Document KeyFileExt(5)
authorBenjamin Kaduk <kaduk@mit.edu>
Fri, 27 Feb 2015 23:20:19 +0000 (18:20 -0500)
committerBenjamin Kaduk <kaduk@mit.edu>
Fri, 28 Aug 2015 02:31:44 +0000 (22:31 -0400)
Add a manual page for the KeyFileExt file.

Add cross-references from all places which currently reference
KeyFile(5), and update their body text accordingly.

Change-Id: Iab56847fcb59dda0c8a344a626ddb0ff35b98b26
Reviewed-on: http://gerrit.openafs.org/11770
Tested-by: BuildBot <buildbot@rampaginggeek.com>
Reviewed-by: Benjamin Kaduk <kaduk@mit.edu>

32 files changed:
doc/man-pages/pod5/KeyFileExt.pod [new file with mode: 0644]
doc/man-pages/pod5/afs.pod
doc/man-pages/pod8/asetkey.pod
doc/man-pages/pod8/backup.pod
doc/man-pages/pod8/bos.pod
doc/man-pages/pod8/bos_addhost.pod
doc/man-pages/pod8/bos_addkey.pod
doc/man-pages/pod8/bos_adduser.pod
doc/man-pages/pod8/bos_create.pod
doc/man-pages/pod8/bos_delete.pod
doc/man-pages/pod8/bos_getdate.pod
doc/man-pages/pod8/bos_getrestart.pod
doc/man-pages/pod8/bos_install.pod
doc/man-pages/pod8/bos_listhosts.pod
doc/man-pages/pod8/bos_listkeys.pod
doc/man-pages/pod8/bos_listusers.pod
doc/man-pages/pod8/bos_prune.pod
doc/man-pages/pod8/bos_removehost.pod
doc/man-pages/pod8/bos_removekey.pod
doc/man-pages/pod8/bos_removeuser.pod
doc/man-pages/pod8/bos_restart.pod
doc/man-pages/pod8/bos_salvage.pod
doc/man-pages/pod8/bos_setauth.pod
doc/man-pages/pod8/bos_setcellname.pod
doc/man-pages/pod8/bos_setrestart.pod
doc/man-pages/pod8/bos_shutdown.pod
doc/man-pages/pod8/bos_start.pod
doc/man-pages/pod8/bos_startup.pod
doc/man-pages/pod8/bos_status.pod
doc/man-pages/pod8/bos_stop.pod
doc/man-pages/pod8/bos_uninstall.pod
doc/man-pages/pod8/butc.pod

diff --git a/doc/man-pages/pod5/KeyFileExt.pod b/doc/man-pages/pod5/KeyFileExt.pod
new file mode 100644 (file)
index 0000000..6962845
--- /dev/null
@@ -0,0 +1,82 @@
+=head1 NAME
+
+KeyFileExt - Defines extended AFS server encryption keys
+
+=head1 DESCRIPTION
+
+The F<KeyFileExt> file defines some of the server encryption keys
+that the AFS server
+processes running on the machine use to decrypt the tickets presented by
+clients during the mutual authentication process. AFS server processes
+perform privileged actions only for clients that possess a ticket
+encrypted with one of the keys from the F<KeyFile> or F<KeyFileExt>.
+The file must reside in the
+F</usr/afs/etc> directory on every server machine. For more detailed
+information on mutual authentication and server encryption keys, see the
+I<OpenAFS Administration Guide>.
+
+Each key has a corresponding key version number and encryption
+type that distinguishes it
+from the other keys. The tickets that clients present are also marked with
+a key version number and encryption type
+to tell the server process which key to use to
+decrypt it. The F<KeyFileExt> file must always include a key with the same
+key version number and encryption type
+and contents as the key currently listed for the
+C<afs/I<cell>> principal in the associated Kerberos v5 realm.
+(The principal C<afs> may be used if the cell and
+realm names are the same, but adding the cell name to the principal is
+recommended even in this case.)
+Keys in the F<KeyFile> must be DES keys; keys of stronger
+encryption types (such as those used by the rxkad-k5 extension) are
+contained in the F<KeyFileExt>.
+
+The F<KeyFileExt> file is in binary format, so always use the
+B<asetkey> command to administer it:
+
+=over 4
+
+=item *
+
+The B<asetkey add> command to add a new key.
+
+=item *
+
+The B<asetkey list> command to display the keys.
+
+=item *
+
+The B<asetkey delete> command to remove a key from the file.
+
+=back
+
+The B<asetkey> commands must be run on the same server as the F<KeyFileExt>
+file to update. Normally, new
+keys should be added from a Kerberos v5 keytab using B<asetkey add>.
+
+The file should be edited on each server machine.
+
+=head1 CAUTIONS
+
+The most common error caused by changes to F<KeyFileExt> is to add a key that
+does not match the corresponding key for the Kerberos v5 principal or
+Authentication Server database entry. Both the key and the key version
+number must match the key for the corresponding principal, either
+C<afs/I<cell>> or C<afs>, in the Kerberos v5 realm.  Using L<asetkey(8)>
+to add rxkad-k5 keys to the F<KeyFileExt> also requires specifying a krb5
+encryption type number.  Since the encryption type must be specified
+by its number (not a symbolic or string name), care must be taken to
+determine the correct encryption type to add.
+
+=head1 SEE ALSO
+
+L<KeyFile(5)>,
+L<asetkey(8)>,
+
+The I<OpenAFS Administration Guide> at
+L<http://docs.openafs.org/AdminGuide/>.
+
+=head1 COPYRIGHT
+
+IBM Corporation, 2000. <http://www.ibm.com/> All Rights Reserved.
+Massachusetts Institute of Technology, 2015.
index 60f0e8d..fff037e 100644 (file)
@@ -91,6 +91,8 @@ Administrative files:
 
 =item L<KeyFile(5)>
 
+=item L<KeyFileExt(5)>
+
 =item L<UserList(5)>
 
 =back
index 97ed37a..3ec30a3 100644 (file)
@@ -1,6 +1,6 @@
 =head1 NAME
 
-asetkey - Add a key from a keytab to an AFS KeyFile
+asetkey - Add a key from a keytab to an AFS KeyFile or KeyFileExt
 
 =head1 SYNOPSIS
 
@@ -26,8 +26,8 @@ B<asetkey> list
 
 The B<asetkey> command is used to add a key to an AFS KeyFile or KeyFileExt
 from a Kerberos keytab.  It is similar to B<bos addkey> except that it must be
-run locally on the system where the KeyFile is located and it takes the
-new key from the command line or a Kerberos 5 keytab rather than prompting
+run locally on the system where the KeyFile or KeyFileExt is located
+and it takes the new key from a Kerberos 5 keytab rather than prompting
 for the password.
 
 B<asetkey delete> can be used to delete a key (similar to B<bos
index 3f62b25..139ff23 100644 (file)
@@ -162,13 +162,15 @@ prints the help message.
 =item B<-localauth>
 
 Constructs a server ticket using the server encryption key with the
-highest key version number in the local F</usr/afs/etc/KeyFile> file. The
+highest key version number in the local F</usr/afs/etc/KeyFile>
+or F</usr/afs/etc/KeyFileExt> file. The
 B<backup> command interpreter presents the ticket, which never expires, to
 the Backup Server, Volume Server and Volume Location (VL) Server during
 mutual authentication.
 
 Use this flag only when issuing a command on a server machine; client
-machines do not usually have a F</usr/afs/etc/KeyFile> file.  The issuer
+machines do not usually have a F</usr/afs/etc/KeyFile> or
+F</usr/afs/etc/KeyFileExt> file.  The issuer
 of a command that includes this flag must be logged on to the server
 machine as the local superuser C<root>. The flag is useful for commands
 invoked by an unattended application program, such as a process controlled
@@ -272,6 +274,7 @@ command is issued.
 L<BosConfig(5)>,
 L<CellServDB(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<ThisCell(5)>,
 L<UserList(5)>,
 L<butc(5)>,
index d36673d..7cb3284 100644 (file)
@@ -74,6 +74,14 @@ commands: B<bos addkey>, B<bos listkeys>, and B<bos removekey>.
 
 =item *
 
+The F</usr/afs/etc/KeyFileExt> file lists additional server encryption
+keys that the server processes can use to decrypt tickets presented by
+client processes and one another. These keys are strong encryption
+keys used by the rxkad-k5 extension; use L<asetkey(8)> to manage the
+F<KeyFileExt>.
+
+=item *
+
 The F</usr/afs/etc/ThisCell> file defines the cell to which the server
 machine belongs for the purposes of server-to-server communication.
 Administer it with the B<bos setcellname> command. There is also a
@@ -153,12 +161,14 @@ prints the help message.
 =item B<-localauth>
 
 Constructs a server ticket using the server encryption key with the
-highest key version number in the local F</usr/afs/etc/KeyFile> file. The
+highest key version number in the local F</usr/afs/etc/KeyFile> or
+F</usr/afs/etc/KeyFileExt> file. The
 B<bos> command interpreter presents the ticket, which never expires, to
 the BOS Server during mutual authentication.
 
 Use this flag only when issuing a command on a server machine; client
-machines do not usually have a F</usr/afs/etc/KeyFile> file.  The issuer
+machines do not usually have a F</usr/afs/etc/KeyFile> or
+F</usr/afs/etc/KeyFileExt> file.  The issuer
 of a command that includes this flag must be logged on to the server
 machine as the local superuser C<root>. The flag is useful for commands
 invoked by an unattended application program, such as a process controlled
@@ -241,6 +251,7 @@ B<bos listkeys> command), no privilege is required.
 L<BosConfig(5)>,
 L<CellServDB(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<ThisCell(5)>,
 L<UserList(5)>,
 L<bos_addhost(8)>,
index 4b1d7a2..90bf2e3 100644 (file)
@@ -82,7 +82,8 @@ this flag with the B<-localauth> flag. For more details, see L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -113,6 +114,7 @@ included.
 
 L<CellServDB(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_listhosts(8)>,
index 1988b0b..f99fb18 100644 (file)
@@ -59,6 +59,14 @@ must use C<afs3> salt, not the default Kerberos v5 salt. Otherwise, the
 key generated by B<bos addkey> will not match the key generated by the
 Kerberos v5 KDC.
 
+This command can only add keys to the F<KeyFile>; these keys must
+be DES keys.  The stronger keys used by the rxkad-k5 extension are
+stored in the F<KeyFileExt>, which is not supported by this command.
+
+As such, the use of this command is disrecommended; use
+L<asetkey(8)> instead to benefit from the increased security
+of the rxkad-k5 extension.
+
 =head1 OPTIONS
 
 =over 4
@@ -103,7 +111,8 @@ this flag with the B<-localauth> flag. For more details, see L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -144,6 +153,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<asetkey(8)>,
 L<bos(8)>,
index cf0ac36..3940a50 100644 (file)
@@ -58,7 +58,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -88,6 +89,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_listusers(8)>,
index 567462a..187d8f2 100644 (file)
@@ -242,7 +242,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -430,6 +431,7 @@ Format of struct bnode_proc explosion:
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<buserver(8)>,
index 14c583e..ce62f8e 100644 (file)
@@ -59,7 +59,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -94,6 +95,7 @@ restricted mode.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index 938fbad..9ed3e9a 100644 (file)
@@ -71,7 +71,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -106,6 +107,7 @@ None
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<bos(8)>,
 L<bos_install(8)>,
 L<bos_prune(8)>,
index c40637a..424634c 100644 (file)
@@ -67,7 +67,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -137,6 +138,7 @@ None
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<bos(8)>,
 L<bos_getdate(8)>,
 L<bos_setrestart(8)>,
index 7d1eead..154d1a9 100644 (file)
@@ -87,7 +87,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -125,6 +126,7 @@ restricted mode.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_getdate(8)>,
index 54c0b77..f196797 100644 (file)
@@ -60,7 +60,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -102,6 +103,7 @@ None
 
 L<CellServDB(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<bos(8)>,
 L<bos_addhost(8)>,
 L<bos_removehost(8)>
index a888eca..b7e6510 100644 (file)
@@ -35,6 +35,11 @@ Displaying actual keys on the standard output stream (by including the
 B<-showkey> flag) is a security exposure. Displaying a checksum is
 sufficient for most purposes.
 
+This command will only list keys in the F<KeyFile>; it cannot display
+keys from a F<KeyFileExt>.  A server running a modern, secure installation
+using only keys for the rxkad-k5 extension will yield no keys in
+the output of this command.
+
 =head1 OPTIONS
 
 =over 4
@@ -70,7 +75,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -136,6 +142,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<asetkey(8)>,
 L<bos_addkey(8)>,
index fb3ffd1..3f4ea4d 100644 (file)
@@ -54,7 +54,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -86,6 +87,7 @@ None
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_adduser(8)>,
index feb59a8..5deec83 100644 (file)
@@ -96,7 +96,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -135,6 +136,7 @@ restricted mode.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_getdate(8)>
index 8dd4765..0e2f4f3 100644 (file)
@@ -68,7 +68,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -98,6 +99,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_addhost(8)>,
index c8e4874..a6af4e3 100644 (file)
@@ -32,6 +32,9 @@ lifetime has passed since the current key was defined using the B<kas
 setpassword> and B<bos addkey> commands. This ensures that no clients
 still possess tickets encrypted with the obsolete key.
 
+This command can only remove keys from the F</usr/afs/etc/KeyFile> file;
+the F</usr/afs/etc/KeyFileExt> cannot be modified by this command.
+
 =head1 OPTIONS
 
 =over 4
@@ -67,7 +70,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -96,6 +100,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_addkey(8)>,
index f6ac0dd..e881e92 100644 (file)
@@ -57,7 +57,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -86,6 +87,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_addkey(8)>,
index 117e9d2..2321d33 100644 (file)
@@ -98,7 +98,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -138,6 +139,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index ef04bad..6e7fe18 100644 (file)
@@ -299,7 +299,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -339,6 +340,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<SalvageLog(5)>,
 L<UserList(5)>,
 L<bos(8)>,
index 95f0628..a00082d 100644 (file)
@@ -69,7 +69,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -98,6 +99,7 @@ included.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<NoAuth(5)>,
 L<UserList(5)>,
 L<bos(8)>,
index 03726ad..acf636e 100644 (file)
@@ -84,7 +84,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -117,6 +118,7 @@ C<root> if the B<-localauth> flag is included.
 
 L<CellServDB(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<ThisCell(5)>,
 L<UserList(5)>,
 L<bos(8)>
index 13dca43..eab6914 100644 (file)
@@ -136,7 +136,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -171,6 +172,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_getrestart(8)>,
index 7aa0fd5..03da6aa 100644 (file)
@@ -81,7 +81,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -116,6 +117,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index eee136a..b2a3d1c 100644 (file)
@@ -59,7 +59,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -90,6 +91,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index c45fbe6..d6c1818 100644 (file)
@@ -68,7 +68,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -106,6 +107,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index 8216524..9cf159e 100644 (file)
@@ -69,7 +69,7 @@ flag. For more details, see L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file. The B<bos> command
 interpreter presents the ticket to the BOS Server during mutual
 authentication. Do not combine this flag with the B<-cell> or
 B<-noauth> options. For more details, see L<bos(8)>.
@@ -262,6 +262,7 @@ None
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
 L<bos_shutdown(8)>,
index f1a1071..892b248 100644 (file)
@@ -63,7 +63,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -93,6 +94,7 @@ included.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_create(8)>,
index 1d86821..2049ef4 100644 (file)
@@ -74,7 +74,8 @@ L<bos(8)>.
 =item B<-localauth>
 
 Constructs a server ticket using a key from the local
-F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
+F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt> file.
+The B<bos> command interpreter presents the
 ticket to the BOS Server during mutual authentication. Do not combine this
 flag with the B<-cell> or B<-noauth> options. For more details, see
 L<bos(8)>.
@@ -108,6 +109,7 @@ restricted mode.
 
 L<BosConfig(5)>,
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<UserList(5)>,
 L<bos(8)>,
 L<bos_getrestart(8)>,
index 58bdaca..730ce83 100644 (file)
@@ -175,14 +175,16 @@ socket will listen on all interfaces.
 =item B<-localauth>
 
 Constructs a server ticket using the server encryption key with the
-highest key version number in the local F</usr/afs/etc/KeyFile>. The
+highest key version number in the local F</usr/afs/etc/KeyFile> or
+F</usr/afs/etc/KeyFileExt>. The
 B<butc> command interpreter presents the ticket, which never expires, to
 the Volume Server and Volume Location Server to use in mutual
 authentication.
 
 Do not combine this argument with the B<-cell> flag, and use it only when
 logged on to a server machine as the local superuser C<root>; client
-machines do not have F</usr/afs/etc/KeyFile> file.
+machines do not have F</usr/afs/etc/KeyFile> or F</usr/afs/etc/KeyFileExt>
+files.
 
 =item B<-help>
 
@@ -212,6 +214,7 @@ configuration files in the local F</usr/afs/backup> directory.
 =head1 SEE ALSO
 
 L<KeyFile(5)>,
+L<KeyFileExt(5)>,
 L<ThisCell(5)>,
 L<UserList(5)>,
 L<butc(5)>,