2. EL 8
  3. sssd-client
  4. pam_sss_gss(8)

Scroll to navigation

PAM_SSS_GSS(8) Сторінки підручника SSSD PAM_SSS_GSS(8)

NAME

pam_sss_gss - модуль PAM для розпізнавання за GSSAPI у SSSD

SYNOPSIS

pam_sss_gss.so [debug]

ОПИС

pam_sss_gss.so розпізнає користувача за допомогою GSSAPI у поєднанні із SSSD.

Цей модуль намагатиметься виконати розпізнавання користувача за допомогою служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ. Частину ОБЛАСТЬ назви реєстраційного запису Kerberos буде визначено за внутрішніми механізмами Kerberos. Її можна встановити явним чином у налаштуваннях розділу [domain_realm] у /etc/krb5.conf.

SSSD використовується для отримання бажаної назви служби і для перевірки реєстраційних даних користувача за допомогою викликів GSSAPI. Якщо у кеші реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток квитка користувача можна використати для отримання належного квитка служби, користувача буде розпізнано.

Якщо pam_gssapi_check_upn матиме значення True (типове значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться для отримання квитків служби, можна було пов'язати із користувачем. Це означає, що реєстраційний запис, який є власником реєстраційних даних Kerberos, має відповідати назві реєстраційного запису користувача, яку визначено у LDAP.

Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення pam_gssapi_services у розділі [pam] або домену в sssd.conf. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD (його вже збережено там, якщо ви користуєтеся надавачем даних ipa або ad). Розташування сховища ключів можна встановити за допомогою параметра krb5_keytab. Див. sssd.conf(5) і sssd-krb5(5), щоб дізнатися більше про ці параметри.

Деякі розгорнуті екземпляри Kerberos дозволяють пов'язувати індикатори розпізнавання із певним методом попереднього розпізнавання, який використовується для отримання квитка, який надає квиток користувача. pam_sss_gss.so надає змогу примусово встановити потребу у наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано доступ до певної служби PAM.

Якщо pam_gssapi_indicators_map встановлено у розділі [pam] або домену sssd.conf, SSSD виконає перевірку наявності будь-яких налаштованих індикаторів у квитку служби.

ПАРАМЕТРИ

debug

Вивести діагностичні дані.

ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ

Передбачено лише тип модулів auth

ПОВЕРНЕНІ ЗНАЧЕННЯ

PAM_SUCCESS

Дію PAM завершено успішно.

PAM_USER_UNKNOWN

Користувач є невідомим службі розпізнавання або підтримки розпізнавання за GSSAPI не передбачено.

PAM_AUTH_ERR

Помилка під час спроби розпізнавання.

PAM_AUTHINFO_UNAVAIL

Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути помилка у роботі мережі або обладнання.

PAM_SYSTEM_ERR

Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD.

ПРИКЛАДИ

Основним випадком використання є забезпечення розпізнавання без пароля у sudo, але без потреби у повному вимиканні розпізнавання. Для досягнення потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в sssd.conf:

[domain/MYDOMAIN]
pam_gssapi_services = sudo, sudo-i

Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam.d/sudo і /etc/pam.d/sudo-i).

...
auth sufficient pam_sss_gss.so
...

ДІАГНОСТИКА

У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть міститися корисні дані щодо помилки. Ось деякі з типових проблем:

1. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: залежно від вашої версії sudo, можливо, sudo не передає цю змінну до середовища PAM. Спробуйте додати KRB5CCNAME до env_keep в /etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP.

2. Розпізнавання не працює, а у syslog міститься повідомлення «Server not found in Kerberos database»: Kerberos, ймовірно, не може визначити належну область для квитка служби на основі назви вузла. Спробуйте додати назву вузла безпосередньо у розділ [domain_realm] в /etc/krb5.conf, ось так:

3. Розпізнавання не працює, а у syslog міститься повідомлення «No Kerberos credentials available»: у вас немає реєстраційних даних, якими можна було б скористатися для отримання потрібного квитка служби. Скористайтеся kinit або пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні реєстраційні дані.

4. Розпізнавання не працює, а у журналі sssd-pam SSSD міститься повідомлення «User with UPN [$UPN] was not found.» або «UPN [$UPN] does not match target user [$username].»: ви використовуєте реєстраційні дані, які не можна пов'язати із користувачем, розпізнавання якого відбувається. Спробуйте скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути pam_gssapi_check_upn.

[domain_realm]
.myhostname = MYREALM

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)

AUTHORS

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/

05/24/2024 SSSD