cf2058704fccada2e9d3f52fba437d934e564b9f
[openafs-wiki.git] / AFSLore / UsageFAQ.mdwn
1 ## <a name="2  Using AFS"></a> 2 Using AFS
2
3 The Usage Section of the [[AFSFrequentlyAskedQuestions]].
4
5 - [[PreambleFAQ]]
6 - [[GeneralFAQ]]
7
8 <div>
9   <ul>
10     <li><a href="#2  Using AFS"> 2 Using AFS</a><ul>
11         <li><a href="#2.01  What are the differences b"> 2.01 What are the differences between AFS and a unix filesystem?</a></li>
12         <li><a href="#2.02  What is an AFS protection"> 2.02 What is an AFS protection group?</a></li>
13         <li><a href="#2.03  What are the AFS defined p"> 2.03 What are the AFS defined protection groups?</a></li>
14         <li><a href="#2.04  What is an AFS access cont"> 2.04 What is an AFS access control list (ACL)?</a></li>
15         <li><a href="#2.05  What are the AFS access ri"> 2.05 What are the AFS access rights?</a></li>
16         <li><a href="#2.06  What is pagsh?"> 2.06 What is pagsh?</a></li>
17         <li><a href="#2.07  Why use a PAG?"> 2.07 Why use a PAG?</a></li>
18         <li><a href="#2.08  How can I tell if I have a"> 2.08 How can I tell if I have a PAG?</a></li>
19         <li><a href="#2.09  Can I still run cron jobs"> 2.09 Can I still run cron jobs with AFS?</a></li>
20         <li><a href="#2.10  How much disk space does a"> 2.10 How much disk space does a 1 byte file occupy in AFS?</a></li>
21         <li><a href="#2.11  Is it possible to specify"> 2.11 Is it possible to specify a user who is external to the current AFS cell on an ACL?</a></li>
22         <li><a href="#2.12  Are there any problems pri"> 2.12 Are there any problems printing files in /afs?</a></li>
23         <li><a href="#2.13  Can I create a fifo (aka n"> 2.13 Can I create a fifo (aka named pipe) in /afs?</a></li>
24         <li><a href="#2.14  If an AFS server crashes,"> 2.14 If an AFS server crashes, do I have to reboot my AFS client?</a></li>
25         <li><a href="#2.15  Can I use AFS on my diskle"> 2.15 Can I use AFS on my diskless workstation?</a></li>
26         <li><a href="#2.16  Can I test for AFS tokens"> 2.16 Can I test for AFS tokens from within my program?</a></li>
27         <li><a href="#2.17  What's the difference betw"> 2.17 What's the difference between /afs/cellname and /afs/.cellname?</a></li>
28         <li><a href="#2.18  Can I klog as two users on"> 2.18 Can I klog as two users on a machine in the same cell?</a></li>
29         <li><a href="#2.19  What are the ~/._afsXXXX f"> 2.19 What are the ~/.__afsXXXX files?</a></li>
30         <li><a href="#2.20  How do you set up IP-based"> 2.20 How do you set up IP-based ACLs?</a></li>
31         <li><a href="#2.21 What meaning do the UNIX ow"> 2.21 What meaning do the UNIX owner, group, and mode bits have in AFS?</a></li>
32       </ul>
33     </li>
34   </ul>
35 </div>
36
37 - [[AdminFAQ]]
38 - [[ResourcesFAQ]]
39 - [[AboutTheFAQ]]
40 - [[FurtherReading]]
41
42 ### <a name="2.01  What are the differences b"></a> 2.01 What are the differences between AFS and a unix filesystem?
43
44 Essentially, from a user's point of view, there is little difference between AFS and local unix filestore. Nearly all the commands normally used to access local files can be used to access files in /afs.
45
46 In the following set of sections, I have attempted to "target" each section to an appropriate type of user by including to the right of each section heading one of: User, Programmer, [[SysAdmin]].
47
48 Here is a summary of the differences:
49
50 **Authentication:** [ User ]
51
52 Before a user can access protected AFS files (s)he needs to become authenticated to AFS using the klog command (Kerberos login) to get a Kerberos "ticket granting ticket" (called a token from here on).
53
54 Without a token, an unauthenticated user is given the AFS identity "system:anyuser" and as such is only able to access files in directories that have ACLs granting system:anyuser access.
55
56 Many systems have the klog function built into the system login program. So a user would not even have to know they gain a token on logging in. If you use a system where you have to issue the klog command after login then you should run the pagsh command first (see below).
57
58 AFS provides access control lists to give more precise control to users wishing to protect their files (see AFS ACL below).
59
60 **File permissions:** [ User ]
61
62 Unix mode bits for group and other are ignored. The mode bits for the file owner don't work the way they used to. See also question 2.21.
63
64 Users should protect their AFS files with (directory) ACLs only. Just use mode bits to make a file executable.
65
66 **Data protection with AFS ACLs:** [ User ]
67
68 Some versions of unix (eg IBM's AIX version 3) allow ACLs on local files. In AFS, ACLs protect directories and used with AFS protection groups (see below) provide a finer granularity of protection than can be achieved with basic unix file permissions. (AFS ACLs are described in more detail below.)
69
70 **Protection groups:** [ User ]
71
72 Users can create and maintain their own protection groups in AFS - as opposed to unix where only sys admins can manage protection groups.
73
74 **Hard links:** [ User ]
75
76 In AFS, hard links (eg: ln old new) are only valid within a directory. This is because AFS ACLs protect directories (not individual files) and allowing hard links that span directories would subvert ACL protection.
77
78 Symbolic links work in AFS because they reference a pathname and not an i-node directly. (Hard links reference an i-node directly.)
79
80 **Changing file protection by moving a file:** [ User ]
81
82 Moving a file to a different directory will change the protection of a file if the ACL on the new directory if different to the ACL on the original directory.
83
84 **chown and chgrp:** [ User ]
85
86 Only members of the AFS group "system:administrators" can use these commands on files in /afs.
87
88 **Save on close:** [ Programmer ]
89
90 AFS Cache Manager does not send file modifications to a file server until the close() or fsync() system call.
91
92 write() system calls only update the local cache copy on the client.
93
94 Note the difference in semantic of writing a file:
95
96 <table border="1" cellpadding="0" cellspacing="0">
97   <tr>
98     <th bgcolor="#99CCCC"><strong> local unix file: </strong></th>
99     <td> writes update the file "immediately" </td>
100   </tr>
101   <tr>
102     <th align="center" bgcolor="#99CCCC"><strong> AFS file: </strong></th>
103     <td> local cached copy updated "immediately" but the server copy is only updated when the file is closed or fsync'ed. </td>
104   </tr>
105 </table>
106
107 It is important to understand that most applications (eg: vi, emacs, frame, interleaf, wingz, dogz, etc) issue the close() system call when the user chooses/issues the "save" command in the application.
108
109 Users are not required to exit the application to "save" their changes back to the server.
110
111 **byte-range file locking:** [ Programmer ]
112
113 AFS does not support byte-range locking within a file, although lockf() and fcntl() calls will return 0 (success). The first time a byte-range lock is attempted, AFS will display:
114
115 "afs: byte-range lock/unlock ignored; make sure no one else else is running this program."
116
117 **whole file locking:** [ Programmer ]
118
119 AFS does support advisory locking an entire file with flock(). Processes on the same client workstation that attempt to lock a file obey the proper locking semantics.
120
121 Processes on different AFS clients requesting a lock on the same file would get EWOULDBLOCK returned.
122
123 **character and block special files:** [ [[SysAdmin]] ]
124
125 AFS does not support character and block special files. The mknod command does not create either character or block special files in /afs.
126
127 **AFS version of fsck:** [ [[SysAdmin]] ]
128
129 On an AFS server, the partitions containing served files are NOT unix filesystems and standard fsck **must** not be used - use the AFS version instead.
130
131 ### <a name="2.02  What is an AFS protection"></a><a name="2.02  What is an AFS protection "></a> 2.02 What is an AFS protection group?
132
133 A named list of users.
134
135 Group names are used in AFS ACLs to identify lists of users with particular access permissions.
136
137 In AFS, users can create and maintain their own protection groups. This is different to unix where only the system administrator can manage /etc/group.
138
139 AFS groups are stored in the protection database on fileserver(s) and managed by using the "pts" command.
140
141 An AFS group typically has the format:
142
143 - owner-id:group-name
144
145 By default, only the owner of a group can change its members.
146
147 It is possible to have both users and IP addresses as members of an AFS group. By using an IP address like this you can specify all the users from the host with that IP address.
148
149 ### <a name="2.03  What are the AFS defined p"></a> 2.03 What are the AFS defined protection groups?
150
151 - system:anyuser
152   - Everyone who has access to an AFS client in any cell that is on the same network as your cell.
153
154 - system:authuser
155   - Everyone who has access to an AFS client in any cell that is on the same network as your cell **and** has valid tokens for your cell (ie has been authenticated in your cell).
156
157 - system:administrators
158   - Users who have privileges to execute some but not all system administrator commands.
159
160 ### <a name="2.04  What is an AFS access cont"></a> 2.04 What is an AFS access control list (ACL)?
161
162 There is an ACL for every directory in AFS. The ACL specifies protection at the directory level (not file level) by listing permissions of users and/or groups to a directory. There is a maximum of 20 entries on an ACL.
163
164 For example:
165
166 An AFS ACL is displayed by using the "fs" command as shown below:
167
168        tweety@toontown $ fs listacl .
169        Access list for . is
170        Normal rights:
171          fac:coords rlidwka
172          system:anyuser rl
173
174 This ACL shows that members of the AFS protection group "fac:coords" have full access rights to the current directory and "system:anyuser" has only read and lookup rights.
175
176 The members of "fac:coords" can be determined by accessing the protection group database using the "pts" command as shown below:
177
178        tweety@toontown $ pts membership fac:coords
179        Members of fac:coords (id: -1577) are:
180          sylvester
181          roadrunner
182          yosemite.sam
183
184 ### <a name="2.05  What are the AFS access ri"></a> 2.05 What are the AFS access rights?
185
186 In AFS, there are seven access rights that may be set or not set:
187
188 <table border="1" cellpadding="0" cellspacing="0">
189   <tr>
190     <th bgcolor="#99CCCC"><strong> lookup </strong></th>
191     <td><code>l</code></td>
192     <td> Permission to examine the ACL and traverse the directory (needed with most other access rights). Permission to look up filenames in a directory. </td>
193   </tr>
194   <tr>
195     <th bgcolor="#99CCCC"><strong> read </strong></th>
196     <td><code>r</code></td>
197     <td> View the contents of files in the directory </td>
198   </tr>
199   <tr>
200     <th bgcolor="#99CCCC"><strong> insert </strong></th>
201     <td><code>i</code></td>
202     <td> Add new files or sub-directories </td>
203   </tr>
204   <tr>
205     <th bgcolor="#99CCCC"><strong> write </strong></th>
206     <td><code>w</code></td>
207     <td> Modify file contents, use "chmod" </td>
208   </tr>
209   <tr>
210     <th bgcolor="#99CCCC"><strong> delete </strong></th>
211     <td><code>d</code></td>
212     <td> Remove file(s) in directory </td>
213   </tr>
214   <tr>
215     <th bgcolor="#99CCCC"><strong> lock </strong></th>
216     <td><code>k</code></td>
217     <td> Permission for programs to "flock" files in the directory </td>
218   </tr>
219   <tr>
220     <th bgcolor="#99CCCC"><strong> administer </strong></th>
221     <td><code>a</code></td>
222     <td> Ability to change the ACL </td>
223   </tr>
224 </table>
225
226 There are short-hand forms:
227
228 <table border="1" cellpadding="0" cellspacing="0">
229   <tr>
230     <th bgcolor="#99CCCC"><strong> read </strong></th>
231     <td><code>rl</code></td>
232     <td> read and lookup </td>
233   </tr>
234   <tr>
235     <th bgcolor="#99CCCC"><strong> write </strong></th>
236     <td><code>rlidwk</code></td>
237     <td> all rights except administer </td>
238   </tr>
239   <tr>
240     <th bgcolor="#99CCCC"><strong> all </strong></th>
241     <td><code>rlidwka</code></td>
242     <td> all rights </td>
243   </tr>
244   <tr>
245     <th bgcolor="#99CCCC"><strong> none </strong></th>
246     <td>   </td>
247     <td> removes all rights </td>
248   </tr>
249 </table>
250
251 ### <a name="2.06  What is pagsh?"></a> 2.06 What is pagsh?
252
253 A command to get a new shell with a process authentication group (PAG).
254
255 This is normally used if your system does not use the AFS version of login. It is used to get a PAG prior to running klog.
256
257 The PAG uniquely identifies the user to the Cache Manager. Without a PAG the Cache Manager uses the unix UID to identify a user.
258
259 ### <a name="2.07  Why use a PAG?"></a> 2.07 Why use a PAG?
260
261 There are two reasons:
262
263 1. Child processes inherit the PAG and the Kerberos token so they are AFS authenticated.
264
265 1. For security: if you don't have a PAG then the Cache Manager identifies you by unix UID. Another user with root access to the client could su to you and therefore use your token.
266
267 ### <a name="2.08  How can I tell if I have a"></a> 2.08 How can I tell if I have a PAG?
268
269 You can tell if you have a PAG by typing "groups". A PAG is indicated by the appearance of two integers in the list of groups.
270
271 For example:
272
273        sylvester@toontown $ groups
274        33536 32533 staff catz
275
276 ### <a name="2.09  Can I still run cron jobs"></a><a name="2.09  Can I still run cron jobs "></a> 2.09 Can I still run cron jobs with AFS?
277
278 Yes, but remember that in order to fully access files in AFS you have to be AFS authenticated. If your cron job doesn't klog then it only gets system:anyuser access.
279
280 The klog command has a "-pipe" option which will read a password from stdin. IF (yes, that's a big if :-) you are prepared to store your password in a local (non-AFS) file then you might use the following:
281
282 (a) create a "wrapper" script to get a PAG, get your AFS token and execute a command:
283
284     #!/usr/afsws/bin/pagsh
285     #
286     # NAME          afs_wrap_cron
287     # AUTHOR        Paul Blackburn <mpb@acm.org>
288     # PURPOSE       Run an AFS authenticated cron job.
289     #               Get a PAG, get the user's token,
290     #               then exec user's command
291
292     CMD=`basename ${0}`
293
294     usage() {
295        echo "Usage: ${CMD} [ -principal AFSID ] passwordfile command" >&2
296     }
297
298     if [ ${1} = "-principal" ]; then
299             PRINCIPAL="${1} ${2}"
300             shift 2
301     fi
302
303     if [ -z "${1}" ]; then
304             echo "${CMD} error: need name of password file" >&2
305             usage
306             exit 1
307     else
308             passwordfile=${1}
309             shift
310     fi
311
312     /usr/afsws/bin/klog ${PRINCIPAL} -pipe < ${passwordfile}
313
314     if [ -z "${1}" ]; then
315             echo "${CMD} error: need name of command to run" >&2
316             usage
317             exit 1
318     else
319             command_line="$*"
320             command=`echo ${command_line} | awk '{print $1}'`
321
322     # Check if we can run the command.
323     # If we got this far, it is likely that the command name is correct
324     # but there may be a problem in accessing the command file.
325     # If there is an error, log it via syslog (logger) rather than ">&2"
326
327             if [ ! -x "${command}" ]; then
328                     M="error: unable to execute command ${command}"
329                     logger -i -t "${CMD}" "${M}"
330                     exit 1
331             fi
332     fi
333     exec ${command_line}
334
335 (b) Store your password in a local (non-AFS) file that only you have access to (perhaps: /home/$USER/.p).
336
337 Make sure that this file is mode 600 and also be sure that you trust whoever has root access on this system and whoever has access to backup tapes! Also, don't forget to change this file if you change your AFS password.
338
339 (c) In your crontab file, run afs\_wrap\_cron followed by unlog:
340
341           0 6 * * * /usr/local/bin/afs_wrap_cron /home/$USER/.p \
342                        $HOME/bin/6AMdaily; /usr/afsws/bin/unlog
343
344 Note that you can still run a cron job without getting a token if the task does not need to be AFS authenticated. In this case, you may get stderr from the cron job if your .profile is not accessible because of the ACL protecting your $HOME. Simply redirect to /dev/null:
345
346           0 7 * * * $sys_anyuser_readable_dir/7AMdaily 2>/dev/null
347
348 ### <a name="2.10  How much disk space does a"></a> 2.10 How much disk space does a 1 byte file occupy in AFS?
349
350 One kilobyte.
351
352 Other filesystems allocate different file block sizes. For example, IBM's AIX version 3 journaled file system (JFS) uses 4K blocks (exception: 2K for the 160MB disk drive).
353
354 Such blocksize differences lead to variations on the amount of disk space required to store files. Copying a directory from AFS to AIX JFS would require more space in JFS because of the block fragmentation.
355
356 Example:
357
358 (a) Create a one byte file in AFS and use "ls -s" to show how many kilobytes it occupies:
359
360           ariel@atlantica $ echo z >/afs/dsea/tmp/one_byte_file
361           ariel@atlantica $ ls -s /afs/dsea/tmp/one_byte_file
362              1 /afs/dsea/tmp/one_byte_file
363
364 (b) Create same file in local filesystem (AIX JFS):
365
366           ariel@atlantica $ echo z >/tmp/one_byte_file
367           ariel@atlantica $ ls -s /tmp/one_byte_file
368              4 /tmp/one_byte_file
369
370 ### <a name="2.11  Is it possible to specify"></a><a name="2.11  Is it possible to specify "></a> 2.11 Is it possible to specify a user who is external to the current AFS cell on an ACL?
371
372 No. You cannot reference a particular user from another AFS cell.
373
374 You can specify an IP address on the ACL; this means any and all users from the host with that IP address.
375
376 Another solution to this problem is to give the external user an "authentication-only" account in your AFS cell. This means that (s)he can klog (but has no home directory) in your cell.
377
378     # Example: AFS administrator creates an authentication-only user
379     $ uss add daffy "Daffy Duck" -t /dev/null
380     $ kas setpassword daffy -admin admin
381
382 Cross-realm authentication (where co-operating cells are able to specify remore users as "user@remote.cell" on an ACL) is an **unsupported** feature of AFS 3.3a. That means that Transarc doesn't promise to make it work for you, nor keep it running in future releases.
383
384 ### <a name="2.12  Are there any problems pri"></a> 2.12 Are there any problems printing files in /afs?
385
386 The issue of printing in AFS is almost always the same: what do you send to the printing daemon? Do you send it the bytes you want to print or do you just send the file name containing those bytes? If you send it a file name, you have to be sure that the printing daemon can read it. Most daemons run with no AFS tokens, so can't access directories unless they are open for system:anyuser read access. Often, printing commands (lpr, lp, enq) have an option that allows for both modes of operation, though the default behavior varies from system to system. If you're interested in making your daemons authenticate to AFS, check out the example scripts in AFS-Contrib:
387
388 - <file:///afs/transarc.com/public/afs-contrib/tools/reauth-example>
389 - <ftp://ftp.transarc.com/pub/afs-contrib/tools/reauth-example/MANIFEST>
390
391 Another common problem is setuid printing commands. For instance, the "enq" command runs as root, daemon, or some such user. If you aren't using the AFS login and simply issue "klog" to get tokens, those tokens are associated with your uid. When setuid programs run, they lose access to your token and often can't read the file name given as an argument. The solution in this case is to use "pagsh" before "klog" so that your tokens are transferred to subprocesses automatically by group membership. This works even if the uid changes, as for setuid programs.
392
393 ### <a name="2.13  Can I create a fifo (aka n"></a> 2.13 Can I create a fifo (aka named pipe) in /afs?
394
395 No. AFS does not support "mknod fifofile p".
396
397 ### <a name="2.14  If an AFS server crashes,"></a><a name="2.14  If an AFS server crashes, "></a> 2.14 If an AFS server crashes, do I have to reboot my AFS client?
398
399 No.
400
401 Typically, if an AFS server becomes unavailable, the AFS Cache Manager on your AFS client will see you through the outage until the server returns. This robustness is dependent on the way your AFS cell has been configured including the following factors:
402
403 - On the client side:
404   - How big is the cache?
405   - Are the files you need already in the cache?
406
407 - On the server side:
408   - How many servers? It's best to have a minimum of three.
409   - Is the data you are accessing replicated? In AFS, replicas are [[ReadOnly]] copies.
410
411 With replicated volumes, the AFS Cache Manager knows about all of the servers on which the replicas are located. Therefore, when the Cache Manager accesses a replicated volume, if the RPC times out, the Cache Manager automatically retrys the RPC, using a different file server.
412
413 If necessary, the Cache Manager will attempt to contact all file servers on which a replica of the volume resides.
414
415 If you are accessing [[ReadWrite]] volumes on a crashed server then you will not be able to save changes back to the server until it returns.
416
417 You don't need to reboot, and the Cache Manager activity is "invisible" to the user.
418
419 ### <a name="2.15  Can I use AFS on my diskle"></a> 2.15 Can I use AFS on my diskless workstation?
420
421 Yes. The AFS Cache Manager can be configured to work with either a disk based cache or a memory (RAM) based cache. With the latter, you can expect file access from the cache with a whizz!
422
423 <http://www.uni-hohenheim.de/~schaefer/afs/info-afs/1306.html>
424
425 ### <a name="2.16  Can I test for AFS tokens"></a><a name="2.16  Can I test for AFS tokens "></a> 2.16 Can I test for AFS tokens from within my program?
426
427 Yes. Some sample code showing how to do this can be found in:
428
429 <file:///afs/transarc.com/public/afs-contrib/tools/auth-samples/listtokens.c> <ftp://ftp.transarc.com/pub/afs-contrib/tools/auth-samples/listtokens.c>
430
431 ### <a name="2.17  What&#39;s the difference betw"></a> 2.17 What's the difference between /afs/cellname and /afs/.cellname?
432
433 AFS has [[ReadOnly]] (RO) and [[ReadWrite]] (RW) volumes.
434
435 The convention in AFS is to mount the RW volume "root.cell" as /afs/.cellname and the RO volume "root.cell.readonly" as /afs/cellname.
436
437 This is so that when you travel down the /afs/.cellname link, AFS will always use the RW site of any volumes that have RO clones.
438
439 This allows your administrator to update the RW copy of a volume and "vos release $volname" so that it will appear in /afs/cellname.
440
441 ### <a name="2.18  Can I klog as two users on"></a> 2.18 Can I klog as two users on a machine in the same cell?
442
443 Yes, if you use two different PAGs.
444
445 It's: "One token per PAG per client system."
446
447 From one shell you can only authenticate as a single user of a cell. If you open another shell (with another PAG) you can klog as a different user of the same cell from the same client.
448
449 You can authenticate into many cells from one client shell.
450
451 ### <a name="2.19  What are the ~/._afsXXXX f"></a> 2.19 What are the ~/.\_\_afsXXXX files?
452
453 They are temporary reference files used by the AFS Cache Manager.
454
455 In UNIX filesystems, when you a remove a file that is kept open by a process, the file stays around physically while it is no longer referenced in any directory (which you will see as a mismatch between disk space usage according to df and du).
456
457 Some applications rely on that feature, e.g. they create a temporary file and remove it immediatley while keeping the file descriptor open. The file then disappears from the filesystem automagically when the process terminates or the file descriptor gets closed otherwise. Such applications could get into trouble with older versions of AFS, where the file could really disappear while it was held open.
458
459 Newer versions of AFS rename such files to .\_\_afsXXXX, thus making sure that the data stays around as expected by the application. As soon as the file gets closed, the associated .\_\_afsXXXX should disappear.
460
461 ### <a name="2.20  How do you set up IP-based"></a> 2.20 How do you set up IP-based ACLs?
462
463 See [[IPAccessControl]].
464
465 ### <a name="2.21 What meaning do the UNIX ow"></a> 2.21 What meaning do the UNIX owner, group, and mode bits have in AFS?
466
467 In order to appear more like a local filesystem, AFS will faithfully store the numeric UID (owner), GID (group), and permission bits (read, write, and execute for user, group, and other), as well as the setuid, setgid, and sticky bits. For the most part, these values are simply recorded and reported back when requested. However, in some instances the fileserver and/or cache manager will make access control decisions based in part on these values.
468
469 The following is believed to be a complete list of those circumstances. Below, "owner" refers to the user whose numeric pts identity is equal to the "UNIX UID" of the file or directory.
470
471 - fileserver
472   - the fileserver will not allow a file to be read unless at least one of these is true:
473     - the u+r (user read) bit is set
474     - the user owns the file
475     - the user is a member of system:administrators
476   - the fileserver will not allow a file to be written to unless at least one of these is true:
477     - the u+w (user write) bit is set
478     - the user owns the file
479     - the user is a member of system:administrators
480   - implicit permissions:
481     - the owner of the root directory of a volume has implicit "a" rights on all directories in the volume
482     - the owner of a file has implicit "r" and "w" rights on a file if that user has "i" rights on its parent directory
483   - changing mode bits and owner/group:
484     - the fileserver will only allow the mode bits on a file (ugo+rwx) to be changed if the user has write (w) and lookup (l) rights on file's parent directory.
485     - the fileserver will only allow the mode bits on a directory to be changed if the user has delete (d) insert (i) and lookup (l) rights on the directory.
486     - only members of system:administrators can change the user or group of a file.
487     - only members of system:administrators can change the setuid and setgid bits on a file.
488
489 - client (cache manager)
490   - if enabled for a cell, the setuid and setgid bits will be treated according to their usual UNIX semantics
491   - the client will refuse to execute a file unless the u+rx (user read and execute) bits are set
492
493 In particular, the sticky bit, group of a file, g+rwx, and o+rwx bits are completely ignored by all AFS components. Additionally, the u+rwx bits are ignored on directories.
494
495 Newly created files and directories are given a UNIX user numerically equal to the pts identity of the user who created the file or directory. Initial mode bits are assigned based on the creating user's umask.