home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2001 May / SGI IRIX Base Documentation 2001 May.iso / usr / share / catman / a_man / cat1 / satmpd.z / satmpd
Encoding:
Text File  |  2001-04-17  |  11.2 KB  |  331 lines
  1.  
  2.  
  3.  
  4. SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))                                                          SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      satmpd - Security Attribute Token Mapping Protocol Daemon
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ////uuuussssrrrr////bbbbiiiinnnn////ssssaaaattttmmmmppppdddd [ ----cccc _c_o_n_f_i_g_d_i_r ] [ ----dddd _d_e_b_u_g-_o_p_t_i_o_n_s ] [ ----llll _l_o_g_f_i_l_e ] [ ----pppp
  13.      _p_o_r_t ]
  14.  
  15. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  16.      A daemon that implements the Security Attribute Token Mapping Protocol,
  17.      (SATMP).  It is also known as the Token Mapping Daemon.
  18.  
  19. OOOOPPPPTTTTIIIIOOOONNNNSSSS
  20.      ----cccc _c_o_n_f_i_g_d_i_r
  21.           Set the location of satmpd configuration files to _c_o_n_f_i_g_d_i_r.
  22.  
  23.      ----dddd _d_e_b_u_g-_o_p_t_i_o_n_s
  24.           Turn on the requested debugging options.  These must be entered as a
  25.           single option or as a comma-separated list with no whitespace.
  26.           Acceptable values are STARTUP, FILE_OPEN, DIR_OPEN, OPEN_FAIL,
  27.           OPENDIR_FAIL, PROTOCOL, and ALL.  The ----dddd option may be given more
  28.           than once. When using the -dddd option _s_a_t_m_p_d does not daemonize itself
  29.           and runs in the foreground. Operating in this mode at bootup will
  30.           cause the host to hang waiting for satmpd to exit.
  31.  
  32.      ----llll _l_o_g_f_i_l_e
  33.           Direct debugging output to file _l_o_g_f_i_l_e.
  34.  
  35.      ----pppp _p_o_r_t
  36.           Force satmpd to listen on alternate port _p_o_r_t.
  37.  
  38. CCCCOOOONNNNFFFFIIIIGGGGUUUURRRRAAAATTTTIIIIOOOONNNN FFFFIIIILLLLEEEESSSS
  39.      The following configuration files are required.  It is an unrecoverable
  40.      error if any of these are missing.
  41.  
  42.    AAAATTTTTTTTRRRRIIIIDDDDSSSS
  43.      This file contains human-readable names of the SATMP attributes plus
  44.      their numerical values.  Each ATTRIDS entry consists of a single line
  45.      with the following format:
  46.  
  47.           <attribute>:<number>
  48.  
  49.      The AAAATTTTTTTTRRRRIIIIDDDDSSSS file supplied with your system contains the following
  50.      entries:
  51.  
  52.           SEN_LABEL:0
  53.           NATIONAL_CAVEATS:1
  54.           INTEGRITY_LABEL:2
  55.           INFO_LABEL:3
  56.           PRIVILEGES:4
  57.           AUDIT_ID:5
  58.           IDS:6
  59.           CLEARANCE:7
  60.  
  61.  
  62.  
  63.                                                                         PPPPaaaaggggeeee 1111
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70. SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))                                                          SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))
  71.  
  72.  
  73.  
  74.           AUDIT_INFO:8
  75.           UNASSIGNED_9:9
  76.           ACL:10
  77.           UNASSIGNED_11:11
  78.  
  79.      The following attributes are not supported under Trusted IRIX and are
  80.      silently ignored: NATIONAL_CAVEATS, INFO_LABEL, CLEARANCE, AUDIT_INFO,
  81.      ACL, UNASSIGNED_9, and UNASSIGNED_11.
  82.  
  83.    RRRREEEEQQQQAAAATTTTTTTTRRRR
  84.      This file contains human-readable names of the attributes all clients
  85.      must support. These names must match those in ATTRIDS.  For example:
  86.  
  87.           SEN_LABEL
  88.           PRIVILEGES
  89.           ACL
  90.  
  91.    WWWWEEEEIIIIGGGGHHHHTTTTSSSS
  92.      This file contains information regarding weights assigned to domains of
  93.      translation.  When the local and remote host have more than one domain of
  94.      translation in common for a given attribute, the weight is used to
  95.      determine which domain of translation is used.  Weight entries should be
  96.      listed in descending order within the file, one per line, with the
  97.      following format:
  98.  
  99.           <attribute>:<domain>:<weight>
  100.  
  101.      For example:
  102.  
  103.           ACL:SGI:255
  104.           ACL:DECMLS:250
  105.           ACL:SUN:245
  106.  
  107.    llllooooccccaaaallllmmmmaaaapppp
  108.      This file contains remote-to-local attribute mapping information. Each
  109.      entry consists of one-line with the following format:
  110.  
  111.           <attribute>:<domain>:<source>:<dest>
  112.  
  113.      The meaning of <source> and <dest> is attribute specific.  If the map in
  114.      any domain has a <source> field with the value "NATIVE_MAPPING", the map
  115.      is ignored and SGI native mapping is assumed.  Otherwise, the meaning of
  116.      <source> and <dest> is as follows:
  117.  
  118.      PPPPRRRRIIIIVVVVIIIILLLLEEEEGGGGEEEESSSS
  119.  
  120.      <source> is the remote representation, as one "word". The remote
  121.      representation of the privilege set is broken up into words, which are
  122.      then matched against <source>.
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.                                                                         PPPPaaaaggggeeee 2222
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136. SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))                                                          SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))
  137.  
  138.  
  139.  
  140.      <dest> is an SGI format capability set. Again, only the effective set
  141.      matters, and a one-to-many mapping is possible.
  142.  
  143.      Examples:
  144.  
  145.           PRIVILEGES:SGI:mac-read:CAP_MAC_READ+e
  146.           PRIVILEGES:SGI:all-privs:all+eip
  147.  
  148.      AAAAUUUUDDDDIIIITTTT____IIIIDDDD
  149.  
  150.      <source> is the remote user name and <dest> is the local user name.
  151.  
  152.      Examples:
  153.  
  154.           AUDIT_ID:SGI:gails:gsmith
  155.           AUDIT_ID:SGI:cbj:charles
  156.  
  157.      IIIIDDDDSSSS
  158.  
  159.      User and group ids are listed on separate lines.  For each, <source> is
  160.      the remote name and <dest> is the local name.
  161.  
  162.      Examples:
  163.  
  164.           IDS:SGI:user,gails:gsmith
  165.           IDS:SGI:group,square:wheel
  166.  
  167.      SSSSEEEENNNN____LLLLAAAABBBBEEEELLLL
  168.      IIIINNNNTTTTEEEEGGGGRRRRIIIITTTTYYYY____LLLLAAAABBBBEEEELLLL
  169.  
  170.      For each entry, <source> is the remote representation and <dest> is the
  171.      local representation.
  172.  
  173.      Mandatory access control labels consist of a sensitivity label and an
  174.      integrity label.  For each of these, there are some administrative
  175.      labels, which consist only of a type, and other labels, msentcsec and
  176.      mintbiba, that consist of components.  Administrative labels are
  177.      represented by entries with the attribute "type".  The sensitivity label
  178.      "msentcsec" and the integrity label "mintbiba" are not specified as
  179.      types.  Instead, each level or grade and category or division is
  180.      specified on a single line.  Note that grades should be specified as
  181.      "level" and division as "category".
  182.  
  183.      Examples:
  184.  
  185.           SEN_LABEL:SGI:type,msenhigh:highadmin
  186.           SEN_LABEL:SGI:level,lords:senate
  187.           SEN_LABEL:SGI:level,commons:house
  188.           SEN_LABEL:SGI:category,crimson:red
  189.      The daemon is implemented to facilitate matching between Trusted IRIX
  190.      representations and those of other vendors, which do not have separate
  191.      types for administrative labels.  To map a remote, non Trusted IRIX
  192.  
  193.  
  194.  
  195.                                                                         PPPPaaaaggggeeee 3333
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202. SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))                                                          SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))
  203.  
  204.  
  205.  
  206.      representation to a local representation, the remote label representation
  207.      is first compared with "type" entries.  If it matches in toto, then is
  208.      not a msentcsec or mintbiba label and the local label representation in
  209.      the "type" entry is the complete local representation of that label.
  210.      Otherwise, the remote representation is broken into words.  The largest
  211.      subsequence of words is matched against "level" entries. If no
  212.      subsequence matches (in other words, even the first word of the label has
  213.      no match) it is rejected.  Otherwise, any remaining words are matched one
  214.      at a time against entries of type "category".
  215.  
  216.    rrrreeeemmmmooootttteeeemmmmaaaapppp
  217.      This file contains local-to-remote attribute mapping information. The
  218.      entries have the same format as in llllooooccccaaaallllmmmmaaaapppp.
  219.  
  220.      The meaning of <source> and <dest> is attribute specific. If the map in
  221.      any domain has a <source> field with the value "NATIVE_MAPPING", the map
  222.      is ignored and SGI native mapping is assumed.  Otherwise, the meaning of
  223.      <source> and <dest> is as follows:
  224.  
  225.      PPPPRRRRIIIIVVVVIIIILLLLEEEEGGGGEEEESSSS
  226.  
  227.      <source> is an SGI format capability set. Only the effective capabilities
  228.      are examined.  Multiple capabilities may be specified; a many-to-one
  229.      mapping is possible.
  230.  
  231.      <dest> is the remote representation of <source>
  232.  
  233.      Examples:
  234.  
  235.           PRIVILEGES:SGI:CAP_MAC_READ+e:mac-read
  236.           PRIVILEGES:SGI:all+eip:all-privs
  237.  
  238.      AAAAUUUUDDDDIIIITTTT____IIIIDDDD
  239.  
  240.      <source> is the local user name and <dest> is the remote user name.
  241.  
  242.      Examples:
  243.  
  244.           AUDIT_ID:SGI:gsmith:gails
  245.           AUDIT_ID:SGI:charles:cbj
  246.  
  247.      IIIIDDDDSSSS
  248.  
  249.      User and group ids are listed on separate lines.  For each, <source> is
  250.      the local name and <dest> is the remote name.
  251.  
  252.      Examples:
  253.  
  254.           IDS:SGI:user,gsmith:gails
  255.           IDS:SGI:group,wheel:square
  256.  
  257.  
  258.  
  259.  
  260.  
  261.                                                                         PPPPaaaaggggeeee 4444
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268. SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))                                                          SSSSAAAATTTTMMMMPPPPDDDD((((1111MMMM))))
  269.  
  270.  
  271.  
  272.      SSSSEEEENNNN____LLLLAAAABBBBEEEELLLL
  273.      IIIINNNNTTTTEEEEGGGGRRRRIIIITTTTYYYY____LLLLAAAABBBBEEEELLLL
  274.  
  275.      For each entry, <source> is the local representation and <dest> is the
  276.      remote representation.
  277.  
  278.      Examples:
  279.  
  280.           SEN_LABEL:SGI:type,highadmin:msenhigh
  281.           SEN_LABEL:SGI:level,senate:lords
  282.           SEN_LABEL:SGI:level,house:commons
  283.           SEN_LABEL:SGI:category,red:crimson
  284.  
  285.      The daemon is implemented to correctly map local Trusted IRIX
  286.      representations  to those of other vendors, which do not have separate
  287.      types for administrative labels. If the local label is not a msentcsec or
  288.      mintbiba label, then it is matched against "type" entries, and the remote
  289.      label representation is complete.  If the local label is a msentcsec or
  290.      mintbiba label, its local representation is divided into a level, or
  291.      grade, and one or more categories, or divisions.  The remote label
  292.      representation is constructed by matching the level or grade portion
  293.      against "level" entries, and matching each category or grade against
  294.      "category" entries.
  295.  
  296. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  297.      iflabel(1m), rhost(1m), samp(7p), satmp(7p), trusted_networking(7),
  298.      tsix(7p).
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.                                                                         PPPPaaaaggggeeee 5555
  328.  
  329.  
  330.  
  331.