SSSD-KCM(8) | Формати файлів та правила | SSSD-KCM(8) |
NAME¶
sssd-kcm - Керування кешем Kerberos SSSD
ОПИС¶
На цій сторінці підручника описано налаштування засобу керування кешем Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT також надається підтримка з боку клієнта для кешу реєстраційних даних KCM (докладніше про це нижче).
У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово використовується за допомогою якоїсь програми, наприклад kinit(1)) є “клієнтом KCM”, а фонова служба KCM вважається “сервером KCM”. Клієнт і сервер обмінюються даними за допомогою сокета UNIX.
Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має доступ до усіх кешів реєстраційних даних.
Кеш реєстраційних даних KCM має декілька цікавих властивостей:
Це надає змогу системі використовувати кеш реєстраційних даних із врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних даних для декількох контейнерів або без контейнерів взагалі шляхом прив'язування-монтування сокета.
КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM¶
Для використання кешу реєстраційних даних KCM його слід вибрати стандартним типом реєстраційних даних у krb5.conf(5). Назвою кешу реєстраційних даних має бути лише “KCM:” без будь-яких розширень шаблонами. Приклад:
[libdefaults]
default_ccache_name = KCM:
Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий шлях /var/run/.heim_org.h5l.kcm-socket. Для налаштовування бібліотеки Kerberos змініть значення її параметра “kcm_socket”, як це описано на сторінці підручника krb5.conf(5).
Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити зв'язок. Типово, служба KCM вмикається за допомогою сокета з systemd(1). На відміну від інших служб SSSD, її не можна запустити додаванням рядка “kcm” до інструкції “service”.
systemctl start sssd-kcm.socket systemctl enable sssd-kcm.socket
Будь ласка, зауважте, що відповідні налаштування модулів вже могло бути виконано засобами вашого дистрибутива.
СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ¶
Кеші реєстраційних даних зберігаються у сховищі служби реєстраційних даних SSSD (докладніший опис наведено на сторінці підручника sssd-secrets(5)). Тому важливо, щоб було увімкнено службу sssd-secrets, а її сокет був доступним:
systemctl start sssd-secrets.socket systemctl enable sssd-secrets.socket
Відповідні залежності між цими службами вже мало бути встановлено засобами вашого дистрибутива.
ПАРАМЕТРИ НАЛАШТУВАННЯ¶
Налаштовування служби KCM виконується за допомогою розділу “kcm” файла sssd.conf. Будь ласка, зауважте, що у поточній версії для застосування налаштувань перезапуску служби sssd-kcm недостатньо, оскільки обробка і читання налаштувань sssd до внутрішньої бази даних налаштувань виконується лише самою службою sssd. Тому вам слід перезапустити вашу службу sssd, якщо ви щось змінили у розділі “kcm” файла sssd.conf. Докладний опис синтаксису файла налаштувань наведено у розділі “ФОРМАТ ФАЙЛА” сторінки підручника sssd.conf(5).
Службі kcm можна передавати типові параметри служби SSSD, зокрема “debug_level” та “fd_limit” Із повним списком параметрів можна ознайомитися на сторінці підручника sssd.conf(5). Крім того, передбачено декілька специфічних для KCM параметрів.
socket_path (рядок)
Типове значення: /var/run/.heim_org.h5l.kcm-socket
ТАКОЖ ПЕРЕГЛЯНЬТЕ¶
AUTHORS¶
Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
01/23/2024 | SSSD |