Scroll to navigation

PAM_SSS(8) SSSD manualsidor PAM_SSS(8)

NAME

pam_sss - PAM-modul för SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]

BESKRIVNING

pam_sss.so är PAM-gränssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via syslog(3) med funktionen LOG_AUTHPRIV.

FLAGGOR

quiet

Undertryck loggmeddelanden om okända användare.

forward_pass

Om forward_pass är satt läggs det inskrivna lösenordet på stacken så att andra PAM-moduler kan använda det.

use_first_pass

Argumentet use_first_pass tvingar modulen att använda tidigare stackade modulers lösenord och kommer aldrig fråga användaren – om inget lösenord är tillgängligt eller lösenordet inte stämmer kommer användaren nekas åtkomst.

use_authtok

Vid lösenordsändring tvinga modulen till att sätta det nya lösenordet till det som gavs av en tidigare stackad lösenordsmodul.

retry=N

Om angivet frågas användaren ytterligare N gånger om ett lösenord ifall autentiseringen misslyckas. Standard är 0.

Observera att detta alternativ kanske inte fungerar som förväntat ifall programmet som anropar PAM hanterar användardialogen själv. Ett typiskt exempel är sshd med PasswordAuthentication.

ignore_unknown_user

Om detta alternativ anges och användaren inte finns kommer PAM-modulen returnera PAM_IGNORE. Detta får PAM-ramverket att ignorera denna modul.

ignore_authinfo_unavail

Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta SSSD-demonen. Detta får PAM-ramverket att ignorera denna modul.

domains

Tillåter administratören att begränsa domänerna en viss PAM-tjänst tillåts autentisera emot. Formatet är en kommaseparerad lista över SSSD-domännamn som de specificeras i filen sssd.conf.

OBS: om detta används för en tjänst som inte kör som root-användaren, t.ex. en webb-server, måste det användas tillsammans med flaggorna “pam_trusted_users” och “pam_public_domains”. Se manualsidan sssd.conf(5) för mer information om dessa två PAM-respondentalternativ.

allow_missing_name

Huvudsyftet med denna flagga är att låta SSSD avgöra användarnamnet baserat på ytterligare information, t.ex. certifikatet från ett smartkort.

Det aktuella användningsfallet är inloggningshanterare som kan övervaka en smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer inloggningshanteraren anropa en PAM-stack som innehåller en rad som

auth sufficient pam_sss.so allow_missing_name

I detta fall kommer SSSD försöka avgöra användarnamnet baserat på innehållet på smartkortet, returnerar det till pam_sss som slutligen kommer lägga det på PAM-stacken.

prompt_always

Fråga alltid användaren om kreditiv. Med denna flagga kommer kreditiv begärda av andra PAM-moduler, typiskt ett lösenord, ignoreras och pam_sss kommer fråga efter kreditiv igen. Baserat på förautentiseringssvaret från SSSD kan pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN eller andra kreditiv.

try_cert_auth

Försök använda certifikatbaserad smartkortsautentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort är tillgängligt och tjänsten tillåter smartkortsautentisering kommer användaren frågas om ett PIN och certifikatbaserad autentisering kommer fortsätta

Om inget smartkort är tillgängligt eller certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.

require_cert_auth

Använd certifikatbaserad autentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort inte är tillgängligt ombeds användaren att sätta in ett. SSSD kommer att vänta på ett smartkort tills tidsgränsen definierad av p11_wait_for_card_timeout har passerats, se sssd.conf(5) för detaljer.

Om inget smartkort är tillgängligt efter att tidsgränsen passerats eller om certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.

TILLHANDAHÅLLNA MODULTYPER

Alla modultyper (account, auth, password och session) tillhandahålls.

Om SSSD:s PAM-respondent inte kör, t.ex. om PAM-respondentens uttag (socket) inte är tillgängligt kommer pam_sss returnera PAM_USER_UNKNOWN när det anropas som modulen account för att undvika problem med användare från andra källor under åtkomstkontroll.

RETURVÄRDEN

PAM_SUCCESS

PAM-åtgärden avslutades framgångsrikt.

PAM_USER_UNKNOWN

Användaren är inte känd av autentiseringstjänsten eller så kör inte SSSD:s PAM-respondent.

PAM_AUTH_ERR

Misslyckad autentisering. Kan också returneras när det är problem med att hämta certifikatet.

PAM_PERM_DENIED

Åtkomst nekas. SSSD-loggfilerna kan innehålla ytterligare information om felet.

PAM_IGNORE

Se flaggorna ignore_unknown_user och ignore_authinfo_unavail.

PAM_AUTHTOK_ERR

Kan inte hämta det nya autentiseringstecknet. Kan också returneras när användaren autentiserar med certifikat och flera certifikat är tillgängliga, men den installerade versionen av GDM inte stödjer val bland flera certifikat.

PAM_AUTHINFO_UNAVAIL

Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett nätverks- eller hårdvarufel.

PAM_BUF_ERR

Ett minnesfel uppstod. Kan också returneras när flagga use_first_pass eller use_authtok är satt, men inget lösenord hittades från den tidigare stackade PAM-modulen.

PAM_SYSTEM_ERR

Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare information om felet.

PAM_CRED_ERR

Kan inte sätta kreditiv för användaren.

PAM_CRED_INSUFFICIENT

Programmet har inte tillräckliga kreditiv för att autentisera användaren. Till exempel saknas PIN under smartkortsautentisering eller en saknad faktor under tvåfaktorautentisering.

PAM_SERVICE_ERR

Fel i tjänstemodul.

PAM_NEW_AUTHTOK_REQD

Användarens autentiseringstecken har gått ut.

PAM_ACCT_EXPIRED

Användarkontot har gått ut.

PAM_SESSION_ERR

Kan inte hämta IPA-skrivbordsprofilsregler eller -användarinformation.

PAM_CRED_UNAVAIL

Kan inte hämta Kerberos-användarkreditiv.

PAM_NO_MODULE_DATA

Ingen autentiseringsmetod hittades av Kerberos. Detta kan inträffa om användaren har ett smartkort tilldelat men insticksmodulen pkint inte är tillgänglig på klienten.

PAM_CONV_ERR

Konversationsfel.

PAM_AUTHTOK_LOCK_BUSY

Ingen KDC lämpad för lösenordsändringar finns tillgänglig.

PAM_ABORT

Okänt PAM-anrop.

PAM_MODULE_UNKNOWN

PAM-uppgift eller -kommando som inte stödjs.

PAM_BAD_ITEM

Autentiseringsmodulen kan inte hantera smartkortskreditiv.

FILER

Om en återställning av lösenord av root misslyckas, för att motsvarande SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man återställer ett lösenord.

Meddelandet läses från filen pam_sss_pw_reset_message.LOK där LOK står för en lokalsträng som den returneras av setlocale(3). Om det inte finns någon matchande fil visas innehållet i pam_sss_pw_reset_message.txt. Root måste vara ägaren av filerna och endast root får ha läs- och skrivrättigheter medan alla andra användare endast får ha läsrättigheter.

Dessa filer söks efter i katalogen /etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas ett allmänt meddelande.

SE ÄVEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

10/01/2024 SSSD