NAME¶
pam_sss - PAM-modul för SSSD
SYNOPSIS¶
pam_sss.so [quiet] [forward_pass]
[use_first_pass] [use_authtok] [retry=N]
[ignore_unknown_user] [ignore_authinfo_unavail]
[domains=X] [allow_missing_name] [prompt_always]
[try_cert_auth] [require_cert_auth]
[allow_chauthtok_by_root]
BESKRIVNING¶
pam_sss.so är PAM-gränssnittet till System
Security Services daemon (SSSD). Fel och resultat loggas via
syslog(3) med funktionen LOG_AUTHPRIV.
FLAGGOR¶
quiet
Undertryck loggmeddelanden om okända
användare.
forward_pass
Om forward_pass är satt läggs det
inskrivna lösenordet på stacken så att andra PAM-moduler
kan använda det.
use_first_pass
Argumentet use_first_pass tvingar modulen att
använda tidigare stackade modulers lösenord och kommer aldrig
fråga användaren – om inget lösenord är
tillgängligt eller lösenordet inte stämmer kommer
användaren nekas åtkomst.
use_authtok
Vid lösenordsändring tvinga modulen till
att sätta det nya lösenordet till det som gavs av en tidigare
stackad lösenordsmodul.
retry=N
Om angivet frågas användaren ytterligare N
gånger om ett lösenord ifall autentiseringen misslyckas.
Standard är 0.
Observera att detta alternativ kanske inte fungerar som
förväntat ifall programmet som anropar PAM hanterar
användardialogen själv. Ett typiskt exempel är
sshd med PasswordAuthentication.
ignore_unknown_user
Om detta alternativ anges och användaren inte
finns kommer PAM-modulen returnera PAM_IGNORE. Detta får PAM-ramverket
att ignorera denna modul.
ignore_authinfo_unavail
Anger att PAM-modulen skall returnera PAM_IGNORE om det
inte kan kontakta SSSD-demonen. Detta får PAM-ramverket att ignorera
denna modul.
domains
Tillåter administratören att
begränsa domänerna en viss PAM-tjänst tillåts
autentisera emot. Formatet är en kommaseparerad lista över
SSSD-domännamn som de specificeras i filen sssd.conf.
OBS: om detta används för en tjänst som inte
kör som root-användaren, t.ex. en webb-server, måste
det användas tillsammans med flaggorna
“pam_trusted_users” och “pam_public_domains”. Se
manualsidan sssd.conf(5) för mer information om dessa
två PAM-respondentalternativ.
allow_missing_name
Huvudsyftet med denna flagga är att låta
SSSD avgöra användarnamnet baserat på ytterligare
information, t.ex. certifikatet från ett smartkort.
Det aktuella användningsfallet är
inloggningshanterare som kan övervaka en smartkortläsare om
korthändelser. Ifall en smartkort sätts in kommer
inloggningshanteraren anropa en PAM-stack som innehåller en rad
som
auth sufficient pam_sss.so allow_missing_name
I detta fall kommer SSSD försöka avgöra
användarnamnet baserat på innehållet på
smartkortet, returnerar det till pam_sss som slutligen kommer lägga
det på PAM-stacken.
prompt_always
Fråga alltid användaren om kreditiv. Med
denna flagga kommer kreditiv begärda av andra PAM-moduler, typiskt ett
lösenord, ignoreras och pam_sss kommer fråga efter kreditiv
igen. Baserat på förautentiseringssvaret från SSSD kan
pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN
eller andra kreditiv.
try_cert_auth
Försök använda certifikatbaserad
smartkortsautentisering, d.v.s. autentisering med smartkort eller liknande
enheter. Om ett smartkort är tillgängligt och tjänsten
tillåter smartkortsautentisering kommer användaren frågas
om ett PIN och certifikatbaserad autentisering kommer fortsätta
Om inget smartkort är tillgängligt eller
certifikatbaserad autentisering inte är tillåten för
den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Använd certifikatbaserad autentisering, d.v.s.
autentisering med smartkort eller liknande enheter. Om ett smartkort inte
är tillgängligt ombeds användaren att sätta in
ett. SSSD kommer att vänta på ett smartkort tills
tidsgränsen definierad av p11_wait_for_card_timeout har passerats, se
sssd.conf(5) för detaljer.
Om inget smartkort är tillgängligt efter att
tidsgränsen passerats eller om certifikatbaserad autentisering inte
är tillåten för den aktuella tjänsten returneras
PAM_AUTHINFO_UNAVAIL.
allow_chauthtok_by_root
By default the chauthtok PAM action will short-circuit to
returning PAM_SUCCESS when pam_sss.so is invoked by root user.
This option disables this behavior allowing to change auth tokens
when running as root.
TILLHANDAHÅLLNA MODULTYPER¶
Alla modultyper (account, auth, password och
session) tillhandahålls.
Om SSSD:s PAM-respondent inte kör, t.ex. om
PAM-respondentens uttag (socket) inte är tillgängligt kommer
pam_sss returnera PAM_USER_UNKNOWN när det anropas som modulen
account för att undvika problem med användare
från andra källor under åtkomstkontroll.
RETURVÄRDEN¶
PAM_SUCCESS
PAM-åtgärden avslutades
framgångsrikt.
PAM_USER_UNKNOWN
Användaren är inte känd av
autentiseringstjänsten eller så kör inte SSSD:s
PAM-respondent.
PAM_AUTH_ERR
Misslyckad autentisering. Kan också returneras
när det är problem med att hämta certifikatet.
PAM_PERM_DENIED
Åtkomst nekas. SSSD-loggfilerna kan
innehålla ytterligare information om felet.
PAM_IGNORE
Se flaggorna ignore_unknown_user och
ignore_authinfo_unavail.
PAM_AUTHTOK_ERR
Kan inte hämta det nya autentiseringstecknet. Kan
också returneras när användaren autentiserar med
certifikat och flera certifikat är tillgängliga, men den
installerade versionen av GDM inte stödjer val bland flera
certifikat.
PAM_AUTHINFO_UNAVAIL
Kan inte komma åt autentiseringsinformationen.
Detta kan bero på ett nätverks- eller hårdvarufel.
PAM_BUF_ERR
Ett minnesfel uppstod. Kan också returneras
när flagga use_first_pass eller use_authtok är satt, men inget
lösenord hittades från den tidigare stackade PAM-modulen.
PAM_SYSTEM_ERR
Ett systemfel uppstod. SSSD-loggfilerna kan
innehålla ytterligare information om felet.
PAM_CRED_ERR
Kan inte sätta kreditiv för
användaren.
PAM_CRED_INSUFFICIENT
Programmet har inte tillräckliga kreditiv
för att autentisera användaren. Till exempel saknas PIN under
smartkortsautentisering eller en saknad faktor under
tvåfaktorautentisering.
PAM_SERVICE_ERR
Fel i tjänstemodul.
PAM_NEW_AUTHTOK_REQD
Användarens autentiseringstecken har gått
ut.
PAM_ACCT_EXPIRED
Användarkontot har gått ut.
PAM_SESSION_ERR
Kan inte hämta IPA-skrivbordsprofilsregler eller
-användarinformation.
PAM_CRED_UNAVAIL
Kan inte hämta
Kerberos-användarkreditiv.
PAM_NO_MODULE_DATA
Ingen autentiseringsmetod hittades av Kerberos. Detta kan
inträffa om användaren har ett smartkort tilldelat men
insticksmodulen pkint inte är tillgänglig på
klienten.
PAM_CONV_ERR
Konversationsfel.
PAM_AUTHTOK_LOCK_BUSY
Ingen KDC lämpad för
lösenordsändringar finns tillgänglig.
PAM_ABORT
Okänt PAM-anrop.
PAM_MODULE_UNKNOWN
PAM-uppgift eller -kommando som inte stödjs.
PAM_BAD_ITEM
Autentiseringsmodulen kan inte hantera
smartkortskreditiv.
FILER¶
Om en återställning av lösenord av root
misslyckas, för att motsvarande SSSD-leverantör inte
stödjer återställning av lösenord, kan ett
individuellt meddelande visas. Detta meddelande kan t.ex. innehålla
instruktioner hur man återställer ett lösenord.
Meddelandet läses från filen
pam_sss_pw_reset_message.LOK där LOK står för en
lokalsträng som den returneras av setlocale(3). Om det inte
finns någon matchande fil visas innehållet i
pam_sss_pw_reset_message.txt. Root måste vara ägaren av
filerna och endast root får ha läs- och
skrivrättigheter medan alla andra användare endast får
ha läsrättigheter.
Dessa filer söks efter i katalogen
/etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas
ett allmänt meddelande.
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5),
sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5),
sssd-ipa(5), sssd-ad(5), sssd-idp(5),
sssd-sudo(5), sssd-session-recording(5), sss_cache(8),
sss_debuglevel(8), sss_obfuscate(8), sss_seed(8),
sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1),
sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8).
sss_rpcidmapd(5)