pam_sss - модуль PAM
для SSSD
pam_sss.so [quiet] [forward_pass]
[use_first_pass] [use_authtok] [retry=N]
[ignore_unknown_user] [ignore_authinfo_unavail]
[domains=X] [allow_missing_name] [prompt_always]
[try_cert_auth] [require_cert_auth]
ОПИСАНИЕ
pam_sss.so — это
интерфейс PAM
к сервису SSSD.
Ошибки и
результаты
записываются
в журнал
посредством
syslog(3) с LOG_AUTHPRIV.
ОПЦИИ
quiet
Подавлять
сообщения
журнала
для
неизвестных
пользователей.
forward_pass
Если
параметр
forward_pass задан,
введённый
пароль
будет
помещён в
стек для
использования
другими
модулями PAM.
use_first_pass
Использование
аргумента
use_first_pass
позволяет
указать
модулю
принудительно
использовать
пароль
ранее
добавленного
в стек
модуля и
никогда не
запрашивать
его у
пользователя
— если
пароль
недоступен
или
некорректен,
пользователю
будет
отказано в
доступе.
use_authtok
Если
этот
параметр
задан, при
смене
пароля
модуль
установит
в качестве
нового
пароля тот
пароль,
который
предоставлен
ранее
добавленным
в стек
модулем
обработки
паролей.
retry=N
Если
этот
параметр
задан, в
случае
неудачной
проверки
подлинности
у
пользователя
будет N раз
запрашиваться
пароль.
Значение
по
умолчанию
— 0.
Обратите
внимание,
что этот
параметр
может не
работать
ожидаемым
образом,
если
приложение,
которое
вызывает PAM,
самостоятельно
обрабатывает
диалог с
пользователем.
Типичный
пример: sshd с
PasswordAuthentication.
ignore_unknown_user
Если
этот
параметр
указан и
пользователь
не
существует,
модуль PAM
вернёт PAM_IGNORE. В
результате
платформа PAM
игнорирует
этот
модуль.
ignore_authinfo_unavail
Позволяет
указать,
что модуль PAM
должен
вернуть PAM_IGNORE,
если ему не
удаётся
связаться
с сервисом
SSSD. В
результате
платформа PAM
игнорирует
этот
модуль.
domains
Позволяет
администратору
ограничить
перечень
доменов, в
которых
может
проходить
проверку
подлинности
определённая
служба PAM.
Формат:
разделённый
запятыми
список
имён
доменов SSSD, в
том виде, в
котором
они
указаны в
файле sssd.conf.
ПРИМЕЧАНИЕ:
при
использовании
для службы,
которая
запущена
не от имени
пользователя
root (например,
для
веб-сервера),
этот
параметр
необходимо
использовать
совместно
с
параметрами
“pam_trusted_users” и
“pam_public_domains”.
Дополнительные
сведения
об этих
двух
параметрах
ответчика PAM
доступны
на
справочной
странице
sssd.conf(5).
allow_missing_name
Основная
задача
этого
параметра
—
разрешить SSSD
определять
имя
пользователя
на основе
дополнительной
информации
(например,
сертификата
со
смарт-карты).
В
настоящее
время
используется
диспетчерами
входа,
которые
могут
отслеживать
события
карты на
устройстве
чтения
смарт-карт.
При
вставке
смарт-карты
диспетчер
входа
вызовет
стек PAM,
который
включает
строку
наподобие
auth sufficient pam_sss.so allow_missing_name
В этом
случае SSSD
попытается
определить
имя
пользователя
на основе
содержимого
смарт-карты,
потом
вернёт его
pam_sss, который
затем
поместит
его в стек PAM.
prompt_always
Всегда
запрашивать
учётные
данные у
пользователя.
Если этот
параметр
включён,
учётные
данные,
запрошенные
другими
модулями PAM
(обычно это
пароль),
будут
игнорироваться
и pam_sss будет
запрашивать
учётные
данные
снова. В
зависимости
от ответа
предварительной
проверки
подлинности,
полученного
от SSSD, pam_sss может
запросить
пароль, PIN-код
смарт-карты
или другие
учётные
данные.
try_cert_auth
Пытаться
применить
проверку
подлинности
на основе
сертификата,
то есть
проверку
подлинности
с помощью
смарт-карты
или
аналогичных
устройств.
Если
смарт-карта
доступна и
для службы
разрешена
проверка
подлинности
по
смарт-карте,
у
пользователя
будет
запрошен
PIN-код, после
чего
проверка
подлинности
на основе
сертификата
будет
продолжена
Если
смарт-карта
недоступна
или для
текущей
службы не
разрешена
проверка
подлинности
на основе
сертификата,
возвращается
PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Выполнять
проверку
подлинности
на основе
сертификата,
то есть
проверку
подлинности
с помощью
смарт-карты
или
аналогичных
устройств.
Если
смарт-карта
недоступна,
пользователю
будет
предложено
вставить
её. SSSD будет
ожидать
вставки
смарт-карты
до
истечения
тайм-аута,
определённого
параметром
p11_wait_for_card_timeout,
подробные
сведения
доступны
на
справочной
странице
sssd.conf(5).
Если
смарт-карта
недоступна
по
истечении
тайм-аута
или для
текущей
службы не
разрешена
проверка
подлинности
на основе
сертификата,
возвращается
PAM_AUTHINFO_UNAVAIL.
ПРЕДОСТАВЛЯЕМЫЕ
ТИПЫ
МОДУЛЕЙ
Предоставляются
все типы
модулей (account,
auth, password и session).
Если
ответчик PAM SSSD
не запущен
(например,
когда
недоступен
сокет
ответчика
PAM), pam_sss вернёт
PAM_USER_UNKNOWN при
вызове в
качестве
модуля account,
чтобы
избежать
проблем с
пользователями
из других
источников
во время
управления
доступом.
ВОЗВРАЩАЕМЫЕ
ЗНАЧЕНИЯ
PAM_SUCCESS
Операция
PAM успешно
завершена.
PAM_USER_UNKNOWN
Пользователь
неизвестен
службе
проверки
подлинности
или не
запущен
ответчик PAM
SSSD.
PAM_AUTH_ERR
Сбой при
проверке
подлинности.
Кроме того,
может быть
возвращено
в случае
проблемы с
получением
сертификата.
PAM_PERM_DENIED
Доступ
запрещён. В
журнале SSSD
могут быть
дополнительные
сведения
об этой
ошибке.
PAM_IGNORE
Смотрите
описание
параметров
ignore_unknown_user и ignore_authinfo_unavail.
PAM_AUTHTOK_ERR
Не
удалось
получить
новый
маркер
проверки
подлинности.
Кроме того,
может быть
возвращено,
когда
пользователь
проходит
проверку
подлинности
с помощью
сертификатов
и доступно
несколько
сертификатов,
но
установленная
версия GDM не
поддерживает
выбор из
нескольких
сертификатов.
PAM_AUTHINFO_UNAVAIL
Не
удалось
получить
доступ к
данным
проверки
подлинности.
Это может
быть
связано со
сбоем сети
или
оборудования.
PAM_BUF_ERR
Произошла
ошибка
памяти.
Кроме того,
может быть
возвращено
в том
случае,
если
заданы
параметры
use_first_pass или use_authtok, но
не был
найден
пароль,
предоставленный
ранее
добавленным
в стек
модулем PAM.
PAM_SYSTEM_ERR
Произошла
системная
ошибка. В
журнале SSSD
могут быть
дополнительные
сведения
об этой
ошибке.
PAM_CRED_ERR
Не
удалось
задать
учётные
данные
пользователя.
PAM_CRED_INSUFFICIENT
Приложение
не
располагает
учётными
данными,
достаточными
для
проверки
подлинности
пользователя.
Например,
отсутствует
PIN-код при
проверке
подлинности
по
смарт-карте
или
отсутствует
фактор при
двухфакторной
проверке
подлинности.
PAM_SERVICE_ERR
Ошибка в
модуле
службы.
PAM_NEW_AUTHTOK_REQD
Срок
действия
маркера
проверки
подлинности
пользователя
истёк.
PAM_ACCT_EXPIRED
Срок
действия
учётной
записи
пользователя
истёк.
PAM_SESSION_ERR
Не
удалось
получить
правила
профилей
рабочего
стола IPA или
информацию
о
пользователе.
PAM_CRED_UNAVAIL
Не
удалось
получить
учётные
данные
пользователя
Kerberos.
PAM_NO_MODULE_DATA
Kerberos не был
найден
способ
проверки
подлинности.
Это могло
произойти,
если для
записи
пользователя
назначена
смарт-карта,
но на
клиенте
недоступен
модуль pkint.
PAM_CONV_ERR
Сбой
обмена
данными.
PAM_AUTHTOK_LOCK_BUSY
Нет
доступных KDC,
которые
подходят
для смены
пароля.
PAM_ABORT
Неизвестный
вызов PAM.
PAM_MODULE_UNKNOWN
Неподдерживаемое
задание
или
команда PAM.
PAM_BAD_ITEM
Модулю
проверки
подлинности
не удалось
обработать
учётные
данные со
смарт-карты.
ФАЙЛЫ
Когда не
удаётся
выполнить
сброс
пароля от
имени
пользователя
root из-за того,
что
соответствующий
поставщик
SSSD не
поддерживает
сброс
пароля,
может быть
показано
отдельное
сообщение.
Это
сообщение
может,
например,
содержать
инструкции
по сбросу
пароля.
Это
сообщение
читается
из файла
pam_sss_pw_reset_message.LOC, где LOC
обозначает
строку
локали,
возвращённую
setlocale(3). Если
такого
файла нет,
отображается
содержимое
pam_sss_pw_reset_message.txt.
Владельцем
файлов
должен
быть
пользователь
root, при этом
права на
чтение и
запись
могут быть
только у
пользователя
root, а у всех
остальных
пользователей
должны
быть права
только на
чтение.
Поиск
этих
файлов
выполняется
в каталоге
/etc/sssd/customize/DOMAIN_NAME/. Если
соответствующего
файла нет,
будет
показано
общее
сообщение.
СМ. ТАКЖЕ
sssd(8), sssd.conf(5), sssd-ldap(5),
sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5),
sssd-ipa(5), sssd-ad(5), sssd-files(5),
sssd-sudo(5), sssd-session-recording(5), sss_cache(8),
sss_debuglevel(8), sss_obfuscate(8), sss_seed(8),
sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8),
sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8).
sss_rpcidmapd(5)