NAME¶

sssd_krb5_locator_plugin - Plugin locador do Kerberos

DESCRIÇÃO¶

O plugin locador do Kerberos sssd_krb5_locator_plugin é usado pela libkrb5 para encontrar KDCs para um dado reino Kerberos. O SSSD fornece tal plugin para guiar todos os clientes Kerberos num sistema para um único KDC. Em geral não deve ter importância para qual KDC um processo cliente está a falar. Mas existem casos, ex. após uma mudança de palavra passe, onde nem todos os KDCs estão no mesmo estado porque os novos dados têm primeiro de ser replicados. Para evitar falhas de autenticação inesperadas e talvez até contas bloqueadas, será bom falar com um único KDC o maior tempo possível.

A libkrb5 irá procurar o plugin locador no sub-directório libkrb5 do directório plugin do Kerberos, veja plugin_base_dir em krb5.conf(5) para detalhes. O plugin só pode ser desactivado ao se remover o ficheiro do plugin. Não existe opção na configuração do Kerberos para o desactivar. Mas a variável de ambiente SSSD_KRB5_LOCATOR_DISABLE pode ser usada para desactivar o plugin para comandos individuais. Em alternativa a opção do SSSD krb5_use_kdcinfo=False pode ser usada para não gerar os dados necessários pelo plugin. Com isto o plugin é ainda chamado mas não irá fornecer nenhuns dados ao chamador para que a libkrb5 possa cair para outros métodos definidos em krb5.conf.

O plugin lê a informação acerca dos KDCs de um dado reino a partir de um ficheiro chamado kdcinfo.REINO. O ficheiro deve conter um ou mais nomes de DNS ou endereços IP seja em notação IPv4 decimal-pontuado ou a notação IPv6 hexadecimal. Um numero de porto opcional pode ser adicionado ao final separado pelo caractere dois pontos, o endereço IPv6 tem de ficar dentro de parênteses rectos neste caso como usual. As entradas válidas são:

Provedor de autenticação krb5 do SSSD o qual é usado pelos provedores IPA e AD assim como adiciona os endereços do KDC actual ou controlador de domínio que o SSSD está usar para este ficheiro.

Em ambientes com KDCs só-leitura e leitura-escrita onde se espera que os clientes usem as instâncias só-leitura para as operações gerais e apenas o KDC de leitura-escrita para mudanças de configuração como mudanças de palavra passe, é usado um kpasswdinfo.REALM também identificar os KDCs de leitura-escrita. Se este ficheiro existir para o reino fornecido, o conteúdo será usado pelo plugin para responder a pedidos para um servidor kpasswd ou kadmin ou para o mestre KDC específico do MIT Kerberos. Se o endereço conter um número de porto o porto 88 predefinido do KDC será usado para o posterior.

NOTAS¶

Nem todas as implementações de Kerberos suportam o uso de plugins. Se sssd_krb5_locator_plugin não estiver disponível no seu sistema você tem de editar /etc/krb5.conf para refletir a sua configuração de Kerberos.

Se a variável de ambiente SSSD_KRB5_LOCATOR_DEBUG estiver definida para qualquer valor as mensagens de depuração são enviadas para o stderr.

Se a variável de ambiente SSSD_KRB5_LOCATOR_DISABLE estiver definida para qualquer valor o plugin é desactivado e irá apenas retornar KRB5_PLUGIN_NO_HANDLE ao chamador.

Se a variável de ambiente SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES estiver definida para qualquer valor o plugin irá tentar resolver todos os nomes DNS no ficheiro kdcinfo. Por predefinição o plugin retorna KRB5_PLUGIN_NO_HANDLE ao chamador imediatamente na primeira falha ao resolver DNS.

VEJA TAMBÉM¶

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS¶

O autor do SSSD - https://github.com/SSSD/sssd/