PAM_SSS_GSS(8) | Сторінки підручника SSSD | PAM_SSS_GSS(8) |
NAME¶
pam_sss_gss - модуль PAM для розпізнавання за GSSAPI у SSSD
SYNOPSIS¶
pam_sss_gss.so [debug]
ОПИС¶
pam_sss_gss.so розпізнає користувача за допомогою GSSAPI у поєднанні із SSSD.
Цей модуль намагатиметься виконати розпізнавання користувача за допомогою служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ. Частину ОБЛАСТЬ назви реєстраційного запису Kerberos буде визначено за внутрішніми механізмами Kerberos. Її можна встановити явним чином у налаштуваннях розділу [domain_realm] у /etc/krb5.conf.
SSSD використовується для отримання бажаної назви служби і для перевірки реєстраційних даних користувача за допомогою викликів GSSAPI. Якщо у кеші реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток квитка користувача можна використати для отримання належного квитка служби, користувача буде розпізнано.
Якщо pam_gssapi_check_upn матиме значення True (типове значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться для отримання квитків служби, можна було пов'язати із користувачем. Це означає, що реєстраційний запис, який є власником реєстраційних даних Kerberos, має відповідати назві реєстраційного запису користувача, яку визначено у LDAP.
Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення pam_gssapi_services у розділі [pam] або домену в sssd.conf. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD (його вже збережено там, якщо ви користуєтеся надавачем даних ipa або ad). Розташування сховища ключів можна встановити за допомогою параметра krb5_keytab. Див. sssd.conf(5) і sssd-krb5(5), щоб дізнатися більше про ці параметри.
Деякі розгорнуті екземпляри Kerberos дозволяють пов'язувати індикатори розпізнавання із певним методом попереднього розпізнавання, який використовується для отримання квитка, який надає квиток користувача. pam_sss_gss.so надає змогу примусово встановити потребу у наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано доступ до певної служби PAM.
Якщо pam_gssapi_indicators_map встановлено у розділі [pam] або домену sssd.conf, SSSD виконає перевірку наявності будь-яких налаштованих індикаторів у квитку служби.
ПАРАМЕТРИ¶
debug
ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ¶
Передбачено лише тип модулів auth
ПОВЕРНЕНІ ЗНАЧЕННЯ¶
PAM_SUCCESS
PAM_USER_UNKNOWN
PAM_AUTH_ERR
PAM_AUTHINFO_UNAVAIL
PAM_SYSTEM_ERR
ПРИКЛАДИ¶
Основним випадком використання є забезпечення розпізнавання без пароля у sudo, але без потреби у повному вимиканні розпізнавання. Для досягнення потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в sssd.conf:
[domain/MYDOMAIN] pam_gssapi_services = sudo, sudo-i
Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam.d/sudo і /etc/pam.d/sudo-i).
... auth sufficient pam_sss_gss.so ...
ДІАГНОСТИКА¶
У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть міститися корисні дані щодо помилки. Ось деякі з типових проблем:
1. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: залежно від вашої версії sudo, можливо, sudo не передає цю змінну до середовища PAM. Спробуйте додати KRB5CCNAME до env_keep в /etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP.
2. Розпізнавання не працює, а у syslog міститься повідомлення «Server not found in Kerberos database»: Kerberos, ймовірно, не може визначити належну область для квитка служби на основі назви вузла. Спробуйте додати назву вузла безпосередньо у розділ [domain_realm] в /etc/krb5.conf, ось так:
3. Розпізнавання не працює, а у syslog міститься повідомлення «No Kerberos credentials available»: у вас немає реєстраційних даних, якими можна було б скористатися для отримання потрібного квитка служби. Скористайтеся kinit або пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні реєстраційні дані.
4. Розпізнавання не працює, а у журналі sssd-pam SSSD міститься повідомлення «User with UPN [$UPN] was not found.» або «UPN [$UPN] does not match target user [$username].»: ви використовуєте реєстраційні дані, які не можна пов'язати із користувачем, розпізнавання якого відбувається. Спробуйте скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути pam_gssapi_check_upn.
[domain_realm] .myhostname = MYREALM
ТАКОЖ ПЕРЕГЛЯНЬТЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
10/01/2024 | SSSD |