html/doc-mail.wml

   1 #use wml::db.d.o title="LDAP Gateway"
   2 #use wml::vbar
   3
   4 <dsatoc/>
   5
   6 <p>
   7 The LDAP directory has a PGP secured mail gateway that
   8 allows users to safely and conveniently effect changes to their entries. It
   9 makes use of PGP signed input messages to positively identify the user and
  10 to confirm the validity of the request. Furthermore it implements a replay
  11 cache that prevents the gateway from accepting the same message more than
  12 once.
  13
  14 <p>
  15 There are three functions logically split into 3 separate email addresses
  16 that are implemented by the gateway: <b>ping</b>, <b>new password</b> and
  17 <b>changes</b>. The function to act on is the first argument to the program.
  18
  19 <p>
  20 Error handling is currently done by generating a bounce message and passing
  21 descriptive error text to the mailer. This can generate a somewhat hard to
  22 read error message, but it does have all the relevant information.
  23
  24 <h1>Ping</h1>
  25 The ping command simply returns the users public record. It is useful for
  26 testing the gateway and for the requester to get a basic dump of their
  27 record. In future this address might 'freshen' the record to indicate the
  28 user is alive. Any PGP signed message will produce a reply.
  29
  30 <h1>New Password</h1>
  31 If a user loses their password they can request that a new one be generated
  32 for them. This is done by sending the phrase "Please change my Debian
  33 password" to chpasswd@db.debian.org. The phrase is required to prevent the
  34 daemon from triggering on arbitrary signed email. The best way to invoke this
  35 feature is with
  36 <pre>echo "Please change my Debian password" | gpg --clearsign | mail chpasswd@db.debian.org</pre>
  37 After validating the request the daemon will generate a new random password,
  38 set it in the directory and respond with an encrypted message containing the
  39 new password. The password can be changed using one of the other interface
  40 methods.
  41
  42 <h1>Changes</h1>
  43 An address (changes@db.debian.org) is provided for making almost arbitrary
  44 changes to the contents of the record. The daemon parses its input line by
  45 line and acts on each line in a command oriented manner. Anything, except for
  46 passwords, can be changed using this mechanism. Note however that because
  47 this is a mail gateway it does stringent checking on its input. The other
  48 tools allow fields to be set to virtually anything, the gateway requires
  49 specific field formats to be met.
  50
  51 <ul>
  52 <li>A line of the form <tt>'field: value'</tt> will change the contents of
  53 the field to value. Some simple checks are performed on value to make sure
  54 that it is not set to nonsense. You can't set an empty string as
  55 value, use <tt>del</tt> instead (see below). The values that can
  56 be changed are:
  57 <b>c</b>, <b>l</b>, <b>facsimileTelephoneNumber</b>, <b>telephoneNumber</b>,
  58 <b>postalAddress</b>, <b>postalCode</b>,
  59 <b>loginShell</b>, <b>emailForward</b>,
  60 <b>jabberJID</b>, <b>ircNick</b>, <b>icqUin</b>,
  61 <b>onVacation</b>,
  62 <b>labledURI</b>,
  63 <b>birthDate</b> (YYYYMMDD),
  64 <b>mailDisableMessage</b>,
  65 <b>mailGreylisting</b> (TRUE|FALSE),
  66 <b>mailCallout</b> (TRUE|FALSE),
  67 <b>mailContentInspectionAction</b> (markup|blackhole|reject)
  68 <b>mailDefaultOptions</b> (TRUE|FALSE),
  69 <b>bATVToken</b>,
  70 and <b>VoIP</b>
  71
  72 <li>A line of the form <tt>'del field'</tt> will completly remove all
  73 occurrences of a field. Useful e.g. to unset your vacation status.
  74 The fields that can be deleted are:
  75 <b>c</b>, <b>l</b>, <b>facsimileTelephoneNumber</b>, <b>telephoneNumber</b>,
  76 <b>postalAddress</b>, <b>postalCode</b>, <b>emailForward</b>,
  77 <b>onVacation</b>, <b>labeledURI</b>, <b>latitude</b>, <b>longitude</b>, <b>dnsZoneEntry</b>,
  78 <b>ircNick</b>, <b>jabberJID</b>, <b>icquin</b>,
  79 <b>sshRSAAuthKey</b>,
  80 <b>mailGreylisting</b>,
  81 <b>mailCallout</b>,
  82 <b>mailRBL</b>,
  83 <b>mailRHSBL</b>,
  84 <b>mailDisableMessage</b>,
  85 <b>mailWhitelist</b>,
  86 <b>mailContentInspectionAction</b>,
  87 <b>mailDefaultOptions</b>,
  88 <b>bATVToken</b>,
  89 <b>birthDate</b>,
  90 <b>jpegPhoto</b>, <b>VoIP</b>
  91
  92 <li>The daemon has a special parser to help changing latitude and longitude
  93 values. It accepts several common formats for position information and
  94 converts them to one of the standard forms. The permitted types are
  95 <pre>D = Degrees, M = Minutes, S = Seconds, x = n,s,e,w
  96 +-DDD.DDDDD, +- DDDMM.MMMM, +-DDDMMSS.SSSS [standard forms]
  97 DDxMM.MMMM, DD:MM.MMMM x, DD:MM:SS.SSS X)</pre>
  98 and the request format is <tt>'Lat: xxx Long: xxx'</tt> where <tt>xxx</tt>
  99 is one of the permitted types. The resulting response will include how the
 100 input was parsed and the value in decimal degrees.
 101
 102 <li>
 103 Part of the replicated dataset is a virtual .ssh/authorized_keys file for
 104 each user. The change address is the simplest way to set the RSA key(s) you
 105 intend to use. Simply place a key on a line by itself, the full SSH key
 106 format specification is supported, see sshd(8). Probably the most common way
 107 to use this function will be
 108 <pre>cat .ssh/id_rsa.pub | gpg --clearsign | mail changes@db.debian.org</pre>
 109 which will set the authentication key to the identity you are using.
 110
 111 Multiple keys per user are supported, but they must all be sent at once.
 112 To retrieve the existing SSH keys in order to merge existing keys
 113 with new ones, use the 'show' command documented below.
 114
 115 Keys can be exported to a subset of machines by prepending
 116 <b>allowed_hosts=$fqdn,$fqdn2</b> to the specific key. The allowed machines
 117 must only be separated by a comma.
 118
 119 <i>Example:</i>
 120 <pre>
 121 # cat .ssh/debian-machines.pub
 122 allowed_hosts=ravel.debian.org,gluck.debian.org ssh-rsa AAAAB3Nz..mOX/JQ== user@machine
 123 ssh-rsa AAAAB3Nz..uD0khQ== user@machine
 124 </pre>
 125
 126 <li>RBL, RHSBL, and whitelists can only be updated via the mail gateway.  Like
 127 DNS and ssh keys, any list specified must be specified in its enterity.  The format is:
 128 <b>listtype</b> <b>dns.domain.of.rbl/IP to whitelist</b> where listtype is one of mailRBL,
 129 mailRHSBL, and mailWhitelist
 130
 131 <li>The only way to get a dnsZoneEntry record for a debian.net address is to
 132 use the mail gateway. It will verify the request and prevent name collisions
 133 automatically. Requests can take several forms:
 134   <dl>
 135     <dt><tt>foo in a 192.0.2.123</tt></dt>
 136     <dd>to create an A record for <tt>foo.debian.net</tt></dd>
 137
 138     <dt><tt>foo in aaaa 2001:DB8::12:34</tt></dt>
 139     <dd>to create an AAAA record for <tt>foo.debian.net</tt></dd>
 140
 141     <dt><tt>foo in cname example.org.</tt></dt>
 142     <dd>to create a CNAME record for <tt>foo.debian.net</tt></dd>
 143
 144     <dt><tt>'foo in txt plain text here'</tt></dt>
 145     <dd>to create a TXT record for <tt>foo.debian.net</tt></dd>
 146
 147     <dt><tt>foo in mx 10 example.org.</tt></dt>
 148     <dd>to create an MX record for <tt>foo.debian.net</tt></dd>
 149   </dl>
 150
 151 Please note the trailing dot for the CNAME and MX records.
 152 Note that you cannot combine CNAME with any other record types.
 153 The precise form is critical and must not be deviated from.
 154 Like the SSH function above, multiple hosts are supported, but they must all
 155 be sent at once. The debian.net zone is reloaded hourly.
 156
 157 <li>If the single word <b>show</b> appears on a line then a PGP encrypted version
 158 of the entire record will be attached to the resulting email. For example:
 159 <pre>echo show | gpg --clearsign | mail changes@db.debian.org</pre>
 160
 161 </ul>
 162
 163 After processing the requests the daemon will generate a report which contains
 164 each input command and the action taken. If there are any parsing errors
 165 processing stops immediately, but valid changes up to that point are
 166 processed.
 167
 168 <h2>Notes</h2>
 169 <p>
 170 In this document PGP refers to any message or key that GnuPG is
 171 able to generate or parse, specifically it includes both PGP2.x and OpenPGP
 172 (aka GnuPG) keys.
 173 <p>
 174 Due to the replay cache the clock on the computer that generates the
 175 signatures has to be accurate to at least one day. If it is off by several
 176 months or more then the daemon will outright reject all messages.
 177 <p>
 178 Examples are given using GnuPG, but PGP 2.x can also be used. The correct
 179 options to generate a clear signed ascii armored message in 'filter' mode
 180 are <tt>pgp -fast</tt> which does the same as <tt>gpg --clearsign</tt>
 181 <p>
 182 Debian.org machines rely on secured replication to transfer login data out
 183 of the database. Replication is performed at 15 min intervals so it can take
 184 a short while before any changes made take effect.
 185 <p>
 186 If the mail you're sending to the mail robot is too long for your MUA
 187 and gets split, or if you want something that is more robust while copy pasting
 188 into a web-mailer, you can try to create a non-clearsigned message and mail
 189 that to changes@db.debian.org:
 190 <pre>cat .ssh/id_rsa.pub | gpg --armor --sign</pre>