/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-08-24 23:18:18 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080824231818-4cgr5zekodg4s0dl
* initramfs-tools-hook: Added "--enable-dsa2" and "--trust-model
                        always" options to gpg.

Show diffs side-by-side

added added

removed removed

Lines of Context:
79
79
  <refsect1 id="description">
80
80
    <title>DESCRIPTION</title>
81
81
    <para>
82
 
      The file &CONFPATH; is a configuration file for <citerefentry
 
82
      The file &CONFPATH; is the configuration file for <citerefentry
83
83
      ><refentrytitle>mandos</refentrytitle>
84
 
      <manvolnum>8</manvolnum></citerefentry>, read by it at startup.
85
 
      The file needs to list all clients that should be able to use
86
 
      the service.  All clients listed will be regarded as valid, even
 
84
      <manvolnum>8</manvolnum></citerefentry>, read by it at startup,
 
85
      where each client that will be able to use the service needs to
 
86
      be listed.  All clients listed will be regarded as valid, even
87
87
      if a client was declared invalid in a previous run of the
88
88
      server.
89
89
    </para>
111
111
  <refsect1 id="options">
112
112
    <title>OPTIONS</title>
113
113
    <para>
114
 
      <emphasis>Note:</emphasis> all option values are subject to
115
 
      start time expansion, see <xref linkend="expansion"/>.
116
 
    </para>
117
 
    <para>
118
 
      Uknown options are ignored.  The used options are as follows:
 
114
      The possible options are:
119
115
    </para>
120
116
 
121
117
    <variablelist>
179
175
          <para>
180
176
            This option allows you to override the default shell
181
177
            command that the server will use to check if the client is
182
 
            still up.  Any output of the command will be ignored, only
183
 
            the exit code is checked:  If the exit code of the command
184
 
            is zero, the client is considered up.  The command will be
185
 
            run using <quote><command><filename>/bin/sh</filename>
186
 
            <option>-c</option></command></quote>, so
187
 
            <varname>PATH</varname> will be searched.  The default
188
 
            value for the checker command is <quote><literal
189
 
            ><command>fping</command> <option>-q</option> <option
190
 
            >--</option> %(host)s</literal></quote>.
 
178
            still up.  The output of the command will be ignored, only
 
179
            the exit code is checked.  The command will be run using
 
180
            <quote><command><filename>/bin/sh</filename>
 
181
            <option>-c</option></command></quote>.  The default
 
182
            command is <quote><literal><command>fping</command>
 
183
            <option>-q</option> <option>--</option>
 
184
            %(host)s</literal></quote>.
191
185
          </para>
192
186
          <para>
193
187
            In addition to normal start time expansion, this option
224
218
            to the client matching the above
225
219
            <option>fingerprint</option>.  This should, of course, be
226
220
            OpenPGP encrypted data, decryptable only by the client.
227
 
            The program <citerefentry><refentrytitle><command
228
 
            >mandos-keygen</command></refentrytitle><manvolnum
229
 
            >8</manvolnum></citerefentry> can, using its
230
 
            <option>--password</option> option, be used to generate
231
 
            this, if desired.
232
 
          </para>
233
 
          <para>
234
 
            Note: this value of this option will probably be very
235
 
            long.  A useful feature to avoid having unreadably-long
236
 
            lines is that a line beginning with white space adds to
237
 
            the value of the previous line, RFC 822-style.
238
 
          </para>
239
 
          <para>
240
 
            If this option is not specified, the <option
241
 
            >secfile</option> option is used instead, but one of them
242
 
            <emphasis>must</emphasis> be present.
 
221
<!--        The program <citerefentry><refentrytitle><command -->
 
222
<!--        >mandos-keygen</command></refentrytitle><manvolnum -->
 
223
<!--        >8</manvolnum></citerefentry> can be used to generate it, -->
 
224
<!--        if desired. -->
 
225
          </para>
 
226
          <para>
 
227
            Note: this value of this option will probably run over
 
228
            many lines, and will then have to use the fact that a line
 
229
            beginning with white space adds to the value of the
 
230
            previous line, RFC 822-style.
243
231
          </para>
244
232
        </listitem>
245
233
      </varlistentry>
247
235
      <varlistentry>
248
236
        <term><literal>secfile</literal></term>
249
237
        <listitem>
250
 
          <synopsis><literal>secfile = </literal><replaceable
251
 
          >FILENAME</replaceable>
252
 
          </synopsis>
253
 
          <para>
254
 
            The same as <option>secret</option>, but the secret data
255
 
            is in an external file.  The contents of the file should
256
 
            <emphasis>not</emphasis> be base64-encoded, but will be
257
 
            sent to clients verbatim.
258
 
          </para>
259
 
          <para>
260
 
            This option is only used, and <emphasis>must</emphasis> be
261
 
            present, if <option>secret</option> is not specified.
 
238
          <para>
 
239
            Base 64 encoded OpenPGP encrypted password encrypted by
 
240
            the clients openpgp certificate as a binary file.
262
241
          </para>
263
242
        </listitem>
264
243
      </varlistentry>
266
245
      <varlistentry>
267
246
        <term><literal>host</literal></term>
268
247
        <listitem>
269
 
          <synopsis><literal>host = </literal><replaceable
270
 
          >STRING</replaceable>
271
 
          </synopsis>
272
248
          <para>
273
 
            Host name for this client.  This is not used by the server
274
 
            directly, but can be, and is by default, used by the
275
 
            checker.  See the <option>checker</option> option.
 
249
            Host name that can be used in for checking that the client is up.
276
250
          </para>
277
251
        </listitem>
278
252
      </varlistentry>
 
253
 
 
254
      <varlistentry>
 
255
        <term><literal>checker</literal></term>
 
256
        <listitem>
 
257
          <para>
 
258
            Shell command that the server will use to check up if a
 
259
            client is still up.
 
260
          </para>
 
261
        </listitem>
 
262
      </varlistentry>      
 
263
 
 
264
      <varlistentry>
 
265
        <term><literal>timeout</literal></term>
 
266
        <listitem>
 
267
          <para>
 
268
            Duration that a client can be down whitout be removed from
 
269
            the client list.
 
270
          </para>
 
271
        </listitem>
 
272
      </varlistentry> 
279
273
      
280
274
    </variablelist>
281
275
  </refsect1>  
323
317
      <para>
324
318
        Note that this means that, in order to include an actual
325
319
        percent character (<quote>%</quote>) in a
326
 
        <varname>checker</varname> option, <emphasis>four</emphasis>
 
320
        <varname>checker</varname> options, <emphasis>four</emphasis>
327
321
        percent characters in a row (<quote>%%%%</quote>) must be
328
322
        entered.  Also, a bad format here will lead to an immediate
329
323
        but <emphasis>silent</emphasis> run-time fatal exit; debug
382
376
        5MHdW9AYsNJZAQSOpirE4Xi31CSlWAi9KV+cUCmWF5zOFy1x23P6PjdaRm
383
377
        4T2zw4dxS5NswXWU0sVEXxjs6PYxuIiCTL7vdpx8QjBkrPWDrAbcMyBr2O
384
378
        QlnHIvPzEArRQLo=
 
379
        =iHhv
385
380
host = foo.example.org
386
 
interval = 1m
 
381
interval = 5m
387
382
 
388
383
# Client "bar"
389
384
[bar]
390
385
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
391
 
secfile = /etc/mandos/bar-secret
392
 
timeout = 15m
 
386
secfile = /etc/mandos/bar-secret.txt.asc
393
387
 
394
388
      </programlisting>
395
389
    </informalexample>
396
390
  </refsect1>  
397
 
  
398
 
  <refsect1 id="see_also">
399
 
    <title>SEE ALSO</title>
400
 
    <para>
401
 
      <citerefentry>
402
 
        <refentrytitle>mandos</refentrytitle>
403
 
        <manvolnum>8</manvolnum></citerefentry>, <citerefentry>
404
 
        <refentrytitle>mandos-keygen</refentrytitle>
405
 
        <manvolnum>8</manvolnum></citerefentry>, <citerefentry>
406
 
        <refentrytitle>mandos.conf</refentrytitle>
407
 
        <manvolnum>5</manvolnum></citerefentry>
408
 
    </para>
409
 
  </refsect1>
 
391
 
410
392
</refentry>