PAM_SSS(8) SSSD manualsidor PAM_SSS(8) NAME pam_sss - PAM-modul for SSSD SYNOPSIS pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth] BESKRIVNING pam_sss.so ar PAM-granssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via syslog(3) med funktionen LOG_AUTHPRIV. FLAGGOR quiet Undertryck loggmeddelanden om okanda anvandare. forward_pass Om forward_pass ar satt laggs det inskrivna losenordet pa stacken sa att andra PAM-moduler kan anvanda det. use_first_pass Argumentet use_first_pass tvingar modulen att anvanda tidigare stackade modulers losenord och kommer aldrig fraga anvandaren - om inget losenord ar tillgangligt eller losenordet inte stammer kommer anvandaren nekas atkomst. use_authtok Vid losenordsandring tvinga modulen till att satta det nya losenordet till det som gavs av en tidigare stackad losenordsmodul. retry=N Om angivet fragas anvandaren ytterligare N ganger om ett losenord ifall autentiseringen misslyckas. Standard ar 0. Observera att detta alternativ kanske inte fungerar som forvantat ifall programmet som anropar PAM hanterar anvandardialogen sjalv. Ett typiskt exempel ar sshd med PasswordAuthentication. ignore_unknown_user Om detta alternativ anges och anvandaren inte finns kommer PAM-modulen returnera PAM_IGNORE. Detta far PAM-ramverket att ignorera denna modul. ignore_authinfo_unavail Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta SSSD-demonen. Detta far PAM-ramverket att ignorera denna modul. domains Tillater administratoren att begransa domanerna en viss PAM-tjanst tillats autentisera emot. Formatet ar en kommaseparerad lista over SSSD-domannamn som de specificeras i filen sssd.conf. OBS: om detta anvands for en tjanst som inte kor som root-anvandaren, t.ex. en webb-server, maste det anvandas tillsammans med flaggorna "pam_trusted_users" och "pam_public_domains". Se manualsidan sssd.conf(5) for mer information om dessa tva PAM-respondentalternativ. allow_missing_name Huvudsyftet med denna flagga ar att lata SSSD avgora anvandarnamnet baserat pa ytterligare information, t.ex. certifikatet fran ett smartkort. Det aktuella anvandningsfallet ar inloggningshanterare som kan overvaka en smartkortlasare om korthandelser. Ifall en smartkort satts in kommer inloggningshanteraren anropa en PAM-stack som innehaller en rad som auth sufficient pam_sss.so allow_missing_name I detta fall kommer SSSD forsoka avgora anvandarnamnet baserat pa innehallet pa smartkortet, returnerar det till pam_sss som slutligen kommer lagga det pa PAM-stacken. prompt_always Fraga alltid anvandaren om kreditiv. Med denna flagga kommer kreditiv begarda av andra PAM-moduler, typiskt ett losenord, ignoreras och pam_sss kommer fraga efter kreditiv igen. Baserat pa forautentiseringssvaret fran SSSD kan pam_sss komma att fraga efter ett losenord, ett smartkorts-PIN eller andra kreditiv. try_cert_auth Forsok anvanda certifikatbaserad smartkortsautentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort ar tillgangligt och tjansten tillater smartkortsautentisering kommer anvandaren fragas om ett PIN och certifikatbaserad autentisering kommer fortsatta Om inget smartkort ar tillgangligt eller certifikatbaserad autentisering inte ar tillaten for den aktuella tjansten returneras PAM_AUTHINFO_UNAVAIL. require_cert_auth Anvand certifikatbaserad autentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort inte ar tillgangligt ombeds anvandaren att satta in ett. SSSD kommer att vanta pa ett smartkort tills tidsgransen definierad av p11_wait_for_card_timeout har passerats, se sssd.conf(5) for detaljer. Om inget smartkort ar tillgangligt efter att tidsgransen passerats eller om certifikatbaserad autentisering inte ar tillaten for den aktuella tjansten returneras PAM_AUTHINFO_UNAVAIL. TILLHANDAHALLNA MODULTYPER Alla modultyper (account, auth, password och session) tillhandahalls. Om SSSD:s PAM-respondent inte kor, t.ex. om PAM-respondentens uttag (socket) inte ar tillgangligt kommer pam_sss returnera PAM_USER_UNKNOWN nar det anropas som modulen account for att undvika problem med anvandare fran andra kallor under atkomstkontroll. RETURVARDEN PAM_SUCCESS PAM-atgarden avslutades framgangsrikt. PAM_USER_UNKNOWN Anvandaren ar inte kand av autentiseringstjansten eller sa kor inte SSSD:s PAM-respondent. PAM_AUTH_ERR Misslyckad autentisering. Kan ocksa returneras nar det ar problem med att hamta certifikatet. PAM_PERM_DENIED Atkomst nekas. SSSD-loggfilerna kan innehalla ytterligare information om felet. PAM_IGNORE Se flaggorna ignore_unknown_user och ignore_authinfo_unavail. PAM_AUTHTOK_ERR Kan inte hamta det nya autentiseringstecknet. Kan ocksa returneras nar anvandaren autentiserar med certifikat och flera certifikat ar tillgangliga, men den installerade versionen av GDM inte stodjer val bland flera certifikat. PAM_AUTHINFO_UNAVAIL Kan inte komma at autentiseringsinformationen. Detta kan bero pa ett natverks- eller hardvarufel. PAM_BUF_ERR Ett minnesfel uppstod. Kan ocksa returneras nar flagga use_first_pass eller use_authtok ar satt, men inget losenord hittades fran den tidigare stackade PAM-modulen. PAM_SYSTEM_ERR Ett systemfel uppstod. SSSD-loggfilerna kan innehalla ytterligare information om felet. PAM_CRED_ERR Kan inte satta kreditiv for anvandaren. PAM_CRED_INSUFFICIENT Programmet har inte tillrackliga kreditiv for att autentisera anvandaren. Till exempel saknas PIN under smartkortsautentisering eller en saknad faktor under tvafaktorautentisering. PAM_SERVICE_ERR Fel i tjanstemodul. PAM_NEW_AUTHTOK_REQD Anvandarens autentiseringstecken har gatt ut. PAM_ACCT_EXPIRED Anvandarkontot har gatt ut. PAM_SESSION_ERR Kan inte hamta IPA-skrivbordsprofilsregler eller -anvandarinformation. PAM_CRED_UNAVAIL Kan inte hamta Kerberos-anvandarkreditiv. PAM_NO_MODULE_DATA Ingen autentiseringsmetod hittades av Kerberos. Detta kan intraffa om anvandaren har ett smartkort tilldelat men insticksmodulen pkint inte ar tillganglig pa klienten. PAM_CONV_ERR Konversationsfel. PAM_AUTHTOK_LOCK_BUSY Ingen KDC lampad for losenordsandringar finns tillganglig. PAM_ABORT Okant PAM-anrop. PAM_MODULE_UNKNOWN PAM-uppgift eller -kommando som inte stodjs. PAM_BAD_ITEM Autentiseringsmodulen kan inte hantera smartkortskreditiv. FILER Om en aterstallning av losenord av root misslyckas, for att motsvarande SSSD-leverantor inte stodjer aterstallning av losenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehalla instruktioner hur man aterstaller ett losenord. Meddelandet lases fran filen pam_sss_pw_reset_message.LOK dar LOK star for en lokalstrang som den returneras av setlocale(3). Om det inte finns nagon matchande fil visas innehallet i pam_sss_pw_reset_message.txt. Root maste vara agaren av filerna och endast root far ha las- och skrivrattigheter medan alla andra anvandare endast far ha lasrattigheter. Dessa filer soks efter i katalogen /etc/sssd/customize/DOMANNAMN/. Om ingen matchande fil finns visas ett allmant meddelande. SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 04/09/2024 PAM_SSS(8)