8980 BIOS clock is sometimes one hour fast
[unleashed.git] / usr / src / man / man1m / tnctl.1m
blob77817db9ec3024681e42d030f7818dc0bcbdcf81
1 '\" te
2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved.
3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
6 .TH TNCTL 1M "May 13, 2017"
7 .SH NAME
8 tnctl \- configure Trusted Extensions network parameters
9 .SH SYNOPSIS
10 .LP
11 .nf
12 \fB/usr/sbin/tnctl\fR [\fB-dfv\fR] [\fB-h\fR \fIhost\fR [/\fIprefix\fR] [:\fItemplate\fR]]
13      [\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR][\fB-t\fR \fItemplate\fR [:\fIkey=val\fR [;\fIkey=val\fR]]]
14      [\fB-HTz\fR] \fIfile\fR]
15 .fi
17 .SH DESCRIPTION
18 .LP
19 \fBtnctl\fR provides an interface to manipulate trusted network parameters in
20 the Solaris kernel.
21 .sp
22 .LP
23 As part of Solaris Trusted Extensions initialization, \fBtnctl\fR is run in the
24 global zone by an \fBsmf\fR(5) script during system boot. The \fBtnctl\fR
25 command is not intended to be used during normal system administration.
26 Instead, if a local trusted networking database file is modified,
27 the administrator first issues
28 \fBtnchkdb\fR(1M) to check the syntax, and then refreshes the kernel copy with
29 this command:
30 .sp
31 .in +2
32 .nf
33 # \fBsvcadm restart svc:/network/tnctl\fR
34 .fi
35 .in -2
36 .sp
38 .sp
39 .LP
40 See \fBWARNINGS\fR about the risks of changing remote host and template
41 information on a running system.
42 .SH OPTIONS
43 .ne 2
44 .na
45 \fB\fB-d\fR\fR
46 .ad
47 .sp .6
48 .RS 4n
49 Delete matching entries from the kernel. The default is to add new entries.
50 .sp
51 When deleting MLPs, the MLP range must match exactly. MLPs are specified in the
52 form:
53 .sp
54 .in +2
55 .nf
56 \fIport\fR[-\fIport\fR]/\fIprotocol\fR
57 .fi
58 .in -2
59 .sp
61 Where \fIport\fR can be a number in the range 1 to 65535. or any known service
62 (see \fBservices\fR(4)), and protocol can be a number in the range 1 to 255, or
63 any known protocol (see \fBprotocols\fR(4)).
64 .RE
66 .sp
67 .ne 2
68 .na
69 \fB\fB-f\fR\fR
70 .ad
71 .sp .6
72 .RS 4n
73 Flush all kernel entries before loading the entries that are specified on the
74 command line. The flush does not take place unless at least one entry parsed
75 successfully.
76 .RE
78 .sp
79 .ne 2
80 .na
81 \fB\fB-v\fR\fR
82 .ad
83 .sp .6
84 .RS 4n
85 Turn on verbose mode.
86 .RE
88 .sp
89 .ne 2
90 .na
91 \fB\fB-h\fR \fIhost\fR[/\fIprefix\fR][:\fItemplate\fR]\fR
92 .ad
93 .sp .6
94 .RS 4n
95 Update the kernel remote-host cache on the local host for the specified
96 \fIhost\fR or, if a template name is given, change the kernel's cache to use
97 the specified \fItemplate\fR. If \fIprefix\fR is not specified, then an implied
98 prefix length is determined according to the rules used for interpreting the
99 \fBtnrhdb\fR. If \fB-d\fR is specified, then a template name cannot be
100 specified.
104 .ne 2
106 \fB\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR\fR
108 .sp .6
109 .RS 4n
110 Modify the kernel's multilevel port (MLP) configuration cache for the specified
111 \fIzone\fR. \fIzone\fR specifies the zone to be updated. \fImlp\fR and
112 \fIshared-mlp\fR specify the MLPs for the zone-specific and shared IP
113 addresses. The \fIshared-mlp\fR field is effective in the global zone only.
117 .ne 2
119 \fB\fB-t\fR \fItemplate\fR[\fIkey=val\fR[;\fIkey=val\fR]]\fR
121 .sp .6
122 .RS 4n
123 Update the kernel template cache for \fItemplate\fR or, if a list of
124 \fIkey=val\fR pairs is given, change the kernel's cache to use the specified
125 entry. If \fB-d\fR is specified, then \fIkey=val\fR pairs cannot be specified.
129 .ne 2
131 \fB\fB-T\fR \fIfile\fR\fR
133 .sp .6
134 .RS 4n
135 Load all template entries in \fIfile\fR into the kernel cache.
139 .ne 2
141 \fB\fB-H\fR \fIfile\fR\fR
143 .sp .6
144 .RS 4n
145 Load all remote host entries in \fIfile\fR into the kernel cache.
149 .ne 2
151 \fB\fB-z\fR \fIfile\fR\fR
153 .sp .6
154 .RS 4n
155 Load just the global zone's MLPs from \fIfile\fR into the kernel cache. To
156 reload MLPs for a non-global zone, reboot the zone:
158 .in +2
160 # \fBzoneadm -z\fR \fInon-global zone\fR \fBreboot\fR
162 .in -2
167 .SH ATTRIBUTES
169 See \fBattributes\fR(5) for descriptions of the following attributes:
174 box;
175 c | c
176 l | l .
177 ATTRIBUTE TYPE  ATTRIBUTE VALUE
179 Interface Stability     Uncommitted
182 .SH FILES
183 .ne 2
185 \fB\fB/etc/security/tsol/tnrhdb\fR\fR
187 .sp .6
188 .RS 4n
189 Trusted network remote-host database
193 .ne 2
195 \fB\fB/etc/security/tsol/tnrhtp\fR\fR
197 .sp .6
198 .RS 4n
199 Trusted network remote-host templates
203 .ne 2
205 \fB\fB/etc/security/tsol/tnzonecfg\fR\fR
207 .sp .6
208 .RS 4n
209 Trusted zone configuration database
213 .ne 2
215 \fB\fB/etc/nsswitch.conf\fR\fR
217 .sp .6
218 .RS 4n
219 Configuration file for the name service switch
222 .SH SEE ALSO
224 \fBsvcs\fR(1), \fBsvcadm\fR(1M), \fBtninfo\fR(1M), \fBtnd\fR(1M),
225 \fBtnchkdb\fR(1M), \fBzoneadm\fR(1M), \fBnsswitch.conf\fR(4),
226 \fBprotocols\fR(4), \fBservices\fR(4), \fBattributes\fR(5), \fBsmf\fR(5)
229 \fIHow to Synchronize Kernel Cache With Network Databases\fR in \fISolaris
230 Trusted Extensions Administrator\&'s Procedures\fR
231 .SH WARNINGS
233 Changing a template while the network is up can change the security view of an
234 undetermined number of hosts.
235 .SH NOTES
237 The functionality described on this manual page is available only if the system
238 is configured with Trusted Extensions.
241 The \fBtnctl\fR service is managed by the service management facility,
242 \fBsmf\fR(5), under the service identifier:
244 .in +2
246 svc:/network/tnctl
248 .in -2
253 The service's status can be queried by using \fBsvcs\fR(1). Administrative
254 actions on this service, such as refreshing the kernel cache, can be performed
255 using \fBsvcadm\fR(1M), as in:
257 .in +2
259 svcadm restart svc:/network/tnctl
261 .in -2