/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2009-09-08 04:41:37 UTC
  • Revision ID: teddy@fukt.bsnet.se-20090908044137-4cxubotvn4etoxxl
* plugins.d/mandos-client.c (main): Bug fix: Check result of setgid().
                                    Bug fix: If taking down network
                                    interface, do not drop privileges
                                    completely; save them and reassert
                                    privileges when needed.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY CONFNAME "mandos-clients.conf">
6
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
7
 
<!ENTITY TIMESTAMP "2008-08-31">
 
6
<!ENTITY TIMESTAMP "2009-02-15">
 
7
<!ENTITY % common SYSTEM "common.ent">
 
8
%common;
8
9
]>
9
10
 
10
11
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
12
13
    <title>Mandos Manual</title>
13
14
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
14
15
    <productname>Mandos</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
16
    <productnumber>&version;</productnumber>
16
17
    <date>&TIMESTAMP;</date>
17
18
    <authorgroup>
18
19
      <author>
32
33
    </authorgroup>
33
34
    <copyright>
34
35
      <year>2008</year>
 
36
      <year>2009</year>
35
37
      <holder>Teddy Hogeborn</holder>
36
38
      <holder>Björn Påhlsson</holder>
37
39
    </copyright>
38
40
    <xi:include href="legalnotice.xml"/>
39
41
  </refentryinfo>
40
 
 
 
42
  
41
43
  <refmeta>
42
44
    <refentrytitle>&CONFNAME;</refentrytitle>
43
45
    <manvolnum>5</manvolnum>
49
51
      Configuration file for the Mandos server
50
52
    </refpurpose>
51
53
  </refnamediv>
52
 
 
 
54
  
53
55
  <refsynopsisdiv>
54
56
    <synopsis>&CONFPATH;</synopsis>
55
57
  </refsynopsisdiv>
56
 
 
 
58
  
57
59
  <refsect1 id="description">
58
60
    <title>DESCRIPTION</title>
59
61
    <para>
93
95
      start time expansion, see <xref linkend="expansion"/>.
94
96
    </para>
95
97
    <para>
96
 
      Uknown options are ignored.  The used options are as follows:
 
98
      Unknown options are ignored.  The used options are as follows:
97
99
    </para>
98
 
 
 
100
    
99
101
    <variablelist>
100
 
 
 
102
      
101
103
      <varlistentry>
102
104
        <term><option>timeout<literal> = </literal><replaceable
103
105
        >TIME</replaceable></option></term>
104
106
        <listitem>
105
107
          <para>
 
108
            This option is <emphasis>optional</emphasis>.
 
109
          </para>
 
110
          <para>
106
111
            The timeout is how long the server will wait for a
107
112
            successful checker run until a client is considered
108
113
            invalid - that is, ineligible to get the data this server
123
128
          </para>
124
129
        </listitem>
125
130
      </varlistentry>
126
 
 
 
131
      
127
132
      <varlistentry>
128
133
        <term><option>interval<literal> = </literal><replaceable
129
134
        >TIME</replaceable></option></term>
130
135
        <listitem>
131
136
          <para>
 
137
            This option is <emphasis>optional</emphasis>.
 
138
          </para>
 
139
          <para>
132
140
            How often to run the checker to confirm that a client is
133
141
            still up.  <emphasis>Note:</emphasis> a new checker will
134
142
            not be started if an old one is still running.  The server
143
151
          </para>
144
152
        </listitem>
145
153
      </varlistentry>
146
 
 
 
154
      
147
155
      <varlistentry>
148
156
        <term><option>checker<literal> = </literal><replaceable
149
157
        >COMMAND</replaceable></option></term>
150
158
        <listitem>
151
159
          <para>
 
160
            This option is <emphasis>optional</emphasis>.
 
161
          </para>
 
162
          <para>
152
163
            This option allows you to override the default shell
153
164
            command that the server will use to check if the client is
154
165
            still up.  Any output of the command will be ignored, only
159
170
            <varname>PATH</varname> will be searched.  The default
160
171
            value for the checker command is <quote><literal
161
172
            ><command>fping</command> <option>-q</option> <option
162
 
            >--</option> %(host)s</literal></quote>.
 
173
            >--</option> %%(host)s</literal></quote>.
163
174
          </para>
164
175
          <para>
165
176
            In addition to normal start time expansion, this option
174
185
        ><replaceable>HEXSTRING</replaceable></option></term>
175
186
        <listitem>
176
187
          <para>
 
188
            This option is <emphasis>required</emphasis>.
 
189
          </para>
 
190
          <para>
177
191
            This option sets the OpenPGP fingerprint that identifies
178
192
            the public key that clients authenticate themselves with
179
193
            through TLS.  The string needs to be in hexidecimal form,
187
201
        >BASE64_ENCODED_DATA</replaceable></option></term>
188
202
        <listitem>
189
203
          <para>
 
204
            If this option is not specified, the <option
 
205
            >secfile</option> option is <emphasis>required</emphasis>
 
206
            to be present.
 
207
          </para>
 
208
          <para>
190
209
            If present, this option must be set to a string of
191
210
            base64-encoded binary data.  It will be decoded and sent
192
211
            to the client matching the above
204
223
            lines is that a line beginning with white space adds to
205
224
            the value of the previous line, RFC 822-style.
206
225
          </para>
207
 
          <para>
208
 
            If this option is not specified, the <option
209
 
            >secfile</option> option is used instead, but one of them
210
 
            <emphasis>must</emphasis> be present.
211
 
          </para>
212
226
        </listitem>
213
227
      </varlistentry>
214
 
 
 
228
      
215
229
      <varlistentry>
216
230
        <term><option>secfile<literal> = </literal><replaceable
217
231
        >FILENAME</replaceable></option></term>
218
232
        <listitem>
219
233
          <para>
 
234
            This option is only used if <option>secret</option> is not
 
235
            specified, in which case this option is
 
236
            <emphasis>required</emphasis>.
 
237
          </para>
 
238
          <para>
220
239
            Similar to the <option>secret</option>, except the secret
221
240
            data is in an external file.  The contents of the file
222
241
            should <emphasis>not</emphasis> be base64-encoded, but
223
242
            will be sent to clients verbatim.
224
243
          </para>
225
244
          <para>
226
 
            This option is only used, and <emphasis>must</emphasis> be
227
 
            present, if <option>secret</option> is not specified.
 
245
            File names of the form <filename>~user/foo/bar</filename>
 
246
            and <filename>$<envar>ENVVAR</envar>/foo/bar</filename>
 
247
            are supported.
228
248
          </para>
229
249
        </listitem>
230
250
      </varlistentry>
231
 
 
 
251
      
232
252
      <varlistentry>
233
253
        <term><option><literal>host = </literal><replaceable
234
254
        >STRING</replaceable></option></term>
235
255
        <listitem>
236
256
          <para>
 
257
            This option is <emphasis>optional</emphasis>, but highly
 
258
            <emphasis>recommended</emphasis> unless the
 
259
            <option>checker</option> option is modified to a
 
260
            non-standard value without <quote>%%(host)s</quote> in it.
 
261
          </para>
 
262
          <para>
237
263
            Host name for this client.  This is not used by the server
238
264
            directly, but can be, and is by default, used by the
239
265
            checker.  See the <option>checker</option> option.
294
320
        mode is needed to expose an error of this kind.
295
321
      </para>
296
322
    </refsect2>
297
 
 
 
323
    
298
324
  </refsect1>
299
325
  
300
326
  <refsect1 id="files">
325
351
[DEFAULT]
326
352
timeout = 1h
327
353
interval = 5m
328
 
checker = fping -q -- %(host)s
 
354
checker = fping -q -- %%(host)s
329
355
 
330
356
# Client "foo"
331
357
[foo]
354
380
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
355
381
secfile = /etc/mandos/bar-secret
356
382
timeout = 15m
357
 
 
358
383
      </programlisting>
359
384
    </informalexample>
360
385
  </refsect1>