2. EL 8
  3. authselect
  4. authselect(8)

Scroll to navigation

AUTHSELECT(8)   AUTHSELECT(8)

NAME

authselect - système de sélection des source d’identification et d’authentification.

SYNOPSIS

authselect [--debug] [--trace] [--warn] commande [options de la commande]

DESCRIPTION

Authselect est un outil de configuration des sources et fournisseurs d’identification et d’authentification en sélectionnant un profil spécifique. Un profil est un ensemble de fichiers décrivant comment doit être la configuration système résultante. Quand un profil est sélectionné, authselect créera les piles nsswitch.conf(5) et PAM(8) pour utiliser les sources d’identification et d’authentification définies par le profil.

Si le jeu de profils fournis n’est pas suffisant, l’administrateur peut créer un profil personnalisé en l’ajoutant dans un dossier dédié (/etc/authselect/custom). Se faisant, le profil est immédiatement utilisable par authselecte. Lisez authselect-profiles(5) pour plus d’informations sur l’extension de profils existants.

OPT-IN À AUTHSELECT

Authselect ne touchera pas à votre configuration existante, sauf si elle a déjà été créée par lui. Si vous souhaitez commencer à utiliser authselect pour configurer votre authentification système, veuillez appeler authselect select avec le paramètre --force en premier (p. ex. authselect select sssd --force). Le paramètre --force indique à authselect qu’il peut écraser une configuration existante non authselect (voir la description ci-dessous). L’utilisation du paramètre --force sauvegarde automatiquement votre configuration actuelle. Si vous souhaitez revenir en arrière, vous pouvez la restaurer avec la commande authselect backup-restore (voir description ci-dessous).

COMMANDES DISPONIBLES

Pour lister toues les commandes disponibles, lancez authselect sans aucun paramètres. Pour afficher l’aide pour la commande sélectionnée, lancez authselect COMMANDE --help.

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NOM]

Active le profil souhaité. Lisez la description du profil avec la commande show pour en lister les fonctionnalités spécifiques.

--force, -f

Écrire les changements même si la configuration précédente n’a pas été créé par authselect mais par un autre outils ou des changements manuels. Cette option sauvegardera automatiquement les fichiers système avant l’écriture du moindre changement, à moins que l’option --nobackup soit activée.

-b

Sauvegarde les fichiers système avant l’activation du profil sélectionné. La sauvegarde sera stockée dans /var/lib/authselect/backups/NOM. L’heure actuelle, liée à une chaîne de caractères unique, est utilisée comme nom de la sauvegarde. Il s’agit d’un raccourci pour --backup=.

--backup=NAME

Sauvegarde les fichiers système avant l’activation du profil sélectionné. La sauvegarde sera stockée dans /var/lib/authselect/backups/NAME. L’heure actuelle est utilisée comme nom si aucune valeur n’est renseignée.

--nobackup

Ne pas sauvegarder les fichiers système même si --force est activé.

--quiet, -q

La commande n’affichera aucun messages d’information tels que les prérequis de profils ou lieu de sauvegarde. Les erreurs seront toujours affichées.

apply-changes [-b] [--backup=NAME]

Réappliquer le profil actuellement sélectionné. Si les modèles de profil ont été mis à jour, cette commande peut être utilisée pour régénérer la configuration système actuelle afin d’appliquer ces modifications au système. Cette commande n’appliquera à nouveau les modifications que si la configuration existante est une configuration authselect valide, sinon une erreur est renvoyée.

-b

Sauvegarder les fichiers de sauvegarde du système avant d’y apposer vos changements. La sauvegarde sera stockée dans /var/lib/authselect/backups/NAME. L’heure actuelle, liée à une chaîne de caractères unique, est utilisée comme nom de la sauvegarde. Il s’agit d’un raccourci pour --backup=.

--backup=NAME

Sauvegarder les fichiers de sauvegarde du système avant d’y apposer vos changements. La sauvegarde sera stockée dans /var/lib/authselect/backups/NAME. L’heure actuelle, liée à une chaîne de caractères unique, est utilisée comme nom si aucune valeur n’est donnée.

list

Liste les profils disponibles.

list-features profile_id

List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.

show profile_id

Afficher les informations sur ce profil.

conditions requises profile_id [fonctionnalités]

Afficher les informations sur les prérequis du profil.

current [-r, --raw]

Affiche les informations sur les profils actuellement sélectionnés. Si l’opton --raw est renseignée, la commande affichera les paramètres bruts, tels que passés à la commande select plutôt qu’une sortie formatée.

check

Vérifier si la configuration actuelle est valide (qu’elle ai été créée par authselect ou qu’il n’y ait aucun reste de la configuration précédente de authselect).

test profile_id [options] [fonctionnalités]

Affiche le contenu des fichiers générés par authselect sans écrire quoi que ce soit dans la configuration système.

-a, --all

Imprimer le contenu de tous les fichiers.

-n, --nsswitch

Imprimer le contenu de nsswitch.conf

-s, --system-auth

Imprimer le contenu de system-auth

-p, --password-auth

Imprimer le contenu de password-auth

-c, --smartcard-auth

Imprimer le contenu de smartcard-auth

-f, --fingerprint-auth

Imprimer le contenu de fingerprint-auth

-o, --postlogin

Imprimer le contenu de postlogin

-d, --dconf-db

Imprimer le contenu de la base de données dconf

-l, --dconf-lock

Imprimer le contenu du verrou dconf

activation-fonctionnalité feature [-b] [--backup=NOM] [-q, --quiet]

Active la fonctionnalité dans le profil actuellement sélectionné.

-b

Sauvegarder les fichiers système avant d’activer la fonctionnalité. La sauvegarde sera stockée dans /var/lib/authselect/backups/NAME. L’heure actuelle sous forme de chaîne unique est utilisée comme nom pour la sauvegarde. Ceci est un raccourci pour --backup=.

--backup=NAME

Sauvegarder les fichiers système avant d’activer la fonctionnalité. La sauvegarde sera stockée dans /var/lib/authselect/backups/NAME. L’heure actuelle sous forme de chaîne unique est utilisée comme nom pour la sauvegarde si aucune valeur n’est fournie.

--quiet, -q

La commande n’affichera aucun messages d’information tels que les prérequis de profils ou lieu de sauvegarde. Les erreurs seront toujours affichées.

désactivé-fonctvionnalité fonctionnalité [-b] [--backup=NOM]

Désactive la fonctionnalité dans le profil actuellement sélectionné.

-b

Sauvegarder les fichiers système avant de désactiver la fonctionnalité. La sauvegarde sera stockée dans /var/lib/authselect/backups/NOM. L’heure actuelle sous forme de chaîne unique sera utilisée comme nom de la sauvegarde. Il s’agit d’un raccourci pour --backup=.

--backup=NAME

Sauvegarder les fichiers système avant de désactiver la fonctionnalité. La sauvegarde sera stockée dans /var/lib/authselect/backups/NOM. L’heure actuelle sous forme de chaîne unique sera utilisée comme nom pour la sauvegarde si aucune valeur n’est donnée.

créer-profil NOM[--vendor,-v] [options]

Crée un nouveau profil personnalisé appelé NOM. Le profil peut être basé sur un profil existant, dans ce cas, les modèles du nouveau profil sont soit une copie du profil existant, soit des liens symboliques vers ces fichiers sont créés, si une telle option est sélectionnée.

--vendor,-v

Le nouveau profil est un profil fournisseur au lieu d’un profil personnalisé. Lisez authselect-profiles(5) pour plus d’informations sur les types de profils.

--base-on=BASE-ID, -b=BASE-ID

Le nouveau profil sera basé sur un profil appelé BASE-ID. L’emplacement du profil est déterminé par ces étapes :

1.Si BASE-ID débute par le préfixe custom/ c’est un profil personnalisé.

2.Essaye si BASE-ID est trouvé dans les profils fournisseurs.

3.Essaye si BASE-ID est trouvé dans les profils par défaut.

4.Renvoie une erreur.

--base-on-default

Le profil de base est un profil par défaut même s’il est trouvé dans les profils fournisseur.

--symlink-meta

Métafichiers, tels que README et REQUIREMENTS seront des liens symboliques vers les fichiers du profil d’origine plutôt que leur copie.

--symlink-nsswitch

Le modèle nsswitch.conf sera un lien symbolique vers le fichier du profil d’origine plutôt que sa copie.

--symlink-pam

Les modèles PAM seront des liens symboliques vers les fichiers du profil d’origine plutôt que leur copie.

--symlink-dconf

Les modèles dconf seront des liens symboliques vers les fichiers du profil d’origine plutôt que leur copie.

--symlink=FILE,-s=FILE

Crée un lien symbolique pour le modèle de fichier FILE plutôt que de créer sa copie. Cette option peut être renseignée plusieurs fois.

COMMANDES DE SAUVEGARDE

Ces commandes peuvent être utilisées pour gérer les configurations sauvegardées.

backup-list [-r, --raw]

Affiche les sauvegardes disponibles. Si l’option --raw est spécifiée, la commande n’affichera que les noms des sauvegardes sans aucun formatage ou informations supplémentaires.

backup-supression SAUVEGARDE

Supprime de façon permanente la sauvegarde intitulée BACKUP.

backup-restorer SAUVEGARDE

Restaure la configuration depuis la sauvegarde intitulée BACKUP. Note: cela remplacera la configuration actuelle.

OPTIONS COURANTES

Ces options sont disponibles avec toutes les commandes.

--debug

Affiche des informations de débogage et messages d’erreurs.

--trace

Afficher les informations sur ce que l’outil est en train de faire.

--warn

Affiche les informations sur les situations inattendues qui n’affectent pas l’exécution mais peuvent indiquer des situations indésirables (p. ex. un fichier inattendu dans un dossier de profil).

GESTION DE NSSWITCH.CONF

Authselect génère /etc/nsswitch.conf et ne permet aucune modification d’un utilisateur sur ce fichier. De tels changements sont détectés et authselect refusera d’écrire la moindre configuration système à moins que le paramètre --force soit fourni à la commande select. Ce mécanisme évite qu’authselect écrase la moindre information qui ne correspond à aucun profil disponible.

Toute modification à la carte nsswitch doit être faite dans le fichier /etc/authselect/user-nsswitch.conf. Quand authselect génère un nouveau nsswitch.conf, il lit ce fichier et le combine avec la configuration du profil sélectionné. La configuration du profil est toujours prioritaire. En d’autres termes, les profils n’ont pas besoin de définir toutes les cartes nsswitch mais peuvent uniquement définir ceux pertinents pour le profil. Si une carte est définie dans un profil, elle écrase systématiquement la même carte de user-nsswitch.conf.

Exemple 1.

# profil « sssd »
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# les cartes passwd et group de user-nsswitch.conf sont ignorées
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files
$ authselect select sssd with-sudo
# les cartes passwd, group et sudoers de user-nsswitch.conf sont ignorées
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

DÉPANNAGE

Comment puis-je savoir si mon système utilise authselect ?

Utilisez authselect check. La sortie vous indiquera si vous avez 1) une configuration générée par authselect, 2) une configuration non authselect ou 3) une configuration qui a été générée par authselect, mais qui a été modifiée manuellement à un moment donné.

Le fichier nsswitch.conf est-il censé être un lien symbolique maintenant ?

Authselect génère votre configuration système à partir de zéro et la stocke dans /etc/authselect. Les fichiers système sont ensuite créés sous forme de liens symboliques vers ce répertoire. Les liens symboliques sont utilisés pour indiquer clairement que authselect est désormais propriétaire de votre configuration et qu’il doit être utilisé à la place de toute modification manuelle.

Erreur : Des modifications inattendues de la configuration ont été détectées.

Par exemple :

[erreur] [/etc/authselect/nsswitch.conf] n’existe pas !
[error] [/etc/nsswitch.conf] n’est pas un lien symbolique !
[error] [/etc/nsswitch.conf] n’a pas été créé par authselect !
[error] Des modifications inattendues de la configuration ont été détectées.
[error] Refus d’activer le profil à moins que ces modifications ne soient supprimées ou écrasées.

Cela signifie que votre configuration est inconnue de authselect et qu’elle ne sera donc pas modifiée. Pour remédier à cela, veuillez appeler authselect select avec le paramètre --force pour dire que la configuration peut être écrasée.

CODES DE RETOUR

authselect peut retour ces codes de sortie :

•0: Succès.

•1 : Erreur générique.

•2 : Aucun profil ou aucune configuration n’a pu être trouvée, ou le système n’a pas été configuré avec authselect.

•3 : la configuration courante est invalide, elle a été modifiée en dehors d’authselect.

•4 : La configuration système doit être écrasée pour activer un profil authselect, le paramètre --force est nécessaire.

•5: La commande doit être exécutée en tant que superutilisateur.

FICHIERS GÉNÉRÉS

Authselect crée et maintien les fichiers suivants por configurer les fournisseurs systèmes d’identité et d’authentification.

/etc/nsswitch.conf

Name Service Switch configuration file.

/etc/pam.d/system-auth

Pile PAM inclue depuis quasiment tout fichiers de configuration de service.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

Ces piles PAM sont pour les applications gérant l’authentification depuis différents types de périphériques via le lancement de conversations individuelles simultanées plutôt qu’une conversation agrégée.

/etc/pam.d/postlogin

L’objectif de cette pile PAM est de fournir un lieu central pour tous les modules PAM qui doivent être appelés après la pile configurée dans system-auth ou les autres fichiers communs de configuration de PAM. Elle est inclue depuis tous les fichiers individuels de configuration de services qui fournissent un service de connexion par shell ou fichier d’accès. Note : les modules dans le fichier de configuration postlogin sont exécutés indépendamment du succès ou de l’échel des modules dans le fichier de configuration system-auth.

/etc/dconf/db/distro.d/20-authselect

Changements à la base dconf. L’usage principal est de définir les changements pour quelques écrans de connexion Gnome afin d’activer ou désactiver l’authentification smartcard ou empreinte digitale.

/etc/dconf/db/distro.d/locks/20-authselect

Ce fichier défini les verrous sur les valeurs définies dans la base dconf.

VOIR AUSSI

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)

2018-03-18