Scroll to navigation

PAM_SSS(8) SSSD manualsidor PAM_SSS(8)

NAME

pam_sss - PAM-modul för SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always]

BESKRIVNING

pam_sss.so är PAM-gränssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via syslog(3) med funktionen LOG_AUTHPRIV.

FLAGGOR

quiet

Umdertryck loggmeddelanden om okända användare.

forward_pass

Om forward_pass är satt läggs det inskrivna lösenordet på stacken så att andra PAM-moduler kan använda det.

use_first_pass

Argumentet use_first_pass tvingar modulen att använda tidigare stackade modulers lösenord och kommer aldrig fråga användaren – om inget lösenord är tillgängligt eller lösenordet inte stämmer kommer användaren nekas åtkomst.

use_authtok

Vid lösenordsändring tvinga modulen till att sätta det nya lösenordet till det som gavs av en tidigare stackad lösenordsmodul.

retry=N

Om angivet frågas användaren ytterligare N gånger om ett lösenord ifall autentiseringen misslyckas. Standard är 0.

Observera att detta alternativ kanske inte fungerar som förväntat ifall programmet som anropar PAM hanterar användaredialogen själv. Ett typiskt exempel är sshd med PasswordAuthentication.

ignore_unknown_user

Om detta alternativ anges och användaren inte finns kommer PAM-modulen returnera PAM_IGNORE. Detta får PAM-ramverket att ignorera denna modul.

ignore_authinfo_unavail

Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta SSSD-demonen. Detta får PAM-ramverket att ignorera denna modul.

domains

Tillåter administratören att begränsa domänerna en viss PAM-tjänst tillåts autentisera emot. Formatet är en kommaseparerad lista över SSSD-domännamn som de specificeras i filen sssd.conf.

OBS: Måste användas tillsammans med flaggorna “pam_trusted_users” och “pam_public_domains”. Se manualsidan sssd.conf(5) för mer information om dessa två PAM-respondentalternativ.

allow_missing_name

Huvudsyftet med denna flagga är att låta SSSD avgöra användarnamnet baserat på ytterligare information, t.ex. certifikatet från ett smartkort.

Det aktuella användningsfallet är inloggningshanterare som kan övervaka en smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer inloggningshanteraren anropa en PAM-stack som innehåller en rad som

auth sufficient pam_sss.so allow_missing_name

I detta fall kommer SSSD färsäla avgära användarnamnet baserat på innehållet på smartkortet, returnerar det till pam_sss som slutligen kommer läga det på PAM-stacken.

prompt_always

Fråga alltid användaren om kreditiv. Med denna flagga kommer kreditiv begärda av andra PAM-moduler, typiskt ett lösenord, ignoreras och pam_sss kommer fråga efter kreditiv igen. Baserat på förautentiseringssvaret från SSSD kan pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN eller andra kreditiv.

TILLHANDAHÅLLNA MODULTYPER

Alla modultyper (account, auth, password och session) tillhandahålls.

FILER

Om en återställning av lösenord av root misslyckas, för att motsvarande SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man återställer ett lösenord.

Meddelandet läses från filen pam_sss_pw_reset_message.LOK där LOK står för en lokalsträng som den returneras av setlocale(3). Om det inte finns någon matchande fil visas innehållet i pam_sss_pw_reset_message.txt. Root måste vara ägaren av filerna och endast root får ha läs- och skrivrättigheter medan alla andra användare endast får ha läsrättigheter.

Man letar efter dessa filer i katalogen /etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas ett allmänt meddelande.

SEE ALSO

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)

AUTHORS

SSSD uppströms – https://pagure.io/SSSD/sssd/

01/23/2024 SSSD