/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

* mandos: Do not write pid file if --debug is passed.
* mandos.xml (FILES): Pid file only records pid of latest server.

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY CONFNAME "mandos-clients.conf">
5
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
6
 
<!ENTITY TIMESTAMP "2019-02-10">
 
6
<!ENTITY TIMESTAMP "2010-09-25">
7
7
<!ENTITY % common SYSTEM "common.ent">
8
8
%common;
9
9
]>
20
20
        <firstname>Björn</firstname>
21
21
        <surname>Påhlsson</surname>
22
22
        <address>
23
 
          <email>belorn@recompile.se</email>
 
23
          <email>belorn@fukt.bsnet.se</email>
24
24
        </address>
25
25
      </author>
26
26
      <author>
27
27
        <firstname>Teddy</firstname>
28
28
        <surname>Hogeborn</surname>
29
29
        <address>
30
 
          <email>teddy@recompile.se</email>
 
30
          <email>teddy@fukt.bsnet.se</email>
31
31
        </address>
32
32
      </author>
33
33
    </authorgroup>
34
34
    <copyright>
35
35
      <year>2008</year>
36
36
      <year>2009</year>
37
 
      <year>2010</year>
38
 
      <year>2011</year>
39
 
      <year>2012</year>
40
 
      <year>2013</year>
41
 
      <year>2014</year>
42
 
      <year>2015</year>
43
 
      <year>2016</year>
44
 
      <year>2017</year>
45
 
      <year>2018</year>
46
 
      <year>2019</year>
47
37
      <holder>Teddy Hogeborn</holder>
48
38
      <holder>Björn Påhlsson</holder>
49
39
    </copyright>
73
63
      ><refentrytitle>mandos</refentrytitle>
74
64
      <manvolnum>8</manvolnum></citerefentry>, read by it at startup.
75
65
      The file needs to list all clients that should be able to use
76
 
      the service.  The settings in this file can be overridden by
77
 
      runtime changes to the server, which it saves across restarts.
78
 
      (See the section called <quote>PERSISTENT STATE</quote> in
79
 
      <citerefentry><refentrytitle>mandos</refentrytitle><manvolnum
80
 
      >8</manvolnum></citerefentry>.)  However, any <emphasis
81
 
      >changes</emphasis> to this file (including adding and removing
82
 
      clients) will, at startup, override changes done during runtime.
 
66
      the service.  All clients listed will be regarded as enabled,
 
67
      even if a client was disabled in a previous run of the server.
83
68
    </para>
84
69
    <para>
85
70
      The format starts with a <literal>[<replaceable>section
124
109
          <para>
125
110
            How long to wait for external approval before resorting to
126
111
            use the <option>approved_by_default</option> value.  The
127
 
            default is <quote>PT0S</quote>, i.e. not to wait.
 
112
            default is <quote>0s</quote>, i.e. not to wait.
128
113
          </para>
129
114
          <para>
130
115
            The format of <replaceable>TIME</replaceable> is the same
174
159
            This option is <emphasis>optional</emphasis>.
175
160
          </para>
176
161
          <para>
177
 
            This option overrides the default shell command that the
178
 
            server will use to check if the client is still up.  Any
179
 
            output of the command will be ignored, only the exit code
180
 
            is checked:  If the exit code of the command is zero, the
181
 
            client is considered up.  The command will be run using
182
 
            <quote><command><filename>/bin/sh</filename>
 
162
            This option allows you to override the default shell
 
163
            command that the server will use to check if the client is
 
164
            still up.  Any output of the command will be ignored, only
 
165
            the exit code is checked:  If the exit code of the command
 
166
            is zero, the client is considered up.  The command will be
 
167
            run using <quote><command><filename>/bin/sh</filename>
183
168
            <option>-c</option></command></quote>, so
184
169
            <varname>PATH</varname> will be searched.  The default
185
170
            value for the checker command is <quote><literal
186
171
            ><command>fping</command> <option>-q</option> <option
187
 
            >--</option> %%(host)s</literal></quote>.  Note that
188
 
            <command>mandos-keygen</command>, when generating output
189
 
            to be inserted into this file, normally looks for an SSH
190
 
            server on the Mandos client, and, if it finds one, outputs
191
 
            a <option>checker</option> option to check for the
192
 
            client’s SSH key fingerprint – this is more secure against
193
 
            spoofing.
 
172
            >--</option> %%(host)s</literal></quote>.
194
173
          </para>
195
174
          <para>
196
175
            In addition to normal start time expansion, this option
201
180
      </varlistentry>
202
181
      
203
182
      <varlistentry>
204
 
        <term><option>extended_timeout<literal> = </literal><replaceable
205
 
        >TIME</replaceable></option></term>
206
 
        <listitem>
207
 
          <para>
208
 
            This option is <emphasis>optional</emphasis>.
209
 
          </para>
210
 
          <para>
211
 
            Extended timeout is an added timeout that is given once
212
 
            after a password has been sent successfully to a client.
213
 
            The timeout is by default longer than the normal timeout,
214
 
            and is used for handling the extra long downtime while a
215
 
            machine is booting up.  Time to take into consideration
216
 
            when changing this value is file system checks and quota
217
 
            checks.  The default value is 15 minutes.
218
 
          </para>
219
 
          <para>
220
 
            The format of <replaceable>TIME</replaceable> is the same
221
 
            as for <varname>timeout</varname> below.
222
 
          </para>
223
 
        </listitem>
224
 
      </varlistentry>
225
 
      
226
 
      <varlistentry>
227
183
        <term><option>fingerprint<literal> = </literal
228
184
        ><replaceable>HEXSTRING</replaceable></option></term>
229
185
        <listitem>
233
189
          <para>
234
190
            This option sets the OpenPGP fingerprint that identifies
235
191
            the public key that clients authenticate themselves with
236
 
            through TLS.  The string needs to be in hexadecimal form,
237
 
            but spaces or upper/lower case are not significant.
238
 
          </para>
239
 
        </listitem>
240
 
      </varlistentry>
241
 
      
242
 
      <varlistentry>
243
 
        <term><option>key_id<literal> = </literal
244
 
        ><replaceable>HEXSTRING</replaceable></option></term>
245
 
        <listitem>
246
 
          <para>
247
 
            This option is <emphasis>optional</emphasis>.
248
 
          </para>
249
 
          <para>
250
 
            This option sets the certificate key ID that identifies
251
 
            the public key that clients authenticate themselves with
252
 
            through TLS.  The string needs to be in hexadecimal form,
 
192
            through TLS.  The string needs to be in hexidecimal form,
253
193
            but spaces or upper/lower case are not significant.
254
194
          </para>
255
195
        </listitem>
287
227
            will wait for a checker to complete until the below
288
228
            <quote><varname>timeout</varname></quote> occurs, at which
289
229
            time the client will be disabled, and any running checker
290
 
            killed.  The default interval is 2 minutes.
 
230
            killed.  The default interval is 5 minutes.
291
231
          </para>
292
232
          <para>
293
233
            The format of <replaceable>TIME</replaceable> is the same
331
271
          <para>
332
272
            If present, this option must be set to a string of
333
273
            base64-encoded binary data.  It will be decoded and sent
334
 
            to the client matching the above <option>key_id</option>
335
 
            or <option>fingerprint</option>.  This should, of course,
336
 
            be OpenPGP encrypted data, decryptable only by the client.
 
274
            to the client matching the above
 
275
            <option>fingerprint</option>.  This should, of course, be
 
276
            OpenPGP encrypted data, decryptable only by the client.
337
277
            The program <citerefentry><refentrytitle><command
338
278
            >mandos-keygen</command></refentrytitle><manvolnum
339
279
            >8</manvolnum></citerefentry> can, using its
357
297
            This option is <emphasis>optional</emphasis>.
358
298
          </para>
359
299
          <para>
360
 
            The timeout is how long the server will wait, after a
361
 
            successful checker run, until a client is disabled and not
362
 
            allowed to get the data this server holds.  By default
363
 
            Mandos will use 5 minutes.  See also the
364
 
            <option>extended_timeout</option> option.
365
 
          </para>
366
 
          <para>
367
 
            The <replaceable>TIME</replaceable> is specified as an RFC
368
 
            3339 duration; for example
369
 
            <quote><literal>P1Y2M3DT4H5M6S</literal></quote> meaning
370
 
            one year, two months, three days, four hours, five
371
 
            minutes, and six seconds.  Some values can be omitted, see
372
 
            RFC 3339 Appendix A for details.
373
 
          </para>
374
 
        </listitem>
375
 
      </varlistentry>
376
 
      
377
 
      <varlistentry>
378
 
        <term><option>enabled<literal> = </literal>{ <literal
379
 
        >1</literal> | <literal>yes</literal> | <literal>true</literal
380
 
        > | <literal >on</literal> | <literal>0</literal> | <literal
381
 
        >no</literal> | <literal>false</literal> | <literal
382
 
        >off</literal> }</option></term>
383
 
        <listitem>
384
 
          <para>
385
 
            Whether this client should be enabled by default.  The
386
 
            default is <quote>true</quote>.
 
300
            The timeout is how long the server will wait (for either a
 
301
            successful checker run or a client receiving its secret)
 
302
            until a client is disabled and not allowed to get the data
 
303
            this server holds.  By default Mandos will use 1 hour.
 
304
          </para>
 
305
          <para>
 
306
            The <replaceable>TIME</replaceable> is specified as a
 
307
            space-separated number of values, each of which is a
 
308
            number and a one-character suffix.  The suffix must be one
 
309
            of <quote>d</quote>, <quote>s</quote>, <quote>m</quote>,
 
310
            <quote>h</quote>, and <quote>w</quote> for days, seconds,
 
311
            minutes, hours, and weeks, respectively.  The values are
 
312
            added together to give the total time value, so all of
 
313
            <quote><literal>330s</literal></quote>,
 
314
            <quote><literal>110s 110s 110s</literal></quote>, and
 
315
            <quote><literal>5m 30s</literal></quote> will give a value
 
316
            of five minutes and thirty seconds.
387
317
          </para>
388
318
        </listitem>
389
319
      </varlistentry>
426
356
        <quote><literal>%%(<replaceable>foo</replaceable>)s</literal
427
357
        ></quote> will be replaced by the value of the attribute
428
358
        <varname>foo</varname> of the internal
429
 
        <quote><classname>Client</classname></quote> object in the
430
 
        Mandos server.  The currently allowed values for
431
 
        <replaceable>foo</replaceable> are:
432
 
        <quote><literal>approval_delay</literal></quote>,
433
 
        <quote><literal>approval_duration</literal></quote>,
434
 
        <quote><literal>created</literal></quote>,
435
 
        <quote><literal>enabled</literal></quote>,
436
 
        <quote><literal>expires</literal></quote>,
437
 
        <quote><literal>key_id</literal></quote>,
438
 
        <quote><literal>fingerprint</literal></quote>,
439
 
        <quote><literal>host</literal></quote>,
440
 
        <quote><literal>interval</literal></quote>,
441
 
        <quote><literal>last_approval_request</literal></quote>,
442
 
        <quote><literal>last_checked_ok</literal></quote>,
443
 
        <quote><literal>last_enabled</literal></quote>,
444
 
        <quote><literal>name</literal></quote>,
445
 
        <quote><literal>timeout</literal></quote>, and, if using
446
 
        D-Bus, <quote><literal>dbus_object_path</literal></quote>.
447
 
        See the source code for details.  <emphasis role="strong"
448
 
        >Currently, <emphasis>none</emphasis> of these attributes
449
 
        except <quote><literal>host</literal></quote> are guaranteed
450
 
        to be valid in future versions.</emphasis> Therefore, please
451
 
        let the authors know of any attributes that are useful so they
452
 
        may be preserved to any new versions of this software.
 
359
        <quote><classname>Client</classname></quote> object.  See the
 
360
        source code for details, and let the authors know of any
 
361
        attributes that are useful so they may be preserved to any new
 
362
        versions of this software.
453
363
      </para>
454
364
      <para>
455
365
        Note that this means that, in order to include an actual
483
393
      <literal>%(<replaceable>foo</replaceable>)s</literal> is
484
394
      obscure.
485
395
    </para>
486
 
    <xi:include href="bugs.xml"/>
487
396
  </refsect1>
488
397
  
489
398
  <refsect1 id="example">
491
400
    <informalexample>
492
401
      <programlisting>
493
402
[DEFAULT]
494
 
timeout = PT5M
495
 
interval = PT2M
 
403
timeout = 1h
 
404
interval = 5m
496
405
checker = fping -q -- %%(host)s
497
406
 
498
407
# Client "foo"
499
408
[foo]
500
 
key_id = 788cd77115cd0bb7b2d5e0ae8496f6b48149d5e712c652076b1fd2d957ef7c1f
501
409
fingerprint =  7788 2722 5BA7 DE53 9C5A  7CFA 59CF F7CD BD9A 5920
502
410
secret =
503
411
        hQIOA6QdEjBs2L/HEAf/TCyrDe5Xnm9esa+Pb/vWF9CUqfn4srzVgSu234
516
424
        4T2zw4dxS5NswXWU0sVEXxjs6PYxuIiCTL7vdpx8QjBkrPWDrAbcMyBr2O
517
425
        QlnHIvPzEArRQLo=
518
426
host = foo.example.org
519
 
interval = PT1M
 
427
interval = 1m
520
428
 
521
429
# Client "bar"
522
430
[bar]
523
 
key_id = F90C7A81D72D1EA69A51031A91FF8885F36C8B46D155C8C58709A4C99AE9E361
524
431
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
525
432
secfile = /etc/mandos/bar-secret
526
 
timeout = PT15M
 
433
timeout = 15m
527
434
approved_by_default = False
528
 
approval_delay = PT30S
 
435
approval_delay = 30s
529
436
      </programlisting>
530
437
    </informalexample>
531
438
  </refsect1>
533
440
  <refsect1 id="see_also">
534
441
    <title>SEE ALSO</title>
535
442
    <para>
536
 
      <citerefentry><refentrytitle>intro</refentrytitle>
537
 
      <manvolnum>8mandos</manvolnum></citerefentry>,
538
443
      <citerefentry><refentrytitle>mandos-keygen</refentrytitle>
539
444
      <manvolnum>8</manvolnum></citerefentry>,
540
445
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
541
446
      <manvolnum>5</manvolnum></citerefentry>,
542
447
      <citerefentry><refentrytitle>mandos</refentrytitle>
543
 
      <manvolnum>8</manvolnum></citerefentry>,
544
 
      <citerefentry><refentrytitle>fping</refentrytitle>
545
448
      <manvolnum>8</manvolnum></citerefentry>
546
449
    </para>
547
 
    <variablelist>
548
 
      <varlistentry>
549
 
        <term>
550
 
          RFC 3339: <citetitle>Date and Time on the Internet:
551
 
          Timestamps</citetitle>
552
 
        </term>
553
 
      <listitem>
554
 
        <para>
555
 
          The time intervals are in the "duration" format, as
556
 
          specified in ABNF in Appendix A of RFC 3339.
557
 
        </para>
558
 
      </listitem>
559
 
      </varlistentry>
560
 
    </variablelist>
561
450
  </refsect1>
562
451
</refentry>
563
452
<!-- Local Variables: -->