src/man/k5login.man

   1 .\" Man page generated from reStructuredText.
   2 .
   3 .TH "K5LOGIN" "5" " " "1.17" "MIT Kerberos"
   4 .SH NAME
   5 k5login \- Kerberos V5 acl file for host access
   6 .
   7 .nr rst2man-indent-level 0
   8 .
   9 .de1 rstReportMargin
  10 \\$1 \\n[an-margin]
  11 level \\n[rst2man-indent-level]
  12 level margin: \\n[rst2man-indent\\n[rst2man-indent-level]]
  13 -
  14 \\n[rst2man-indent0]
  15 \\n[rst2man-indent1]
  16 \\n[rst2man-indent2]
  17 ..
  18 .de1 INDENT
  19 .\" .rstReportMargin pre:
  20 . RS \\$1
  21 . nr rst2man-indent\\n[rst2man-indent-level] \\n[an-margin]
  22 . nr rst2man-indent-level +1
  23 .\" .rstReportMargin post:
  24 ..
  25 .de UNINDENT
  26 . RE
  27 .\" indent \\n[an-margin]
  28 .\" old: \\n[rst2man-indent\\n[rst2man-indent-level]]
  29 .nr rst2man-indent-level -1
  30 .\" new: \\n[rst2man-indent\\n[rst2man-indent-level]]
  31 .in \\n[rst2man-indent\\n[rst2man-indent-level]]u
  32 ..
  33 .SH DESCRIPTION
  34 .sp
  35 The .k5login file, which resides in a user\(aqs home directory, contains
  36 a list of the Kerberos principals.  Anyone with valid tickets for a
  37 principal in the file is allowed host access with the UID of the user
  38 in whose home directory the file resides.  One common use is to place
  39 a .k5login file in root\(aqs home directory, thereby granting system
  40 administrators remote root access to the host via Kerberos.
  41 .SH EXAMPLES
  42 .sp
  43 Suppose the user \fBalice\fP had a .k5login file in her home directory
  44 containing just the following line:
  45 .INDENT 0.0
  46 .INDENT 3.5
  47 .sp
  48 .nf
  49 .ft C
  50 bob@FOOBAR.ORG
  51 .ft P
  52 .fi
  53 .UNINDENT
  54 .UNINDENT
  55 .sp
  56 This would allow \fBbob\fP to use Kerberos network applications, such as
  57 ssh(1), to access \fBalice\fP\(aqs account, using \fBbob\fP\(aqs Kerberos
  58 tickets.  In a default configuration (with \fBk5login_authoritative\fP set
  59 to true in krb5.conf(5)), this .k5login file would not let
  60 \fBalice\fP use those network applications to access her account, since
  61 she is not listed!  With no .k5login file, or with \fBk5login_authoritative\fP
  62 set to false, a default rule would permit the principal \fBalice\fP in the
  63 machine\(aqs default realm to access the \fBalice\fP account.
  64 .sp
  65 Let us further suppose that \fBalice\fP is a system administrator.
  66 Alice and the other system administrators would have their principals
  67 in root\(aqs .k5login file on each host:
  68 .INDENT 0.0
  69 .INDENT 3.5
  70 .sp
  71 .nf
  72 .ft C
  73 alice@BLEEP.COM
  74
  75 joeadmin/root@BLEEP.COM
  76 .ft P
  77 .fi
  78 .UNINDENT
  79 .UNINDENT
  80 .sp
  81 This would allow either system administrator to log in to these hosts
  82 using their Kerberos tickets instead of having to type the root
  83 password.  Note that because \fBbob\fP retains the Kerberos tickets for
  84 his own principal, \fBbob@FOOBAR.ORG\fP, he would not have any of the
  85 privileges that require \fBalice\fP\(aqs tickets, such as root access to
  86 any of the site\(aqs hosts, or the ability to change \fBalice\fP\(aqs
  87 password.
  88 .SH SEE ALSO
  89 .sp
  90 kerberos(1)
  91 .SH AUTHOR
  92 MIT
  93 .SH COPYRIGHT
  94 1985-2019, MIT
  95 .\" Generated by docutils manpage writer.
  96 .