PAM_SSS_GSS(8)                 SSSD manualsidor                 PAM_SSS_GSS(8)

NAME
       pam_sss_gss - PAM-modul for SSSD GSSAPI-autentisering

SYNOPSIS
       pam_sss_gss.so [felsokning]

BESKRIVNING
       pam_sss_gss.so autentiserar anvandaren over GSSAPI i samarbete med
       SSSD.

       Denna modul kommer forsoka autentisera anvandaren med det vardbaserade
       GSSAPI-tjanstenamnet vard@vardnamn vilket oversatts till
       Kerberos-huvudmannen vard/vardnamn@RIKE. Delen RIKE av
       Kerberos-huvudmannanamnet harleds av Kerberos interna mekanismer och
       det kan sattas uttryckligen i konfigurationen av sektionen
       [domain_realm] i /etc/krb5.conf.

       SSSD anvands for att tillhandahalla det onskade tjanstenamnet och for
       att validera anvandarens kreditiv med GSSAPI-anrop. Om tjanstebiljetten
       redan ar tillganglig i Kerberos kreditiv-cache eller om anvandarens
       biljettgivarbiljett kan anvandas for att fa det korrekta
       tjanstebiljetten, i sa fall kommer anvandaren autentiseras.

       Om pam_gssapi_check_upn ar sant (standard) kraver SSSD att kreditiven
       som anvants till att fa denna tjanstebiljett kan associeras med
       anvandaren. Detta betydera tt huvudmannen som ager Kerberos-kreditiven
       maste stamma med anvandarens huvudmannanamn sa som det definieras i
       LDAP.

       For att aktivera GSSAPI-autentisering i SSSD, satt alternativet
       pam_gssapi_services i [pam] eller domansektionen i sssd.conf.
       Tjanstekreditiven behover lagras i SSSD:s keytab (de finns dar redan om
       man anvander leverantoren ipa eller ad). Keytab-platsen kan anges med
       alternativet krb5_keytab. Se sssd.conf(5) och sssd-krb5(5) for fler
       detaljer om dessa alternativ.

       Nagra Kerberos-installationer tillater associationen av
       autentiseringsindikatorer med en viss forautentiseringsmetod anvand for
       att hamta biljettgivarbiljetten av anvandaren.  pam_sss_gss.so gor att
       man kan krava narvaron av autentiseringsindikatorer i tjanstebiljetten
       for en viss PAM-tjanst kan nas.

       Om pam_gssapi_indicators_map ar satt i sektionen [pam] eller
       domansektionen i sssd.conf kommer SSSD utfora en kontroll av narvaron
       av nagra konfigurerade indikatorer i tjanstebiljetten.

FLAGGOR
       debug
           Skriv ut felsokningsinformation.

TILLHANDAHALLNA MODULTYPER
       Endast modulen auth tillhandahalls.

RETURVARDEN
       PAM_SUCCESS
           PAM-atgarden avslutades framgangsrikt.

       PAM_USER_UNKNOWN
           Anvandaren ar inte kand av autentiseringstjansten eller sa stodjs
           inte autentisering med GSSAPI.

       PAM_AUTH_ERR
           Autentiseringsfel.

       PAM_AUTHINFO_UNAVAIL
           Kan inte komma at autentiseringsinformationen. Detta kan bero pa
           ett natverks- eller hardvarufel.

       PAM_SYSTEM_ERR
           Ett systemfel uppstod. SSSD-loggfilerna kan innehalla ytterligare
           information om felet.

EXEMPEL
       Det huvudsakliga anvandningsfallet ar att tillhandahalla losenordsfri
       autentisering i sudo men utan behovet av att avaktivera autentisering
       helt. For att uppna detta, aktivera forst GSSAPI-autentisering av sudo
       i sssd.conf:

           [domain/MINDOMAN]
           pam_gssapi_services = sudo, sudo-i


       Aktivera sedan modulen i den onskande PAM-stacken (t.ex.
       /etc/pam.d/sudo och /etc/pam.d/sudo-i).

           ...
           auth sufficient pam_sss_gss.so
           ...


FELSOKNING
       SSSD-loggar, pam_sss_gss felsokningsutmatning och syslog kan innehalla
       anvandbar information om felet. Har ar nagra vanliga problem:

       1. Jag har miljovariabeln KRB5CCNAME satt och autentiseringen fungerar
       inte: beroende pa din sudo-versionar det mojligt att sudo inte skickar
       denna variabel till PAM-miljon. Forsok lagga till KRB5CCNAME till
       env_keep i /etc/sudoers eller i dina LDAP-sudo-reglers
       standardalternativ.

       2. Autentiseringen fungerar inte och syslog innehaller "Server not
       found in Kerberos database": Kerberos kan formodligen inte losa upp det
       korrekta riket for tjanstebiljetten baserat pa vardnamnet. Forsok att
       lagga till vardnamnet direk till [domain_realm[ i /etc/krb5.conf sa
       har:

       3. Autentiseringen fungerar inte och syslog innehaller "No Kerberos
       credentials available": du har inte nagra kreditiv som kan anvandas for
       att fa den onskade tjanstebiljetten. Anvand kinit eller autentisera
       over SSSD for att fa dessa kreditiv.

       4. Autentisering fungerar inte och SSSD sssd-pam-loggen innehaller
       "User with UPN [$UPN] was not found." eller "UPN [$UPN] does not match
       target user [$username].": du anvander kreditiv som inte kan kopplas
       till anvandaren som autentiseras. Forsok att anvanda kswitch for att
       valja en annan huvudman, se till att du autentiserade med SSSD eller
       overvag att avaktivera pam_gssapi_check_upn.

           [domain_realm]
           .myhostname = MITTRIKE


SE AVEN
       sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-
       krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-
       sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8),
       sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8),
       sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5),
       pam_sss(8).  sss_rpcidmapd(5)

AUTHORS
       SSSD uppstroms - https://github.com/SSSD/sssd/

SSSD                              05/17/2024                    PAM_SSS_GSS(8)