'\" t .\" Title: pam_sss_gss .\" Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Справка по SSSD .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS_GSS" "8" "05/17/2024" "SSSD" "Справка по SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss_gss \- Модуль PAM для проверки подлинности с помощью GSSAPI в SSSD .SH "SYNOPSIS" .HP \w'\fBpam_sss_gss\&.so\fR\ 'u \fBpam_sss_gss\&.so\fR [\fIdebug\fR] .SH "ОПИСАНИЕ" .PP \fBpam_sss_gss\&.so\fR выполняет проверку подлинности пользователя с помощью GSSAPI совместно с SSSD\&. .PP Этот модуль пытается проверить подлинность пользователя с помощью имени серверной службы GSSAPI host@hostname, при разрешении которого получается участник Kerberos host/hostname@REALM\&. Часть \fIREALM\fR имени участника Kerberos определяется с помощью внутренних механизмов Kerberos\&. Её можно указать в явном виде в конфигурации раздела [domain_realm] в /etc/krb5\&.conf\&. .PP SSSD используется для предоставления имени нужной службы и проверки учётных данных пользователя с помощью вызовов GSSAPI\&. Если билет службы уже присутствует в кэше учётных данных Kerberos или если билет пользователя на получение билетов может быть использован для получения билета соответствующей службы, проверка подлинности пользователя будет выполнена\&. .PP Если параметр \fBpam_gssapi_check_upn\fR установлен в значение \(FoTrue\(Fc (по умолчанию), SSSD будет требоваться возможность сопоставления пользователю тех учётных данных, которые были использованы для получения билетов службы\&. Это означает, что участник, который является владельцем учётных данных Kerberos, должен соответствовать имени участника\-пользователя, определённому в LDAP\&. .PP Чтобы включить в SSSD проверку подлинности с помощью GSSAPI, задайте параметр \fBpam_gssapi_services\fR в разделе [pam] или домена sssd\&.conf\&. Учётные данные службы должны храниться в таблице ключей SSSD (она уже присутствует, если используется поставщик данных IPA или AD)\&. Расположение таблицы ключей можно указать с помощью параметра \fBkrb5_keytab\fR\&. Подробные сведения об этих параметрах доступны на справочных страницах \fBsssd.conf\fR(5) и \fBsssd-krb5\fR(5)\&. .PP Некоторых развёрнутые системы Kerberos позволяют связывать индикаторы проверки подлинности с определённым способом предварительной проверки подлинности, используемым для получения пользователем билета на получение билетов\&. \fBpam_sss_gss\&.so\fR позволяет принудительно установить обязательность наличия индикаторов проверки подлинности в билетах службы для получения возможности доступа к определённой службе PAM\&. .PP Если параметр \fBpam_gssapi_indicators_map\fR задан в разделе [pam] или домена sssd\&.conf, SSSD будет проверять билет службы на наличие настроенных индикаторов\&. .SH "ОПЦИИ" .PP \fBdebug\fR .RS 4 Вывести данные отладки\&. .RE .SH "ПРЕДОСТАВЛЯЕМЫЕ ТИПЫ МОДУЛЕЙ" .PP Предоставляется только модуль типа \fBauth\fR\&. .SH "ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ" .PP PAM_SUCCESS .RS 4 Операция PAM успешно завершена\&. .RE .PP PAM_USER_UNKNOWN .RS 4 Пользователь неизвестен службе проверки подлинности или не поддерживается проверка подлинности с помощью GSSAPI\&. .RE .PP PAM_AUTH_ERR .RS 4 Сбой при проверке подлинности\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Не удалось получить доступ к данным проверки подлинности\&. Это может быть связано со сбоем сети или оборудования\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Произошла системная ошибка\&. В журнале SSSD могут быть дополнительные сведения об этой ошибке\&. .RE .SH "ПРИМЕРЫ" .PP Основной вариант использования \(em обеспечить проверку подлинности без пароля в sudo, но без необходимости отключать проверку подлинности полностью\&. Для достижения такого результата следует сначала включить проверку подлинности с помощью GSSAPI для sudo в sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf [domain/MYDOMAIN] pam_gssapi_services = sudo, sudo\-i .fi .if n \{\ .RE .\} .PP А затем следует включить модуль в нужном стеке PAM (например, /etc/pam\&.d/sudo и /etc/pam\&.d/sudo\-i)\&. .sp .if n \{\ .RS 4 .\} .nf \&.\&.\&. auth sufficient pam_sss_gss\&.so \&.\&.\&. .fi .if n \{\ .RE .\} .SH "УСТРАНЕНИЕ НЕПОЛАДОК" .PP Журнал SSSD, отладочный вывод pam_sss_gss и системный журнал могут содержать полезные сведения об ошибке\&. Вот некоторые распространённые проблемы: .PP 1\&. Переменная среды KRB5CCNAME задана, и проверка подлинности не работает: в зависимости от используемой версии sudo, возможно, что sudo не передаёт эту переменную среде PAM\&. Попробуйте добавить KRB5CCNAME в раздел \fBenv_keep\fR в /etc/sudoers или в стандартные параметры правил sudo для LDAP\&. .PP 2\&. Проверка подлинности не работает, и в системном журнале есть запись \(FoServer not found in Kerberos database\(Fc: вероятно, Kerberos не удалось определить корректную область для билета службы на основе имени узла\&. Попробуйте добавить имя узла непосредственно в раздел \fB[domain_realm]\fR в /etc/krb5\&.conf следующим образом: .PP 3\&. Проверка подлинности не работает, и в системном журнале есть запись \(FoNo Kerberos credentials available\(Fc: отсутствуют учётные данные, которые можно было бы использовать для получения необходимого билета службы\&. Используйте kinit или пройдите проверку подлинности с помощью SSSD для получения этих учётных данных\&. .PP 4\&. Проверка подлинности не работает, и в журнале sssd\-pam SSSD есть запись \(FoUser with UPN [$UPN] was not found\&.\(Fc или \(FoUPN [$UPN] does not match target user [$username]\&.\(Fc: используются учётные данные, которые нельзя сопоставить тому пользователю, проверка подлинности которого проводится\&. Попробуйте использовать kswitch для выбора другого участника, убедитесь, что проверка подлинности с помощью SSSD пройдена, или отключите \fBpam_gssapi_check_upn\fR\&. .sp .if n \{\ .RS 4 .\} .nf [domain_realm] \&.myhostname = MYREALM .fi .if n \{\ .RE .\} .SH "СМ\&. ТАКЖЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBВосходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github\&.com/SSSD/sssd/\fR