pam_sss - модуль PAM
для SSSD
pam_sss.so [quiet] [forward_pass]
[use_first_pass] [use_authtok] [retry=N]
[ignore_unknown_user] [ignore_authinfo_unavail]
[domains=X] [allow_missing_name] [prompt_always]
[try_cert_auth] [require_cert_auth]
ОПИС
pam_sss.so —
інтерфейс PAM
до System Security Services daemon (SSSD).
Помилки та
результати
роботи
записуються
за
допомогою
syslog(3) до
запису LOG_AUTHPRIV.
ПАРАМЕТРИ
quiet
Не
показувати
у журналі
повідомлень
для
невідомих
користувачів.
forward_pass
Якщо
встановлено
значення
forward_pass,
введений
пароль
буде
збережено
у стосі
паролів
для
використання
іншими
модулями PAM.
use_first_pass
Використання
аргументу
use_first_pass
примушує
модуль до
використання
пароля з
модулів
попереднього
рівня.
Ніяких
запитів до
користувача
не
надсилатиметься,
— якщо
пароль не
буде
виявлено
або пароль
виявиться
непридатним,
доступ
користувачеві
буде
заборонено.
use_authtok
Визначає
ситуацію,
коли зміна
пароля
примушує
модуль
встановлювати
новий
пароль на
основі
пароля,
наданого
попереднім
модулем
обробки
паролів зі
стосу
модулів.
retry=N
Якщо
вказано,
користувача
запитуватимуть
про пароль
ще N разів,
якщо
перший раз
розпізнавання
зазнає
невдачі.
Типовим
значенням
є 0.
Будь
ласка,
зауважте,
що цей
параметр
може
працювати
не так, як
очікується,
якщо
програма,
яка
викликає PAM,
має
власний
обробник
діалогових
вікон
взаємодії
з
користувачем.
Типовим
прикладом
є sshd з PasswordAuthentication.
ignore_unknown_user
Якщо
вказано
цей
параметр і
облікового
запису не
існує,
модуль PAM
поверне PAM_IGNORE.
Це
призводить
до
ігнорування
цього
модуля
оболонкою
PAM.
ignore_authinfo_unavail
Визначає,
що модуль PAM
має
повертати
PAM_IGNORE, якщо не
вдається
встановити
зв’язок із
фоновою
службою SSSD. У
результаті
набір
інструментів
PAM ігнорує
цей
модуль.
domains
Надає
змогу
адміністратору
обмежити
домен
певною
службою PAM, за
допомогою
якої можна
буде
виконувати
розпізнавання.
Формат
значення:
список
назв
доменів SSSD,
відокремлених
комами, так,
як їх
вказано у
файлі sssd.conf.
Зауваження:
Якщо
використовується
для служби,
яку
запущено
не від
імені
користувача
root,
наприклад
вебсервера,
слід
використовувати
разом із
параметрами
«pam_trusted_users» і
«pam_public_domains». Будь
ласка,
ознайомтеся
із
сторінкою
підручника
sssd.conf(5), щоб
дізнатися
більше про
ці два
параметри
відповідача
PAM.
allow_missing_name
Основним
призначенням
цього
параметра
є надання SSSD
змоги
визначати
ім'я
користувача
на основі
додаткових
даних,
наприклад
сертифіката
зі
смарткартки.
Поточним
основним
призначенням
є засоби
керування
входом до
системи,
які можуть
спостерігати
за подіями
обробки
карток на
засобі
читання
смарткарток.
Щойно буде
вставлено
смарткартку,
засіб
керування
входом до
системи
викличе
стос PAM, до
якого
включено
рядок,
подібний
до
auth sufficient pam_sss.so allow_missing_name
Якщо SSSD
спробує
визначити
ім'я
користувача
на основі
вмісту
смарткартки,
повертає
його до pam_sss,
який,
нарешті,
передасть
його стосу
PAM.
prompt_always
Завжди
запитувати
у
користувача
реєстраційні
дані. Якщо
використано
цей
параметр,
реєстраційні
дані, запит
на які
надійшов
від інших
модулів PAM,
типово,
пароль,
буде
проігноровано,
а pam_sss
надсилатиме
запит щодо
реєстраційних
даних
знову. На
основі
відповіді
на
попереднє
розпізнавання
від SSSD pam_sss може
надіслати
запит щодо
пароля,
пін-коду
смарткартки
або інших
реєстраційних
даних.
try_cert_auth
Спробувати
скористатися
розпізнаванням
на основі
сертифікатів,
тобто
розпізнаванням
за
допомогою
смарткартки
або
подібного
пристрою.
Якщо
доступною
є
смарткартка
і
уможливлено
розпізнавання
за
смарткарткою
для служби,
система
надішле
запит щодо
пін-коду і
буде
продовжено
процедуру
розпізнавання
за
сертифікатом.
Якщо
смарткартка
виявиться
недоступною
або
розпізнавання
за
сертифікатом
буде
заборонено
для
поточної
служби,
буде
повернуто
PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Виконати
розпізнавання
на основі
сертифікатів,
тобто
розпізнавання
за
допомогою
смарткартки
або
подібного
пристрою.
Якщо
смарткартка
виявиться
недоступною,
система
попросить
користувача
вставити
її. SSSD
чекатиме
на
смарткартку,
аж доки не
завершиться
час
очікування,
визначений
переданим
значенням
p11_wait_for_card_timeout. Див.
sssd.conf(5),
щоб
дізнатися
більше.
Якщо
смарткартка
виявиться
недоступною
на момент
завершення
часу
очікування
або
розпізнавання
за
сертифікатом
буде
заборонено
для
поточної
служби,
буде
повернуто
PAM_AUTHINFO_UNAVAIL.
ПЕРЕДБАЧЕНІ
ТИПИ
МОДУЛІВ
Передбачено
всі типи
модулів (account,
auth, password і session).
Якщо
відповідач
PAM SSSD не
запущено,
наприклад,
якщо сокет
відповідача
PAM є
недоступним,
pam_sss поверне
PAM_USER_UNKNOWN при
виклику з
модуля account,
щоб
уникнути
проблем із
записами
користувачів
із інших
джерел під
час
керування
доступом.
ПОВЕРНЕНІ
ЗНАЧЕННЯ
PAM_SUCCESS
Дію PAM
завершено
успішно.
PAM_USER_UNKNOWN
Користувач
є
невідомим
службі
розпізнавання
або
відповідач
PAM SSSD не
запущено.
PAM_AUTH_ERR
Помилка
розпізнавання.
Також може
бути
повернено,
якщо
виникла
проблема
із
отриманням
сертифіката.
PAM_PERM_DENIED
Доступ
заборонено.
Додаткові
відомості
щодо
помилки
можуть
міститися
у файлах
журналів SSSD.
PAM_IGNORE
Див.
параметри
ignore_unknown_user і ignore_authinfo_unavail.
PAM_AUTHTOK_ERR
Не
вдалося
отримати
новий ключ
розпізнавання.
Крім того,
може бути
повернуто,
якщо
користувач
проходить
розпізнавання
за
допомогою
сертифікатів,
доступними
є декілька
сертифікатів,
але у
встановленій
версії GDM не
передбачено
можливості
вибору
одного з
декількох
сертифікатів.
PAM_AUTHINFO_UNAVAIL
Не
вдалося
отримати
доступ до
даних щодо
розпізнавання.
Причиною
може бути
помилка у
роботі
мережі або
обладнання.
PAM_BUF_ERR
Сталася
помилка
при роботі
з пам'яттю.
Також може
бути
повернуто,
якщо було
встановлено
параметр
use_first_pass або use_authtok, але
не було
знайдено
пароля у
попередньому
модулі PAM зі
стосу
обробки.
PAM_SYSTEM_ERR
Сталася
загальносистемна
помилка.
Додаткові
відомості
щодо
помилки
можуть
міститися
у файлах
журналів SSSD.
PAM_CRED_ERR
Не
вдалося
встановити
реєстраційні
дані
користувача.
PAM_CRED_INSUFFICIENT
У
програми
немає
достатніх
реєстраційних
даних для
розпізнавання
користувача.
Наприклад,
може не
вистачати
PIN-коду при
розпізнаванні
за
смарткарткою
або
якогось
фактора
при
двофакторному
розпізнаванні.
PAM_SERVICE_ERR
Помилка
у
службовому
модулі.
PAM_NEW_AUTHTOK_REQD
Строк
дії ключа
розпізнавання
користувача
вичерпано.
PAM_ACCT_EXPIRED
Строк
дії
облікового
запису
користувача
вичерпано.
PAM_SESSION_ERR
Не
вдалося
отримати
правила
профілю
стільниці IPA
або дані
користувача.
PAM_CRED_UNAVAIL
Не
вдалося
отримати
реєстраційні
дані
користувача
Kerberos.
PAM_NO_MODULE_DATA
Kerberos не
вдалося
знайти
метод
розпізнавання.
Таке може
трапитися,
якщо із
записом
користувача
пов'язано
смарткартку,
але
додаток pkint є
недоступним
на
клієнті.
PAM_CONV_ERR
Помилка
обміну
даними.
PAM_AUTHTOK_LOCK_BUSY
Немає
доступних
придатних KDC
для зміни
пароля.
PAM_ABORT
Невідомий
виклик PAM.
PAM_MODULE_UNKNOWN
Непідтримувана
команда
або
завдання PAM.
PAM_BAD_ITEM
Модулю
розпізнавання
не вдалося
обробити
реєстраційні
дані з
смарткартки.
ФАЙЛИ
Якщо
спроба
скидання
пароля від
імені
адміністративного
користувача
(root) зазнає
невдачі,
оскільки у
відповідному
засобі
обробки SSSD
не
передбачено
скидання
паролів,
може бути
показано
певне
повідомлення.
У цьому
повідомленні,
наприклад,
можуть
міститися
настанови
щодо
скидання
пароля.
Текст
повідомлення
буде
прочитано
з файла
pam_sss_pw_reset_message.LOC, де «LOC» —
рядок
локалі у
форматі,
повернутому
setlocale(3). Якщо
відповідного
файла
знайдено
не буде,
буде
показано
вміст
файла pam_sss_pw_reset_message.txt.
Власником
файлів має
бути
адміністративний
користувач
(root). Доступ до
запису
файлів
також
повинен
мати лише
адміністративний
користувач.
Всім іншим
користувачам
може бути
надано
лише право
читання
файлів.
Пошук цих
файлів
виконуватиметься
у каталозі
/etc/sssd/customize/НАЗВА_ДОМЕНУ/.
Якщо
відповідний
файл не
буде
знайдено,
буде
показано
типове
повідомлення.
ТАКОЖ
ПЕРЕГЛЯНЬТЕ
sssd(8), sssd.conf(5), sssd-ldap(5),
sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5),
sssd-ipa(5), sssd-ad(5), sssd-files(5),
sssd-sudo(5), sssd-session-recording(5), sss_cache(8),
sss_debuglevel(8), sss_obfuscate(8), sss_seed(8),
sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8),
sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8).
sss_rpcidmapd(5)