← Back to branch summary

~vorlon/ubuntu/oneiric/cyrus-sasl2/multiarch

« back to all changes in this revision

Viewing changes to debian/doc/saslauthd.conf.5

  • Committer: Bazaar Package Importer
  • Author(s): Steve Langasek
  • Date: 2009-06-04 16:03:06 UTC
  • mfrom: (2.1.4 squeeze)
  • Revision ID: james.westby@ubuntu.com-20090604160306-wioioa3amb1up5ws
Tags: 2.1.23.dfsg1-1ubuntu1
* Merge from Debian unstable, remaining changes:
  - Add sysv-rc dependency
  - Since the libsasl2 package description so clearly
    states that the library is "completely useless" without one of the
    libsasl2-modules packages, upgrade the Recommends on a single package
    to an ORd Depends on the complete list of them.
  - Prepend XS-Original- to Vcs-{Browser,Svn}.
  - Remove stop links from rc0 and rc6
  - stop service only when switching to single user mode.
* Dropped changes, superseded in Debian:
  - build-depend on libdb4.6-dev; Debian has moved on to db4.7
  - Added debian/patches/021ubuntu-fix-threaded-sasl.dpatch
    - Fixes SEGV in threaded SASL applications.
* debian/rules: remove all the build-*stamp files on clean, not just
  build-stamp.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/doc/saslauthd.conf.5
 
1
.\"     Title: saslauthd.conf
 
2
.\"    Author: 
 
3
.\" Generator: DocBook XSL Stylesheets v1.73.2 <http://docbook.sf.net/>
 
4
.\"      Date: 12/14/2008
 
5
.\"    Manual: 
 
6
.\"    Source: 
 
7
.\"
 
8
.TH "SASLAUTHD\&.CONF" "5" "12/14/2008" "" ""
 
9
.\" disable hyphenation
 
10
.nh
 
11
.\" disable justification (adjust text to left margin only)
 
12
.ad l
 
13
.SH "NAME"
 
14
saslauthd.conf \- saslauthd LDAP configuration file
 
15
.SH "SYNOPSIS"
 
16
.HP 10
 
17
\fBsaslauthd\fR [\-a\ ldap]
 
18
.HP 10
 
19
\fBsaslauthd\fR [\-a\ ldap] [\-O\ \fI/etc/saslauthd\&.conf\fR]
 
20
.SH "DESCRIPTION"
 
21
.PP
 
22
This document describes LDAP configuration options for the Cyrus SASL password verification service
 
23
\fBsaslauthd\fR\&.
 
24
.PP
 
25
By default
 
26
\fBsaslauthd\fR
 
27
searches for LDAP configuration options in
 
28
\fI/usr/local/etc/saslauthd\&.conf\fR\&. This location can be overridden if the additional command line option
 
29
\fB\-O\fR
 
30
specifies an alternative path to the configuration file\&.
 
31
.SH "SYNTAX"
 
32
.PP
 
33
Do not use quotes (\e"\e\') in the parameter values\&.
 
34
.SH "OPTIONS"
 
35
.PP
 
36
The following are available LDAP parameters\&. The defaults are probably adequate for most installations\&. Only
 
37
\fI\fIldap_servers\fR\fR
 
38
may need to be specified\&.
 
39
.PP
 
40
\fIldap_auth_method\fR (default: \fBbind\fR|\fBfastbind\fR)
 
41
.RS 4
 
42
The bind method uses the LDAP bind facility to verify the password\&. The bind method is not available when
 
43
\fIldap_use_sasl\fR
 
44
is turned on\&. In that case saslauthd will use fastbind\&.
 
45
.PP
 
46
\fBbind\fR
 
47
.RS 4
 
48
\fBbind\fR
 
49
is the default auth method\&. When ldap_use_sasl is enabled, \'fastbind\' is the default\&.
 
50
.RE
 
51
.PP
 
52
\fBcustom\fR
 
53
.RS 4
 
54
The
 
55
\fBcustom\fR
 
56
method uses
 
57
\fIuserPassword\fR
 
58
attribute to verify the password\&. Supported hashes:
 
59
crypt,
 
60
md5, smd5,
 
61
sha
 
62
and
 
63
ssha\&.
 
64
Cleartext
 
65
is supported as well\&.
 
66
.RE
 
67
.PP
 
68
\fBfastbind\fR
 
69
.RS 4
 
70
The
 
71
\fBfastbind\fR
 
72
method \- when
 
73
\fIldap_use_sasl\fR
 
74
is
 
75
\fBno\fR
 
76
\- does away with the search and an extra anonymous bind in auth_bind, but makes two assumptions:
 
77
.sp
 
78
.RS 4
 
79
\h'-04' 1.\h'+02'Expanding the ldap_filter expression gives the user\'s fully\-qualified DN
 
80
.RE
 
81
.sp
 
82
.RS 4
 
83
\h'-04' 2.\h'+02'There is no cost to staying bound as a named user
 
84
.RE
 
85
.RE
 
86
.RE
 
87
.PP
 
88
\fIldap_bind_dn\fR (default: empty)
 
89
.RS 4
 
90
Specify
 
91
DN
 
92
(distinguished name) to bind to the LDAP directory\&. Do not specify this parameter for the anonymous bind\&.
 
93
.RE
 
94
.PP
 
95
\fIldap_bind_pw\fR (default: empty)
 
96
.RS 4
 
97
An alias for
 
98
\fIldap_password\fR\&.
 
99
.RE
 
100
.PP
 
101
\fIldap_default_domain\fR (default: empty)
 
102
.RS 4
 
103
An alias for
 
104
\fIldap_default_realm\fR\&.
 
105
.RE
 
106
.PP
 
107
\fIldap_default_realm\fR (default: empty)
 
108
.RS 4
 
109
The default realm is assigned to the
 
110
\fB%r\fR
 
111
token when realm is not available\&. See
 
112
\fIldap_filter\fR
 
113
for more\&.
 
114
.RE
 
115
.PP
 
116
\fIldap_deref\fR (default: empty)
 
117
.RS 4
 
118
Specify how aliases dereferencing is handled during search\&. Should be one of
 
119
\fBnever\fR,
 
120
\fBalways\fR,
 
121
\fBsearch\fR, or
 
122
\fBfind\fR
 
123
to specify that aliases are never dereferenced, always dereferenced, dereferenced when searching, or dereferenced only when locating the base object for the search\&.
 
124
.RE
 
125
.PP
 
126
\fIldap_filter\fR (default: \fBuid=%u\fR)
 
127
.RS 4
 
128
Specify a filter\&. The following tokens can be used in the filter string:
 
129
.PP
 
130
\fB%%\fR
 
131
.RS 4
 
132
This is replaced by a literal \(cq%\(cq character\&.
 
133
.RE
 
134
.PP
 
135
\fB%u\fR
 
136
.RS 4
 
137
\fB%u\fR
 
138
is replaced by the complete user string\&.
 
139
.RE
 
140
.PP
 
141
\fB%U\fR
 
142
.RS 4
 
143
If the string is an address (\fB%u\fR),
 
144
\fB%U\fR
 
145
will be replaced by the local part of that address\&.
 
146
.RE
 
147
.PP
 
148
\fB%d\fR
 
149
.RS 4
 
150
If the string is an address (\fB%u\fR),
 
151
\fB%d\fR
 
152
will be replaced by the domain part of that address\&. Otherwise it will be the same as
 
153
\fB%r\fR\&.
 
154
.RE
 
155
.PP
 
156
\fB%1\-9\fR
 
157
.RS 4
 
158
If the input key is
 
159
user@mail\&.example\&.com, then
 
160
\fB%1\fR
 
161
is
 
162
com,
 
163
\fB%2\fR
 
164
is
 
165
example
 
166
and
 
167
\fB%3\fR
 
168
is
 
169
mail\&.
 
170
.RE
 
171
.PP
 
172
\fB%s\fR
 
173
.RS 4
 
174
\fB%s\fR
 
175
is replaced by the complete service string\&.
 
176
.RE
 
177
.PP
 
178
\fB%r\fR
 
179
.RS 4
 
180
\fB%r\fR
 
181
is replaced by the complete realm string\&.
 
182
.RE
 
183
.PP
 
184
\fB%D\fR
 
185
.RS 4
 
186
\fB%D\fR
 
187
is replaced by the complete user DN (available for group checks)
 
188
.RE
 
189
.sp
 
190
The
 
191
\fB%u\fR
 
192
token has to be used at minimum for the filter to be useful\&. If
 
193
\fIldap_auth_method\fR
 
194
is
 
195
\fBbind\fR, the filter will search for the
 
196
DN
 
197
(distinguished name) attribute\&. Otherwise, the search will look for the
 
198
\fIldap_password_attr\fR
 
199
attribute\&.
 
200
.RE
 
201
.PP
 
202
\fIldap_group_attr\fR (default: \fBuniqueMember\fR)
 
203
.RS 4
 
204
Specify what attribute to compare the user DN against in the group\&. If
 
205
\fIldap_group_dn\fR
 
206
is not specified, this parameter is ignored\&. If
 
207
\fIldap_group_match_method\fR
 
208
is not
 
209
\fBattr\fR, this parameter is ignored\&.
 
210
.RE
 
211
.PP
 
212
\fIldap_group_dn\fR (default: empty)
 
213
.RS 4
 
214
If specified, the user has to be part of the group in order to authenticate successfully\&. Tokens described in
 
215
\fIldap_filter\fR
 
216
can be used for substitution\&.
 
217
.RE
 
218
.PP
 
219
\fIldap_group_filter\fR (default: empty)
 
220
.RS 4
 
221
Specify a filter\&. If a filter match is found then the user is in the group\&. Tokens described in
 
222
\fIldap_filter\fR
 
223
can be used for for substitution\&. If
 
224
\fIldap_group_dn\fR
 
225
is not specified, this parameter is ignored\&. If
 
226
\fIldap_group_match_method\fR
 
227
is not filter, this parameter is ignored\&.
 
228
.RE
 
229
.PP
 
230
\fIldap_group_match_method\fR (default: \fBattr\fR)
 
231
.RS 4
 
232
If
 
233
\fBattr\fR
 
234
is used the group match method uses
 
235
\fIldap_group_attr\fR
 
236
and if
 
237
\fBfilter\fR
 
238
is used
 
239
\fIldap_group_search\fR
 
240
will be used as group match method\&. If
 
241
\fIldap_group_dn\fR
 
242
is not specified, this parameter is ignored\&.
 
243
.RE
 
244
.PP
 
245
\fIldap_group_search_base\fR (default: \fIldap_search_base\fR)
 
246
.RS 4
 
247
Specify a starting point for the group search: e\&.g\&.
 
248
dc=example,dc=com\&. Tokens described in
 
249
\fIldap_filter\fR
 
250
can be used for substitution\&.
 
251
.RE
 
252
.PP
 
253
\fIldap_group_scope\fR (default: sub)
 
254
.RS 4
 
255
Group search scope\&. Options are either
 
256
\fBsub\fR,
 
257
\fBone\fR
 
258
or
 
259
\fBbase\fR\&.
 
260
.RE
 
261
.PP
 
262
\fIldap_password\fR (default: empty)
 
263
.RS 4
 
264
Specify the password for
 
265
\fIldap_bind_dn\fR
 
266
or
 
267
\fIldap_id\fR
 
268
if
 
269
\fIldap_use_sasl\fR
 
270
is turned on\&. Do not specify this parameter for the anonymous bind\&.
 
271
.RE
 
272
.PP
 
273
\fIldap_password_attr\fR (default: \fBuserPassword\fR)
 
274
.RS 4
 
275
Specify what password attribute to use for password verification\&.
 
276
.RE
 
277
.PP
 
278
\fIldap_referrals\fR (default: \fBno\fR)
 
279
.RS 4
 
280
Specify whether or not the client should follow referrals\&.
 
281
.RE
 
282
.PP
 
283
\fIldap_restart\fR (default: \fByes\fR)
 
284
.RS 4
 
285
Specify whether or not LDAP I/O operations are automatically restarted if they abort prematurely\&.
 
286
.RE
 
287
.PP
 
288
\fIldap_id\fR (default: empty)
 
289
.RS 4
 
290
Specify the authentication ID for SASL bind\&.
 
291
.RE
 
292
.PP
 
293
\fIldap_authz_id\fR (default: empty)
 
294
.RS 4
 
295
Specify the proxy authorization ID for SASL bind\&.
 
296
.RE
 
297
.PP
 
298
\fIldap_mech\fR (default: empty)
 
299
.RS 4
 
300
Specify the authentication mechanism for SASL bind\&.
 
301
.RE
 
302
.PP
 
303
\fIldap_realm\fR (default: empty)
 
304
.RS 4
 
305
Specify the realm of authentication ID for SASL bind\&.
 
306
.RE
 
307
.PP
 
308
\fIldap_scope\fR (default: \fBsub\fR)
 
309
.RS 4
 
310
Search scope\&. Options are either
 
311
\fBsub\fR,
 
312
\fBone\fR
 
313
or
 
314
\fBbase\fR\&.
 
315
.RE
 
316
.PP
 
317
\fIldap_search_base\fR (default: empty)
 
318
.RS 4
 
319
Specify a starting point for the search: e\&.g\&.
 
320
dc=example,dc=com\&. Tokens described in
 
321
\fIldap_filter\fR
 
322
can be used for substitution\&.
 
323
.RE
 
324
.PP
 
325
\fIldap_servers\fR (default: \fBldap://localhost/\fR)
 
326
.RS 4
 
327
Specify one or more URI(s) referring to LDAP server(s), e\&.g\&.
 
328
ldaps://10\&.1\&.1\&.2:999/\&. Multiple servers must be separated by space\&.
 
329
.RE
 
330
.PP
 
331
\fIldap_start_tls\fR (default: \fBno\fR)
 
332
.RS 4
 
333
Use StartTLS extended operation\&. Do not use ldaps: ldap_servers when this option is turned on\&.
 
334
.RE
 
335
.PP
 
336
\fIldap_time_limit\fR (default: \fB5\fR)
 
337
.RS 4
 
338
Specify a number of seconds for a search request to complete\&.
 
339
.RE
 
340
.PP
 
341
\fIldap_timeout\fR (default: \fB5\fR)
 
342
.RS 4
 
343
Specify a number of seconds a search can take before timing out\&.
 
344
.RE
 
345
.PP
 
346
\fIldap_tls_check_peer\fR (default: \fBno\fR)
 
347
.RS 4
 
348
Require and verify server certificate\&. If this option is
 
349
\fByes\fR, you must specify
 
350
\fIldap_tls_cacert_file\fR
 
351
or
 
352
\fIldap_tls_cacert_dir\fR\&.
 
353
.RE
 
354
.PP
 
355
\fIldap_tls_cacert_file\fR (default: empty)
 
356
.RS 4
 
357
File containing CA (Certificate Authority) certificate(s)\&.
 
358
.RE
 
359
.PP
 
360
\fIldap_tls_cacert_dir\fR (default: empty)
 
361
.RS 4
 
362
Path to directory with CA (Certificate Authority) certificates\&.
 
363
.RE
 
364
.PP
 
365
\fIldap_tls_ciphers\fR (default: \fBDEFAULT\fR)
 
366
.RS 4
 
367
List of SSL/TLS ciphers to allow\&. The format of the string is described in
 
368
\fBciphers\fR(1)\&.
 
369
.RE
 
370
.PP
 
371
\fIldap_tls_cert\fR (default: empty)
 
372
.RS 4
 
373
File containing the client certificate\&.
 
374
.RE
 
375
.PP
 
376
\fIldap_tls_key\fR (default: empty)
 
377
.RS 4
 
378
File containing the private client key\&.
 
379
.RE
 
380
.PP
 
381
\fIldap_use_sasl\fR (default: \fBno\fR)
 
382
.RS 4
 
383
Use SASL bind instead of simple bind when connecting to the LDAP server\&.
 
384
.RE
 
385
.PP
 
386
\fIldap_version\fR (default: \fB3\fR)
 
387
.RS 4
 
388
Specify the LDAP protocol version \- either
 
389
\fB2\fR
 
390
or
 
391
\fB3\fR\&. If
 
392
\fIldap_start_tls\fR
 
393
and/or
 
394
\fIldap_use_sasl\fR
 
395
are enabled,
 
396
\fIldap_version\fR
 
397
will be automatically set to
 
398
\fB3\fR\&.
 
399
.RE
 
400
.SH "EXAMPLE"
 
401
.PP
 
402
 
 
403
.sp
 
404
.RS 4
 
405
.nf
 
406
.fi
 
407
.RE
 
408
.SH "SEE ALSO"
 
409
.PP
 
410
\fBauthdaemond\fR(5),
 
411
\fBldapdb\fR(5),
 
412
\fBlibsasl\fR(5),
 
413
\fBsaslauthd\fR(8),
 
414
\fBsaslauthd.conf\fR(5),
 
415
\fBsaslpasswd2\fR(5),
 
416
\fBsasldblistusers2\fR(5),
 
417
\fBsasldb\fR(5),
 
418
\fBsql\fR(5)
 
419
.SH "README FILES"
 
420
.PP
 
421
\fIREADME\&.Debian\fR
 
422
.SH "AUTHOR(S)"
 
423
.PP
 
424
This manual is based on notes in
 
425
\fILDAP_SASLAUTHD\fR
 
426
from Igor Brezac\&.
 
427
.PP
 
428
.RS 4
 
429
.nf
 
430
Igor Brezac
 
431
<Igor@ipass\&.net>
 
432
.fi
 
433
.RE
 
434
.PP
 
435
It was edited and revised for the Debian distribution because the original program does not have a manual page\&.
 
436
.PP
 
437
.RS 4
 
438
.nf
 
439
Patrick Ben Koetter
 
440
<p@state\-of\-mind\&.de>
 
441
.fi
 
442
.RE