[openafs.git] / doc / html / UserGuide / auusg005.htm
3 <TITLE>User Guide</TITLE>
4 <!-- Begin Header Records  ========================================== -->
5 <!-- /tmp/idwt3629/auusg000.scr converted by idb2h R4.2 (359) ID      -->
6 <!-- Workbench Version (AIX) on 2 Oct 2000 at 14:38:44                -->
7 <META HTTP-EQUIV="updated" CONTENT="Mon, 02 Oct 2000 14:38:42">
8 <META HTTP-EQUIV="review" CONTENT="Tue, 02 Oct 2001 14:38:42">
9 <META HTTP-EQUIV="expires" CONTENT="Wed, 02 Oct 2002 14:38:42">
10 </HEAD><BODY>
11 <!-- (C) IBM Corporation 2000. All Rights Reserved    --> 
12 <BODY bgcolor="ffffff"> 
13 <!-- End Header Records  ============================================ -->
14 <A NAME="Top_Of_Page"></A>
15 <H1>User Guide</H1>
16 <HR><P ALIGN="center"> <A HREF="../index.htm"><IMG SRC="../books.gif" BORDER="0" ALT="[Return to Library]"></A> <A HREF="auusg002.htm#ToC"><IMG SRC="../toc.gif" BORDER="0" ALT="[Contents]"></A> <A HREF="auusg004.htm"><IMG SRC="../prev.gif" BORDER="0" ALT="[Previous Topic]"></A> <A HREF="#Bot_Of_Page"><IMG SRC="../bot.gif" BORDER="0" ALT="[Bottom of Topic]"></A> <A HREF="auusg006.htm"><IMG SRC="../next.gif" BORDER="0" ALT="[Next Topic]"></A> <A HREF="auusg013.htm#HDRINDEX"><IMG SRC="../index.gif" BORDER="0" ALT="[Index]"></A> <P> 
17 <HR><H1><A NAME="HDRWQ20" HREF="auusg002.htm#ToC_30">Using AFS</A></H1>
18 <P>This chapter explains how to perform four basic AFS
19 tasks: logging in and authenticating with AFS, ending an AFS session,
20 accessing the AFS filespace, and changing your password.
21 <HR><H2><A NAME="HDRWQ21" HREF="auusg002.htm#ToC_31">Logging in and Authenticating with AFS</A></H2>
22 <P>To access the AFS filespace as an authenticated user, you
23 must both log into an AFS client machine's local (UNIX) file system and
24 authenticate with AFS. When you log in, you establish your local system
25 identity. When you authenticate, you prove your identity to AFS and
26 obtain a token, which your Cache Manager uses to prove your authenticated
27 status to the AFS server processes it contacts on your behalf. Users
28 who are not authenticated (who do not have a token) have limited access to AFS
29 directories and files.
30 <P><H3><A NAME="HDRWQ22" HREF="auusg002.htm#ToC_32">Logging In</A></H3>
31 <A NAME="IDX819"></A>
32 <A NAME="IDX820"></A>
33 <A NAME="IDX821"></A>
34 <P>On machines that use an AFS-modified login utility, you log in and
35 authenticate in one step. On machines that do not use an AFS-modified
36 login utility, you log in and authenticate in separate steps. To
37 determine which type of login utility your machine uses, you can check for AFS
38 tokens after logging in, or ask your system administrator, who can also tell
39 you about any differences between your login procedure and the two methods
40 described here.
41 <P><H3><A NAME="Header_33" HREF="auusg002.htm#ToC_33">To Log In Using an AFS-modified Login Utility</A></H3>
42 <P>Provide your username at the <TT>login:</TT> prompt that
43 appears when you establish a new connection to a machine. Then provide
44 your password at the <TT>Password:</TT> prompt as shown in the
45 following example. (Your password does not echo visibly on the
46 screen.) 
47 <PRE>   login: <VAR>username</VAR>
48    Password: <VAR>password</VAR>
49 </PRE>
50 <P>If you are not sure which type of login utility is running on your machine,
51 it is best to issue the <B>tokens</B> command to check if you are
52 authenticated; for instructions, see <A HREF="#HDRWQ30">To Display Your Tokens</A>. If you do not have tokens, issue the <B>klog</B>
53 command as described in <A HREF="#HDRWQ29">To Authenticate with AFS</A>.
54 <P><H3><A NAME="HDRWQ23" HREF="auusg002.htm#ToC_34">To Log In Using a Two-Step Login Procedure</A></H3>
55 <P>If your machine does not use an AFS-modified login utility,
56 you must perform a two-step procedure:
57 <OL TYPE=1>
58 <P><LI>Log in to your client machine's local file system by providing a user
59 name and password at the <B>login</B> program's prompts.
60 <P><LI>Issue the <B>klog</B> command to authenticate with AFS. Include
61 the command's <B>-setpag</B> argument to associate your token with a
62 special identification number called a <I>PAG</I> (for <I>process
63 authentication group</I>). For a description of PAGs, see <A HREF="#HDRWQ25">Protecting Your Tokens with a PAG</A>.
64 <PRE>  
65    % <B>klog -setpag</B>
66    Password: <VAR>your_AFS_password</VAR>
67 </PRE>
68 </OL>
69 <TABLE><TR><TD ALIGN="LEFT" VALIGN="TOP"><B>Note:</B></TD><TD ALIGN="LEFT" VALIGN="TOP">If your machine uses a two-step login procedure, you can choose to use
70 different passwords for logging in and authenticating. It is simplest
71 to use the same one for both, though. Talk with your system
72 administrator.
73 </TD></TR></TABLE>
74 <P><H3><A NAME="HDRWQ24" HREF="auusg002.htm#ToC_35">Authenticating with AFS</A></H3>
75 <P>To work most effectively in the AFS filespace, you must
76 authenticate with AFS. When you do, your Cache Manager is given a token
77 as proof of your authenticated status. It uses your token when
78 requesting services from AFS servers, which accept the token as proof of your
79 authenticated status. If you do not have a token, AFS servers consider
80 you to be the <B>anonymous</B> user and your access to AFS filespace is
81 limited: you have only the ACL permissions granted to the
82 <B>system:anyuser</B> group.
83 <A NAME="IDX822"></A>
84 <A NAME="IDX823"></A>
85 <A NAME="IDX824"></A>
86 <P>You can obtain new tokens (reauthenticate) at any time, even after using an
87 AFS-modified login utility, which logs you in and authenticates you in one
88 step. Issue the <B>klog</B> command as described in <A HREF="#HDRWQ29">To Authenticate with AFS</A>.
89 <P><H4><A NAME="HDRWQ25">Protecting Your Tokens with a PAG</A></H4>
90 <P>To make your access to AFS as secure as possible, it is best
91 to associate your tokens with a unique identification number called a
92 <I>PAG</I> (for <I>process authentication group</I>). 
93 <A NAME="IDX825"></A>
94 <A NAME="IDX826"></A>
95 <A NAME="IDX827"></A>
96 AFS-modified login utilities automatically create a PAG and associate the new
97 token with it. To create a PAG when you use the two-step login
98 procedure, include the <B>klog</B> command's <B>-setpag</B>
99 flag. If you do not use this flag, your tokens are associated with your
100 UNIX UID number instead. This type of association has two potential
101 drawbacks:
102 <UL>
103 <P><LI>Anyone who can assume your local UNIX identity can use your tokens.
104 The local superuser <B>root</B> can always use the UNIX <B>su</B>
105 command to assume your UNIX UID, even without knowing your password.
106 <P><LI>In some environments, certain programs cannot use your tokens even when it
107 is appropriate for them to do so. For example, printing commands such
108 as <B>lp</B> or <B>lpr</B> possibly cannot access the files you want
109 to print, because they cannot use your tokens.
110 </UL>
111 <P><H4><A NAME="HDRWQ26">Obtaining Tokens For Foreign Cells</A></H4>
112 <A NAME="IDX828"></A>
113 <P>A token is valid only in one cell (the cell whose AFS authentication
114 service issued it). The AFS server processes in any other cell consider
115 you to be the <B>anonymous</B> user unless you have an account in the cell
116 and authenticate with its AFS authentication service.
117 <P>To obtain tokens in a foreign cell, use the <B>-cell</B> argument to
118 the <B>klog</B> command. You can have tokens for your home cell and
119 one or more foreign cells at the same time.
120 <P><H4><A NAME="HDRWQ27">The One-Token-Per-Cell Rule</A></H4>
121 <P>You can have only one token per cell for each PAG you have
122 obtained on a client machine. If you already have a token for a
123 particular cell and issue the <B>klog</B> command, the new token
124 overwrites the existing one. Getting a new token is useful if your
125 current token is almost expired but you want to continue accessing AFS
126 files. For a discussion of token expiration, see <A HREF="#HDRWQ28">Token Lifetime</A>.
127 <P>To obtain a second token for the same cell, you must either login on a
128 different machine or establish another separate connection to the machine
129 where you already have a token (by using the <B>telnet</B> utility, for
130 example). You get a new PAG for each separate machine or connection,
131 and can use the associated tokens only while working on that machine or
132 connection.
133 <P><H4><A NAME="Header_39">Obtaining Tokens as Another User</A></H4>
134 <A NAME="IDX829"></A>
135 <P>You can authenticate as another username if you know the associated
136 password. (It is, of course, unethical to use someone else's
137 tokens without permission.) If you use the <B>klog</B> command to
138 authenticate as another AFS username, you retain your own local (UNIX)
139 identity, but the AFS server processes recognize you as the other user.
140 The new token replaces any token you already have for the relevant cell (for
141 the reason described in <A HREF="#HDRWQ27">The One-Token-Per-Cell Rule</A>).
142 <P><H4><A NAME="HDRWQ28">Token Lifetime</A></H4>
143 <A NAME="IDX830"></A>
144 <A NAME="IDX831"></A>
145 <P>Tokens have a limited lifetime. To determine when your tokens
146 expire, issue the <B>tokens</B> command as described in <A HREF="#HDRWQ30">To Display Your Tokens</A>. If you are ever unable to access AFS in a way that
147 you normally can, issuing the <B>tokens</B> command tells you whether an
148 expired token is a possible reason.
149 <P>Your cell's administrators set the default lifetime of your
150 token. The AFS authentication service never grants a token lifetime
151 longer than the default, but you can request a token with a shorter
152 lifetime. See the <B>klog</B> reference page in the <I>IBM AFS
153 Administration Reference</I> to learn how to use its <B>-lifetime</B>
154 argument for this purpose.
155 <P><H4><A NAME="Header_41">Authenticating for DFS Access</A></H4>
156 <A NAME="IDX832"></A>
157 <A NAME="IDX833"></A>
158 <A NAME="IDX834"></A>
159 <A NAME="IDX835"></A>
160 <A NAME="IDX836"></A>
161 <P>If your machine is configured to access a DCE cell's DFS filespace by
162 means of the AFS/DFS Migration Toolkit, you can use the <B>dlog</B>
163 command to authenticate with DCE. The <B>dlog</B> command has no
164 effect on your ability to access AFS filespace.
165 <P>If your system administrator has converted your AFS account to a DCE
166 account and you are not sure of your DCE password, use the <B>dpass</B>
167 command to display it. You must be authenticated as the AFS user whose
168 AFS account was converted to a DCE account, and be able to provide the correct
169 AFS password. Like the <B>dlog</B> command, the <B>dpass</B>
170 command has no functionality with respect to AFS.
171 <P>For more information on using the <B>dlog</B> and <B>dpass</B>
172 commands, see your system administrator.
173 <P><H3><A NAME="HDRWQ29" HREF="auusg002.htm#ToC_42">To Authenticate with AFS</A></H3>
174 <A NAME="IDX837"></A>
175 <A NAME="IDX838"></A>
176 <A NAME="IDX839"></A>
177 <P>If your machine is not using an AFS-modified login utility, you must
178 authenticate after login by issuing the <B>klog</B> command. You
179 can also issue this command at any time to obtain a token with a later
180 expiration date than your current token.
181 <PRE>   % <B>klog</B> [<B>-setpag</B>] [<B>-cell</B> &lt;<VAR>cell&nbsp;name</VAR>>]
182    Password: <VAR>your_AFS_password</VAR>
183 </PRE>
184 <P>where
185 <DL>
186 <P><DT><B>-setpag
187 </B><DD>Associates the resulting tokens with a PAG (see <A HREF="#HDRWQ25">Protecting Your Tokens with a PAG</A>). Include this flag the first time you obtain a token
188 for a particular cell during a login session or connection. Do not
189 include it when refreshing the token for a cell during the same
190 session.
191 <P><DT><B>-cell
192 </B><DD>Names the cell for which to obtain the token. You must have an
193 account in the cell.
194 </DL>
195 <P>Your password does not echo visibly appear on the screen. When the
196 command shell prompt returns, you are an authenticated AFS user. You
197 can use the <B>tokens</B> command to verify that you are authenticated, as
198 described in the following section.
199 <P><H3><A NAME="HDRWQ30" HREF="auusg002.htm#ToC_43">To Display Your Tokens</A></H3>
200 <A NAME="IDX840"></A>
201 <A NAME="IDX841"></A>
202 <A NAME="IDX842"></A>
203 <A NAME="IDX843"></A>
204 <A NAME="IDX844"></A>
205 <P>Use the <B>tokens</B> command to display your tokens.
206 <PRE>   % <B>tokens</B>
207 </PRE>
208 <P>The following output indicates that you have no tokens:
209 <PRE>   Tokens held by the Cache Manager:
210        --End of list--
211 </PRE>
212 <P>If you have one or more tokens, the output looks something like the
213 following example, in which the tokens for AFS UID 1022 in the <B>
214</B> cell expire on August 3 at 2:35 p.m.
215 The tokens for AFS UID 9554 in the <B></B> cell expire on
216 August 4 at 1:02 a.m.
217 <PRE>   Tokens held by the Cache Manager:
218    User's (AFS ID 1022) tokens for [Expires Aug   3 14:35]
219    User's (AFS ID 9554) tokens for [Expires Aug   4  1:02] 
220       --End of list--
221 </PRE>
222 <P><H3><A NAME="Header_44" HREF="auusg002.htm#ToC_44">Example:  Authenticating in the Local Cell</A></H3>
223 <A NAME="IDX845"></A>
224 <P>Suppose that user <B>terry</B> cannot save a file. He uses the
225 <B>tokens</B> command and finds that his tokens have expired. He
226 reauthenticates in his local cell under his current identity by issuing the
227 following command:
228 <PRE>   % <B>klog</B>
229    Password:  <VAR>terry's_password</VAR>
230 </PRE>
231 <P>The he issues the <B>tokens</B> command to make sure he is
232 authenticated.
233 <PRE>   % <B>tokens</B>
234    Tokens held by the Cache Manager:
235    User's (AFS ID 4562) tokens for [Expires Jun 22 14:35]
236       --End of list--
237 </PRE>
238 <P><H3><A NAME="Header_45" HREF="auusg002.htm#ToC_45">Example:  Authenticating as a Another User</A></H3>
239 <A NAME="IDX846"></A>
240 <P>Now <B>terry</B> authenticates in his local cell as another user,
241 <B>pat</B>. The new token replaces <B>terry</B>'s existing
242 token, because the Cache Manager can store only one token per cell per login
243 session on a machine.
244 <PRE>   % <B>klog pat</B>
245    Password: <VAR>pat's_password</VAR>
246    % <B>tokens</B>
247    Tokens held by the Cache Manager:
248    User's (AFS ID 4278) tokens for [Expires Jun 23 9:46]
249       --End of list--
250 </PRE>
251 <P><H3><A NAME="Header_46" HREF="auusg002.htm#ToC_46">Example:  Authenticating in a Foreign Cell</A></H3>
252 <A NAME="IDX847"></A>
253 <P>Now <B>terry</B> authenticates in the <B></B> cell
254 where his account is called <B>ts09</B>.
255 <PRE>   % <B>klog  ts09 -cell</B>
256    Password: <VAR>ts09's_password</VAR>
257    % <B>tokens</B>
258    Tokens held by the Cache Manager:
259    User's (AFS ID 4562) tokens for [Expires Jun 22 14:35]
260    User's (AFS ID 8346) tokens for [Expires Jun 23  1:02]
261        --End of list--
262 </PRE>
263 <P><H3><A NAME="HDRWQ31" HREF="auusg002.htm#ToC_47">Limits on Failed Authentication Attempts</A></H3>
264 <A NAME="IDX848"></A>
265 <P>Your system administrator can choose to limit the number of times that you
266 fail to provide the correct password when authenticating with AFS (using
267 either an AFS-modified login utility or the <B>klog</B> command).
268 If you exceed the limit, the AFS authentication service refuses further
269 authentication attempts for a period of time set by your system
270 administrator. The purpose of this limit is to prevent unauthorized
271 users from breaking into your account by trying a series of passwords.
272 <P>To determine if your user account is subject to this limit, ask your system
273 administrator or issue the <B>kas examine</B> command as described in <A HREF="#HDRWQ32">To Display Your Failed Authentication Limit and Lockout Time</A>.
274 <P>The following message indicates that you have exceeded the limit on failed
275 authentication attempts.
276 <PRE>   Unable to authenticate to AFS because ID is locked - see your system admin
277 </PRE>
278 <P><H3><A NAME="HDRWQ32" HREF="auusg002.htm#ToC_48">To Display Your Failed Authentication Limit and Lockout Time</A></H3>
279 <A NAME="IDX849"></A>
280 <A NAME="IDX850"></A>
281 <A NAME="IDX851"></A>
282 <A NAME="IDX852"></A>
283 <P>Issue the <B>kas examine</B> command to determine if there is a limit
284 on the number of unsuccessful authentication attempts for your user account
285 and any associated lockout time. You can examine only your own
286 account. The fourth line of the output reports the maximum number of
287 times you can provide an incorrect password before being locked out of your
288 account. The <TT>lock time</TT> field on the next line reports how
289 long the AFS authentication service refuses authentication attempts after the
290 limit is exceeded.
291 <PRE>   % <B>kas examine</B> <VAR>your_username</VAR>
292    Password for <VAR>your_username</VAR>: <VAR>your_AFS_password</VAR>
293 </PRE>
294 <P>The following example displays the output for the user <B>pat</B>, who
295 is allowed nine failed authentication attempts. The lockout time is
296 25.5 minutes.
297 <PRE>   User data for pat
298     key (15) cksum is 3414844392,  last cpw: Thu Oct 21 16:05:44 1999
299     password will expire:  Fri Nov 26 20:44:36 1999
300     9 consecutive unsuccessful authentications are permitted.
301     The lock time for this user is 25.5 minutes.
302     User is not locked.
303     entry never expires. Max ticket lifetime 100.00 hours.
304     last mod on Wed Aug 18 08:22:29 1999 by admin
305     permit password reuse
306 </PRE>
307 <HR><H2><A NAME="HDRWQ33" HREF="auusg002.htm#ToC_49">Exiting an AFS Session</A></H2>
308 <A NAME="IDX853"></A>
309 <A NAME="IDX854"></A>
310 <A NAME="IDX855"></A>
311 <A NAME="IDX856"></A>
312 <A NAME="IDX857"></A>
313 <P>Because logging in and authenticating with AFS are distinct operations, you
314 must both logout and unauthenticate (issue the <B>unlog</B> command to
315 discard your tokens) when exiting an AFS session. Simply logging out
316 does not necessarily destroy your tokens.
317 <P>You can use the <B>unlog</B> command any time you want to
318 unauthenticate, not just when logging out. For instance, it is a good
319 practice to unauthenticate before leaving your machine unattended, to prevent
320 other users from using your tokens during your absence. When you return
321 to your machine, issue the <B>klog</B> command to reauthenticate, as
322 described in <A HREF="#HDRWQ29">To Authenticate with AFS</A>.
323 <P>Do not issue the <B>unlog</B> command when you are running jobs that
324 take a long time to complete, even if you are logging out. Such
325 processes must have a token during the entire time they need authenticated
326 access to AFS.
327 <P>If you have tokens from multiple cells and want to discard only some of
328 them, include the <B>unlog</B> command's <B>-cell</B>
329 argument.
330 <P><H3><A NAME="Header_50" HREF="auusg002.htm#ToC_50">To Discard Tokens</A></H3>
331 <A NAME="IDX858"></A>
332 <A NAME="IDX859"></A>
333 <P>Issue the <B>unlog</B> command to discard your tokens:
334 <PRE>   % <B>unlog -cell</B>  &lt;<VAR>cell&nbsp;name</VAR>><SUP>+</SUP>
335 </PRE>
336 <P>Omit the <B>-cell</B> argument to discard all of your tokens, or use it
337 to name each cell for which to discard tokens. It is best to provide
338 the full name of each cell (such as <B></B> or
339 <B></B>).
340 <P>You can issue the <B>tokens</B> command to verify that your tokens were
341 destroyed, as in the following example.
342 <PRE>   % <B>tokens</B>
343    Tokens held by the Cache Manager:
344       --End of list--
345 </PRE>
346 <P><H3><A NAME="Header_51" HREF="auusg002.htm#ToC_51">Example:  Unauthenticating from a Specific Cell</A></H3>
347 <A NAME="IDX860"></A>
348 <P>In the following example, a user has tokens in both the
349 <B>accounting</B> and <B>marketing</B> cells at her company.
350 She discards the token for the <B></B> cell but
351 keeps the token for the <B></B> cell.
352 <PRE>   % <B>tokens</B>
353    Tokens held by the Cache Manager:
354    User's (AFS ID 35) tokens for [Expires Nov 10 22:30]
355    User's (AFS ID 674) tokens for [Expires Nov 10 18:44]
356       --End of list--
357    % <B>unlog -cell</B>
358    % <B>tokens</B>
359    Tokens held by the Cache Manager:
360    User's (AFS ID 674) tokens for [Expires Nov 10 18:44]
361       --End of list--
362 </PRE>
363 <P><H3><A NAME="Header_52" HREF="auusg002.htm#ToC_52">To Log Out</A></H3>
364 <P>After you have unauthenticated, log out by issuing the command
365 appropriate for your machine type, which is possibly one of the
366 following.
367 <PRE>   % <B>logout</B>
368 </PRE>
369 <P>or
370 <PRE>   % <B>exit</B>
371 </PRE>
372 <P>or
373 <PRE>   % &lt;<B>Ctrl-d</B>>
374 </PRE>
375 <HR><H2><A NAME="HDRWQ34" HREF="auusg002.htm#ToC_53">Accessing the AFS Filespace</A></H2>
376 <A NAME="IDX861"></A>
377 <A NAME="IDX862"></A>
378 <P>While you are logged in and authenticated, you can access files in AFS just
379 as you do in the UNIX file system. The only difference is that you can
380 access potentially many more files. Just as in the UNIX file system,
381 you can only access those files for which you have permission. AFS uses
382 access control lists (ACLs) to control access, as described in <A HREF="auusg007.htm#HDRWQ44">Protecting Your Directories and Files</A>.
383 <P><H3><A NAME="Header_54" HREF="auusg002.htm#ToC_54">AFS Pathnames</A></H3>
384 <A NAME="IDX863"></A>
385 <P>AFS pathnames look very similar to UNIX file system names. The main
386 difference is that every AFS pathname begins with the AFS root directory,
387 which is called <B>/afs</B> by convention. Having <B>/afs</B>
388 at the top of every AFS cell's filespace links together their filespaces
389 into a global filespace.
390 <A NAME="IDX864"></A>
391 <A NAME="IDX865"></A>
392 <A NAME="IDX866"></A>
393 <A NAME="IDX867"></A>
394 <P><B>Note for Windows users:</B> Windows uses a backslash
395 (&nbsp;<B>\</B>&nbsp;) rather than a forward slash
396 (&nbsp;<B>/</B>&nbsp;) to separate the elements in a
397 pathname. Otherwise, your access to AFS filespace is much the same as
398 for users working on UNIX machines.
399 <P>The second element in AFS pathnames is generally a cell's name.
400 For example, the ABC Corporation cell is called <B></B> and
401 the pathname of every file in its filespace begins with the string
402 <B>/afs/</B>. Some cells also create a directory at
403 the second level with a shortened name (such as <B>abc</B> for
404 <B></B> or <B>stateu</B> for
405 <B></B>), to reduce the amount of typing
406 necessary. Your system administrator can tell you if your cell's
407 filespace includes shortened names like this. The rest of the pathname
408 depends on how the cell's administrators organized its filespace.
409 <P>To access directories and files in AFS you must both specify the correct
410 pathname and have the required permissions on the ACL that protects the
411 directory and the files in it.
412 <P><H3><A NAME="Header_55" HREF="auusg002.htm#ToC_55">Example:  Displaying the Contents of Another User's Directory</A></H3>
413 <P>The user <B>terry</B> wants to look for a file belonging to another
414 user, <B>pat</B>. He issues the <B>ls</B> command on the
415 appropriate pathname.
416 <PRE>   % <B>ls /afs/</B>
417    doc/                    directions/
418    guide/                  jokes/
419    library/
420 </PRE>
421 <P><H3><A NAME="HDRWQ35" HREF="auusg002.htm#ToC_56">Accessing Foreign Cells</A></H3>
422 <A NAME="IDX868"></A>
423 <A NAME="IDX869"></A>
424 <P>You can access files not only in your own cell, but in any AFS cell that
425 you can reach via the network, regardless of geographical location.
426 There are two additional requirements:
427 <UL>
428 <P><LI>Your Cache Manager's list of foreign cells must include the cell you
429 want to access. Only the local superuser <B>root</B> can edit the
430 list of cells, but anyone can display it. See <A HREF="auusg006.htm#HDRWQ42">Determining Access to Foreign Cells</A>.
431 <P><LI>The ACL on the directory that houses the file, and on every parent
432 directory in the pathname, must grant you the necessary permissions.
433 The simplest way for the directory's owner to extend permission to
434 foreign users is to put an entry for the <B>system:anyuser</B> group
435 on the ACL. 
436 <P>The alternative is for the foreign cell's administrator to create an
437 account for you, essentially making you a local user in the cell. The
438 directory's owner creates an ACL entry for you as for any other local
439 user. To authenticate in the foreign cell, issue the <B>klog</B>
440 command with the <B>-cell</B> argument.
441 </UL>
442 <P>For further discussion of directory and file protection, see <A HREF="auusg007.htm#HDRWQ44">Protecting Your Directories and Files</A>.
443 <HR><H2><A NAME="HDRWQ36" HREF="auusg002.htm#ToC_57">Changing Your Password</A></H2>
444 <P>In cells that use an AFS-modified login utility, the password
445 is the same for both logging in and authenticating with AFS. In this
446 case, you use a single command, <B>kpasswd</B>, to change the
447 password.
448 <P>If your machine does not use an AFS-modified login utility, there are
449 separate passwords for logging into the local file system and authenticating
450 with AFS. (The two passwords can be the same or different, at your
451 discretion.) In this case, use the <B>kpasswd</B> command to change
452 your AFS password and the UNIX <B>passwd</B> command to change your UNIX
453 password.
454 <P>Your system administrator can improve cell security by configuring several
455 features that guide your choice of password. Keep them in mind when you
456 issue the <B>kpasswd</B> command:
457 <UL>
458 <P><LI>Limiting the amount of time your password is valid. This improves
459 your cell's security by limiting the amount of time an unauthorized user
460 has to try to guess your password. Your system administrator needs to
461 tell you when your password is due to expire so that you can change it in
462 time. The administrator can configure the AFS-modified login utility to
463 report this information automatically each time you log in. You can
464 also use the <B>kas examine</B> command to display the password expiration
465 date, as instructed in <A HREF="#HDRWQ37">To Display Password Expiration Date and Reuse Policy</A>. 
466 <P>You can change your password prior to the expiration date, but your system
467 administrator can choose to set a minimum time between password
468 changes. The following message indicates that the minimum time has not
469 yet passed.
470 <PRE>   kpasswd:  password was not changed because you changed it too 
471    recently; see your system administrator
472 </PRE>
473 <P><LI>Enforcing password quality standards, such as a minimum length or
474 inclusion of nonalphabetic characters. The administrator needs to tell
475 you about such requirements so that you do not waste time picking unacceptable
476 passwords.
477 <P><LI>Rejecting a password that is too similar to the last 20 passwords you
478 used. You can use the <B>kas examine</B> command to check whether
479 this policy applies to you, as instructed in <A HREF="#HDRWQ37">To Display Password Expiration Date and Reuse Policy</A>. The following message indicates that the password
480 you have chosen is too similar to a previous password. 
481 <PRE>   kpasswd:  Password was not changed because it seems like a reused password
482 </PRE>
483 </UL>
484 <P><H3><A NAME="HDRWQ37" HREF="auusg002.htm#ToC_58">To Display Password Expiration Date and Reuse Policy</A></H3>
485 <A NAME="IDX870"></A>
486 <A NAME="IDX871"></A>
487 <A NAME="IDX872"></A>
488 <A NAME="IDX873"></A>
489 <A NAME="IDX874"></A>
490 <A NAME="IDX875"></A>
491 <P>Issue the <B>kas examine</B> command to display your password
492 expiration date and reuse policy. You can examine only your own
493 account. The third line of the output reports your password's
494 expiration date. The last line reports the password reuse policy that
495 applies to you.
496 <PRE>   % <B>kas examine</B> <VAR>your_username</VAR>
497    Password for <VAR>your_username</VAR>: <VAR>your_AFS_password</VAR>
498 </PRE>
499 <P>The following example displays the output for the user
500 <B>pat</B>.
501 <PRE>   User data for pat
502     key (15) cksum is 3414844392,  last cpw: Thu Oct 21 16:05:44 1999
503     password will expire:  Fri Nov 26 20:44:36 1999
504     9 consecutive unsuccessful authentications are permitted.
505     The lock time for this user is 25.5 minutes.
506     User is not locked.
507     entry never expires. Max ticket lifetime 100.00 hours.
508     last mod on Wed Aug 18 08:22:29 1999 by admin
509     don't permit password reuse
510 </PRE>
511 <P><H3><A NAME="Header_59" HREF="auusg002.htm#ToC_59">To Change Your AFS Password</A></H3>
512 <A NAME="IDX876"></A>
513 <A NAME="IDX877"></A>
514 <A NAME="IDX878"></A>
515 <A NAME="IDX879"></A>
516 <P>Issue the <B>kpasswd</B> command, which prompts you to provide your old
517 and new passwords and to confirm the new password. The passwords do not
518 echo visibly on the screen.
519 <PRE>   % <B>kpasswd</B>
520    Old password: <VAR>current_password</VAR>
521    New password (RETURN to abort): <VAR>new_password</VAR>
522    Retype new password: <VAR>new_password</VAR>
523 </PRE>
524 <P><H3><A NAME="Header_60" HREF="auusg002.htm#ToC_60">To Change Your UNIX Password</A></H3>
525 <P>
526 <A NAME="IDX880"></A>
527 <A NAME="IDX881"></A>
528 <A NAME="IDX882"></A>
529 <A NAME="IDX883"></A>
530 Issue the UNIX <B>passwd</B> command, which prompts you to provide your
531 old and new passwords and to confirm the new password. The passwords do
532 not echo visibly on the screen. On many machines, the <B>passwd</B>
533 resides in the <B>/bin</B> directory, and you possibly need to type the
534 complete pathname.
535 <PRE>   % <B>passwd</B>
536    Changing password for <VAR>username</VAR>.
537    Old password: <VAR>current_password</VAR>
538    New password: <VAR>new_password</VAR>
539    Retype new passwd: <VAR>new_password</VAR>
540 </PRE>
541 <HR><P ALIGN="center"> <A HREF="../index.htm"><IMG SRC="../books.gif" BORDER="0" ALT="[Return to Library]"></A> <A HREF="auusg002.htm#ToC"><IMG SRC="../toc.gif" BORDER="0" ALT="[Contents]"></A> <A HREF="auusg004.htm"><IMG SRC="../prev.gif" BORDER="0" ALT="[Previous Topic]"></A> <A HREF="#Top_Of_Page"><IMG SRC="../top.gif" BORDER="0" ALT="[Top of Topic]"></A> <A HREF="auusg006.htm"><IMG SRC="../next.gif" BORDER="0" ALT="[Next Topic]"></A> <A HREF="auusg013.htm#HDRINDEX"><IMG SRC="../index.gif" BORDER="0" ALT="[Index]"></A> <P> 
542 <!-- Begin Footer Records  ========================================== -->
543 <P><HR><B> 
544 <br>&#169; <A HREF="">IBM Corporation 2000.</A>  All Rights Reserved 
545 </B> 
546 <!-- End Footer Records  ============================================ -->
547 <A NAME="Bot_Of_Page"></A>
548 </BODY></HTML>