard fully qualified name and a standard fully qualified target.  The *operation-mask* only applies to this principal oper‐
-              ating on this target and specifies that [s]he may change the target's password, request information about the target and  modify
-              it.
+              *user/instance@realm adm*
+                  A standard fully qualified name.  
+                  The *operation-mask* only applies to this principal and specifies that [s]he may add, 
+                  delete  or modify principals and policies, but not change anybody else's password.
 
-*user/\*@realm ac*
-              A  wildcarded name.  The *operation-mask* applies to all principals in realm "realm" whose first component is "user" and specifies
-              that [s]he may add principals and change anybody's password.
+              *user/instance@realm cim service/instance@realm*
+                  A  standard fully qualified name and a standard fully qualified target.  
+                  The *operation-mask* only applies to this principal operating on this target and specifies 
+                  that [s]he may change the target's password, request information about the target and  modify it.
 
-*user/\*@realm i \*/instance@realm*
-              A wildcarded name and target.  The *operation-mask* applies to all principals in realm "realm" whose first component is "user" and
-              specifies that [s]he may perform inquiries on principals whose second component is "instance" and realm is "realm".
+              *user/\*@realm ac*
+                  A  wildcarded name.  The *operation-mask* applies to all principals in realm "realm" whose first component is "user" and specifies
+                  that [s]he may add principals and change anybody's password.
+
+              *user/\*@realm i \*/instance@realm*
+                  A wildcarded name and target.  The *operation-mask* applies to all principals in realm "realm" whose first component is "user" and
+                  specifies that [s]he may perform inquiries on principals whose second component is "instance" and realm is "realm".
 
 FILES
 -----------
 
-=================== ===================================================================
-principal.db        default name for Kerberos principal database
-
-<dbname>.kadm5      KADM5  administrative database.  (This would be "principal.kadm5", if you use the default database name.)  Contains policy information.
-
-<dbname>.kadm5.lock lock file for the KADM5 administrative database.  This file works backwards from most other lock files.  I.e., kadmin will exit with an error if this file does not exist.
-=================== ===================================================================
-
-Note: The above three files are specific to db2 database.
-
-=================== ===================================================================
-kadm5.acl           file containing list of principals and their kadmin administrative privileges.  See above for a description.
-
-kadm5.keytab        keytab file for *kadmin/admin* principal.
+Note: The first three files are specific to db2 database.
 
-kadm5.dict          file containing dictionary of strings explicitly disallowed as passwords.
-=================== ===================================================================
+==================== ===================================================================
+principal.db          default name for Kerberos principal database
+<dbname>.kadm5        KADM5  administrative database.  (This would be "principal.kadm5", if you use the default database name.)  Contains policy information.
+<dbname>.kadm5.lock   lock file for the KADM5 administrative database.  This file works backwards from most other lock files.  I.e., kadmin will exit with an error if this file does not exist.
+kadm5.acl             file containing list of principals and their kadmin administrative privileges.  See above for a description.
+kadm5.keytab          keytab file for *kadmin/admin* principal.
+kadm5.dict            file containing dictionary of strings explicitly disallowed as passwords.
+==================== ===================================================================
 
 SEE ALSO
 -----------
index 2613affb0992858e3d1334831be4a09152c06994..3b43d2758dbd26e4e0086aa3ca5c4db6a57d9c5c 100644 (file)
@@ -84,7 +84,7 @@ create
               Specifies the master database password. This option is not recommended.
 
    **-r** *realm* 
-               Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm (3) is used.
+               Specifies the Kerberos realm of the database.
 
    **-sf** *stashfilename*
               Specifies the stash file of the master database password.
@@ -231,7 +231,7 @@ modify
               Specifies the DN of the container object in which the principals of a realm will be created.
  
    **-r** *realm*
-              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+              Specifies the Kerberos realm of the database.
 
    **-maxtktlife** *max_ticket_life*
               Specifies maximum ticket life for principals in this realm.
@@ -351,7 +351,7 @@ view
        Displays the attributes of a realm.  Options:
 
    **-r** *realm*
-              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+              Specifies the Kerberos realm of the database.
 
 EXAMPLE::
 
@@ -379,7 +379,7 @@ destroy
               If specified, will not prompt the user for confirmation.
 
    **-r** *realm*
-              Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+              Specifies the Kerberos realm of the database.
 
 EXAMPLE::
 
@@ -444,7 +444,7 @@ create_policy
        Creates a ticket policy in directory. Options:
 
    **-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+       Specifies the Kerberos realm of the database.
 
    **-maxtktlife** *max_ticket_life*
        Specifies maximum ticket life for principals.
@@ -542,7 +542,7 @@ modify_policy
        Modifies the attributes of a ticket policy. Options are same as create_policy.
 
    **-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+       Specifies the Kerberos realm of the database.
 
 EXAMPLE::
 
@@ -586,7 +586,7 @@ destroy_policy
        Destroys an existing ticket policy. Options:
 
    **-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+       Specifies the Kerberos realm of the database.
 
    **-force** 
        Forces  the  deletion  of the policy object. If not specified, will be prompted for confirmation while deleting the policy. 
@@ -614,7 +614,7 @@ list_policy
        Lists the ticket policies in realm if specified or in the default realm.  Options:
 
    **-r** *realm*
-       Specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+       Specifies the Kerberos realm of the database.
 
 EXAMPLE::
 
index dc5f436704be356563476efcc5e5b1edfac7d721..bef200a44032e74afe07c97cc4b951a0ca5d3006 100644 (file)
@@ -39,7 +39,7 @@ COMMAND-LINE OPTIONS
 .. _kdb5_util_options:
 
        **-r** *realm*
-              specifies the Kerberos realm of the database; by default the realm returned by krb5_default_local_realm(3) is used.
+              specifies the Kerberos realm of the database.
 
        **-d** *dbname*
               specifies the name under which the principal database is stored; by default the database is that listed in :ref:`kdc.conf`.   
@@ -177,25 +177,25 @@ COMMANDS
               Adds a random key.
 
        **add_mkey** [**-e** *etype*] [**-s**]
-              Adds a new master key to the K/M (master key) principal.  Existing master keys will remain.
+              Adds a new master key to the *K/M* (master key) principal.  Existing master keys will remain.
               The *-e etype* option allows specification of the enctype of the new master key.
               The *-s* option stashes the new master key in a local stash file which will be created if it doesn't already exist.
 
        **use_mkey** *mkeyVNO* [*time*]
-              Sets the activation time of the master key specified by mkeyVNO.
+              Sets the activation time of the master key specified by *mkeyVNO*.
               Once a master key is active (i.e. its activation time has been reached) it will then be used to encrypt principal keys either when
-              the principal keys change, are newly created or when the update_princ_encryption command is run.
+              the principal keys change, are newly created or when the *update_princ_encryption* command is run.
               If the time argument is provided then that will be the activation time otherwise the current time is used by default.
-              The format of the optional time argument is that specified in the Time Formats section of the kadmin man page.
+              The format of the optional time argument is that specified in the *Time Formats* section of the kadmin man page.
 
        **list_mkeys**
-              List all master keys from most recent to earliest in K/M principal.
-              The output will show the KVNO, enctype and salt for each mkey similar to kadmin getprinc output.
+              List all master keys from most recent to earliest in *K/M* principal.
+              The output will show the kvno, enctype and salt for each mkey similar to kadmin getprinc output.
               A \* following an mkey denotes the currently active master key.
 
        **purge_mkeys** [**-f**] [**-n**] [**-v**]
-              Delete master keys from the K/M principal that are not used to protect any principals.
-              This command can be used to remove old master keys from a K/M principal once all principal keys are protected by a newer master key.
+              Delete master keys from the *K/M* principal that are not used to protect any principals.
+              This command can be used to remove old master keys from a *K/M* principal once all principal keys are protected by a newer master key.
 
               **-f**     
                      does not prompt user.
index 6416473e7537903047a560a25fec1cbddd9cb7be..98451c96ac10dd84a5ef0b0e156f01671fdb29b6 100644 (file)
@@ -21,17 +21,17 @@ DESCRIPTION
 
 *kprop*  is used to propagate a Kerberos V5 database dump file from the master Kerberos server to a slave Kerberos server, 
 which is specfied by *slave_host*.  This is done by transmitting the dumped database file to the slave server over an encrypted, secure channel.   
-The dump file must be created by *kdb5_util*, and is normally *KPROP_DEFAULT_FILE* (/usr/local/var/krb5kdc/slave_datatrans).
+The dump file must be created by :ref:`kdb5_util(8)`.
 
 OPTIONS
 -------------
 
        **-r** *realm*
-              Specifies the realm of the master server; by default the realm returned by krb5_default_local_realm(3) is used.
+              Specifies the realm of the master server.
 
        **-f** *file*
               Specifies the filename where the dumped principal database file is to be found; by default the dumped database file is
-              *KPROP_DEFAULT_FILE* (normally /usr/local/var/krb5kdc/slave_datatrans).
+              normally /usr/local/var/krb5kdc/slave_datatrans.
 
        **-P** *port*
               Specifies the port to use to contact the :ref:`kpropd(8)` server on the remote host.
index bc5fb75f628ebe2398bd8b3fcc686080fe349ab6..8053b695d5e72bc631535515fda90e6cb1eecc18 100644 (file)
@@ -36,28 +36,27 @@ This is done for debugging purposes, or if for some reason the system administra
 
 When the slave periodically requests incremental updates, *kpropd* updates its *principal.ulog* file with any updates from the master.  
 :ref:`kproplog(8)` can be used to view a summary of the update entry log on the slave KDC.  
-Incremental propagation is not enabled by default; it can be enabled using the *iprop_enable* and *iprop_slave_poll* settings in :ref:`kdc.conf`).  
-The principal "kiprop/slavehostname@REALM" (where "slavehostname" is the name of the slave KDC host, 
+Incremental propagation is not enabled by default; it can be enabled using the *iprop_enable* and *iprop_slave_poll* settings in :ref:`kdc.conf`.  
+The principal "kiprop/slavehostname\@REALM" (where "slavehostname" is the name of the slave KDC host, 
 and "REALM" is the name of the Kerberos realm) must be present in the slave's keytab file.
 
 OPTIONS
 --------
 
        **-r** *realm*
-              Specifies the realm of the master server; by default the realm returned by krb5_default_local_realm(3) is used.
+              Specifies the realm of the master server.
 
        **-f** *file*
-              Specifies the filename where the dumped principal database file is to be stored; by default the dumped database file is *KPROPD_DEFAULT_FILE*
-              (normally /usr/local/var/krb5kdc/from_master).
+              Specifies the filename where the dumped principal database file is to be stored; by default the dumped database file
+              /usr/local/var/krb5kdc/from_master.
 
        **-p**
-              Allows the user to specify the pathname to the :ref:`kdb5_util(8)` program; by default the pathname used is *KPROPD_DEFAULT_KDB5_UTIL*
-              (normally /usr/local/sbin/kdb5_util).
+              Allows the user to specify the pathname to the :ref:`kdb5_util(8)` program; by default the pathname used is /usr/local/sbin/kdb5_util.
 
        **-S**     
               Turn on standalone mode.  Normally, *kpropd* is invoked out of inetd(8) so it expects a network connection to be passed to it from inetd(8).
-              If the *-S* option is specified, *kpropd* will put itself into the background, and wait for connections to the  *KPROP_SERVICE* port  
-              (normally *krb5_prop*).
+              If the *-S* option is specified, *kpropd* will put itself into the background, 
+              and wait for connections to the *krb5_prop* port specified in  /etc/services.  
 
        **-d**     
               Turn on debug mode.  In this mode, if the *-S* option is selected, *kpropd* will not detach itself from the current job
@@ -67,14 +66,13 @@ OPTIONS
                Allow for an alternate port number for *kpropd* to listen on. This is only useful if the program is run in standalone mode.
 
        **-a**     
-              Allows the user to specify the path to the *kpropd.acl* file; by default the path used is *KPROPD_ACL_FILE*   
-              (normally /usr/local/var/krb5kdc/kpropd.acl).
+              Allows the user to specify the path to the *kpropd.acl* file; by default the path used is /usr/local/var/krb5kdc/kpropd.acl.
 
 FILES
 ---------
 
 *kpropd.acl*  
-            Access file for *kpropd*; the default location is KPROPD_ACL_FILE (normally /usr/local/var/krb5kdc/kpropd.acl).  
+            Access file for *kpropd*; the default location is /usr/local/var/krb5kdc/kpropd.acl.  
             Each entry is a line containing the principal of a host from which the local machine will allow Kerberos database propagation via :ref:`kprop(8)`.
 
 SEE ALSO
index fda3228d5b58f90c54f29cb93436e792c6745b5a..5ab72658a1458980ecce2832e946386788920a9e 100644 (file)
@@ -7,16 +7,16 @@ kproplog
 SYNOPSIS
 ------------
 
-**kproplog** [**-h**] [**-e** *num*]
+**kproplog** [**-h**] [**-e** *num*] [-v]
 
 DESCRIPTION
 ------------
 
 The *kproplog* command displays the contents of the Kerberos principal update log to standard output.  
 It can be used to keep track of the incremental updates to the principal database, when enabled.  
-The update log file contains the update log maintained by the kadmind process on the master KDC server and the kpropd process on the slave KDC servers.  
+The update log file contains the update log maintained by the *kadmind* process on the master KDC server and the *kpropd* process on the slave KDC servers.  
 When updates occur, they are logged to this file.  
-Subsequently any KDC slave configured for incremental updates will request the current data from the master KDC and update their principal.ulog file with any updates returned.
+Subsequently any KDC slave configured for incremental updates will request the current data from the master KDC and update their *principal.ulog* file with any updates returned.
 
 The *kproplog* command can only be run on a KDC server by someone with privileges comparable to the superuser.
 It will display update entries for that server only.
@@ -33,7 +33,7 @@ OPTIONS
              the number of updates in the log, the time stamp of the first and last update, and the version number of the first and last update entry.
 
        **-e** *num*
-             Display the last num update entries in the log.  This is useful when debugging synchronization between KDC servers.
+             Display the last *num* update entries in the log.  This is useful when debugging synchronization between KDC servers.
 
        **-v**
              Display individual attributes per update.  An example of the output generated for one entry::
index f588d7bd271f4ddd781830ad31aa861601ce3ff9..e79aec79fab239964e14b67b69fa1db3a61bd066 100644 (file)
@@ -44,27 +44,28 @@ The **-x** *db_args* option specifies the database specific arguments.
                Specifies the password for the above mentioned binddn. It is recommended not to use this option. Instead, the password can be
                stashed using the stashsrvpw command of kdb5_ldap_util.
 
-The **-r** *realm* option specifies the realm for which the server should provide service;  
-by default the realm returned by krb5_default_local_realm(3) is used.
+The **-r** *realm* option specifies the realm for which the server should provide service.
 
-The **-d** *dbname* option specifies the name under which the principal database can be found;  
-by default the database is in DEFAULT_DBM_FILE. This option does not apply to the LDAP database.
+The **-d** *dbname* option specifies the name under which the principal database can be found.
+This option does not apply to the LDAP database.
 
 The **-k** *keytype* option specifies the key type of the master key to be entered manually as a password when **-m** is given;  
 the default is "des-cbc-crc".
 
-The **-M** *mkeyname* option specifies the principal name for the master key in the database; 
-the default is KRB5_KDB_M_NAME (usually "K/M" in the KDC's realm).
-
-The **-p** *portnum* option specifies the default UDP port number which the KDC should listen on for Kerberos version 5 requests.  
-This value is used when no port is specified in the KDC profile and when no port is specified in the Kerberos configuration file.  
-If no value is available, then the value in */etc/services* for service "kerberos" is used.
+The **-M** *mkeyname* option specifies the principal name for the master key in the database (usually "K/M" in the KDC's realm).
 
 The **-m** option specifies that the master database password should be fetched from the keyboard rather than from a file on disk.
 
 The **-n** option specifies that the KDC does not put itself in the background and does not disassociate itself from the terminal.  
 In normal operation, you should always allow the KDC to place itself in the background.
        
+The **-P** *pid_file* option tells the KDC to write its PID (followed by a newline) into *pid_file* after it starts up.  
+This can be used to identify whether the KDC is still running and to allow init scripts to stop the correct process.
+
+The **-p** *portnum* option specifies the default UDP port number which the KDC should listen on for Kerberos version 5 requests.  
+This value is used when no port is specified in the KDC profile and when no port is specified in the Kerberos configuration file.  
+If no value is available, then the value in */etc/services* for service "kerberos" is used.
+
 The **-w** *numworkers* option tells the KDC to fork *numworkers* processes to listen to the KDC ports and process requests in parallel.  
 The top level KDC process (whose pid is recorded in the pid file if the **-P** option is also given) acts as a supervisor.  
 The supervisor will relay SIGHUP signals to the worker subprocesses, and will terminate the worker subprocess if the it is itself terminated or 
@@ -72,8 +73,8 @@ if any other worker process exits.
 
 .. note:: on operating systems which do not have *pktinfo* support, using worker processes will prevent the KDC from listening for UDP packets on network interfaces created after the KDC starts.
 
-The **-P** *pid_file* option tells the KDC to write its PID (followed by a newline) into *pid_file* after it starts up.  
-This can be used to identify whether the KDC is still running and to allow init scripts to stop the correct process.
+
+EXAMPLE
 
 The KDC may service requests for multiple realms (maximum 32 realms).  
 The realms are listed on the command line.  Per-realm options that can be specified on the command line pertain for each realm
@@ -84,18 +85,12 @@ For example::
 
 specifies that the KDC listen on port 2001 for REALM1 and on port 2002 for REALM2 and REALM3.  
 Additionally, per-realm parameters may be specified in the :ref:`kdc.conf` file.  
-The location of this file may be specified by the KRB5_KDC_PROFILE environment variable.  
+The location of this file may be specified by the *KRB5_KDC_PROFILE* environment variable.  
 Parameters specified in this file take precedence over options specified on the command line.  
-See the kdc.conf(5) description for further details.
+See the :ref:`kdc.conf` description for further details.
 
 SEE ALSO
 -----------
 
 krb5(3), kdb5_util(8), kdc.conf(5), kdb5_ldap_util(8)
 
-BUGS
------------
-
-It should fork and go into the background when it finishes reading the master password from the terminal.
-
-
index 096d5391bead9a13e1f20accc63dee1687417f49..28e9aff5d90beff3287b67cad2c63c37eb08aabb 100644 (file)
@@ -68,7 +68,7 @@ COMMANDS
               Aliases: **exit**, **q**
 
 
-EXAMPLE: 
+EXAMPLE::
 
       ktutil:  add_entry -password -p alice@BLEEP.COM -k 1 -e aes128-cts-hmac-sha1-96
       Password for alice@BLEEP.COM: