/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

merge

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY CONFNAME "mandos-clients.conf">
6
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
7
 
<!ENTITY TIMESTAMP "2008-08-31">
 
6
<!ENTITY TIMESTAMP "2008-09-30">
 
7
<!ENTITY % common SYSTEM "common.ent">
 
8
%common;
8
9
]>
9
10
 
10
11
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
12
13
    <title>Mandos Manual</title>
13
14
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
14
15
    <productname>Mandos</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
16
    <productnumber>&version;</productnumber>
16
17
    <date>&TIMESTAMP;</date>
17
18
    <authorgroup>
18
19
      <author>
37
38
    </copyright>
38
39
    <xi:include href="legalnotice.xml"/>
39
40
  </refentryinfo>
40
 
 
 
41
  
41
42
  <refmeta>
42
43
    <refentrytitle>&CONFNAME;</refentrytitle>
43
44
    <manvolnum>5</manvolnum>
49
50
      Configuration file for the Mandos server
50
51
    </refpurpose>
51
52
  </refnamediv>
52
 
 
 
53
  
53
54
  <refsynopsisdiv>
54
55
    <synopsis>&CONFPATH;</synopsis>
55
56
  </refsynopsisdiv>
56
 
 
 
57
  
57
58
  <refsect1 id="description">
58
59
    <title>DESCRIPTION</title>
59
60
    <para>
93
94
      start time expansion, see <xref linkend="expansion"/>.
94
95
    </para>
95
96
    <para>
96
 
      Uknown options are ignored.  The used options are as follows:
 
97
      Unknown options are ignored.  The used options are as follows:
97
98
    </para>
98
 
 
 
99
    
99
100
    <variablelist>
100
 
 
 
101
      
101
102
      <varlistentry>
102
103
        <term><option>timeout<literal> = </literal><replaceable
103
104
        >TIME</replaceable></option></term>
104
105
        <listitem>
105
106
          <para>
 
107
            This option is <emphasis>optional</emphasis>.
 
108
          </para>
 
109
          <para>
106
110
            The timeout is how long the server will wait for a
107
111
            successful checker run until a client is considered
108
112
            invalid - that is, ineligible to get the data this server
123
127
          </para>
124
128
        </listitem>
125
129
      </varlistentry>
126
 
 
 
130
      
127
131
      <varlistentry>
128
132
        <term><option>interval<literal> = </literal><replaceable
129
133
        >TIME</replaceable></option></term>
130
134
        <listitem>
131
135
          <para>
 
136
            This option is <emphasis>optional</emphasis>.
 
137
          </para>
 
138
          <para>
132
139
            How often to run the checker to confirm that a client is
133
140
            still up.  <emphasis>Note:</emphasis> a new checker will
134
141
            not be started if an old one is still running.  The server
143
150
          </para>
144
151
        </listitem>
145
152
      </varlistentry>
146
 
 
 
153
      
147
154
      <varlistentry>
148
155
        <term><option>checker<literal> = </literal><replaceable
149
156
        >COMMAND</replaceable></option></term>
150
157
        <listitem>
151
158
          <para>
 
159
            This option is <emphasis>optional</emphasis>.
 
160
          </para>
 
161
          <para>
152
162
            This option allows you to override the default shell
153
163
            command that the server will use to check if the client is
154
164
            still up.  Any output of the command will be ignored, only
174
184
        ><replaceable>HEXSTRING</replaceable></option></term>
175
185
        <listitem>
176
186
          <para>
 
187
            This option is <emphasis>required</emphasis>.
 
188
          </para>
 
189
          <para>
177
190
            This option sets the OpenPGP fingerprint that identifies
178
191
            the public key that clients authenticate themselves with
179
192
            through TLS.  The string needs to be in hexidecimal form,
187
200
        >BASE64_ENCODED_DATA</replaceable></option></term>
188
201
        <listitem>
189
202
          <para>
 
203
            If this option is not specified, the <option
 
204
            >secfile</option> option is <emphasis>required</emphasis>
 
205
            to be present.
 
206
          </para>
 
207
          <para>
190
208
            If present, this option must be set to a string of
191
209
            base64-encoded binary data.  It will be decoded and sent
192
210
            to the client matching the above
204
222
            lines is that a line beginning with white space adds to
205
223
            the value of the previous line, RFC 822-style.
206
224
          </para>
207
 
          <para>
208
 
            If this option is not specified, the <option
209
 
            >secfile</option> option is used instead, but one of them
210
 
            <emphasis>must</emphasis> be present.
211
 
          </para>
212
225
        </listitem>
213
226
      </varlistentry>
214
 
 
 
227
      
215
228
      <varlistentry>
216
229
        <term><option>secfile<literal> = </literal><replaceable
217
230
        >FILENAME</replaceable></option></term>
218
231
        <listitem>
219
232
          <para>
 
233
            This option is only used if <option>secret</option> is not
 
234
            specified, in which case this option is
 
235
            <emphasis>required</emphasis>.
 
236
          </para>
 
237
          <para>
220
238
            Similar to the <option>secret</option>, except the secret
221
239
            data is in an external file.  The contents of the file
222
240
            should <emphasis>not</emphasis> be base64-encoded, but
223
241
            will be sent to clients verbatim.
224
242
          </para>
225
 
          <para>
226
 
            This option is only used, and <emphasis>must</emphasis> be
227
 
            present, if <option>secret</option> is not specified.
228
 
          </para>
229
243
        </listitem>
230
244
      </varlistentry>
231
 
 
 
245
      
232
246
      <varlistentry>
233
247
        <term><option><literal>host = </literal><replaceable
234
248
        >STRING</replaceable></option></term>
235
249
        <listitem>
236
250
          <para>
 
251
            This option is <emphasis>optional</emphasis>, but highly
 
252
            <emphasis>recommended</emphasis> unless the
 
253
            <option>checker</option> option is modified to a
 
254
            non-standard value without <quote>%(host)s</quote> in it.
 
255
          </para>
 
256
          <para>
237
257
            Host name for this client.  This is not used by the server
238
258
            directly, but can be, and is by default, used by the
239
259
            checker.  See the <option>checker</option> option.
294
314
        mode is needed to expose an error of this kind.
295
315
      </para>
296
316
    </refsect2>
297
 
 
 
317
    
298
318
  </refsect1>
299
319
  
300
320
  <refsect1 id="files">
354
374
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
355
375
secfile = /etc/mandos/bar-secret
356
376
timeout = 15m
357
 
 
358
377
      </programlisting>
359
378
    </informalexample>
360
379
  </refsect1>