Scroll to navigation

PAM_SSS(8) Справка по SSSD PAM_SSS(8)

NAME

pam_sss - модуль PAM для SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]

ОПИСАНИЕ

pam_sss.so — это интерфейс PAM к сервису SSSD. Ошибки и результаты записываются в журнал посредством syslog(3) с LOG_AUTHPRIV.

ОПЦИИ

quiet

Подавлять сообщения журнала для неизвестных пользователей.

forward_pass

Если параметр forward_pass задан, введённый пароль будет помещён в стек для использования другими модулями PAM.

use_first_pass

Использование аргумента use_first_pass позволяет указать модулю принудительно использовать пароль ранее добавленного в стек модуля и никогда не запрашивать его у пользователя — если пароль недоступен или некорректен, пользователю будет отказано в доступе.

use_authtok

Если этот параметр задан, при смене пароля модуль установит в качестве нового пароля тот пароль, который предоставлен ранее добавленным в стек модулем обработки паролей.

retry=N

Если этот параметр задан, в случае неудачной проверки подлинности у пользователя будет N раз запрашиваться пароль. Значение по умолчанию — 0.

Обратите внимание, что этот параметр может не работать ожидаемым образом, если приложение, которое вызывает PAM, самостоятельно обрабатывает диалог с пользователем. Типичный пример: sshd с PasswordAuthentication.

ignore_unknown_user

Если этот параметр указан и пользователь не существует, модуль PAM вернёт PAM_IGNORE. В результате платформа PAM игнорирует этот модуль.

ignore_authinfo_unavail

Позволяет указать, что модуль PAM должен вернуть PAM_IGNORE, если ему не удаётся связаться с сервисом SSSD. В результате платформа PAM игнорирует этот модуль.

domains

Позволяет администратору ограничить перечень доменов, в которых может проходить проверку подлинности определённая служба PAM. Формат: разделённый запятыми список имён доменов SSSD, в том виде, в котором они указаны в файле sssd.conf.

ПРИМЕЧАНИЕ: при использовании для службы, которая запущена не от имени пользователя root (например, для веб-сервера), этот параметр необходимо использовать совместно с параметрами “pam_trusted_users” и “pam_public_domains”. Дополнительные сведения об этих двух параметрах ответчика PAM доступны на справочной странице sssd.conf(5).

allow_missing_name

Основная задача этого параметра — разрешить SSSD определять имя пользователя на основе дополнительной информации (например, сертификата со смарт-карты).

В настоящее время используется диспетчерами входа, которые могут отслеживать события карты на устройстве чтения смарт-карт. При вставке смарт-карты диспетчер входа вызовет стек PAM, который включает строку наподобие

auth sufficient pam_sss.so allow_missing_name

В этом случае SSSD попытается определить имя пользователя на основе содержимого смарт-карты, потом вернёт его pam_sss, который затем поместит его в стек PAM.

prompt_always

Всегда запрашивать учётные данные у пользователя. Если этот параметр включён, учётные данные, запрошенные другими модулями PAM (обычно это пароль), будут игнорироваться и pam_sss будет запрашивать учётные данные снова. В зависимости от ответа предварительной проверки подлинности, полученного от SSSD, pam_sss может запросить пароль, PIN-код смарт-карты или другие учётные данные.

try_cert_auth

Пытаться применить проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт-карты или аналогичных устройств. Если смарт-карта доступна и для службы разрешена проверка подлинности по смарт-карте, у пользователя будет запрошен PIN-код, после чего проверка подлинности на основе сертификата будет продолжена

Если смарт-карта недоступна или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL.

require_cert_auth

Выполнять проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт-карты или аналогичных устройств. Если смарт-карта недоступна, пользователю будет предложено вставить её. SSSD будет ожидать вставки смарт-карты до истечения тайм-аута, определённого параметром p11_wait_for_card_timeout, подробные сведения доступны на справочной странице sssd.conf(5).

Если смарт-карта недоступна по истечении тайм-аута или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL.

ПРЕДОСТАВЛЯЕМЫЕ ТИПЫ МОДУЛЕЙ

Предоставляются все типы модулей (account, auth, password и session).

Если ответчик PAM SSSD не запущен (например, когда недоступен сокет ответчика PAM), pam_sss вернёт PAM_USER_UNKNOWN при вызове в качестве модуля account, чтобы избежать проблем с пользователями из других источников во время управления доступом.

ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ

PAM_SUCCESS

Операция PAM успешно завершена.

PAM_USER_UNKNOWN

Пользователь неизвестен службе проверки подлинности или не запущен ответчик PAM SSSD.

PAM_AUTH_ERR

Сбой при проверке подлинности. Кроме того, может быть возвращено в случае проблемы с получением сертификата.

PAM_PERM_DENIED

Доступ запрещён. В журнале SSSD могут быть дополнительные сведения об этой ошибке.

PAM_IGNORE

Смотрите описание параметров ignore_unknown_user и ignore_authinfo_unavail.

PAM_AUTHTOK_ERR

Не удалось получить новый маркер проверки подлинности. Кроме того, может быть возвращено, когда пользователь проходит проверку подлинности с помощью сертификатов и доступно несколько сертификатов, но установленная версия GDM не поддерживает выбор из нескольких сертификатов.

PAM_AUTHINFO_UNAVAIL

Не удалось получить доступ к данным проверки подлинности. Это может быть связано со сбоем сети или оборудования.

PAM_BUF_ERR

Произошла ошибка памяти. Кроме того, может быть возвращено в том случае, если заданы параметры use_first_pass или use_authtok, но не был найден пароль, предоставленный ранее добавленным в стек модулем PAM.

PAM_SYSTEM_ERR

Произошла системная ошибка. В журнале SSSD могут быть дополнительные сведения об этой ошибке.

PAM_CRED_ERR

Не удалось задать учётные данные пользователя.

PAM_CRED_INSUFFICIENT

Приложение не располагает учётными данными, достаточными для проверки подлинности пользователя. Например, отсутствует PIN-код при проверке подлинности по смарт-карте или отсутствует фактор при двухфакторной проверке подлинности.

PAM_SERVICE_ERR

Ошибка в модуле службы.

PAM_NEW_AUTHTOK_REQD

Срок действия маркера проверки подлинности пользователя истёк.

PAM_ACCT_EXPIRED

Срок действия учётной записи пользователя истёк.

PAM_SESSION_ERR

Не удалось получить правила профилей рабочего стола IPA или информацию о пользователе.

PAM_CRED_UNAVAIL

Не удалось получить учётные данные пользователя Kerberos.

PAM_NO_MODULE_DATA

Kerberos не был найден способ проверки подлинности. Это могло произойти, если для записи пользователя назначена смарт-карта, но на клиенте недоступен модуль pkint.

PAM_CONV_ERR

Сбой обмена данными.

PAM_AUTHTOK_LOCK_BUSY

Нет доступных KDC, которые подходят для смены пароля.

PAM_ABORT

Неизвестный вызов PAM.

PAM_MODULE_UNKNOWN

Неподдерживаемое задание или команда PAM.

PAM_BAD_ITEM

Модулю проверки подлинности не удалось обработать учётные данные со смарт-карты.

ФАЙЛЫ

Когда не удаётся выполнить сброс пароля от имени пользователя root из-за того, что соответствующий поставщик SSSD не поддерживает сброс пароля, может быть показано отдельное сообщение. Это сообщение может, например, содержать инструкции по сбросу пароля.

Это сообщение читается из файла pam_sss_pw_reset_message.LOC, где LOC обозначает строку локали, возвращённую setlocale(3). Если такого файла нет, отображается содержимое pam_sss_pw_reset_message.txt. Владельцем файлов должен быть пользователь root, при этом права на чтение и запись могут быть только у пользователя root, а у всех остальных пользователей должны быть права только на чтение.

Поиск этих файлов выполняется в каталоге /etc/sssd/customize/DOMAIN_NAME/. Если соответствующего файла нет, будет показано общее сообщение.

СМ. ТАКЖЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

10/01/2024 SSSD