doc/man-pages/pod1/fs_setcell.pod

   1 =head1 NAME
   2
   3 fs setcell - Allows or disallows running of setuid programs from specified cells
   4
   5 =head1 SYNOPSIS
   6
   7 B<fs setcell -cell> <I<cell name>>+  [B<-suid>]  [B<-nosuid>]  [-help]
   8
   9 B<fs setce -c> <I<cell name>>+  [B<-s>]  [B<-n>]  [-h]
  10
  11 =head1 DESCRIPTION
  12
  13 The fs setcell command sets whether the Cache Manager allows
  14 programs (and other executable files) from each cell named by the
  15 B<-cell> argument to run with setuid permission. By default,
  16 the Cache Manager allows programs from its home cell to run with setuid
  17 permission, but not programs from any foreign cells. A program belongs
  18 to the same cell as the file server machine that houses the volume in which
  19 the program's binary file resides, as specified in the file server
  20 machine's B</usr/afs/etc/ThisCell> file. The Cache Manager
  21 determines its own home cell by reading the B</usr/vice/etc/ThisCell>
  22 file at initialization.
  23
  24 To enable programs from each specified cell to run with setuid permission,
  25 include the B<-suid> flag. To prohibit programs from running
  26 with setuid permission, include the B<-nosuid> flag, or omit both
  27 flags.
  28
  29 The fs setcell command directly alters a cell's setuid
  30 status as recorded in kernel memory, so rebooting the machine is
  31 unnecessary. However, non-default settings do not persist across
  32 reboots of the machine unless the appropriate B<fs setcell> command
  33 appears in the machine's AFS initialization file.
  34
  35 To display a cell's setuid status, issue the fs
  36 getcellstatus command.
  37
  38 =head1 CAVEATS
  39
  40 AFS does not recognize effective UID: if a setuid program accesses
  41 AFS files and directories, it does so using the current AFS identity of the
  42 AFS user who initialized the program, not of the program's owner.
  43 Only the local file system recognizes effective UID.
  44
  45 Only members of the system:administrators group can turn
  46 on the setuid mode bit on an AFS file or directory.
  47
  48 When the setuid mode bit is turned on, the UNIX ls -l command
  49 displays the third user mode bit as an C<s> instead of an
  50 C<x>. However, the C<s> does not appear on an AFS file
  51 or directory unless setuid permission is enabled for the cell in which the
  52 file resides.
  53
  54 =head1 OPTIONS
  55
  56 =over 4
  57
  58 =item -cell
  59
  60 Names each cell for which to set setuid status. Provide the fully
  61 qualified domain name, or a shortened form that disambiguates it from the
  62 other cells listed in the local B</usr/vice/etc/CellServDB>
  63 file.
  64
  65 =item -suid
  66
  67 Allows programs from each specified cell to run with setuid
  68 privilege. Provide it or the B<-nosuid> flag, or omit both
  69 flags to disallow programs from running with setuid privilege.
  70
  71 =item -nosuid
  72
  73 Prevents programs from each specified cell from running with setuid
  74 privilege. Provide it or the B<-suid> flag, or omit both flags
  75 to disallow programs form running with setuid privilege.
  76
  77 =item -help
  78
  79 Prints the online help for this command. All other valid options
  80 are ignored.
  81
  82 =back
  83
  84 =head1 EXAMPLES
  85
  86 The following command enables executable files from the State University
  87 cell to run with setuid privilege on the local machine:
  88
  89    % fs setcell -cell stateu.edu -suid
  90
  91 =head1 PRIVILEGE REQUIRED
  92
  93 The issuer must be logged in as the local superuser root.
  94
  95 =head1 SEE ALSO
  96
  97 L<fs_getcellstatus(1)>
  98
  99 =head1 COPYRIGHT
 100
 101 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
 102
 103 This documentation is covered by the IBM Public License Version 1.0.  It was
 104 converted from HTML to POD by software written by Chas Williams and Russ
 105 Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.