usr/src/man/man1m/tnctl.1m

   1 '\" te
   2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved.
   3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   6 .TH TNCTL 1M "May 13, 2017"
   7 .SH NAME
   8 tnctl \- configure Trusted Extensions network parameters
   9 .SH SYNOPSIS
  10 .LP
  11 .nf
  12 \fB/usr/sbin/tnctl\fR [\fB-dfv\fR] [\fB-h\fR \fIhost\fR [/\fIprefix\fR] [:\fItemplate\fR]]
  13      [\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR][\fB-t\fR \fItemplate\fR [:\fIkey=val\fR [;\fIkey=val\fR]]]
  14      [\fB-HTz\fR] \fIfile\fR]
  15 .fi
  16
  17 .SH DESCRIPTION
  18 .LP
  19 \fBtnctl\fR provides an interface to manipulate trusted network parameters in
  20 the Solaris kernel.
  21 .sp
  22 .LP
  23 As part of Solaris Trusted Extensions initialization, \fBtnctl\fR is run in the
  24 global zone by an \fBsmf\fR(5) script during system boot. The \fBtnctl\fR
  25 command is not intended to be used during normal system administration.
  26 Instead, if a local trusted networking database file is modified,
  27 the administrator first issues
  28 \fBtnchkdb\fR(1M) to check the syntax, and then refreshes the kernel copy with
  29 this command:
  30 .sp
  31 .in +2
  32 .nf
  33 # \fBsvcadm restart svc:/network/tnctl\fR
  34 .fi
  35 .in -2
  36 .sp
  37
  38 .sp
  39 .LP
  40 See \fBWARNINGS\fR about the risks of changing remote host and template
  41 information on a running system.
  42 .SH OPTIONS
  43 .ne 2
  44 .na
  45 \fB\fB-d\fR\fR
  46 .ad
  47 .sp .6
  48 .RS 4n
  49 Delete matching entries from the kernel. The default is to add new entries.
  50 .sp
  51 When deleting MLPs, the MLP range must match exactly. MLPs are specified in the
  52 form:
  53 .sp
  54 .in +2
  55 .nf
  56 \fIport\fR[-\fIport\fR]/\fIprotocol\fR
  57 .fi
  58 .in -2
  59 .sp
  60
  61 Where \fIport\fR can be a number in the range 1 to 65535. or any known service
  62 (see \fBservices\fR(4)), and protocol can be a number in the range 1 to 255, or
  63 any known protocol (see \fBprotocols\fR(4)).
  64 .RE
  65
  66 .sp
  67 .ne 2
  68 .na
  69 \fB\fB-f\fR\fR
  70 .ad
  71 .sp .6
  72 .RS 4n
  73 Flush all kernel entries before loading the entries that are specified on the
  74 command line. The flush does not take place unless at least one entry parsed
  75 successfully.
  76 .RE
  77
  78 .sp
  79 .ne 2
  80 .na
  81 \fB\fB-v\fR\fR
  82 .ad
  83 .sp .6
  84 .RS 4n
  85 Turn on verbose mode.
  86 .RE
  87
  88 .sp
  89 .ne 2
  90 .na
  91 \fB\fB-h\fR \fIhost\fR[/\fIprefix\fR][:\fItemplate\fR]\fR
  92 .ad
  93 .sp .6
  94 .RS 4n
  95 Update the kernel remote-host cache on the local host for the specified
  96 \fIhost\fR or, if a template name is given, change the kernel's cache to use
  97 the specified \fItemplate\fR. If \fIprefix\fR is not specified, then an implied
  98 prefix length is determined according to the rules used for interpreting the
  99 \fBtnrhdb\fR. If \fB-d\fR is specified, then a template name cannot be
 100 specified.
 101 .RE
 102
 103 .sp
 104 .ne 2
 105 .na
 106 \fB\fB-m\fR \fIzone\fR:\fImlp\fR:\fIshared-mlp\fR\fR
 107 .ad
 108 .sp .6
 109 .RS 4n
 110 Modify the kernel's multilevel port (MLP) configuration cache for the specified
 111 \fIzone\fR. \fIzone\fR specifies the zone to be updated. \fImlp\fR and
 112 \fIshared-mlp\fR specify the MLPs for the zone-specific and shared IP
 113 addresses. The \fIshared-mlp\fR field is effective in the global zone only.
 114 .RE
 115
 116 .sp
 117 .ne 2
 118 .na
 119 \fB\fB-t\fR \fItemplate\fR[\fIkey=val\fR[;\fIkey=val\fR]]\fR
 120 .ad
 121 .sp .6
 122 .RS 4n
 123 Update the kernel template cache for \fItemplate\fR or, if a list of
 124 \fIkey=val\fR pairs is given, change the kernel's cache to use the specified
 125 entry. If \fB-d\fR is specified, then \fIkey=val\fR pairs cannot be specified.
 126 .RE
 127
 128 .sp
 129 .ne 2
 130 .na
 131 \fB\fB-T\fR \fIfile\fR\fR
 132 .ad
 133 .sp .6
 134 .RS 4n
 135 Load all template entries in \fIfile\fR into the kernel cache.
 136 .RE
 137
 138 .sp
 139 .ne 2
 140 .na
 141 \fB\fB-H\fR \fIfile\fR\fR
 142 .ad
 143 .sp .6
 144 .RS 4n
 145 Load all remote host entries in \fIfile\fR into the kernel cache.
 146 .RE
 147
 148 .sp
 149 .ne 2
 150 .na
 151 \fB\fB-z\fR \fIfile\fR\fR
 152 .ad
 153 .sp .6
 154 .RS 4n
 155 Load just the global zone's MLPs from \fIfile\fR into the kernel cache. To
 156 reload MLPs for a non-global zone, reboot the zone:
 157 .sp
 158 .in +2
 159 .nf
 160 # \fBzoneadm -z\fR \fInon-global zone\fR \fBreboot\fR
 161 .fi
 162 .in -2
 163 .sp
 164
 165 .RE
 166
 167 .SH ATTRIBUTES
 168 .LP
 169 See \fBattributes\fR(5) for descriptions of the following attributes:
 170 .sp
 171
 172 .sp
 173 .TS
 174 box;
 175 c | c
 176 l | l .
 177 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 178 _
 179 Interface Stability     Uncommitted
 180 .TE
 181
 182 .SH FILES
 183 .ne 2
 184 .na
 185 \fB\fB/etc/security/tsol/tnrhdb\fR\fR
 186 .ad
 187 .sp .6
 188 .RS 4n
 189 Trusted network remote-host database
 190 .RE
 191
 192 .sp
 193 .ne 2
 194 .na
 195 \fB\fB/etc/security/tsol/tnrhtp\fR\fR
 196 .ad
 197 .sp .6
 198 .RS 4n
 199 Trusted network remote-host templates
 200 .RE
 201
 202 .sp
 203 .ne 2
 204 .na
 205 \fB\fB/etc/security/tsol/tnzonecfg\fR\fR
 206 .ad
 207 .sp .6
 208 .RS 4n
 209 Trusted zone configuration database
 210 .RE
 211
 212 .sp
 213 .ne 2
 214 .na
 215 \fB\fB/etc/nsswitch.conf\fR\fR
 216 .ad
 217 .sp .6
 218 .RS 4n
 219 Configuration file for the name service switch
 220 .RE
 221
 222 .SH SEE ALSO
 223 .LP
 224 \fBsvcs\fR(1), \fBsvcadm\fR(1M), \fBtninfo\fR(1M), \fBtnd\fR(1M),
 225 \fBtnchkdb\fR(1M), \fBzoneadm\fR(1M), \fBnsswitch.conf\fR(4),
 226 \fBprotocols\fR(4), \fBservices\fR(4), \fBattributes\fR(5), \fBsmf\fR(5)
 227 .sp
 228 .LP
 229 \fIHow to Synchronize Kernel Cache With Network Databases\fR in \fISolaris
 230 Trusted Extensions Administrator\&'s Procedures\fR
 231 .SH WARNINGS
 232 .LP
 233 Changing a template while the network is up can change the security view of an
 234 undetermined number of hosts.
 235 .SH NOTES
 236 .LP
 237 The functionality described on this manual page is available only if the system
 238 is configured with Trusted Extensions.
 239 .sp
 240 .LP
 241 The \fBtnctl\fR service is managed by the service management facility,
 242 \fBsmf\fR(5), under the service identifier:
 243 .sp
 244 .in +2
 245 .nf
 246 svc:/network/tnctl
 247 .fi
 248 .in -2
 249 .sp
 250
 251 .sp
 252 .LP
 253 The service's status can be queried by using \fBsvcs\fR(1). Administrative
 254 actions on this service, such as refreshing the kernel cache, can be performed
 255 using \fBsvcadm\fR(1M), as in:
 256 .sp
 257 .in +2
 258 .nf
 259 svcadm restart svc:/network/tnctl
 260 .fi
 261 .in -2
 262 .sp
 263