Scroll to navigation

SSSD-KCM(8) Filformat och konventioner SSSD-KCM(8)

NAME

sssd-kcm - SSSD Kerberos cache-hanterare

BESKRIVNING

Denna manualsida beskriver konfigurationen av SSSD:s Kerberos cache-hanterare (KCM). KCM är en process som lagrar, spårar och hanterar Kerberoskreditiv-cachar. Det kommer från projektet Heimdal Kerberos, fast biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer detaljer om det nedan) av KCM-kreditiv-cachen.

I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket (typiskt använt via ett program, som t.ex., kinit(1), en “”KCM-klient"” och KCMdemonen refereras till som en “”KCM-server"”. Klienten och servern kommunicerar via ett UNIX-uttag.

KCM-servern håller reda på ägaren till varje kreditiv-cache och utför åtkomstkontroller baserat på AID:t och GID:t på KCM-klienten. Root-användaren har åtkomst till alla kreditiv-cachar.

KCM-kreditiv-cachen har flera intressanta egenskaper:

•eftersom processen kör i användarrymden är den föremål för AID-namnrymder, till skillnad mot kärnans nyckelring

•till skillnad mot kärnans nyckelringsbaserade cache, som delas mellan alla behållare, är KCM-servern en separat process vars ingångspunkt är ett UNIX-uttag

•SSSD-implementationen sparar ccache:rna i en databas, vanligen placerad i /var/lib/sss/secrets, vilket gör att ccache:rna kan överleva att KCM-servern eller hela maskinen startas om.

Detta gör att systemet kan använda en samlingsmedveten kreditiv-cache, och ändå dela kreditivcachen mellan några eller inga behållare genom bindmontering av uttaget.

KCM-standardklientens tidsgräns för inaktivitet är 5 minuter, detta ger mer tid för användarinteraktion med kommandoradsverktyg såsom kinit.

ATT ANVÄNDA KCM-KREDITIV-CACHEN

För att använda KCM-kreditiv-cachen måste den väljas som standardkreditivtypen i krb5.conf(5). Kreditiv-cachens namn skall bara vara “KCM:” utan några mallexpansioner. Till exempel:

[libdefaults]

default_ccache_name = KCM:

Se därefter till att Kerberos-klientbiblioteken och KCM-servern är överens om sökvägen till UNIX-uttaget. Som standard använder båda samma sökväg /var/run/.heim_org.h5l.kcm-socket. För att konfigurera Kerberos-biblioteket, ändra dess alternativ “kcm_socket” som beskrivs i manualsidan krb5.conf(5).

Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjänsten är normalt uttagsaktiverad av systemd(1). Till skillnad mot andra SSSD-tjänster kan den inte startas genom att lägga till strängen “kcm” till direktivet “service”.

systemctl start sssd-kcm.socket
systemctl enable sssd-kcm.socket

Observera att din distribution kanske redan konfigurerar enheterna åt dig.

KREDITIV-CACHE-LAGRINGEN

Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar användar- eller grupposter. Databasen finns normalt i “/var/lib/sss/secrets”.

ATT FÅ TAG I FELSÖKNINGSLOGGAR

Tjänsten sssd-kcm är normalt uttagsaktiverad av systemd(1). För att skapa felsökningsloggar, lägg till följande antingen direkt till filen /etc/sssd/sssd.conf eller som en konfigurationssnutt till katalogen /etc/sssd/conf.d/:

[kcm]
debug_level = 10

Starta sedan om tjänsten sssd-kcm:

systemctl restart sssd-kcm.service

Kör slutligen det användningsfall som inte fungerar. KCM-loggarna kommer skapas i /var/log/sssd/sssd_kcm.log. Det rekommenderas att avaktivera felsökningsloggarna när man inte längre behöver informationen aktiverad eftersom tjänsten sssd-kcm kan skapa en ganska stor mängd felsökningsinformation.

Observera att konfigurationssnuttar för närvarande endast behandlas om huvudkonfigurationsfilen på /etc/sssd/sssd.conf över huvud taget finns.

FÖRNYELSER

Tjänsten sssd-kcm kan konfigureras till att försöka göra TGT-förnyelser med förnybara TGT:er lagrade i KCM-ccachen. Förnyelseförsök görs bara när halva biljettens livstid har uppnåtts. KCM-förnyelser konfigureras när följande alternativ sätts i sektionen [kcm]:

tgt_renewal = true
krb5_renew_interval = 60m

SSSD kan även ärva krb5-alternativ för förnyelser från en befintlig domän.

tgt_renewal = true
tgt_renewal_inherit = domännamn

Följande krb5-alternativ kan konfigureras i sektionen [kcm] för att styra förnyelsebeteendet, dessa alternativ beskrivs i detalj nedan

krb5_renew_interval
krb5_renewable_lifetime
krb5_lifetime
krb5_validate
krb5_canonicalize
krb5_auth_timeout

KONFIGURATIONSALTERNATIV

Tjänsten KCM är konfigurerad i sektionen “kcm” av filen sssd.conf. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är det tillräckligt att bara starta om tjänsten “sssd-kcm” efter att ha ändrat flaggorna i sektionen “kcm” av sssd.conf:

systemctl restart sssd-kcm.service

Tjänsten KCM konfigureras i “kcm” För en detaljeras syntaxreferens, se avsnittet “FILFORMAT” i manualsidan sssd.conf(5).

De allmänna alternativen för tjänsten SSSD såsom “debug_level” eller “fd_limit” accepteras av tjänsten kcm. Se manualsidan sssd.conf(5) för en fullständig lista. Dessutom finns det några KCM-specifika alternativ också.

socket_path (sträng)

Uttaget tjänsten KCM kommer lyssna på.

Standard: /var/run/.heim_org.h5l.kcm-socket

Observera: på plattformar där systemd stödjs skrivs uttagssökvägen över av den som definieras i enhetsfilen sssd-kcm.socket.

max_ccaches (heltal)

Hur många kreditivcacher KCM-databasen tillåter för alla användare.

Standard: 0 (obegränsad, endast kvot per AID upprätthålls)

max_uid_ccaches (heltal)

Hur många kreditiv-cachningar KCM-databasen tillåter per AID. Detta är ekvivalent med “med hur många huvudmän man kan kinit:a”.

Standard: 64

max_ccache_size (heltal)

Hor stor kan en kreditivcach vara per ccache. Varje tjänsteärende räknas in i denna kvot.

Standard: 65536

tgt_renewal (bool)

Aktiverar TGT-förnyelsefunktionalitet.

Standard: False (Automatiska förnyelser avaktiverade)

tgt_renewal_inherit (sträng)

Domän att ärva krb5_*-alternativ ifrån, att användas med TGT-förnyelser.

Standard: NULL

krb5_auth_timeout (heltal)

Tidsgräns i sekunder efter vilken en uppkopplad begäran om autentisering eller begäran om lösenordsändring avbryts. Om möjligt fortsätts begäran om autentisering frånkopplat.

Standard: 6

krb5_validate (boolean)

Verifiera med hjälp av krb5_keytab att den TGT om hämtats inte har förfalskats. I keytab:en kontrolleras poster sekventiellt, och den första posten med ett matchande rike används för validering. Om ingen post matchar riket används den sista posten i keytab:en. Denna process kan användas för att validera miljöer genom att använda förtroenden mellan riken genom att placera den motsvarande keytab-posten som sista post eller den enda posten i keytab-filen.

Standard: false (IPA- och AD-leverantör: true)

Observera att biljettvalideringen är första steget vid kontroll av PAC:n (se ”pac_check” i manualsidan sssd.conf(5) för detaljer). Om biljettvalideringen är avaktiverad kommer PAC-kontrollerna också att hoppas över.

krb5_renewable_lifetime (sträng)

Begär en förnybar biljett med en total livslängd, given som ett heltal omedelbart följd av en tidsenhet:

s för sekunder

m för minuter

h för timmar

d för dagar.

Om ingen enhet anges antas s.

OBSERVERA: det är inte möjligt att blanda enheter. För att sätta den förnybara livslängden till en och en halv timma, använd ”90m” istället för ”1h30m”.

Standard: inte satt, d.v.s. TGT:en är inte förnybar

krb5_lifetime (sträng)

Begär en biljett med en livslängd, given som ett heltal omedelbart följd av en tidsenhet:

s för sekunder

m för minuter

h för timmar

d för dagar.

Om ingen enhet anges antas s.

OBSERVERA: det är inte möjligt att blanda enheter. För att sätta livslängden till en och en halv timma, använd ”90m” istället för ”1h30m”.

Standard: inte satt, d.v.s. biljettens standardlivslängd konfigurerad på KDC:n.

krb5_renew_interval (sträng)

Tiden i sekunder mellan två kontroller om TGT:en skall förnyas. TGT:er förnyas om ungefär halva deras livstid har överskridits, givet som ett heltal omedelbart följt av en tidsenhet:

s för sekunder

m för minuter

h för timmar

d för dagar.

Om ingen enhet anges antas s.

OBSERVERA: det är inte möjligt att blanda enheter. För att sätta den förnybara livslängden till en och en halv timma, använd ”90m” istället för ”1h30m”.

Om detta alternativ inte är satt eller är 0 är den automatiska förnyelsen avaktiverad.

Standard: inte satt

krb5_canonicalize (boolean)

Anger om värdens och användarens huvudman skall göras kanonisk. Denna funktion är tillgänglig med MIT Kerberos 1.7 och senare versioner.

Standard: false

SE ÄVEN

sssd(8), sssd.conf(5),

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

05/24/2024 SSSD