table of contents
SSSD_KRB5_LOCATOR_PL(8) | Páginas de manual de SSSD | SSSD_KRB5_LOCATOR_PL(8) |
NAME¶
sssd_krb5_locator_plugin - Complemento localizador Kerberos
DESCRIPCION¶
El complemento localizador Kerberos sssd_krb5_locator_plugin es usado por libkrb5 para encontrar KDCs en un reino Kerberos dado. SSSD proporciona dicho complemento para guiar a todos los clientes Kerberos es un sistema a un único KDC. En general, no debería importar con qué KDC está hablando un proceso de cliente. Pero hay casos, e.g. después de un cambio de contraseña, donde no todos los KDCs etán en el mismo estado porque los nuevos datos tienen que ser replicados primero. Para evitar fallos de autenticación inesperados y quizás bloqueos de cuentas sería bueno hablar con un único KDC todo lo que sea posible.
libkrb5 buscará el complemento localizador en el subdirectorio libkrb5 del directorio de complementos Kerberos, vea más detalles en plugin_base_dir en krb5.conf(5). El complemento solo se puede deshabilitar borrando el fichero del complemento. No hay opción en a configuración de Kerberos para deshabilitarlo. Pero la variable de entorno SSSD_KRB5_LOCATOR_DISABLE puede ser usada para deshabilitar el complemento en comandos individuales. Alternativamente la opción SSSD krb5_use_kdcinfo=False puede ser usada para no generar los datos necesarios para el complemento. Con esto, todavía se llama al complemento, pero no proporcionará datos a la persona que llama para que libkrb5 pueda recurrir a otros métodos definidos en krb5.conf.
El complemento lee la información sobre los KDCs de un reino dado desde un fichero llamado kdcinfo.REALM. El fichero debería contener uno o más nombres de DNS o direcciones IP ya sea en anotación decimal con puntos IPv4 o en anotación hexadecimal IPv6. Su puede añadir un número de puerto adicional al final separado con dos puntos, la dirección IPv6 tiene que estar encerrada entre corchetes en este caso como es usual. Las entradas válidas son:
Krb5 auth-provider de SSSD que es utilizado por IPA y los proveedores AD que también agrega la dirección del actual KDC o controlador de dominio SSSD se utiliza para este fichero.
En entornos con KDCs de solo lectura y lectura-escritura donde los clientes esperan usar las instancias solo lectura para las operaciones generales y solo KDC de lectura-escritura para cambio de configuración como cambios de contraseña se utiliza kpasswdinfo.REALM también para identificar KDCs de lectura-escritura. Si existe este fichero para el reino dado el contenido será usado por el complemento para contestar las peticiones de un servidor kpasswd o kadmin opara el maestro específico KDC MIT Kerberos. Si la dirección contiene un número de puerto el puerto predeterminado KDC 88 será usado para los posteriores.
NOTAS¶
No todas las implementaciones Kerberos soportan el uso de plugins. Si sssd_krb5_locator_plugin no está disponible en su sistema usted tiene que editar /etc/krb5.conf para reflejar sus ajustes Kerberos.
Si la variable de entorno SSSD_KRB5_LOCATOR_DEBUR está fijada a cualquier valor los mensajes de depuración se enviarán a stderr.
Si la variable de entorno SSSD_KRB5_LOCATOR_DISABLE está establecida a cualquier valor el complemento es deshabilitado y y devolverá KRB5_PLUGIN_NO_HANDLE al llamante.
Si la variable de entorno SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES etá establecida a cualquier valor el complemento intentará resolver todos los nombres DNS en el fichero kdcinfo. Por defecto el complemento devuelve KRB5_PLUGIN_NO_HANDLE al llamante inmediatamente en el primer fallo resolviendo DNS.
VEA TAMBIEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
The SSSD upstream - https://github.com/SSSD/sssd/
10/01/2024 | SSSD |