PAM_SYSTEMD_HOME(8) pam_systemd_home PAM_SYSTEMD_HOME(8) BEZEICHNUNG pam_systemd_home - Mittels systemd-homed.service Benutzer authentifizieren und Home-Verzeichnisse einhangen UBERSICHT pam_systemd_home.so BESCHREIBUNG pam_systemd_home stellt sicher, dass durch systemd-homed.service(8) verwaltete Home-Verzeichnisse bei der Benutzeranmeldung automatisch aktiviert (eingehangt) und bei der Beendigung der letzten Sitzung des Benutzers deaktiviert (ausgehangt) werden. Fur solche Benutzer stellt es auch eine Authentifizierung (wenn benutzerbezogene Plattenverschlusselung verwandt wird, wird der Platten-Verschlusselungsschlussel aus den Authentifizierungs-Zugangsberechtigungen abgeleitet, die beim Anmelden bereitgestellt wurden) und Kontenverwaltung bereit (der in die Home-Speicherung eingebettete JSON-Benutzerdatensatz[1] enthalt Kontendetails) und implementiert die Aktualisierung des Verschlusselungspassworts (das auch fur die Benutzer-Authentifizierung verwandt wird). OPTIONEN Die folgenden Optionen werden verstanden: suspend= Akzeptiert ein logisches Argument. Falls true, wird das Home-Verzeichnis des Benutzers bei der Systemsuspendierung automatisch suspendiert; falls false, wird es aktiv bleiben. Automatische Suspendierung des Home-Verzeichnisses erhoht die Sicherheit deutlich, da geheimes Schlusselmaterial automatisch aus dem Speicher entfernt wird, bevor das System in den Schlafzustand versetzt wird und neues erlangt werden muss (mittels Benutzerauthentifizierung), wenn des System aus der Suspendierung zuruckkehrt. Es wird empfohlen, diesen Parameter fur alle PAM-Anwendungen zu setzen, die automatische Reauthentifizierung beim Systemaufwachen unterstutzen. Falls mehrere Sitzungen des gleichen Benutzers parallel offen sind, wird des Home-Verzeichnis des Benutzers nicht suspendiert, solange mindestens eine dieser Sitzungen den Parameter nicht auf >>on<< setzt. Standardmassig aus. Beachten Sie, dass TTY-Anmeldungen im Allgemeinen beim Aufwachen keine erneute Authentifizierung unterstutzen. Die erneute Authentifizierung beim Aufwachen des Systems ist ein Konzept, das primar von graphischen Umgebungen unterstutzt wird, bei denen beim Schlafenlegen automatisch Sperrbildschirme hochgebracht werden. Dies bedeutet, dass das Home-Verzeichnis beim Suspendieren aufgrund der oben beschriebenen Logik nicht gesperrt wird, wenn der Benutzer parallel graphische Anmeldungen, die die benotigte erneute Authentifizierung unterstutzen, und Konsole-Anmeldungen, bei denen dies nicht der Fall ist, verwendet. Trotzdem ist es moglich, dieses Feld auch fur TTY-Anmeldungen zu verwenden und die Tatsache zu ignorieren, dass TTY-Anmeldungen den Mechanismus der erneuten Authentifizierung nicht unterstutzen. In diesem Fall erscheint die TTY-Sitzung aufgehangen, bis der Benutzer sich in einem anderen virtuellen Terminal anmeldet (unabhangig davon, ob dies eine andere TTY-Sitzung oder graphisch erfolgt), wodurch das Home-Verzeichnis wieder aufgeweckt wird und die Blockade der ursprunglichen TTY-Sitzung aufgehoben wird. (Beachten Sie, dass das Fehlen von Bildschirmsperren bei TTY-Sitzungen bedeutet, dass Tastenanschlage weiterhin in die Warteschlange gestellt werden konnen, obwohl die TTY-Sitzung aufgehangen erscheint, und die bestehenden Bildschirminhalte ohne erneute Authentifizierung gelesen werden konnen; diese Einschrankung steht nicht in Bezug zu der Verwaltung des Home-Verzeichnisses durch pam_systemd_home und systemd-homed.service.) Es wird fur alle Sitzungen nachdrucklich empfohlen, diese Option einzuschalten, aber nur, falls der Dienst, der diese Sitzungen verwaltet, die vorab erwahnte erneute Authentifizierung korrekt implementiert. Beachten Sie, dass die erneute Authentifizierung durch eine Komponente stattfinden muss, die ausserhalb des Kontextes des Benutzers lauft, so dass sie keinen Zugriff auf das Home-Verzeichnis fur diese Aktion benotigt. Traditionell implementieren die meisten Desktop-Umgebungen Bildschirmschoner nicht auf diese Art und mussen entsprechend aktualisiert werden. Diese Einstellung kann auch mittels der Umgebungsvariable $SYSTEMD_HOME_SUSPEND (siehe unten) gesteuert werden, die pam_systemd_home wahrend der Initialisierung liest und fur Sitzungen setzt. Falls sowohl die Umgebungsvariable gesetzt als auch der Modulparameter angegeben ist, hat der Modulparameter Vorrang. Hinzugefugt in Version 245. debug[=] Akzeptiert ein optionales logisches Argument. Falls >>yes<< oder ohne Argument, wird das Modul Fehlersuchinformationen beim Betrieb protokollieren. Hinzugefugt in Version 245. BEREITGESTELLTE MODULTYPEN Dieses Modul implementiert alle vier PAM-Aktionen: auth (Authentifizierung erlauben, um die verschlusselten Daten zu benutzen), account (da Benutzer mit systemd-homed.service-Benutzerkonten in einem JSON-Benutzerdatensatz[1] beschrieben und detaillierter konfiguriert werden konnen, als in der traditionellen Linux-Benutzerdatenbank), session (da Benutzersitzungen nachverfolgt werden mussen, um automatische Freigaben zu implementieren, wenn die letzte Sitzung eines Benutzers verschwunden ist), password (um das Verschlusselungspasswort uber PAM zu andern - auch fur die Authentifizierung verwandt). UMGEBUNGSVARIABLEN Die folgenden Umgebungsvariablen werden durch das Modul initialisiert und stehen den Prozessen der Sitzung des Benutzers zur Verfugung: $SYSTEMD_HOME=1 Zeigt an, dass das Home-Verzeichnis des Benutzers durch systemd-homed.service verwaltet wird. Hinzugefugt in Version 245. $SYSTEMD_HOME_SUSPEND= Zeigt an, ob die Sitzung mit dem Suspendierungs-Mechanismus aktiviert oder deaktiviert registriert wurde (siehe oben). Der Wert der Variablen ist entweder >>0<< oder >>1<<. Beachten Sie, dass das Modul sowohl bei der Initialisierung den Wert liest und ihn dann auch fur Sitzungen setzt. Hinzugefugt in Version 246. BEISPIEL Es folgt ein Beispiel-PAM-Konfigurationsfragment, das die Verwendung von durch systemd-homed.service verwalteten Benutzern bei der Anmeldung erlaubt: #%PAM-1.0 auth sufficient pam_unix.so -auth sufficient pam_systemd_home.so auth required pam_deny.so account required pam_nologin.so -account sufficient pam_systemd_home.so account sufficient pam_unix.so account required pam_permit.so -password sufficient pam_systemd_home.so password sufficient pam_unix.so sha512 shadow try_first_pass password required pam_deny.so -session optional pam_keyinit.so revoke -session optional pam_loginuid.so -session optional pam_systemd_home.so -session optional pam_systemd.so session required pam_unix.so SIEHE AUCH systemd(1), systemd-homed.service(8), homed.conf(5), homectl(1), pam_systemd(8), pam.conf(5), pam.d(5), pam(8) ANMERKUNGEN 1. JSON-Benutzerdatensatz https://systemd.io/USER_RECORD/ UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 257 PAM_SYSTEMD_HOME(8)