Scroll to navigation

PAM_SSS(8) Páginas de manual de SSSD PAM_SSS(8)

NAME

pam_sss - Módulo PAM para SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always]

DESCRIPCION

pam_sss.so es la interfaz PAM para el demonio Servicios de Seguridad de Sistema (SSSD). Los errores y resultados son registrados a través de syslog(3) con la facilidad LOG_AUTHPRIV.

OPCIONES

quiet

Suprime el registro de mensajes de usuarios desconocidos.

forward_pass

Si forward_pass está fijada el password introducido se pone en la pila para que lo usen otros módulos PAM.

use_first_pass

El argumento use_first_pass fuerza al módulo a usar un módulo de password apilado previamente y nunca preguntará al usuario - si no hay password disponible o el password no es apropiado, se denegará el acceso al usuario.

use_authtok

Cuando cambia el password fuerza al módulo a fijar el nuevo password a uno suministrado por un módulo de password previamente apilado.

retry=N

Si el usuario especificado es preguntado N veces por un password si la autenticación falla. Por defecto es 0.

Por favor advierta que esta opción puede no trabajar como se espera llamando PAM a manejar el diálogo de usuario por el mismo. Un ejecplo típico es sshd con PasswordAuthentication.

ignore_unknown_user

Si se especifica esta opción y el usuario no existe, el módulo PAM devolverá PAM_IGNORE. Esto origina que el marco de referencia PAM ignore este módulo.

ignore_authinfo_unavail

Especifica que el módulo PAM debería devolver PAM_IGNORE si no puede contactar con el demonio SSSD. Esto causa que el marco de referencia PAM ignore este módulo.

domains

Permite al administrador restringir los dominios contra los que un servicio PAM particular puede autenticarse. El formato es una lista separada por comas de nombres de dominio SSSD, como se especifica en el fichero sssd.conf.

AVISO: Se debe usar junto con las opciones “pam_trusted_users” y “pam_public_domains”. Por favor vea la página de manual sssd.conf(5) para mas información sobre estas dos opciones del respondedor PAM.

allow_missing_name

El propósito principal de esta opción es dejar que SSSD determine el nombre de usuario en base a información adicional, e.g. el certificado de una Smartcard.

El caso de uso actual son los administradores de inicio de sesión que pueden monitorear un lector de tarjetas inteligentes para eventos de tarjetas. En el caso de que una Smartcard se inserte el administrador de inicio de sesión llamara a la pila PAM que incluye una línea como

auth sufficient pam_sss.so allow_missing_name

En este caso SSSD intentará determinar el nobre de usuairo en base al contenido de la tarjeta inteligente, se lo devolverá a pam_sss quien finalmente lo pondrá en la pila PAM.

prompt_always

Solicita siempre al usuario las credenciales. Con esta opción las credenciales pedidas por otros módulos PAM, normalmente una contraseña, serán ignoradas y pam_sss solicitará las credenciales otra vez. En base a la respuesta pre autorización de SSSD pam_sss debe solicitar una contraseña, un Smartcard PIN u otras credenciales.

TIPOS DE MÓDULOS SUMINISTRADOS

Todos los tipos de módulos (account, auth, password y session) son suministrados.

ARCHIVOS

Si un password se resetea por un fallo de root, como el correspondiente proveedor SSSD no soporta el reseteo de password, se puede mostrar un mensaje individual. Este mensaje puede, por ejemplo, contener instrucciones sobre como resetear un password.

El mensaje se lee desde el fichero pam_sss_pw_reset_message.LOC donde LOC destaca una cadena de lugar devuelta por setlocale(3). Si no hay fichero coincidente se muestra el contenido de pam_sss_pw_reset_message.txt. Root debe ser el propietario de los ficheros y sólo root puede tener permisos de lectura y escritura mientras que todos los demás usuarios sólo tienen permisos de lectura.

Estos ficheros son buscados en el directorio /etc/sssd/customize/DOMAIN_NAME/. Si no hay archivos coincidentes se muestra un mensaje genérico.

VEA TAMBIEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)

AUTHORS

The SSSD upstream - https://pagure.io/SSSD/sssd/

01/23/2024 SSSD