NAME¶
authselect - poskytuje výběr systémové
totožnosti a zdrojů autentizace.
SOUHRN¶
authselect [--debug] [--trace] [--warn] příkaz [volby příkazu]
POPIS¶
Authselect je nástroj pro nastavení
systémové totožnosti i zdrojů autentizace a
jejích poskytovatelů prostřednictvím
výběru určitého profilu. Profil je sadou
souborů, která popisuje, jak má vypadat
výsledné nastavení systému. Je-li vybrán
profil, authselect vytvoří stoh nsswitch.conf(5) a
PAM(8), který používá totožnost a zdroje
autentizace určené profilem.
Pokud poskytnutá profilová sada nedostačuje,
správce může vytvořit vlastní profil,
který umístí do zvláštního
profilového adresáře (/etc/authselect/custom).
Tímto se stane profil pro authselect ihned
použitelným. Více informací o
rozšiřování současných
profilů viz authselect-profiles(5).
OPT-IN TO AUTHSELECT¶
Nástroj Authselect se nedotkne vaší
stávající konfigurace, pokud již nebyla
vytvořena tímto nástrojem. Pokud chcete
začít používat authselect ke konfiguraci
ověřování systému, zavolejte nejprve
authselect select s parametrem --force (např.
authselect select sssd --force). Parametr --force
říká nástroji authselect, že
může přepsat stávající
konfiguraci, která není součástí
nástroje authselect (viz popis níže).
Použití parametru --force automaticky
vytvoří zálohu aktuální konfigurace,
takže pokud se budete chtít vrátit zpět,
můžete ji obnovit příkazem authselect
backup-restore (viz popis níže).
DOSTUPNÉ PŘÍKAZY¶
Všechny dostupné příkazy lze vypsat
spuštěním authselect bez jakýchkoliv
parametrů. Zobrazení nápovědy pro vybraný
příkaz lze spustit příkazem authselect
PŘÍKAZ --help.
select id_profilu [vlastnosti] [-f, --force] [-q, --quiet]
[-b] [--backup=NÁZEV]
Aktivuje požadovaný profil. Výpis
volitelných vlastností daného profilu viz popis profilu s
příkazem
show.
--force, -f
Zapsat změny, i když
předchozí konfigurace nebyla vytvořena authselectem, ale
jiným nástrojem nebo ručně. Tato volba automaticky
zálohuje systémové soubory před zápisem
kterékoliv změny, pokud není nastavena volba
--nobackup.
-b
Vytvořit zálohu systémových
souborů před aktivací zvoleného profilu.
Záloha bude uložena v /var/lib/authselect/backups/NÁZEV.
Jako název zálohy se použije aktuální
čas a jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před aktivací zvoleného profilu.
Záloha bude uložena v /var/lib/authselect/backups/NÁZEV.
Není-li zadána hodnota, jako název zálohy se
použije aktuální čas a jedinečný
řetězec.
--nobackup
Nezálohovat systémovou konfiguraci,
přestože je nastavena volba --force.
--quiet, -q
Příkaz nevypíše
žádné informační zprávy, jako
např. dodatečné požadavky na profil nebo
umístění zálohy. Chybové
hlášky vypsány budou.
apply-changes [-b] [--backup=NÁZEV]
Opětovně aplikovat zvolený profil.
Jsou-li zaktualizovány profilové šablony, tímto
příkazem lze znovu vytvořit aktuální
systémovou konfiguraci, aby se tyto změny promítly do
systému. Příkaz opětovně aplikuje
změny pouze, je-li aktuální konfigurace platnou
konfigurací authselectu, jinak je vrácena chyba.
-b
Vytvořit zálohu systémových
souborů před použitím změn. Záloha
bude uložena v /var/lib/authselect/backups/NÁZEV. Jako
název zálohy se použije aktuální čas
a jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před použitím změn. Záloha
bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
list
Vypsat dostupné profily.
list-features id_profilu
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show id_profilu
Vypsat informace o profilu.
requirements id_profilu [vlastnosti]
Zobrazit informace o požadavcích na
profil.
current [-r, --raw]
Zobrazit informace o aktuálně
zvolených profilech. Je-li uvedena volba --raw,
příkaz namísto formátovaného výstupu
zobrazí parametry v surovém stavu, jako kdyby by byly
předány příkazu select.
check
Provést kontrolu, zda je aktuální
konfigurace platná (byla vytvořena buď nástrojem
authselect nebo nezůstaly žádné
pozůstatky předchozích konfigurací
authselectu).
test id_profilu [volby] [vlastnosti]
Vypsat obsah souborů vytvořených
nástrojem
authselect bez zapsání změn do
systémové konfigurace.
-a, --all
Zobrazit obsah všech souborů.
-n, --nsswitch
Zobrazit obsah nsswitch.conf.
-s, --system-auth
Zobrazit obsah system-auth.
-p, --password-auth
Zobrazit obsah password-auth.
-c, --smartcard-auth
Zobrazit obsah smartcard-auth.
-f, --fingerprint-auth
Zobrazit obsah fingerprint-auth.
-o, --postlogin
Zobrazit obsah postlogin.
-d, --dconf-db
Zobrazit obsah databáze dconf.
-l, --dconf-lock
Zobrazit obsah dconf lock.
enable-feature vlasnost [-b] [--backup=NÁZEV] [-q,
--quiet]
Povolit vlastnost v aktuálně
zvoleném profilu.
-b
Vytvořit zálohu systémových
souborů před povolením vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Jako název
zálohy se použije aktuální čas a
jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před povolením vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
--quiet, -q
Příkaz nevypíše
žádné informační zprávy, jako
např. dodatečné požadavky na profil nebo
umístění zálohy. Chybové
hlášky vypsány budou.
disable-feature vlastnost [-b] [--backup=NÁZEV]
Zakázat vlastnost v aktuálně
zvoleném profilu.
-b
Vytvořit zálohu systémových
souborů před zákazem vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Jako název
zálohy se použije aktuální čas a
jedinečný řetězec. Jedná se o
kratší formu volby --backup=.
--backup=NAME
Vytvořit zálohu systémových
souborů před zákazem vlastnosti. Záloha bude
uložena v /var/lib/authselect/backups/NÁZEV. Není-li
zadána hodnota, jako název zálohy se použije
aktuální čas a jedinečný
řetězec.
create-profile NÁZEV [--custom,-c|--vendor,-v]
[volby]
Vytvořit nový vlastní profil s
názvem dle parametru
NÁZEV. Profil lze vytvořit na
základě již existujícího profilu, kdy
šablony nového profilu jsou zkopírovány z
existujícího (a tedy bázového) profilu, nebo jsou
vytvořeny symbolické odkazy na tyto soubory, je-li uvedena
příslušná volba.
--vendor,-v
Nový profil se vytvoří jako profil
výrobce, nikoliv vlastní profil. Více informací o
typech profilů viz
authselect-profiles(5).
--base-on=BASE-ID, -b=BASE-ID
Nový profil bude založen na
(bázovém) profilu s názvem dle parametru
ID-BÁZE. Místo, kde se nachází
bázový profil, je určeno těmito kroky:
1.Je-li před ID-BÁZE
předřazeno custom/, jedná se o vlastní
profil.
2.Zkus, zda bude ID-BÁZE nalezen v
profilech výrobců.
3.Zkus, zda bude ID-BÁZE nalezen ve
výchozích (default) profilech.
4.Vrať chybu.
--base-on-default
Bázovým profilem bude profil
výchozí, i pokud se nalézá též v
profilech výrobců.
--symlink-meta
Meta soubory, jako README a REQUIREMENTS
budou symbolickými odkazy na soubory původního (tzn.
bázového) profilu, nikoliv jejich kopiemi.
--symlink-nsswitch
šablona nsswitch.conf bude
symbolickým odkazem na soubor původního (tzn.
bázového) profilu, nikoliv jeho kopií.
--symlink-pam
šablony PAM budou symbolickými
odkazy na soubory původního (tzn. bázového)
profilu, nikoliv jejich kopiemi.
--symlink-dconf
šablony dconf budou symbolickými
odkazy na soubory původního (tzn. bázového)
profilu, nikoliv jejich kopiemi.
--symlink=FILE,-s=FILE
Vytvořit symbolický odkaz na soubor
šablony SOUBOR, nikoliv jeho kopii. Tuto volbu lze uvést
vícekrát.
PŘÍKAZY ZÁLOHY¶
Tyto příkazy lze použít ke
správě zálohovaných konfigurací.
backup-list [-r, --raw]
Zobrazit dostupné zálohy. Je-li uvedena
volba --raw, příkaz vypíše pouze
názvy záloh bez jakéhokoliv
formátování či dalších
informací.
backup-remove ZÁLOHA
Trvale odstranit zálohu s názvem
ZÁLOHA.
backup-restore BACKUP
Obnovit konfiguraci ze zálohy s názvem
ZÁLOHA. POZNÁMKA: Příkaz
přepíše aktuální konfiguraci.
SPOLEČNÉ VOLBY¶
Tyto volby lze použít u všech
příkazů.
--debug
Zobrazit ladící informace a chybové
zprávy.
--trace
Zobrazit informace o tom, co nástroj
provádí.
--warn
Zobrazit informace o neočekávaných
situacích, které nemají vliv na
vykonávání programu, ale mohou naznačovat
nějaké nechtěné situace (např.
neočekávaný soubor v adresáři
profilu).
SPRÁVA NSSWITCH.CONF¶
Authselect vytváří /etc/nsswitch.conf a
žádnému uživateli nedovoluje provést
změny tohoto souboru. Takové změny jsou odhaleny a
pokud není uvedena v příkazu select volba
--force, authselect odmítne zapsat každou
systémovou konfiguraci. Tento mechanismus brání
authselectu v přepsání čehokoliv, co
neodpovídá dostupným profilům.
Jakékoliv uživatelské změny v
mapách nsswitch musí být provedeny v souboru
/etc/authselect/user-nsswitch.conf. Při
vytváření nového souboru nsswitch.conf
čte authselect tento soubor a kombinuje ho s konfigurací
zvoleného profilu. Konfigurace profilu má vždy
přednost. Jinými slovy profily nemusí nastavovat
všechny mapy nsswitch, mohou pouze nastavovat ty, jež jsou
relevantní pro daný profil. Je-li mapa v rámci profilu
nastavena, vždy přepíše stejnou mapu z
user-nsswitch.conf.
Příklad 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# k mapám passwd a group z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# k mapám passwd, group a sudoers z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd: sss files systemdindicate
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
ŘEŠENÍ PROBLÉMٶ
Jak zjistím, zda můj systém používá authselect?¶
Použijte authselect check. Výstup vám
řekne, zda máte 1) konfiguraci vygenerovanou pomocí
authselect 2) konfiguraci bez authselect nebo 3) konfiguraci, která
byla vygenerována pomocí authselect, ale v
určitém okamžiku byla upravena ručně.
Má být nyní soubor nsswitch.conf symbolickým odkazem?¶
Authselect generuje konfiguraci systému od
začátku a ukládá ji do /etc/authselect.
Systémové soubory jsou pak vytvořeny jako
symbolické odkazy na tento adresář. Symbolické
odkazy se používají k tomu, aby bylo jasné,
že authselect nyní vlastní vaši konfiguraci a
že by se měla používat místo
jakýchkoli ručních úprav.
Chyba: Nalezeny neočekávané změny konfigurace.¶
Na příklad:
[error] [/etc/authselect/nsswitch.conf] neexistuje!
[error] [/etc/nsswitch.conf] není symbolický odkaz!
[error] [/etc/nsswitch.conf] nebyl vytvořen authselectem!
[error] Byly zjištěny neočekávané změny v konfiguraci.
[Chyba] Odmítá aktivaci profilu, pokud tyto změny nebudou odstraněny nebo nebude vyžádán přepis.
To znamená, že vaše konfigurace je pro
authselect neznámá, a proto nebude upravena. Chcete-li to
napravit, zavolejte authselect select s parametrem --force,
abyste řekli, že ji můžete přepsat.
NÁVRATOVÉ KÓDY¶
authselect vrací tyto návraté
kódy:
•0: Úspěch.
•1: Obecná chyba.
•2: Profil nebo konfigurace nenalezeny nebo
systém nebyl konfigurován pomocí authselect.
•3: Aktuální konfigurace je
neplatná, nebyla upravena prostřednictvím
authselect.
•4: Systémová konfigurace
musí být přepsána, aby se aktivoval profil
authselectu, je nutný parametr --force.
•5: Zadaný příkaz lze spustit
jen jako uživatel root.
VYTVÁŘENÉ SOUBORY¶
Authselect vytváří a udržuje
následující soubory, z důvodu
správného nastavení systémové
totožnosti a poskytovatelů autentizace.
/etc/nsswitch.conf
Konfigurační soubor Name Service
Switch.
/etc/pam.d/system-auth
PAM stack, který je součástí
téměř všech konfiguračních
souborů jednotlivých služeb.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Tyto stohy PAM jsou určené pro aplikace,
které obsluhují autentizaci z různých druhů
zařízení prostřednictvím
souběžného vedení jednotlivých
konverzací, nikoliv jedné hromadné konverzace.
/etc/pam.d/postlogin
Účelem tohoto zásobníku PAM
je poskytnout společné místo pro všechny moduly
PAM, které by měly být volány po
zásobníku nakonfigurovaném v system-auth nebo
jiných běžných konfiguračních
souborech PAM. Je zahrnut ze všech konfiguračních
souborů jednotlivých služeb, které
poskytují přihlašovací službu s
přístupem k shellu nebo souborům. POZNÁMKA:
moduly v konfiguračním souboru postlogin se spustí bez
ohledu na úspěch nebo neúspěch modulů v
konfiguračním souboru system-auth.
/etc/dconf/db/distro.d/20-authselect
Změny v databázi dconf. Hlavním
příkladem použití tohoto souboru je nastavit
změny u přihlašovací obrazovky gnome tak, aby bylo
možné povolit či zakázat autentizaci přes
čipovou kartu nebo otisk prstu.
/etc/dconf/db/distro.d/locks/20-authselect
Tento soubor nastavuje zámek u hodnot
nastavených v databázi dconf.