venus: Remove dedebug
[openafs.git] / doc / man-pages / pod1 / pts.pod
1 =head1 NAME
2
3 pts - Introduction to the pts command suite
4
5 =head1 DESCRIPTION
6
7 The commands in the B<pts> command suite are the administrative interface
8 to the Protection Server, which runs on each database server machine in a
9 cell and maintains the Protection Database. The database stores the
10 information that AFS uses to augment and refine the standard UNIX scheme
11 for controlling access to files and directories.
12
13 Instead of relying only on the mode bits that define access rights for
14 individual files, AFS associates an access control list (ACL) with each
15 directory. The ACL lists users and groups and specifies which of seven
16 possible access permissions they have for the directory and the files it
17 contains. (It is still possible to set a directory or file's mode bits,
18 but AFS interprets them in its own way; see the chapter on protection in
19 the I<OpenAFS Administration Guide> for details.)
20
21 AFS enables users to define groups in the Protection Database and place
22 them on ACLs to extend a set of rights to multiple users simultaneously.
23 Groups simplify administration by making it possible to add someone to
24 many ACLs by adding them to a group that already exists on those
25 ACLs. Machines can also be members of a group, so that users logged into
26 the machine automatically inherit the permissions granted to the group.
27
28 There are several categories of commands in the pts command suite:
29
30 =over 4
31
32 =item *
33
34 Commands to create and remove Protection Database entries:
35 L<B<pts creategroup>|pts_creategroup(1)>,
36 L<B<pts createuser>|pts_createuser(1)>,
37 and L<B<pts delete>|pts_delete(1)>.
38
39 =item *
40
41 Commands to administer and display group membership:
42 L<B<pts adduser>|pts_adduser(1)>,
43 L<B<pts listowned>|pts_listowned(1)>,
44 L<B<pts membership>|pts_membership(1)>,
45 and L<B<pts removeuser>|pts_removeuser(1)>.
46
47 =item *
48
49 Commands to administer and display properties of user and group entries
50 other than membership:
51 L<B<pts chown>|pts_chown(1)>,
52 L<B<pts examine>|pts_examine(1)>,
53 L<B<pts listentries>|pts_listentries(1)>,
54 L<B<pts rename>|pts_rename(1)>,
55 and L<B<pts setfields>|pts_setfields(1)>.
56
57 =item *
58
59 Commands to set and examine the counters used when assigning IDs to users
60 and groups:
61 L<B<pts listmax>|pts_listmax(1)>
62 and L<B<pts setmax>|pts_setmax(1)>.
63
64 =item *
65
66 Commands to run commands interactively:
67 L<B<pts interactive>|pts_interactive(1)>,
68 L<B<pts sleep>|pts_sleep(1)>,
69 and L<B<pts quit>|pts_quit(1)>.
70
71 =item *
72
73 A command to run commands from a file:
74 L<B<pts source>|pts_source(1)>.
75
76 =item *
77
78 Commands to obtain help:
79 L<B<pts apropos>|pts_apropos(1)>
80 and L<B<pts help>|pts_help(1)>.
81
82 =item *
83
84 A command to display the OpenAFS command suite version: B<pts version>.
85
86 =back
87
88 =head1 OPTIONS
89
90 The following arguments and flags are available on many commands in the
91 B<pts> suite. The reference page for each command also lists them, but
92 they are described here in greater detail.
93
94 =over 4
95
96 =item B<-cell> <I<cell name>>
97
98 Names the cell in which to run the command. It is acceptable to abbreviate
99 the cell name to the shortest form that distinguishes it from the other
100 entries in the F</usr/vice/etc/CellServDB> file on the local machine. If
101 the B<-cell> argument is omitted, the command interpreter determines the
102 name of the local cell by reading the following in order:
103
104 =over 4
105
106 =item *
107
108 The value of the AFSCELL environment variable.
109
110 =item *
111
112 The local F</usr/vice/etc/ThisCell> file.
113
114 =item *
115
116 The local F</usr/afs/etc/ThisCell> file.
117
118 =back
119
120 Do not combine the B<-cell> and B<-localauth> options. A command on which
121 the B<-localauth> flag is included always runs in the local cell (as
122 defined in the server machine's local F</usr/afs/etc/ThisCell> file),
123 whereas a command on which the B<-cell> argument is included runs in the
124 specified foreign cell.
125
126 =item B<-config> <I<config directory>>
127
128 The location of the directory to use to obtain configuration information,
129 including the CellServDB. This is primarily provided for testing purposes.
130 If the B<-config> and B<-localauth> arguments are omitted, the command
131 interpreter searches for the configuration information in the following order:
132
133 =over 4
134
135 =item *
136
137 The F</usr/vice/etc> directory.
138
139 =item *
140
141 The F</usr/afs/etc> directory.
142
143 =back
144
145 =item B<-force>
146
147 Enables the command to continue executing as far as possible when errors
148 or other problems occur, rather than halting execution immediately.
149 Without it, the command halts as soon as the first error is
150 encountered. In either case, the B<pts> command interpreter reports errors
151 at the command shell. This flag is especially useful if the issuer
152 provides many values for a command line argument; if one of them is
153 invalid, the command interpreter continues on to process the remaining
154 arguments.
155
156 =item B<-help>
157
158 Prints a command's online help message on the standard output stream. Do
159 not combine this flag with any of the command's other options; when it is
160 provided, the command interpreter ignores all other options, and only
161 prints the help message.
162
163 =item B<-noauth>
164
165 Establishes an unauthenticated connection to the Protection Server, in
166 which the server treats the issuer as the unprivileged user
167 C<anonymous>. It is useful only when authorization checking is disabled on
168 the server machine (during the installation of a file server machine or
169 when the L<B<bos setauth>|bos_setauth(8)> command has been used during
170 other unusual circumstances). In normal circumstances, the Protection
171 Server allows only privileged users to issue commands that change the
172 Protection Database, and refuses to perform such an action even if the
173 B<-noauth> flag is provided.
174
175 =item B<-encrypt>
176
177 Establishes an authenticated, encrypted connection to the Protection Server.
178 It is useful when it is desired to obscure network traffic related to the
179 transactions being done.
180
181 =item B<-localauth>
182
183 Constructs a server ticket using the server encryption key with the
184 highest key version number in the local F</usr/afs/etc/KeyFile> file. The
185 B<pts> command interpreter presents the ticket, which never expires, to
186 the BOS Server during mutual authentication.
187
188 Use this flag only when issuing a command on a server machine; client
189 machines do not usually have a F</usr/afs/etc/KeyFile> file.  The issuer
190 of a command that includes this flag must be logged on to the server
191 machine as the local superuser C<root>. The flag is useful for commands
192 invoked by an unattended application program, such as a process controlled
193 by the UNIX B<cron> utility. It is also useful if an administrator is
194 unable to authenticate to AFS but is logged in as the local superuser
195 C<root>.
196
197 Do not combine the B<-cell> and B<-localauth> options. A command on which
198 the B<-localauth> flag is included always runs in the local cell (as
199 defined in the server machine's local F</usr/afs/etc/ThisCell> file),
200 whereas a command on which the B<-cell> argument is included runs in the
201 specified foreign cell. Also, do not combine the B<-localauth> and
202 B<-noauth> flags.
203
204 =item B<-auth>
205
206 Use the calling user's tokens from the kernel to communicate with the ptserver
207 (that is, the same tokens displayed by L<tokens(1)>. This is the default if
208 neither B<-localauth> nor B<-noauth> is given.
209
210 Since this option is the default, it is usually not useful for running single
211 command line operations. However, it can be useful when running commands via
212 L<pts_interactive(1)>, since otherwise it would be impossible to switch from,
213 for example, B<-localauth> back to using regular tokens during a bulk
214 operation. See L<pts_interactive(1)> for more details.
215
216 =item B<-rxgk> (crypt | auth | clear)
217
218 Specify B<-rxgk> to use rxgk credentials when contacting the ptserver. The
219 C<crypt> argument causes B<pts> to use rxgk with per-packet encryption, C<auth>
220 causes B<pts> to use rxgk with per-packet integrity protection, and C<clear>
221 causes B<pts> to use rxgk without any per-packet cryptography.
222
223 By default, B<pts> uses rxkad credentials.  B<pts> falls back to unauthenticated
224 connections if credentials are not available.
225
226 =back
227
228 =head1 PRIVILEGE REQUIRED
229
230 Members of the system:administrators group can issue all B<pts> commands
231 on any entry in the Protection Database.
232
233 Users who do not belong to the system:administrators group can list
234 information about their own entry and any group entries they own. The
235 privacy flags set with the L<B<pts setfields>|pts_setfields(1)> command
236 control access to entries owned by other users.
237
238 =head1 SEE ALSO
239
240 L<pts_adduser(1)>,
241 L<pts_apropos(1)>,
242 L<pts_chown(1)>,
243 L<pts_creategroup(1)>,
244 L<pts_createuser(1)>,
245 L<pts_delete(1)>,
246 L<pts_examine(1)>,
247 L<pts_help(1)>,
248 L<pts_interactive(1)>,
249 L<pts_listentries(1)>,
250 L<pts_listmax(1)>,
251 L<pts_listowned(1)>,
252 L<pts_membership(1)>,
253 L<pts_quit(1)>,
254 L<pts_removeuser(1)>,
255 L<pts_rename(1)>,
256 L<pts_setfields(1)>,
257 L<pts_setmax(1)>,
258 L<pts_sleep(1)>,
259 L<pts_source(1)>
260
261 The I<OpenAFS Administration Guide> at
262 L<http://docs.openafs.org/AdminGuide/>.
263
264 =head1 COPYRIGHT
265
266 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
267
268 This documentation is covered by the IBM Public License Version 1.0.  It was
269 converted from HTML to POD by software written by Chas Williams and Russ
270 Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.