krb5_cc_get_lifetime() misses the TGT
[heimdal.git] / kadmin / kadmin.1
blobca61f71477a5ea93e3c2b23e8c39a4fcbb825900
1 .\" Copyright (c) 2000 - 2007 Kungliga Tekniska Högskolan
2 .\" (Royal Institute of Technology, Stockholm, Sweden).
3 .\" All rights reserved.
4 .\"
5 .\" Redistribution and use in source and binary forms, with or without
6 .\" modification, are permitted provided that the following conditions
7 .\" are met:
8 .\"
9 .\" 1. Redistributions of source code must retain the above copyright
10 .\"    notice, this list of conditions and the following disclaimer.
11 .\"
12 .\" 2. Redistributions in binary form must reproduce the above copyright
13 .\"    notice, this list of conditions and the following disclaimer in the
14 .\"    documentation and/or other materials provided with the distribution.
15 .\"
16 .\" 3. Neither the name of the Institute nor the names of its contributors
17 .\"    may be used to endorse or promote products derived from this software
18 .\"    without specific prior written permission.
19 .\"
20 .\" THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND
21 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
22 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
23 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE
24 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
25 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
26 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
27 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
28 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
29 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
30 .\" SUCH DAMAGE.
31 .\"
32 .\" $Id$
33 .\"
34 .Dd Feb  22, 2007
35 .Dt KADMIN 1
36 .Os HEIMDAL
37 .Sh NAME
38 .Nm kadmin
39 .Nd Kerberos administration utility
40 .Sh SYNOPSIS
41 .Nm
42 .Bk -words
43 .Op Fl p Ar string \*(Ba Fl Fl principal= Ns Ar string
44 .Op Fl K Ar string \*(Ba Fl Fl keytab= Ns Ar string
45 .Op Fl c Ar file \*(Ba Fl Fl config-file= Ns Ar file
46 .Op Fl k Ar file \*(Ba Fl Fl key-file= Ns Ar file
47 .Op Fl r Ar realm \*(Ba Fl Fl realm= Ns Ar realm
48 .Op Fl a Ar host \*(Ba Fl Fl admin-server= Ns Ar host
49 .Op Fl s Ar port number \*(Ba Fl Fl server-port= Ns Ar port number
50 .Op Fl l | Fl Fl local
51 .Op Fl h | Fl Fl help
52 .Op Fl v | Fl Fl version
53 .Op Ar command
54 .Ek
55 .Sh DESCRIPTION
56 The
57 .Nm
58 program is used to make modifications to the Kerberos database, either remotely via the
59 .Xr kadmind 8
60 daemon, or locally (with the
61 .Fl l
62 option).
63 .Pp
64 Supported options:
65 .Bl -tag -width Ds
66 .It Fl p Ar string , Fl Fl principal= Ns Ar string
67 principal to authenticate as
68 .It Fl K Ar string , Fl Fl keytab= Ns Ar string
69 keytab for authentication principal
70 .It Fl c Ar file , Fl Fl config-file= Ns Ar file
71 location of config file
72 .It Fl k Ar file , Fl Fl key-file= Ns Ar file
73 location of master key file
74 .It Fl r Ar realm , Fl Fl realm= Ns Ar realm
75 realm to use
76 .It Fl a Ar host , Fl Fl admin-server= Ns Ar host
77 server to contact
78 .It Fl s Ar port number , Fl Fl server-port= Ns Ar port number
79 port to use
80 .It Fl l , Fl Fl local
81 local admin mode
82 .El
83 .Pp
84 If no
85 .Ar command
86 is given on the command line,
87 .Nm
88 will prompt for commands to process. Some of the commands that take
89 one or more principals as argument
90 .Ns ( Nm delete ,
91 .Nm ext_keytab ,
92 .Nm get ,
93 .Nm modify ,
94 and
95 .Nm passwd )
96 will accept a glob style wildcard, and perform the operation on all
97 matching principals.
98 .Pp
99 Commands include:
100 .\" not using a list here, since groff apparently gets confused
101 .\" with nested Xo/Xc
103 .Nm add
104 .Op Fl r | Fl Fl random-key
105 .Op Fl Fl random-password
106 .Op Fl p Ar string \*(Ba Fl Fl password= Ns Ar string
107 .Op Fl Fl key= Ns Ar string
108 .Op Fl Fl max-ticket-life= Ns Ar lifetime
109 .Op Fl Fl max-renewable-life= Ns Ar lifetime
110 .Op Fl Fl attributes= Ns Ar attributes
111 .Op Fl Fl expiration-time= Ns Ar time
112 .Op Fl Fl pw-expiration-time= Ns Ar time
113 .Op Fl Fl policy= Ns Ar policy-name
114 .Ar principal...
115 .Bd -ragged -offset indent
116 Adds a new principal to the database. The options not passed on the
117 command line will be promped for.
118 The only policy supported by Heimdal servers is
119 .Q1 default .
122 .Nm add_enctype
123 .Op Fl r | Fl Fl random-key
124 .Ar principal enctypes...
126 .Bd -ragged -offset indent
127 Adds a new encryption type to the principal, only random key are
128 supported.
131 .Nm delete
132 .Ar principal...
133 .Bd -ragged -offset indent
134 Removes a principal.
137 .Nm del_enctype
138 .Ar principal enctypes...
139 .Bd -ragged -offset indent
140 Removes some enctypes from a principal; this can be useful if the
141 service belonging to the principal is known to not handle certain
142 enctypes.
145 .Nm ext_keytab
146 .Oo Fl k Ar string \*(Ba Xo
147 .Fl Fl keytab= Ns Ar string
150 .Ar principal...
151 .Bd -ragged -offset indent
152 Creates a keytab with the keys of the specified principals.  Requires
153 get-keys rights, otherwise the principal's keys are changed and saved in
154 the keytab.
157 .Nm get
158 .Op Fl l | Fl Fl long
159 .Op Fl s | Fl Fl short
160 .Op Fl t | Fl Fl terse
161 .Op Fl o Ar string | Fl Fl column-info= Ns Ar string
162 .Ar principal...
163 .Bd -ragged -offset indent
164 Lists the matching principals, short prints the result as a table,
165 while long format produces a more verbose output. Which columns to
166 print can be selected with the
167 .Fl o
168 option. The argument is a comma separated list of column names
169 optionally appended with an equal sign
170 .Pq Sq =
171 and a column header. Which columns are printed by default differ
172 slightly between short and long output.
174 The default terse output format is similar to
175 .Fl s o Ar principal= ,
176 just printing the names of matched principals.
178 Possible column names include:
179 .Li principal ,
180 .Li princ_expire_time ,
181 .Li pw_expiration ,
182 .Li last_pwd_change ,
183 .Li max_life ,
184 .Li max_rlife ,
185 .Li mod_time ,
186 .Li mod_name ,
187 .Li attributes ,
188 .Li kvno ,
189 .Li mkvno ,
190 .Li last_success ,
191 .Li last_failed ,
192 .Li fail_auth_count ,
193 .Li policy ,
195 .Li keytypes .
198 .Nm modify
199 .Oo Fl a Ar attributes \*(Ba Xo
200 .Fl Fl attributes= Ns Ar attributes
203 .Op Fl Fl max-ticket-life= Ns Ar lifetime
204 .Op Fl Fl max-renewable-life= Ns Ar lifetime
205 .Op Fl Fl expiration-time= Ns Ar time
206 .Op Fl Fl pw-expiration-time= Ns Ar time
207 .Op Fl Fl kvno= Ns Ar number
208 .Op Fl Fl policy= Ns Ar policy-name
209 .Ar principal...
210 .Bd -ragged -offset indent
211 Modifies certain attributes of a principal. If run without command
212 line options, you will be prompted. With command line options, it will
213 only change the ones specified.
215 Only policy supported by Heimdal is
216 .Q1 default .
218 Possible attributes are:
219 .Li new-princ ,
220 .Li support-desmd5 ,
221 .Li pwchange-service ,
222 .Li disallow-svr ,
223 .Li requires-pw-change ,
224 .Li requires-hw-auth ,
225 .Li requires-pre-auth ,
226 .Li disallow-all-tix ,
227 .Li disallow-dup-skey ,
228 .Li disallow-proxiable ,
229 .Li disallow-renewable ,
230 .Li disallow-tgt-based ,
231 .Li disallow-forwardable ,
232 .Li disallow-postdated
234 Attributes may be negated with a "-", e.g.,
236 kadmin -l modify -a -disallow-proxiable user
239 .Nm passwd
240 .Op Fl Fl keepold
241 .Op Fl r | Fl Fl random-key
242 .Op Fl Fl random-password
243 .Oo Fl p Ar string \*(Ba Xo
244 .Fl Fl password= Ns Ar string
247 .Op Fl Fl key= Ns Ar string
248 .Ar principal...
249 .Bd -ragged -offset indent
250 Changes the password of an existing principal.
253 .Nm password-quality
254 .Ar principal
255 .Ar password
256 .Bd -ragged -offset indent
257 Run the password quality check function locally.
258 You can run this on the host that is configured to run the kadmind
259 process to verify that your configuration file is correct.
260 The verification is done locally, if kadmin is run in remote mode,
261 no rpc call is done to the server.
264 .Nm privileges
265 .Bd -ragged -offset indent
266 Lists the operations you are allowed to perform. These include
267 .Li add ,
268 .Li add_enctype ,
269 .Li change-password ,
270 .Li delete ,
271 .Li del_enctype ,
272 .Li get ,
273 .Li get-keys ,
274 .Li list ,
276 .Li modify .
279 .Nm rename
280 .Ar from to
281 .Bd -ragged -offset indent
282 Renames a principal. This is normally transparent, but since keys are
283 salted with the principal name, they will have a non-standard salt,
284 and clients which are unable to cope with this will fail. Kerberos 4
285 suffers from this.
288 .Nm check
289 .Op Ar realm
291 .Bd -ragged -offset indent
292 Check database for strange configurations on important principals. If
293 no realm is given, the default realm is used.
296 When running in local mode, the following commands can also be used:
298 .Nm dump
299 .Op Fl d | Fl Fl decrypt
300 .Op Fl f Ns Ar format | Fl Fl format= Ns Ar format
301 .Op Ar dump-file
302 .Bd -ragged -offset indent
303 Writes the database in
304 .Dq machine readable text
305 form to the specified file, or standard out. If the database is
306 encrypted, the dump will also have encrypted keys, unless
307 .Fl Fl decrypt
308 is used.  If
309 .Fl Fl format=MIT
310 is used then the dump will be in MIT format.  Otherwise it will be in
311 Heimdal format.
314 .Nm init
315 .Op Fl Fl realm-max-ticket-life= Ns Ar string
316 .Op Fl Fl realm-max-renewable-life= Ns Ar string
317 .Ar realm
318 .Bd -ragged -offset indent
319 Initializes the Kerberos database with entries for a new realm. It's
320 possible to have more than one realm served by one server.
323 .Nm load
324 .Ar file
325 .Bd -ragged -offset indent
326 Reads a previously dumped database, and re-creates that database from
327 scratch.
330 .Nm merge
331 .Ar file
332 .Bd -ragged -offset indent
333 Similar to
334 .Nm load
335 but just modifies the database with the entries in the dump file.
338 .Nm stash
339 .Oo Fl e Ar enctype \*(Ba Xo
340 .Fl Fl enctype= Ns Ar enctype
343 .Oo Fl k Ar keyfile \*(Ba Xo
344 .Fl Fl key-file= Ns Ar keyfile
347 .Op Fl Fl convert-file
348 .Op Fl Fl master-key-fd= Ns Ar fd
349 .Bd -ragged -offset indent
350 Writes the Kerberos master key to a file used by the KDC.
352 .\".Sh ENVIRONMENT
353 .\".Sh FILES
354 .\".Sh EXAMPLES
355 .\".Sh DIAGNOSTICS
356 .Sh SEE ALSO
357 .Xr kadmind 8 ,
358 .Xr kdc 8
359 .\".Sh STANDARDS
360 .\".Sh HISTORY
361 .\".Sh AUTHORS
362 .\".Sh BUGS