SSSD-KCM(8) | Форматы файлов и рекомендации | SSSD-KCM(8) |
NAME¶
sssd-kcm - Диспетчер кэшей Kerberos SSSD
ОПИСАНИЕ¶
На этой справочной странице представлено описание настройки диспетчера кэшей Kerberos SSSD (Kerberos Cache Manager или KCM). KCM — это процесс, который хранит кэши учётных данных Kerberos, отслеживает эти кэши и управляет ими. Он был создан на основе проекта Heimdal Kerberos, хотя библиотека MIT Kerberos также предоставляет поддержку со стороны клиента (подробнее об этом далее) для кэша учётных данных KCM.
В конфигурации, где кэшами Kerberos управляет KCM, библиотека Kerberos (обычно используемая через приложение, например kinit(1)) является “клиентом KCM”, а внутренняя служба KCM называется “сервером KCM”. Клиент и сервер обмениваются данными с помощью сокета UNIX.
Сервер KCM следит за всеми владельцами кэшей учётных данных и осуществляет управление проверками прав доступа на основе UID и GID клиента KCM. Пользователь root имеет доступ ко всем кэшам учётных данных.
Кэш учётных данных KCM обладает несколькими интересными свойствами:
Это позволяет системе использовать кэш учётных данных с учётом сбора, одновременно делая кэш учётных данных общим для нескольких контейнеров (или для никаких контейнеров вообще) путём привязки-монтирования сокета.
Тайм-аут простоя клиента KCM по умолчанию составляет 5 минут, что предоставляет больше времени на взаимодействие пользователя с инструментами командной строки, например kinit.
ИСПОЛЬЗОВАНИЕ КЭША УЧЁТНЫХ ДАННЫХ KCM¶
Чтобы использовать кэш учётных данных KCM, необходимо выбрать его в качестве стандартного типа учётных данных в krb5.conf(5). Именем кэша учётных данных может быть только “KCM:”, без каких-либо расширений шаблонов. Например:
[libdefaults]
default_ccache_name = KCM:
Далее следует указать одинаковый путь к сокету UNIX для клиентских библиотек Kerberos и сервера KCM. По умолчанию и для библиотек, и для сервера используется путь /var/run/.heim_org.h5l.kcm-socket. Чтобы настроить библиотеку Kerberos, измените её параметр “kcm_socket”, описание которого приводится на справочной странице krb5.conf(5).
И наконец, следует убедиться, что с сервером KCM SSSD можно связаться. Служба KCM обычно активируется systemd(1) с помощью сокета. В отличие от других служб SSSD, её нельзя запустить, добавив строку “kcm” к инструкции “service”.
systemctl start sssd-kcm.socket systemctl enable sssd-kcm.socket
Обратите внимание, что в дистрибутиве уже может быть выполнена соответствующая настройка модулей.
ХРАНИЛИЩЕ КЭША УЧЁТНЫХ ДАННЫХ¶
Кэши учётных данных хранятся в базе данных, что очень похоже на хранение кэшей записей пользователей и групп SSSD. Обычно эта база данных находится по адресу “/var/lib/sss/secrets”.
ПОЛУЧЕНИЕ ЖУРНАЛА ОТЛАДКИ¶
Служба sssd-kcm обычно активируется на сокете systemd(1). Для генерации журнала отладки добавьте следующее либо непосредственно в файл /etc/sssd/sssd.conf, либо как фрагмент конфигурации в каталог /etc/sssd/conf.d/:
[kcm] debug_level = 10
Затем перезапустите службу sssd-kcm:
systemctl restart sssd-kcm.service
И выполните те действия, которые не приводят к желаемым результатам. Журнал KCM будет записан в /var/log/sssd/sssd_kcm.log. Когда в работе службы отладки больше не будет необходимости, рекомендуется отключить журнал отладки, так как служба sssd-kcm может генерировать довольно большое количество данных отладки.
Обратите внимание, что в настоящее время фрагменты конфигурации обрабатываются только в том случае, если основной файл конфигурации по пути /etc/sssd/sssd.conf существует.
ОБНОВЛЕНИЯ¶
Службу sssd-kcm можно настроить на выполнение попыток обновления TGT для обновляемых TGT, которые хранятся в ccache KCM. Попытка обновления выполняется только в том случае, если прошла половина времени жизни билета. Обновления KCM настраиваются при установке следующих параметров в разделе [kcm]:
tgt_renewal = true krb5_renew_interval = 60m
SSSD также может наследовать параметры krb5 для обновлений из существующего домена.
tgt_renewal = true tgt_renewal_inherit = domain-name
Для управления поведением обновлений в разделе [kcm] можно настроить следующие параметры krb5 (подробное описание этих параметров приводится далее)
krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout
ПАРАМЕТРЫ КОНФИГУРАЦИИ¶
Служба KCM настраивается в разделе “kcm” файла sssd.conf. Обратите внимание: так как служба KCM обычно активируется с помощью сокета, достаточно просто перезапустить службу “sssd-kcm” после изменения параметров в разделе “kcm” sssd.conf:
systemctl restart sssd-kcm.service
Настройки службы KCM выполняются с помощью “kcm”. Подробные сведения о синтаксисе доступны в разделе “ФОРМАТ ФАЙЛА” справочной страницы sssd.conf(5).
Службе kcm можно передавать типовые параметры сервиса SSSD, такие как “debug_level” или“fd_limit”. Полный список параметров доступен на справочной странице sssd.conf(5). Кроме того, предусмотрено несколько специфичных для KCM параметров.
socket_path (строка)
По умолчанию: /var/run/.heim_org.h5l.kcm-socket
Примечание: на платформах, которые поддерживают systemd, путь к сокету перезаписан путём, который определён в файле модуля sssd-kcm.socket.
max_ccaches (целое число)
По умолчанию: 0 (без ограничений, принудительно применяется только квота для отдельного UID)
max_uid_ccaches (целое число)
По умолчанию: 64
max_ccache_size (целое число)
По умолчанию: 65536
tgt_renewal (логическое значение)
По умолчанию: False (автоматические обновления отключены)
tgt_renewal_inherit (строка)
По умолчанию: NULL
krb5_auth_timeout (целое число)
По умолчанию: 6
krb5_validate (логическое значение)
По умолчанию: false (для поставщиков данных IPA и AD: true)
Обратите внимание, что проверка билета — это первый шаг при проверке PAC (дополнительные сведения доступны в описании параметра «pac_check» на справочной странице sssd.conf(5)). Если проверка билета отключена, проверки PAC также будут пропущены.
krb5_renewable_lifetime (строка)
s для секунд
m для минут
h для часов
d для дней.
Если единица измерения не указана, предполагается, что используется значение s.
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое время жизни равным полутора часам, укажите «90m», а не «1h30m».
По умолчанию: не задано, то есть TGT не является обновляемым
krb5_lifetime (строка)
s для секунд
m для минут
h для часов
d для дней.
Если единица измерения не указана, предполагается, что используется значение s.
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить время жизни равным полутора часам, укажите «90m», а не «1h30m».
По умолчанию: не задано, то есть стандартное время жизни билета, настроенное в параметрах KDC.
krb5_renew_interval (строка)
s для секунд
m для минут
h для часов
d для дней.
Если единица измерения не указана, предполагается, что используется значение s.
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое время жизни равным полутора часам, укажите «90m», а не «1h30m».
Если этот параметр не указан или установлен в значение «0», автоматическое обновление отключено.
По умолчанию: не задано
krb5_canonicalize (логическое значение)
По умолчанию: false
СМ. ТАКЖЕ¶
AUTHORS¶
Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/
10/01/2024 | SSSD |