doc/man-pages/pod1/pts.pod

   1 =head1 NAME
   2
   3 pts - Introduction to the pts command suite
   4
   5 =head1 DESCRIPTION
   6
   7 The commands in the B<pts> command suite are the administrative interface
   8 to the Protection Server, which runs on each database server machine in a
   9 cell and maintains the Protection Database. The database stores the
  10 information that AFS uses to augment and refine the standard UNIX scheme
  11 for controlling access to files and directories.
  12
  13 Instead of relying only on the mode bits that define access rights for
  14 individual files, AFS associates an access control list (ACL) with each
  15 directory. The ACL lists users and groups and specifies which of seven
  16 possible access permissions they have for the directory and the files it
  17 contains. (It is still possible to set a directory or file's mode bits,
  18 but AFS interprets them in its own way; see the chapter on protection in
  19 the I<IBM AFS Administration Guide> for details.)
  20
  21 AFS enables users to define groups in the Protection Database and place
  22 them on ACLs to extend a set of rights to multiple users simultaneously.
  23 Groups simplify administration by making it possible to add someone to
  24 many ACLs by adding them to a group that already exists on those
  25 ACLs. Machines can also be members of a group, so that users logged into
  26 the machine automatically inherit the permissions granted to the group.
  27
  28 There are several categories of commands in the pts command suite:
  29
  30 =over 4
  31
  32 =item *
  33
  34 Commands to create and remove Protection Database entries: B<pts
  35 creategroup>, B<pts createuser>, and B<pts delete>.
  36
  37 =item *
  38
  39 Commands to administer and display group membership: B<pts adduser>, B<pts
  40 listowned>, B<pts membership>, and B<pts removeuser>.
  41
  42 =item *
  43
  44 Commands to administer and display properties of user and group entries
  45 other than membership: B<pts chown>, B<pts examine>, B<pts listentries>,
  46 B<pts rename>, and B<pts setfields>.
  47
  48 =item *
  49
  50 Commands to set and examine the counters used when assigning IDs to users
  51 and groups: B<pts listmax> and B<pts setmax>.
  52
  53 =item *
  54
  55 Commands to run commands interactively: B<pts interactive>, B<pts
  56 sleep>, and B<pts quit>.
  57
  58 =item *
  59
  60 A command to run commands from a file: B<pts source>.
  61
  62 =item *
  63
  64 Commands to obtain help: B<pts apropos> and B<pts help>.
  65
  66 =back
  67
  68 =head1 OPTIONS
  69
  70 The following arguments and flags are available on many commands in the
  71 B<pts> suite. The reference page for each command also lists them, but
  72 they are described here in greater detail.
  73
  74 =over 4
  75
  76 =item B<-cell> <I<cell name>>
  77
  78 Names the cell in which to run the command. It is acceptable to abbreviate
  79 the cell name to the shortest form that distinguishes it from the other
  80 entries in the F</usr/vice/etc/CellServDB> file on the local machine. If
  81 the B<-cell> argument is omitted, the command interpreter determines the
  82 name of the local cell by reading the following in order:
  83
  84 =over 4
  85
  86 =item *
  87
  88 The value of the AFSCELL environment variable.
  89
  90 =item *
  91
  92 The local F</usr/vice/etc/ThisCell> file.
  93
  94 Do not combine the B<-cell> and B<-localauth> options. A command on which
  95 the B<-localauth> flag is included always runs in the local cell (as
  96 defined in the server machine's local F</usr/afs/etc/ThisCell> file),
  97 whereas a command on which the B<-cell> argument is included runs in the
  98 specified foreign cell.
  99
 100 =back
 101
 102 =item B<-force>
 103
 104 Enables the command to continue executing as far as possible when errors
 105 or other problems occur, rather than halting execution immediately.
 106 Without it, the command halts as soon as the first error is
 107 encountered. In either case, the B<pts> command interpreter reports errors
 108 at the command shell. This flag is especially useful if the issuer
 109 provides many values for a command line argument; if one of them is
 110 invalid, the command interpreter continues on to process the remaining
 111 arguments.
 112
 113 =item B<-help>
 114
 115 Prints a command's online help message on the standard output stream. Do
 116 not combine this flag with any of the command's other options; when it is
 117 provided, the command interpreter ignores all other options, and only
 118 prints the help message.
 119
 120 =item B<-noauth>
 121
 122 Establishes an unauthenticated connection to the Protection Server, in
 123 which the server treats the issuer as the unprivileged user
 124 C<anonymous>. It is useful only when authorization checking is disabled on
 125 the server machine (during the installation of a file server machine or
 126 when the B<bos setauth> command has been used during other unusual
 127 circumstances). In normal circumstances, the Protection Server allows only
 128 privileged users to issue commands that change the Protection Database,
 129 and refuses to perform such an action even if the B<-noauth> flag is
 130 provided.
 131
 132 =item B<-localauth>
 133
 134 Constructs a server ticket using the server encryption key with the
 135 highest key version number in the local F</usr/afs/etc/KeyFile> file. The
 136 B<pts> command interpreter presents the ticket, which never expires, to
 137 the BOS Server during mutual authentication.
 138
 139 Use this flag only when issuing a command on a server machine; client
 140 machines do not usually have a F</usr/afs/etc/KeyFile> file.  The issuer
 141 of a command that includes this flag must be logged on to the server
 142 machine as the local superuser C<root>. The flag is useful for commands
 143 invoked by an unattended application program, such as a process controlled
 144 by the UNIX B<cron> utility. It is also useful if an administrator is
 145 unable to authenticate to AFS but is logged in as the local superuser
 146 C<root>.
 147
 148 Do not combine the B<-cell> and B<-localauth> options. A command on which
 149 the B<-localauth> flag is included always runs in the local cell (as
 150 defined in the server machine's local F</usr/afs/etc/ThisCell> file),
 151 whereas a command on which the B<-cell> argument is included runs in the
 152 specified foreign cell. Also, do not combine the B<-localauth> and
 153 B<-noauth> flags.
 154
 155 =back
 156
 157 =head1 PRIVILEGE REQUIRED
 158
 159 Members of the system:administrators group can issue all B<pts> commands
 160 on any entry in the Protection Database.
 161
 162 Users who do not belong to the system:administrators group can list
 163 information about their own entry and any group entries they own. The
 164 privacy flags set with the B<pts setfields> command control access to
 165 entries owned by other users.
 166
 167 =head1 SEE ALSO
 168
 169 L<pts_adduser(1)>,
 170 L<pts_apropos(1)>,
 171 L<pts_chown(1)>,
 172 L<pts_creategroup(1)>,
 173 L<pts_createuser(1)>,
 174 L<pts_delete(1)>,
 175 L<pts_examine(1)>,
 176 L<pts_help(1)>,
 177 L<pts_interactive(1)>,
 178 L<pts_listentries(1)>,
 179 L<pts_listmax(1)>,
 180 L<pts_listowned(1)>,
 181 L<pts_membership(1)>,
 182 L<pts_quit(1)>,
 183 L<pts_removeuser(1)>,
 184 L<pts_rename(1)>,
 185 L<pts_setfields(1)>,
 186 L<pts_setmax(1)>,
 187 L<pts_sleep(1)>,
 188 L<pts_source(1)>
 189
 190 =head1 COPYRIGHT
 191
 192 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
 193
 194 This documentation is covered by the IBM Public License Version 1.0.  It was
 195 converted from HTML to POD by software written by Chas Williams and Russ
 196 Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.