/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-03 19:13:50 UTC
  • mfrom: (24.1.83 mandos)
  • Revision ID: teddy@fukt.bsnet.se-20080903191350-la2y2wuxt67xjslb
* mandos-keygen.xml (BUGS): Commented out.

* mandos.xml (BUGS): Note non-checking of expire time of OpenPGP keys.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
 
4
<!ENTITY VERSION "1.0">
4
5
<!ENTITY CONFNAME "mandos-clients.conf">
5
6
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
6
 
<!ENTITY TIMESTAMP "2008-09-30">
7
 
<!ENTITY % common SYSTEM "common.ent">
8
 
%common;
 
7
<!ENTITY TIMESTAMP "2008-08-31">
9
8
]>
10
9
 
11
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
13
12
    <title>Mandos Manual</title>
14
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
15
14
    <productname>Mandos</productname>
16
 
    <productnumber>&version;</productnumber>
 
15
    <productnumber>&VERSION;</productnumber>
17
16
    <date>&TIMESTAMP;</date>
18
17
    <authorgroup>
19
18
      <author>
38
37
    </copyright>
39
38
    <xi:include href="legalnotice.xml"/>
40
39
  </refentryinfo>
41
 
  
 
40
 
42
41
  <refmeta>
43
42
    <refentrytitle>&CONFNAME;</refentrytitle>
44
43
    <manvolnum>5</manvolnum>
50
49
      Configuration file for the Mandos server
51
50
    </refpurpose>
52
51
  </refnamediv>
53
 
  
 
52
 
54
53
  <refsynopsisdiv>
55
54
    <synopsis>&CONFPATH;</synopsis>
56
55
  </refsynopsisdiv>
57
 
  
 
56
 
58
57
  <refsect1 id="description">
59
58
    <title>DESCRIPTION</title>
60
59
    <para>
94
93
      start time expansion, see <xref linkend="expansion"/>.
95
94
    </para>
96
95
    <para>
97
 
      Unknown options are ignored.  The used options are as follows:
 
96
      Uknown options are ignored.  The used options are as follows:
98
97
    </para>
99
 
    
 
98
 
100
99
    <variablelist>
101
 
      
 
100
 
102
101
      <varlistentry>
103
102
        <term><option>timeout<literal> = </literal><replaceable
104
103
        >TIME</replaceable></option></term>
105
104
        <listitem>
106
105
          <para>
107
 
            This option is <emphasis>optional</emphasis>.
108
 
          </para>
109
 
          <para>
110
106
            The timeout is how long the server will wait for a
111
107
            successful checker run until a client is considered
112
108
            invalid - that is, ineligible to get the data this server
127
123
          </para>
128
124
        </listitem>
129
125
      </varlistentry>
130
 
      
 
126
 
131
127
      <varlistentry>
132
128
        <term><option>interval<literal> = </literal><replaceable
133
129
        >TIME</replaceable></option></term>
134
130
        <listitem>
135
131
          <para>
136
 
            This option is <emphasis>optional</emphasis>.
137
 
          </para>
138
 
          <para>
139
132
            How often to run the checker to confirm that a client is
140
133
            still up.  <emphasis>Note:</emphasis> a new checker will
141
134
            not be started if an old one is still running.  The server
150
143
          </para>
151
144
        </listitem>
152
145
      </varlistentry>
153
 
      
 
146
 
154
147
      <varlistentry>
155
148
        <term><option>checker<literal> = </literal><replaceable
156
149
        >COMMAND</replaceable></option></term>
157
150
        <listitem>
158
151
          <para>
159
 
            This option is <emphasis>optional</emphasis>.
160
 
          </para>
161
 
          <para>
162
152
            This option allows you to override the default shell
163
153
            command that the server will use to check if the client is
164
154
            still up.  Any output of the command will be ignored, only
184
174
        ><replaceable>HEXSTRING</replaceable></option></term>
185
175
        <listitem>
186
176
          <para>
187
 
            This option is <emphasis>required</emphasis>.
188
 
          </para>
189
 
          <para>
190
177
            This option sets the OpenPGP fingerprint that identifies
191
178
            the public key that clients authenticate themselves with
192
179
            through TLS.  The string needs to be in hexidecimal form,
200
187
        >BASE64_ENCODED_DATA</replaceable></option></term>
201
188
        <listitem>
202
189
          <para>
203
 
            If this option is not specified, the <option
204
 
            >secfile</option> option is <emphasis>required</emphasis>
205
 
            to be present.
206
 
          </para>
207
 
          <para>
208
190
            If present, this option must be set to a string of
209
191
            base64-encoded binary data.  It will be decoded and sent
210
192
            to the client matching the above
222
204
            lines is that a line beginning with white space adds to
223
205
            the value of the previous line, RFC 822-style.
224
206
          </para>
 
207
          <para>
 
208
            If this option is not specified, the <option
 
209
            >secfile</option> option is used instead, but one of them
 
210
            <emphasis>must</emphasis> be present.
 
211
          </para>
225
212
        </listitem>
226
213
      </varlistentry>
227
 
      
 
214
 
228
215
      <varlistentry>
229
216
        <term><option>secfile<literal> = </literal><replaceable
230
217
        >FILENAME</replaceable></option></term>
231
218
        <listitem>
232
219
          <para>
233
 
            This option is only used if <option>secret</option> is not
234
 
            specified, in which case this option is
235
 
            <emphasis>required</emphasis>.
236
 
          </para>
237
 
          <para>
238
220
            Similar to the <option>secret</option>, except the secret
239
221
            data is in an external file.  The contents of the file
240
222
            should <emphasis>not</emphasis> be base64-encoded, but
241
223
            will be sent to clients verbatim.
242
224
          </para>
 
225
          <para>
 
226
            This option is only used, and <emphasis>must</emphasis> be
 
227
            present, if <option>secret</option> is not specified.
 
228
          </para>
243
229
        </listitem>
244
230
      </varlistentry>
245
 
      
 
231
 
246
232
      <varlistentry>
247
233
        <term><option><literal>host = </literal><replaceable
248
234
        >STRING</replaceable></option></term>
249
235
        <listitem>
250
236
          <para>
251
 
            This option is <emphasis>optional</emphasis>, but highly
252
 
            <emphasis>recommended</emphasis> unless the
253
 
            <option>checker</option> option is modified to a
254
 
            non-standard value without <quote>%(host)s</quote> in it.
255
 
          </para>
256
 
          <para>
257
237
            Host name for this client.  This is not used by the server
258
238
            directly, but can be, and is by default, used by the
259
239
            checker.  See the <option>checker</option> option.
314
294
        mode is needed to expose an error of this kind.
315
295
      </para>
316
296
    </refsect2>
317
 
    
 
297
 
318
298
  </refsect1>
319
299
  
320
300
  <refsect1 id="files">
374
354
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
375
355
secfile = /etc/mandos/bar-secret
376
356
timeout = 15m
 
357
 
377
358
      </programlisting>
378
359
    </informalexample>
379
360
  </refsect1>