crypto/kerberosIV/man/kerberos.8

   1 .\" $Id: kerberos.8,v 1.4 1997/09/26 17:55:23 joda Exp $
   2 .\"
   3 .Dd September 26, 1997
   4 .Dt KERBEROS 8
   5 .Os KTH-KRB
   6 .Sh NAME
   7 .Nm kerberos
   8 .Nd the kerberos daemon
   9 .Sh SYNPOSIS
  10 .Nm
  11 .Op Fl mns
  12 .Op Fl a Ar max age
  13 .Op Fl i Ar address
  14 .Op Fl l Ar log
  15 .Op Fl p Ar pause
  16 .Op Fl P Ar portspec
  17 .Op Fl r Ar realm
  18 .Op Ar database
  19 .Sh DESCRIPTION
  20 This is the
  21 .Nm
  22 daemon.
  23 .Pp
  24 Options:
  25 .Bl -tag -width -ident
  26 .It Fl a
  27 Set the
  28 .Ar max age
  29 before the database is considered stale.
  30 .It Fl i
  31 Only listen on
  32 .Ar address .
  33 Normally, the kerberos server listens on all addresses of all
  34 interfaces.
  35 .It Fl l
  36 Write the log to
  37 .Ar log
  38 .It Fl m
  39 Run manually and prompt for master key.
  40 .It Fl n
  41 Do not check max age.
  42 .It Fl p
  43 Pause for
  44 .Ar pause
  45 before dying.
  46 .It Fl P
  47 Listen to the ports specified by
  48 .Ar portspec .
  49 This should be a white-space separated list of port specificatios. A
  50 port specification follows the format:
  51 .Ar port Ns Op / Ns Ar protocol .
  52 The
  53 .Ar port
  54 can be either a symbolic port name (from
  55 .Pa /etc/services ) ,
  56 or a number;
  57 .Ar protocol can be either
  58 .Li udp ,
  59 or
  60 .Li tcp .
  61 If left out, the KDC will listen to both UDP and TCP sockets on the
  62 specified port.
  63 .br
  64 The special string
  65 .Li +
  66 mean that the default set of ports (TCP and UDP on ports 88 and 750)
  67 should be included.
  68 .It Fl r
  69 Run as a server for realm
  70 .Ar realm
  71 .It Fl s
  72 Set slave parameters.  This will enable check to see if data is
  73 getting too stale relative to the master.
  74 .El
  75 .Pp
  76 If no
  77 .Ar database
  78 is given a default datbase will be used, normally
  79 .Pa /var/kerberos/principal .
  80 .Sh DIAGNOSTICS
  81 The server logs several messages in a log file
  82 .Pf ( Pa /var/run/kerberos.log
  83 by default).  The logging mechanism opens and closes the log file for
  84 each message, so you can safely rename the log file when the server is
  85 running.
  86 .Ss Operational messages
  87 These are normal messages that you will see in the log. They might be
  88 followed by some error message.
  89 .Bl -tag -width xxxxx
  90 .It Li Getting key for Ar REALM
  91 The server fetched the key for
  92 .Sq krbtgt.REALM
  93 for the specific
  94 realm. You will see this at startup, and for every attempt to use
  95 cross realm authentication.
  96 .It Xo Li Starting Kerberos for
  97 .Ar REALM
  98 .Li (kvno Ar kvno )
  99 .Xc
 100 You will see this also if you start with
 101 .Fl m .
 102 .It Xo Li AS REQ
 103 .Ar name.instance@REALM
 104 .Li for
 105 .Ar sname.sinstance
 106 .Li from
 107 .Ar ip-number
 108 .Xc
 109 An initial (password authenticated) request was received.
 110 .It Xo Li APPL REQ
 111 .Ar name.instance@REALM
 112 .Li for
 113 .Ar sname.sinstance
 114 .Li from Ar ip-number
 115 .Xc
 116 A tgt-based request for a ticket was made.
 117 .El
 118 .Ss Error messages
 119 These messages reflects misconfigured clients, invalid requests, or
 120 possibly attepted attacks.
 121 .Bl -tag -width xxxxx
 122 .It Li UNKNOWN Ar name.instance
 123 The server received a request with an unknown principal. This is most
 124 likely because someone typed the wrong name at a login prompt. It
 125 could also be someone trying to get a list of possible users.
 126 .It Xo Li Unknown realm Ar REALM
 127 .Li from Ar ip-number
 128 .Xc
 129 There isn't a principal for
 130 .Sq krbtgt.REALM
 131 in the database.
 132 .It Xo Li Can't hop realms: Ar REALM1
 133 .Li -> Ar REALM2
 134 .Xc
 135 There was a request for a ticket for another realm.  This might be
 136 because of a misconfigured client.
 137 .It Li Principal not unique Ar name.instance
 138 There is more than one entry for this principal in the database. This
 139 is not very good.
 140 .It Li Null key Ar name.instance
 141 Someone tried to use a principal that for some reason doesn't have a
 142 key.
 143 .It Xo Li Incorrect master key version for
 144 .Ar name.instance
 145 .Li : Ar number
 146 .Li (should be Ar number )
 147 .Xc
 148 The principal has it's key encrypted with the wrong master key.
 149 .It Xo Li Principal Ar name.instance
 150 .Li expired at Ar date
 151 .Xc
 152 The principal's key has expired.
 153 .It Li krb_rd_req from Ar ip-number : error-message
 154 The message couldn't be decoded properly. The error message will give
 155 you further hints. You will see this if someone is trying to use
 156 expired tickets.
 157 .It Xo Li Unknown message type: Ar number
 158 .Li from Ar ip-number
 159 .Xc
 160 The message received was not one that is understood by this server.
 161 .It Li Can't authorize password changed based on TGT
 162 Someone tried to get a
 163 .Sq changepw.kerberos
 164 via a tgt exchange. This is
 165 because of a broken client, or possibly an attack.
 166 .It Li KRB protocol version mismatch ( Ar number )
 167 The server received a request with an unknown version number.
 168 .El
 169 .Ss Fatal error messages
 170 The following messages indicate problems when starting the server.
 171 .Bl -tag -width xxxxx
 172 .It Li Database unavailable!
 173 There was some problem reading the database.
 174 .It Li Database currently being updated!
 175 Someone is currently updating the database (possibly via krop).
 176 .It Li Database out of date!
 177 The database is older than the maximum age specified.
 178 .It Li Couldn't get master key.
 179 The master key file wasn't found or the file is damaged.
 180 .It Li Can't verify master key.
 181 The key in the keyfile doesn't match the current databse.
 182 .It Li Ticket granting ticket service unknown
 183 The database doesn't contain a
 184 .Sq krbtgt.REALM
 185 for the local realm.
 186 .El
 187 .Sh SEE ALSO
 188 .Xr kprop 8 ,
 189 .Xr kpropd 8