Scroll to navigation

AUTHSELECT(8)   AUTHSELECT(8)

NAME

authselect - poskytuje výběr systémové totožnosti a zdrojů autentizace.

SOUHRN

authselect [--debug] [--trace] [--warn] příkaz [volby příkazu]

POPIS

Authselect je nástroj pro nastavení systémové totožnosti i zdrojů autentizace a jejích poskytovatelů prostřednictvím výběru určitého profilu. Profil je sadou souborů, která popisuje, jak má vypadat výsledné nastavení systému. Je-li vybrán profil, authselect vytvoří stoh nsswitch.conf(5) a PAM(8), který používá totožnost a zdroje autentizace určené profilem.

Pokud poskytnutá profilová sada nedostačuje, správce může vytvořit vlastní profil, který umístí do zvláštního profilového adresáře (/etc/authselect/custom). Tímto se stane profil pro authselect ihned použitelným. Více informací o rozšiřování současných profilů viz authselect-profiles(5).

OPT-IN TO AUTHSELECT

Nástroj Authselect se nedotkne vaší stávající konfigurace, pokud již nebyla vytvořena tímto nástrojem. Pokud chcete začít používat authselect ke konfiguraci ověřování systému, zavolejte nejprve authselect select s parametrem --force (např. authselect select sssd --force). Parametr --force říká nástroji authselect, že může přepsat stávající konfiguraci, která není součástí nástroje authselect (viz popis níže). Použití parametru --force automaticky vytvoří zálohu aktuální konfigurace, takže pokud se budete chtít vrátit zpět, můžete ji obnovit příkazem authselect backup-restore (viz popis níže).

DOSTUPNÉ PŘÍKAZY

Všechny dostupné příkazy lze vypsat spuštěním authselect bez jakýchkoliv parametrů. Zobrazení nápovědy pro vybraný příkaz lze spustit příkazem authselect PŘÍKAZ --help.

select id_profilu [vlastnosti] [-f, --force] [-q, --quiet] [-b] [--backup=NÁZEV]

Aktivuje požadovaný profil. Výpis volitelných vlastností daného profilu viz popis profilu s příkazem show.

--force, -f

Zapsat změny, i když předchozí konfigurace nebyla vytvořena authselectem, ale jiným nástrojem nebo ručně. Tato volba automaticky zálohuje systémové soubory před zápisem kterékoliv změny, pokud není nastavena volba --nobackup.

-b

Vytvořit zálohu systémových souborů před aktivací zvoleného profilu. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NAME

Vytvořit zálohu systémových souborů před aktivací zvoleného profilu. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

--nobackup

Nezálohovat systémovou konfiguraci, přestože je nastavena volba --force.

--quiet, -q

Příkaz nevypíše žádné informační zprávy, jako např. dodatečné požadavky na profil nebo umístění zálohy. Chybové hlášky vypsány budou.

apply-changes [-b] [--backup=NÁZEV]

Opětovně aplikovat zvolený profil. Jsou-li zaktualizovány profilové šablony, tímto příkazem lze znovu vytvořit aktuální systémovou konfiguraci, aby se tyto změny promítly do systému. Příkaz opětovně aplikuje změny pouze, je-li aktuální konfigurace platnou konfigurací authselectu, jinak je vrácena chyba.

-b

Vytvořit zálohu systémových souborů před použitím změn. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NAME

Vytvořit zálohu systémových souborů před použitím změn. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

list

Vypsat dostupné profily.

list-features id_profilu

List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.

show id_profilu

Vypsat informace o profilu.

requirements id_profilu [vlastnosti]

Zobrazit informace o požadavcích na profil.

current [-r, --raw]

Zobrazit informace o aktuálně zvolených profilech. Je-li uvedena volba --raw, příkaz namísto formátovaného výstupu zobrazí parametry v surovém stavu, jako kdyby by byly předány příkazu select.

check

Provést kontrolu, zda je aktuální konfigurace platná (byla vytvořena buď nástrojem authselect nebo nezůstaly žádné pozůstatky předchozích konfigurací authselectu).

test id_profilu [volby] [vlastnosti]

Vypsat obsah souborů vytvořených nástrojem authselect bez zapsání změn do systémové konfigurace.

-a, --all

Zobrazit obsah všech souborů.

-n, --nsswitch

Zobrazit obsah nsswitch.conf.

-s, --system-auth

Zobrazit obsah system-auth.

-p, --password-auth

Zobrazit obsah password-auth.

-c, --smartcard-auth

Zobrazit obsah smartcard-auth.

-f, --fingerprint-auth

Zobrazit obsah fingerprint-auth.

-o, --postlogin

Zobrazit obsah postlogin.

-d, --dconf-db

Zobrazit obsah databáze dconf.

-l, --dconf-lock

Zobrazit obsah dconf lock.

enable-feature vlasnost [-b] [--backup=NÁZEV] [-q, --quiet]

Povolit vlastnost v aktuálně zvoleném profilu.

-b

Vytvořit zálohu systémových souborů před povolením vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NAME

Vytvořit zálohu systémových souborů před povolením vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

--quiet, -q

Příkaz nevypíše žádné informační zprávy, jako např. dodatečné požadavky na profil nebo umístění zálohy. Chybové hlášky vypsány budou.

disable-feature vlastnost [-b] [--backup=NÁZEV]

Zakázat vlastnost v aktuálně zvoleném profilu.

-b

Vytvořit zálohu systémových souborů před zákazem vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NAME

Vytvořit zálohu systémových souborů před zákazem vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

create-profile NÁZEV [--custom,-c|--vendor,-v] [volby]

Vytvořit nový vlastní profil s názvem dle parametru NÁZEV. Profil lze vytvořit na základě již existujícího profilu, kdy šablony nového profilu jsou zkopírovány z existujícího (a tedy bázového) profilu, nebo jsou vytvořeny symbolické odkazy na tyto soubory, je-li uvedena příslušná volba.

--vendor,-v

Nový profil se vytvoří jako profil výrobce, nikoliv vlastní profil. Více informací o typech profilů viz authselect-profiles(5).

--base-on=BASE-ID, -b=BASE-ID

Nový profil bude založen na (bázovém) profilu s názvem dle parametru ID-BÁZE. Místo, kde se nachází bázový profil, je určeno těmito kroky:

1.Je-li před ID-BÁZE předřazeno custom/, jedná se o vlastní profil.

2.Zkus, zda bude ID-BÁZE nalezen v profilech výrobců.

3.Zkus, zda bude ID-BÁZE nalezen ve výchozích (default) profilech.

4.Vrať chybu.

--base-on-default

Bázovým profilem bude profil výchozí, i pokud se nalézá též v profilech výrobců.

--symlink-meta

Meta soubory, jako README a REQUIREMENTS budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink-nsswitch

šablona nsswitch.conf bude symbolickým odkazem na soubor původního (tzn. bázového) profilu, nikoliv jeho kopií.

--symlink-pam

šablony PAM budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink-dconf

šablony dconf budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink=FILE,-s=FILE

Vytvořit symbolický odkaz na soubor šablony SOUBOR, nikoliv jeho kopii. Tuto volbu lze uvést vícekrát.

PŘÍKAZY ZÁLOHY

Tyto příkazy lze použít ke správě zálohovaných konfigurací.

backup-list [-r, --raw]

Zobrazit dostupné zálohy. Je-li uvedena volba --raw, příkaz vypíše pouze názvy záloh bez jakéhokoliv formátování či dalších informací.

backup-remove ZÁLOHA

Trvale odstranit zálohu s názvem ZÁLOHA.

backup-restore BACKUP

Obnovit konfiguraci ze zálohy s názvem ZÁLOHA. POZNÁMKA: Příkaz přepíše aktuální konfiguraci.

SPOLEČNÉ VOLBY

Tyto volby lze použít u všech příkazů.

--debug

Zobrazit ladící informace a chybové zprávy.

--trace

Zobrazit informace o tom, co nástroj provádí.

--warn

Zobrazit informace o neočekávaných situacích, které nemají vliv na vykonávání programu, ale mohou naznačovat nějaké nechtěné situace (např. neočekávaný soubor v adresáři profilu).

SPRÁVA NSSWITCH.CONF

Authselect vytváří /etc/nsswitch.conf a žádnému uživateli nedovoluje provést změny tohoto souboru. Takové změny jsou odhaleny a pokud není uvedena v příkazu select volba --force, authselect odmítne zapsat každou systémovou konfiguraci. Tento mechanismus brání authselectu v přepsání čehokoliv, co neodpovídá dostupným profilům.

Jakékoliv uživatelské změny v mapách nsswitch musí být provedeny v souboru /etc/authselect/user-nsswitch.conf. Při vytváření nového souboru nsswitch.conf čte authselect tento soubor a kombinuje ho s konfigurací zvoleného profilu. Konfigurace profilu má vždy přednost. Jinými slovy profily nemusí nastavovat všechny mapy nsswitch, mohou pouze nastavovat ty, jež jsou relevantní pro daný profil. Je-li mapa v rámci profilu nastavena, vždy přepíše stejnou mapu z user-nsswitch.conf.

Příklad 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# k mapám passwd a group z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files
$ authselect select sssd with-sudo
# k mapám passwd, group a sudoers z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd:     sss files systemdindicate
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

ŘEŠENÍ PROBLÉMŮ

Jak zjistím, zda můj systém používá authselect?

Použijte authselect check. Výstup vám řekne, zda máte 1) konfiguraci vygenerovanou pomocí authselect 2) konfiguraci bez authselect nebo 3) konfiguraci, která byla vygenerována pomocí authselect, ale v určitém okamžiku byla upravena ručně.

Má být nyní soubor nsswitch.conf symbolickým odkazem?

Authselect generuje konfiguraci systému od začátku a ukládá ji do /etc/authselect. Systémové soubory jsou pak vytvořeny jako symbolické odkazy na tento adresář. Symbolické odkazy se používají k tomu, aby bylo jasné, že authselect nyní vlastní vaši konfiguraci a že by se měla používat místo jakýchkoli ručních úprav.

Chyba: Nalezeny neočekávané změny konfigurace.

Na příklad:

[error] [/etc/authselect/nsswitch.conf] neexistuje!
[error] [/etc/nsswitch.conf] není symbolický odkaz!
[error] [/etc/nsswitch.conf] nebyl vytvořen authselectem!
[error] Byly zjištěny neočekávané změny v konfiguraci.
[Chyba] Odmítá aktivaci profilu, pokud tyto změny nebudou odstraněny nebo nebude vyžádán přepis.

To znamená, že vaše konfigurace je pro authselect neznámá, a proto nebude upravena. Chcete-li to napravit, zavolejte authselect select s parametrem --force, abyste řekli, že ji můžete přepsat.

NÁVRATOVÉ KÓDY

authselect vrací tyto návraté kódy:

•0: Úspěch.

•1: Obecná chyba.

•2: Profil nebo konfigurace nenalezeny nebo systém nebyl konfigurován pomocí authselect.

•3: Aktuální konfigurace je neplatná, nebyla upravena prostřednictvím authselect.

•4: Systémová konfigurace musí být přepsána, aby se aktivoval profil authselectu, je nutný parametr --force.

•5: Zadaný příkaz lze spustit jen jako uživatel root.

VYTVÁŘENÉ SOUBORY

Authselect vytváří a udržuje následující soubory, z důvodu správného nastavení systémové totožnosti a poskytovatelů autentizace.

/etc/nsswitch.conf

Konfigurační soubor Name Service Switch.

/etc/pam.d/system-auth

PAM stack, který je součástí téměř všech konfiguračních souborů jednotlivých služeb.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

Tyto stohy PAM jsou určené pro aplikace, které obsluhují autentizaci z různých druhů zařízení prostřednictvím souběžného vedení jednotlivých konverzací, nikoliv jedné hromadné konverzace.

/etc/pam.d/postlogin

Účelem tohoto zásobníku PAM je poskytnout společné místo pro všechny moduly PAM, které by měly být volány po zásobníku nakonfigurovaném v system-auth nebo jiných běžných konfiguračních souborech PAM. Je zahrnut ze všech konfiguračních souborů jednotlivých služeb, které poskytují přihlašovací službu s přístupem k shellu nebo souborům. POZNÁMKA: moduly v konfiguračním souboru postlogin se spustí bez ohledu na úspěch nebo neúspěch modulů v konfiguračním souboru system-auth.

/etc/dconf/db/distro.d/20-authselect

Změny v databázi dconf. Hlavním příkladem použití tohoto souboru je nastavit změny u přihlašovací obrazovky gnome tak, aby bylo možné povolit či zakázat autentizaci přes čipovou kartu nebo otisk prstu.

/etc/dconf/db/distro.d/locks/20-authselect

Tento soubor nastavuje zámek u hodnot nastavených v databázi dconf.

VIZ TÉŽ

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)

2018-03-18