/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-08-20 03:22:45 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080820032245-ue341vdvzqdsg68l
* mandos (string_to_delta): Accept a whitespace-separated sequence of
                            intervals and return the sum.  This allows
                            "5m 30s" to be valid.
  (main): Provide an empty default value for the "host" option for
          "clients.conf", making it no longer a required option.

* mandos-clients.conf.xml: Removed <?xml-stylesheet>.
  (DESCRIPTION): Improved text.
  (DEFAULTS): Renamed to "OPTIONS".  Improved text for "timeout" and
              "interval".
  (CLIENTS): Removed; content moved to "OPTIONS".
  (EXPANSION): New section; document %(foo)s and %%(foo)s expansion.
  (FILES): Moved to before "EXAMPLES".
  (BUGS): New section.
  (EXAMPLES): Renamed to "EXAMPLE", as per man-pages(7).  Renamed
              example section "example_client" to "foo".  Changed
              example "host" setting to a more reasonable example host
              name.  Added additional example client "bar".

* mandos-conf.xml: Removed OVERVIEW entity.

Show diffs side-by-side

added added

removed removed

Lines of Context:
mandos-clients.conf.xml
88
88
      server.
89
89
    </para>
90
90
    <para>
91
 
      The format starts with a <literal>[<replaceable>section
92
 
      header</replaceable>]</literal> which is either
 
91
      The format starts with a section under [] which is either
93
92
      <literal>[DEFAULT]</literal> or <literal>[<replaceable>client
94
 
      name</replaceable>]</literal>.  The <replaceable>client
95
 
      name</replaceable> can be anything, and is not tied to a host
96
 
      name.  Following the section header is any number of
97
 
      <quote><varname><replaceable>option</replaceable
 
93
      name</replaceable>]</literal>.  Following the section is any
 
94
      number of <quote><varname><replaceable>option</replaceable
98
95
      ></varname>=<replaceable>value</replaceable></quote> entries,
99
96
      with continuations in the style of RFC 822.  <quote><varname
100
97
      ><replaceable>option</replaceable></varname>: <replaceable
101
98
      >value</replaceable></quote> is also accepted.  Note that
102
99
      leading whitespace is removed from values.  Values can contain
103
100
      format strings which refer to other values in the same section,
104
 
      or values in the <quote>DEFAULT</quote> section (see <xref
105
 
      linkend="expansion"/>).  Lines beginning with <quote>#</quote>
106
 
      or <quote>;</quote> are ignored and may be used to provide
107
 
      comments.
 
101
      or values in the <quote>DEFAULT</quote> section.  Lines
 
102
      beginning with <quote>#</quote> or <quote>;</quote> are ignored
 
103
      and may be used to provide comments.
108
104
    </para>
109
105
  </refsect1>
110
106
  
169
165
      <varlistentry>
170
166
        <term><literal>checker</literal></term>
171
167
        <listitem>
172
 
          <synopsis><literal>checker = </literal><replaceable
173
 
          >COMMAND</replaceable>
174
 
          </synopsis>
175
168
          <para>
176
169
            This option allows you to override the default shell
177
 
            command that the server will use to check if the client is
178
 
            still up.  The output of the command will be ignored, only
179
 
            the exit code is checked.  The command will be run using
180
 
            <quote><command><filename>/bin/sh</filename>
181
 
            <option>-c</option></command></quote>.  The default
182
 
            command is <quote><literal><command>fping</command>
183
 
            <option>-q</option> <option>--</option>
184
 
            %(host)s</literal></quote>.
185
 
          </para>
186
 
          <para>
187
 
            In addition to normal start time expansion, this option
188
 
            will also be subject to runtime expansion; see <xref
189
 
            linkend="expansion"/>.
 
170
            command that the server will use to check up if the client
 
171
            is still up. By default mandos will "fping -q -- %%(host)s"
190
172
          </para>
191
173
        </listitem>
192
174
      </varlistentry>
194
176
      <varlistentry>
195
177
        <term><literal>fingerprint</literal></term>
196
178
        <listitem>
197
 
          <synopsis><literal>fingerprint = </literal><replaceable
198
 
          >HEXSTRING</replaceable>
199
 
          </synopsis>
200
179
          <para>
201
 
            This option sets the OpenPGP fingerprint that identifies
202
 
            the public key that clients authenticate themselves with
203
 
            through TLS.  The string needs to be in hexidecimal form,
204
 
            but spaces or upper/lower case are not significant.
 
180
            This option sets the openpgp fingerprint that identifies
 
181
            the public certificate that clients authenticates themself
 
182
            through gnutls. The string need to be in hex-decimal form.
205
183
          </para>
206
184
        </listitem>
207
185
      </varlistentry>
209
187
      <varlistentry>
210
188
        <term><literal>secret</literal></term>
211
189
        <listitem>
212
 
          <synopsis><literal>secret = </literal><replaceable
213
 
          >BASE64_ENCODED_DATA</replaceable>
214
 
          </synopsis>
215
 
          <para>
216
 
            If present, this option must be set to a string of
217
 
            base64-encoded binary data.  It will be decoded and sent
218
 
            to the client matching the above
219
 
            <option>fingerprint</option>.  This should, of course, be
220
 
            OpenPGP encrypted data, decryptable only by the client.
221
 
<!--        The program <citerefentry><refentrytitle><command -->
222
 
<!--        >mandos-keygen</command></refentrytitle><manvolnum -->
223
 
<!--        >8</manvolnum></citerefentry> can be used to generate it, -->
224
 
<!--        if desired. -->
225
 
          </para>
226
 
          <para>
227
 
            Note: this value of this option will probably run over
228
 
            many lines, and will then have to use the fact that a line
229
 
            beginning with white space adds to the value of the
230
 
            previous line, RFC 822-style.
 
190
          <para>
 
191
            Base 64 encoded OpenPGP encrypted password encrypted by
 
192
            the clients openpgp certificate.
231
193
          </para>
232
194
        </listitem>
233
195
      </varlistentry>
280
242
      There are two forms of expansion: Start time expansion and
281
243
      runtime expansion.
282
244
    </para>
283
 
    <refsect2 id="start_time_expansion">
 
245
    <refsect2>
284
246
      <title>START TIME EXPANSION</title>
285
247
      <para>
286
248
        Any string in an option value of the form
298
260
        entered.
299
261
      </para>
300
262
    </refsect2>
301
 
    <refsect2 id="runtime_expansion">
 
263
    <refsect2>
302
264
      <title>RUNTIME EXPANSION</title>
303
265
      <para>
304
266
        This is currently only done for the <varname>checker</varname>
355
317
[DEFAULT]
356
318
timeout = 1h
357
319
interval = 5m
358
 
checker = fping -q -- %(host)s
 
320
checker = fping -q -- %%(host)s
359
321
 
360
322
# Client "foo"
361
323
[foo]