doc/man-pages/pod8/kaserver.pod

   1 =head1 NAME
   2
   3 kaserver - Initializes the Authentication Server
   4
   5 =head1 SYNOPSIS
   6
   7 =for html
   8 <div class="synopsis">
   9
  10 B<kaserver> [B<-noAuth>] [B<-fastKeys>] [B<-database> <I<dbpath>>]
  11     S<<< [B<-auditlog> <I<log path>>] >>> [B<-audit-interface> (file | sysvmq)]
  12     S<<< [B<-localfiles> <I<lclpath>>] >>> S<<< [B<-minhours> <I<n>>] >>>
  13     S<<< [B<-servers> <I<serverlist>>] >>> [B<-enable_peer_stats>]
  14     [B<-enable_process_stats>] [B<-help>]
  15
  16 =for html
  17 </div>
  18
  19 =head1 DESCRIPTION
  20
  21 The B<kaserver> command initializes the Authentication Server, which runs
  22 on every database server machine. In the conventional configuration, its
  23 binary file is located in the F</usr/afs/bin> directory on a file server
  24 machine.
  25
  26 The B<kaserver> command is not normally issued at the command shell prompt
  27 but rather placed into a file server machine's F</usr/afs/local/BosConfig>
  28 file with the B<bos create> command. If it is ever issued at the command
  29 shell prompt, the issuer must be logged onto a database server machine as
  30 the local superuser C<root>.
  31
  32 As it initializes, the Authentication Server process creates the two files
  33 that constitute the Authentication Database, F<kaserver.DB0> and
  34 F<kaserver.DBSYS1>, in the F</usr/afs/db> directory if they do not already
  35 exist. Use the commands in the B<kas> suite to administer the database.
  36
  37 The Authentication Server is responsible for several aspects of AFS
  38 security, including:
  39
  40 =over 4
  41
  42 =item *
  43
  44 Maintenance of all AFS server encryption keys and user passwords in the
  45 Authentication Database.
  46
  47 =item *
  48
  49 Creation of the tickets and tokens that users and servers use to establish
  50 secure connections. Its Ticket Granting Service (TGS) component performs
  51 this function.
  52
  53 =back
  54
  55 The Authentication Server records a trace of its activity in the
  56 F</usr/afs/logs/AuthLog> file. Use the B<bos getlog> command to display
  57 the contents of the file. Use the B<kdb> command to read the protected
  58 files associated with the F<AuthLog> file, F<AuthLog.dir> and
  59 F<AuthLog.pag>.
  60
  61 This command does not use the syntax conventions of the AFS command
  62 suites. Provide the command name and all option names in full.
  63
  64 =head1 OPTIONS
  65
  66 =over 4
  67
  68 =item B<-noAuth>
  69
  70 Assigns the unprivileged identity C<anonymous> to the issuer. Thus, it
  71 establishes an unauthenticated connection between the issuer and the
  72 Authentication Server. It is useful only when authorization checking is
  73 disabled on the database server machine. In normal circumstances, the
  74 Authentication Server allows only authorized (privileged) users to issue
  75 commands that affect or contact the Authentication Database and will
  76 refuse to perform such an action even if the B<-noAuth> flag is used.
  77
  78 =item B<-fastKeys>
  79
  80 Is a test flag for use by the AFS Development staff; it serves no
  81 functional purpose.
  82
  83 =item B<-database> <I<dbpath>>
  84
  85 Specifies the pathname of an alternate directory in which the
  86 Authentication Database files reside. Provide the complete pathname,
  87 ending in the base filename to which the C<.DB0> and C<.DBSYS1> extensions
  88 are appended. For example, the appropriate value for the default database
  89 files is F</usr/afs/db/kaserver>.
  90
  91 Provide the B<-localfiles> argument along with this one; otherwise, the
  92 B<-localfiles> argument is also set to the value of this argument, which
  93 is probably inappropriate.
  94
  95 =item B<-auditlog> <I<log path>>
  96
  97 Turns on audit logging, and sets the path for the audit log.  The audit
  98 log records information about RPC calls, including the name of the RPC
  99 call, the host that submitted the call, the authenticated entity (user)
 100 that issued the call, the parameters for the call, and if the call
 101 succeeded or failed.
 102
 103 =item B<-audit-interface> (file | sysvmq)
 104
 105 Specifies what audit interface to use. Defaults to C<file>. See
 106 L<fileserver(8)> for an explanation of each interface.
 107
 108 =item B<-localfiles> <I<lclpath>>
 109
 110 Specifies the pathname of an alternate directory in which the auxiliary
 111 Authentication Database file resides. Provide the complete pathname,
 112 ending in the base filename to which the C<auxdb> suffix is appended. For
 113 example, the appropriate value for the default auxiliary database file is
 114 F</usr/afs/local/kaserver>.
 115
 116 =item B<-minhours> <I<n>>
 117
 118 Specifies the minimum number of hours that must pass between password
 119 changes made by any regular user. System administrators (with the C<ADMIN>
 120 flag in their Authentication Database entry) can change passwords as often
 121 as desired. Setting a minimum time between password changes is not
 122 recommended.
 123
 124 =item B<-servers> <I<authentication servers>>+
 125
 126 Names each database server machine running an Authentication Server with
 127 which the local Authentication Server is to synchronize its copy of the
 128 Authentication Database, rather than with the machines listed in the local
 129 F</usr/afs/etc/CellServDB> file.
 130
 131 =item B<-enable_peer_stats>
 132
 133 Activates the collection of Rx statistics and allocates memory for their
 134 storage. For each connection with a specific UDP port on another machine,
 135 a separate record is kept for each type of RPC (FetchFile, GetStatus, and
 136 so on) sent or received. To display or otherwise access the records, use
 137 the Rx Monitoring API.
 138
 139 =item B<-enable_process_stats>
 140
 141 Activates the collection of Rx statistics and allocates memory for their
 142 storage. A separate record is kept for each type of RPC (FetchFile,
 143 GetStatus, and so on) sent or received, aggregated over all connections to
 144 other machines. To display or otherwise access the records, use the Rx
 145 Monitoring API.
 146
 147 =item B<-help>
 148
 149 Prints the online help for this command. All other valid options are
 150 ignored.
 151
 152 =back
 153
 154 =head1 EXAMPLES
 155
 156 The following B<bos create> command creates a C<kaserver> process on
 157 C<fs3.abc.com> (the command appears on two lines here only for
 158 legibility):
 159
 160    % bos create -server fs3.abc.com -instance kaserver \
 161                 -type simple -cmd /usr/afs/bin/kaserver
 162
 163 =head1 PRIVILEGE REQUIRED
 164
 165 The issuer must be logged in as the superuser C<root> on a file server
 166 machine to issue the command at a command shell prompt. It is conventional
 167 instead to create and start the process by issuing the B<bos create>
 168 command.
 169
 170 =head1 SEE ALSO
 171
 172 L<AuthLog(5)>,
 173 L<BosConfig(5)>,
 174 L<CellServDB(5)>,
 175 L<kaserver.DB0(5)>,
 176 L<kaserverauxdb(5)>,
 177 L<bos(8)>,
 178 L<bos_create(8)>,
 179 L<bos_getlog(8)>,
 180 L<kas(8)>,
 181 L<kdb(8)>
 182
 183 =head1 COPYRIGHT
 184
 185 IBM Corporation 2000. <http://www.ibm.com/> All Rights Reserved.
 186
 187 This documentation is covered by the IBM Public License Version 1.0.  It was
 188 converted from HTML to POD by software written by Chas Williams and Russ
 189 Allbery, based on work by Alf Wachsmann and Elizabeth Cassell.