/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

* mandos (main): Try to find non-privileged user+group in pairs, so
                 that mismatched pairs are never used.

Show diffs side-by-side

added added

removed removed

Lines of Context:
 
1
<?xml version="1.0" encoding="UTF-8"?>
 
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
 
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
 
4
<!ENTITY CONFNAME "mandos-clients.conf">
 
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
 
6
<!ENTITY TIMESTAMP "2009-01-04">
 
7
<!ENTITY % common SYSTEM "common.ent">
 
8
%common;
 
9
]>
 
10
 
 
11
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
 
12
  <refentryinfo>
 
13
    <title>Mandos Manual</title>
 
14
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
15
    <productname>Mandos</productname>
 
16
    <productnumber>&version;</productnumber>
 
17
    <date>&TIMESTAMP;</date>
 
18
    <authorgroup>
 
19
      <author>
 
20
        <firstname>Björn</firstname>
 
21
        <surname>Påhlsson</surname>
 
22
        <address>
 
23
          <email>belorn@fukt.bsnet.se</email>
 
24
        </address>
 
25
      </author>
 
26
      <author>
 
27
        <firstname>Teddy</firstname>
 
28
        <surname>Hogeborn</surname>
 
29
        <address>
 
30
          <email>teddy@fukt.bsnet.se</email>
 
31
        </address>
 
32
      </author>
 
33
    </authorgroup>
 
34
    <copyright>
 
35
      <year>2008</year>
 
36
      <year>2009</year>
 
37
      <holder>Teddy Hogeborn</holder>
 
38
      <holder>Björn Påhlsson</holder>
 
39
    </copyright>
 
40
    <xi:include href="legalnotice.xml"/>
 
41
  </refentryinfo>
 
42
  
 
43
  <refmeta>
 
44
    <refentrytitle>&CONFNAME;</refentrytitle>
 
45
    <manvolnum>5</manvolnum>
 
46
  </refmeta>
 
47
  
 
48
  <refnamediv>
 
49
    <refname><filename>&CONFNAME;</filename></refname>
 
50
    <refpurpose>
 
51
      Configuration file for the Mandos server
 
52
    </refpurpose>
 
53
  </refnamediv>
 
54
  
 
55
  <refsynopsisdiv>
 
56
    <synopsis>&CONFPATH;</synopsis>
 
57
  </refsynopsisdiv>
 
58
  
 
59
  <refsect1 id="description">
 
60
    <title>DESCRIPTION</title>
 
61
    <para>
 
62
      The file &CONFPATH; is a configuration file for <citerefentry
 
63
      ><refentrytitle>mandos</refentrytitle>
 
64
      <manvolnum>8</manvolnum></citerefentry>, read by it at startup.
 
65
      The file needs to list all clients that should be able to use
 
66
      the service.  All clients listed will be regarded as valid, even
 
67
      if a client was declared invalid in a previous run of the
 
68
      server.
 
69
    </para>
 
70
    <para>
 
71
      The format starts with a <literal>[<replaceable>section
 
72
      header</replaceable>]</literal> which is either
 
73
      <literal>[DEFAULT]</literal> or <literal>[<replaceable>client
 
74
      name</replaceable>]</literal>.  The <replaceable>client
 
75
      name</replaceable> can be anything, and is not tied to a host
 
76
      name.  Following the section header is any number of
 
77
      <quote><varname><replaceable>option</replaceable
 
78
      ></varname>=<replaceable>value</replaceable></quote> entries,
 
79
      with continuations in the style of RFC 822.  <quote><varname
 
80
      ><replaceable>option</replaceable></varname>: <replaceable
 
81
      >value</replaceable></quote> is also accepted.  Note that
 
82
      leading whitespace is removed from values.  Values can contain
 
83
      format strings which refer to other values in the same section,
 
84
      or values in the <quote>DEFAULT</quote> section (see <xref
 
85
      linkend="expansion"/>).  Lines beginning with <quote>#</quote>
 
86
      or <quote>;</quote> are ignored and may be used to provide
 
87
      comments.
 
88
    </para>
 
89
  </refsect1>
 
90
  
 
91
  <refsect1 id="options">
 
92
    <title>OPTIONS</title>
 
93
    <para>
 
94
      <emphasis>Note:</emphasis> all option values are subject to
 
95
      start time expansion, see <xref linkend="expansion"/>.
 
96
    </para>
 
97
    <para>
 
98
      Unknown options are ignored.  The used options are as follows:
 
99
    </para>
 
100
    
 
101
    <variablelist>
 
102
      
 
103
      <varlistentry>
 
104
        <term><option>timeout<literal> = </literal><replaceable
 
105
        >TIME</replaceable></option></term>
 
106
        <listitem>
 
107
          <para>
 
108
            This option is <emphasis>optional</emphasis>.
 
109
          </para>
 
110
          <para>
 
111
            The timeout is how long the server will wait for a
 
112
            successful checker run until a client is considered
 
113
            invalid - that is, ineligible to get the data this server
 
114
            holds.  By default Mandos will use 1 hour.
 
115
          </para>
 
116
          <para>
 
117
            The <replaceable>TIME</replaceable> is specified as a
 
118
            space-separated number of values, each of which is a
 
119
            number and a one-character suffix.  The suffix must be one
 
120
            of <quote>d</quote>, <quote>s</quote>, <quote>m</quote>,
 
121
            <quote>h</quote>, and <quote>w</quote> for days, seconds,
 
122
            minutes, hours, and weeks, respectively.  The values are
 
123
            added together to give the total time value, so all of
 
124
            <quote><literal>330s</literal></quote>,
 
125
            <quote><literal>110s 110s 110s</literal></quote>, and
 
126
            <quote><literal>5m 30s</literal></quote> will give a value
 
127
            of five minutes and thirty seconds.
 
128
          </para>
 
129
        </listitem>
 
130
      </varlistentry>
 
131
      
 
132
      <varlistentry>
 
133
        <term><option>interval<literal> = </literal><replaceable
 
134
        >TIME</replaceable></option></term>
 
135
        <listitem>
 
136
          <para>
 
137
            This option is <emphasis>optional</emphasis>.
 
138
          </para>
 
139
          <para>
 
140
            How often to run the checker to confirm that a client is
 
141
            still up.  <emphasis>Note:</emphasis> a new checker will
 
142
            not be started if an old one is still running.  The server
 
143
            will wait for a checker to complete until the above
 
144
            <quote><varname>timeout</varname></quote> occurs, at which
 
145
            time the client will be marked invalid, and any running
 
146
            checker killed.  The default interval is 5 minutes.
 
147
          </para>
 
148
          <para>
 
149
            The format of <replaceable>TIME</replaceable> is the same
 
150
            as for <varname>timeout</varname> above.
 
151
          </para>
 
152
        </listitem>
 
153
      </varlistentry>
 
154
      
 
155
      <varlistentry>
 
156
        <term><option>checker<literal> = </literal><replaceable
 
157
        >COMMAND</replaceable></option></term>
 
158
        <listitem>
 
159
          <para>
 
160
            This option is <emphasis>optional</emphasis>.
 
161
          </para>
 
162
          <para>
 
163
            This option allows you to override the default shell
 
164
            command that the server will use to check if the client is
 
165
            still up.  Any output of the command will be ignored, only
 
166
            the exit code is checked:  If the exit code of the command
 
167
            is zero, the client is considered up.  The command will be
 
168
            run using <quote><command><filename>/bin/sh</filename>
 
169
            <option>-c</option></command></quote>, so
 
170
            <varname>PATH</varname> will be searched.  The default
 
171
            value for the checker command is <quote><literal
 
172
            ><command>fping</command> <option>-q</option> <option
 
173
            >--</option> %(host)s</literal></quote>.
 
174
          </para>
 
175
          <para>
 
176
            In addition to normal start time expansion, this option
 
177
            will also be subject to runtime expansion; see <xref
 
178
            linkend="expansion"/>.
 
179
          </para>
 
180
        </listitem>
 
181
      </varlistentry>
 
182
      
 
183
      <varlistentry>
 
184
        <term><option>fingerprint<literal> = </literal
 
185
        ><replaceable>HEXSTRING</replaceable></option></term>
 
186
        <listitem>
 
187
          <para>
 
188
            This option is <emphasis>required</emphasis>.
 
189
          </para>
 
190
          <para>
 
191
            This option sets the OpenPGP fingerprint that identifies
 
192
            the public key that clients authenticate themselves with
 
193
            through TLS.  The string needs to be in hexidecimal form,
 
194
            but spaces or upper/lower case are not significant.
 
195
          </para>
 
196
        </listitem>
 
197
      </varlistentry>
 
198
      
 
199
      <varlistentry>
 
200
        <term><option>secret<literal> = </literal><replaceable
 
201
        >BASE64_ENCODED_DATA</replaceable></option></term>
 
202
        <listitem>
 
203
          <para>
 
204
            If this option is not specified, the <option
 
205
            >secfile</option> option is <emphasis>required</emphasis>
 
206
            to be present.
 
207
          </para>
 
208
          <para>
 
209
            If present, this option must be set to a string of
 
210
            base64-encoded binary data.  It will be decoded and sent
 
211
            to the client matching the above
 
212
            <option>fingerprint</option>.  This should, of course, be
 
213
            OpenPGP encrypted data, decryptable only by the client.
 
214
            The program <citerefentry><refentrytitle><command
 
215
            >mandos-keygen</command></refentrytitle><manvolnum
 
216
            >8</manvolnum></citerefentry> can, using its
 
217
            <option>--password</option> option, be used to generate
 
218
            this, if desired.
 
219
          </para>
 
220
          <para>
 
221
            Note: this value of this option will probably be very
 
222
            long.  A useful feature to avoid having unreadably-long
 
223
            lines is that a line beginning with white space adds to
 
224
            the value of the previous line, RFC 822-style.
 
225
          </para>
 
226
        </listitem>
 
227
      </varlistentry>
 
228
      
 
229
      <varlistentry>
 
230
        <term><option>secfile<literal> = </literal><replaceable
 
231
        >FILENAME</replaceable></option></term>
 
232
        <listitem>
 
233
          <para>
 
234
            This option is only used if <option>secret</option> is not
 
235
            specified, in which case this option is
 
236
            <emphasis>required</emphasis>.
 
237
          </para>
 
238
          <para>
 
239
            Similar to the <option>secret</option>, except the secret
 
240
            data is in an external file.  The contents of the file
 
241
            should <emphasis>not</emphasis> be base64-encoded, but
 
242
            will be sent to clients verbatim.
 
243
          </para>
 
244
          <para>
 
245
            File names of the form <filename>~user/foo/bar</filename>
 
246
            and <filename>$<envar>ENVVAR</envar>/foo/bar</filename>
 
247
            are supported.
 
248
          </para>
 
249
        </listitem>
 
250
      </varlistentry>
 
251
      
 
252
      <varlistentry>
 
253
        <term><option><literal>host = </literal><replaceable
 
254
        >STRING</replaceable></option></term>
 
255
        <listitem>
 
256
          <para>
 
257
            This option is <emphasis>optional</emphasis>, but highly
 
258
            <emphasis>recommended</emphasis> unless the
 
259
            <option>checker</option> option is modified to a
 
260
            non-standard value without <quote>%(host)s</quote> in it.
 
261
          </para>
 
262
          <para>
 
263
            Host name for this client.  This is not used by the server
 
264
            directly, but can be, and is by default, used by the
 
265
            checker.  See the <option>checker</option> option.
 
266
          </para>
 
267
        </listitem>
 
268
      </varlistentry>
 
269
      
 
270
    </variablelist>
 
271
  </refsect1>
 
272
  
 
273
  <refsect1 id="expansion">
 
274
    <title>EXPANSION</title>
 
275
    <para>
 
276
      There are two forms of expansion: Start time expansion and
 
277
      runtime expansion.
 
278
    </para>
 
279
    <refsect2 id="start_time_expansion">
 
280
      <title>START TIME EXPANSION</title>
 
281
      <para>
 
282
        Any string in an option value of the form
 
283
        <quote><literal>%(<replaceable>foo</replaceable>)s</literal
 
284
        ></quote> will be replaced by the value of the option
 
285
        <varname>foo</varname> either in the same section, or, if it
 
286
        does not exist there, the <literal>[DEFAULT]</literal>
 
287
        section.  This is done at start time, when the configuration
 
288
        file is read.
 
289
      </para>
 
290
      <para>
 
291
        Note that this means that, in order to include an actual
 
292
        percent character (<quote>%</quote>) in an option value, two
 
293
        percent characters in a row (<quote>%%</quote>) must be
 
294
        entered.
 
295
      </para>
 
296
    </refsect2>
 
297
    <refsect2 id="runtime_expansion">
 
298
      <title>RUNTIME EXPANSION</title>
 
299
      <para>
 
300
        This is currently only done for the <varname>checker</varname>
 
301
        option.
 
302
      </para>
 
303
      <para>
 
304
        Any string in an option value of the form
 
305
        <quote><literal>%%(<replaceable>foo</replaceable>)s</literal
 
306
        ></quote> will be replaced by the value of the attribute
 
307
        <varname>foo</varname> of the internal
 
308
        <quote><classname>Client</classname></quote> object.  See the
 
309
        source code for details, and let the authors know of any
 
310
        attributes that are useful so they may be preserved to any new
 
311
        versions of this software.
 
312
      </para>
 
313
      <para>
 
314
        Note that this means that, in order to include an actual
 
315
        percent character (<quote>%</quote>) in a
 
316
        <varname>checker</varname> option, <emphasis>four</emphasis>
 
317
        percent characters in a row (<quote>%%%%</quote>) must be
 
318
        entered.  Also, a bad format here will lead to an immediate
 
319
        but <emphasis>silent</emphasis> run-time fatal exit; debug
 
320
        mode is needed to expose an error of this kind.
 
321
      </para>
 
322
    </refsect2>
 
323
    
 
324
  </refsect1>
 
325
  
 
326
  <refsect1 id="files">
 
327
    <title>FILES</title>
 
328
    <para>
 
329
      The file described here is &CONFPATH;
 
330
    </para>
 
331
  </refsect1>
 
332
  
 
333
  <refsect1 id="bugs">
 
334
    <title>BUGS</title>
 
335
    <para>
 
336
      The format for specifying times for <varname>timeout</varname>
 
337
      and <varname>interval</varname> is not very good.
 
338
    </para>
 
339
    <para>
 
340
      The difference between
 
341
      <literal>%%(<replaceable>foo</replaceable>)s</literal> and
 
342
      <literal>%(<replaceable>foo</replaceable>)s</literal> is
 
343
      obscure.
 
344
    </para>
 
345
  </refsect1>
 
346
  
 
347
  <refsect1 id="example">
 
348
    <title>EXAMPLE</title>
 
349
    <informalexample>
 
350
      <programlisting>
 
351
[DEFAULT]
 
352
timeout = 1h
 
353
interval = 5m
 
354
checker = fping -q -- %(host)s
 
355
 
 
356
# Client "foo"
 
357
[foo]
 
358
fingerprint =  7788 2722 5BA7 DE53 9C5A  7CFA 59CF F7CD BD9A 5920
 
359
secret =
 
360
        hQIOA6QdEjBs2L/HEAf/TCyrDe5Xnm9esa+Pb/vWF9CUqfn4srzVgSu234
 
361
        REJMVv7lBSrPE2132Lmd2gqF1HeLKDJRSVxJpt6xoWOChGHg+TMyXDxK+N
 
362
        Xl89vGvdU1XfhKkVm9MDLOgT5ECDPysDGHFPDhqHOSu3Kaw2DWMV/iH9vz
 
363
        3Z20erVNbdcvyBnuojcoWO/6yfB5EQO0BXp7kcyy00USA3CjD5FGZdoQGI
 
364
        Tb8A/ar0tVA5crSQmaSotm6KmNLhrFnZ5BxX+TiE+eTUTqSloWRY6VAvqW
 
365
        QHC7OASxK5E6RXPBuFH5IohUA2Qbk5AHt99pYvsIPX88j2rWauOokoiKZo
 
366
        t/9leJ8VxO5l3wf/U64IH8bkPIoWmWZfd/nqh4uwGNbCgKMyT+AnvH7kMJ
 
367
        3i7DivfWl2mKLV0PyPHUNva0VQxX6yYjcOhj1R6fCr/at8/NSLe2OhLchz
 
368
        dC+Ls9h+kvJXgF8Sisv+Wk/1RadPLFmraRlqvJwt6Ww21LpiXqXHV2mIgq
 
369
        WnR98YgSvUi3TJHrUQiNc9YyBzuRo0AjgG2C9qiE3FM+Y28+iQ/sR3+bFs
 
370
        zYuZKVTObqiIslwXu7imO0cvvFRgJF/6u3HNFQ4LUTGhiM3FQmC6NNlF3/
 
371
        vJM2hwRDMcJqDd54Twx90Wh+tYz0z7QMsK4ANXWHHWHR0JchnLWmenzbtW
 
372
        5MHdW9AYsNJZAQSOpirE4Xi31CSlWAi9KV+cUCmWF5zOFy1x23P6PjdaRm
 
373
        4T2zw4dxS5NswXWU0sVEXxjs6PYxuIiCTL7vdpx8QjBkrPWDrAbcMyBr2O
 
374
        QlnHIvPzEArRQLo=
 
375
host = foo.example.org
 
376
interval = 1m
 
377
 
 
378
# Client "bar"
 
379
[bar]
 
380
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
 
381
secfile = /etc/mandos/bar-secret
 
382
timeout = 15m
 
383
      </programlisting>
 
384
    </informalexample>
 
385
  </refsect1>
 
386
  
 
387
  <refsect1 id="see_also">
 
388
    <title>SEE ALSO</title>
 
389
    <para>
 
390
      <citerefentry><refentrytitle>mandos-keygen</refentrytitle>
 
391
      <manvolnum>8</manvolnum></citerefentry>,
 
392
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
393
      <manvolnum>5</manvolnum></citerefentry>,
 
394
      <citerefentry><refentrytitle>mandos</refentrytitle>
 
395
      <manvolnum>8</manvolnum></citerefentry>
 
396
    </para>
 
397
  </refsect1>
 
398
</refentry>
 
399
<!-- Local Variables: -->
 
400
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
 
401
<!-- time-stamp-end: "[\"']>" -->
 
402
<!-- time-stamp-format: "%:y-%02m-%02d" -->
 
403
<!-- End: -->