NAME¶
authselect - выбор
источников
идентификации
системы и
авторизации.
КРАТКОЕ СОДЕРЖАНИЕ¶
authselect [--debug] [--trace] [--warn] command [command options]
ОПИСАНИЕ¶
Authselect -
инструмент
для
настройки
источников
и
провайдеров
идентификации
и
подтверждения
подлинности
системы
путем
выбора
определенного
профиля.
Профиль -
это набор
файлов,
описывающий,
как в итоге
будет
выглядеть
конфигурация
системы.
Когда
выбирается
профиль, authselect
создает
стек nsswitch.conf(5) и PAM(8)
для
использования
источников
идентификации
и
подтверждения
подлинности,
определенных
профилем.
Если
предоставленного
набора
профилей
недостаточно,
администратор
может
создать
собственный
профиль,
поместив
его в
специальный
каталог
профилей
(/etc/authselect/custom). Сразу
после
этого
профиль
может
использоваться
authselect.
Дополнительные
сведения о
расширении
существующих
профилей
см. authselect-profiles(5).
ПОДПИСАТЬСЯ НА AUTHSELECT¶
Authselect не
коснется
вашей
существующей
конфигурации,
если она
еще не была
им создана.
Если вы
хотите
начать
использовать
authselect для
настройки
аутентификации
вашей
системы,
сначала
вызовите
authselect select с
параметром
--force
(например,
authselect select sssd --force).
Параметр * --force *
сообщает authselect,
что можно
перезаписать
существующую
конфигурацию
без
авторизации
(см.
описание
ниже).
Использование
параметра
- -force
автоматически
создаст
резервную
копию
вашей
текущей
конфигурации,
поэтому,
если вы
хотите
вернуться,
вы можете
восстановить
ее с
помощью
команды authselect
backup-restore (см.
описание
ниже).
ДОСТУПНЫЕ КОМАНДЫ¶
Чтобы
получить
список
всех
имеющихся
команд,
запустите
команду authselect
без
параметров.
Чтобы
вывести
справку по
выбранной
команде,
выполните
команду authselect
COMMAND --help.
select
идентификатор_профиля
[функции] [-f, --force]
[-q, --quiet] [-b] [--backup=NAME]
Активировать
нужный
профиль.
Описание
профиля
можно
получить с
помощью
команды
show,
при этом
выводится
список
дополнительных
функций
профиля.
--force, -f
Записать
изменения,
даже если
предыдущая
конфигурация
была
создана не
authselect, а другим
инструментом
или путем
изменения
вручную.
Этот
параметр
приводит к
автоматическому
резервному
копированию
системных
файлов
перед
записью
изменений,
если
только не
установлен
параметр
--nobackup.
-b
Резервное
копирование
системных
файлов
перед
активацией
выбранного
профиля.
Резервная
копия
будет
храниться
в /var/lib/authselect/backups/NAME.
Текущее
время с в
качестве
имени
резервной
копии в
качестве
уникальной
строки. Это
ссылка для
--backup=.
--backup=NAME
Резервное
копирование
системных
файлов
перед
активированием
выбранного
профиля.
Резервная
копия
будет
храниться
в /var/lib/authselect/backups/ИМЯ.
Если имя не
предоставлено,
в качестве
имени
будет
использоваться
текущее
время.
--nobackup
Не
делать
резервное
копирование
конфигурации
системы,
если
указано --force.
--quiet, -q
Команда
не выводит
информационных
сообщений,
например,
дополнительных
требований
к профилю
или
расположение
резервной
копии.
Ошибки все
же
выводятся.
apply-changes [-b]
[--backup=НАЗВАНИЕ]
Повторно
применить
текущий
выбранный
профиль.
Если
шаблоны
профиля
были
обновлены,
эта
команду
можно
использовать
для
восстановления
текущей
конфигурации
системы,
чтобы
применить
эти
изменения
в системе.
Эта
команда
повторно
применит
изменения,
только
если
существующая
конфигурация
является
допустимой
конфигурацией
authselect, в
противном
случае
будет
возвращена
ошибка.
-b
Перед
применением
изменений
сделайте
резервную
копию
системных
файлов.
Резервная
копия
будет
храниться
в
/var/lib/authselect/backups/НАЗВАНИЕ.
Текущее
время с в
качестве
имени
резервной
копии
используется
уникальная
строка. Это
ярлык для
--backup=.
--backup=NAME
Перед
применением
изменений
сделайте
резервную
копию
системных
файлов.
Резервная
копия
будет
храниться
в
/var/lib/authselect/backups/НАЗВАНИЕ.
Текущее
время в
виде
уникальной
строки
используется
как
название,
если
значение
не
указано.
list
Список
доступных
профилей.
list-features
индентификатор_профиля
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show
ид_профиля
Вывести
информацию
о профиле.
requirements
ид_профиля
[возможности]
Вывести
информацию
о
требованиях
профиля.
current [-r, --raw]
Вывести
информацию
о текущих
выбранных
профилях.
Если задан
параметр --raw,
эта
команда
выведет
параметры
без
обработки,
так, как они
были
переданы
команде select,
вместо
форматированного
вывода.
check
Проверить
правильность
текущей
конфигурации
(либо она
была
создана authselect,
либо нет
остатков
от
предыдущей
конфигурации
authselect).
test
индентификатор_профиля
[опции]
[функции]
Вывести
содержимое
файлов,
сгенерированных
authselect без
фактической
записи в
конфигурацию
системы.
-a, --all
Печать
содержимого
всех
файлов
-n, --nsswitch
Печать
содержимого
nsswitch.conf.
-s, --system-auth
Печать
содержимого
system-auth.
-p, --password-auth
Печать
содержимого
password-auth.
-c, --smartcard-auth
Печать
содержимого
smartcard-auth.
-f, --fingerprint-auth
Печать
содержимого
fingerprint-auth.
-o, --postlogin
Печать
содержимого
postlogin.
-d, --dconf-db
Печать
содержимого
базы
данных dconf.
-l, --dconf-lock
Печать
содержимого
dconf lock.
enable-feature feature [-b]
[--backup=ИМЯ] [-q, --quiet]
Включить
функцию в
выбранном
профиле.
-b
Перед
применением
изменений
сделайте
резервную
копию
системных
файлов.
Резервная
копия
будет
храниться
в
/var/lib/authselect/backups/НАЗВАНИЕ.
Текущее
время с в
качестве
имени
резервной
копии
используется
уникальная
строка. Это
ярлык для
--backup=.
--backup=NAME
Перед
включением
функции
сделайте
резервную
копию
системных
файлов.
Резервная
копия
будет
храниться
в
/var/lib/authselect/backups/НАЗВАНИЕ.
Текущее
время в
виде
уникальной
строки
используется
как
название,
если
значение
не
указано.
--quiet, -q
Команда
не выводит
информационных
сообщений,
например,
дополнительных
требований
к профилю
или
расположение
резервной
копии.
Ошибки все
же
выводятся.
disable-feature feature [-b]
[--backup=ИМЯ]
Отключить
функцию в
текущем
выбранном
профиле.
-b
Резервное
копирование
системных
файлов
перед
выключением
функции.
Резервная
копия
будет
храниться
в /var/lib/authselect/backups/NAME.
Текущее
время с в
качестве
имени
резервной
копии в
качестве
уникальной
строки. Это
ссылка для
--backup=.
--backup=NAME
Резервное
копирование
системных
файлов
перед
отключением
функции.
Резервная
копия
будет
храниться
в /var/lib/authselect/backups/ИМЯ.
Уникальная
строка
текущего
времени
используется
в качестве
имени если
значение
не
указано.
create-profile NAME [--vendor,-v] [options]
Создать
новый
пользовательский
профиль с
именем
ИМЯ. Этот
профиль
может быть
на основе
существующего
профиля, в
таком
случае
новые
шаблоны
профиля
либо
копируются
из
базового
профиля,
либо на эти
файлы
могут быть
созданы
символические
ссылки,
если
выбран
такой
вариант.
--vendor,-v
Новый
профиль -
профиль
поставщика,
а не
пользовательский
профиль. См.
authselect-profiles(5) для
получения
дополнительной
информации
о типах
профилей.
--base-on=BASE-ID, -b=BASE-ID
Новый
профиль
будет на
основе
профиля с
именем
БАЗОВЫЙ-ИД.
Местоположение
базового
профиля
определяется
с помощью
следующих
шагов:
1.Если
БАЗОВЫЙ-ИД
начинается
с префикса
custom/, то это
пользовательский
профиль.
2.Попробовать
найти
БАЗОВЫЙ-ИД
в профилях
поставщика.
3.Попробовать
найти
БАЗОВЫЙ-ИД
в профилях
по
умолчанию.
4.Вернуть
ошибку.
--base-on-default
Базовый
профиль -
это
профиль по
умолчанию,
даже если
он есть в
профилях
поставщиков.
--symlink-meta
Метафайлы,
как,
например,
README и REQUIREMENTS,
будут
символическими
ссылками
на
исходные
файлы
профилей, а
не их
копиями.
--symlink-nsswitch
Шаблон
nsswitch.conf будет
символической
ссылкой на
первоначальный
файл
профиля, а
не его
копией.
--symlink-pam
Шаблоны
PAM будут
символическими
ссылками
на
исходные
файлы
профилей, а
не их
копиями.
--symlink-dconf
Шаблоны
dconf будут
символическими
ссылками
на
исходные
файлы
профилей, а
не их
копиями.
--symlink=FILE,-s=FILE
Создать
символическую
ссылку для
файла
шаблона
ФАЙЛ, а не
его копию.
Этот
параметр
может быть
передан
несколько
раз.
КОМАНДЫ РЕЗЕРВНОГО КОПИРОВАНИЯ¶
Эти
команды
можно
использовать
для
управления
резервными
копиями
конфигураций.
backup-list [-r, --raw]
Вывод
доступных
резервных
копий. Если
указан
параметр --raw,
команда
будет
выводить
только
имена
резервных
копий без
какого-либо
форматирования
и
дополнительной
информации.
backup-remove
РЕЗЕРВНАЯ_КОПИЯ
Безвозвратно
удалить
резервную
копию с
именем BACKUP.
backup-restore
РЕЗЕРВНАЯ_КОПИЯ
Восстановить
конфигурацию
из
резервной
копии с
именем BACKUP.
Примечание:
текущая
конфигурация
будет
перезаписана.
ОБЩИЕ ПАРАМЕТРЫ¶
Эти
параметры
доступны
для всех
команд.
--debug
Вывести
отладочную
информацию
и
сообщения
об
ошибках.
--trace
Вывести
информацию
о том, что
делает
этот
инструмент.
--warn
Выводить
информацию
о
непредвиденных
ситуациях,
которые не
влияют на
выполнение
программы,
но могут
указывать
на
нежелательные
ситуации
(например,
непредвиденный
файл в
каталоге
профиля).
УПРАВЛЕНИЕ NSSWITCH.CONF¶
Authselect
создает /etc/nsswitch.conf
и не
позволяет
пользователям
изменять
этот файл.
Такие
изменения
обнаруживаются,
и authselect будет
отказываться
записывать
конфигурацию
системы,
если в
команде select
не указан
параметр
--force. Этот
механизм
не дает authselect
перезаписывать
всё, что не
совпадает
с
имеющимися
профилями.
Все
пользовательские
изменения
в картах nsswitch
должны
делаться в
файле /etc/authselect/user-nsswitch.conf.
Когда authselect
создает
новый nsswitch.conf,
он читает
этот файл и
объединяет
его с
конфигурацией
из
выбранного
профиля.
Конфигурация
этого
профиля
всегда
имеет
приоритет.
Другими
словами,
профили не
должны
устанавливать
все карты nsswitch,
но могут
устанавливать
только те,
которые
имеют
отношение
к профилю.
Если карта
установлена
в профиле,
она всегда
перезаписывает
аналогичную
карту из
user-nsswitch.conf.
Пример 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {включает если "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# Карты passwd и group из user-nsswitch.conf игнорируются
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# Карты passwd, group и sudoers из user-nsswitch.conf игнорируются
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
ИСПРАВЛЕНИЕ ПРОБЛЕМ¶
Как узнать, использует ли моя система authselect?¶
Используйте
authselect check. Вывод
сообщит
вам, есть ли
у вас 1)
конфигурация,
сгенерированная
authselect 2) не-authselect
конфигурация
3)
конфигурация,
которая
была
сгенерирована
authselect, но в
какой-то
момент
изменена
вручную.
Предполагается, что nsswitch.conf теперь является символической ссылкой?¶
Authselect
создает
конфигурацию
вашей
системы с
нуля и
сохраняет
ее в /etc/authselect.
Системные
файлы
затем
создаются
как
символические
ссылки на
этот
каталог.
Символические
ссылки
используются,
чтобы
прояснить,
что authselect
теперь
является
владельцем
вашей
конфигурации
и должен
использоваться
вместо
любых
изменений
вручную.
Обнаружены неожиданные изменения конфигурации.¶
Например:
[ошибка] [/etc/authselect/nsswitch.conf] не существует!
[ошибка] [/etc/nsswitch.conf] не является символической ссылкой!
[ошибка] [/etc/nsswitch.conf] не был создан authselect!
[ошибка] Обнаружены непредвиденные изменения в конфигурации.
[ошибка] Отказ в активации профиля, если эти изменения не удалены или не запрошена перезапись.
Это
означает,
что ваша
конфигурация
неизвестна
для authselect и
поэтому не
будет
изменена.
Чтобы
исправить
это,
вызовите
authselect select с
параметром
--force, чтобы
указать,
что его
можно
перезаписать.
КОДЫ ВОЗВРАТА¶
authselect может
возвращать
такие коды
завершения:
•0:
успех.
•1: общая
ошибка.
•2:
Профиль
или
конфигурация
не найдены,
или
система не
была
настроена
с помощью
authselect.
•3:
текущая
конфигурация
неправильная,
она
редактировалась
без authselect.
•4:
конфигурация
системы
должна
быть
перезаписана
для
активации
профиля authselect,
требуется
параметр
--force.
•5:
Выполняемая
команда
должна
быть
запущена
от имени
пользователя
root.
СОЗДАННЫЕ ФАЙЛЫ¶
Authselect
создает и
поддерживает
следующие
файлы для
правильной
настройки
системной
идентификации
и
поставщиков
аутентификации.
/etc/nsswitch.conf
Файл
конфигурации
Name Service Switch.
/etc/pam.d/system-auth
Стек PAM,
который
включен
почти во
все файлы
конфигурации
отдельных
сервисов.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Эти
стеки PAM
предназначены
для
приложений,
которые
обрабатывают
аутентификацию
с разных
типов
устройств
путем
одновременного
выполнения
отдельных
диалогов
вместо
одного
совокупного
разговора.
/etc/pam.d/postlogin
Цель
этого
стека PAM -
предоставить
общее
место для
всех
модулей PAM,
которые
должны
вызываться
после
стека,
настроенного
в system-auth или
других
общих
файлах
конфигурации
PAM. Он
включается
во все
файлы
конфигурации
отдельных
служб,
которые
предоставляют
службу
входа в
систему с
помощью
оболочки
или
доступа к
файлам.
_ПРИМЕЧАНИЕ:
модули в
файле
конфигурации
postlogin
выполняются
независимо
от успеха
или сбоя
модулей в
файле
конфигурации
system-auth. _
/etc/dconf/db/distro.d/20-authselect
Изменения
в базе
данных dconf.
Основной
вариант
использования
этого
файла -
установить
изменения
для экрана
входа в gnome,
чтобы
включить
или
отключить
аутентификацию
смарт-карты
и
отпечатка
пальца.
/etc/dconf/db/distro.d/locks/20-authselect
Этот
файл
определяет
блокировки
значений,
установленных
в базе
данных dconf.