2. EL 7
  3. sssd-client
  4. pam_sss(8)

Scroll to navigation

PAM_SSS(8) Pàgines del manual de l'SSSD PAM_SSS(8)

NAME

pam_sss - Mòdul de PAM per SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always]

DESCRIPCIÓ

pam_sss.so és la interfície PAM a l'SSSD (System Security Services daemon). Els errors i els resultats es registren a través de syslog(3) amb el canal LOG_AUTHPRIV.

OPCIONS

quiet

Suprimeix el registre dels missatges per als usuaris desconeguts.

forward_pass

Si s'estableix forward_pass, la contrasenya que s'introdueix es posa a la pila perquè els altres mòduls del PAM l'utilitzin.

use_first_pass

L'argument use_first_pass obliga al mòdul que utilitzi una contrasenya apilada anteriorment dels mòduls i mai ho demanarà l'usuari - si no hi ha cap contrasenya o no és correcta, es denegarà l'accés a l'usuari.

use_authtok

Quan el canvi de contrasenya força al mòdul a establir la nova contrasenya a la proporcionada per un mòdul de contrasenya prèviament apilat.

retry=N

Si s'especifica, en cas de fallar l'autenticació a l'usuari se li demanarà N vegades més una contrasenya. Per defecte és 0.

Si us plau, tingueu en compte que aquesta opció podria no funcionar com s'espera si l'aplicació que crida PAM gestiona pel seu compte el diàleg amb l'usuari. Un exemple típic és sshd amb PasswordAuthentication.

ignore_unknown_user

Si s'especifica aquesta opció i no existeix l'usuari, el mòdul PAM retornarà PAM_IGNORE. Això provoca que el marc de treball del PAM ignori aquest mòdul.

ignore_authinfo_unavail

Especifica que el mòdul PAM ha de retornar PAM_IGNORE si no pot contactar amb el domini SSSD. Això provoca que el marc de treball del PAM ignori aquest mòdul.

domains

Permet a l'administrador que restringeixi els dominis que un servei PAM concret pot autentificar-s'hi. El format és una llista separada per comes dels noms dels dominis SSSD, com s'especifica al fitxer sssd.conf.

NOTA: Ha d'utilitzar-se juntament amb les opcions “pam_trusted_users” i “pam_public_domains”. Si us plau, vegeu la pàgina del manual de sssd.conf(5) per a més informació sobre aquestes dues opcions del contestador del PAM.

allow_missing_name

The main purpose of this option is to let SSSD determine the user name based on additional information, e.g. the certificate from a Smartcard.

The current use case are login managers which can monitor a Smartcard reader for card events. In case a Smartcard is inserted the login manager will call a PAM stack which includes a line like

auth sufficient pam_sss.so allow_missing_name

In this case SSSD will try to determine the user name based on the content of the Smartcard, returns it to pam_sss which will finally put it on the PAM stack.

prompt_always

Always prompt the user for credentials. With this option credentials requested by other PAM modules, typically a password, will be ignored and pam_sss will prompt for credentials again. Based on the pre-auth reply by SSSD pam_sss might prompt for a password, a Smartcard PIN or other credentials.

TIPUS DE MÒDULS PROPORCIONATS

Es proporcionen tots els tipus de mòduls (account, auth, password i session).

FITXERS

Si falla el restabliment d'una contrasenya per root, perquè el proveïdor SSSD corresponent no admet el restabliment de les contrasenyes, es pot mostrar un missatge concret. Aquest missatge per exemple pot contenir les instruccions sobre com es restableix una contrasenya.

El missatge es llegeix del fitxer pam_sss_pw_reset_message.LOC on LOC representa una cadena de la configuració regional retornada amb setlocale(3). Si no hi ha cap coincidència, es mostra el contingut del fitxer pam_sss_pw_reset_message.txt. El propietari dels fitxers ha de ser root i tan sols root ha de tenir els permisos de lectura i escriptura, mentre que tots els altres usuaris únicament han de tenir els permisos de lectura.

Aquests fitxers se cerquen al directori /etc/sssd/customize/NOM_DOMINI/. Si no hi ha present cap fitxer que hi coincideixi, es mostrarà un missatge genèric.

VEGEU TAMBÉ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)

AUTHORS

The SSSD upstream - https://pagure.io/SSSD/sssd/

01/24/2023 SSSD