2. EL 6 ELS
  3. sssd-client
  4. pam_sss(8)

Scroll to navigation

PAM_SSS(8) SSSD-Handbuchseiten PAM_SSS(8)

NAME

pam_sss - PAM-Modul für SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X]

BESCHREIBUNG

pam_sss.so ist die PAM-Schnittstelle des Systemsicherheitsdienst-Daemons (»System Security Services daemon«/SSSD). Fehler und Ergebnisse werden durch syslog(3) mit der Fertigkeit LOG_AUTHPRIV protokolliert.

OPTIONEN

quiet

unterdrückt Protokollnachrichten für unbekannte Benutzer

forward_pass

Falls forward_pass gesetzt ist, wird das eingegebene Passwort in den Stapelverabeitungsspeicher gelegt, damit andere PAM-Module es nutzen können.

use_first_pass

Das Argument »use_first_pass« zwingt das Modul ein vorher im Stapelverabeitungsspeicher abgelegtes Passwort zu benutzen. Es wird den Anwender nie fragen. Falls kein Passwort verfügbar oder das Passwort ungeeignet ist, wird dem Benutzer der Zugriff verwehrt.

use_authtok

Wenn das Passwort geändert wird, erzwingt das Modul, dass das neue Passwort von einem vorher im Stapelverabeitungsspeicher abgelegten Passwortmodul bereitgestellt wird.

retry=N

Ist dies angegeben, wird der Benutzer weitere N mal nach einem Passwort gefragt, falls die Authentifizierung fehlschlägt. Voreinstellung ist 0.

Bitte beachten Sie, dass diese Option möglicherweise nicht wie erwartet funktioniert, falls eine Anwendung, die PAM aufruft, den Benutzerdialog selbst abwickelt. Ein typisches Beispiel ist sshd mit PasswordAuthentication.

ignore_unknown_user

Falls diese Option angegeben ist, aber der Benutzer nicht existiert, gibt das PAM-Modul den Wert PAM_IGNORE zurück. Dies hat zur Folge, dass das PAM-Framework dieses Modul ignoriert.

ignore_authinfo_unavail

Gibt an, dass das PAM-Modul PAM_IGNORE zurückgeben soll, falls der SSSD-Daemon nicht kontaktiert werden kann. Dies hat zur Folge, dass das PAM-Framework dieses Modul ignoriert.

domains

Allows the administrator to restrict the domains a particular PAM service is allowed to authenticate against. The format is a comma-separated list of SSSD domain names, as specified in the sssd.conf file.

NOTE: Must be used in conjunction with the “pam_trusted_users” and “pam_public_domains” options. Please see the sssd.conf(5) manual page for more information on these two PAM responder options.

BEREITGESTELLTE MODULTYPEN

Alle Modultypen (account, auth, password und session) werden bereitgestellt.

DATEIEN

Falls ein Zurücksetzen des Passworts durch Root fehlschlägt, weil der zugehörige SSSD-Anbieter das Zurücksetzen von Passwörtern nicht unterstützt, kann eine individuelle Nachricht angezeigt werden. Diese Nachricht kann z.B. Anweisungen enthalten, wie ein Passwort zurückgesetzt wird.

Die Nachricht wird aus der Datei pam_sss_pw_reset_message.LOC gelesen, wobei LOC für eine durch setlocale(3) zurückgegebene Zeichenkette steht. Falls dort keine passende Datei ist, wird der Inhalt von pam_sss_pw_reset_message.txt angezeigt. Root muss der Besitzer der Dateien sein und nur Root kann Lese- und Schreibrechte haben, während alle anderen Anwender nur Leserechte haben dürfen.

Diese Dateien werden im Verzeichnis /etc/sssd/customize/DOMAIN_NAME/ gesucht. Falls keine passende Datei vorhanden ist, wird eine allgemeine Nachricht angezeigt.

SIEHE AUCH

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Die SSSD-Originalautoren – http://fedorahosted.org/sssd

01/16/2019 SSSD