2. EL 9
  3. authselect
  4. authselect(8)

Scroll to navigation

AUTHSELECT(8)   AUTHSELECT(8)

NAME

authselect - システムアイデンティティーおよび認証ソースを選択します。

概要

authselect [--debug] [--trace] [--warn] command [command options]

説明

authselect は、特定のプロファイルを選択することでシステムアイデンティティー および認証ソースとプロバイダーを設定するツールです。プロファイルは、 結果として得られるシステム設定について説明するファイルのセットです。 プロファイルが選択されると、authselectnsswitch.conf(5) および PAM(8) スタックを作成し、 プロファイルによって定義されたアイデンティティーおよび認証ソースを使用します。

提供されたプロファイルセットが十分でない場合、管理者はこれを特別プロファイルディレクトリー (/etc/authselect/custom) に置くことで、カスタムプロファイルを作成できます。これにより、authselect は即時にプロファイルを使用できます。既存のプロファイルの拡張に関する情報は、authselect-profiles(5) を参照してください。

AUTHSELECT へのオプトイン

authselect は、すでに作成されていない限り、既存の設定には触れません。authselect を使用してシステム認証の設定を開始する場合は、最初に --force パラメーターを指定して authselect select を呼び出すようにしてください(authselect select sssd --force)。 --force パラメーターは、authselect 以外の既存の設定を上書きするのに適したものであることを authselect に指示します(以下の説明を参照してください)。--force パラメーターを使用すると、現在の設定のバックアップが自動的に生成されるため、authselect backup-restore コマンドで復元することができます(以下の説明を参照してください)。

利用可能なコマンド

利用可能なすべてのコマンドを一覧表示するには、パラメーターなしで authselect を実行します。選択したコマンドのヘルプを印刷するには、authselect COMMAND --help を実行します。

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NAME]

必要なプロファイルを実行します。プロファイル特定のオプション機能を一覧表示するには、show コマンドでプロファイルの説明を表示します。

--force, -f

以前の設定を authselect が作成したのではなく、他のツールまたは手動で の変更によって作成された場合でも、変更を書き込みます。このオプショ ンは、--nobackup オプションが設定されない限り、変更を書き込む前に 自動的にシステムファイルをバックアップします。

-b

選択したプロファイルを有効化する前にシステムファイルをバックアップしてください。 バックアップは /var/lib/authselect/backups/NAME に保存されています。一意文字列を含む 現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

選択したプロファイルの有効化を行う前に、システムファイルを バックアップします。このバックアップは、/var/lib/authselect/backups/NAME で復元されます。 値を指定しない場合、一意の文字列を含む現在の時間は名前として使用されます。

--nobackup

--force が設定されている場合でも、システム設定をバックアップしません。

--quiet, -q

コマンドは、追加のプロファイル要件またはバックアップロケーションなどの情報に関するメッセージは印刷しません。 エラーは引き続き印刷されます。

apply-changes [-b] [--backup=NAME]

現在選択されたプロファイルを再適用します。プロファイルのテンプレートが更新された場合、これらの変更をシステム上に適用するために、このコマンドを使用して現在のシステム設定を再生成できます。このコマンドは、既存の設定が有効な authselect 設定である場合にのみ、変更を再適用します。有効な authselect 設定でない場合は、エラーが返されます。

-b

変更を適用する前にシステムファイルをバックアップします。 このバックアップは /var/lib/authselect/backups/NAME に保存されます。 一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

変更を適用する前にシステムファイルをバックアップします。 このバックアップは /var/lib/authselect/backups/NAME に保存されます。 値を指定しないと、一意の文字列を含む現在時間がバックアップの名前として使用されます。

list

利用可能なプロファイルを一覧表示します。

list-features profile_id

List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.

show profile_id

プロファイルに関する情報を印刷します。

requirements profile_id [features]

プロファイル要件に関する情報を印刷します。

current [-r, --raw]

現在選択しているプロファイルの情報を印刷します。--raw オプションが指定された場合、フォーマット化された出力ではなく select コマンドに渡されたので、コマンドはローパラメーターを印刷します。

check

現在の設定が有効かどうかを確認します (これは authselect が作成したか、または以前の authselect 設定とは無関係のいずれかになります)。

test profile_id [options] [features]

システム設定に実際に何かを書き込むことなく、authselect によって生成されたファイルのコンテンツを印刷します。

-a, --all

すべてのファイルの内容を出力します。

-n, --nsswitch

nsswitch.conf の内容を出力します。

-s, --system-auth

system-auth の内容を出力します。

-p, --password-auth

password-auth の内容を出力します。

-c, --smartcard-auth

smartcard-auth の内容を出力します。

-f, --fingerprint-auth

fingerprint-auth の内容を出力します。

-o, --postlogin

postlogin の内容を出力します。

-d, --dconf-db

dconf データベースの内容を出力します。

-l, --dconf-lock

dconf ロックの内容を出力します。

enable-feature feature [-b] [--backup=NAME] [-q, --quiet]

現在選択されているプロファイルの機能を有効にします。

-b

機能を有効にする前にシステムファイルをバックアップします。 このバックアップは /var/lib/authselect/backups/NAME に保存されます。 一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

機能を有効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。値を指定しないと、 一意の文字列を含む現在時間がバックアップの名前として使用されます。

--quiet, -q

コマンドは、追加のプロファイル要件またはバックアップロケーションなどの情報に関するメッセージは印刷しません。 エラーは引き続き印刷されます。

disable-feature feature [-b] [--backup=NAME]

現在選択されているプロファイルの機能を無効にします。

-b

機能を無効にする前にシステムファイルをバックアップします。 このバックアップは /var/lib/authselect/backups/NAME に保存されます。 一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

機能を無効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。値を指定しないと、一意の文字列を含む現在時間がバックアップの名前として使用されます。

create-profile NAME [--vendor,-v] [options]

NAME という名前の新規のカスタムプロファイルを作成します。プロファイルは、既存のプロファイルに基づくことができます。この場合、新規のプロファイルテンプレートは、基本となるプロファイルのコピーか、またはこのオプションが選択された場合に作成されるこれらのファイルのシンボリックリンクのいずれかになります。

--vendor,-v

新規のプロファイルはカスタムプロファイルではなく、ベンダープロファイルです。 プロファイルタイプに関する詳細は、authselect-profiles(5) を参照してください。

--base-on=BASE-ID, -b=BASE-ID

新規のプロファイルは BASE-ID という名前のプロファイルに基づきます。基本となる プロファイルのロケーションは、以下の手順で決定します。

1.BASE-ID の先頭に custom/ がつく場合は、カスタムプロファイルになります。

2.BASE-ID がベンダープロファイルで見つかるかどうか試します。

3.BASE-ID がデフォルトプロファイルで見つかるかどうか試します。

4.エラーを返します。

--base-on-default

ベースプロファイルは、同じくベンダープロファイル内で 見つかった場合でも、デフォルトプロファイルになります。

--symlink-meta

README および REQUIREMENTS などの meta ファイルは、コピーではなく、 オリジナルのプロファイルファイルのシンボリックリンクになります。

--symlink-nsswitch

nsswitch.conf テンプレートは、コピーではなくオリジナルの プロファイルファイルのシンボリックリンクになります。

--symlink-pam

PAM テンプレートは、コピーではなくオリジナルのプロファイル ファイルのシンボリックリンクになります。

--symlink-dconf

dconf テンプレートは、コピーではなくオリジナルのプロファイル ファイルのシンボリックリンクになります。

--symlink=FILE,-s=FILE

テンプレートファイル FILE のコピーを作成するのではなく、 シンボリックリンクを作成します。このオプションは複数回渡すことができます。

バックアップコマンド

これらのコマンドは、バックアップした設定を管理するのに使用します。

backup-list [-r, --raw]

利用可能なバックアップを出力します。--raw オプションを指定すると、コマンドはフォーマット情報やその他の情報なしでバックアップ名のみを出力します。

backup-remove BACKUP

BACKUP というバックアップを永久的に削除します。

backup-restore BACKUP

BACKUP というバックアップから設定を復元します。Note: これは、現在の設定を上書きします。

一般的なオプション

これらのオプションは、すべてのコマンドで利用可能です。

--debug

デバッグ情報およびエラーメッセージを印刷します。

--trace

ツールの実行内容に関する情報を印刷します。

--warn

プログラムの実行には影響しないが、何らかの望ましくない状況を示す予期せぬ状況 (たとえば、プロファイルディレクトリーに予期せぬファイルがある場合など)に関する情報を印刷します。

NSSWITCH.CONF の管理

authselect は /etc/nsswitch.conf を生成し、ユーザーがこのファイルを変更することを許可しません。変更した場合は検出され、select コマンドに --force オプションが提供されない限り、authselect はあらゆるシステム設定の書き込みを拒否します。このメカニズムは、authselect が利用可能なプロファイルと一致しないものを上書きすることを防ぎます。

nsswitch マップへのユーザーによる変更はどれも、ファイル /etc/authselect/user-nsswitch.conf で実行される必要があります。authselect が新しい nsswitch.conf を生成した場合、このファイルが読み込まれ、選択されたプロファイルの設定と組み合わせます。プロファイル設定は常に優先されます。言い換えると、プロファイルはすべての nsswitch マップを設定する必要はなく、プロファイルに関連するものだけを設定できます。マップがプロファイル内で設定される場合、常に同じマップを user-nsswitch.conf から上書きします。

例 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd and group maps from user-nsswitch.conf are ignored
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files
$ authselect select sssd with-sudo
# passwd, group and sudoers maps from user-nsswitch.conf are ignored
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

トラブルシューティング

システムが authselect を使用しているかどうかを指示する方法?

authselect check を使用します。この出力では、(1)authselect 設定、(2)authselect 以外の設定または (3) で生成された設定があるものの、ある時点で手動で変更したかを伝えます。

nsswitch.conf は、現在シンボリックリンクとなりますか?

authselect は、ゼロからシステム設定を生成し、/etc/authselect に保存します。システムファイルは、このディレクトリーへのシンボリックリンクとして作成されます。これらのリンクは、authselect が設定を所有するので、手動で変更せずに使用することを明確にするために使用されます。

Error: Unexpected changes to the configuration was detected. (エラー:設定への予期しない変更が検出されました。)

例:

[error] [/etc/authselect/nsswitch.conf] does not exist!
[error] [/etc/nsswitch.conf] is not a symbolic link!
[error] [/etc/nsswitch.conf] is not created by authselect!
[error] Un expected changes to the configuration was detected.
[error] Refusing to activate to activate the profile if the changes is requested.

これは、設定がauthselectに対して不明であり、変更されないことを意味します。これを修正するには、--force パラメーターを指定して authselect select を呼び出して、上書きする権利がすべて表示してください。

リターンコード

authselect はこれらの終了コードを返すことができます。

•0: 成功。

•1: 一般エラー。

•2: プロファイルまたは設定が見つからないか、システムが authselect で設定されていません。

•3: 現在の設定は無効です。authselect なしで修正されました。

•4: authselect プロファイルを実行するには、システム設定を上書きする必要があります。--force parameter が必要です。

•5: コマンドは、root で実行する必要があります。

生成されたファイル

authselect は、システムアイデンティティーおよび認証プロバイダーを正確に設定するために、以下のファイルを作成および維持します。

/etc/nsswitch.conf

Name Service Switch 設定ファイルです。

/etc/pam.d/system-auth

ほぼすべての個別のサービス設定ファイルからインクルードされた PAM スタック。

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

これらの PAM スタックは、1 つの集合的な会話ではなく個々の会話を同時に実行して、異なるタイプのデバイスの認証を扱うアプリケーション向けです。

/etc/pam.d/postlogin

この PAM スタックの目的は、system-auth またはその他の共通の PAM 設定ファイルでスタックが設定された後に、呼び込まれるすべての PAM モジュールに共通の場所を提供することです。これは、シェルまたはファイルアクセスでログインサービスを提供するすべての個別のサービス設定ファイルからインクルードされます。 注意: postlogin 設定ファイルのモジュールは、system-auth 設定ファイルのモジュールの成功または失敗に関係なく実行されます。

/etc/dconf/db/distro.d/20-authselect

dconf データベースへの変更。このファイルの主なユースケースは、スマートカードや指紋による認証を有効または無効にするために gnome ログイン画面に変更を設定することです。

/etc/dconf/db/distro.d/locks/20-authselect

このファイルは、dconf データベースに設定された値のロックを定義します。

以下も参照してください

authselect-profiles(5)、authselect-migration(7)、nsswitch.conf(5)、PAM(8)

2018-03-18