table of contents
SSSD_KRB5_LOCATOR_PL(8) | SSSD manualsidor | SSSD_KRB5_LOCATOR_PL(8) |
NAME¶
sssd_krb5_locator_plugin - Kerberos lokaliseringsinsticksmodul
BESKRIVNING¶
Kerberos lokaliseringsinsticksmodul sssd_krb5_locator_plugin används av libkrb5 för att hitta KDC:er för ett givet Kerberos-rike. SSSD tillhandahåller en sådan insticksmodul för att styra alla Kerberos-klienter på ett system till en ensam KDC. I allmänhet skall det inte ha någon betydelse vilken KDC en klientprocess pratar med. Men det finns fall, t.ex. efter en lösenordsändring, då inte alla KDC:er är i samma tillstånd för att den nya datan måste spridas först. För att undvika oväntade autentiseringsfel och kanske även kontolåsningar kan det vara bra att prata med en enskild KDC så länge som möjligt.
libkrb5 kommer söka efter lokaliseringsinsticksmodulen i underkatalogen libkrb5 till Kerberos katalog för insticksmoduler, se plugin_base_dir i krb5.conf(5) för detaljer. Insticksmodulen kan endast avaktiveras genom att ta bort filen med insticksmodulen. Det finns ingen möjlighet att avaktivera den i Kerberos konfiguration. Men miljövariabeln SSSD_KRB5_LOCATOR_DISABLE kan användas för att avaktivera insticksmodulen för individuella kommandon. Alternativt kan SSSD-alternativet krb5_use_kdcinfo=False användas för att inte generera de data som behövs av insticksmodulen. Med denna anropas fortfarande insticksmodulen men den tillhandahåller inga data till anroparen så att libkrb5 kan falla tillbaka på andra metoder som är definierade i krb5.conf.
Insticksmodulen läser information om KDC:erna för ett givet rike från en fil som heter kdcinfo.RIKE. Filen skall innehålla ett eller flera DNS-namn eller IP-adresser antingen i punktad decimal IPv4-notation eller den hexadecimala IPv6-notationen. Ett frivilligt portnummer kan läggas till på slutet separerat av ett kolon, IPv6-adressen måste inneslutas i hakparenteser i detta fall som vanligt. Giltiga poster är:
SSSD:s krb5-autentiseringsleverantör som också används av IPA- och AD-leverantörerna lägger till adresser till den aktuella KDC- eller domänkontrollern SSSD använder till denna fil.
I miljöer med KDC:er som endast är för läsning och för läsning och skrivning där klienter förväntas använda instanser endast för läsning för allmänna operationer och endast KDC:n för läsning och skrivning för konfigurationsändringar som lösenordsändringar används även en kpasswdinfo.RIKE för att identifiera KDC:er för läsning och skrivning. Om denna fil finns för det givna riket kommer innehållet användas av insticksmodulen för att svara på begäranden om en kpasswd- eller kadmin-server eller om huvud-KDC:n specifik för MIT Kerberos. Om adressen innehåller ett portnummer kommer standard-KDC-porten 88 användas för det senare.
NOTER¶
Inte alla Kerberosimplementationer stödjer användningen av insticksmoduler. Om sssd_krb5_locator_plugin inte är tillgänglig på ditt system måste du redigera /etc/krb5.conf för att avspegla din Kerberosuppsättning.
Om miljövariabeln SSSD_KRB5_LOCATOR_DEBUG är satt till något värde kommer felsökningsmeddelanden skrivas till standard fel.
Om miljövariabeln SSSD_KRB5_LOCATOR_DISABLE är satt till något värde avaktiveras insticksmodulen och kommer bara returnera KRB5_PLUGIN_NO_HANDLE till anroparen.
Om miljövariabeln SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES är satt till något värde kommer insticksmodulen försöka slå upp alla DNS-namn i filen kdcinfo. Som standard returneras KRB5_PLUGIN_NO_HANDLE till anroparen omedelbart vid den första misslyckade DNS-uppslagningen.
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
SSSD uppströms – https://github.com/SSSD/sssd/
10/01/2024 | SSSD |