'\" t .\" Title: pam_sss_gss .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: SSSD manualsidor .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS_GSS" "8" "05/17/2024" "SSSD" "SSSD manualsidor" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss_gss \- PAM\-modul för SSSD GSSAPI\-autentisering .SH "SYNOPSIS" .HP \w'\fBpam_sss_gss\&.so\fR\ 'u \fBpam_sss_gss\&.so\fR [\fIfelsökning\fR] .SH "BESKRIVNING" .PP \fBpam_sss_gss\&.so\fR autentiserar användaren över GSSAPI i samarbete med SSSD\&. .PP Denna modul kommer försöka autentisera användaren med det värdbaserade GSSAPI\-tjänstenamnet värd@värdnamn vilket översätts till Kerberos\-huvudmannen värd/värdnamn@RIKE\&. Delen \fIRIKE\fR av Kerberos\-huvudmannanamnet härleds av Kerberos interna mekanismer och det kan sättas uttryckligen i konfigurationen av sektionen [domain_realm] i /etc/krb5\&.conf\&. .PP SSSD används för att tillhandahålla det önskade tjänstenamnet och för att validera användarens kreditiv med GSSAPI\-anrop\&. Om tjänstebiljetten redan är tillgänglig i Kerberos kreditiv\-cache eller om användarens biljettgivarbiljett kan användas för att få det korrekta tjänstebiljetten, i så fall kommer användaren autentiseras\&. .PP Om \fBpam_gssapi_check_upn\fR är sant (standard) kräver SSSD att kreditiven som använts till att få denna tjänstebiljett kan associeras med användaren\&. Detta betydera tt huvudmannen som äger Kerberos\-kreditiven måste stämma med användarens huvudmannanamn så som det definieras i LDAP\&. .PP För att aktivera GSSAPI\-autentisering i SSSD, sätt alternativet \fBpam_gssapi_services\fR i [pam] eller domänsektionen i sssd\&.conf\&. Tjänstekreditiven behöver lagras i SSSD:s keytab (de finns där redan om man använder leverantören ipa eller ad)\&. Keytab\-platsen kan anges med alternativet \fBkrb5_keytab\fR\&. Se \fBsssd.conf\fR(5) och \fBsssd-krb5\fR(5) för fler detaljer om dessa alternativ\&. .PP Några Kerberos\-installationer tillåter associationen av autentiseringsindikatorer med en viss förautentiseringsmetod använd för att hämta biljettgivarbiljetten av användaren\&. \fBpam_sss_gss\&.so\fR gör att man kan kräva närvaron av autentiseringsindikatorer i tjänstebiljetten för en viss PAM\-tjänst kan nås\&. .PP Om \fBpam_gssapi_indicators_map\fR är satt i sektionen [pam] eller domänsektionen i sssd\&.conf kommer SSSD utföra en kontroll av närvaron av några konfigurerade indikatorer i tjänstebiljetten\&. .SH "FLAGGOR" .PP \fBdebug\fR .RS 4 Skriv ut felsökningsinformation\&. .RE .SH "TILLHANDAHÅLLNA MODULTYPER" .PP Endast modulen \fBauth\fR tillhandahålls\&. .SH "RETURVÄRDEN" .PP PAM_SUCCESS .RS 4 PAM\-åtgärden avslutades framgångsrikt\&. .RE .PP PAM_USER_UNKNOWN .RS 4 Användaren är inte känd av autentiseringstjänsten eller så stödjs inte autentisering med GSSAPI\&. .RE .PP PAM_AUTH_ERR .RS 4 Autentiseringsfel\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Kan inte komma åt autentiseringsinformationen\&. Detta kan bero på ett nätverks\- eller hårdvarufel\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Ett systemfel uppstod\&. SSSD\-loggfilerna kan innehålla ytterligare information om felet\&. .RE .SH "EXEMPEL" .PP Det huvudsakliga användningsfallet är att tillhandahålla lösenordsfri autentisering i sudo men utan behovet av att avaktivera autentisering helt\&. För att uppnå detta, aktivera först GSSAPI\-autentisering av sudo i sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf [domain/MINDOMÄN] pam_gssapi_services = sudo, sudo\-i .fi .if n \{\ .RE .\} .PP Aktivera sedan modulen i den önskande PAM\-stacken (t\&.ex\&. /etc/pam\&.d/sudo och /etc/pam\&.d/sudo\-i)\&. .sp .if n \{\ .RS 4 .\} .nf \&... auth sufficient pam_sss_gss\&.so \&... .fi .if n \{\ .RE .\} .SH "FELSÖKNING" .PP SSSD\-loggar, pam_sss_gss felsökningsutmatning och syslog kan innehålla användbar information om felet\&. Här är några vanliga problem: .PP 1\&. Jag har miljövariabeln KRB5CCNAME satt och autentiseringen fungerar inte: beroende på din sudo\-versionär det möjligt att sudo inte skickar denna variabel till PAM\-miljön\&. Försök lägga till KRB5CCNAME till \fBenv_keep\fR i /etc/sudoers eller i dina LDAP\-sudo\-reglers standardalternativ\&. .PP 2\&. Autentiseringen fungerar inte och syslog innehåller \(rqServer not found in Kerberos database\(rq: Kerberos kan förmodligen inte lösa upp det korrekta riket för tjänstebiljetten baserat på värdnamnet\&. Försök att lägga till värdnamnet direk till \fB[domain_realm[\fR i /etc/krb5\&.conf så här: .PP 3\&. Autentiseringen fungerar inte och syslog innehåller \(rqNo Kerberos credentials available\(rq: du har inte några kreditiv som kan användas för att få den önskade tjänstebiljetten\&. Använd kinit eller autentisera över SSSD för att få dessa kreditiv\&. .PP 4\&. Autentisering fungerar inte och SSSD sssd\-pam\-loggen innehåller \(rqUser with UPN [$UPN] was not found\&.\(rq eller \(rqUPN [$UPN] does not match target user [$username]\&.\(rq: du använder kreditiv som inte kan kopplas till användaren som autentiseras\&. Försök att använda kswitch för att välja en annan huvudman, se till att du autentiserade med SSSD eller överväg att avaktivera \fBpam_gssapi_check_upn\fR\&. .sp .if n \{\ .RS 4 .\} .nf [domain_realm] \&.myhostname = MITTRIKE .fi .if n \{\ .RE .\} .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR