'\" t .\" Title: pam_sss_gss .\" Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Сторінки підручника SSSD .\" Source: SSSD .\" Language: English .\" .TH "PAM_SSS_GSS" "8" "05/17/2024" "SSSD" "Сторінки підручника SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" pam_sss_gss \- модуль PAM для розпізнавання за GSSAPI у SSSD .SH "SYNOPSIS" .HP \w'\fBpam_sss_gss\&.so\fR\ 'u \fBpam_sss_gss\&.so\fR [\fIdebug\fR] .SH "ОПИС" .PP \fBpam_sss_gss\&.so\fR розпізнає користувача за допомогою GSSAPI у поєднанні із SSSD\&. .PP Цей модуль намагатиметься виконати розпізнавання користувача за допомогою служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ\&. Частину \fIОБЛАСТЬ\fR назви реєстраційного запису Kerberos буде визначено за внутрішніми механізмами Kerberos\&. Її можна встановити явним чином у налаштуваннях розділу [domain_realm] у /etc/krb5\&.conf\&. .PP SSSD використовується для отримання бажаної назви служби і для перевірки реєстраційних даних користувача за допомогою викликів GSSAPI\&. Якщо у кеші реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток квитка користувача можна використати для отримання належного квитка служби, користувача буде розпізнано\&. .PP Якщо \fBpam_gssapi_check_upn\fR матиме значення True (типове значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться для отримання квитків служби, можна було пов\*(Aqязати із користувачем\&. Це означає, що реєстраційний запис, який є власником реєстраційних даних Kerberos, має відповідати назві реєстраційного запису користувача, яку визначено у LDAP\&. .PP Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення \fBpam_gssapi_services\fR у розділі [pam] або домену в sssd\&.conf\&. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD (його вже збережено там, якщо ви користуєтеся надавачем даних ipa або ad)\&. Розташування сховища ключів можна встановити за допомогою параметра \fBkrb5_keytab\fR\&. Див\&. \fBsssd.conf\fR(5) і \fBsssd-krb5\fR(5), щоб дізнатися більше про ці параметри\&. .PP Деякі розгорнуті екземпляри Kerberos дозволяють пов\*(Aqязувати індикатори розпізнавання із певним методом попереднього розпізнавання, який використовується для отримання квитка, який надає квиток користувача\&. \fBpam_sss_gss\&.so\fR надає змогу примусово встановити потребу у наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано доступ до певної служби PAM\&. .PP Якщо \fBpam_gssapi_indicators_map\fR встановлено у розділі [pam] або домену sssd\&.conf, SSSD виконає перевірку наявності будь\-яких налаштованих індикаторів у квитку служби\&. .SH "ПАРАМЕТРИ" .PP \fBdebug\fR .RS 4 Вивести діагностичні дані\&. .RE .SH "ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ" .PP Передбачено лише тип модулів \fBauth\fR .SH "ПОВЕРНЕНІ ЗНАЧЕННЯ" .PP PAM_SUCCESS .RS 4 Дію PAM завершено успішно\&. .RE .PP PAM_USER_UNKNOWN .RS 4 Користувач є невідомим службі розпізнавання або підтримки розпізнавання за GSSAPI не передбачено\&. .RE .PP PAM_AUTH_ERR .RS 4 Помилка під час спроби розпізнавання\&. .RE .PP PAM_AUTHINFO_UNAVAIL .RS 4 Не вдалося отримати доступ до даних щодо розпізнавання\&. Причиною може бути помилка у роботі мережі або обладнання\&. .RE .PP PAM_SYSTEM_ERR .RS 4 Сталася загальносистемна помилка\&. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD\&. .RE .SH "ПРИКЛАДИ" .PP Основним випадком використання є забезпечення розпізнавання без пароля у sudo, але без потреби у повному вимиканні розпізнавання\&. Для досягнення потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf [domain/MYDOMAIN] pam_gssapi_services = sudo, sudo\-i .fi .if n \{\ .RE .\} .PP Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam\&.d/sudo і /etc/pam\&.d/sudo\-i)\&. .sp .if n \{\ .RS 4 .\} .nf \&.\&.\&. auth sufficient pam_sss_gss\&.so \&.\&.\&. .fi .if n \{\ .RE .\} .SH "ДІАГНОСТИКА" .PP У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть міститися корисні дані щодо помилки\&. Ось деякі з типових проблем: .PP 1\&. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: залежно від вашої версії sudo, можливо, sudo не передає цю змінну до середовища PAM\&. Спробуйте додати KRB5CCNAME до \fBenv_keep\fR в /etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP\&. .PP 2\&. Розпізнавання не працює, а у syslog міститься повідомлення \(FoServer not found in Kerberos database\(Fc: Kerberos, ймовірно, не може визначити належну область для квитка служби на основі назви вузла\&. Спробуйте додати назву вузла безпосередньо у розділ \fB[domain_realm]\fR в /etc/krb5\&.conf, ось так: .PP 3\&. Розпізнавання не працює, а у syslog міститься повідомлення \(FoNo Kerberos credentials available\(Fc: у вас немає реєстраційних даних, якими можна було б скористатися для отримання потрібного квитка служби\&. Скористайтеся kinit або пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні реєстраційні дані\&. .PP 4\&. Розпізнавання не працює, а у журналі sssd\-pam SSSD міститься повідомлення \(FoUser with UPN [$UPN] was not found\&.\(Fc або \(FoUPN [$UPN] does not match target user [$username]\&.\(Fc: ви використовуєте реєстраційні дані, які не можна пов\*(Aqязати із користувачем, розпізнавання якого відбувається\&. Спробуйте скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути \fBpam_gssapi_check_upn\fR\&. .sp .if n \{\ .RS 4 .\} .nf [domain_realm] \&.myhostname = MYREALM .fi .if n \{\ .RE .\} .SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBОсновна гілка розробки SSSD \(em https://pagure\&.io/SSSD/sssd/\fR