table of contents
PAM_SSS(8) | Сторінки підручника SSSD | PAM_SSS(8) |
NAME¶
pam_sss - модуль PAM для SSSD
SYNOPSIS¶
pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]
ОПИС¶
pam_sss.so — інтерфейс PAM до System Security Services daemon (SSSD). Помилки та результати роботи записуються за допомогою syslog(3) до запису LOG_AUTHPRIV.
ПАРАМЕТРИ¶
quiet
forward_pass
use_first_pass
use_authtok
retry=N
Будь ласка, зауважте, що цей параметр може працювати не так, як очікується, якщо програма, яка викликає PAM, має власний обробник діалогових вікон взаємодії з користувачем. Типовим прикладом є sshd з PasswordAuthentication.
ignore_unknown_user
ignore_authinfo_unavail
domains
Зауваження: Якщо використовується для служби, яку запущено не від імені користувача root, наприклад вебсервера, слід використовувати разом із параметрами «pam_trusted_users» і «pam_public_domains». Будь ласка, ознайомтеся із сторінкою підручника sssd.conf(5), щоб дізнатися більше про ці два параметри відповідача PAM.
allow_missing_name
Поточним основним призначенням є засоби керування входом до системи, які можуть спостерігати за подіями обробки карток на засобі читання смарткарток. Щойно буде вставлено смарткартку, засіб керування входом до системи викличе стос PAM, до якого включено рядок, подібний до
auth sufficient pam_sss.so allow_missing_name
Якщо SSSD спробує визначити ім'я користувача на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті, передасть його стосу PAM.
prompt_always
try_cert_auth
Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Якщо смарткартка виявиться недоступною на момент завершення часу очікування або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL.
ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ¶
Передбачено всі типи модулів (account, auth, password і session).
Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля account, щоб уникнути проблем із записами користувачів із інших джерел під час керування доступом.
ПОВЕРНЕНІ ЗНАЧЕННЯ¶
PAM_SUCCESS
PAM_USER_UNKNOWN
PAM_AUTH_ERR
PAM_PERM_DENIED
PAM_IGNORE
PAM_AUTHTOK_ERR
PAM_AUTHINFO_UNAVAIL
PAM_BUF_ERR
PAM_SYSTEM_ERR
PAM_CRED_ERR
PAM_CRED_INSUFFICIENT
PAM_SERVICE_ERR
PAM_NEW_AUTHTOK_REQD
PAM_ACCT_EXPIRED
PAM_SESSION_ERR
PAM_CRED_UNAVAIL
PAM_NO_MODULE_DATA
PAM_CONV_ERR
PAM_AUTHTOK_LOCK_BUSY
PAM_ABORT
PAM_MODULE_UNKNOWN
PAM_BAD_ITEM
ФАЙЛИ¶
Якщо спроба скидання пароля від імені адміністративного користувача (root) зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено скидання паролів, може бути показано певне повідомлення. У цьому повідомленні, наприклад, можуть міститися настанови щодо скидання пароля.
Текст повідомлення буде прочитано з файла pam_sss_pw_reset_message.LOC, де «LOC» — рядок локалі у форматі, повернутому setlocale(3). Якщо відповідного файла знайдено не буде, буде показано вміст файла pam_sss_pw_reset_message.txt. Власником файлів має бути адміністративний користувач (root). Доступ до запису файлів також повинен мати лише адміністративний користувач. Всім іншим користувачам може бути надано лише право читання файлів.
Пошук цих файлів виконуватиметься у каталозі /etc/sssd/customize/НАЗВА_ДОМЕНУ/. Якщо відповідний файл не буде знайдено, буде показано типове повідомлення.
ТАКОЖ ПЕРЕГЛЯНЬТЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
05/24/2024 | SSSD |