/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

* initramfs-tools-hook: Only copy needed file; avoid copying Mandos
                        server config files.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY CONFNAME "mandos-clients.conf">
6
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
7
 
<!ENTITY TIMESTAMP "2008-08-31">
 
6
<!ENTITY TIMESTAMP "2009-09-17">
 
7
<!ENTITY % common SYSTEM "common.ent">
 
8
%common;
8
9
]>
9
10
 
10
11
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
12
13
    <title>Mandos Manual</title>
13
14
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
14
15
    <productname>Mandos</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
16
    <productnumber>&version;</productnumber>
16
17
    <date>&TIMESTAMP;</date>
17
18
    <authorgroup>
18
19
      <author>
32
33
    </authorgroup>
33
34
    <copyright>
34
35
      <year>2008</year>
 
36
      <year>2009</year>
35
37
      <holder>Teddy Hogeborn</holder>
36
38
      <holder>Björn Påhlsson</holder>
37
39
    </copyright>
38
40
    <xi:include href="legalnotice.xml"/>
39
41
  </refentryinfo>
40
 
 
 
42
  
41
43
  <refmeta>
42
44
    <refentrytitle>&CONFNAME;</refentrytitle>
43
45
    <manvolnum>5</manvolnum>
49
51
      Configuration file for the Mandos server
50
52
    </refpurpose>
51
53
  </refnamediv>
52
 
 
 
54
  
53
55
  <refsynopsisdiv>
54
56
    <synopsis>&CONFPATH;</synopsis>
55
57
  </refsynopsisdiv>
56
 
 
 
58
  
57
59
  <refsect1 id="description">
58
60
    <title>DESCRIPTION</title>
59
61
    <para>
93
95
      start time expansion, see <xref linkend="expansion"/>.
94
96
    </para>
95
97
    <para>
96
 
      Uknown options are ignored.  The used options are as follows:
 
98
      Unknown options are ignored.  The used options are as follows:
97
99
    </para>
98
 
 
 
100
    
99
101
    <variablelist>
100
 
 
 
102
      
101
103
      <varlistentry>
102
104
        <term><option>timeout<literal> = </literal><replaceable
103
105
        >TIME</replaceable></option></term>
104
106
        <listitem>
105
107
          <para>
106
 
            The timeout is how long the server will wait for a
107
 
            successful checker run until a client is considered
108
 
            invalid - that is, ineligible to get the data this server
109
 
            holds.  By default Mandos will use 1 hour.
 
108
            This option is <emphasis>optional</emphasis>.
 
109
          </para>
 
110
          <para>
 
111
            The timeout is how long the server will wait (for either a
 
112
            successful checker run or a client receiving its secret)
 
113
            until a client is considered invalid - that is, ineligible
 
114
            to get the data this server holds.  By default Mandos will
 
115
            use 1 hour.
110
116
          </para>
111
117
          <para>
112
118
            The <replaceable>TIME</replaceable> is specified as a
123
129
          </para>
124
130
        </listitem>
125
131
      </varlistentry>
126
 
 
 
132
      
127
133
      <varlistentry>
128
134
        <term><option>interval<literal> = </literal><replaceable
129
135
        >TIME</replaceable></option></term>
130
136
        <listitem>
131
137
          <para>
 
138
            This option is <emphasis>optional</emphasis>.
 
139
          </para>
 
140
          <para>
132
141
            How often to run the checker to confirm that a client is
133
142
            still up.  <emphasis>Note:</emphasis> a new checker will
134
143
            not be started if an old one is still running.  The server
143
152
          </para>
144
153
        </listitem>
145
154
      </varlistentry>
146
 
 
 
155
      
147
156
      <varlistentry>
148
157
        <term><option>checker<literal> = </literal><replaceable
149
158
        >COMMAND</replaceable></option></term>
150
159
        <listitem>
151
160
          <para>
 
161
            This option is <emphasis>optional</emphasis>.
 
162
          </para>
 
163
          <para>
152
164
            This option allows you to override the default shell
153
165
            command that the server will use to check if the client is
154
166
            still up.  Any output of the command will be ignored, only
159
171
            <varname>PATH</varname> will be searched.  The default
160
172
            value for the checker command is <quote><literal
161
173
            ><command>fping</command> <option>-q</option> <option
162
 
            >--</option> %(host)s</literal></quote>.
 
174
            >--</option> %%(host)s</literal></quote>.
163
175
          </para>
164
176
          <para>
165
177
            In addition to normal start time expansion, this option
174
186
        ><replaceable>HEXSTRING</replaceable></option></term>
175
187
        <listitem>
176
188
          <para>
 
189
            This option is <emphasis>required</emphasis>.
 
190
          </para>
 
191
          <para>
177
192
            This option sets the OpenPGP fingerprint that identifies
178
193
            the public key that clients authenticate themselves with
179
194
            through TLS.  The string needs to be in hexidecimal form,
187
202
        >BASE64_ENCODED_DATA</replaceable></option></term>
188
203
        <listitem>
189
204
          <para>
 
205
            If this option is not specified, the <option
 
206
            >secfile</option> option is <emphasis>required</emphasis>
 
207
            to be present.
 
208
          </para>
 
209
          <para>
190
210
            If present, this option must be set to a string of
191
211
            base64-encoded binary data.  It will be decoded and sent
192
212
            to the client matching the above
204
224
            lines is that a line beginning with white space adds to
205
225
            the value of the previous line, RFC 822-style.
206
226
          </para>
207
 
          <para>
208
 
            If this option is not specified, the <option
209
 
            >secfile</option> option is used instead, but one of them
210
 
            <emphasis>must</emphasis> be present.
211
 
          </para>
212
227
        </listitem>
213
228
      </varlistentry>
214
 
 
 
229
      
215
230
      <varlistentry>
216
231
        <term><option>secfile<literal> = </literal><replaceable
217
232
        >FILENAME</replaceable></option></term>
218
233
        <listitem>
219
234
          <para>
 
235
            This option is only used if <option>secret</option> is not
 
236
            specified, in which case this option is
 
237
            <emphasis>required</emphasis>.
 
238
          </para>
 
239
          <para>
220
240
            Similar to the <option>secret</option>, except the secret
221
241
            data is in an external file.  The contents of the file
222
242
            should <emphasis>not</emphasis> be base64-encoded, but
223
243
            will be sent to clients verbatim.
224
244
          </para>
225
245
          <para>
226
 
            This option is only used, and <emphasis>must</emphasis> be
227
 
            present, if <option>secret</option> is not specified.
 
246
            File names of the form <filename>~user/foo/bar</filename>
 
247
            and <filename>$<envar>ENVVAR</envar>/foo/bar</filename>
 
248
            are supported.
228
249
          </para>
229
250
        </listitem>
230
251
      </varlistentry>
231
 
 
 
252
      
232
253
      <varlistentry>
233
254
        <term><option><literal>host = </literal><replaceable
234
255
        >STRING</replaceable></option></term>
235
256
        <listitem>
236
257
          <para>
 
258
            This option is <emphasis>optional</emphasis>, but highly
 
259
            <emphasis>recommended</emphasis> unless the
 
260
            <option>checker</option> option is modified to a
 
261
            non-standard value without <quote>%%(host)s</quote> in it.
 
262
          </para>
 
263
          <para>
237
264
            Host name for this client.  This is not used by the server
238
265
            directly, but can be, and is by default, used by the
239
266
            checker.  See the <option>checker</option> option.
294
321
        mode is needed to expose an error of this kind.
295
322
      </para>
296
323
    </refsect2>
297
 
 
 
324
    
298
325
  </refsect1>
299
326
  
300
327
  <refsect1 id="files">
325
352
[DEFAULT]
326
353
timeout = 1h
327
354
interval = 5m
328
 
checker = fping -q -- %(host)s
 
355
checker = fping -q -- %%(host)s
329
356
 
330
357
# Client "foo"
331
358
[foo]
354
381
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
355
382
secfile = /etc/mandos/bar-secret
356
383
timeout = 15m
357
 
 
358
384
      </programlisting>
359
385
    </informalexample>
360
386
  </refsect1>