add an index page to preview the diagrams
[openafs-wiki.git] / CrossRealmAuthentication.mdwn
1 I am not the right person to write this page but here is summary from a pretty good note from Derek Atkins in a [thread](https://lists.openafs.org/pipermail/openafs-info/2002-January/002959.html) on the [[OpenAFSInfo]] mailing list.
2
3 In order to setup cross-realm:
4
5 1. you need cross-realm Kerberos (a shared key)
6 2. The foreign cell needs to setup a group to hold users from your.original.cell:<br />`pts cg system:authuser@your.original.cell -c foreign.cell`
7
8 The "groupquota" on this group is the number of cross-cell users who can be created. Then, once that is setup, users can create themselves ids in the foreign cell:
9
10 1. user needs to obtain a token in the foreign cell:<br />`aklog -cell foreign.cell`
11 2. user creates themselves an id in the foreign cell:<br />`pts cu user@your.original.cell -c foreign.cell`
12 3. user gets new tokens with proper ID:<br />`aklog -cell foreign.cell -force`
13
14 The use of aklog assumes you have [[KerberosV]] tickets. Actually, with the [[OpenAFS]] aklog, you just the last step -- the aklog to the foreign cell does the pts create internally for you.
15
16 I've augmented the description with other comments from the thread.
17
18 -- Ted Anderson - 22 Jan 2002