/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-03 19:13:50 UTC
  • mfrom: (24.1.83 mandos)
  • Revision ID: teddy@fukt.bsnet.se-20080903191350-la2y2wuxt67xjslb
* mandos-keygen.xml (BUGS): Commented out.

* mandos.xml (BUGS): Note non-checking of expire time of OpenPGP keys.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
 
4
<!ENTITY VERSION "1.0">
4
5
<!ENTITY CONFNAME "mandos-clients.conf">
5
6
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
6
 
<!ENTITY TIMESTAMP "2009-02-15">
7
 
<!ENTITY % common SYSTEM "common.ent">
8
 
%common;
 
7
<!ENTITY TIMESTAMP "2008-08-31">
9
8
]>
10
9
 
11
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
13
12
    <title>Mandos Manual</title>
14
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
15
14
    <productname>Mandos</productname>
16
 
    <productnumber>&version;</productnumber>
 
15
    <productnumber>&VERSION;</productnumber>
17
16
    <date>&TIMESTAMP;</date>
18
17
    <authorgroup>
19
18
      <author>
33
32
    </authorgroup>
34
33
    <copyright>
35
34
      <year>2008</year>
36
 
      <year>2009</year>
37
35
      <holder>Teddy Hogeborn</holder>
38
36
      <holder>Björn Påhlsson</holder>
39
37
    </copyright>
40
38
    <xi:include href="legalnotice.xml"/>
41
39
  </refentryinfo>
42
 
  
 
40
 
43
41
  <refmeta>
44
42
    <refentrytitle>&CONFNAME;</refentrytitle>
45
43
    <manvolnum>5</manvolnum>
51
49
      Configuration file for the Mandos server
52
50
    </refpurpose>
53
51
  </refnamediv>
54
 
  
 
52
 
55
53
  <refsynopsisdiv>
56
54
    <synopsis>&CONFPATH;</synopsis>
57
55
  </refsynopsisdiv>
58
 
  
 
56
 
59
57
  <refsect1 id="description">
60
58
    <title>DESCRIPTION</title>
61
59
    <para>
95
93
      start time expansion, see <xref linkend="expansion"/>.
96
94
    </para>
97
95
    <para>
98
 
      Unknown options are ignored.  The used options are as follows:
 
96
      Uknown options are ignored.  The used options are as follows:
99
97
    </para>
100
 
    
 
98
 
101
99
    <variablelist>
102
 
      
 
100
 
103
101
      <varlistentry>
104
102
        <term><option>timeout<literal> = </literal><replaceable
105
103
        >TIME</replaceable></option></term>
106
104
        <listitem>
107
105
          <para>
108
 
            This option is <emphasis>optional</emphasis>.
109
 
          </para>
110
 
          <para>
111
106
            The timeout is how long the server will wait for a
112
107
            successful checker run until a client is considered
113
108
            invalid - that is, ineligible to get the data this server
128
123
          </para>
129
124
        </listitem>
130
125
      </varlistentry>
131
 
      
 
126
 
132
127
      <varlistentry>
133
128
        <term><option>interval<literal> = </literal><replaceable
134
129
        >TIME</replaceable></option></term>
135
130
        <listitem>
136
131
          <para>
137
 
            This option is <emphasis>optional</emphasis>.
138
 
          </para>
139
 
          <para>
140
132
            How often to run the checker to confirm that a client is
141
133
            still up.  <emphasis>Note:</emphasis> a new checker will
142
134
            not be started if an old one is still running.  The server
151
143
          </para>
152
144
        </listitem>
153
145
      </varlistentry>
154
 
      
 
146
 
155
147
      <varlistentry>
156
148
        <term><option>checker<literal> = </literal><replaceable
157
149
        >COMMAND</replaceable></option></term>
158
150
        <listitem>
159
151
          <para>
160
 
            This option is <emphasis>optional</emphasis>.
161
 
          </para>
162
 
          <para>
163
152
            This option allows you to override the default shell
164
153
            command that the server will use to check if the client is
165
154
            still up.  Any output of the command will be ignored, only
170
159
            <varname>PATH</varname> will be searched.  The default
171
160
            value for the checker command is <quote><literal
172
161
            ><command>fping</command> <option>-q</option> <option
173
 
            >--</option> %%(host)s</literal></quote>.
 
162
            >--</option> %(host)s</literal></quote>.
174
163
          </para>
175
164
          <para>
176
165
            In addition to normal start time expansion, this option
185
174
        ><replaceable>HEXSTRING</replaceable></option></term>
186
175
        <listitem>
187
176
          <para>
188
 
            This option is <emphasis>required</emphasis>.
189
 
          </para>
190
 
          <para>
191
177
            This option sets the OpenPGP fingerprint that identifies
192
178
            the public key that clients authenticate themselves with
193
179
            through TLS.  The string needs to be in hexidecimal form,
201
187
        >BASE64_ENCODED_DATA</replaceable></option></term>
202
188
        <listitem>
203
189
          <para>
204
 
            If this option is not specified, the <option
205
 
            >secfile</option> option is <emphasis>required</emphasis>
206
 
            to be present.
207
 
          </para>
208
 
          <para>
209
190
            If present, this option must be set to a string of
210
191
            base64-encoded binary data.  It will be decoded and sent
211
192
            to the client matching the above
223
204
            lines is that a line beginning with white space adds to
224
205
            the value of the previous line, RFC 822-style.
225
206
          </para>
 
207
          <para>
 
208
            If this option is not specified, the <option
 
209
            >secfile</option> option is used instead, but one of them
 
210
            <emphasis>must</emphasis> be present.
 
211
          </para>
226
212
        </listitem>
227
213
      </varlistentry>
228
 
      
 
214
 
229
215
      <varlistentry>
230
216
        <term><option>secfile<literal> = </literal><replaceable
231
217
        >FILENAME</replaceable></option></term>
232
218
        <listitem>
233
219
          <para>
234
 
            This option is only used if <option>secret</option> is not
235
 
            specified, in which case this option is
236
 
            <emphasis>required</emphasis>.
237
 
          </para>
238
 
          <para>
239
220
            Similar to the <option>secret</option>, except the secret
240
221
            data is in an external file.  The contents of the file
241
222
            should <emphasis>not</emphasis> be base64-encoded, but
242
223
            will be sent to clients verbatim.
243
224
          </para>
244
225
          <para>
245
 
            File names of the form <filename>~user/foo/bar</filename>
246
 
            and <filename>$<envar>ENVVAR</envar>/foo/bar</filename>
247
 
            are supported.
 
226
            This option is only used, and <emphasis>must</emphasis> be
 
227
            present, if <option>secret</option> is not specified.
248
228
          </para>
249
229
        </listitem>
250
230
      </varlistentry>
251
 
      
 
231
 
252
232
      <varlistentry>
253
233
        <term><option><literal>host = </literal><replaceable
254
234
        >STRING</replaceable></option></term>
255
235
        <listitem>
256
236
          <para>
257
 
            This option is <emphasis>optional</emphasis>, but highly
258
 
            <emphasis>recommended</emphasis> unless the
259
 
            <option>checker</option> option is modified to a
260
 
            non-standard value without <quote>%%(host)s</quote> in it.
261
 
          </para>
262
 
          <para>
263
237
            Host name for this client.  This is not used by the server
264
238
            directly, but can be, and is by default, used by the
265
239
            checker.  See the <option>checker</option> option.
320
294
        mode is needed to expose an error of this kind.
321
295
      </para>
322
296
    </refsect2>
323
 
    
 
297
 
324
298
  </refsect1>
325
299
  
326
300
  <refsect1 id="files">
351
325
[DEFAULT]
352
326
timeout = 1h
353
327
interval = 5m
354
 
checker = fping -q -- %%(host)s
 
328
checker = fping -q -- %(host)s
355
329
 
356
330
# Client "foo"
357
331
[foo]
380
354
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
381
355
secfile = /etc/mandos/bar-secret
382
356
timeout = 15m
 
357
 
383
358
      </programlisting>
384
359
    </informalexample>
385
360
  </refsect1>