'\" t .\" Title: pam_sss_gss .\" Author: O autor do SSSD - https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 01/18/2026 .\" Manual: Manual do SSSD .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS_GSS" "8" "01/18/2026" "SSSD" "Manual do SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss_gss \- Módulo PAM para autenticação GSSAPI do SSSD .SH "SYNOPSIS" .HP \w'\fBpam_sss_gss\&.so\fR\ 'u \fBpam_sss_gss\&.so\fR [\fIdebug\fR] .SH "DESCRIÇÃO" .PP \fBpam_sss_gss\&.so\fR autentica o utilizador sobre GSSAPI em cooperação com o SSSD\&. .PP Este módulo irá tentar autenticar o utilizador usando nome de serviço baseado\-em\-maquina do GSSAPI host@hostname o que traduz para host/hostname@REALM principal do Kerberos\&. A parte \fIREALM\fR do nome principal Kerberos é derivada pelos mecanismos internos do Kerberos e pode ser definida explicitamente na configuração da secção [domain_realm] em /etc/krb5\&.conf\&. .PP SSSD é usado para fornecer o nome de serviço desejado e para validar as credenciais do utilizador usando chamadas GSSAPI\&. Se o bilhete de serviço já estiver presente na cache de credenciais do Kerberos ou o bilhete do utilizador puder ser usado para obter o bilhete do serviço correto então o utilizador será autenticado\&. .PP Se \fBpam_gssapi_check_upn\fR for True (predefinição) então o SSSD requer que as credenciais usadas para obter o bilhete de serviço possam ser associadas com o utilizador\&. Isto significa que o principal que possui as credenciais Kerberos tem de corresponder ao nome principal do utilizador como definido em LDAP\&. .PP Para activar a autenticação GSSAPI no SSSD, defina a opção \fBpam_gssapi_services\fR em [pam] ou secção domain do sssd\&.conf\&. As credenciais de serviços precisam de ser guardadas na keytab do SSSD (já está presente se usar o provedor ipa ou ad)\&. A localização da keytab pode ser definida com a opção \fBkrb5_keytab\fR\&. Veja \fBsssd.conf\fR(5) e \fBsssd-krb5\fR(5) para mais detalhes sobre estas opções\&. .PP Alguns desenvolvimentos Kerberos permitem associar indicadores de autenticação com um método particular de pré\-autenticação usado para obter um bilhete de concessão de bilhete pelo utilizador\&. O \fBpam_sss_gss\&.so\fR permite forçar a presença de indicadores de autenticação nos bilhetes de serviço antes de que se possa aceder a um serviço particular do PAM\&. .PP Se a opção \fBpam_gssapi_indicators_map\fR estiver definida em [pam] ou secção domain do sssd\&.conf, então o SSSD irá executar uma verificação da presença de quaisquer indicadores configurados no bilhete de serviço\&. .SH "OPÇÕES" .PP \fBdebug\fR .RS 4 Escreve informação de depuração\&. .RE .SH "TIPOS DE MÓDULOS FORNECIDOS" .PP Apenas se o tipo de módulo \fBauth\fR for fornecido\&. .SH "VALORES DE RETORNO" .PP PAM_SUCCESS .RS 4 A operação do PAM terminou com sucesso\&. .RE .PP PAM_USER_UNKNOWN .RS 4 O utilizador não é conhecido pelo serviço de autenticação ou a autenticação GSSAPI não é suportada\&. .RE .PP PAM_AUTH_ERR .RS 4 Falha de autenticação\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Incapaz de aceder à informação de autenticação\&. Isto pode ser devido a uma falha de rede ou de hardware\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Ocorreu um erro do sistema\&. Os ficheiros log do SSSD podem conter informação adicional acerca do erro\&. .RE .SH "EXEMPLOS" .PP O principal caso de uso é fornecer autenticação sem palavra passe no sudo mas sem a necessidade de desactivar completamente a autenticação\&. Para conseguir isto, primeiro active a autenticação GSSAPI para o sudo no sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf [domain/MYDOMAIN] pam_gssapi_services = sudo, sudo\-i .fi .if n \{\ .RE .\} .PP E depois active o módulo na pilha PAM desejada (ex\&. /etc/pam\&.d/sudo e /etc/pam\&.d/sudo\-i)\&. .sp .if n \{\ .RS 4 .\} .nf \&.\&.\&. auth sufficient pam_sss_gss\&.so \&.\&.\&. .fi .if n \{\ .RE .\} .SH "RESOLUÇÃO DE PROBLEMAS" .PP Registos do SSSD, a saída de depuração do pam_sss_gss e o syslog podem conter informação auxiliar acerca do erro\&. Aqui estão alguns problemas comuns: .PP 1\&. Eu tenho a variável de ambiente KRB5CCNAME definida e a autenticação não funciona: Dependendo da sua versão de sudo, é possível que o sudo não passe esta variável para o ambiente PAM\&. Tente adicionar KRB5CCNAME a \fBenv_keep\fR em /etc/sudoers ou nas suas opções predefinidas de regras sudo do LDAP\&. .PP 2\&. Autenticação não funciona e o syslog contém "Servidor não encontrado na base de dados do Kerberos": Provavelmente o Kerberos não é capaz de resolver o reino correctamente para o bilhete de serviço baseado no nome de máquina\&. Tente adicionar o nome de máquina directamente a \fB[domain_realm]\fR em /etc/krb5\&.conf tal como: .PP 3\&. Autenticação não funciona e o syslog contém "Nenhuma credencial do Kerberos disponível": Você não tem nenhumas credenciais que possam ser usadas obter o bilhete de serviço requerido\&. Use o kinit ou autentique\-se sobre o SSSD para adquirir essas credenciais\&. .PP 4\&. Autenticação não funciona e o registo sssd\-pam do SSSD contém "Utilizador com UPN [$UPN] não foi encontrado\&." ou "UPN [$UPN] não corresponde ao utilizador alvo [$username]\&.": Você está a usar credenciais que não podem ser mapeadas ao utilizador que está a ser autenticado\&. Tente usar o kswitch para selecionar um principal diferente, certifique\-se que se autentica com o SSSD ou considere desactivar \fBpam_gssapi_check_upn\fR\&. .sp .if n \{\ .RS 4 .\} .nf [domain_realm] \&.myhostname = MYREALM .fi .if n \{\ .RE .\} .SH "VEJA TAMBÉM" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-idp\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(1), \fBsss_ssh_knownhosts\fR(1), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBO autor do SSSD \- https://github\&.com/SSSD/sssd/\fR