1. Manuals
  2. Tumbleweed
  3. sssd
  4. pam_sss_gss(8)

Scroll to navigation

PAM_SSS_GSS(8) SSSD manualsidor PAM_SSS_GSS(8)

NAME

pam_sss_gss - PAM-modul för SSSD GSSAPI-autentisering

SYNOPSIS

pam_sss_gss.so [felsökning]

BESKRIVNING

pam_sss_gss.so autentiserar användaren över GSSAPI i samarbete med SSSD.

Denna modul kommer försöka autentisera användaren med det värdbaserade GSSAPI-tjänstenamnet värd@värdnamn vilket översätts till Kerberos-huvudmannen värd/värdnamn@RIKE. Delen RIKE av Kerberos-huvudmannanamnet härleds av Kerberos interna mekanismer och det kan sättas uttryckligen i konfigurationen av sektionen [domain_realm] i /etc/krb5.conf.

SSSD används för att tillhandahålla det önskade tjänstenamnet och för att validera användarens kreditiv med GSSAPI-anrop. Om tjänstebiljetten redan är tillgänglig i Kerberos kreditiv-cache eller om användarens biljettgivarbiljett kan användas för att få det korrekta tjänstebiljetten, i så fall kommer användaren autentiseras.

Om pam_gssapi_check_upn är sant (standard) kräver SSSD att kreditiven som använts till att få denna tjänstebiljett kan associeras med användaren. Detta betydera tt huvudmannen som äger Kerberos-kreditiven måste stämma med användarens huvudmannanamn så som det definieras i LDAP.

För att aktivera GSSAPI-autentisering i SSSD, sätt alternativet pam_gssapi_services i [pam] eller domänsektionen i sssd.conf. Tjänstekreditiven behöver lagras i SSSD:s keytab (de finns där redan om man använder leverantören ipa eller ad). Keytab-platsen kan anges med alternativet krb5_keytab. Se sssd.conf(5) och sssd-krb5(5) för fler detaljer om dessa alternativ.

Några Kerberos-installationer tillåter associationen av autentiseringsindikatorer med en viss förautentiseringsmetod använd för att hämta biljettgivarbiljetten av användaren. pam_sss_gss.so gör att man kan kräva närvaron av autentiseringsindikatorer i tjänstebiljetten för en viss PAM-tjänst kan nås.

Om pam_gssapi_indicators_map är satt i sektionen [pam] eller domänsektionen i sssd.conf kommer SSSD utföra en kontroll av närvaron av några konfigurerade indikatorer i tjänstebiljetten.

FLAGGOR

debug

Skriv ut felsökningsinformation.

TILLHANDAHÅLLNA MODULTYPER

Endast modulen auth tillhandahålls.

RETURVÄRDEN

PAM_SUCCESS

PAM-åtgärden avslutades framgångsrikt.

PAM_USER_UNKNOWN

Användaren är inte känd av autentiseringstjänsten eller så stödjs inte autentisering med GSSAPI.

PAM_AUTH_ERR

Autentiseringsfel.

PAM_AUTHINFO_UNAVAIL

Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett nätverks- eller hårdvarufel.

PAM_SYSTEM_ERR

Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare information om felet.

EXEMPEL

Det huvudsakliga användningsfallet är att tillhandahålla lösenordsfri autentisering i sudo men utan behovet av att avaktivera autentisering helt. För att uppnå detta, aktivera först GSSAPI-autentisering av sudo i sssd.conf:

[domain/MINDOMÄN]
pam_gssapi_services = sudo, sudo-i

Aktivera sedan modulen i den önskande PAM-stacken (t.ex. /etc/pam.d/sudo och /etc/pam.d/sudo-i).

...
auth sufficient pam_sss_gss.so
...

FELSÖKNING

SSSD-loggar, pam_sss_gss felsökningsutmatning och syslog kan innehålla användbar information om felet. Här är några vanliga problem:

1. Jag har miljövariabeln KRB5CCNAME satt och autentiseringen fungerar inte: beroende på din sudo-versionär det möjligt att sudo inte skickar denna variabel till PAM-miljön. Försök lägga till KRB5CCNAME till env_keep i /etc/sudoers eller i dina LDAP-sudo-reglers standardalternativ.

2. Autentiseringen fungerar inte och syslog innehåller ”Server not found in Kerberos database”: Kerberos kan förmodligen inte lösa upp det korrekta riket för tjänstebiljetten baserat på värdnamnet. Försök att lägga till värdnamnet direk till [domain_realm[ i /etc/krb5.conf så här:

3. Autentiseringen fungerar inte och syslog innehåller ”No Kerberos credentials available”: du har inte några kreditiv som kan användas för att få den önskade tjänstebiljetten. Använd kinit eller autentisera över SSSD för att få dessa kreditiv.

4. Autentisering fungerar inte och SSSD sssd-pam-loggen innehåller ”User with UPN [$UPN] was not found.” eller ”UPN [$UPN] does not match target user [$username].”: du använder kreditiv som inte kan kopplas till användaren som autentiseras. Försök att använda kswitch för att välja en annan huvudman, se till att du autentiserade med SSSD eller överväg att avaktivera pam_gssapi_check_upn.

[domain_realm]
.myhostname = MITTRIKE

SE ÄVEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

03/08/2024 SSSD