Scroll to navigation

AUTHSELECT(8)   AUTHSELECT(8)

NAME

authselect - välj systemets källor för identitet och autentisering.

SYNOPSIS

authselect [--debug] [--trace] [--warn] kommando [kommandoflaggor]

BESKRIVNING

”Authselect” är ett verktyg för att konfigurera systemets källor och leverantörer för identitet och autentisering genom att välja en specifik profil. En profil är ett antal filer som beskriver hur den resulterande systemkonfigurationen skall se ut. När en profil väljs kommer ”authselect” skapa nsswitch.conf(5) och stacken för PAM(8) till att använda källor för identitet och autentisering som definieras av profilen.

Om den levererade uppsättningen profiler inte är tillräcklig kan administratören skapa en anpassad profil genom att placera den i en särskild profilkatalog (/etc/authselect/custom). Genom att göra detta är profilen omedelbart användbar av ”authselect”. Se authselect-profiles(5) för mer information om att utöka befintliga profiler.

ANVÄND AUTHSELECT

Authselect kommer inte röra din befintliga konfiguration om den inte redan har skapat den. Om du vill börja använda authselect för att konfigurera systemets autentisering, anropa authselect select med parametern --force först (t.ex. authselect select sssd --force). Parametern --force säger till authselect att det är ok att skriva över en befintlig konfiguration som inte är authselect-skapad (se beskrivning nedan). Att använda parametern --force kommer automatiskt generera en säkerhetskopia av din befintliga konfiguration så om du vill gå tillbaka kan du återställa den med kommandot authselect backup-restore (se beskrivning nedan).

TILLGÄNGLIGA KOMMANDON

För att lista alla tillgängliga kommandon, kör ”authselect” utan några parametrar. För att skriva ut hjälp för ett valt kommando, kör ”authselect KOMMANDO --help”.

select profil-id [funktioner] [-f, --force] [-q, --quiet] [-b] [--backup=NAMN]

Aktivera vald profil. Se profilbeskrivningen med kommandot show, för att lista profilspecifika valfria funktioner.

--force, -f

Skriv ändringar även om den föregående konfigurationen inte skapades av authselect utan av andra verktyg eller med manuella ändringar. Detta alternativ kommer automatiskt säkerhetskopiera systemfiler före några ändringar skrivs om inte alternativet --nobackup anges.

-b

Säkerhetskopiera systemfiler före aktivering av den valda profilen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för --backup=.

--backup=NAME

Säkerhetskopiera systemfiler före aktivering av den valda profilen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn om inget värde anges.

--nobackup

Säkerhetskopiera inte systemkonfigurationen även om --force anges.

--quiet, -q

Kommandot kommer inte skriva några informationsmeddelanden såsom ytterligare profilkrav eller plats för säkerhetskopia. Fel skrivs fortfarande ut.

apply-changes [-b] [--backup=NAMN]

Återverkställ den nu valda profilen. Om profilmallarna uppdaterats kan detta kommando användas för att generera om den aktuella systemkonfigurationen för att verkställa dessa ändringar av systemet. Detta kommando kommer bara verkställa om ändringar om den befintliga konfigurationen är en giltig authselect-konfiguration, annars returneras ett fel.

-b

Säkerhetskopiera systemfiler före ändringarna verkställs. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för --backup=.

--backup=NAME

Säkerhetskopiera systemfiler före ändringarna verkställs. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn om inget värde anges.

list

Lista tillgängliga profiler.

list-features profil-id

List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.

show profil_id

Skriv information om profilen.

requirements profil_id [funktioner]

Skriv information om profilkrav.

current [-r, --raw]

Skriv information om de för närvarande valda profilerna. Om flaggan --raw anges kommer kommandot skriva råa parametrar som de skickas till kommandot select istället för formaterad utdata.

check

Kontrollera om den aktuella konfigurationen är giltig (den var antingen skapad av authselect eller det inte finns några rester från en tidigare authselect-konfiguration).

test profil-id [flaggor] [funktioner]

Skriv innehållet i filer som genererats av authselect utan att faktiskt skriva något till systemkonfigurationen.

-a, --all

Skriv ut innehållet i alla filer.

-n, --nsswitch

Skriv ut innehållet i nsswitch.conf.

-s, --system-auth

Skriv ut innehållet i system-auth.

-p, --password-auth

Skriv ut innehållet i password-auth.

-c, --smartcard-auth

Skriv ut innehållet i smartcard-auth.

-f, --fingerprint-auth

Skriv ut innehållet i fingerprint-auth.

-o, --postlogin

Skriv ut inenhållet i postlogin.

-d, --dconf-db

Skriv ut innehållet i dconf-databasen.

-l, --dconf-lock

Skriv ut innehållet i dconf-låset

enable-feature funktion [-b] [--backup=NAMN] [-q, --quiet]

Aktivera funktionen i den nu valda profilen.

-b

Säkerhetskopiera systemfiler före aktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för --backup=.

--backup=NAME

Säkerhetskopiera systemfiler före aktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn om inget värde anges.

--quiet, -q

Kommandot kommer inte skriva några informationsmeddelanden såsom ytterligare profilkrav eller plats för säkerhetskopia. Fel skrivs fortfarande ut.

disable-feature funktion [-b] [--backup=NAMN]

Avaktivera funktionen i den nu valda profilen.

-b

Säkerhetskopiera systemfiler före avaktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för --backup=.

--backup=NAME

Säkerhetskopiera systemfiler före avaktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn om inget värde anges.

create-profile NAMN [--vendor,-v] [flaggor]

Skapa en ny anpassad profil men namnet NAMN. Profilen kan baseras på en befintlig profil i vilket fall den nya profilmallen antingen kopieras från basprofilen eller så skapas symboliska länkar till dessa filer om den flaggan anges.

--vendor,-v

Den nya profilen är en leverantörsprofil istället för en anpassad profil. Se authselect-profiles(5) för mer information om profiltyper.

--base-on=BASE-ID, -b=BASE-ID

Den nya profilen kommer baseras på en profil som heter BAS-ID. Basprofilens plats avgörs med dessa steg:

1.Om BAS-ID börjar med prefixet custom/ är det en anpassad profil.

2.Prova om BAS-ID finns bland leverantörsprofiler.

3.Prova om BAS-ID finns bland standardprofiler.

4.Returnera vid fel.

--base-on-default

Basprofilen är en standardprofil även om den inte finns bland leverantörsprofiler.

--symlink-meta

Metafiler, såsom README och REQUIREMENTS kommer vara symboliska länkar till originalfiler istället för deras kopior.

--symlink-nsswitch

Mallen nsswitch.conf kommer vara en symbolisk länk till originalprofilens fil istället för dess kopia.

--symlink-pam

Mallar för PAM kommer vara symboliska länkar till originalprofilens filer istället för deras kopior.

--symlink-dconf

Mallar för dconf kommer vara symboliska länkar till originalprofilens filer istället för deras kopior.

--symlink=FILE,-s=FILE

Skapa en symbolisk länk för en mallfil FIL istället för att skapa dess kopia. Denna flagga kan skickas flera gånger.

SÄKERHETSKOPIERINGSKOMMANDON

Dessa kommandon kan användas för att hantera säkerhetskopierade konfigurationer.

backup-list [-r, --raw]

Skriv ut tillgängliga säkerhetskopior. Om flaggan --raw anges kommer kommandot skriva bara namnen på säkerhetskopiorna utan någon formatering eller ytterligare information.

backup-remove SÄKERHETSKOPIA

Radera säkerhetskopian som heter SÄKERHETSKOPIA permanent.

backup-restore SÄKERHETSKOPIA

Återställ konfigurationen från säkerhetskopian som heter SÄKERHETSKOPIA. Obs: detta kommer skriva över den aktuella konfigurationen.

GEMENSAMMA FLAGGOR

Dessa flaggor är tillgängliga med alla kommandon.

--debug

Skriv ut felsökningsinformation och felmeddelanden.

--trace

Skriv information om vad verktyget gör.

--warn

Skriv information om oväntade situationer som inte påverkar programexekveringen men kan indikera några oönskade situationer (t.ex. en oväntad fil i en profilkatalog).

HANTERING AV NSSWITCH.CONF

Authselect genererar /etc/nsswitch.conf och tillåter inte några användarändringar av denna fil. Sådana ändringar upptäcks och authselect kommer vägra att skriva någon systemkonfiguration om inte en flagga --force anges till kommandot select. Denna mekanism förhindrar authselect från att skriva över något som inte matchar någon tillgänglig profil.

Eventuella användarändringar till nsswitch-mappningarna måste göras i filen /etc/authselect/user-nsswitch.conf. När authselect genererar en ny nsswitch.conf läser den denna fil och kombinerar den med konfigurationen från den valda profilen. Profilkonfigurationen ges alltid företräde. Med andra ord, profiler behöver inte ange alla nsswitch-mappningar utan kan ange endast de som är relevanta för profilen. Om en mappning anges i en profil åsidosätter den alltid samma mappning från user-nsswitch.conf.

Exempel 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd- och group-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files
$ authselect select sssd with-sudo
# passwd-, group- och sudoers-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

FELSÖKNING

Hur kan jag avgöra om mitt system använder authselect?

Använd authselect check. Utskriften kommer berätta om du har 1) en konfiguration genererad av authselect 2) en icke-authselect-konfiguration eller 3) en konfiguration som genererades av authselect med modifierades manuellt vid någon tidpunkt.

Är nsswitch.conf tänkt att vara en symbolisk länk nu?

Authselect genererar ditt systems konfiguration från start och lagrar den i /etc/authselect. Systemfiler skapas sedan som symboliska länkar till denna katalog. Symboliska länkar används för att göra det tydligt att authselect nu äger din konfiguration och skall användas istället för någon manuell modifikation.

Fel: Oväntade ändringar av konfigurationen upptäcktes.

Till exempel:

[fel] [/etc/authselect/nsswitch.conf] finns inte!
[fel] [/etc/nsswitch.conf] är inte en symbolisk länk!
[fel] [/etc/nsswitch.conf] skapades inte av authselect!
[fel] Oväntade ändringar av konfigurationen upptäcktes.
[fel] Vägrar att aktivera profilen om inte dessa ändringar först tas bort eller överskrivning begärs.

Detta betyder att din konfiguration är okänd för authselect och som sådan kommer den inte ändras. För att fixa detta, anropa authselect select med parametern --force för att säga att det är i sin ordning att skriva över den.

RETURKODER

Authselect kan returnera dessa slutstatusar:

•0: Det gick bra.

•1: Allmänt fel.

•2: Profilen eller konfigurationen finns inte eller så är systemet inte konfigurerat med authselect.

•3: Aktuell konfiguration är inte giltig, den har redigerats utan authselect.

•4: Systemkonfigurationen måste skrivas över för att aktivera en authselect-profil, parametern --force behövs.

•5: Det körda kommandot måste köras som root.

GENERERADE FILER

Authselect skapar och underhåller följande filer för att konfigurera systemets identitets- och autentiseringsleverantörer korrekt.

/etc/nsswitch.conf

Konfigurationsfil för namntjänststväxling.

/etc/pam.d/system-auth

PAM-stacken som inkluderas från nästan alla individuella tjänstekonfigurationsfiler.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

Dessa PAM-stackar är för program som hanterar autentisering från olika typer av enheter genom att samtidigt köra flera individuella konversationer istället för en sammansatt konfiguration.

/etc/pam.d/postlogin

Syftet med denna PAM-stack är att vara en gemensam plats för alla PAM-moduler som skall anropas efter att stacken konfigurerats i system-auth eller andra gemensamma PAM-konfigurationsfiler. Den inkluderas från alla individuella tjänstekonfigurationsfiler som tillhandahåller en inloggningstjänst med skalåtkomst. OBSERVERA: modulerna i konfigurationsfilen postlogin körs oavsett om modulerna i konfigurationsfilen system-auth lyckas eller inte.

/etc/dconf/db/distro.d/20-authselect

Ändringar av dconf-databasen. Det huvudsakliga användningsfallet för denna fil är att ange ändringar för gnomes inloggningsskärm för att aktivera eller avaktivera autentisering med smartkort eller och fingeravtryck.

/etc/dconf/db/distro.d/locks/20-authselect

Denna fil definierar lås på värden som anges i dconf-databasen.

SE ÄVEN

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)

2018-03-18