projects / debian / amanda / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Imported Upstream version 2.5.2p1
[debian/amanda] / docs / howto-auth.txt
1
2 Chapter 17. How to use different auth with Amanda
3 Prev  Part III. HOWTOs                       Next
4
5 -------------------------------------------------------------------------------
6
7 Chapter 17. How to use different auth with Amanda
8
9
10 Jean-Louis Martineau
11
12 Original text;XML-conversion;Updates
13 AMANDA Core Team
14 <martinea@iro.umontreal.ca>
15 Table of Contents
16
17
18   Introduction
19
20   BSD
21
22   BSDTCP
23
24   BSDUDP
25
26   KRB4
27
28   KRB5
29
30   RSH
31
32   SSH
33
34
35         For_amdump:
36
37         For_amrecover:
38
39
40 This document covers the use of the auth in Amanda 2.5.1 and higher.
41
42 Introduction
43
44
45  BSD
46
47 You must configure amanda with --with-bsd-security and --with-amandahosts.
48 The xinetd.d/amanda file on the client:
49
50   service amanda
51   {
52         only_from               = 127.0.0.1
53         socket_type             = dgram
54         protocol                = udp
55         wait                    = yes
56         user                    = amanda
57         group                   = amanda
58         groups                  = yes
59         server                  = /path/to/amandad
60         server_args             = -auth=bsd amdump
61         disable                 = no
62   }
63
64 The only_from line should list your tape server ip address.
65 The ~amanda/.amandahosts file on the client:
66
67   tapeserver.fqdn amanda amdump
68
69 If you want to also enable amindexd and amidxtaped, you must change the
70 server_args line in the xinetd.d/amanda file on the tape server:
71
72         server_args             = -auth=bsd amdump amindexd amidxtaped
73
74 The only_from line should list all machine that can use amdump/amrecover. It's
75 the .amandahosts that will limit which client can use amdump/amindexd/
76 amidxtaped.
77 The ~amanda/.amandahosts file on the tape server must have a line for each
78 machi ne:
79
80   clientmachine1 amanda amindexd amidxtaped
81   clientmachine2 amanda amindexd amidxtaped
82
83
84  BSDTCP
85
86 Like bsd but you must configure amanda with --with-bsdtcp-security and --with-
87 amandahosts and do 4 changes in the xinetd.d/amanda file:
88
89         socket_type             = stream
90         protocol                = tcp
91         wait                    = no
92         server_args             = -auth=bsdtcp amdump
93
94
95  BSDUDP
96
97 Like bsd but you must configure amanda with --with-bsdudp-security and --with-
98 amandahosts and do 1 change in the xinetd.d/amanda file:
99
100         server_args             = -auth=bsdudp amdump
101
102
103  KRB4
104
105 You must configure amanda with --with-krb4-security.
106
107  KRB5
108
109 You must configure amanda with --with-krb5-security.
110
111  RSH
112
113 You must configure amanda with --with-rsh-security.
114 It's your system that should allow your server user to rsh to your client user.
115 If your server username and client username are different, you must add the
116 client_username option in all DLE for that host.
117
118   client_username "client_username"
119
120 If your server amandad path and client amandad path are different, you must set
121 the amandad_path option in all DLE for that hosts.
122
123   amandad_path "client/amandad/path"
124
125
126  SSH
127
128 You must configure amanda with --with-ssh-security.
129
130  For amdump:
131
132 You must create an ssh key for your server. In this example, the key is put in
133 the id_rsa_amdump file:
134
135   ssh-keygen -t rsa
136   Enter file in which to save the key (/home/amanda/.ssh/id_rsa)? /home/
137   amanda/.ssh/id_rsa_amdump
138
139 You must set the ssh_keys option in all DLE for that host:
140
141   ssh_keys "/home/amanda/.ssh/id_rsa_amdump"
142
143 You mush append the /home/amanda/.ssh/id_rsa_amdump.pub file to the .ssh/
144 authorized_keys file of all client host.
145 For security reason, you must prepend the line with the following:
146
147   from="tape_server_fqdn_name",no-port-forwarding,no-X11-forwarding,no-agent-
148   forwarding,command="/path/to/amandad -auth=ssh amdump"
149
150 That will limit that key to connect only from your server and only be able to
151 execute amandad.
152 Like rsh if your server username and client username are different, you must
153 add the client_username option in all DLE for that host:
154
155   client_username "client_username"
156
157 Like rsh, if your server amandad path and client amandad path are different,
158 you must set the amandad_path option in all DLE for that hosts:
159
160   amandad_path "client/amandad/path"
161
162
163  For amrecover:
164
165 You must create an ssh key for root on all clients that can use amrecover. In
166 this example, the key is put in the /root/.ssh/id_ rsa_amrecover file:
167 Log in as root:
168
169   ssh-keygen -t rsa
170   Enter file in which to save the key (/root/.ssh/id_rsa)? /root/.ssh/
171   id_rsa_amrecover
172
173 You must set the ssh_keys option in the amanda_client.conf file
174
175   ssh_keys "/root/.ssh/id_rsa_amrecover"
176
177 You mush append all client /home/root/.ssh/id_rsa_amrecover.pub file to the /
178 home/amanda/.ssh/authorized_keys of the server.
179 For security reason, you must prefix all lines with the following:
180
181   from="aclient_fqdn_name",no-port-forwarding,no-X11-forwarding,no-agent-
182   forwarding,command="/path/to/amandad -auth=ssh amindexd amidxtaped"
183
184 That will limit every client key to connect from the client and only be able to
185 execute amandad.
186
187 Note
188
189 Refer to http://www.amanda.org/docs/howto-auth.html for the current version of
190 this document.
191 -------------------------------------------------------------------------------
192
193 Prev                                      Up                           Next
194 Chapter 16. How to do Amanda-server-side Home  Part IV. Various Information
195 gpg-encrypted backups. 
196
Debian packaging of amanda