.\" -*- coding: UTF-8 -*- .\" .\" rpc.gssd(8) .\" .\" Copyright (C) 2003 J. Bruce Fields .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH rpc.gssd 8 "20 فبراير 2013" .SH الاسم rpc.gssd \- برنامج خفي RPCSEC_GSS .SH موجز \fBrpc.gssd\fP [\fB\-DfMnlvrHC\fP] [\fB\-k\fP \fIkeytab\fP] [\fB\-p\fP \fIpipefsdir\fP] [\fB\-d\fP \fIccachedir\fP] [\fB\-t\fP \fItimeout\fP] [\fB\-T\fP \fItimeout\fP] [\fB\-U\fP \fItimeout\fP] [\fB\-R\fP \fIrealm\fP] .SH مقدمة بروتوكول RPCSEC_GSS، المُعرّف في RFC 5403، يُستخدم لتوفير أمان قوي للبروتوكولات القائمة على RPC مثل NFS. .P قبل تبادل طلبات RPC باستخدام RPCSEC_GSS، يجب على عميل RPC إنشاء \fIسياق أمان\fP GSS. سياق الأمان هو حالة مشتركة على كل طرف من أطراف النقل الشبكي تُفعّل خدمات أمان GSS\-API. .P تُنشأ سياقات الأمان باستخدام \fIبيانات اعتماد أمان\fP. تمنح بيانات الاعتماد وصولاً مؤقتًا إلى خدمة شبكة آمنة، تمامًا كما تمنح تذكرة القطار وصولاً مؤقتًا لاستخدام خدمة السكك الحديدية. .P يحصل المستخدم عادةً على بيانات اعتماد بتوفير كلمة مرور لأمر \fBkinit\fP(1)، أو عبر مكتبة PAM عند تسجيل الدخول. تُعرف بيانات الاعتماد المكتسبة بـ \fIمبدأ المستخدم\fP باسم \fIبيانات اعتماد المستخدم\fP (انظر \fBkerberos\fP(1) لمزيد من المعلومات حول المبادئ). .P تتطلب عمليات معينة بيانات اعتماد لا تمثل مستخدمًا معينًا أو تمثل المضيف نفسه. يُسمى هذا النوع من بيانات الاعتماد \fIبيانات اعتماد الآلة\fP. .P ينشئ المضيف بيانات اعتماد آلته باستخدام \fIمبدأ خدمة\fP تُخزّن كلمة مروره المشفرة في ملف محلي يُعرف باسم \fIkeytab\fP. تظل بيانات اعتماد الآلة فعّالة دون تدخل المستخدم طالما يمكن للمضيف تجديدها. .P بمجرد الحصول عليها، تُخزّن بيانات الاعتماد عادةً في ملفات مؤقتة محلية بأسماء مسارات معروفة. .SH الوصف لإنشاء سياقات أمان GSS باستخدام ملفات بيانات الاعتماد هذه، يعتمد عميل RPC لنواة لينكس على برنامج خفي في مساحة المستخدم يُسمى \fBrpc.gssd\fP. يستخدم البرنامج الخفي \fBrpc.gssd\fP نظام الملفات rpc_pipefs للتواصل مع النواة. .SS "بيانات اعتماد المستخدم" عندما يُوثّق المستخدم باستخدام أمر مثل \fBkinit\fP(1)، تُخزّن بيانات الاعتماد الناتجة في ملف باسم معروف يُنشأ باستخدام UID الخاص بالمستخدم. .P للتفاعل مع خادم NFS نيابة عن مستخدم معين مُوثّق عبر Kerberos، يطلب عميل RPC لنواة لينكس من \fBrpc.gssd\fP تهيئة سياق أمان باستخدام بيانات الاعتماد في ملف بيانات اعتماد ذلك المستخدم. .P عادةً، تُوضع ملفات بيانات الاعتماد في \fI/tmp\fP. ومع ذلك، يمكن لـ \fBrpc.gssd\fP البحث عن ملفات بيانات الاعتماد في أكثر من دليل. انظر وصف الخيار \fB\-d\fP للتفاصيل. .SS "بيانات اعتماد الآلة" يبحث \fBrpc.gssd\fP في keytab المبدئي، \fI/etc/krb5.keytab\fP، بالترتيب التالي عن مبدأ وكلمة مرور لاستخدامهما عند إنشاء بيانات اعتماد الآلة. للبحث، يستبدل rpc.gssd و باسم مضيف النظام المحلي ونطاق Kerberos. .sp $@ .br root/@ .br nfs/@ .br host/@ .br root/@ .br nfs/<أي_إسم>@ .br host/@ .sp يختار rpc.gssd أحد إدخالات إذا لم يجد مبدأ خدمة يطابق اسم المضيف المحلي، مثلاً إذا عيّن DHCP اسم المضيف المحلي ديناميكيًا. تُفعّل ميزة استخدام نفس keytab على أنظمة متعددة. ومع ذلك، قد يؤدي استخدام نفس مبدأ الخدمة لإنشاء بيانات اعتماد آلة على مضيفين متعددين إلى تعريضات أمنية غير مرغوب فيها، وبالتالي لا يُنصح بذلك. .P لاحظ أن $@ هو مبدأ مستخدم يُفعّل NFS المُؤمّن بـ Kerberos عندما ينضم النظام المحلي إلى نطاق Active Directory باستخدام Samba. يوفر keytab كلمة المرور لهذا المبدأ. .P يمكنك تحديد keytab مختلف باستخدام الخيار \fB\-k\fP إذا كان \fI/etc/krb5.keytab\fP غير موجود أو لا يوفر أحد هذه المبادئ. .SS "بيانات اعتماد UID 0" UID 0 هي حالة خاصة. افتراضيًا، يستخدم \fBrpc.gssd\fP بيانات اعتماد الآلة الخاصة بالنظام لوصول UID 0 الذي يتطلب استيثاق GSS. هذا يحد من صلاحيات المستخدم الجذر عند الوصول إلى موارد الشبكة التي تتطلب الاستيثاق. .P حدد الخيار \fB\-n\fP عند بدء \fBrpc.gssd\fP إذا كنت ترغب في إجبار المستخدم الجذر على الحصول على بيانات اعتماد مستخدم بدلاً من استخدام بيانات اعتماد الآلة للنظام المحلي. .P عند تحديد \fB\-n\fP، تستمر النواة في طلب سياق GSS تم إنشاؤه باستخدام بيانات اعتماد آلة لعمليات NFSv4، مثل SETCLIENTID أو RENEW، التي تدير الحالة. إذا لم يتمكن \fBrpc.gssd\fP من الحصول على بيانات اعتماد آلة (على سبيل المثال، النظام المحلي ليس لديه keytab)، فستفشل عمليات NFSv4 التي تتطلب بيانات اعتماد آلة. .SS "أنواع التشفير" يمكن لمسؤول النطاق اختيار إضافة مفاتيح مشفرة بعدد من أنواع التشفير المختلفة إلى keytab النظام المحلي. على سبيل المثال، قد يكون للمضيف/الرئيسي مفاتيح لأنواع التشفير \fBaes256\-cts\-hmac\-sha384\-192\fP و\fBaes128\-cts\-hmac\-sha256\-128\fP و\fBaes256\-cts\-hmac\-sha1\-96\fP و\fBaes128\-cts\-hmac\-sha1\-96\fP. هذا يسمح لـ \fBrpc.gssd\fP باختيار نوع تشفير مناسب يدعمه خادم NFS الهدف. .SH الخيارات .TP \fB\-D\fP اسم الخادم الذي يُمرر إلى GSSAPI للاستيثاق هو عادةً الاسم كما هو مطلوب بالضبط. على سبيل المثال، لـ NFS هو اسم الخادم في طلب التثبيت "servername:/path". فقط إذا بدا اسم الخادم هذا عنوان IP (IPv4 أو IPv6) أو اسمًا غير مؤهل (بدون نقاط)، فسيتم إجراء بحث DNS عكسي للحصول على اسم الخادم الأساسي. إذا كان \fB\-D\fP موجودًا، فسيتم استخدام بحث DNS عكسي \fIدائمًا\fP، حتى إذا بدا اسم الخادم اسمًا أساسيًا. لذا فهو مطلوب إذا تم استخدام أسماء مؤهلة جزئيًا أو غير أساسية بانتظام. استخدام \fB\-D\fP قد يُحدث ثغرة أمنية، لذا يُوصى بعدم استخدام \fB\-D\fP، واستخدام الأسماء الأساسية دائمًا عند طلب الخدمات. .TP \fB\-f\fP يشغل \fBrpc.gssd\fP في المقدمة ويرسل المخرجات إلى stderr (على عكس syslogd) .TP \fB\-n\fP عند التحديد، يُجبر UID 0 على الحصول على بيانات اعتماد مستخدم تُستخدم بدلاً من بيانات اعتماد آلة النظام المحلي. .TP \fB\-k \fP\fIkeytab\fP يخبر \fBrpc.gssd\fP باستخدام المفاتيح الموجودة في \fIkeytab\fP للحصول على بيانات اعتماد آلة. القيمة المبدئية هي \fI/etc/krb5.keytab\fP. .TP \fB\-p \fP\fIpath\fP يخبر \fBrpc.gssd\fP أين يبحث عن نظام ملفات rpc_pipefs. القيمة المبدئية هي \fI/var/lib/nfs/rpc_pipefs\fP. .TP \fB\-d \fP\fIsearch\-path\fP يحدد هذا الخيار قائمة مفصولة بنقطتين من الدلائل التي يبحث فيها \fBrpc.gssd\fP عن ملفات بيانات الاعتماد. القيمة المبدئية هي \fI/tmp:/run/user/%U\fP. يمكن تحديد التسلسل الحرفي "%U" لاستبدال UID للمستخدم الذي تُبحث بيانات اعتماده. .TP \fB\-M\fP افتراضيًا، تُخزن بيانات اعتماد الآلة في ملفات في الدليل الأول في مسار بحث دليل بيانات الاعتماد (انظر الخيار \fB\-d\fP). عند تعيين \fB\-M\fP، يخزن \fBrpc.gssd\fP بيانات اعتماد الآلة في الذاكرة بدلاً من ذلك. .TP \fB\-v\fP يزيد من تفصيل المخرجات (يمكن تحديده عدة مرات). .TP \fB\-r\fP إذا كانت مكتبة RPCSEC_GSS تدعم تعيين مستوى التصحيح، يزيد من إسهاب المخرجات (يمكن تحديده عدة مرات). .TP \fB\-R \fP\fIrealm\fP سيتم تفضيل تذاكر Kerberos من هذا \fIالنطاق\fP عند مسح ملفات خبيئة بيانات الاعتماد المتاحة لاستخدامها في إنشاء سياق. افتراضيًا، يُفضل النطاق المبدئي، كما هو مكون في ملف تكوين Kerberos. .TP \fB\-t \fP\fIمهلة_الانتظار\fP مهلة، بالثواني، لسياقات GSS للنواة. يسمح لك هذا الخيار بإجبار سياقات نواة جديدة على التفاوض بعد \fIمهلة\fP ثانية، مما يسمح بتغيير تذاكر Kerberos والهويات بشكل متكرر. المبدئي هو عدم وجود مهلة صريحة، مما يعني أن سياق النواة سيعيش طوال عمر تذكرة خدمة Kerberos المستخدمة في إنشائه. .TP \fB\-T \fP\fItimeout\fP مهلة، بالثواني، لإنشاء اتصال RPC مع خادم أثناء إنشاء سياق gss مستوثق لمستخدم. المهلة المبدئية مضبوطة على 5 ثوانٍ. إذا تلقيت رسائل مثل "WARNING: can't create tcp rpc_clnt to server %servername% for user with uid %uid%: RPC: Remote system error \- Connection timed out"، فيجب عليك التفكير في زيادة هذه المهلة. .TP \fB\-U \fP\fItimeout\fP مهلة، بالثواني، لخيوط الاستدعاء العلوي. الخيوط التي تنفذ لفترة أطول من \fIمهلة\fP ثانية ستتسبب في تسجيل رسالة خطأ. المهلة \fIالمبدئية\fP هي 30 ثانية. الحد الأدنى هو 5 ثوانٍ. الحد الأقصى هو 600 ثانية. .TP \fB\-C\fP بالإضافة إلى تسجيل رسالة خطأ للخيوط التي تجاوزت المهلة، سيتم إلغاء الخيط وسيتم الإبلاغ عن خطأ \-ETIMEDOUT للنواة. .TP \fB\-H\fP يتجنب تعيين $HOME إلى "/". يسمح هذا لـ rpc.gssd بقراءة ملفات k5identity لكل مستخدم بدلاً من محاولة قراءة /.k5identity لكل مستخدم. إذا لم يتم تعيين \fB\-H\fP، فسيستخدم rpc.gssd أول تطابق موجود في /var/kerberos/krb5/user/$EUID/client.keytab ولن يستخدم هوية رئيسية (principal) تستند إلى معلمات المضيف و/أو الخدمة المدرجة في $HOME/.k5identity. .SH "ملف الضبط" يمكن أيضًا التحكم في العديد من الخيارات التي يمكن تعيينها في سطر الأوامر من خلال القيم المحددة في القسم \fB[gssd]\fP من ملف التهيئة \fI/etc/nfs.conf\fP. القيم المعترف بها تشمل: .TP \fBverbosity\fP القيمة التي تعادل عدد مرات \fB\-v\fP. .TP \fBrpc\-verbosity\fP القيمة التي تعادل عدد مرات \fB\-r\fP. .TP \fBuse\-memcache\fP علامة منطقية مكافئة لـ \fB\-M\fP. .TP \fBuse\-machine\-creds\fP علامة منطقية. تعيينها إلى \fBfalse\fP يكافئ إعطاء العلامة \fB\-n\fP. .TP \fBavoid\-dns\fP تعيينها إلى \fBfalse\fP يكافئ توفير العلامة \fB\-D\fP. .TP \fBallowed\-enctypes\fP يسمح لك بتقييد \fBrpc.gssd\fP لاستخدام مجموعة فرعية من أنواع التشفير المسموح بها من قبل النواة ومكتبات krb5. هذا مفيد إذا كنت بحاجة إلى التشغيل البيني مع خادم NFS لا يدعم أنواع التشفير الأحدث SHA2 وCamellia، على سبيل المثال. خيار ملف التهيئة هذا ليس له خيار مكافئ في سطر الأوامر. .TP \fBcontext\-timeout\fP مكافئ لـ \fB\-t\fP. .TP \fBrpc\-timeout\fP مكافئ لـ \fB\-T\fP. .TP \fBkeytab\-file\fP مكافئ لـ \fB\-k\fP. .TP \fBcred\-cache\-directory\fP مكافئ لـ \fB\-d\fP. .TP \fBpreferred\-realm\fP مكافئ لـ \fB\-R\fP. .TP \fBupcall\-timeout\fP مكافئ لـ \fB\-U\fP. .TP \fBcancel\-timed\-out\-upcalls\fP تعيينها إلى \fBtrue\fP يكافئ توفير العلامة \fB\-C\fP. .TP \fBset\-home\fP تعيينها إلى \fBfalse\fP يكافئ توفير العلامة \fB\-H\fP. .TP \fBuse\-gss\-proxy\fP تعيين هذا إلى 1 يسمح لـ \fBgssproxy\fP(8) باعتراض استدعاءات GSSAPI وخدمتها نيابة عن \fBrpc.gssd\fP، مما يتيح ميزات معينة مثل بدء العميل المستند إلى keytab. لاحظ أن هذا لا علاقة له بالوظيفة التي يوفرها \fBgssproxy\fP(8) نيابة عن خادم NFS. لمزيد من المعلومات، انظر \fBhttps://github.com/gssapi/gssproxy/blob/main/docs/NFS.md#nfs\-client\fP. .P بالإضافة إلى ذلك، يتم التعرف على القيمة التالية من القسم \fB[general]\fP: .TP \fBpipefs\-directory\fP مكافئ لـ \fB\-p\fP. .SH "انظر أيضًا" \fBrpc.svcgssd\fP(8)، \fBkerberos\fP(1)، \fBkinit\fP(1)، \fBkrb5.conf\fP(5)، \fBgssproxy\fP(8) .SH المؤلفون .br Dug Song .br أندي أدامسون .br ماريوس أمودت إريكسن .br جي. بروس فيلدز (J. Bruce Fields) .PP .SH ترجمة تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي . .PP هذه الترجمة هي وثيقة مجانية؛ راجع .UR https://www.gnu.org/licenses/gpl-3.0.html رخصة جنو العامة الإصدار 3 .UE أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات. .PP إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: .MT kde-l10n-ar@kde.org .ME .