a888ecada9f4b1b193a1ece202cbe1ec5e42edb8
[openafs.git] / doc / man-pages / pod8 / bos_listkeys.pod
1 =head1 NAME
2
3 bos_listkeys - Displays the server encryption keys from the KeyFile file
4
5 =head1 SYNOPSIS
6
7 =for html
8 <div class="synopsis">
9
10 B<bos listkeys> S<<< B<-server> <I<machine name>> >>> [B<-showkey>]
11     S<<< [B<-cell> <I<cell name>>] >>> [B<-noauth>] [B<-localauth>] [B<-help>]
12
13 B<bos listk> S<<< B<-se> <I<machine name>> >>> [B<-sh>] S<<< [B<-c> <I<cell name>>] >>>
14     [B<-n>] [B<-l>] [B<-h>]
15
16 =for html
17 </div>
18
19 =head1 DESCRIPTION
20
21 The B<bos listkeys> command formats and displays the list of server
22 encryption keys from the F</usr/afs/etc/KeyFile> file on the server
23 machine named by the B<-server> argument.  It is equivalent to B<asetkey
24 list>, but can be run remotely.
25
26 To edit the list of keys, use the B<asetkey> command; see L<asetkey(8)>
27 for more information.  You can also remove keys remotely using the B<bos
28 removekey> command.  If you are using the Authentication Server
29 (B<kaserver>) rather than a Kerberos v5 KDC, use the B<bos addkey> command
30 instead of B<asetkey> to add a new key.
31
32 =head1 CAUTIONS
33
34 Displaying actual keys on the standard output stream (by including the
35 B<-showkey> flag) is a security exposure. Displaying a checksum is
36 sufficient for most purposes.
37
38 =head1 OPTIONS
39
40 =over 4
41
42 =item B<-server> <I<machine name>>
43
44 Indicates the server machine from which to display the KeyFile
45 file. Identify the machine by IP address or its host name (either
46 fully-qualified or abbreviated unambiguously). For details, see L<bos(8)>.
47
48 For consistent performance in the cell, the output must be the same on
49 every server machine.  L<asetkey(8)> explains how to keep the machines
50 synchronized.
51
52 =item B<-showkey>
53
54 Displays the octal digits that constitute each key.  Anyone who has access
55 to the resulting output will have complete access to the AFS cell and will
56 be able to impersonate the AFS cell to any client, so be very careful when
57 using this option.
58
59 =item B<-cell> <I<cell name>>
60
61 Names the cell in which to run the command. Do not combine this argument
62 with the B<-localauth> flag. For more details, see L<bos(8)>.
63
64 =item B<-noauth>
65
66 Assigns the unprivileged identity C<anonymous> to the issuer. Do not
67 combine this flag with the B<-localauth> flag. For more details, see
68 L<bos(8)>.
69
70 =item B<-localauth>
71
72 Constructs a server ticket using a key from the local
73 F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
74 ticket to the BOS Server during mutual authentication. Do not combine this
75 flag with the B<-cell> or B<-noauth> options. For more details, see
76 L<bos(8)>.
77
78 =item B<-help>
79
80 Prints the online help for this command. All other valid options are
81 ignored.
82
83 =back
84
85 =head1 OUTPUT
86
87 The output includes one line for each server encryption key listed in the
88 F<KeyFile> file, identified by its key version number.
89
90 If the B<-showkey> flag is included, the output displays the actual string
91 of eight octal numbers that constitute the key. Each octal number is a
92 backslash and three decimal digits.
93
94 If the B<-showkey> flag is not included, the output represents each key as
95 a checksum, which is a decimal number derived by encrypting a constant
96 with the key.
97
98 Following the list of keys or checksums, the string C<Keys last changed>
99 indicates when a key was last added to the F<KeyFile> file. The words
100 C<All done> indicate the end of the output.
101
102 For mutual authentication to work properly, the output from the command
103 C<kas examine afs> must match the key or checksum with the same key
104 version number in the output from this command.
105
106 =head1 EXAMPLES
107
108 The following example shows the checksums for the keys stored in the
109 F<KeyFile> file on the machine C<fs3.example.com>.
110
111    % bos listkeys fs3.example.com
112    key 1 has cksum 972037177
113    key 3 has cksum 2825175022
114    key 4 has cksum 260617746
115    key 6 has cksum 4178774593
116    Keys last changed on Mon Apr 12 11:24:46 1999.
117    All done.
118
119 The following example shows the actual keys from the F<KeyFile> file on
120 the machine C<fs6.example.com>.
121
122    % bos listkeys fs6.example.com -showkey
123    key 0 is '\040\205\211\241\345\002\023\211'
124    key 1 is '\343\315\307\227\255\320\135\244'
125    key 2 is '\310\310\255\253\326\236\261\211'
126    Keys last changed on Wed Mar 31 11:24:46 1999.
127    All done.
128
129 =head1 PRIVILEGE REQUIRED
130
131 The issuer must be listed in the F</usr/afs/etc/UserList> file on the
132 machine named by the B<-server> argument, or must be logged onto a server
133 machine as the local superuser C<root> if the B<-localauth> flag is
134 included.
135
136 =head1 SEE ALSO
137
138 L<KeyFile(5)>,
139 L<UserList(5)>,
140 L<asetkey(8)>,
141 L<bos_addkey(8)>,
142 L<bos_removekey(8)>,
143 L<bos_setauth(8)>,
144 L<kas_examine(8)>
145
146 =head1 COPYRIGHT
147
148 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
149
150 This documentation is covered by the IBM Public License Version 1.0.  It
151 was converted from HTML to POD by software written by Chas Williams and
152 Russ Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.