Windows: correct use of krb5_init_context in aklog
[openafs.git] / doc / man-pages / pod8 / bosserver.pod
1 =head1 NAME
2
3 bosserver - Initializes the BOS Server
4
5 =head1 SYNOPSIS
6
7 =for html
8 <div class="synopsis">
9
10 B<bosserver> [B<-noauth>] [B<-log>] [B<-enable_peer_stats>]
11     S<<< [B<-auditlog> <I<log path>>] >>> [B<-audit-interface> (file | sysvmq)]
12     [B<-enable_process_stats>] [B<-allow-dotted-principals>]
13     [B<-cores=>(none|<I<path>>)]
14     [B<-restricted>] [B<-help>]
15
16 =for html
17 </div>
18
19 =head1 DESCRIPTION
20
21 The bosserver command initializes the Basic OverSeer (BOS) Server
22 (B<bosserver> process). In the conventional configuration, the binary file
23 is located in the F</usr/afs/bin> directory on a file server machine.
24
25 The BOS Server must run on every file server machine and helps to automate
26 file server administration by performing the following tasks:
27
28 =over 4
29
30 =item *
31
32 Monitors the other AFS server processes on the local machine, to make sure
33 they are running correctly.
34
35 =item *
36
37 Automatically restarts failed processes, without contacting a human
38 operator. When restarting multiple server processes simultaneously, the
39 BOS Server takes interdependencies into account and initiates restarts in
40 the correct order.
41
42 =item *
43
44 Processes commands from the bos suite that administrators issue to verify
45 the status of server processes, install and start new processes, stop
46 processes either temporarily or permanently, and restart halted processes.
47
48 =item *
49
50 Manages system configuration information: the files that list the cell's
51 server encryption keys, database server machines, and users privileged to
52 issue commands from the B<bos> and B<vos> suites.
53
54 =back
55
56 The BOS Server is configured via the F<BosConfig> configuration file.
57 Normally, this file is managed via the B<bos> command suite rather than
58 edited directly.  See the L<BosConfig(5)> man page for the syntax of this
59 file.
60
61 The BOS Server will rewrite B<BosConfig> when shutting down, so changes
62 made manually to it will be discarded.  Instead, to change the BOS Server
63 configuration only for the next restart of B<bosserver>, create a file
64 named F</usr/afs/local/BosConfig.new>.  If B<BosConfig.new> exists when
65 B<bosserver> starts, it is renamed to F</usr/afs/local/BosConfig>,
66 removing any existing file by that name, before B<bosserver> reads its
67 configuration.
68
69 The BOS Server logs a default set of important events in the file
70 F</usr/afs/logs/BosLog>. To record the name of any user who performs a
71 privileged B<bos> command (one that requires being listed in the
72 F</usr/afs/etc/UserList> file), add the B<-log> flag. To display the
73 contents of the B<BosLog> file, use the B<bos getlog> command.
74
75 The first time that the BOS Server initializes on a server machine, it
76 creates several files and subdirectories in the local F</usr/afs>
77 directory, and sets their mode bits to protect them from unauthorized
78 access. Each time it restarts, it checks that the mode bits still comply
79 with the settings listed in the following chart. A question mark indicates
80 that the BOS Server initially turns off the bit (sets it to the hyphen),
81 but does not check it at restart.
82
83    /usr/afs              drwxr?xr-x
84    /usr/afs/backup       drwx???---
85    /usr/afs/bin          drwxr?xr-x
86    /usr/afs/db           drwx???---
87    /usr/afs/etc          drwxr?xr-x
88    /usr/afs/etc/KeyFile  -rw????---
89    /usr/afs/etc/UserList -rw?????--
90    /usr/afs/local        drwx???---
91    /usr/afs/logs         drwxr?xr-x
92
93 If the mode bits do not comply, the BOS Server writes the following
94 warning to the F<BosLog> file:
95
96    Bosserver reports inappropriate access on server directories
97
98 However, the BOS Server does not reset the mode bits, so the administrator
99 can set them to alternate values if desired (with the understanding that
100 the warning message then appears at startup).
101
102 This command does not use the syntax conventions of the AFS command
103 suites. Provide the command name and all option names in full.
104
105 =head1 OPTIONS
106
107 =over 4
108
109 =item B<-noauth>
110
111 Assigns the unprivileged identity C<anonymous> to the issuer, which is
112 useful only when authorization checking is disabled on the server machine
113 (for instance, during the installation of a file server machine.)
114
115 =item B<-log>
116
117 Records in the F</usr/afs/logs/BosLog> file the names of all users who
118 successfully issue a privileged B<bos> command (one that requires being
119 listed in the F</usr/afs/etc/UserList> file).
120
121 =item B<-cores=>none|<I<path>>
122
123 The argument none turns off core file generation. Otherwise, the
124 argument is a path where core files will be stored.
125
126 =item B<-auditlog> <I<log path>>
127
128 Turns on audit logging, and sets the path for the audit log.  The audit
129 log records information about RPC calls, including the name of the RPC
130 call, the host that submitted the call, the authenticated entity (user)
131 that issued the call, the parameters for the call, and if the call
132 succeeded or failed.
133
134 =item B<-audit-interface> (file | sysvmq)
135
136 Specifies what audit interface to use. Defaults to C<file>. See
137 L<fileserver(8)> for an explanation of each interface.
138
139 =item B<-enable_peer_stats>
140
141 Activates the collection of Rx statistics and allocates memory for their
142 storage. For each connection with a specific UDP port on another machine,
143 a separate record is kept for each type of RPC (FetchFile, GetStatus, and
144 so on) sent or received. To display or otherwise access the records, use
145 the Rx Monitoring API.
146
147 =item B<-enable_process_stats>
148
149 Activates the collection of Rx statistics and allocates memory for their
150 storage. A separate record is kept for each type of RPC (FetchFile,
151 GetStatus, and so on) sent or received, aggregated over all connections to
152 other machines. To display or otherwise access the records, use the Rx
153 Monitoring API.
154
155 =item B<-allow-dotted-principals>
156
157 By default, the RXKAD security layer will disallow access by Kerberos
158 principals with a dot in the first component of their name. This is to avoid
159 the confusion where principals user/admin and user.admin are both mapped to the
160 user.admin PTS entry. Sites whose Kerberos realms don't have these collisions 
161 between principal names may disable this check by starting the server
162 with this option.
163
164 =item B<-restricted>
165
166 In normal operation, the bos server allows a super user to run any command.
167 When the bos server is running in restricted mode (either due to this
168 command line flag, or when configured by L<bos_setrestricted(8)>) a number
169 of commands are unavailable. Note that this flag persists across reboots.
170 Once a server has been placed in restricted mode, it can only be opened up
171 by sending the SIGFPE signal.
172
173 =item B<-help>
174
175 Prints the online help for this command. All other valid options are
176 ignored.
177
178 =back
179
180 =head1 EXAMPLES
181
182 The following command initializes the BOS Server and logs the names of
183 users who issue privileged B<bos> commands.
184
185    % bosserver -log &
186
187 =head1 PRIVILEGE REQUIRED
188
189 The issuer most be logged onto a file server machine as the local
190 superuser C<root>.
191
192 =head1 SEE ALSO
193
194 L<BosConfig(5)>,
195 L<BosLog(5)>,
196 L<bos(8)>,
197 L<bos_create(8)>,
198 L<bos_exec(8)>,
199 L<bos_getlog(8)>,
200 L<bos_getrestart(8)>,
201 L<bos_restart(8)>,
202 L<bos_setrestricted(8)>,
203 L<bos_shutdown(8)>,
204 L<bos_start(8)>,
205 L<bos_startup(8)>,
206 L<bos_status(8)>,
207 L<bos_stop(8)>
208
209 =head1 COPYRIGHT
210
211 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
212
213 This documentation is covered by the IBM Public License Version 1.0.  It was
214 converted from HTML to POD by software written by Chas Williams and Russ
215 Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.