'\" t .\" Title: pam_sss .\" Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Справка по SSSD .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS" "8" "05/17/2024" "SSSD" "Справка по SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss \- модуль PAM для SSSD .SH "SYNOPSIS" .HP \w'\fBpam_sss\&.so\fR\ 'u \fBpam_sss\&.so\fR [\fIquiet\fR] [\fIforward_pass\fR] [\fIuse_first_pass\fR] [\fIuse_authtok\fR] [\fIretry=N\fR] [\fIignore_unknown_user\fR] [\fIignore_authinfo_unavail\fR] [\fIdomains=X\fR] [\fIallow_missing_name\fR] [\fIprompt_always\fR] [\fItry_cert_auth\fR] [\fIrequire_cert_auth\fR] .SH "ОПИСАНИЕ" .PP \fBpam_sss\&.so\fR \(em это интерфейс PAM к сервису SSSD\&. Ошибки и результаты записываются в журнал посредством \fBsyslog(3)\fR с LOG_AUTHPRIV\&. .SH "ОПЦИИ" .PP \fBquiet\fR .RS 4 Подавлять сообщения журнала для неизвестных пользователей\&. .RE .PP \fBforward_pass\fR .RS 4 Если параметр \fBforward_pass\fR задан, введённый пароль будет помещён в стек для использования другими модулями PAM\&. .RE .PP \fBuse_first_pass\fR .RS 4 Использование аргумента use_first_pass позволяет указать модулю принудительно использовать пароль ранее добавленного в стек модуля и никогда не запрашивать его у пользователя \(em если пароль недоступен или некорректен, пользователю будет отказано в доступе\&. .RE .PP \fBuse_authtok\fR .RS 4 Если этот параметр задан, при смене пароля модуль установит в качестве нового пароля тот пароль, который предоставлен ранее добавленным в стек модулем обработки паролей\&. .RE .PP \fBretry=N\fR .RS 4 Если этот параметр задан, в случае неудачной проверки подлинности у пользователя будет N раз запрашиваться пароль\&. Значение по умолчанию \(em 0\&. .sp Обратите внимание, что этот параметр может не работать ожидаемым образом, если приложение, которое вызывает PAM, самостоятельно обрабатывает диалог с пользователем\&. Типичный пример: \fBsshd\fR с \fBPasswordAuthentication\fR\&. .RE .PP \fBignore_unknown_user\fR .RS 4 Если этот параметр указан и пользователь не существует, модуль PAM вернёт PAM_IGNORE\&. В результате платформа PAM игнорирует этот модуль\&. .RE .PP \fBignore_authinfo_unavail\fR .RS 4 Позволяет указать, что модуль PAM должен вернуть PAM_IGNORE, если ему не удаётся связаться с сервисом SSSD\&. В результате платформа PAM игнорирует этот модуль\&. .RE .PP \fBdomains\fR .RS 4 Позволяет администратору ограничить перечень доменов, в которых может проходить проверку подлинности определённая служба PAM\&. Формат: разделённый запятыми список имён доменов SSSD, в том виде, в котором они указаны в файле sssd\&.conf\&. .sp ПРИМЕЧАНИЕ: при использовании для службы, которая запущена не от имени пользователя root (например, для веб\-сервера), этот параметр необходимо использовать совместно с параметрами \(lqpam_trusted_users\(rq и \(lqpam_public_domains\(rq\&. Дополнительные сведения об этих двух параметрах ответчика PAM доступны на справочной странице \fBsssd.conf\fR(5)\&. .RE .PP \fBallow_missing_name\fR .RS 4 Основная задача этого параметра \(em разрешить SSSD определять имя пользователя на основе дополнительной информации (например, сертификата со смарт\-карты)\&. .sp В настоящее время используется диспетчерами входа, которые могут отслеживать события карты на устройстве чтения смарт\-карт\&. При вставке смарт\-карты диспетчер входа вызовет стек PAM, который включает строку наподобие .sp .if n \{\ .RS 4 .\} .nf auth sufficient pam_sss\&.so allow_missing_name .fi .if n \{\ .RE .\} .sp В этом случае SSSD попытается определить имя пользователя на основе содержимого смарт\-карты, потом вернёт его pam_sss, который затем поместит его в стек PAM\&. .RE .PP \fBprompt_always\fR .RS 4 Всегда запрашивать учётные данные у пользователя\&. Если этот параметр включён, учётные данные, запрошенные другими модулями PAM (обычно это пароль), будут игнорироваться и pam_sss будет запрашивать учётные данные снова\&. В зависимости от ответа предварительной проверки подлинности, полученного от SSSD, pam_sss может запросить пароль, PIN\-код смарт\-карты или другие учётные данные\&. .RE .PP \fBtry_cert_auth\fR .RS 4 Пытаться применить проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт\-карты или аналогичных устройств\&. Если смарт\-карта доступна и для службы разрешена проверка подлинности по смарт\-карте, у пользователя будет запрошен PIN\-код, после чего проверка подлинности на основе сертификата будет продолжена .sp Если смарт\-карта недоступна или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL\&. .RE .PP \fBrequire_cert_auth\fR .RS 4 Выполнять проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт\-карты или аналогичных устройств\&. Если смарт\-карта недоступна, пользователю будет предложено вставить её\&. SSSD будет ожидать вставки смарт\-карты до истечения тайм\-аута, определённого параметром p11_wait_for_card_timeout, подробные сведения доступны на справочной странице \fBsssd.conf\fR(5)\&. .sp Если смарт\-карта недоступна по истечении тайм\-аута или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL\&. .RE .SH "ПРЕДОСТАВЛЯЕМЫЕ ТИПЫ МОДУЛЕЙ" .PP Предоставляются все типы модулей (\fBaccount\fR, \fBauth\fR, \fBpassword\fR и \fBsession\fR)\&. .PP Если ответчик PAM SSSD не запущен (например, когда недоступен сокет ответчика PAM), pam_sss вернёт PAM_USER_UNKNOWN при вызове в качестве модуля \fBaccount\fR, чтобы избежать проблем с пользователями из других источников во время управления доступом\&. .SH "ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ" .PP PAM_SUCCESS .RS 4 Операция PAM успешно завершена\&. .RE .PP PAM_USER_UNKNOWN .RS 4 Пользователь неизвестен службе проверки подлинности или не запущен ответчик PAM SSSD\&. .RE .PP PAM_AUTH_ERR .RS 4 Сбой при проверке подлинности\&. Кроме того, может быть возвращено в случае проблемы с получением сертификата\&. .RE .PP PAM_PERM_DENIED .RS 4 Доступ запрещён\&. В журнале SSSD могут быть дополнительные сведения об этой ошибке\&. .RE .PP PAM_IGNORE .RS 4 Смотрите описание параметров \fBignore_unknown_user\fR и \fBignore_authinfo_unavail\fR\&. .RE .PP PAM_AUTHTOK_ERR .RS 4 Не удалось получить новый маркер проверки подлинности\&. Кроме того, может быть возвращено, когда пользователь проходит проверку подлинности с помощью сертификатов и доступно несколько сертификатов, но установленная версия GDM не поддерживает выбор из нескольких сертификатов\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Не удалось получить доступ к данным проверки подлинности\&. Это может быть связано со сбоем сети или оборудования\&. .RE .PP PAM_BUF_ERR .RS 4 Произошла ошибка памяти\&. Кроме того, может быть возвращено в том случае, если заданы параметры use_first_pass или use_authtok, но не был найден пароль, предоставленный ранее добавленным в стек модулем PAM\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Произошла системная ошибка\&. В журнале SSSD могут быть дополнительные сведения об этой ошибке\&. .RE .PP PAM_CRED_ERR .RS 4 Не удалось задать учётные данные пользователя\&. .RE .PP PAM_CRED_INSUFFICIENT .RS 4 Приложение не располагает учётными данными, достаточными для проверки подлинности пользователя\&. Например, отсутствует PIN\-код при проверке подлинности по смарт\-карте или отсутствует фактор при двухфакторной проверке подлинности\&. .RE .PP PAM_SERVICE_ERR .RS 4 Ошибка в модуле службы\&. .RE .PP PAM_NEW_AUTHTOK_REQD .RS 4 Срок действия маркера проверки подлинности пользователя истёк\&. .RE .PP PAM_ACCT_EXPIRED .RS 4 Срок действия учётной записи пользователя истёк\&. .RE .PP PAM_SESSION_ERR .RS 4 Не удалось получить правила профилей рабочего стола IPA или информацию о пользователе\&. .RE .PP PAM_CRED_UNAVAIL .RS 4 Не удалось получить учётные данные пользователя Kerberos\&. .RE .PP PAM_NO_MODULE_DATA .RS 4 Kerberos не был найден способ проверки подлинности\&. Это могло произойти, если для записи пользователя назначена смарт\-карта, но на клиенте недоступен модуль pkint\&. .RE .PP PAM_CONV_ERR .RS 4 Сбой обмена данными\&. .RE .PP PAM_AUTHTOK_LOCK_BUSY .RS 4 Нет доступных KDC, которые подходят для смены пароля\&. .RE .PP PAM_ABORT .RS 4 Неизвестный вызов PAM\&. .RE .PP PAM_MODULE_UNKNOWN .RS 4 Неподдерживаемое задание или команда PAM\&. .RE .PP PAM_BAD_ITEM .RS 4 Модулю проверки подлинности не удалось обработать учётные данные со смарт\-карты\&. .RE .SH "ФАЙЛЫ" .PP Когда не удаётся выполнить сброс пароля от имени пользователя root из\-за того, что соответствующий поставщик SSSD не поддерживает сброс пароля, может быть показано отдельное сообщение\&. Это сообщение может, например, содержать инструкции по сбросу пароля\&. .PP Это сообщение читается из файла pam_sss_pw_reset_message\&.LOC, где LOC обозначает строку локали, возвращённую \fBsetlocale\fR(3)\&. Если такого файла нет, отображается содержимое pam_sss_pw_reset_message\&.txt\&. Владельцем файлов должен быть пользователь root, при этом права на чтение и запись могут быть только у пользователя root, а у всех остальных пользователей должны быть права только на чтение\&. .PP Поиск этих файлов выполняется в каталоге /etc/sssd/customize/DOMAIN_NAME/\&. Если соответствующего файла нет, будет показано общее сообщение\&. .SH "СМ\&. ТАКЖЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBВосходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github\&.com/SSSD/sssd/\fR