Scroll to navigation

AUTHSELECT(8)   AUTHSELECT(8)

NAME

authselect - Systemidentitäts- und Authentifizierungsquellen auswählen.

ZUSAMMENFASSUNG

authselect [--debug] [--trace] [--warn] Befehl [Befehlsoptionen]

BESCHREIBUNG

Authselect ist ein Tool zum Konfigurieren von Systemidentitäts- und Authentifizierungsquellen und Anbieter durch Auswahl eines bestimmten Profils. Profil ist eine Reihe von Dateien, die beschreibt, wie die resultierende Systemkonfiguration aussehen wird. Wenn ein Profil ausgewählt ist, erstellt authselect den zu verwendenden Stapel nsswitch.conf (5) und PAM (8) vom Profil definierte Identitäts- und Authentifizierungsquellen.

Wenn der bereitgestellte Profilsatz nicht ausreicht, kann der Administrator ein benutzerdefiniertes Profil erstellen, indem er es in ein spezielles Profilverzeichnis (/etc/authselect/custom) legt. Auf diese Weise kann das Profil sofort von authselect verwendet werden. Weitere Informationen zum Erweitern vorhandener Profile finden Sie unter _authselect-profile (5) _.

OPT-IN FÜR AUTHSELECT

Authselect berührt Ihre vorhandene Konfiguration nur, wenn sie bereits von ihr erstellt wurde. Wenn Sie authselect zum Konfigurieren Ihrer Systemauthentifizierung verwenden möchten, rufen Sie zuerst authselect select mit dem Parameter --force auf (z. B. authselect select sssd --force). Der Parameter --force teilt authselect mit, dass es in Ordnung ist, vorhandene Nicht-authselect-Konfigurationen zu überschreiben (siehe Beschreibung unten). Wenn Sie den Parameter --force verwenden, wird automatisch eine Sicherungskopie Ihrer aktuellen Konfiguration erstellt. Wenn Sie zurückkehren möchten, können Sie diese mit dem Befehl authselect backup-restore wiederherstellen (siehe Beschreibung unten).

VERFÜGBARE BEFEHLE

Für eine Liste von allen verfügbaren Befehlen, geben Sie authselect ein ohne Argumente. Für Hilfe, geben Sie authselect COMMAND --help ein.

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NAME]

Aktivieren Sie das gewünschte Profil. In der Profilbeschreibung mit dem Befehl show finden Sie Informationen zu den profilspezifischen optionalen Funktionen.

--force, -f

Schreiben Sie Änderungen, auch wenn die vorherige Konfiguration nicht von erstellt wurde authselect aber durch anderes Tool oder durch manuelle Änderungen. Diese Option wird Sichern Sie Systemdateien automatisch, bevor Sie Änderungen schreiben --nobackup Option ist gesetzt.

-b

Sichern Sie Systemdateien, bevor Sie das ausgewählte Profil aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

Sichern Sie Systemdateien, bevor Sie das ausgewählte Profil aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

--nobackup

Kein Backup erstellen wenn "--force" gesetzt ist.

--quiet, -q

Der Befehl gibt keine Informationsnachricht aus, z. B. zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler werden noch gedruckt.

apply-changes [-b] [--backup=NAME]

Wenden Sie das aktuell ausgewählte Profil erneut an. Wenn die Profilvorlagen aktualisiert wurden, kann dieser Befehl verwendet werden, um die aktuelle Systemkonfiguration neu zu generieren und diese Änderungen auf das System anzuwenden. Dieser Befehl wendet die Änderungen nur erneut an, wenn die vorhandene Konfiguration eine gültige Authselect-Konfiguration ist. Andernfalls wird ein Fehler zurückgegeben.

-b

Sichern Sie Systemdateien, bevor Sie Änderungen übernehmen. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

Sichern Sie Systemdateien, bevor Sie Änderungen übernehmen. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

list

Liste der verfügbaren Profile.

list-features profil_ID

List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.

show profil_id

Drucken Sie Informationen zum Profil.

requirements profil_id [eigenschaften]

Drucken Sie Informationen zu den Profilanforderungen.

current [-r, --raw]

Drucken Sie Informationen zu aktuell ausgewählten Profilen. Wenn die Option --raw angegeben ist, druckt der Befehl die Rohparameter so, wie sie anstelle der formatierten Ausgabe an den Befehl select übergeben wurden.

check

Überprüfen Sie, ob die aktuelle Konfiguration gültig ist (sie wurde entweder von authselect erstellt oder es sind keine Reste aus der vorherigen authselect-Konfiguration vorhanden).

test profil_id [optionen] [eigenschaften]

Drucken Sie den Inhalt von Dateien, die von authselect generiert wurden, ohne tatsächlich etwas in die Systemkonfiguration zu schreiben.

-a, --all

Inhalt aller Dateien drucken.

-n, --nsswitch

Inhalt der nsswitch.conf drucken.

-s, --system-auth

Drucken Sie den Inhalt der Systemauthentifizierung.

-p, --password-auth

Drucken Sie den Inhalt der Kennwortauthentifizierung.

-c, --smartcard-auth

Smartcard-Auth-Inhalt drucken.

-f, --fingerprint-auth

Drucken Sie den Fingerabdruck-Auth-Inhalt.

-o, --postlogin

Postlogin-Inhalt drucken.

-d, --dconf-db

Dconf-Datenbankinhalt drucken.

-l, --dconf-lock

Dconf-Sperrinhalt drucken.

enable-feature feature [-b] [--backup=NAME] [-q, --quiet]

Funktion im aktuell ausgewählten Profil aktivieren.

-b

Sichern Sie Systemdateien, bevor Sie die Funktion aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

Sichern Sie Systemdateien, bevor Sie die Funktion aktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

--quiet, -q

Der Befehl gibt keine Informationsnachricht aus, z. B. zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler werden noch gedruckt.

disable-feature feature [-b] [--backup=NAME]

Funktion im aktuell ausgewählten Profil deaktivieren.

-b

Sichern Sie Systemdateien, bevor Sie die Funktion deaktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

Sichern Sie Systemdateien, bevor Sie die Funktion deaktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

create-profile NAME [--vendor,-v] [options]

Erstellen Sie ein neues benutzerdefiniertes Profil mit dem Namen NAME. Das Profil kann auf einem vorhandenen Profil basieren. In diesem Fall werden die neuen Profilvorlagen entweder aus dem Basisprofil kopiert oder symbolische Links zu diesen Dateien erstellt, wenn eine solche Option ausgewählt ist.

--vendor,-v

Das neue Profil ist ein Lieferantenprofil anstelle eines benutzerdefinierten Profils. Sehen _authselect-profile (5) _ für weitere Informationen zu Profiltypen.

--base-on=BASE-ID, -b=BASE-ID

Das neue Profil basiert auf einem Profil mit dem Namen BASE-ID. Die Basis Die Profilposition wird mit den folgenden Schritten bestimmt:

1.Wenn BASE-ID mit dem Präfix _custom / _ beginnt, handelt es sich um ein benutzerdefiniertes Profil.

2.Versuchen Sie, ob BASE-ID in Herstellerprofilen gefunden wird.

3.Versuchen Sie, ob BASE-ID in Standardprofilen gefunden wird.

4.Geben Sie einen Fehler zurück.

--base-on-default

Das Basisprofil ist ein Standardprofil, auch wenn es auch in gefunden wird Lieferantenprofile.

--symlink-meta

Metadateien wie README und REQUIREMENTS sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink-nsswitch

Die Vorlage nsswitch.conf ist ein symbolischer Link zum Ursprungsprofil Datei anstelle ihrer Kopie.

--symlink-pam

PAM-Vorlagen sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink-dconf

dconf-Vorlagen sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink=FILE,-s=FILE

Erstellen Sie einen symbolischen Link für eine Vorlagendatei FILE, anstatt sie zu erstellen seine Kopie. Diese Option kann mehrfach übergeben werden.

SICHERUNGSBEFEHLE

Mit diesen Befehlen können gesicherte Konfigurationen verwaltet werden.

backup-list [-r, --raw]

Verfügbare Backups drucken. Wenn die Option --raw angegeben ist, druckt der Befehl nur Sicherungsnamen ohne Formatierung und zusätzliche Informationen.

backup-remove BACKUP

Löschen Sie das Backup mit dem Namen BACKUP dauerhaft.

backup-restore BACKUP

Stellen Sie die Konfiguration aus dem Backup mit dem Namen BACKUP wieder her. * Hinweis: * Dadurch wird die aktuelle Konfiguration überschrieben.

GEMEINSAME OPTIONEN

Diese Optionen sind für alle Befehle verfügbar.

--debug

Drucken Sie Debugging-Informationen und Fehlermeldungen.

--trace

Drucken Sie Informationen darüber, was das Tool tut.

--warn

Drucken Sie Informationen zu unerwarteten Situationen, die sich nicht auf die Programmausführung auswirken, aber auf unerwünschte Situationen hinweisen können (z. B. unerwartete Dateien in einem Profilverzeichnis).

NSSWITCH.CONF MANAGEMENT

Authselect generiert /etc/nsswitch.conf und lässt keine Benutzeränderungen an dieser Datei zu. Solche Änderungen werden erkannt und authselect weigert sich, eine Systemkonfiguration zu schreiben, es sei denn, für den Befehl select ist eine Option --force vorgesehen. Dieser Mechanismus verhindert, dass authselect alles überschreibt, was keinem verfügbaren Profil entspricht.

Alle Benutzeränderungen an nsswitch-Maps müssen in der Datei /etc/authselect /user-nsswitch.conf vorgenommen werden. Wenn authselect eine neue nsswitch.conf generiert, liest es diese Datei und kombiniert sie mit der Konfiguration aus dem ausgewählten Profil. Die Profilkonfiguration hat immer Vorrang. Mit anderen Worten, Profile müssen nicht alle nsswitch-Maps festlegen, sondern können nur diejenigen festlegen, die für das Profil relevant sind. Wenn eine Karte in einem Profil festgelegt ist, überschreibt sie immer dieselbe Karte aus user-nsswitch.conf.

Beispiel 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {einschließen, wenn "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd- und Gruppenzuordnungen aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files
$ authselect select sssd with-sudo
# passwd-, group- und sudoers-Maps aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

FEHLERBEHEBUNG

Wie kann ich feststellen, ob mein System authselect verwendet?

Verwenden Sie authselect check. Die Ausgabe zeigt an, ob Sie 1) eine von authselect generierte Konfiguration haben, 2) eine nicht authselect-Konfiguration oder 3) eine von authselect generierte, aber irgendwann manuell geänderte Konfiguration.

Authselect generiert Ihre Systemkonfiguration von Grund auf neu und speichert sie unter /etc/authselect. Systemdateien werden dann als symbolische Links zu diesem Verzeichnis erstellt. Symbolische Links werden verwendet, um zu verdeutlichen, dass authselect jetzt Eigentümer Ihrer Konfiguration ist und anstelle manueller Änderungen verwendet werden sollte.

Unerwartete Änderungen an der Konfiguration wurden festgestellt.

Beispielsweise:

[Fehler] [/etc/authselect/nsswitch.conf] existiert nicht!
[error] [/etc/nsswitch.conf] ist kein symbolischer Link!
[error] [/etc/nsswitch.conf] wurde nicht von authselect erstellt!
[Fehler] Es wurden unerwartete Änderungen an der Konfiguration festgestellt.
[Fehler] Weigert sich, das Profil zu aktivieren, es sei denn, diese Änderungen werden entfernt oder überschrieben.

Dies bedeutet, dass Ihre Konfiguration für authselect unbekannt ist und daher nicht geändert wird. Um dies zu beheben, rufen Sie bitte authselect select mit dem Parameter --force auf, um zu sagen, dass das Überschreiben in Ordnung ist.

RÜCKGABECODES

Die authselect kann diese Exit-Codes zurückgeben:

•0: Erfolg.

•1: Allgemeiner Fehler.

•2: Profil oder Konfiguration wurde nicht gefunden oder das System wurde nicht mit authselect konfiguriert.

•3: Die aktuelle Konfiguration ist ungültig. Sie wurde ohne Authselect bearbeitet.

•4: Die Systemkonfiguration muss überschrieben werden, um ein Authselect-Profil zu aktivieren. Der Parameter --force wird benötigt.

•5: Der ausgeführte Befehl muss als root ausgeführt werden.

GENERIERTE DATEIEN

Authselect erstellt und verwaltet die folgenden Dateien, um die Systemidentitäts- und Authentifizierungsanbieter ordnungsgemäß zu konfigurieren.

/etc/nsswitch.conf

Name Service Switch-Konfigurationsdatei.

/etc/pam.d/system-auth

PAM-Stack, der aus fast allen einzelnen Dienstkonfigurationsdateien enthalten ist.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

Diese PAM-Stapel sind für Anwendungen vorgesehen, die die Authentifizierung von verschiedenen Gerätetypen über die gleichzeitige Ausführung einzelner Konversationen anstelle einer aggregierten Konversation verarbeiten.

/etc/pam.d/postlogin

Der Zweck dieses PAM-Stapels besteht darin, einen gemeinsamen Platz für alle PAM-Module bereitzustellen, der nach dem in Systemauthentifizierung oder den anderen allgemeinen PAM-Konfigurationsdateien konfigurierten Stapel aufgerufen werden soll. Es ist in allen einzelnen Dienstkonfigurationsdateien enthalten, die dem Anmeldedienst Shell- oder Dateizugriff bieten. HINWEIS: Die Module in der Postlogin-Konfigurationsdatei werden unabhängig vom Erfolg oder Misserfolg der Module in der Systemauthentifizierungskonfigurationsdatei ausgeführt .

/etc/dconf/db/distro.d/20-authselect

Änderungen an der dconf-Datenbank. Der Hauptanwendungsfall dieser Datei besteht darin, Änderungen für den Gnome-Anmeldebildschirm festzulegen, um die Smartcard- und Fingerabdruckauthentifizierung zu aktivieren oder zu deaktivieren.

/etc/dconf/db/distro.d/locks/20-authselect

Diese Datei definiert Sperren für Werte, die in der dconf-Datenbank festgelegt sind.

SIEHE AUCH

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)

2018-03-18