NAME¶
authselect - Systemidentitäts- und
Authentifizierungsquellen auswählen.
ZUSAMMENFASSUNG¶
authselect [--debug] [--trace] [--warn] Befehl [Befehlsoptionen]
BESCHREIBUNG¶
Authselect ist ein Tool zum Konfigurieren von
Systemidentitäts- und Authentifizierungsquellen und Anbieter durch
Auswahl eines bestimmten Profils. Profil ist eine Reihe von Dateien, die
beschreibt, wie die resultierende Systemkonfiguration aussehen wird. Wenn
ein Profil ausgewählt ist, erstellt authselect den zu
verwendenden Stapel nsswitch.conf (5) und PAM (8) vom Profil definierte
Identitäts- und Authentifizierungsquellen.
Wenn der bereitgestellte Profilsatz nicht ausreicht, kann der
Administrator ein benutzerdefiniertes Profil erstellen, indem er es in ein
spezielles Profilverzeichnis (/etc/authselect/custom) legt. Auf diese Weise
kann das Profil sofort von authselect verwendet werden. Weitere
Informationen zum Erweitern vorhandener Profile finden Sie unter
_authselect-profile (5) _.
OPT-IN FÜR AUTHSELECT¶
Authselect berührt Ihre vorhandene Konfiguration nur, wenn
sie bereits von ihr erstellt wurde. Wenn Sie authselect zum Konfigurieren
Ihrer Systemauthentifizierung verwenden möchten, rufen Sie zuerst
authselect select mit dem Parameter --force auf (z. B.
authselect select sssd --force). Der Parameter --force teilt
authselect mit, dass es in Ordnung ist, vorhandene
Nicht-authselect-Konfigurationen zu überschreiben (siehe Beschreibung
unten). Wenn Sie den Parameter --force verwenden, wird automatisch
eine Sicherungskopie Ihrer aktuellen Konfiguration erstellt. Wenn Sie
zurückkehren möchten, können Sie diese mit dem Befehl
authselect backup-restore wiederherstellen (siehe Beschreibung
unten).
VERFÜGBARE BEFEHLE¶
Für eine Liste von allen verfügbaren Befehlen, geben
Sie authselect ein ohne Argumente. Für Hilfe, geben Sie
authselect COMMAND --help ein.
select profile_id [features] [-f, --force] [-q, --quiet]
[-b] [--backup=NAME]
Aktivieren Sie das gewünschte Profil. In der
Profilbeschreibung mit dem Befehl
show finden Sie Informationen zu den
profilspezifischen optionalen Funktionen.
--force, -f
Schreiben Sie Änderungen, auch wenn die vorherige
Konfiguration nicht von erstellt wurde authselect aber durch anderes Tool oder
durch manuelle Änderungen. Diese Option wird Sichern Sie Systemdateien
automatisch, bevor Sie Änderungen schreiben --nobackup Option
ist gesetzt.
-b
Sichern Sie Systemdateien, bevor Sie das
ausgewählte Profil aktivieren. Die Sicherungskopie wird unter
/var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine
eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine
Abkürzung für --backup=.
--backup=NAME
Sichern Sie Systemdateien, bevor Sie das
ausgewählte Profil aktivieren. Die Sicherungskopie wird unter
/var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine
eindeutige Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben
wird.
--nobackup
Kein Backup erstellen wenn "--force" gesetzt
ist.
--quiet, -q
Der Befehl gibt keine Informationsnachricht aus, z. B.
zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler
werden noch gedruckt.
apply-changes [-b] [--backup=NAME]
Wenden Sie das aktuell ausgewählte Profil erneut
an. Wenn die Profilvorlagen aktualisiert wurden, kann dieser Befehl verwendet
werden, um die aktuelle Systemkonfiguration neu zu generieren und diese
Änderungen auf das System anzuwenden. Dieser Befehl wendet die
Änderungen nur erneut an, wenn die vorhandene Konfiguration eine
gültige Authselect-Konfiguration ist. Andernfalls wird ein Fehler
zurückgegeben.
-b
Sichern Sie Systemdateien, bevor Sie Änderungen
übernehmen. Die Sicherungskopie wird unter
/var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine
eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine
Abkürzung für --backup=.
--backup=NAME
Sichern Sie Systemdateien, bevor Sie Änderungen
übernehmen. Das Backup wird unter /var/lib/authselect/backups/NAME
gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name
verwendet, wenn kein Wert angegeben wird.
list
Liste der verfügbaren Profile.
list-features profil_ID
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show profil_id
Drucken Sie Informationen zum Profil.
requirements profil_id [eigenschaften]
Drucken Sie Informationen zu den
Profilanforderungen.
current [-r, --raw]
Drucken Sie Informationen zu aktuell ausgewählten
Profilen. Wenn die Option --raw angegeben ist, druckt der Befehl die
Rohparameter so, wie sie anstelle der formatierten Ausgabe an den Befehl
select übergeben wurden.
check
Überprüfen Sie, ob die aktuelle
Konfiguration gültig ist (sie wurde entweder von authselect
erstellt oder es sind keine Reste aus der vorherigen authselect-Konfiguration
vorhanden).
test profil_id [optionen] [eigenschaften]
Drucken Sie den Inhalt von Dateien, die von
authselect generiert wurden, ohne tatsächlich etwas in die
Systemkonfiguration zu schreiben.
-a, --all
Inhalt aller Dateien drucken.
-n, --nsswitch
Inhalt der nsswitch.conf drucken.
-s, --system-auth
Drucken Sie den Inhalt der Systemauthentifizierung.
-p, --password-auth
Drucken Sie den Inhalt der
Kennwortauthentifizierung.
-c, --smartcard-auth
Smartcard-Auth-Inhalt drucken.
-f, --fingerprint-auth
Drucken Sie den Fingerabdruck-Auth-Inhalt.
-o, --postlogin
Postlogin-Inhalt drucken.
-d, --dconf-db
Dconf-Datenbankinhalt drucken.
-l, --dconf-lock
Dconf-Sperrinhalt drucken.
enable-feature feature [-b] [--backup=NAME] [-q,
--quiet]
Funktion im aktuell ausgewählten Profil
aktivieren.
-b
Sichern Sie Systemdateien, bevor Sie die Funktion
aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME
gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der
Sicherung verwendet. Dies ist eine Abkürzung für
--backup=.
--backup=NAME
Sichern Sie Systemdateien, bevor Sie die Funktion
aktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert
werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet,
wenn kein Wert angegeben wird.
--quiet, -q
Der Befehl gibt keine Informationsnachricht aus, z. B.
zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler
werden noch gedruckt.
disable-feature feature [-b] [--backup=NAME]
Funktion im aktuell ausgewählten Profil
deaktivieren.
-b
Sichern Sie Systemdateien, bevor Sie die Funktion
deaktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME
gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der
Sicherung verwendet. Dies ist eine Abkürzung für
--backup=.
--backup=NAME
Sichern Sie Systemdateien, bevor Sie die Funktion
deaktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME
gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name
verwendet, wenn kein Wert angegeben wird.
create-profile NAME [--vendor,-v] [options]
Erstellen Sie ein neues benutzerdefiniertes Profil mit
dem Namen
NAME. Das Profil kann auf einem vorhandenen Profil basieren.
In diesem Fall werden die neuen Profilvorlagen entweder aus dem Basisprofil
kopiert oder symbolische Links zu diesen Dateien erstellt, wenn eine solche
Option ausgewählt ist.
--vendor,-v
Das neue Profil ist ein Lieferantenprofil anstelle eines
benutzerdefinierten Profils. Sehen _authselect-profile (5) _ für
weitere Informationen zu Profiltypen.
--base-on=BASE-ID, -b=BASE-ID
Das neue Profil basiert auf einem Profil mit dem Namen
BASE-ID. Die Basis Die Profilposition wird mit den folgenden Schritten
bestimmt:
1.Wenn BASE-ID mit dem Präfix _custom / _
beginnt, handelt es sich um ein benutzerdefiniertes Profil.
2.Versuchen Sie, ob BASE-ID in Herstellerprofilen
gefunden wird.
3.Versuchen Sie, ob BASE-ID in Standardprofilen
gefunden wird.
4.Geben Sie einen Fehler zurück.
--base-on-default
Das Basisprofil ist ein Standardprofil, auch wenn es auch
in gefunden wird Lieferantenprofile.
--symlink-meta
Metadateien wie README und REQUIREMENTS
sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer
Kopie.
--symlink-nsswitch
Die Vorlage nsswitch.conf ist ein symbolischer
Link zum Ursprungsprofil Datei anstelle ihrer Kopie.
--symlink-pam
PAM-Vorlagen sind symbolische Links zu den
Ursprungsprofildateien anstelle ihrer Kopie.
--symlink-dconf
dconf-Vorlagen sind symbolische Links zu den
Ursprungsprofildateien anstelle ihrer Kopie.
--symlink=FILE,-s=FILE
Erstellen Sie einen symbolischen Link für eine
Vorlagendatei FILE, anstatt sie zu erstellen seine Kopie. Diese Option
kann mehrfach übergeben werden.
SICHERUNGSBEFEHLE¶
Mit diesen Befehlen können gesicherte Konfigurationen
verwaltet werden.
backup-list [-r, --raw]
Verfügbare Backups drucken. Wenn die Option
--raw angegeben ist, druckt der Befehl nur Sicherungsnamen ohne
Formatierung und zusätzliche Informationen.
backup-remove BACKUP
Löschen Sie das Backup mit dem Namen BACKUP
dauerhaft.
backup-restore BACKUP
Stellen Sie die Konfiguration aus dem Backup mit dem
Namen BACKUP wieder her. * Hinweis: * Dadurch wird die aktuelle
Konfiguration überschrieben.
GEMEINSAME OPTIONEN¶
Diese Optionen sind für alle Befehle verfügbar.
--debug
Drucken Sie Debugging-Informationen und
Fehlermeldungen.
--trace
Drucken Sie Informationen darüber, was das Tool
tut.
--warn
Drucken Sie Informationen zu unerwarteten Situationen,
die sich nicht auf die Programmausführung auswirken, aber auf
unerwünschte Situationen hinweisen können (z. B. unerwartete
Dateien in einem Profilverzeichnis).
NSSWITCH.CONF MANAGEMENT¶
Authselect generiert /etc/nsswitch.conf und lässt keine
Benutzeränderungen an dieser Datei zu. Solche Änderungen
werden erkannt und authselect weigert sich, eine Systemkonfiguration zu
schreiben, es sei denn, für den Befehl select ist eine Option
--force vorgesehen. Dieser Mechanismus verhindert, dass authselect
alles überschreibt, was keinem verfügbaren Profil
entspricht.
Alle Benutzeränderungen an nsswitch-Maps müssen in
der Datei /etc/authselect /user-nsswitch.conf vorgenommen werden. Wenn
authselect eine neue nsswitch.conf generiert, liest es diese Datei
und kombiniert sie mit der Konfiguration aus dem ausgewählten Profil.
Die Profilkonfiguration hat immer Vorrang. Mit anderen Worten, Profile
müssen nicht alle nsswitch-Maps festlegen, sondern können nur
diejenigen festlegen, die für das Profil relevant sind. Wenn eine
Karte in einem Profil festgelegt ist, überschreibt sie immer dieselbe
Karte aus user-nsswitch.conf.
Beispiel 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {einschließen, wenn "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd- und Gruppenzuordnungen aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# passwd-, group- und sudoers-Maps aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
FEHLERBEHEBUNG¶
Wie kann ich feststellen, ob mein System authselect verwendet?¶
Verwenden Sie authselect check. Die Ausgabe zeigt an, ob
Sie 1) eine von authselect generierte Konfiguration haben, 2) eine nicht
authselect-Konfiguration oder 3) eine von authselect generierte, aber
irgendwann manuell geänderte Konfiguration.
Soll nsswitch.conf jetzt ein symbolischer Link sein?¶
Authselect generiert Ihre Systemkonfiguration von Grund auf neu
und speichert sie unter /etc/authselect. Systemdateien werden dann als
symbolische Links zu diesem Verzeichnis erstellt. Symbolische Links werden
verwendet, um zu verdeutlichen, dass authselect jetzt Eigentümer
Ihrer Konfiguration ist und anstelle manueller Änderungen verwendet
werden sollte.
Unerwartete Änderungen an der Konfiguration wurden festgestellt.¶
Beispielsweise:
[Fehler] [/etc/authselect/nsswitch.conf] existiert nicht!
[error] [/etc/nsswitch.conf] ist kein symbolischer Link!
[error] [/etc/nsswitch.conf] wurde nicht von authselect erstellt!
[Fehler] Es wurden unerwartete Änderungen an der Konfiguration festgestellt.
[Fehler] Weigert sich, das Profil zu aktivieren, es sei denn, diese Änderungen werden entfernt oder überschrieben.
Dies bedeutet, dass Ihre Konfiguration für authselect
unbekannt ist und daher nicht geändert wird. Um dies zu beheben,
rufen Sie bitte authselect select mit dem Parameter --force
auf, um zu sagen, dass das Überschreiben in Ordnung ist.
RÜCKGABECODES¶
Die authselect kann diese Exit-Codes
zurückgeben:
•0: Erfolg.
•1: Allgemeiner Fehler.
•2: Profil oder Konfiguration wurde nicht gefunden
oder das System wurde nicht mit authselect konfiguriert.
•3: Die aktuelle Konfiguration ist
ungültig. Sie wurde ohne Authselect bearbeitet.
•4: Die Systemkonfiguration muss
überschrieben werden, um ein Authselect-Profil zu aktivieren. Der
Parameter --force wird benötigt.
•5: Der ausgeführte Befehl muss als root
ausgeführt werden.
GENERIERTE DATEIEN¶
Authselect erstellt und verwaltet die folgenden Dateien, um die
Systemidentitäts- und Authentifizierungsanbieter
ordnungsgemäß zu konfigurieren.
/etc/nsswitch.conf
Name Service Switch-Konfigurationsdatei.
/etc/pam.d/system-auth
PAM-Stack, der aus fast allen einzelnen
Dienstkonfigurationsdateien enthalten ist.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Diese PAM-Stapel sind für Anwendungen vorgesehen,
die die Authentifizierung von verschiedenen Gerätetypen über die
gleichzeitige Ausführung einzelner Konversationen anstelle einer
aggregierten Konversation verarbeiten.
/etc/pam.d/postlogin
Der Zweck dieses PAM-Stapels besteht darin, einen
gemeinsamen Platz für alle PAM-Module bereitzustellen, der nach dem in
Systemauthentifizierung oder den anderen allgemeinen PAM-Konfigurationsdateien
konfigurierten Stapel aufgerufen werden soll. Es ist in allen einzelnen
Dienstkonfigurationsdateien enthalten, die dem Anmeldedienst Shell- oder
Dateizugriff bieten. HINWEIS: Die Module in der
Postlogin-Konfigurationsdatei werden unabhängig vom Erfolg oder
Misserfolg der Module in der Systemauthentifizierungskonfigurationsdatei
ausgeführt .
/etc/dconf/db/distro.d/20-authselect
Änderungen an der dconf-Datenbank. Der
Hauptanwendungsfall dieser Datei besteht darin, Änderungen für
den Gnome-Anmeldebildschirm festzulegen, um die Smartcard- und
Fingerabdruckauthentifizierung zu aktivieren oder zu deaktivieren.
/etc/dconf/db/distro.d/locks/20-authselect
Diese Datei definiert Sperren für Werte, die in
der dconf-Datenbank festgelegt sind.