doc: bos setrestricted -mode 0 does make sense
[openafs.git] / doc / man-pages / pod8 / bos_setrestricted.pod
1 =head1 NAME
2
3 bos_setrestricted - place a server in restricted mode
4
5 =head1 SYNOPSIS
6
7 =for html
8 <div class="synopsis">
9
10 B<bos setrestricted> S<<< B<-server> <I<machine name>> >>> S<<< B<-mode> (0 | 1) >>>
11     S<<< [B<-cell> <I<cell name>>] >>> [B<-noauth>] [B<-localauth>] [B<-help>]
12
13 =for html
14 </div>
15
16 =head1 DESCRIPTION
17
18 The B<bos setrestricted> command places the server in restricted mode. This
19 mode increases the security of the bos server by removing access to a
20 number of bos commands that are only used whilst configuring a system.
21
22 When a server is in restricted mode, access to B<bos_exec>, B<bos uninstall>,
23 B<bos install>, B<bos create>, B<bos delete>, B<bos prune>
24 is denied, and the use of B<bos getlog> is limited.
25
26 =head1 CAUTIONS
27
28 Once a server has been placed in restricted mode, it may not be opened up
29 again using a remote command. That is, B<bos setrestricted> has no method
30 of placing the server in unrestricted mode. Once a server is restricted,
31 it can only be opened up again by sending it a SIGFPE, which must be done
32 as root on the local machine.
33
34 =head1 OPTIONS
35
36 =over 4
37
38 =item B<-server> <I<machine name>>
39
40 Indicates the server machine to restrict.
41
42 =item B<-mode> <I<mode>>
43
44 Indicates whether to turn restricted mode off or on. Pass a 1 to turn
45 restricted mode on, and pass a 0 to turn restricted mode off. The latter
46 will only work if the server is already running in unrestricted mode, and
47 thus won't do anything immediately, but can be used to change the
48 corresponding entry in L<BosConfig(5)>.
49
50 =item B<-cell> <I<cell name>>
51
52 Names the cell in which to run the command. Do not combine this argument
53 with the B<-localauth> flag. For more details, see L<bos(8)>.
54
55 =item B<-noauth>
56
57 Assigns the unprivileged identity C<anonymous> to the issuer. Do not
58 combine this flag with the B<-localauth> flag. For more details, see
59 L<bos(8)>.
60
61 =item B<-localauth>
62
63 Constructs a server ticket using a key from the local
64 F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
65 ticket to the BOS Server during mutual authentication. Do not combine this
66 flag with the B<-cell> or B<-noauth> options. For more details, see
67 L<bos(8)>.
68
69 =item B<-help>
70
71 Prints the online help for this command. All other valid options are
72 ignored.
73
74 =back
75
76 =head1 PRIVILEGE REQUIRED
77
78 The issuer must be listed in the F</usr/afs/etc/UserList> file on the
79 machine named by the B<-server> argument, or must be logged in as the
80 local superuser C<root> if the B<-localauth> flag is included.
81
82 As noted above, this command cannot be run against servers which are
83 already in restricted mode.
84
85 =head1 SEE ALSO
86
87 L<BosConfig(5)>,
88 L<bos(8)>,
89 L<bos_getrestricted(8)>
90
91 =head1 COPYRIGHT
92
93 Copyright 2009 Simon Wilkinson <simon@sxw.org.uk>
94
95 This documentation is covered by the BSD License as written in the
96 doc/LICENSE file. This man page was written by Simon Wilkinson for
97 OpenAFS.
98