NAME¶
authselect - selecteert systeemidentiteit en
authenticatiebronnen.
KORTE INHOUD¶
authselect [--debug] [--trace] [--warn] command [command options]
BESCHRIJVING¶
Authselect is een gereedschap voor het configureren van
systeemidentiteit en authenticatiebronnen en aanbieders door het selecteren
van een specifiek profiel. Profiel is een set of bestanden die beschrijven
hoe de resulterende systeemconfiguratie eruit zal zien. Als een profiel
geselecteerd is, zal authselect nsswitch.conf(5) en PAM(8) stack
aanmaken voor het gebruik van identiteit en authenticatie bronnen
gedefinieerd door het profiel.
Als de aangeboden profiel set niet voldoende is, kan de beheerder
een aangepast profiel aanmaken door deze in een speciale profielmap
(/etc/authselect/custom) te plaatsen. Door dit te doen, is het profiel is
onmiddellijk bruikbaar bij authselect. Zie
authselect-profiles(5) voor meer informatie over het uitbreiden van
bestaande profielen.
OPT-IN VOOR AUTHSELECT¶
Authselect raakt je bestaande configuratie niet aan, tenzij deze
al door authselect is gemaakt. Als je authselect wilt gaan gebruiken om je
systeemauthenticatie te configureren, roep je eerst authselect select
aan met de parameter --force (bijvoorbeeld authselect select sssd
--force). De --force parameter vertelt authselect dat het in orde
is om de bestaande niet-authselect configuratie te overschrijven (zie
beschrijving hieronder). Met de parameter --force wordt automatisch
een back-up van je huidige configuratie gemaakt, dus als je terug wil gaan,
kun je deze herstellen met het commando authselect backup-restore
(zie beschrijving hieronder).
BESCHIKBARE COMMANDO’S¶
Om alle beschikbare commando’s te tonen voer je
authselect uit zonder parameters. Om hulp voor het geselecteerde
commando te printen voer je authselect COMMANDO --help uit.
select profile_id [features] [-f, --force] [-q, --quiet]
[-b] [--backup=NAAM]
Activeert het gewenste profiel. Zie profielbeschrijving
met
show commando, om profiel specifieke optionele eigenschappen te
tonen.
--force, -f
Schrijft veranderingen weg zelfs als de vorige
configuratie niet aangemaakt werd door authselect maar door een ander
gereedschap of handmatige veranderingen. Deze optie zal van systeembestanden
automatisch een back-up maken voordat veranderingen weggeschreven worden
tenzij de --nobackup optie ingesteld is.
-b
Maak een back-up van systeembestanden voordat het
geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAME. De huidige tijd in een unieke string worst
gebruikt als de naam van de back-up. Dit is een snelkoppeling voor
--backup=.
--backup=NAME
Maak een back-up van systeembestanden voordat het
geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
als naam gebruikt als geen waarde opgegeven wordt.
--nobackup
Maak geen back-up van systeemconfiguratie zelfs als
--force ingesteld is.
--quiet, -q
Het commando zal geen informatie berichten printen zoals
extra profielvereisten of back-uplocatie. Fouten worden wel geprint.
apply-changes [-b] [--backup=NAAM]
Pas het huidig geselecteerde profiel opnieuw toe. Als de
profielsjablonen vernieuwd werden kan dit commando gebruikt worden om de
huidige systeemconfiguratie opnieuw te genereren om deze veranderingen toe te
passen op het systeem. Dit commando zal de veranderingen alleen opnieuw
toepassen als de bestaande configuratie een geldige authselect configuratie
is, anders wordt een fout teruggegeven.
-b
Maak een back-up van systeembestanden voordat je
veranderingen toepast. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
gebruikt als naam voor de back-up. Dit is een snelkoppeling voor
--backup=.
--backup=NAME
Maak een back-up van systeembestanden voordat je
veranderingen toepast. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAME. De huidige tijd in een unieke string wordt
als naam gebruikt als geen waarde is aangeboden.
list
Toon de beschikbare profielen.
list-features profile_id
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show profile_id
Print informatie over het profiel.
requirements profile_id [features]
Print informatie ovet de profielvereisten.
current [-r, --raw]
Print informatie over de huidig geselecteerde profielen.
Als de --raw optie gespecificeerd is, zal het commando ruwe parameters
printen zoals ze doorgegeven zijn naar het select commando in plaats
van geformatteerde output.
check
Check of de huidige configuratie geldig is (of het
aangemaakt is door authselect of dat er geen restanten zijn van een
vorige authselect configuratie).
test profile_id [options] [features]
Print de inhoud van bestanden gegenereerd door
authselect zonder iets naar de systeemconfiguratie weg te schrijven.
-a, --all
Print de inhoud van alle bestandens.
-n, --nsswitch
Print nsswitch.conf inhoud.
-s, --system-auth
Print system-auth inhoud.
-p, --password-auth
Print password-auth inhoud.
-c, --smartcard-auth
Print smartcard-auth inhoud.
-f, --fingerprint-auth
Print fingerprint-auth inhoud.
-o, --postlogin
Print postlogin inhoud.
-d, --dconf-db
Print dconf database inhoud.
-l, --dconf-lock
Print dconf lock inhoud.
enable-feature feature [-b] [--backup=NAME] [-q,
--quiet]
Zet feature aan in de huidig geselecteerde profiel.
-b
Maak een back-up van systeembestanden voordat je de
feature aanzet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
gebruikt als de naam van de back-up. Dit is een snelkoppeling voor
--backup=.
--backup=NAME
Maak een back-up van systeembestanden voordat je de
feature aanzet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
gebruikt als geen waarde is opgegeven.
--quiet, -q
Het commando zal geen informatie berichten printen zoals
extra profielvereisten of back-uplocatie. Fouten worden wel geprint.
disable-feature feature [-b] [--backup=NAAM]
Zet feature uit in de huidig geselecteerde profiel.
-b
Maak een back-up van systeembestanden voordat je de
feature uitzet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
gebruikt als de naam van de back-up. Dit is een snelkoppeling voor
--backup=.
--backup=NAME
Maak een back-up van systeembestanden voordat je de
feature uitzet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt
gebruikt als geen waarde is opgegeven.
create-profile NAME [--vendor,-v] [options]
Maak een nieuw aangepast profiel aan met de naam
NAAM. Het profiel kan gebaseerd zijn op een bestaand profiel in welk
geval de nieuwe profielsjablonen gecopieerd worden van het basis profiel of er
worden symbolische links naar deze bestanden aangemaakt als zo’n optie
geselecteerd is.
--vendor,-v
Het nieuwe profiel is een leveranciersprofiel in plaats
van een aangepast profiel. Zie
authselect-profiles(5) voor meer
informatie over profieltypes.
--base-on=BASE-ID, -b=BASE-ID
Het nieuwe profiel zal gebaseerd worden op een profiel
met de naam
BASE-ID. De basis profiellocatie wordt bepaald met de
volgen stappen:
1.Als BASE-ID begint met voorvoegsel
custom/ dan is het een aangepast profiel.
2.Probeer of BASE-ID gevonden kan worden in de
leverancier profielen.
3.Probeer of BASE-ID gevonden kan worden in de
standaard profielen.
4.Geef een fout terug.
--base-on-default
Het basis profiel is een standaard profiel zelfs als het
ook gevonden kan worden in leverancier profielen.
--symlink-meta
Meta bestanden, zoals README en
REQUIREMENTS zan symbolische links zijn naar de originele
profielbestanden op plaats van ze te kopiëren.
--symlink-nsswitch
nsswitch.conf sjabloon zan een symbolische link
zijn naar het oorsprong bestand in plaats van een kopie.
--symlink-pam
PAM sjablonen zullen symbolische links zijn van de
oorsprong profielbestanden in plaats van een kopie.
--symlink-dconf
dconf sjablonen zullen symbolische links zijn van
de oorsprong profielbestanden in plaats van een kopie.
--symlink=FILE,-s=FILE
Maak een symbolische link aan voor een sjabloonbestand
BESTAND in plaats van het aanmaken van een kopie. Deze optie kan
meerdere keren doorgegeven worden.
BACK-UP COMANDO’S¶
TDeze commando’s kunnen gebruikt worden voor het beheren
van de back-ups van configuraties.
backup-list [-r, --raw]
Print beschikbare back-ups. Als de --raw optie
gespecificeerd is, zal het commando alleen back-up namen tonen zonder
formattering en extra informatie.
backup-remove BACKUP
Verwijder de back-up met naam BACKUP
permanent.
backup-restore BACKUP
Herstel de configuratie met de back-up met naam
BACKUP. Opmerking: Dit zal de huidige configuratie
overschrijven.
ALGEMENE OPTIES¶
Deze opties zijn beschikbaar voor alle commando’s.
--debug
Print debug informatie en foutboodschappen.
--trace
Print informatie over waar het gereedschap mee bezig
is.
--warn
Print informatie over onverwachte situaties die de
programma uitvoering niet beïnvloeden maar die een indicatie kunnen
zijn van ongewenste situaties (bijv. onverwacht bestand in een
profielmap).
NSSWITCH.CONF BEHEER¶
Authselect genereert /etc/nsswitch.conf en staat nbiet toe dat een
gebruiker dit bestand kan veranderen. Zulke veranderingen worden
gedetecteerd en authselect zal weigeren om een systeemconfiguratie weg te
schrijven tenzij een --force optie werd aangeboden aan het
select commando. Dit mechanisme belet authselect het overschrijven
van iets dat niet overeenkomt met een beschikbaar profiel.
Elke gebruikersverandering in nsswitch mappen moet gebeuren in het
bestand /etc/authselect/user-nsswitch.conf. Als authselect een nieuwe
nsswitch.conf genereert leest het dit bestand enm combineert het met
configuratie van het geselecteerde profiel. De profielconfiguratie heeft
altijd voorrang. Met andere woorden, profielen hoeven niet alle nsswitch
mappen in te stellen maar kunnen alleen die instellen die relevant zijn voor
het profiel. Als een map is ingesteld in een profiel, overschrijft het
altijd dezelfde map uit user-nsswitch.conf.
Voorbeeld 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd en groep mappen uit user-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# passwd, groep en sudoers mappen uit iser-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
PROBLEEMOPLOSSEN¶
Hoe weet ik of mijn systeem authselect gebruikt?¶
Gebruik authselect check. De output zal je vertellen of je
1) configuratie hebt gegenereerd met authselect 2) niet-authselect
configuratie of 3) configuratie die is gegenereerd door authselect maar op
een gegeven moment handmatig is gewijzigd.
Moet nsswitch.conf nu een symbolische link zijn?¶
Authselect genereert je systeemconfiguratie helemaal opnieuw en
slaat deze op bij /etc/authselect. Systeembestanden worden vervolgens
gemaakt als symbolische koppelingen naar deze map. Symbolische koppelingen
worden gebruikt om duidelijk te maken dat authselect nu je configuratie
bezit en in plaats van een handmatige wijziging moet worden gebruikt.
Fout: onverwachte wijzigingen in de configuratie zijn gedetecteerd.¶
Bijvoorbeeld:
[fout] [/etc/authselect/nsswitch.conf] bestaat niet!
[fout] [/etc/nsswitch.conf] is geen symbolische link!
[fout] [/etc/nsswitch.conf] is niet aangemaakt door authselect!
[fout] Onverwachte wijzigingen in de configuratie zijn gedetecteerd.
[fout] Weigeren om het profiel te activeren tenzij die wijzigingen zijn verwijderd of overschreven.
Dit betekent dat je configuratie onbekend is bij authselect en als
zodanig niet zal worden gewijzigd. Om dit op te lossen, roep je
authselect select aan met de parameter --force om aan te geven
dat het goed is om het te overschrijven.
RETOURCODES¶
authselect kan de volgende exit codes teruggeven:
•0: Succes.
•1: Algemene fout.
•2: Profiel of configuratie werd niet gevonden of
het systeem is niet geconfigureerd met authselect.
•3: Huidige configuratie is niet geldig, het werd
bewerkt zonder authselect.
•4: Systeemconfiguratie moet overschreven worden
om een authselect profiel te activeren, --force parameter is nodig.
•5: Uitgevoerde commando moet uitgevoerd worden
als root.
GEGENEREERDE BESTANDEN¶
Authselect maakt en beheert de volgende bestanden voor het correct
configureren van systeemidentiteit en authenticatie aanbieders.
/etc/nsswitch.conf
Naam Service Switch configuratiebestands.
/etc/pam.d/system-auth
PAM stack die ingesloten wordt van bijna alle individuele
service configuratiebestanden.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Deze PAM stacks zijn voor toepassingen die authenticatie
afhandelen voor verschillende types apparaten via gelijktijdige uitvoering van
individuele conversaties in plaats van een samengevoegde conversatie.
/etc/pam.d/postlogin
Het doel van deze PAM stack is het bieden van een
algemene plaats voor alle PAM modules die aangeroepen moeten worden na de
stack geconfigureerd in system-auth of de andere algemene PAM
configuratiebestanden. Het wordt ingevoegd vanuit alle individuele service
configuratiebestanden die inlogservice bieden met shell of bestand toegang.
MERK OP: de modules in de postlogin configuratiebestand worden uitgevoerd
onafhankelijk van het succes of mislukken van de modules in het system-auth
configuratiebestand.
/etc/dconf/db/distro.d/20-authselect
Veranderingen in de dconf database. Het hoofdgebruik van
dit bestand is het instellen van veranderingen voor het gnome inlogscherm voor
het aan of uitzetten smartcard en and vingerafdruk authenticatie.
/etc/dconf/db/distro.d/locks/20-authselect
Dit bestand definieert sloten voor waardes ingesteld in
de dconf database.