NAME¶
authselect - selecteert systeemidentiteit en
authenticatiebronnen.
SYNOPSIS¶
authselect [--debug] [--trace] [--warn] commando [commando opties]
BESCHRIJVING¶
Authselect is een gereedschap voor het configureren van
systeemidentiteit, authenticatiebronnen en aanbieders door middel van het
selecteren van een specifiek profiel. Een profiel is een verzameling van
bestanden die beschrijft hoe de resulterende systeemconfiguratie eruit zal
zien. Wanneer een profiel is geselecteerd, zal authselect
nsswitch.conf en een PAM-stack aanmaken om de identiteits- en
authenticatiebronnen te gebruiken die worden gedefinieerd door het
profiel.
Als de verschafte verzameling van profielen niet voldoende is, kan
de beheerder een aangepast profiel aanmaken door deze in een speciale
profielmap (/etc/authselect/custom) te plaatsen. Daarna is het profiel is
onmiddellijk te gebruiken door authselect. Zie
authselect-profiles(5) voor meer informatie over het uitbreiden van
bestaande profielen.
KIEZEN VOOR AUTHSELECT¶
Authselect tast uw bestaande configuratie niet aan, tenzij zij
reeds door authselect is gecreëerd. Als u authselect wilt gaan
gebruiken om uw systeemauthenticatie te configureren, roept u eerst
authselect select aan met de parameter --force (bijvoorbeeld
authselect select sssd --force). De parameter --force vertelt
authselect dat het in orde is om de bestaande configuratie te overschrijven
(zie beschrijving hieronder). Het gebruik van de parameter --force
zal automatisch een back-up van uw huidige configuratie maken. Als u later
terug wilt gaan, dan kunt u met het commando authselect
backup-restore uw huidige configuratie herstellen (zie beschrijving
hieronder).
BESCHIKBARE COMMANDO’S¶
Om alle beschikbare commando’s te tonen voert u
authselect uit zonder parameters. Om hulp voor het geselecteerde
commando weer te geven voert u authselect COMMANDO --help uit.
select profile_id [features] [-f, --force] [-q, --quiet]
[-b] [--backup=NAAM]
Activeer het gewenste profiel. Zie profielbeschrijving
met
show commando, om profielspecifieke optionele functies te tonen.
--force, -f
Schrijf veranderingen weg, zelfs als de vorige
configuratie niet gecreëerd werd door authselect maar door een ander
gereedschap of door handmatige veranderingen. Deze optie zal van
systeembestanden automatisch een back-up maken voordat de veranderingen
weggeschreven worden tenzij de optie --nobackup meegegeven wordt.
-b
Maak een back-up van systeembestanden voordat het
geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd is een unieke tekenreeks en
wordt gebruikt als de NAAM van de back-up. Dit is gemakkelijker dan
--backup= gebruiken.
--backup=NAME
Maak een back-up van systeembestanden voordat het
geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. De huidige tijd is een unieke string en
wordt als NAAM gebruikt als geen naam opgegeven wordt.
--nobackup
Maak geen back-up van systeemconfiguratie, zelfs als
--force meegegeven is.
--quiet, -q
Het commando zal geen enkel bericht ter informatie
afdrukken zoals over extra profielvereisten of over een back-uplocatie. Fouten
worden wel geprint.
apply-changes [-b] [--backup=NAAM]
Pas het huidig geselecteerde profiel opnieuw toe. Als de
profielsjablonen vernieuwd werden kan dit commando gebruikt worden om de
huidige systeemconfiguratie opnieuw te genereren om deze veranderingen toe te
passen op het systeem. Dit commando zal de veranderingen alleen opnieuw
toepassen als de bestaande configuratie een geldige authselect-configuratie
is, anders wordt een fout geretourneerd.
-b
Maak een back-up van systeembestanden voordat wijzigingen
worden toegepast. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. Een unieke string met de huidige tijd zal
worden gebruikt als NAAM voor de back-up. Dit is eenvoudiger dan
--backup=.
--backup=NAME
Maak een back-up van systeembestanden voordat wijzigingen
worden toegepast. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. Een unieke string met de huidige tijd zal
worden gebruikt als NAAM als geen naam is gegeven.
list
Toon de beschikbare profielen.
list-features profile_id
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show profile_id
Druk informatie af over het profiel.
requirements profile_id [features]
Druk informatie af over de profielvereisten.
current [-r, --raw]
Druk informatie af over de huidige geselecteerde
profielen. Als de optie --raw meegegeven is, zal het commando de
parameters afdrukken zoals ze doorgegeven waren aan het select-commando
in plaats van als geformatteerde uitvoer.
check
Controleer of de huidige configuratie geldig is (zij is
aangemaakt door authselect of er zijn geen restanten van een vorige
authselect-configuratie).
test profile_id [opties] [functies]
Druk de inhoud van de bestanden af die werden gegenereerd
door
authselect zonder daadwerkelijk iets naar de systeemconfiguratie
weg te schrijven.
-a, --all
Druk de inhoud van alle bestanden af.
-n, --nsswitch
Druk de inhoud van nsswitch.conf af.
-s, --system-auth
Druk de inhoud van system-auth af.
-p, --password-auth
Druk de inhoud van password-auth af.
-c, --smartcard-auth
Druk de inhoud van smartcard-auth af.
-f, --fingerprint-auth
Druk de inhoud van fingerprint-auth af.
-o, --postlogin
Druk de inhoud van postlogin af.
-d, --dconf-db
Druk de inhoud van de dconf-database af.
-l, --dconf-lock
Druk de inhoud van de dconf-vergrendeling af.
enable-feature functie [-b] [--backup=NAAM] [-q,
--quiet]
Zet functie aan in de huidige geselecteerde profiel.
-b
Maak een back-up van systeembestanden voordat de functie
wordt aangezet. De back-up zal worden opgeslagen in
/var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd
zal worden gebruikt voor de NAAM van de back-up. Dit is gemakkelijker dan
--backup= gebruiken.
--backup=NAME
Maak een back-up van systeembestanden voordat de functie
wordt aangezet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd
zal worden gebruikt voor NAAM als geen naam is opgegeven.
--quiet, -q
Het commando zal geen enkel bericht ter informatie
afdrukken zoals over extra profielvereisten of over een back-uplocatie. Fouten
worden wel geprint.
disable-feature functie [-b] [--backup=NAAM]
Zet functie uit in de huidige geselecteerde profiel.
-b
Maak een back-up van systeembestanden voordat de functie
wordt uitgezet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd
zal worden gebruikt voor de NAAM van de back-up. Dit is gemakkelijker dan
--backup= gebruiken.
--backup=NAME
Maak een back-up van systeembestanden voordat de functie
wordt uitgezet. De back-up zal opgeslagen worden in
/var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd
zal gebruikt worden als NAAM als geen naam is opgegeven.
create-profile NAAM [--vendor,-v] [opties]
Maak een nieuw aangepast profiel aan genaamd
NAAM.
Het profiel kan gebaseerd zijn op een bestaand profiel, in welk geval de
nieuwe profielsjablonen ofwel kopieën worden van het basisprofiel ofwel
er worden symbolische links naar deze bestanden gecreëerd als
zo’n optie gekozen is.
--vendor,-v
Het nieuwe profiel is een leveranciersprofiel in plaats
van een aangepast profiel. Zie
authselect-profiles(5) voor meer
informatie over profieltypes.
--base-on=BASE-ID, -b=BASE-ID
Het nieuwe profiel zal gebaseerd worden op een profiel
met de naam
GRONDSLAG. De locatie van de GRONDSLAG wordt bepaald met de
volgen stappen:
1.Als BASE-ID begint met voorvoegsel
custom/ dan is het een aangepast profiel.
2.Ga na of GRONDSLAG gevonden kan worden in de
leveranciersprofielen.
3.Ga na of GRONDSLAG gevonden kan worden in de
standaard profielen.
4.Retourneer een fout.
--base-on-default
Het basisprofiel is een standaard profiel zelfs als het
ook gevonden word in de leveranciersprofielen.
--symlink-meta
Metabestanden zoals README en REQUIREMENTS
zullen symbolische links zijn naar de oorspronkelijke profielbestanden in
plaats van hun kopieën.
--symlink-nsswitch
Een nsswitch.conf-sjabloon zal een symbolische
link zijn naar het oorspronkelijke bestand in plaats van een kopie.
--symlink-pam
PAM-sjablonen zullen symbolische links zijn naar
de oorspronkelijke profielbestanden in plaats van een kopie.
--symlink-dconf
dconf-sjablonen zullen symbolische links zijn naar
de oorspronkelijke profielbestanden in plaats van een kopie.
--symlink=FILE,-s=FILE
Creëer een symbolische link voor een
sjabloonbestand BESTAND in plaats van het aanmaken van een kopie. Deze
optie kan meerdere keren meegegeven worden.
BACK-UP COMMANDO’S¶
Deze commando’s kunnen gebruikt worden om back-ups van
configuraties te beheren.
backup-list [-r, --raw]
Druk de beschikbare back-ups af. Als de optie
--raw meegegeven is, dan zal het commando de namen van de back-ups
afdrukken zonder formattering of extra informatie.
backup-remove BACK-UP
Verwijder de back-up genaamd BACK-UP
definitief.
backup-restore BACK-UP
Herstel de configuratie met back-up BACK-UP.
Opmerking: Dit zal de huidige configuratie overschrijven.
ALGEMENE OPTIES¶
Deze opties zijn beschikbaar voor alle commando’s.
--debug
Druk informatie voor debuggen en foutmeldingen af.
--trace
Druk informatie af over waar het programma mee bezig
is.
--warn
Druk informatie af over onverwachte situaties die de
uitvoering van het programma niet beïnvloeden maar die een indicatie
kunnen zijn van ongewenste situaties (bijv. een onverwacht bestand in een
profielmap).
BEHEER VAN NSSWITCH.CONF¶
Authselect genereert /etc/nsswitch.conf en staat een gebruiker
niet toe dit bestand te veranderen. Zulke veranderingen worden gedetecteerd
en authselect zal weigeren een systeemconfiguratie vast te leggen, tenzij de
optie --force werd meegegeven aan het select-commando. Dit
mechanisme voorkomt dat authselect iets overschrijft dat niet overeenkomt
met een beschikbaar profiel.
Elke wijziging in de nsswitch-afbeeldingen die uitgaat van een
gebruiker moet plaatsvinden in het bestand
/etc/authselect/user-nsswitch.conf. Als authselect een nieuwe
nsswitch.conf genereert leest het dit bestand en combineert het met
de configuratie van het geselecteerde profiel. De profielconfiguratie heeft
altijd voorrang. Met andere woorden, profielen hoeven niet alle
nsswitch-afbeeldingen in te stellen maar kunnen alleen die instellen die
relevant zijn voor het profiel. Als een afbeelding is ingesteld in een
profiel, dan overschrijft het programma altijd dezelfde afbeelding in
user-nsswitch.conf.
Voorbeeld 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd en group-mappen uit user-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# passwd, group en sudoers-afbeeldingen uit user-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
PROBLEMEN OPLOSSEN¶
Hoe weet ik of mijn systeem authselect gebruikt?¶
Om te weten of uw authselect gebruikt typt u authselect
check. De uitvoer zal u vertellen of: (1) u een configuratie hebt die
gegenereerd is door authselect; ( 2) u een configuratie hebt die niet door
authselect gegenereerd is; (3) u een configuratie hebt die gegenereerd is
door authselect maar die ooit handmatig is gewijzigd.
Moet nsswitch.conf nu een symbolische link zijn?¶
Authselect genereert uw systeemconfiguratie helemaal opnieuw en
slaat haar op in /etc/authselect. Systeembestanden worden dan
gecreëerd als symbolische links naar deze map. Symbolische links
worden gebruikt om duidelijk te maken dat authselect nu uw configuratie
beheert en gebruikt moet worden in plaats van handmatige wijziging.
Fout: onverwachte wijzigingen in de configuratie zijn gedetecteerd.¶
Bijvoorbeeld:
[fout] [/etc/authselect/nsswitch.conf] bestaat niet!
[fout] [/etc/nsswitch.conf] is geen symbolische link!
[fout] [/etc/nsswitch.conf] is niet aangemaakt door authselect!
[fout] Onverwachte wijzigingen in de configuratie zijn gedetecteerd.
[fout] Het profiel activeren wordt geweigerd tenzij die wijzigingen worden verwijderd of om overschrijven wordt verzocht.
Dit betekent uw configuratie onbekend is bij authselect en daarom
niet zal worden gewijzigd. Om dit te verhelpen, gelieve authselect
select aan te roepen met de parameter --force om aan te geven dat
het in orde is om het te overschrijven.
RETOURNEERCODES¶
authselect kan de volgende exit-codes retourneren:
•0: Succes.
•1: Algemene fout.
•2: Profiel of configuratie werd niet gevonden of
het systeem werd niet geconfigureerd met authselect.
•3: Huidige configuratie is niet geldig, het werd
bewerkt zonder authselect.
•4: Systeemconfiguratie moet overschreven worden
om een profiel van authselect te activeren, de --force parameter is daarom
benodigd.
•5: Het commando moet uitgevoerd worden door
root.
GEGENEREERDE BESTANDEN¶
Authselect creëert en onderhoudt de volgende bestanden voor
het correct configureren van systeemidentiteit en
authenticatieverschaffers.
/etc/nsswitch.conf
Name Service Switch-configuratiebestand.
/etc/pam.d/system-auth
PAM-stack die wordt toegevoegd aan bijna alle
configuratiebestanden van diensten.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Deze PAM-stacks zijn voor toepassingen die authenticatie
vanaf verschillende typen van apparaten afhandelen via simultane individuele
conversaties in plaats van een samengevoegde conversatie.
/etc/pam.d/postlogin
Het doel van deze PAM-stack is het bieden van een
gemeenschappelijke plaats voor alle PAM-modules welke aangeroepen behoren te
worden nadat de stack geconfigureerd werd met system-auth of de andere
algemene PAM-configuratiebestanden. Hij wordt ingevoegd in alle
configuratiebestanden voor de individuele diensten die een inlogdienst bieden
voor toegang tot een shell of tot bestanden. OPMERKING: De modules in het
postlogin-configuratiebestand worden uitgevoerd onafhankelijk van het succes
of het mislukken van de modules in het
system-auth-configuratiebestand.
/etc/dconf/db/distro.d/20-authselect
Wijzigingen in de dconf-database. De belangrijkste
toepassing van dit bestand is het instellen van wijzigingen van het GNOME
inlogscherm voor het aan- of uitzetten van authenticatie met smartcard of
vingerafdruk.
/etc/dconf/db/distro.d/locks/20-authselect
Dit bestand definieert vergrendelingen op waarden
ingesteld in de dconf-database.