Scroll to navigation

SSSD-KCM(8) Формати файлів та правила SSSD-KCM(8)

NAME

sssd-kcm - Керування кешем Kerberos SSSD

ОПИС

На цій сторінці підручника описано налаштування засобу керування кешем Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT також надається підтримка з боку клієнта для кешу реєстраційних даних KCM (докладніше про це нижче).

У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово використовується за допомогою якоїсь програми, наприклад kinit(1)) є “клієнтом KCM”, а фонова служба KCM вважається “сервером KCM”. Клієнт і сервер обмінюються даними за допомогою сокета UNIX.

Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має доступ до усіх кешів реєстраційних даних.

Кеш реєстраційних даних KCM має декілька цікавих властивостей:

•оскільки процес виконується у просторі користувача, він підлягає обмеженням за простором назв UID, на відміну від набору ключів ядра

•на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX

•реалізація у SSSD зберігає ccache-і у сховищі реєстраційних даних sssd-secrets(5) SSSD, що надає змогу ccache-ам переживати перезапуски сервера KCM та перезавантаження комп'ютера.

Це надає змогу системі використовувати кеш реєстраційних даних із врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних даних для декількох контейнерів або без контейнерів взагалі шляхом прив'язування-монтування сокета.

КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM

Для використання кешу реєстраційних даних KCM його слід вибрати стандартним типом реєстраційних даних у krb5.conf(5). Назвою кешу реєстраційних даних має бути лише “KCM:” без будь-яких розширень шаблонами. Приклад:

[libdefaults]

default_ccache_name = KCM:

Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий шлях /var/run/.heim_org.h5l.kcm-socket. Для налаштовування бібліотеки Kerberos змініть значення її параметра “kcm_socket”, як це описано на сторінці підручника krb5.conf(5).

Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити зв'язок. Типово, служба KCM вмикається за допомогою сокета з systemd(1). На відміну від інших служб SSSD, її не можна запустити додаванням рядка “kcm” до інструкції “service”.

systemctl start sssd-kcm.socket
systemctl enable sssd-kcm.socket

Будь ласка, зауважте, що відповідні налаштування модулів вже могло бути виконано засобами вашого дистрибутива.

СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ

Кеші реєстраційних даних зберігаються у сховищі служби реєстраційних даних SSSD (докладніший опис наведено на сторінці підручника sssd-secrets(5)). Тому важливо, щоб було увімкнено службу sssd-secrets, а її сокет був доступним:

systemctl start sssd-secrets.socket
systemctl enable sssd-secrets.socket

Відповідні залежності між цими службами вже мало бути встановлено засобами вашого дистрибутива.

ПАРАМЕТРИ НАЛАШТУВАННЯ

Налаштовування служби KCM виконується за допомогою розділу “kcm” файла sssd.conf. Будь ласка, зауважте, що у поточній версії для застосування налаштувань перезапуску служби sssd-kcm недостатньо, оскільки обробка і читання налаштувань sssd до внутрішньої бази даних налаштувань виконується лише самою службою sssd. Тому вам слід перезапустити вашу службу sssd, якщо ви щось змінили у розділі “kcm” файла sssd.conf. Докладний опис синтаксису файла налаштувань наведено у розділі “ФОРМАТ ФАЙЛА” сторінки підручника sssd.conf(5).

Службі kcm можна передавати типові параметри служби SSSD, зокрема “debug_level” та “fd_limit” Із повним списком параметрів можна ознайомитися на сторінці підручника sssd.conf(5). Крім того, передбачено декілька специфічних для KCM параметрів.

socket_path (рядок)

Сокет, на якому очікуватиме на з'єднання служба KCM.

Типове значення: /var/run/.heim_org.h5l.kcm-socket

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5),

AUTHORS

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/

01/23/2024 SSSD