modules/dacs/files/common/site.conf

   1 <!-- $Id: site.conf-std 2503 2010-06-23 16:56:53Z brachman $ -->
   2
   3 <!-- ** DO NOT EDIT THIS FILE -->
   4 <!-- ** This is the standard site.conf file for your release of DACS. -->
   5 <!-- ** This file may be changed with each new release of DACS. -->
   6 <!-- ** Put customizations in your dacs.conf file. -->
   7 <!-- ** See dacs.conf(5) for information about these directives. -->
   8
   9 <Configuration>
  10
  11 <Default>
  12 # TURN OFF ONLY FOR TESTING PURPOSES!
  13 SECURE_MODE "on"
  14
  15 STATUS_LINE "off"
  16
  17 NAME_COMPARE "case"
  18
  19 # Establish default URL prefixes for the default access control rules.
  20 # Examine acls/acl-* in the distribution directory to see how these
  21 # variables are used.
  22 # Adjust or override these as necessary for your environment.
  23 EVAL ${Conf::dacs_cgi_bin_prefix} = "/cgi-bin/dacs"
  24 #EVAL ${Conf::dacs_sbin_prefix} = "${Conf::DACS_HOME}/sbin"
  25 EVAL ${Conf::dacs_htdocs_prefix} = ""
  26
  27 # You might consider setting this to ".cgi" or ".exe" so that the default
  28 # access control rules work for DACS CGI executables.
  29 #EVAL ${Conf::dacs_cgi_bin_suffix} = ${Conf::CGI_SUFFIX}
  30
  31 # Used by ustamp(), this must be a pathname, not a vfs object
  32 #EVAL ${Conf::ustamp_seqno} = "${Conf::DACS_HOME}/federations/seqno"
  33
  34 # Enable for testing purposes only!
  35 ALLOW_HTTP_COOKIE "no"
  36
  37 # See dacs_auth_agent(8)
  38 AUTH_AGENT_ALLOW_ADMIN_IDENTITY "no"
  39
  40 #LOG_FILE "${Conf::DACS_HOME}/logs/${Conf::JURISDICTION_NAME}-" . strftime("%d-%b-%y") . ".log"
  41 LOG_FILE "/var/log/dacs/${Conf::JURISDICTION_NAME}.log"
  42 #LOG_FORMAT ${Env::REMOTE_ADDR:e} ? "[%t] [%l] [%p,%c,%F] [%sp:\"%sm\",%sf:%sl]" : "%a[%l]:"
  43 #LOG_LEVEL ${Env::REMOTE_ADDR:e} ? "INFO" : undef()
  44 LOG_LEVEL "notice"
  45 LOG_SENSITIVE "no"
  46 # Since it produces a lot of logging when tracing, override the default log
  47 # level for messages produced by the file crypt.c; for that file only, set
  48 # the log level to "debug"
  49 LOG_FILTER 'filename exact debug "crypto.c"'
  50
  51
  52 AUTH_FAIL_DELAY_SECS 2
  53
  54 VERIFY_IP "no"
  55
  56 # Override this if you must, but this default will avoid potential problems
  57 # and assorted complications if a request can be associated with multiple
  58 # identities
  59 ACS_CREDENTIALS_LIMIT "1"
  60
  61 # The backward compatible default is to chuck the arguments and continue
  62 # if there is a problem with POST arguments
  63 #ACS_POST_EXCEPTION_MODE "discard"
  64
  65 AUTH_CREDENTIALS_ADMIN_LIFETIME_SECS "20"
  66 AUTH_CREDENTIALS_DEFAULT_LIFETIME_SECS "43200"
  67
  68 # Optional: A single DACS username eligible for administrative rights
  69 # This directive may be repeated to define multiple admins
  70 #ADMIN_IDENTITY "METALOGIC:rmorriso"
  71
  72 # Default access control handlers
  73 # Note that these error handlers use local web-paths (relative to the
  74 # DocumentRoot), not full file pathnames.  For the default configuration to
  75 # work properly, they require an Apache Alias directive to be configured to map
  76 # "/handlers" to "${Conf::DACS_HOME}/www/handlers".
  77 ACS_ERROR_HANDLER    "* /handlers/acs_failed.html"
  78
  79 # Default authentication and signout handlers
  80 # Since these are relative URLs, the Alias directive must be used as
  81 # explained above.
  82 # Note that the syntaxes of these directives are different from that of
  83 # ACS_ERROR_HANDLER.
  84 #AUTH_SUCCESS_HANDLER "url /handlers/auth_ok.html"
  85 AUTH_SUCCESS_HANDLER "url /cgi-bin/dacs/dacs_prenv"
  86 AUTH_ERROR_HANDLER   "* url /handlers/auth_failed.html"
  87 SIGNOUT_HANDLER      "url /handlers/signout_ok.html"
  88
  89 # These handlers can only be URLs (absolute or relative)
  90 NOTICES_ACCEPT_HANDLER "/handlers/notices_accepted.html"
  91 NOTICES_DECLINE_HANDLER "/handlers/notices_declined.html"
  92
  93 NOTICES_ACK_HANDLER ""
  94 NOTICES_SECURE_HANDLER "yes"
  95 NOTICES_WORKFLOW_LIFETIME_SECS 120
  96 NOTICES_NAT_NAME_PREFIX "NAT-DACS"
  97
  98 SSL_PROG "${Conf::DACS_HOME}/bin/sslclient"
  99 # Override this if you need it - this example is undoubtedly incorrect
 100 #SSL_PROG_CA_CRT "${Conf::APACHE_HOME}/conf/dacs.example.com/ssl.crt/server.crt"
 101 SSL_PROG_CA_CRT "/usr/share/ca-certificates/spi-inc.org/spi-cacert-2008.crt"
 102
 103 # The default digest algorithm to use for DACS password entries
 104 PASSWORD_DIGEST "SHA1"
 105
 106 # The URLs for schemas and DTDs used by DACS
 107 # Configure for your environment
 108 XSD_BASE_URL "/dtd-xsd"
 109 DTD_BASE_URL "/dtd-xsd"
 110
 111 # The location of a directory containing the DTDs
 112 VFS "[dtds]dacs-fs:${Conf::DACS_HOME}/www/dtd-xsd"
 113
 114 # The location of a file containing federation-wide encryption keys
 115 VFS "[federation_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/federation_keyfile"
 116
 117 # The location of a file containing jurisdiction-specific encryption keys
 118 VFS "[jurisdiction_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/jurisdiction_keyfile"
 119
 120 # The location of a directory containing the revocation file ("revocations")
 121 VFS "[revocations]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/acls/revocations"
 122
 123 # The location of the root directory containing jurisdictional ACLs
 124 VFS "[acls]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/acls"
 125
 126 # The location of the root directory containing default ACLs for DACS services
 127 #VFS "[dacs_acls]dacs-fs:${Conf::DACS_HOME}/acls"
 128 VFS "[dacs_acls]dacs-fs:/etc/dacs/acls"
 129
 130 # The location of the root directory for groups
 131 VFS "[groups]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/groups"
 132
 133 # The pseudo-type mounted on the DACS password file
 134 VFS "[passwds]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/passwd"
 135
 136 # The pseudo-type mounted on the DACS roles file
 137 VFS "[roles]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/roles"
 138
 139 # For dacstoken/local_token_authenticate
 140 VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
 141 VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
 142 VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
 143
 144 # This partially determines when a user agent will send a DACS cookie.
 145 # Set it to the most specific URL path under which all DACS-wrapped
 146 # services appear.  This is particularly important if some CGI programs
 147 # at the jurisdiction are not trusted, since they might be used to steal
 148 # DACS identities.
 149 COOKIE_PATH "/"
 150
 151 HTTP_PROG "${Conf::DACS_HOME}/bin/http"
 152
 153 # InfoCard-related defaults
 154 # This assumes there is an Apache 'Alias' directive; e.g.,
 155 #     Alias /infocards "/usr/local/dacs/www/infocards/"
 156 INFOCARD_CARD_IMAGE_BASE_URL  "${Conf::DACS_HOME}/www/infocards"
 157 INFOCARD_CARD_OUTPUTDIR       "${Conf::DACS_HOME}/www/infocards/output"
 158 INFOCARD_IP_PRIVACY_URL       "/infocards/managed_privacy_default.txt"
 159 INFOCARD_IP_PRIVACY_VERSION   "1"
 160
 161 </Default>
 162
 163 </Configuration>