/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-05 16:24:33 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080905162433-58fgx91ae9foxlh1
* Makefile (PIDDIR, USER, GROUP): Removed.
  (install-server): Do not create $(PIDDIR).
  (uninstall-server): Do not remove $(PIDDIR).

* init.d-mandos (PIDFILE): Changed to "/var/run/$NAME.pid".

* mandos (IPv6_TCPServer.enabled): New attribute.
  (IPv6_TCPServer.server_activate): Only call method of superclass if
                                    "self.enabled".
  (IPv6_TCPServer.enable): Set "self.enabled" to True.
  (main): Create client Set() early.  Create IPv6_TCPServer object
          early.  Switch to user and group "mandos", "nobody" or
          65534, if possible.  Enable IPv6_TCPServer *after* switching
          user.

* mandos-keygen (KEYDIR): Changed to "/etc/keys/mandos".

* mandos.xml (FILES): Changed PID file.
  (SECURITY): The server does need to be privileged, but switches to a
              non-privileged user.

* plugin-runner.xml (EXAMPLE): Changed long example to something more
                               realistic.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
 
4
<!ENTITY VERSION "1.0">
4
5
<!ENTITY CONFNAME "mandos-clients.conf">
5
6
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
6
 
<!ENTITY TIMESTAMP "2009-09-17">
7
 
<!ENTITY % common SYSTEM "common.ent">
8
 
%common;
 
7
<!ENTITY TIMESTAMP "2008-09-04">
9
8
]>
10
9
 
11
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
13
12
    <title>Mandos Manual</title>
14
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
15
14
    <productname>Mandos</productname>
16
 
    <productnumber>&version;</productnumber>
 
15
    <productnumber>&VERSION;</productnumber>
17
16
    <date>&TIMESTAMP;</date>
18
17
    <authorgroup>
19
18
      <author>
33
32
    </authorgroup>
34
33
    <copyright>
35
34
      <year>2008</year>
36
 
      <year>2009</year>
37
35
      <holder>Teddy Hogeborn</holder>
38
36
      <holder>Björn Påhlsson</holder>
39
37
    </copyright>
40
38
    <xi:include href="legalnotice.xml"/>
41
39
  </refentryinfo>
42
 
  
 
40
 
43
41
  <refmeta>
44
42
    <refentrytitle>&CONFNAME;</refentrytitle>
45
43
    <manvolnum>5</manvolnum>
51
49
      Configuration file for the Mandos server
52
50
    </refpurpose>
53
51
  </refnamediv>
54
 
  
 
52
 
55
53
  <refsynopsisdiv>
56
54
    <synopsis>&CONFPATH;</synopsis>
57
55
  </refsynopsisdiv>
58
 
  
 
56
 
59
57
  <refsect1 id="description">
60
58
    <title>DESCRIPTION</title>
61
59
    <para>
97
95
    <para>
98
96
      Unknown options are ignored.  The used options are as follows:
99
97
    </para>
100
 
    
 
98
 
101
99
    <variablelist>
102
 
      
 
100
 
103
101
      <varlistentry>
104
102
        <term><option>timeout<literal> = </literal><replaceable
105
103
        >TIME</replaceable></option></term>
108
106
            This option is <emphasis>optional</emphasis>.
109
107
          </para>
110
108
          <para>
111
 
            The timeout is how long the server will wait (for either a
112
 
            successful checker run or a client receiving its secret)
113
 
            until a client is considered invalid - that is, ineligible
114
 
            to get the data this server holds.  By default Mandos will
115
 
            use 1 hour.
 
109
            The timeout is how long the server will wait for a
 
110
            successful checker run until a client is considered
 
111
            invalid - that is, ineligible to get the data this server
 
112
            holds.  By default Mandos will use 1 hour.
116
113
          </para>
117
114
          <para>
118
115
            The <replaceable>TIME</replaceable> is specified as a
129
126
          </para>
130
127
        </listitem>
131
128
      </varlistentry>
132
 
      
 
129
 
133
130
      <varlistentry>
134
131
        <term><option>interval<literal> = </literal><replaceable
135
132
        >TIME</replaceable></option></term>
152
149
          </para>
153
150
        </listitem>
154
151
      </varlistentry>
155
 
      
 
152
 
156
153
      <varlistentry>
157
154
        <term><option>checker<literal> = </literal><replaceable
158
155
        >COMMAND</replaceable></option></term>
171
168
            <varname>PATH</varname> will be searched.  The default
172
169
            value for the checker command is <quote><literal
173
170
            ><command>fping</command> <option>-q</option> <option
174
 
            >--</option> %%(host)s</literal></quote>.
 
171
            >--</option> %(host)s</literal></quote>.
175
172
          </para>
176
173
          <para>
177
174
            In addition to normal start time expansion, this option
226
223
          </para>
227
224
        </listitem>
228
225
      </varlistentry>
229
 
      
 
226
 
230
227
      <varlistentry>
231
228
        <term><option>secfile<literal> = </literal><replaceable
232
229
        >FILENAME</replaceable></option></term>
242
239
            should <emphasis>not</emphasis> be base64-encoded, but
243
240
            will be sent to clients verbatim.
244
241
          </para>
245
 
          <para>
246
 
            File names of the form <filename>~user/foo/bar</filename>
247
 
            and <filename>$<envar>ENVVAR</envar>/foo/bar</filename>
248
 
            are supported.
249
 
          </para>
250
242
        </listitem>
251
243
      </varlistentry>
252
 
      
 
244
 
253
245
      <varlistentry>
254
246
        <term><option><literal>host = </literal><replaceable
255
247
        >STRING</replaceable></option></term>
258
250
            This option is <emphasis>optional</emphasis>, but highly
259
251
            <emphasis>recommended</emphasis> unless the
260
252
            <option>checker</option> option is modified to a
261
 
            non-standard value without <quote>%%(host)s</quote> in it.
 
253
            non-standard value without <quote>%(host)s</quote> in it.
262
254
          </para>
263
255
          <para>
264
256
            Host name for this client.  This is not used by the server
321
313
        mode is needed to expose an error of this kind.
322
314
      </para>
323
315
    </refsect2>
324
 
    
 
316
 
325
317
  </refsect1>
326
318
  
327
319
  <refsect1 id="files">
352
344
[DEFAULT]
353
345
timeout = 1h
354
346
interval = 5m
355
 
checker = fping -q -- %%(host)s
 
347
checker = fping -q -- %(host)s
356
348
 
357
349
# Client "foo"
358
350
[foo]
381
373
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
382
374
secfile = /etc/mandos/bar-secret
383
375
timeout = 15m
 
376
 
384
377
      </programlisting>
385
378
    </informalexample>
386
379
  </refsect1>