/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to clients.conf

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
4
4
 
5
5
# How long until a client is disabled and not be allowed to get the
6
6
# data this server holds.
7
 
;timeout = 5m
 
7
;timeout = PT5M
8
8
 
9
9
# How often to run the checker to confirm that a client is still up.
10
10
# Note: a new checker will not be started if an old one is still
11
11
# running.  The server will wait for a checker to complete until the
12
12
# above "timeout" occurs, at which time the client will be disabled,
13
13
# and any running checker killed.
14
 
;interval = 2m
 
14
;interval = PT2M
15
15
 
16
16
# Extended timeout is an added timeout that is given once after a
17
17
# password has been sent sucessfully to a client.  This allows for
18
 
# additional delays incurred by file system checks and quota checks.
19
 
;extended_timeout = 15m
 
18
# additional delays caused by file system checks and quota checks.
 
19
;extended_timeout = PT15M
20
20
 
21
21
# What command to run as "the checker".
22
22
;checker = fping -q -- %%(host)s
25
25
;approved_by_default = True
26
26
 
27
27
# How long to wait for approval.
28
 
;approval_delay = 0s
 
28
;approval_delay = PT0S
29
29
 
30
30
# How long one approval will last.
31
 
;approval_duration = 1s
 
31
;approval_duration = PT1S
 
32
 
 
33
# Whether this client is enabled by default
 
34
;enabled = True
32
35
 
33
36
 
34
37
;####
75
78
;host = 192.0.2.3
76
79
;
77
80
;# Parameters from the [DEFAULT] section can be overridden per client.
78
 
;interval = 1m
 
81
;interval = PT1M
79
82
;
80
83
;# This client requires manual approval before it receives its secret.
81
84
;approved_by_default = False
82
85
;# Require approval within 30 seconds.
83
 
;approval_delay = 30s
 
86
;approval_delay = PT30S
84
87
;####