'\" t .\" Title: pam_sss .\" Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/09/2024 .\" Manual: Сторінки підручника SSSD .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS" "8" "04/09/2024" "SSSD" "Сторінки підручника SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss \- модуль PAM для SSSD .SH "SYNOPSIS" .HP \w'\fBpam_sss\&.so\fR\ 'u \fBpam_sss\&.so\fR [\fIquiet\fR] [\fIforward_pass\fR] [\fIuse_first_pass\fR] [\fIuse_authtok\fR] [\fIretry=N\fR] [\fIignore_unknown_user\fR] [\fIignore_authinfo_unavail\fR] [\fIdomains=X\fR] [\fIallow_missing_name\fR] [\fIprompt_always\fR] [\fItry_cert_auth\fR] [\fIrequire_cert_auth\fR] .SH "ОПИС" .PP \fBpam_sss\&.so\fR \(em інтерфейс PAM до System Security Services daemon (SSSD)\&. Помилки та результати роботи записуються за допомогою \fBsyslog(3)\fR до запису LOG_AUTHPRIV\&. .SH "ПАРАМЕТРИ" .PP \fBquiet\fR .RS 4 Не показувати у журналі повідомлень для невідомих користувачів\&. .RE .PP \fBforward_pass\fR .RS 4 Якщо встановлено значення \fBforward_pass\fR, введений пароль буде збережено у стосі паролів для використання іншими модулями PAM\&. .RE .PP \fBuse_first_pass\fR .RS 4 Використання аргументу use_first_pass примушує модуль до використання пароля з модулів попереднього рівня\&. Ніяких запитів до користувача не надсилатиметься, \(em якщо пароль не буде виявлено або пароль виявиться непридатним, доступ користувачеві буде заборонено\&. .RE .PP \fBuse_authtok\fR .RS 4 Визначає ситуацію, коли зміна пароля примушує модуль встановлювати новий пароль на основі пароля, наданого попереднім модулем обробки паролів зі стосу модулів\&. .RE .PP \fBretry=N\fR .RS 4 Якщо вказано, користувача запитуватимуть про пароль ще N разів, якщо перший раз розпізнавання зазнає невдачі\&. Типовим значенням є 0\&. .sp Будь ласка, зауважте, що цей параметр може працювати не так, як очікується, якщо програма, яка викликає PAM, має власний обробник діалогових вікон взаємодії з користувачем\&. Типовим прикладом є \fBsshd\fR з \fBPasswordAuthentication\fR\&. .RE .PP \fBignore_unknown_user\fR .RS 4 Якщо вказано цей параметр і облікового запису не існує, модуль PAM поверне PAM_IGNORE\&. Це призводить до ігнорування цього модуля оболонкою PAM\&. .RE .PP \fBignore_authinfo_unavail\fR .RS 4 Визначає, що модуль PAM має повертати PAM_IGNORE, якщо не вдається встановити зв\(cqязок із фоновою службою SSSD\&. У результаті набір інструментів PAM ігнорує цей модуль\&. .RE .PP \fBdomains\fR .RS 4 Надає змогу адміністратору обмежити домен певною службою PAM, за допомогою якої можна буде виконувати розпізнавання\&. Формат значення: список назв доменів SSSD, відокремлених комами, так, як їх вказано у файлі sssd\&.conf\&. .sp Зауваження: Якщо використовується для служби, яку запущено не від імені користувача root, наприклад вебсервера, слід використовувати разом із параметрами \(Fopam_trusted_users\(Fc і \(Fopam_public_domains\(Fc\&. Будь ласка, ознайомтеся із сторінкою підручника \fBsssd.conf\fR(5), щоб дізнатися більше про ці два параметри відповідача PAM\&. .RE .PP \fBallow_missing_name\fR .RS 4 Основним призначенням цього параметра є надання SSSD змоги визначати ім\*(Aqя користувача на основі додаткових даних, наприклад сертифіката зі смарткартки\&. .sp Поточним основним призначенням є засоби керування входом до системи, які можуть спостерігати за подіями обробки карток на засобі читання смарткарток\&. Щойно буде вставлено смарткартку, засіб керування входом до системи викличе стос PAM, до якого включено рядок, подібний до .sp .if n \{\ .RS 4 .\} .nf auth sufficient pam_sss\&.so allow_missing_name .fi .if n \{\ .RE .\} .sp Якщо SSSD спробує визначити ім\*(Aqя користувача на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті, передасть його стосу PAM\&. .RE .PP \fBprompt_always\fR .RS 4 Завжди запитувати у користувача реєстраційні дані\&. Якщо використано цей параметр, реєстраційні дані, запит на які надійшов від інших модулів PAM, типово, пароль, буде проігноровано, а pam_sss надсилатиме запит щодо реєстраційних даних знову\&. На основі відповіді на попереднє розпізнавання від SSSD pam_sss може надіслати запит щодо пароля, пін\-коду смарткартки або інших реєстраційних даних\&. .RE .PP \fBtry_cert_auth\fR .RS 4 Спробувати скористатися розпізнаванням на основі сертифікатів, тобто розпізнаванням за допомогою смарткартки або подібного пристрою\&. Якщо доступною є смарткартка і уможливлено розпізнавання за смарткарткою для служби, система надішле запит щодо пін\-коду і буде продовжено процедуру розпізнавання за сертифікатом\&. .sp Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL\&. .RE .PP \fBrequire_cert_auth\fR .RS 4 Виконати розпізнавання на основі сертифікатів, тобто розпізнавання за допомогою смарткартки або подібного пристрою\&. Якщо смарткартка виявиться недоступною, система попросить користувача вставити її\&. SSSD чекатиме на смарткартку, аж доки не завершиться час очікування, визначений переданим значенням p11_wait_for_card_timeout\&. Див\&. \fBsssd.conf\fR(5), щоб дізнатися більше\&. .sp Якщо смарткартка виявиться недоступною на момент завершення часу очікування або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL\&. .RE .SH "ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ" .PP Передбачено всі типи модулів (\fBaccount\fR, \fBauth\fR, \fBpassword\fR і \fBsession\fR)\&. .PP Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля \fBaccount\fR, щоб уникнути проблем із записами користувачів із інших джерел під час керування доступом\&. .SH "ПОВЕРНЕНІ ЗНАЧЕННЯ" .PP PAM_SUCCESS .RS 4 Дію PAM завершено успішно\&. .RE .PP PAM_USER_UNKNOWN .RS 4 Користувач є невідомим службі розпізнавання або відповідач PAM SSSD не запущено\&. .RE .PP PAM_AUTH_ERR .RS 4 Помилка розпізнавання\&. Також може бути повернено, якщо виникла проблема із отриманням сертифіката\&. .RE .PP PAM_PERM_DENIED .RS 4 Доступ заборонено\&. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD\&. .RE .PP PAM_IGNORE .RS 4 Див\&. параметри \fBignore_unknown_user\fR і \fBignore_authinfo_unavail\fR\&. .RE .PP PAM_AUTHTOK_ERR .RS 4 Не вдалося отримати новий ключ розпізнавання\&. Крім того, може бути повернуто, якщо користувач проходить розпізнавання за допомогою сертифікатів, доступними є декілька сертифікатів, але у встановленій версії GDM не передбачено можливості вибору одного з декількох сертифікатів\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Не вдалося отримати доступ до даних щодо розпізнавання\&. Причиною може бути помилка у роботі мережі або обладнання\&. .RE .PP PAM_BUF_ERR .RS 4 Сталася помилка при роботі з пам\*(Aqяттю\&. Також може бути повернуто, якщо було встановлено параметр use_first_pass або use_authtok, але не було знайдено пароля у попередньому модулі PAM зі стосу обробки\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Сталася загальносистемна помилка\&. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD\&. .RE .PP PAM_CRED_ERR .RS 4 Не вдалося встановити реєстраційні дані користувача\&. .RE .PP PAM_CRED_INSUFFICIENT .RS 4 У програми немає достатніх реєстраційних даних для розпізнавання користувача\&. Наприклад, може не вистачати PIN\-коду при розпізнаванні за смарткарткою або якогось фактора при двофакторному розпізнаванні\&. .RE .PP PAM_SERVICE_ERR .RS 4 Помилка у службовому модулі\&. .RE .PP PAM_NEW_AUTHTOK_REQD .RS 4 Строк дії ключа розпізнавання користувача вичерпано\&. .RE .PP PAM_ACCT_EXPIRED .RS 4 Строк дії облікового запису користувача вичерпано\&. .RE .PP PAM_SESSION_ERR .RS 4 Не вдалося отримати правила профілю стільниці IPA або дані користувача\&. .RE .PP PAM_CRED_UNAVAIL .RS 4 Не вдалося отримати реєстраційні дані користувача Kerberos\&. .RE .PP PAM_NO_MODULE_DATA .RS 4 Kerberos не вдалося знайти метод розпізнавання\&. Таке може трапитися, якщо із записом користувача пов\*(Aqязано смарткартку, але додаток pkint є недоступним на клієнті\&. .RE .PP PAM_CONV_ERR .RS 4 Помилка обміну даними\&. .RE .PP PAM_AUTHTOK_LOCK_BUSY .RS 4 Немає доступних придатних KDC для зміни пароля\&. .RE .PP PAM_ABORT .RS 4 Невідомий виклик PAM\&. .RE .PP PAM_MODULE_UNKNOWN .RS 4 Непідтримувана команда або завдання PAM\&. .RE .PP PAM_BAD_ITEM .RS 4 Модулю розпізнавання не вдалося обробити реєстраційні дані з смарткартки\&. .RE .SH "ФАЙЛИ" .PP Якщо спроба скидання пароля від імені адміністративного користувача (root) зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено скидання паролів, може бути показано певне повідомлення\&. У цьому повідомленні, наприклад, можуть міститися настанови щодо скидання пароля\&. .PP Текст повідомлення буде прочитано з файла pam_sss_pw_reset_message\&.LOC, де \(FoLOC\(Fc \(em рядок локалі у форматі, повернутому \fBsetlocale\fR(3)\&. Якщо відповідного файла знайдено не буде, буде показано вміст файла pam_sss_pw_reset_message\&.txt\&. Власником файлів має бути адміністративний користувач (root)\&. Доступ до запису файлів також повинен мати лише адміністративний користувач\&. Всім іншим користувачам може бути надано лише право читання файлів\&. .PP Пошук цих файлів виконуватиметься у каталозі /etc/sssd/customize/НАЗВА_ДОМЕНУ/\&. Якщо відповідний файл не буде знайдено, буде показано типове повідомлення\&. .SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBОсновна гілка розробки SSSD \(em https://pagure\&.io/SSSD/sssd/\fR