introduced libstrongswan.x509.enforce_critical parameter
[strongswan.git] / man / strongswan.conf.5.in
index ab455f0..47aa6d5 100644 (file)
@@ -60,6 +60,61 @@ An example file in this format might look like this:
 .PP
 Indentation is optional, you may use tabs or spaces.
 
+.SH INCLUDING FILES
+Using the
+.B include
+statement it is possible to include other files into strongswan.conf, e.g.
+.PP
+.EX
+       include /some/path/*.conf
+.EE
+.PP
+If the file name is not an absolute path, it is considered to be relative
+to the directory of the file containing the include statement. The file name
+may include shell wildcards (see
+.IR sh (1)).
+Also, such inclusions can be nested.
+.PP
+Sections loaded from included files
+.I extend
+previously loaded sections; already existing values are
+.IR replaced .
+It is important to note that settings are added relative to the section the
+include statement is in.
+.PP
+As an example, the following three files result in the same final
+config as the one given above:
+.PP
+.EX
+       a = b
+       section-one {
+               somevalue = before include
+               include include.conf
+       }
+       include other.conf
+
+include.conf:
+       # settings loaded from this file are added to section-one
+       # the following replaces the previous value
+       somevalue = asdf
+       subsection {
+               othervalue = yyy
+       }
+       yetanother = zz
+
+other.conf:
+       # this extends section-one and subsection
+       section-one {
+               subsection {
+                       # this replaces the previous value
+                       othervalue = xxx
+               }
+       }
+       section-two {
+               x = 12
+       }
+.EE
+
 .SH READING VALUES
 Values are accessed using a dot-separated section list and a key.
 With reference to the example above, accessing
@@ -223,6 +278,19 @@ option in
 .BR charon.plugins.eap-radius.eap_start " [no]"
 Send EAP-Start instead of EAP-Identity to start RADIUS conversation
 .TP
+.BR charon.plugins.eap-radius.filter_id " [no]"
+If the RADIUS
+.I tunnel_type
+attribute with value
+.B ESP
+is received, use the
+.I filter_id 
+attribute sent in the RADIUS-Accept message as group membership information that
+is compared to the groups specified in the
+.B rightgroups
+option in
+.B ipsec.conf (5).
+.TP
 .BR charon.plugins.eap-radius.id_prefix
 Prefix to EAP-Identity, some AAA servers use a IMSI prefix to select the
 EAP method
@@ -274,7 +342,7 @@ Maximum number of processed EAP-TLS packets
 .BR charon.plugins.eap-tnc.fragment_size " [50000]"
 Maximum size of an EAP-TNC packet
 .TP
-.BR charon.plugins.eap-tnc.max_message_count " [2]"
+.BR charon.plugins.eap-tnc.max_message_count " [10]"
 Maximum number of processed EAP-TNC packets
 .TP
 .BR charon.plugins.eap-ttls.fragment_size " [1024]"
@@ -289,6 +357,9 @@ Phase2 EAP client authentication method
 .BR charon.plugins.eap-ttls.phase2_piggyback " [no]"
 Phase2 EAP Identity request piggybacked by server onto TLS Finished message
 .TP
+.BR charon.plugins.eap-ttls.phase2_tnc " [no]"
+Start phase2 EAP TNC protocol after successful client authentication
+.TP
 .BR charon.plugins.eap-ttls.request_peer_auth " [no]"
 Request peer authentication based on a client certificate
 .TP
@@ -346,11 +417,14 @@ Database URI for charons SQL plugin
 .BR charon.plugins.sql.loglevel " [-1]"
 Loglevel for logging to SQL database
 .TP
-.BR charon.plugins.tnccs-11.preferred_language " [en]"
+.BR charon.plugins.tnc-imc.preferred_language " [en]"
 Preferred language for TNC recommendations
 .TP
-.BR charon.plugins.tnccs-11.tnc_config " [/etc/tnc_config]"
-TNC IMC/IMV configuration directory
+.BR charon.plugins.tnc-imc.tnc_config " [/etc/tnc_config]"
+TNC IMC configuration directory
+.TP
+.BR charon.plugins.tnc-imv.tnc_config " [/etc/tnc_config]"
+TNC IMV configuration directory
 .SS libstrongswan section
 .TP
 .BR libstrongswan.crypto_test.bench " [no]"
@@ -386,6 +460,9 @@ Check daemon, libstrongswan and plugin integrity at startup
 .TP
 .BR libstrongswan.leak_detective.detailed " [yes]"
 Includes source file names and line numbers in leak detective output
+.TP
+.BR libstrongswan.x509.enforce_critical " [yes]"
+Discard certificates with unsupported or unknown critical extensions
 .SS libstrongswan.plugins subsection
 .TP
 .BR libstrongswan.plugins.attr-sql.database
@@ -401,13 +478,8 @@ Use faster random numbers in gcrypt; for testing only, produces weak keys!
 ENGINE ID to use in the OpenSSL plugin
 .TP
 .BR libstrongswan.plugins.pkcs11.modules
-
 .TP
 .BR libstrongswan.plugins.pkcs11.use_hasher " [no]"
-
-.TP
-.BR libstrongswan.plugins.x509.enforce_critical " [no]"
-Discard certificates with unsupported or unknown critical extensions
 .SS libtls section
 .TP
 .BR libtls.cipher
@@ -882,7 +954,7 @@ giving up   76s     165s
 /etc/strongswan.conf
 
 .SH SEE ALSO
-ipsec.conf (5), ipsec.secrets (5)
+ipsec.conf(5), ipsec.secrets(5), ipsec(8)
 .SH HISTORY
 Written for the
 .UR http://www.strongswan.org