/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-24 20:25:54 UTC
  • mfrom: (634 trunk)
  • mto: This revision was merged to the branch mainline in revision 635.
  • Revision ID: teddy@recompile.se-20131024202554-nb00jm6khi280lum
Merge from trunk.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2022-04-24">
 
5
<!ENTITY TIMESTAMP "2013-10-23">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
37
37
      <year>2011</year>
38
38
      <year>2012</year>
39
39
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
 
      <year>2019</year>
46
40
      <holder>Teddy Hogeborn</holder>
47
41
      <holder>Björn Påhlsson</holder>
48
42
    </copyright>
112
106
      <replaceable>FD</replaceable></option></arg>
113
107
      <sbr/>
114
108
      <arg><option>--foreground</option></arg>
115
 
      <sbr/>
116
 
      <arg><option>--no-zeroconf</option></arg>
117
109
    </cmdsynopsis>
118
110
    <cmdsynopsis>
119
111
      <command>&COMMANDNAME;</command>
136
128
    <title>DESCRIPTION</title>
137
129
    <para>
138
130
      <command>&COMMANDNAME;</command> is a server daemon which
139
 
      handles incoming requests for passwords for a pre-defined list
140
 
      of client host computers. For an introduction, see
 
131
      handles incoming request for passwords for a pre-defined list of
 
132
      client host computers. For an introduction, see
141
133
      <citerefentry><refentrytitle>intro</refentrytitle>
142
134
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
143
135
      uses Zeroconf to announce itself on the local network, and uses
242
234
        <term><option>--priority <replaceable>
243
235
        PRIORITY</replaceable></option></term>
244
236
        <listitem>
245
 
          <xi:include href="mandos-options.xml" xpointer="priority"/>
 
237
          <xi:include href="mandos-options.xml"
 
238
                      xpointer="priority_compat"/>
246
239
        </listitem>
247
240
      </varlistentry>
248
241
      
330
323
        </listitem>
331
324
      </varlistentry>
332
325
      
333
 
      <varlistentry>
334
 
        <term><option>--no-zeroconf</option></term>
335
 
        <listitem>
336
 
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
337
 
        </listitem>
338
 
      </varlistentry>
339
 
      
340
326
    </variablelist>
341
327
  </refsect1>
342
328
  
362
348
      start a TLS protocol handshake with a slight quirk: the Mandos
363
349
      server program acts as a TLS <quote>client</quote> while the
364
350
      connecting Mandos client acts as a TLS <quote>server</quote>.
365
 
      The Mandos client must supply a TLS public key, and the key ID
366
 
      of this public key is used by the Mandos server to look up (in a
367
 
      list read from <filename>clients.conf</filename> at start time)
368
 
      which binary blob to give the client.  No other authentication
369
 
      or authorization is done by the server.
 
351
      The Mandos client must supply an OpenPGP certificate, and the
 
352
      fingerprint of this certificate is used by the Mandos server to
 
353
      look up (in a list read from <filename>clients.conf</filename>
 
354
      at start time) which binary blob to give the client.  No other
 
355
      authentication or authorization is done by the server.
370
356
    </para>
371
357
    <table>
372
358
      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>
392
378
        </emphasis></entry>
393
379
      </row>
394
380
      <row>
395
 
        <entry>Public key (part of TLS handshake)</entry>
 
381
        <entry>OpenPGP public key (part of TLS handshake)</entry>
396
382
        <entry>-><!-- &rarr; --></entry>
397
383
      </row>
398
384
      <row>
537
523
          <para>
538
524
            The file containing the process id of the
539
525
            <command>&COMMANDNAME;</command> process started last.
540
 
            <emphasis >Note:</emphasis> If the <filename
541
 
            class="directory">/run</filename> directory does not
542
 
            exist, <filename>/var/run/mandos.pid</filename> will be
543
 
            used instead.
544
526
          </para>
545
527
        </listitem>
546
528
      </varlistentry>
547
529
      <varlistentry>
 
530
        <term><filename class="devicefile">/dev/log</filename></term>
 
531
      </varlistentry>
 
532
      <varlistentry>
548
533
        <term><filename
549
534
        class="directory">/var/lib/mandos</filename></term>
550
535
        <listitem>
556
541
        </listitem>
557
542
      </varlistentry>
558
543
      <varlistentry>
559
 
        <term><filename class="devicefile">/dev/log</filename></term>
 
544
        <term><filename>/dev/log</filename></term>
560
545
        <listitem>
561
546
          <para>
562
547
            The Unix domain socket to where local syslog messages are
587
572
    <para>
588
573
      There is no fine-grained control over logging and debug output.
589
574
    </para>
590
 
    <xi:include href="bugs.xml"/>
 
575
    <para>
 
576
      This server does not check the expire time of clients’ OpenPGP
 
577
      keys.
 
578
    </para>
591
579
  </refsect1>
592
580
  
593
581
  <refsect1 id="example">
643
631
      <title>CLIENTS</title>
644
632
      <para>
645
633
        The server only gives out its stored data to clients which
646
 
        does have the correct key ID of the stored key ID.  This is
647
 
        guaranteed by the fact that the client sends its public key in
648
 
        the TLS handshake; this ensures it to be genuine.  The server
649
 
        computes the key ID of the key itself and looks up the key ID
650
 
        in its list of clients. The <filename>clients.conf</filename>
651
 
        file (see
 
634
        does have the OpenPGP key of the stored fingerprint.  This is
 
635
        guaranteed by the fact that the client sends its OpenPGP
 
636
        public key in the TLS handshake; this ensures it to be
 
637
        genuine.  The server computes the fingerprint of the key
 
638
        itself and looks up the fingerprint in its list of
 
639
        clients. The <filename>clients.conf</filename> file (see
652
640
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
653
641
        <manvolnum>5</manvolnum></citerefentry>)
654
642
        <emphasis>must</emphasis> be made non-readable by anyone
695
683
      </varlistentry>
696
684
      <varlistentry>
697
685
        <term>
698
 
          <ulink url="https://www.avahi.org/">Avahi</ulink>
 
686
          <ulink url="http://www.avahi.org/">Avahi</ulink>
699
687
        </term>
700
688
      <listitem>
701
689
        <para>
706
694
      </varlistentry>
707
695
      <varlistentry>
708
696
        <term>
709
 
          <ulink url="https://gnutls.org/">GnuTLS</ulink>
 
697
          <ulink url="http://www.gnu.org/software/gnutls/"
 
698
          >GnuTLS</ulink>
710
699
        </term>
711
700
      <listitem>
712
701
        <para>
713
702
          GnuTLS is the library this server uses to implement TLS for
714
703
          communicating securely with the client, and at the same time
715
 
          confidently get the client’s public key.
 
704
          confidently get the client’s public OpenPGP key.
716
705
        </para>
717
706
      </listitem>
718
707
      </varlistentry>
739
728
            <listitem>
740
729
              <para>
741
730
                The clients use IPv6 link-local addresses, which are
742
 
                immediately usable since a link-local address is
 
731
                immediately usable since a link-local addresses is
743
732
                automatically assigned to a network interfaces when it
744
733
                is brought up.
745
734
              </para>
750
739
      </varlistentry>
751
740
      <varlistentry>
752
741
        <term>
753
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
754
 
          Protocol Version 1.2</citetitle>
 
742
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
743
          Protocol Version 1.1</citetitle>
755
744
        </term>
756
745
      <listitem>
757
746
        <para>
758
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
747
          TLS 1.1 is the protocol implemented by GnuTLS.
759
748
        </para>
760
749
      </listitem>
761
750
      </varlistentry>
771
760
      </varlistentry>
772
761
      <varlistentry>
773
762
        <term>
774
 
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
775
 
          Layer Security (TLS) and Datagram Transport Layer Security
776
 
          (DTLS)</citetitle>
777
 
        </term>
778
 
      <listitem>
779
 
        <para>
780
 
          This is implemented by GnuTLS version 3.6.6 and is, if
781
 
          present, used by this server so that raw public keys can be
782
 
          used.
783
 
        </para>
784
 
      </listitem>
785
 
      </varlistentry>
786
 
      <varlistentry>
787
 
        <term>
788
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
789
 
          Security (TLS) Authentication</citetitle>
790
 
        </term>
791
 
      <listitem>
792
 
        <para>
793
 
          This is implemented by GnuTLS before version 3.6.0 and is,
794
 
          if present, used by this server so that OpenPGP keys can be
795
 
          used.
 
763
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
764
          Security</citetitle>
 
765
        </term>
 
766
      <listitem>
 
767
        <para>
 
768
          This is implemented by GnuTLS and used by this server so
 
769
          that OpenPGP keys can be used.
796
770
        </para>
797
771
      </listitem>
798
772
      </varlistentry>