utils/gssd/gssd.man

   1 .\"
   2 .\" rpc.gssd(8)
   3 .\"
   4 .\" Copyright (C) 2003 J. Bruce Fields <bfields@umich.edu>
   5 .TH rpc.gssd 8 "14 Mar 2007"
   6 .SH NAME
   7 rpc.gssd \- rpcsec_gss daemon
   8 .SH SYNOPSIS
   9 .B rpc.gssd
  10 .RB [ \-fnlvr ]
  11 .RB [ \-k
  12 .IR keytab ]
  13 .RB [ \-p
  14 .IR pipefsdir ]
  15 .RB [ \-d
  16 .IR ccachedir ]
  17 .RB [ \-t
  18 .IR timeout ]
  19 .RB [ \-R
  20 .IR realm ]
  21 .SH DESCRIPTION
  22 The rpcsec_gss protocol gives a means of using the gss-api generic security
  23 api to provide security for protocols using rpc (in particular, nfs).  Before
  24 exchanging any rpc requests using rpcsec_gss, the rpc client must first
  25 establish a security context.  The linux kernel's implementation of rpcsec_gss
  26 depends on the userspace daemon
  27 .B rpc.gssd
  28 to establish security contexts.  The
  29 .B rpc.gssd
  30 daemon uses files in the rpc_pipefs filesystem to communicate with the kernel.
  31
  32 .SH OPTIONS
  33 .TP
  34 .B -f
  35 Runs
  36 .B rpc.gssd
  37 in the foreground and sends output to stderr (as opposed to syslogd)
  38 .TP
  39 .B -n
  40 By default,
  41 .B rpc.gssd
  42 treats accesses by the user with UID 0 specially, and uses
  43 "machine credentials" for all accesses by that user which
  44 require Kerberos authentication.
  45 With the \-n option, "machine credentials" will not be used
  46 for accesses by UID 0.  Instead, credentials must be obtained
  47 manually like all other users.  Use of this option means that
  48 "root" must manually obtain Kerberos credentials before
  49 attempting to mount an nfs filesystem requiring Kerberos
  50 authentication.
  51 .TP
  52 .BI "-k " keytab
  53 Tells
  54 .B rpc.gssd
  55 to use the keys found in
  56 .I keytab
  57 to obtain "machine credentials".
  58 The default value is
  59 .I /etc/krb5.keytab.
  60 .IP
  61 Previous versions of
  62 .B rpc.gssd
  63 used only "nfs/*" keys found within the keytab.
  64 To be more consistent with other implementations, we now look for
  65 specific keytab entries.  The search order for keytabs to be used
  66 for "machine credentials" is now:
  67 .br
  68   <HOSTNAME>$@<REALM>
  69 .br
  70   root/<hostname>@<REALM>
  71 .br
  72   nfs/<hostname>@<REALM>
  73 .br
  74   host/<hostname>@<REALM>
  75 .br
  76   root/<anyname>@<REALM>
  77 .br
  78   nfs/<anyname>@<REALM>
  79 .br
  80   host/<anyname>@<REALM>
  81 .IP
  82 If this search order does not use the correct key then provide a
  83 keytab file that contains only correct keys.
  84 .TP
  85 .B -l
  86 Tells
  87 .B rpc.gssd
  88 to limit session keys to Single DES even if the kernel supports stronger
  89 encryption types. Service ticket encryption is still governed by what
  90 the KDC believes the target server supports. This way the client can
  91 access a server that has strong keys in its keytab for ticket decryption
  92 but whose kernel only supports Single DES.
  93 .IP
  94 The alternative is to put only Single DES keys in the server's keytab
  95 and limit encryption types for its principal to Single DES on the KDC
  96 which will cause service tickets for this server to be encrypted using
  97 only Single DES and (as a side-effect) contain only Single DES session
  98 keys.
  99 .IP
 100 This legacy behaviour is only required for older servers
 101 (pre nfs-utils-1.2.4). If the server has a recent kernel, Kerberos
 102 implementation and nfs-utils it will work just fine with stronger
 103 encryption.
 104 .IP
 105 .B Note:
 106 This option is only available with Kerberos libraries that
 107 support setable encryption types.
 108 .TP
 109 .BI "-p " path
 110 Tells
 111 .B rpc.gssd
 112 where to look for the rpc_pipefs filesystem.  The default value is
 113 .IR /var/lib/nfs/rpc_pipefs .
 114 .TP
 115 .BI "-d " directory
 116 Tells
 117 .B rpc.gssd
 118 where to look for Kerberos credential files.  The default value is
 119 .IR /tmp:/run/user/%U .
 120 This can also be a colon separated list of directories to be searched for
 121 Kerberos credential files.  The sequence "%U", if used, is replaced with
 122 the UID of the user for whom credentials are being searched.
 123 Note that if machine credentials are being
 124 stored in files, then the first directory on this list is where the
 125 machine credentials are stored.
 126 .TP
 127 .B -v
 128 Increases the verbosity of the output (can be specified multiple times).
 129 .TP
 130 .B -r
 131 If the rpcsec_gss library supports setting debug level,
 132 increases the verbosity of the output (can be specified multiple times).
 133 .TP
 134 .BI "-R " realm
 135 Kerberos tickets from this
 136 .I realm
 137 will be preferred when scanning available credentials cache files to be
 138 used to create a context.  By default, the default realm, as configured
 139 in the Kerberos configuration file, is preferred.
 140 .TP
 141 .BI "-t " timeout
 142 Timeout, in seconds, for kernel gss contexts. This option allows you to force
 143 new kernel contexts to be negotiated after
 144 .I timeout
 145 seconds, which allows changing Kerberos tickets and identities frequently.
 146 The default is no explicit timeout, which means the kernel context will live
 147 the lifetime of the Kerberos service ticket used in its creation.
 148 .SH SEE ALSO
 149 .BR rpc.svcgssd(8)
 150 .SH AUTHORS
 151 .br
 152 Dug Song <dugsong@umich.edu>
 153 .br
 154 Andy Adamson <andros@umich.edu>
 155 .br
 156 Marius Aamodt Eriksen <marius@umich.edu>
 157 .br
 158 J. Bruce Fields <bfields@umich.edu>