add orphaned page list
[openafs-wiki.git] / AuthCommands.mdwn
1 An assortment of commands and tools related to AFS authentication sorted by authentication system.
2
3 <div>
4   <ul>
5     <li><a href="#KaServer -- AFS version of Kerbe"> KaServer -- AFS version of Kerberos V4</a></li>
6     <li><a href="#KerberosIV -- MIT reference for"> KerberosIV -- MIT reference for V4</a></li>
7     <li><a href="#KerberosV -- MIT reference for V"> KerberosV -- MIT reference for V5</a></li>
8     <li><a href="#KerberosDCE -- DCE version of V5"> KerberosDCE -- DCE version of V5</a></li>
9     <li><a href="#HeimdalKTH -- International vers"> HeimdalKTH -- International version of Kerberos V5</a></li>
10     <li><a href="#ActiveDirectory -- Microsoft ver"> ActiveDirectory -- Microsoft version of Kerberos V5</a></li>
11     <li><a href="#Other commands"> Other commands</a></li>
12   </ul>
13 </div>
14
15 ## <a name="KaServer -- AFS version of Kerbe"></a> [[KaServer]] -- AFS version of Kerberos V4
16
17 The klog command (and kpasswd too) try several [[StringToKey]] functions.
18
19 - klog -- authentication with [[KaServer]] by getting AFS service tickets and sending them to the (kernel) [[CacheManager]]. Can save the TGT in a file compatible with kinit (V4) as a non-default option.
20 - tokens -- displays AFS service tickets (tokens) held by the [[CacheManager]].
21 - kpasswd -- change password in [[KaServer]].
22 - kas -- administrative interface to [[KaServer]]
23 - inetd -- passes authentication information to network servers. See [inetd ](http://www.cs.rose-hulman.edu/docs/afs-doc/html/AdminRef/auarf179.htm#HDRINETD). [Avoid](http://lists.openafs.org/pipermail/openafs-devel/2002-January/002351.html).
24 - r\* commands -- passes authentication information between trusting hosts (over a secure network). See [Remote Services](http://www.cs.rose-hulman.edu/docs/afs-doc/html/AdminGd/auagd007.htm#HDRWQ78). [Avoid](http://lists.openafs.org/pipermail/openafs-devel/2002-January/002351.html) and [thread](http://lists.openafs.org/pipermail/openafs-devel/2002-January/002372.html). These are not built by default in [[OpenAFS]] unless --enable-insecure is specified.
25
26 ## <a name="KerberosIV -- MIT reference for"></a><a name="KerberosIV -- MIT reference for "></a> [[KerberosIV]] -- MIT reference for V4
27
28 - kinit -- authenticates using standard UDP port 750. Also works with [[KaServer]] but doesn't get AFS service tickets (tokens).
29 - ktadd -- adds a new key/principal to [[KeyDistributionCenter]] (KDC) (or changes the key if it already exists?)
30
31 ## <a name="KerberosV -- MIT reference for V"></a> [[KerberosV]] -- MIT reference for V5
32
33 There are more types of [[StringToKey]] functions in V5.
34
35 [[CharlesClancy]] posted a Perl [script](http://lists.openafs.org/pipermail/openafs-info/2002-January/003060.html) that provides a kas interface to kadmin, so that existing scripts (and users) that use kas can easily work in a K5 environment.
36
37 [[DerekAtkins]] provides this handy mapping from [[KerberosVMIT]] to [[KaServer]]:
38
39 <table border="1" cellpadding="0" cellspacing="0">
40   <tr>
41     <th bgcolor="#99CCCC"><strong> [[Main/KerberosVMIT]] </strong></th>
42     <th bgcolor="#99CCCC"><strong> [[Main/KaServer]] </strong></th>
43   </tr>
44   <tr>
45     <td> kinit + aklog/afslog </td>
46     <td> klog </td>
47   </tr>
48   <tr>
49     <td> kadmin </td>
50     <td> kas </td>
51   </tr>
52   <tr>
53     <td> kpasswd </td>
54     <td> kpasswd </td>
55   </tr>
56 </table>
57
58 - kinit -- authenticates using standard UDP port 88. Works with DCE, [[HeimdalKTH]] and [[ActiveDirectory]] (maybe?).
59 - kpasswd -- change KDC password.
60 - klist -- displays contents of ticket cache.
61 - ktadmin
62 - ktadd -- add a principal<br /><code>ktadd -k /etc/krb5/keytab -e des-cbc-crc:v4 <afs@CS.UMD>.EDU</code>
63 - ktremove -- removes a principal from the KDC
64 - kprop
65
66 ## <a name="KerberosDCE -- DCE version of V5"></a> [[KerberosDCE]] -- DCE version of V5
67
68 - kinit -- authenticates to DCE Security Server and also obtains authorization informaion (groups) from the DCE Privilege Server.
69 - chpass -- change password
70 - dcecp -- admin suite
71
72 ## <a name="HeimdalKTH -- International vers"></a> [[HeimdalKTH]] -- International version of Kerberos V5
73
74 Here's some [mail](http://lists-openafs.central.org/pipermail/openafs-info/2001-April/000591.html) from [[DerrickBrashear]] for using [[HeimdalKTH]] for AFS authentication. An updated version of this document can be found [here](http://lost-contact.mit.edu/afs/net/project/afs32/andrew.cmu.edu/usr/shadow/ka2heim.txt): <file:/afs/andrew.cmu.edu/usr/shadow/ka2heim.txt>
75
76 The kas wrapper mentioned above maybe useful for Heimdal environments too.
77
78 - afslog
79 - ktutil -- for example to create a [[KeyFile]] for AFS servers you can use this sequence<br />`ktutil -k keytab.afs get afs@MY.REALM`<br />`ktutil copy FILE:keytab.afs AFSKEYFILE:/usr/vice/etc/KeyFile`<br /> It can also convert from `srvtab` format.
80 - hprop -- initializes a database from [[KaServer]] (?)
81 - ipropd -- propagates KDC databases between master and slave servers?
82
83 ## <a name="ActiveDirectory -- Microsoft ver"></a> [[ActiveDirectory]] -- Microsoft version of Kerberos V5
84
85 ## <a name="Other commands"></a> Other commands
86
87 - aklog -- converts V5 TGT to AFS service tickets and gives them to the [[CacheManager]]. Is this part of the standard MIT K5 distribution?
88 - ka-forwarder -- allows klog to work in V5 environments, not needed if you are willing to use kinit/aklog. This is a [[HeimdalKTH]] tool?
89 - asetkey -- converts a V5 keytab file containing the AFS service ticket key and stores it into a [[KeyFile]] which AFS servers understand.
90 - fakeka
91 - r\* commands -- where to get safe kerberized versions?
92 - pts -- suite of commands for accessing the [[PtServer]] to manage AFS groups in all authentication environments.
93 - uss -- user creation tool. It is [documented](http://www.openafs.org/pages/doc/AdminReference/auarf242.htm#HDRUSS_INTRO) in the admin guide. It has some support for alternate authentication systems, but probably works best in [[KaServer]] environments.
94
95 ----
96
97 See [[SettingUpAuthentication]]
98
99 -- [[TedAnderson]] - 23 Jan 2002 -- [[TedAnderson]] - 06 Feb 2002 -- [[TedAnderson]] - 07 Mar 2002