<br><tt><font size=2>opendnssec-develop-bounces@lists.opendnssec.org wrote
on 11/03/2009 16:55:18:<br>
<br>
> On 11 mar 2009, at 16.59, John Dickinson wrote:<br>
> <br>
> > Sion and I are wondering if the Enforecer/libKSM should validate
the  <br>
> > policies. For example there could be a set of rules like:<br>
> > - TTLs must be no less than 5 min and no greater than 2 years<br>
> > - key lifetime must be at least n * TTLkey where n is some number
 <br>
> > like 5.<br>
> > - ...<br>
> ><br>
> > these are made up examples please don't worry about the exact
 <br>
> > numbers for now :)<br>
> ><br>
> > Do people think that<br>
> > a) the enforcer/libKSM is the place to do this<br>
> > b) this should be done at all<br>
> > c) this should be left for the GUI/CLI that populates the KASP
DB?<br>
> > d) this should wait for v2<br>
> <br>
> I think we can do (d) right now and in the future decide if we do
it  <br>
> at all. this could be done by a standalone KASP "Lint" that
reads the  <br>
> policy XML.</font></tt>
<br>
<br><tt><font size=2>like Jakob, I suggest (d) for now.  However,
I think it ought to be done at the point the policy is created, which is
probably (c).  The easiest way might be to put another parameters
table in the database with a set of maximum/minimum/default values.  Then
every time a parameter is modified, it is checked against the thresholds
and a warning output if they are exceeded.  (Note warning - we are
not stopping the user exceeding a threshold, we are just warning them that
it might not be advisable to do so.)</font></tt>
<br>
<br><tt><font size=2>Stephen</font></tt>
<br>