PAM_SYSTEMD_HOME(8) | pam_systemd_home | PAM_SYSTEMD_HOME(8) |
BEZEICHNUNG¶
pam_systemd_home - Mittels systemd-homed.service Benutzer authentifizieren und Home-Verzeichnisse einhängen
ÜBERSICHT¶
pam_systemd_home.so
BESCHREIBUNG¶
pam_systemd_home stellt sicher, dass durch systemd-homed.service(8) verwaltete Home-Verzeichnisse bei der Benutzeranmeldung automatisch aktiviert (eingehängt) und bei der Beendigung der letzten Sitzung des Benutzers deaktiviert (ausgehängt) werden. Für solche Benutzer stellt es auch eine Authentifizierung (wenn benutzerbezogene Plattenverschlüsselung verwandt wird, wird der Platten-Verschlüsselungsschlüssel aus den Authentifizierungs-Zugangsberechtigungen abgeleitet, die beim Anmelden bereitgestellt wurden) und Kontenverwaltung bereit (der in die Home-Speicherung eingebettete JSON-Benutzerdatensatz[1] enthält Kontendetails) und implementiert die Aktualisierung des Verschlüsselungspassworts (das auch für die Benutzer-Authentifizierung verwandt wird).
OPTIONEN¶
Die folgenden Optionen werden verstanden:
suspend=
Beachten Sie, dass TTY-Anmeldungen im Allgemeinen beim Aufwachen keine erneute Authentifizierung unterstützen. Die erneute Authentifizierung beim Aufwachen des Systems ist ein Konzept, das primär von graphischen Umgebungen unterstützt wird, bei denen beim Schlafenlegen automatisch Sperrbildschirme hochgebracht werden. Dies bedeutet, dass das Home-Verzeichnis beim Suspendieren aufgrund der oben beschriebenen Logik nicht gesperrt wird, wenn der Benutzer parallel graphische Anmeldungen, die die benötigte erneute Authentifizierung unterstützen, und Konsole-Anmeldungen, bei denen dies nicht der Fall ist, verwendet. Trotzdem ist es möglich, dieses Feld auch für TTY-Anmeldungen zu verwenden und die Tatsache zu ignorieren, dass TTY-Anmeldungen den Mechanismus der erneuten Authentifizierung nicht unterstützen. In diesem Fall erscheint die TTY-Sitzung aufgehangen, bis der Benutzer sich in einem anderen virtuellen Terminal anmeldet (unabhängig davon, ob dies eine andere TTY-Sitzung oder graphisch erfolgt), wodurch das Home-Verzeichnis wieder aufgeweckt wird und die Blockade der ursprünglichen TTY-Sitzung aufgehoben wird. (Beachten Sie, dass das Fehlen von Bildschirmsperren bei TTY-Sitzungen bedeutet, dass Tastenanschläge weiterhin in die Warteschlange gestellt werden können, obwohl die TTY-Sitzung aufgehangen erscheint, und die bestehenden Bildschirminhalte ohne erneute Authentifizierung gelesen werden können; diese Einschränkung steht nicht in Bezug zu der Verwaltung des Home-Verzeichnisses durch pam_systemd_home und systemd-homed.service.)
Es wird für alle Sitzungen nachdrücklich empfohlen, diese Option einzuschalten, aber nur, falls der Dienst, der diese Sitzungen verwaltet, die vorab erwähnte erneute Authentifizierung korrekt implementiert. Beachten Sie, dass die erneute Authentifizierung durch eine Komponente stattfinden muss, die außerhalb des Kontextes des Benutzers läuft, so dass sie keinen Zugriff auf das Home-Verzeichnis für diese Aktion benötigt. Traditionell implementieren die meisten Desktop-Umgebungen Bildschirmschoner nicht auf diese Art und müssen entsprechend aktualisiert werden.
Diese Einstellung kann auch mittels der Umgebungsvariable $SYSTEMD_HOME_SUSPEND (siehe unten) gesteuert werden, die pam_systemd_home während der Initialisierung liest und für Sitzungen setzt. Falls sowohl die Umgebungsvariable gesetzt als auch der Modulparameter angegeben ist, hat der Modulparameter Vorrang.
Hinzugefügt in Version 245.
debug[=]
Hinzugefügt in Version 245.
BEREITGESTELLTE MODULTYPEN¶
Dieses Modul implementiert alle vier PAM-Aktionen: auth (Authentifizierung erlauben, um die verschlüsselten Daten zu benutzen), account (da Benutzer mit systemd-homed.service-Benutzerkonten in einem JSON-Benutzerdatensatz[1] beschrieben und detaillierter konfiguriert werden können, als in der traditionellen Linux-Benutzerdatenbank), session (da Benutzersitzungen nachverfolgt werden müssen, um automatische Freigaben zu implementieren, wenn die letzte Sitzung eines Benutzers verschwunden ist), password (um das Verschlüsselungspasswort über PAM zu ändern – auch für die Authentifizierung verwandt).
UMGEBUNGSVARIABLEN¶
Die folgenden Umgebungsvariablen werden durch das Modul initialisiert und stehen den Prozessen der Sitzung des Benutzers zur Verfügung:
$SYSTEMD_HOME=1
Hinzugefügt in Version 245.
$SYSTEMD_HOME_SUSPEND=
Hinzugefügt in Version 246.
BEISPIEL¶
Es folgt ein Beispiel-PAM-Konfigurationsfragment, das die Verwendung von durch systemd-homed.service verwalteten Benutzern bei der Anmeldung erlaubt:
#%PAM-1.0 auth sufficient pam_unix.so -auth sufficient pam_systemd_home.so auth required pam_deny.so account required pam_nologin.so -account sufficient pam_systemd_home.so account sufficient pam_unix.so account required pam_permit.so -password sufficient pam_systemd_home.so password sufficient pam_unix.so sha512 shadow try_first_pass password required pam_deny.so -session optional pam_keyinit.so revoke -session optional pam_loginuid.so -session optional pam_systemd_home.so -session optional pam_systemd.so session required pam_unix.so
SIEHE AUCH¶
systemd(1), systemd-homed.service(8), homed.conf(5), homectl(1), pam_systemd(8), pam.conf(5), pam.d(5), pam(8)
ANMERKUNGEN¶
- 1.
- JSON-Benutzerdatensatz
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 255 |