projects / debian / amanda / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Imported Upstream version 2.5.1
[debian/amanda] / docs / howto-auth.txt
1
2 Chapter 17. How to use different auth with Amanda
3 Prev  Part III. HOWTOs                       Next
4
5 -------------------------------------------------------------------------------
6
7 Chapter 17. How to use different auth with Amanda
8
9
10 Jean-Louis Martineau
11
12 Original text;XML-conversion;Updates
13 AMANDA Core Team
14 <martinea@iro.umontreal.ca>
15 Table of Contents
16
17
18   Introduction
19
20   BSD
21
22   BSDTCP
23
24   BSDUDP
25
26   KRB4
27
28   KRB5
29
30   RSH
31
32   SSH
33
34
35         For_amdump:
36
37         For_amrecover:
38
39
40
41 Note
42
43 Refer to http://www.amanda.org/docs/howto-auth.html for the current version of
44 this document.
45 This document covers the use of the auth in Amanda 2.5.1 and higher.
46
47 Introduction
48
49
50  BSD
51
52 You must configure amanda with --with-bsd-security and --with-amandahosts.
53 The xinetd.d/amanda file on the client:
54
55   service amanda
56   {
57         only_from               = 127.0.0.1
58         socket_type             = dgram
59         protocol                = udp
60         wait                    = yes
61         user                    = amanda
62         group                   = amanda
63         groups                  = yes
64         server                  = /path/to/amandad
65         server_args             = -auth=bsd amdump
66         disable                 = no
67   }
68
69 The only_from line should list your tape server ip address.
70 The ~amanda/.amandahosts file on the client:
71
72   tapeserver.fqdn amanda amdump
73
74 If you want to also enable amindexd and amidxtaped, you must change the
75 server_args line in the xinetd.d/amanda file on the tape server:
76
77         server_args             = -auth=bsd amdump amindexd amidxtaped
78
79 The only_from line should list all machine that can use amdump/amrecover. It's
80 the .amandahosts that will limit which client can use amdump/amindexd/
81 amidxtaped.
82 The ~amanda/.amandahosts file on the tape server must have a line for each
83 machi ne:
84
85   clientmachine1 amanda amindexd amidxtaped
86   clientmachine2 amanda amindexd amidxtaped
87
88
89  BSDTCP
90
91 Like bsd but you must configure amanda with --with-bsdtcp-security and --with-
92 amandahosts and do 4 changes in the xinetd.d/amanda file:
93
94         socket_type             = stream
95         protocol                = tcp
96         wait                    = no
97         server_args             = -auth=bsdtcp amdump
98
99
100  BSDUDP
101
102 Like bsd but you must configure amanda with --with-bsdudp-security and --with-
103 amandahosts and do 1 change in the xinetd.d/amanda file:
104
105         server_args             = -auth=bsdudp amdump
106
107
108  KRB4
109
110 You must configure amanda with --with-krb4-security.
111
112  KRB5
113
114 You must configure amanda with --with-krb5-security.
115
116  RSH
117
118 You must configure amanda with --with-rsh-security.
119 It's your system that should allow your server user to rsh to your client user.
120 If your server username and client username are different, you must add the
121 client_username option in all DLE for that host.
122
123   client_username "client_username"
124
125 If your server amandad path and client amandad path are different, you must set
126 the amandad_path option in all DLE for that hosts.
127
128   amandad_path "client/amandad/path"
129
130
131  SSH
132
133 You must configure amanda with --with-ssh-security.
134
135  For amdump:
136
137 You must create an ssh key for your server. In this example, the key is put in
138 the id_rsa_amdump file:
139
140   ssh-keygen -t rsa
141   Enter file in which to save the key (/home/amanda/.ssh/id_rsa)? /home/
142   amanda/.ssh/id_rsa_amdump
143
144 You must set the ssh_keys option in all DLE for that host:
145
146   ssh_keys "/home/amanda/.ssh/id_rsa_amdump"
147
148 You mush append the /home/amanda/.ssh/id_rsa_amdump.pub file to the .ssh/
149 authorized_keys file of all client host.
150 For security reason, you must prepend the line with the following:
151
152   from="tape_server_fqdn_name",no-port-forwarding,no-X11-forwarding,no-agent-
153   forwarding,command="/path/to/amandad -auth=ssh amdump"
154
155 That will limit that key to connect only from your server and only be able to
156 execute amandad.
157 Like rsh if your server username and client username are different, you must
158 add the client_username option in all DLE for that
159 host:
160
161   client_username "client_username"
162
163 Like rsh, if your server amandad path and client amandad path are different,
164 you must set the amandad_path option in all DLE for that hosts:
165
166   amandad_path "client/amandad/path"
167
168
169  For amrecover:
170
171 You must create an ssh key for root on all clients that can use amrecover. In
172 this example, the key is put in the /root/.ssh/id_ rsa_amrecover file:
173 Log in as root:
174
175   ssh-keygen -t rsa
176   Enter file in which to save the key (/root/.ssh/id_rsa)? /root/.ssh/
177   id_rsa_amrecover
178
179 You must set the ssh_keys option in the amanda_client.conf file
180
181   ssh_keys "/root/.ssh/id_rsa_amrecover"
182
183 You mush append all client /home/root/.ssh/id_rsa_amrecover.pub file to the /
184 home/amanda/.ssh/authorized_keys of the server.
185 For security reason, you must prefix all lines with the following:
186
187   from="aclient_fqdn_name",no-port-forwarding,no-X11-forwarding,no-agent-
188   forwarding,command="/path/to/amandad -auth=ssh amindexd amidxtaped"
189
190 That will limit every client key to connect from the client and only be able to
191 execute amandad.
192 -------------------------------------------------------------------------------
193
194 Prev                                      Up                           Next
195 Chapter 16. How to do Amanda-server-side Home  Part IV. Various Information
196 gpg-encrypted backups. 
197
Debian packaging of amanda