table of contents
SSSD-KRB5(5) | Формати файлів та правила | SSSD-KRB5(5) |
NAME¶
sssd-krb5 - Модуль надання даних Kerberos SSSD
ОПИС¶
На цій сторінці довідника описано налаштування засобу розпізнавання Kerberos 5 для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf(5).
Модуль розпізнавання Kerberos 5 містити засоби розпізнавання та зміни паролів. З метою отримання належних результатів його слід використовувати разом з інструментом обробки профілів (наприклад, id_provider = ldap). Деякі з даних, потрібних для роботи модуля розпізнавання Kerberos 5, має бути надано інструментом обробки профілів, серед цих даних Kerberos Principal Name (UPN) або реєстраційне ім’я користувача. У налаштуваннях інструменту обробки профілів має бути запис з визначенням UPN. Докладні настанови щодо визначення такого UPN має бути викладено на сторінці довідника (man) відповідного інструменту обробки профілів.
У цьому інструменті керування даними також передбачено можливості керування доступом, засновані на даних з файла .k5login у домашньому каталозі користувача. Докладніші відомості можна отримати з підручника до .k5login(5). Зауважте, що якщо файл .k5login виявиться порожнім, доступ користувачеві буде заборонено. Щоб задіяти можливість керування доступом, додайте рядок «access_provider = krb5» до ваших налаштувань SSSD.
У випадку, коли доступу до UPN у модулі профілів не передбачено, sssd побудує UPN у форматі ім’я_користувача@область_krb5.
ПАРАМЕТРИ НАЛАШТУВАННЯ¶
Якщо у домені SSSD використано auth-module krb5, має бути використано вказані нижче параметри. Зверніться до сторінки довідника (man) sssd.conf(5), розділ «РОЗДІЛИ ДОМЕНІВ», щоб дізнатися більше про налаштування домену SSSD.
krb5_server, krb5_backup_server (рядок)
Під час використання виявлення служб для серверів KDC або kpasswd SSSD спочатку намагається знайти записи DNS, у яких визначається протокол _udp. Використання протоколу _tcp відбувається, лише якщо таких записів не вдасться знайти.
У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній версії передбачено розпізнавання цієї застарілої назви, але користувачам варто перейти на використання «krb5_server» у файлах налаштувань.
krb5_realm (рядок)
krb5_kpasswd, krb5_backup_kpasswd (рядок)
Додаткові відомості щодо резервних серверів можна знайти у розділі «РЕЗЕРВ». Зауваження: навіть якщо список всіх серверів kpasswd буде вичерпано, модуль не перемкнеться у автономний режим роботи, якщо розпізнавання за KDC залишатиметься можливим.
Типове значення: використання KDC
krb5_ccachedir (рядок)
Типове значення: /tmp
krb5_ccname_template (рядок)
%u
%U
%p
%r
%h
%d
%P
%%
Якщо шаблон завершується послідовністю «XXXXXX», для безпечного створення назви файла використовується mkstemp(3).
Якщо використовуються типи KEYRING, єдиним підтримуваним механізмом є «KEYRING:persistent:%U», тобто використання сховища ключів ядра Linux для зберігання реєстраційних даних на основі поділу за UID. Цей варіант є рекомендованим, оскільки це найбезпечніший та найпередбачуваніший спосіб.
Типове значення назви кешу реєстраційних даних буде запозичено з загальносистемного профілю, що зберігається у файлі налаштувань krb5.conf, розділ [libdefaults]. Назва параметра — default_ccache_name. Див. розділ щодо розгортання параметрів (PARAMETER EXPANSION) у довідці щодо krb5.conf(5), щоб отримати додаткові дані щодо формату розгортання, використаного у krb5.conf.
ЗАУВАЖЕННЯ: майте на увазі, що шаблон розширення ccache libkrb5 з krb5.conf(5) використовує інші послідовності розширення, що не збігаються із використаними у SSSD.
Типове значення: (з libkrb5)
krb5_auth_timeout (ціле число)
Типове значення: 6
krb5_validate (булеве значення)
Типове значення: false
krb5_keytab (рядок)
Типове значення: /etc/krb5.keytab
krb5_store_password_if_offline (булівське значення)
Зауваження: ця можливість у поточній версії доступна лише на платформі Linux. Паролі зберігатимуться у форматі звичайного тексту (без шифрування) у сховищі ключів ядра, потенційно до них може отримати доступ адміністративний користувач (root), але йому для цього слід буде подолати деякі перешкоди.
Типове значення: false
krb5_renewable_lifetime (рядок)
s — секунди
m — хвилини
h — години
d — дні.
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю s.
Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам потрібно встановити строк дії у півтори години, слід вказати «90m», а не «1h30m».
Типове значення: не встановлено, тобто TGT не є оновлюваним
krb5_lifetime (рядок)
s — секунди
m — хвилини
h — години
d — дні.
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю s.
Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам потрібно встановити строк дії у півтори години, слід вказати «90m», а не «1h30m».
Типове значення: не встановлено, тобто типовий строк дії квитка визначатиметься у налаштуваннях KDC.
krb5_renew_interval (рядок)
s — секунди
m — хвилини
h — години
d — дні.
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю s.
Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам потрібно встановити строк дії у півтори години, слід вказати «90m», а не «1h30m».
Якщо значення для цього параметра встановлено не буде або буде встановлено значення 0, автоматичного оновлення не відбуватиметься.
Типове значення: not set
krb5_use_fast (рядок)
never використовувати FAST, рівнозначний варіанту, за якого значення цього параметра взагалі не задається.
try — використовувати FAST. Якщо на сервері не передбачено підтримки FAST, продовжити розпізнавання без FAST.
demand — використовувати FAST. Якщо на сервері не передбачено підтримки FAST, спроба розпізнавання зазнає невдачі.
Типове значення: не встановлено, тобто FAST не використовується.
Зауваження: будь ласка, зауважте, що для використання FAST потрібна таблиця ключів.
Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT Kerberos версії 1.8 або новішої. Якщо SSSD буде використано зі старішою версією MIT Kerberos і цим параметром, буде повідомлено про помилку у налаштуваннях.
krb5_fast_principal (рядок)
krb5_canonicalize (булеве значення)
Типове значення: false
krb5_use_kdcinfo (булеве значення)
Див. сторінку підручника (man) sssd_krb5_locator_plugin(8), щоб дізнатися більше про додаток пошуку.
Типове значення: true
krb5_use_enterprise_principal (булеве значення)
Типове значення: false (надається AD: true)
krb5_map_user (рядок)
приклад:
krb5_realm = REALM krb5_map_user = joe:juser,dick:richard
“joe” і “dick” — імена користувачів UNIX, а “juser” і “richard” основні частини реєстраційних записів kerberos. Для користувачів “joe” та, відповідно, “dick” SSSD намагатиметься виконати ініціалізацію kinit як “juser@REALM” і, відповідно, “richard@REALM”.
Типове значення: not set
РЕЗЕРВ¶
Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з’єднання з поточним сервером зазнає невдачі.
Синтаксичні конструкції визначення резервного сервера¶
Список записів серверів, відокремлених комами. Між комами можна використовувати довільну кількість пробілів. Порядок у списку визначає пріоритет. У списку може бути будь-яка кількість записів серверів.
Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти: основний і резервний. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з’єднання з основними серверами. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний.
Механізм визначення резервного сервера¶
Механізмом резервного використання розрізняються окремі комп’ютери і служби. Спочатку модуль намагається визначити назву вузла вказаного комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься від’єднаним від мережі. Подальших спроб встановити з’єднання з цим комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати визначення, модуль зробити спробу встановити з’єднання зі службою на визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з мережею, можливі подальші спроби використання інших служб.
Подальші спроби встановлення з’єднання з комп’ютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам.
Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд.
ПОШУК СЛУЖБ¶
За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з’єднання на основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки цієї можливості для резервних серверів не передбачено.
Налаштування¶
Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб. Для цього слід вставити особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера.
Назва домену¶
З докладнішими відомостями щодо параметра «dns_discovery_domain» можна ознайомитися на сторінці підручника (man) sssd.conf(5).
Протокол¶
Запитами зазвичай визначається протокол _tcp. Виключення документовано у описі відповідного параметра.
Також прочитайте¶
Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782.
ПРИКЛАД¶
У наведеному нижче прикладі припускається, що SSSD налаштовано належним чином, а FOO є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише налаштування розпізнавання аз допомогою Kerberos, там не вказано інструменту обробки профілів.
[domain/FOO] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM
ТАКОЖ ПЕРЕГЛЯНЬТЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
Основна гілка розробки SSSD — http://fedorahosted.org/sssd
01/16/2019 | SSSD |