table of contents
PAM_SSS(8) | SSSD manualsidor | PAM_SSS(8) |
NAME¶
pam_sss - PAM-modul för SSSD
SYNOPSIS¶
pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]
BESKRIVNING¶
pam_sss.so är PAM-gränssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via syslog(3) med funktionen LOG_AUTHPRIV.
FLAGGOR¶
quiet
forward_pass
use_first_pass
use_authtok
retry=N
Observera att detta alternativ kanske inte fungerar som förväntat ifall programmet som anropar PAM hanterar användardialogen själv. Ett typiskt exempel är sshd med PasswordAuthentication.
ignore_unknown_user
ignore_authinfo_unavail
domains
OBS: om detta används för en tjänst som inte kör som root-användaren, t.ex. en webb-server, måste det användas tillsammans med flaggorna “pam_trusted_users” och “pam_public_domains”. Se manualsidan sssd.conf(5) för mer information om dessa två PAM-respondentalternativ.
allow_missing_name
Det aktuella användningsfallet är inloggningshanterare som kan övervaka en smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer inloggningshanteraren anropa en PAM-stack som innehåller en rad som
auth sufficient pam_sss.so allow_missing_name
I detta fall kommer SSSD försöka avgöra användarnamnet baserat på innehållet på smartkortet, returnerar det till pam_sss som slutligen kommer lägga det på PAM-stacken.
prompt_always
try_cert_auth
Om inget smartkort är tillgängligt eller certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Om inget smartkort är tillgängligt efter att tidsgränsen passerats eller om certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.
TILLHANDAHÅLLNA MODULTYPER¶
Alla modultyper (account, auth, password och session) tillhandahålls.
Om SSSD:s PAM-respondent inte kör, t.ex. om PAM-respondentens uttag (socket) inte är tillgängligt kommer pam_sss returnera PAM_USER_UNKNOWN när det anropas som modulen account för att undvika problem med användare från andra källor under åtkomstkontroll.
RETURVÄRDEN¶
PAM_SUCCESS
PAM_USER_UNKNOWN
PAM_AUTH_ERR
PAM_PERM_DENIED
PAM_IGNORE
PAM_AUTHTOK_ERR
PAM_AUTHINFO_UNAVAIL
PAM_BUF_ERR
PAM_SYSTEM_ERR
PAM_CRED_ERR
PAM_CRED_INSUFFICIENT
PAM_SERVICE_ERR
PAM_NEW_AUTHTOK_REQD
PAM_ACCT_EXPIRED
PAM_SESSION_ERR
PAM_CRED_UNAVAIL
PAM_NO_MODULE_DATA
PAM_CONV_ERR
PAM_AUTHTOK_LOCK_BUSY
PAM_ABORT
PAM_MODULE_UNKNOWN
PAM_BAD_ITEM
FILER¶
Om en återställning av lösenord av root misslyckas, för att motsvarande SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man återställer ett lösenord.
Meddelandet läses från filen pam_sss_pw_reset_message.LOK där LOK står för en lokalsträng som den returneras av setlocale(3). Om det inte finns någon matchande fil visas innehållet i pam_sss_pw_reset_message.txt. Root måste vara ägaren av filerna och endast root får ha läs- och skrivrättigheter medan alla andra användare endast får ha läsrättigheter.
Dessa filer söks efter i katalogen /etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas ett allmänt meddelande.
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
SSSD uppströms – https://github.com/SSSD/sssd/
10/01/2024 | SSSD |