/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to clients.conf

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
# values, so uncomment and change them if you want different ones.
3
3
[DEFAULT]
4
4
 
5
 
# How long until a client is considered invalid - that is, ineligible
6
 
# to get the data this server holds.
7
 
;timeout = 1h
 
5
# How long until a client is disabled and not be allowed to get the
 
6
# data this server holds.
 
7
;timeout = PT5M
8
8
 
9
9
# How often to run the checker to confirm that a client is still up.
10
10
# Note: a new checker will not be started if an old one is still
11
11
# running.  The server will wait for a checker to complete until the
12
 
# above "timeout" occurs, at which time the client will be marked
13
 
# invalid, and any running checker killed.
14
 
;interval = 5m
 
12
# above "timeout" occurs, at which time the client will be disabled,
 
13
# and any running checker killed.
 
14
;interval = PT2M
 
15
 
 
16
# Extended timeout is an added timeout that is given once after a
 
17
# password has been sent sucessfully to a client.  This allows for
 
18
# additional delays caused by file system checks and quota checks.
 
19
;extended_timeout = PT15M
15
20
 
16
21
# What command to run as "the checker".
17
22
;checker = fping -q -- %%(host)s
18
23
 
 
24
# Whether to approve a client by default after the approval delay.
 
25
;approved_by_default = True
 
26
 
 
27
# How long to wait for approval.
 
28
;approval_delay = PT0S
 
29
 
 
30
# How long one approval will last.
 
31
;approval_duration = PT1S
 
32
 
 
33
# Whether this client is enabled by default
 
34
;enabled = True
 
35
 
19
36
 
20
37
;####
21
38
;# Example client
61
78
;host = 192.0.2.3
62
79
;
63
80
;# Parameters from the [DEFAULT] section can be overridden per client.
64
 
;interval = 5m
 
81
;interval = PT1M
 
82
;
 
83
;# This client requires manual approval before it receives its secret.
 
84
;approved_by_default = False
 
85
;# Require approval within 30 seconds.
 
86
;approval_delay = PT30S
65
87
;####