table of contents
PAM_SSS_GSS(8) | SSSD manualsidor | PAM_SSS_GSS(8) |
NAME¶
pam_sss_gss - PAM-modul för SSSD GSSAPI-autentisering
SYNOPSIS¶
pam_sss_gss.so [felsökning]
BESKRIVNING¶
pam_sss_gss.so autentiserar användaren över GSSAPI i samarbete med SSSD.
Denna modul kommer försöka autentisera användaren med det värdbaserade GSSAPI-tjänstenamnet värd@värdnamn vilket översätts till Kerberos-huvudmannen värd/värdnamn@RIKE. Delen RIKE av Kerberos-huvudmannanamnet härleds av Kerberos interna mekanismer och det kan sättas uttryckligen i konfigurationen av sektionen [domain_realm] i /etc/krb5.conf.
SSSD används för att tillhandahålla det önskade tjänstenamnet och för att validera användarens kreditiv med GSSAPI-anrop. Om tjänstebiljetten redan är tillgänglig i Kerberos kreditiv-cache eller om användarens biljettgivarbiljett kan användas för att få det korrekta tjänstebiljetten, i så fall kommer användaren autentiseras.
Om pam_gssapi_check_upn är sant (standard) kräver SSSD att kreditiven som använts till att få denna tjänstebiljett kan associeras med användaren. Detta betydera tt huvudmannen som äger Kerberos-kreditiven måste stämma med användarens huvudmannanamn så som det definieras i LDAP.
För att aktivera GSSAPI-autentisering i SSSD, sätt alternativet pam_gssapi_services i [pam] eller domänsektionen i sssd.conf. Tjänstekreditiven behöver lagras i SSSD:s keytab (de finns där redan om man använder leverantören ipa eller ad). Keytab-platsen kan anges med alternativet krb5_keytab. Se sssd.conf(5) och sssd-krb5(5) för fler detaljer om dessa alternativ.
Några Kerberos-installationer tillåter associationen av autentiseringsindikatorer med en viss förautentiseringsmetod använd för att hämta biljettgivarbiljetten av användaren. pam_sss_gss.so gör att man kan kräva närvaron av autentiseringsindikatorer i tjänstebiljetten för en viss PAM-tjänst kan nås.
Om pam_gssapi_indicators_map är satt i sektionen [pam] eller domänsektionen i sssd.conf kommer SSSD utföra en kontroll av närvaron av några konfigurerade indikatorer i tjänstebiljetten.
FLAGGOR¶
debug
TILLHANDAHÅLLNA MODULTYPER¶
Endast modulen auth tillhandahålls.
RETURVÄRDEN¶
PAM_SUCCESS
PAM_USER_UNKNOWN
PAM_AUTH_ERR
PAM_AUTHINFO_UNAVAIL
PAM_SYSTEM_ERR
EXEMPEL¶
Det huvudsakliga användningsfallet är att tillhandahålla lösenordsfri autentisering i sudo men utan behovet av att avaktivera autentisering helt. För att uppnå detta, aktivera först GSSAPI-autentisering av sudo i sssd.conf:
[domain/MINDOMÄN] pam_gssapi_services = sudo, sudo-i
Aktivera sedan modulen i den önskande PAM-stacken (t.ex. /etc/pam.d/sudo och /etc/pam.d/sudo-i).
... auth sufficient pam_sss_gss.so ...
FELSÖKNING¶
SSSD-loggar, pam_sss_gss felsökningsutmatning och syslog kan innehålla användbar information om felet. Här är några vanliga problem:
1. Jag har miljövariabeln KRB5CCNAME satt och autentiseringen fungerar inte: beroende på din sudo-versionär det möjligt att sudo inte skickar denna variabel till PAM-miljön. Försök lägga till KRB5CCNAME till env_keep i /etc/sudoers eller i dina LDAP-sudo-reglers standardalternativ.
2. Autentiseringen fungerar inte och syslog innehåller ”Server not found in Kerberos database”: Kerberos kan förmodligen inte lösa upp det korrekta riket för tjänstebiljetten baserat på värdnamnet. Försök att lägga till värdnamnet direk till [domain_realm[ i /etc/krb5.conf så här:
3. Autentiseringen fungerar inte och syslog innehåller ”No Kerberos credentials available”: du har inte några kreditiv som kan användas för att få den önskade tjänstebiljetten. Använd kinit eller autentisera över SSSD för att få dessa kreditiv.
4. Autentisering fungerar inte och SSSD sssd-pam-loggen innehåller ”User with UPN [$UPN] was not found.” eller ”UPN [$UPN] does not match target user [$username].”: du använder kreditiv som inte kan kopplas till användaren som autentiseras. Försök att använda kswitch för att välja en annan huvudman, se till att du autentiserade med SSSD eller överväg att avaktivera pam_gssapi_check_upn.
[domain_realm] .myhostname = MITTRIKE
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
SSSD uppströms – https://github.com/SSSD/sssd/
05/24/2024 | SSSD |