NAME¶
authselect - poskytuje výběr systémové
totožnosti a zdrojů autentizace.
SOUHRN¶
authselect [--debug] [--trace] [--warn] command [command options]
POPIS¶
Authselect je nástroj pro nastavení
systémové totožnosti i zdrojů autentizace a
jejích poskytovatelů prostřednictvím
výběru určitého profilu. Profil je sadou
souborů, která popisuje, jak má vypadat
výsledné nastavení systému. Je-li vybrán
profil, authselect vytvoří stoh nsswitch.conf(5) a
PAM(8), který používá totožnost a zdroje
autentizace určené profilem.
Pokud poskytnutá profilová sada nedostačuje,
správce může vytvořit vlastní profil,
který umístí do zvláštního
profilového adresáře (/etc/authselect/custom).
Tímto se stane profil pro authselect ihned
použitelným. Více informací o
rozšiřování současných
profilů viz authselect-profiles(5).
OPT-IN TO AUTHSELECT¶
Authselect will not touch your existing configuration unless it
has already been created by it. If you want to start using authselect to
configure your system authentication, please call authselect select
with --force parameter first (e.g. authselect select sssd
--force). The --force parameter tells authselect that it is all
right to overwrite existing non-authselect configuration (see description
below). Using the --force parameter will automatically generate a
backup of your current configuration so if you wish to go back you can
restore it with authselect backup-restore command (see description
below).
DOSTUPNÉ PŘÍKAZY¶
Všechny dostupné příkazy lze vypsat
spuštěním authselect bez jakýchkoliv
parametrů. Zobrazení nápovědy pro vybraný
příkaz lze spustit příkazem authselect
PŘÍKAZ --help.
select id_profilu [vlastnosti] [-f, --force] [-q, --quiet]
[-b] [--backup=NÁZEV]
Aktivuje požadovaný profil. Výpis
volitelných vlastností daného profilu viz popis profilu s
příkazem
show.
--force, -f
Zapsat změny, i když
předchozí konfigurace nebyla vytvořena authselectem, ale
jiným nástrojem nebo ručně. Tato volba automaticky
zálohuje systémové soubory před zápisem
kterékoliv změny, pokud není nastavena volba
--nobackup.
-b
Vytvořit zálohu systémových
souborů před aktivací zvoleného profilu.
Záloha bude uložena v /var/lib/authselect/backups/NÁZEV.
Jako název zálohy se použije aktuální
čas a jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před aktivací zvoleného profilu.
Záloha bude uložena v /var/lib/authselect/backups/NÁZEV.
Není-li zadána hodnota, jako název zálohy se
použije aktuální čas a jedinečný
řetězec.
--nobackup
Nezálohovat systémovou konfiguraci,
přestože je nastavena volba --force.
--quiet, -q
Příkaz nevypíše
žádné informační zprávy, jako
např. dodatečné požadavky na profil nebo
umístění zálohy. Chybové
hlášky vypsány budou.
apply-changes [-b] [--backup=NÁZEV]
Opětovně aplikovat zvolený profil.
Jsou-li zaktualizovány profilové šablony, tímto
příkazem lze znovu vytvořit aktuální
systémovou konfiguraci, aby se tyto změny promítly do
systému. Příkaz opětovně aplikuje
změny pouze, je-li aktuální konfigurace platnou
konfigurací authselectu, jinak je vrácena chyba.
-b
Vytvořit zálohu systémových
souborů před použitím změn. Záloha
bude uložena v /var/lib/authselect/backups/NÁZEV. Jako
název zálohy se použije aktuální čas
a jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před použitím změn. Záloha
bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
list
Vypsat dostupné profily.
list-features id_profilu
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show id_profilu
Vypsat informace o profilu.
requirements id_profilu [vlastnosti]
Zobrazit informace o požadavcích na
profil.
current [-r, --raw]
Zobrazit informace o aktuálně
zvolených profilech. Je-li uvedena volba --raw,
příkaz namísto formátovaného výstupu
zobrazí parametry v surovém stavu, jako kdyby by byly
předány příkazu select.
check
Provést kontrolu, zda je aktuální
konfigurace platná (byla vytvořena buď nástrojem
authselect nebo nezůstaly žádné
pozůstatky předchozích konfigurací
authselectu).
test id_profilu [volby] [vlastnosti]
Vypsat obsah souborů vytvořených
nástrojem
authselect bez zapsání změn do
systémové konfigurace.
-a, --all
Zobrazit obsah všech souborů.
-n, --nsswitch
Zobrazit obsah nsswitch.conf.
-s, --system-auth
Zobrazit obsah system-auth.
-p, --password-auth
Zobrazit obsah password-auth.
-c, --smartcard-auth
Zobrazit obsah smartcard-auth.
-f, --fingerprint-auth
Zobrazit obsah fingerprint-auth.
-o, --postlogin
Zobrazit obsah postlogin.
-d, --dconf-db
Zobrazit obsah databáze dconf.
-l, --dconf-lock
Zobrazit obsah dconf lock.
enable-feature vlasnost [-b] [--backup=NÁZEV] [-q,
--quiet]
Povolit vlastnost v aktuálně
zvoleném profilu.
-b
Vytvořit zálohu systémových
souborů před povolením vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Jako název
zálohy se použije aktuální čas a
jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před povolením vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
--quiet, -q
Příkaz nevypíše
žádné informační zprávy, jako
např. dodatečné požadavky na profil nebo
umístění zálohy. Chybové
hlášky vypsány budou.
disable-feature vlastnost [-b] [--backup=NÁZEV]
Zakázat vlastnost v aktuálně
zvoleném profilu.
-b
Vytvořit zálohu systémových
souborů před zákazem vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Jako název
zálohy se použije aktuální čas a
jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před zákazem vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
create-profile NAME [--vendor,-v] [options]
Vytvořit nový vlastní profil s
názvem dle parametru
NÁZEV. Profil lze vytvořit na
základě již existujícího profilu, kdy
šablony nového profilu jsou zkopírovány z
existujícího (a tedy bázového) profilu, nebo jsou
vytvořeny symbolické odkazy na tyto soubory, je-li uvedena
příslušná volba.
--vendor,-v
Nový profil se vytvoří jako profil
výrobce, nikoliv vlastní profil. Více informací o
typech profilů viz
authselect-profiles(5).
--base-on=BASE-ID, -b=BASE-ID
Nový profil bude založen na
(bázovém) profilu s názvem dle parametru
ID-BÁZE. Místo, kde se nachází
bázový profil, je určeno těmito kroky:
1.Je-li před ID-BÁZE
předřazeno custom/, jedná se o vlastní
profil.
2.Zkus, zda bude ID-BÁZE nalezen v
profilech výrobců.
3.Zkus, zda bude ID-BÁZE nalezen ve
výchozích (default) profilech.
4.Vrať chybu.
--base-on-default
Bázovým profilem bude profil
výchozí, i pokud se nalézá též v
profilech výrobců.
--symlink-meta
Meta soubory, jako README a REQUIREMENTS
budou symbolickými odkazy na soubory původního (tzn.
bázového) profilu, nikoliv jejich kopiemi.
--symlink-nsswitch
šablona nsswitch.conf bude
symbolickým odkazem na soubor původního (tzn.
bázového) profilu, nikoliv jeho kopií.
--symlink-pam
šablony PAM budou symbolickými
odkazy na soubory původního (tzn. bázového)
profilu, nikoliv jejich kopiemi.
--symlink-dconf
šablony dconf budou symbolickými
odkazy na soubory původního (tzn. bázového)
profilu, nikoliv jejich kopiemi.
--symlink=FILE,-s=FILE
Vytvořit symbolický odkaz na soubor
šablony SOUBOR, nikoliv jeho kopii. Tuto volbu lze uvést
vícekrát.
PŘÍKAZY ZÁLOHY¶
Tyto příkazy lze použít ke
správě zálohovaných konfigurací.
backup-list [-r, --raw]
Zobrazit dostupné zálohy. Je-li uvedena
volba --raw, příkaz vypíše pouze
názvy záloh bez jakéhokoliv
formátování či dalších
informací.
backup-remove ZÁLOHA
Trvale odstranit zálohu s názvem
ZÁLOHA.
backup-restore BACKUP
Obnovit konfiguraci ze zálohy s názvem
ZÁLOHA. POZNÁMKA: Příkaz
přepíše aktuální konfiguraci.
SPOLEČNÉ VOLBY¶
Tyto volby lze použít u všech
příkazů.
--debug
Zobrazit ladící informace a chybové
zprávy.
--trace
Zobrazit informace o tom, co nástroj
provádí.
--warn
Zobrazit informace o neočekávaných
situacích, které nemají vliv na
vykonávání programu, ale mohou naznačovat
nějaké nechtěné situace (např.
neočekávaný soubor v adresáři
profilu).
SPRÁVA NSSWITCH.CONF¶
Authselect vytváří /etc/nsswitch.conf a
žádnému uživateli nedovoluje provést
změny tohoto souboru. Takové změny jsou odhaleny a
pokud není uvedena v příkazu select volba
--force, authselect odmítne zapsat každou
systémovou konfiguraci. Tento mechanismus brání
authselectu v přepsání čehokoliv, co
neodpovídá dostupným profilům.
Jakékoliv uživatelské změny v
mapách nsswitch musí být provedeny v souboru
/etc/authselect/user-nsswitch.conf. Při
vytváření nového souboru nsswitch.conf
čte authselect tento soubor a kombinuje ho s konfigurací
zvoleného profilu. Konfigurace profilu má vždy
přednost. Jinými slovy profily nemusí nastavovat
všechny mapy nsswitch, mohou pouze nastavovat ty, jež jsou
relevantní pro daný profil. Je-li mapa v rámci profilu
nastavena, vždy přepíše stejnou mapu z
user-nsswitch.conf.
Příklad 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# k mapám passwd a group z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# k mapám passwd, group a sudoers z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd: sss files systemdindicate
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
TROUBLESHOOTING¶
How can I tell if my system is using authselect?¶
Use authselect check. The output will tell you if you have
1) configuration generated by authselect 2) non-authselect configuration or
3) configuration that was generated by authselect but modified manually at
some point.
Is nsswitch.conf supposed to be a symbolic link now?¶
Authselect generates your system configuration from scratch and
stores it at /etc/authselect. System files are then created as symbolic
links to this directory. Symbolic links are used to make it clear that
authselect is now owning your configuration and should be used instead of
any manual modification.
Error: Unexpected changes to the configuration were detected.¶
For example:
[error] [/etc/authselect/nsswitch.conf] does not exist!
[error] [/etc/nsswitch.conf] is not a symbolic link!
[error] [/etc/nsswitch.conf] was not created by authselect!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.
This means that your configuration is unknown to authselect and as
such it will not be modified. To fix this, please call authselect
select with --force parameter to say that it is all right to
overwrite it.
NÁVRATOVÉ KÓDY¶
authselect vrací tyto návraté
kódy:
•0: Úspěch.
•1: Obecná chyba.
•2: Profil nebo konfigurace nenalezeny nebo
systém nebyl konfigurován pomocí authselect.
•3: Aktuální konfigurace je
neplatná, nebyla upravena prostřednictvím
authselect.
•4: Systémová konfigurace
musí být přepsána, aby se aktivoval profil
authselectu, je nutný parametr --force.
•5: Zadaný příkaz lze spustit
jen jako uživatel root.
VYTVÁŘENÉ SOUBORY¶
Authselect vytváří a udržuje
následující soubory, z důvodu
správného nastavení systémové
totožnosti a poskytovatelů autentizace.
/etc/nsswitch.conf
Konfigurační soubor Name Service
Switch.
/etc/pam.d/system-auth
PAM stack that is included from nearly all individual
service configuration files.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Tyto stohy PAM jsou určené pro aplikace,
které obsluhují autentizaci z různých druhů
zařízení prostřednictvím
souběžného vedení jednotlivých
konverzací, nikoliv jedné hromadné konverzace.
/etc/pam.d/postlogin
The purpose of this PAM stack is to provide a common
place for all PAM modules which should be called after the stack configured in
system-auth or the other common PAM configuration files. It is included from
all individual service configuration files that provide login service with
shell or file access. NOTE: the modules in the postlogin configuration file
are executed regardless of the success or failure of the modules in the
system-auth configuration file.
/etc/dconf/db/distro.d/20-authselect
Změny v databázi dconf. Hlavním
příkladem použití tohoto souboru je nastavit
změny u přihlašovací obrazovky gnome tak, aby bylo
možné povolit či zakázat autentizaci přes
čipovou kartu nebo otisk prstu.
/etc/dconf/db/distro.d/locks/20-authselect
Tento soubor nastavuje zámek u hodnot
nastavených v databázi dconf.