NAME¶
authselect - välj systemets källor för
identitet och autentisering.
SYNOPSIS¶
authselect [--debug] [--trace] [--warn] kommando [kommandoflaggor]
BESKRIVNING¶
”Authselect” är ett verktyg för att
konfigurera systemets källor och leverantörer för
identitet och autentisering genom att välja en specifik profil. En
profil är ett antal filer som beskriver hur den resulterande
systemkonfigurationen skall se ut. När en profil väljs kommer
”authselect” skapa nsswitch.conf(5) och stacken för
PAM(8) till att använda källor för identitet och
autentisering som definieras av profilen.
Om den levererade uppsättningen profiler inte är
tillräcklig kan administratören skapa en anpassad profil genom
att placera den i en särskild profilkatalog (/etc/authselect/custom).
Genom att göra detta är profilen omedelbart användbar
av ”authselect”. Se authselect-profiles(5) för
mer information om att utöka befintliga profiler.
ANVÄND AUTHSELECT¶
Authselect kommer inte röra din befintliga konfiguration om
den inte redan har skapat den. Om du vill börja använda
authselect för att konfigurera systemets autentisering, anropa
authselect select med parametern --force först (t.ex.
authselect select sssd --force). Parametern --force
säger till authselect att det är ok att skriva över en
befintlig konfiguration som inte är authselect-skapad (se beskrivning
nedan). Att använda parametern --force kommer automatiskt
generera en säkerhetskopia av din befintliga konfiguration så
om du vill gå tillbaka kan du återställa den med
kommandot authselect backup-restore (se beskrivning nedan).
TILLGÄNGLIGA KOMMANDON¶
För att lista alla tillgängliga kommandon,
kör ”authselect” utan några parametrar.
För att skriva ut hjälp för ett valt kommando,
kör ”authselect KOMMANDO --help”.
select profil-id [funktioner] [-f, --force] [-q, --quiet]
[-b] [--backup=NAMN]
Aktivera vald profil. Se profilbeskrivningen med
kommandot
show, för att lista profilspecifika valfria
funktioner.
--force, -f
Skriv ändringar även om den
föregående konfigurationen inte skapades av authselect utan av
andra verktyg eller med manuella ändringar. Detta alternativ kommer
automatiskt säkerhetskopiera systemfiler före några
ändringar skrivs om inte alternativet --nobackup anges.
-b
Säkerhetskopiera systemfiler före
aktivering av den valda profilen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn på säkerhetskopian. Detta är en
kortform för --backup=.
--backup=NAME
Säkerhetskopiera systemfiler före
aktivering av den valda profilen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn om inget värde anges.
--nobackup
Säkerhetskopiera inte systemkonfigurationen
även om --force anges.
--quiet, -q
Kommandot kommer inte skriva några
informationsmeddelanden såsom ytterligare profilkrav eller plats
för säkerhetskopia. Fel skrivs fortfarande ut.
apply-changes [-b] [--backup=NAMN]
Återverkställ den nu valda profilen. Om
profilmallarna uppdaterats kan detta kommando användas för att
generera om den aktuella systemkonfigurationen för att
verkställa dessa ändringar av systemet. Detta kommando kommer
bara verkställa om ändringar om den befintliga konfigurationen
är en giltig authselect-konfiguration, annars returneras ett fel.
-b
Säkerhetskopiera systemfiler före
ändringarna verkställs. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn på säkerhetskopian. Detta är en
kortform för --backup=.
--backup=NAME
Säkerhetskopiera systemfiler före
ändringarna verkställs. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn om inget värde anges.
list
Lista tillgängliga profiler.
list-features profil-id
List all features available in given profile. +
Note: This will only list the features without any description. Please,
read the profile documentation with show to see what the features
do.
show profil_id
Skriv information om profilen.
requirements profil_id [funktioner]
Skriv information om profilkrav.
current [-r, --raw]
Skriv information om de för närvarande
valda profilerna. Om flaggan --raw anges kommer kommandot skriva
råa parametrar som de skickas till kommandot select
istället för formaterad utdata.
check
Kontrollera om den aktuella konfigurationen är
giltig (den var antingen skapad av authselect eller det inte finns
några rester från en tidigare authselect-konfiguration).
test profil-id [flaggor] [funktioner]
Skriv innehållet i filer som genererats av
authselect utan att faktiskt skriva något till
systemkonfigurationen.
-a, --all
Skriv ut innehållet i alla filer.
-n, --nsswitch
Skriv ut innehållet i nsswitch.conf.
-s, --system-auth
Skriv ut innehållet i system-auth.
-p, --password-auth
Skriv ut innehållet i password-auth.
-c, --smartcard-auth
Skriv ut innehållet i smartcard-auth.
-f, --fingerprint-auth
Skriv ut innehållet i fingerprint-auth.
-o, --postlogin
Skriv ut inenhållet i postlogin.
-d, --dconf-db
Skriv ut innehållet i dconf-databasen.
-l, --dconf-lock
Skriv ut innehållet i dconf-låset
enable-feature funktion [-b] [--backup=NAMN] [-q,
--quiet]
Aktivera funktionen i den nu valda profilen.
-b
Säkerhetskopiera systemfiler före
aktivering av funktionen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn på säkerhetskopian. Detta är en
kortform för --backup=.
--backup=NAME
Säkerhetskopiera systemfiler före
aktivering av funktionen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn om inget värde anges.
--quiet, -q
Kommandot kommer inte skriva några
informationsmeddelanden såsom ytterligare profilkrav eller plats
för säkerhetskopia. Fel skrivs fortfarande ut.
disable-feature funktion [-b] [--backup=NAMN]
Avaktivera funktionen i den nu valda profilen.
-b
Säkerhetskopiera systemfiler före
avaktivering av funktionen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn på säkerhetskopian. Detta är en
kortform för --backup=.
--backup=NAME
Säkerhetskopiera systemfiler före
avaktivering av funktionen. Säkerhetskopian kommer lagras i
/var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng
används som namn om inget värde anges.
create-profile NAMN [--vendor,-v] [flaggor]
Skapa en ny anpassad profil men namnet
NAMN.
Profilen kan baseras på en befintlig profil i vilket fall den nya
profilmallen antingen kopieras från basprofilen eller så skapas
symboliska länkar till dessa filer om den flaggan anges.
--vendor,-v
Den nya profilen är en leverantörsprofil
istället för en anpassad profil. Se
authselect-profiles(5) för mer information om profiltyper.
--base-on=BASE-ID, -b=BASE-ID
Den nya profilen kommer baseras på en profil som
heter
BAS-ID. Basprofilens plats avgörs med dessa steg:
1.Om BAS-ID börjar med prefixet
custom/ är det en anpassad profil.
2.Prova om BAS-ID finns bland
leverantörsprofiler.
3.Prova om BAS-ID finns bland
standardprofiler.
4.Returnera vid fel.
--base-on-default
Basprofilen är en standardprofil även om
den inte finns bland leverantörsprofiler.
--symlink-meta
Metafiler, såsom README och
REQUIREMENTS kommer vara symboliska länkar till originalfiler
istället för deras kopior.
--symlink-nsswitch
Mallen nsswitch.conf kommer vara en symbolisk
länk till originalprofilens fil istället för dess
kopia.
--symlink-pam
Mallar för PAM kommer vara symboliska
länkar till originalprofilens filer istället för deras
kopior.
--symlink-dconf
Mallar för dconf kommer vara symboliska
länkar till originalprofilens filer istället för deras
kopior.
--symlink=FILE,-s=FILE
Skapa en symbolisk länk för en mallfil
FIL istället för att skapa dess kopia. Denna flagga kan
skickas flera gånger.
SÄKERHETSKOPIERINGSKOMMANDON¶
Dessa kommandon kan användas för att hantera
säkerhetskopierade konfigurationer.
backup-list [-r, --raw]
Skriv ut tillgängliga säkerhetskopior. Om
flaggan --raw anges kommer kommandot skriva bara namnen på
säkerhetskopiorna utan någon formatering eller ytterligare
information.
backup-remove SÄKERHETSKOPIA
Radera säkerhetskopian som heter
SÄKERHETSKOPIA permanent.
backup-restore SÄKERHETSKOPIA
Återställ konfigurationen från
säkerhetskopian som heter SÄKERHETSKOPIA. Obs:
detta kommer skriva över den aktuella konfigurationen.
GEMENSAMMA FLAGGOR¶
Dessa flaggor är tillgängliga med alla
kommandon.
--debug
Skriv ut felsökningsinformation och
felmeddelanden.
--trace
Skriv information om vad verktyget gör.
--warn
Skriv information om oväntade situationer som inte
påverkar programexekveringen men kan indikera några
oönskade situationer (t.ex. en oväntad fil i en
profilkatalog).
HANTERING AV NSSWITCH.CONF¶
Authselect genererar /etc/nsswitch.conf och tillåter inte
några användarändringar av denna fil. Sådana
ändringar upptäcks och authselect kommer vägra att
skriva någon systemkonfiguration om inte en flagga --force
anges till kommandot select. Denna mekanism förhindrar
authselect från att skriva över något som inte matchar
någon tillgänglig profil.
Eventuella användarändringar till
nsswitch-mappningarna måste göras i filen
/etc/authselect/user-nsswitch.conf. När authselect genererar en ny
nsswitch.conf läser den denna fil och kombinerar den med
konfigurationen från den valda profilen. Profilkonfigurationen ges
alltid företräde. Med andra ord, profiler behöver inte
ange alla nsswitch-mappningar utan kan ange endast de som är
relevanta för profilen. Om en mappning anges i en profil
åsidosätter den alltid samma mappning från
user-nsswitch.conf.
Exempel 1.
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd- och group-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# passwd-, group- och sudoers-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
FELSÖKNING¶
Hur kan jag avgöra om mitt system använder authselect?¶
Använd authselect check. Utskriften kommer
berätta om du har 1) en konfiguration genererad av authselect 2) en
icke-authselect-konfiguration eller 3) en konfiguration som genererades av
authselect med modifierades manuellt vid någon tidpunkt.
Är nsswitch.conf tänkt att vara en symbolisk länk nu?¶
Authselect genererar ditt systems konfiguration från start
och lagrar den i /etc/authselect. Systemfiler skapas sedan som symboliska
länkar till denna katalog. Symboliska länkar används
för att göra det tydligt att authselect nu äger din
konfiguration och skall användas istället för
någon manuell modifikation.
Fel: Oväntade ändringar av konfigurationen upptäcktes.¶
Till exempel:
[fel] [/etc/authselect/nsswitch.conf] finns inte!
[fel] [/etc/nsswitch.conf] är inte en symbolisk länk!
[fel] [/etc/nsswitch.conf] skapades inte av authselect!
[fel] Oväntade ändringar av konfigurationen upptäcktes.
[fel] Vägrar att aktivera profilen om inte dessa ändringar först tas bort eller överskrivning begärs.
Detta betyder att din konfiguration är okänd
för authselect och som sådan kommer den inte ändras.
För att fixa detta, anropa authselect select med parametern
--force för att säga att det är i sin ordning
att skriva över den.
RETURKODER¶
Authselect kan returnera dessa slutstatusar:
•0: Det gick bra.
•1: Allmänt fel.
•2: Profilen eller konfigurationen finns inte
eller så är systemet inte konfigurerat med authselect.
•3: Aktuell konfiguration är inte giltig,
den har redigerats utan authselect.
•4: Systemkonfigurationen måste skrivas
över för att aktivera en authselect-profil, parametern --force
behövs.
•5: Det körda kommandot måste
köras som root.
GENERERADE FILER¶
Authselect skapar och underhåller följande filer
för att konfigurera systemets identitets- och
autentiseringsleverantörer korrekt.
/etc/nsswitch.conf
Konfigurationsfil för
namntjänststväxling.
/etc/pam.d/system-auth
PAM-stacken som inkluderas från nästan alla
individuella tjänstekonfigurationsfiler.
/etc/pam.d/password-auth, smartcard-auth,
fingerprint-auth
Dessa PAM-stackar är för program som
hanterar autentisering från olika typer av enheter genom att samtidigt
köra flera individuella konversationer istället för en
sammansatt konfiguration.
/etc/pam.d/postlogin
Syftet med denna PAM-stack är att vara en gemensam
plats för alla PAM-moduler som skall anropas efter att stacken
konfigurerats i system-auth eller andra gemensamma PAM-konfigurationsfiler.
Den inkluderas från alla individuella tjänstekonfigurationsfiler
som tillhandahåller en inloggningstjänst med skalåtkomst.
OBSERVERA: modulerna i konfigurationsfilen postlogin körs oavsett om
modulerna i konfigurationsfilen system-auth lyckas eller inte.
/etc/dconf/db/distro.d/20-authselect
Ändringar av dconf-databasen. Det huvudsakliga
användningsfallet för denna fil är att ange
ändringar för gnomes inloggningsskärm för att
aktivera eller avaktivera autentisering med smartkort eller och
fingeravtryck.
/etc/dconf/db/distro.d/locks/20-authselect
Denna fil definierar lås på värden
som anges i dconf-databasen.