'\" t .\" Title: sssd-kcm .\" Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Форматы файлов и рекомендации .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-KCM" "8" "05/17/2024" "SSSD" "Форматы файлов и рекомендации" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-kcm \- Диспетчер кэшей Kerberos SSSD .SH "ОПИСАНИЕ" .PP На этой справочной странице представлено описание настройки диспетчера кэшей Kerberos SSSD (Kerberos Cache Manager или KCM)\&. KCM \(em это процесс, который хранит кэши учётных данных Kerberos, отслеживает эти кэши и управляет ими\&. Он был создан на основе проекта Heimdal Kerberos, хотя библиотека MIT Kerberos также предоставляет поддержку со стороны клиента (подробнее об этом далее) для кэша учётных данных KCM\&. .PP В конфигурации, где кэшами Kerberos управляет KCM, библиотека Kerberos (обычно используемая через приложение, например \fBkinit\fR(1)) является \(lqклиентом KCM\(rq, а внутренняя служба KCM называется \(lqсервером KCM\(rq\&. Клиент и сервер обмениваются данными с помощью сокета UNIX\&. .PP Сервер KCM следит за всеми владельцами кэшей учётных данных и осуществляет управление проверками прав доступа на основе UID и GID клиента KCM\&. Пользователь root имеет доступ ко всем кэшам учётных данных\&. .PP Кэш учётных данных KCM обладает несколькими интересными свойствами: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} так как процесс выполняется в пространстве пользователей, он подлежит ограничениям по пространству имён UID, в отличие от набора ключей ядра .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} в отличие от кэша на основе набора ключей ядра, который является общим для всех контейнеров, сервер KCM представляет собой отдельный процесс, точкой входа которого является сокет UNIX .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} реализация SSSD сохраняет данные ccache в базе данных (обычно она находится по адресу \fI/var/lib/sss/secrets\fR), что позволяет не терять эти данные при перезапусках сервера KCM или перезагрузках компьютера\&. .RE .sp Это позволяет системе использовать кэш учётных данных с учётом сбора, одновременно делая кэш учётных данных общим для нескольких контейнеров (или для никаких контейнеров вообще) путём привязки\-монтирования сокета\&. .PP Тайм\-аут простоя клиента KCM по умолчанию составляет 5 минут, что предоставляет больше времени на взаимодействие пользователя с инструментами командной строки, например kinit\&. .SH "ИСПОЛЬЗОВАНИЕ КЭША УЧЁТНЫХ ДАННЫХ KCM" .PP Чтобы использовать кэш учётных данных KCM, необходимо выбрать его в качестве стандартного типа учётных данных в \fBkrb5.conf\fR(5)\&. Именем кэша учётных данных может быть только \(lqKCM:\(rq, без каких\-либо расширений шаблонов\&. Например: .sp .if n \{\ .RS 4 .\} .nf [libdefaults] default_ccache_name = KCM: .fi .if n \{\ .RE .\} .PP Далее следует указать одинаковый путь к сокету UNIX для клиентских библиотек Kerberos и сервера KCM\&. По умолчанию и для библиотек, и для сервера используется путь \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR\&. Чтобы настроить библиотеку Kerberos, измените её параметр \(lqkcm_socket\(rq, описание которого приводится на справочной странице \fBkrb5.conf\fR(5)\&. .PP И наконец, следует убедиться, что с сервером KCM SSSD можно связаться\&. Служба KCM обычно активируется \fBsystemd\fR(1) с помощью сокета\&. В отличие от других служб SSSD, её нельзя запустить, добавив строку \(lqkcm\(rq к инструкции \(lqservice\(rq\&. .sp .if n \{\ .RS 4 .\} .nf systemctl start sssd\-kcm\&.socket systemctl enable sssd\-kcm\&.socket .fi .if n \{\ .RE .\} .sp Обратите внимание, что в дистрибутиве уже может быть выполнена соответствующая настройка модулей\&. .SH "ХРАНИЛИЩЕ КЭША УЧЁТНЫХ ДАННЫХ" .PP Кэши учётных данных хранятся в базе данных, что очень похоже на хранение кэшей записей пользователей и групп SSSD\&. Обычно эта база данных находится по адресу \(lq/var/lib/sss/secrets\(rq\&. .SH "ПОЛУЧЕНИЕ ЖУРНАЛА ОТЛАДКИ" .PP Служба sssd\-kcm обычно активируется на сокете \fBsystemd\fR(1)\&. Для генерации журнала отладки добавьте следующее либо непосредственно в файл /etc/sssd/sssd\&.conf, либо как фрагмент конфигурации в каталог /etc/sssd/conf\&.d/: .sp .if n \{\ .RS 4 .\} .nf [kcm] debug_level = 10 .fi .if n \{\ .RE .\} .sp Затем перезапустите службу sssd\-kcm: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .sp И выполните те действия, которые не приводят к желаемым результатам\&. Журнал KCM будет записан в /var/log/sssd/sssd_kcm\&.log\&. Когда в работе службы отладки больше не будет необходимости, рекомендуется отключить журнал отладки, так как служба sssd\-kcm может генерировать довольно большое количество данных отладки\&. .PP Обратите внимание, что в настоящее время фрагменты конфигурации обрабатываются только в том случае, если основной файл конфигурации по пути /etc/sssd/sssd\&.conf существует\&. .SH "ОБНОВЛЕНИЯ" .PP Службу sssd\-kcm можно настроить на выполнение попыток обновления TGT для обновляемых TGT, которые хранятся в ccache KCM\&. Попытка обновления выполняется только в том случае, если прошла половина времени жизни билета\&. Обновления KCM настраиваются при установке следующих параметров в разделе [kcm]: .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true krb5_renew_interval = 60m .fi .if n \{\ .RE .\} .PP SSSD также может наследовать параметры krb5 для обновлений из существующего домена\&. .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true tgt_renewal_inherit = domain\-name .fi .if n \{\ .RE .\} .PP Для управления поведением обновлений в разделе [kcm] можно настроить следующие параметры krb5 (подробное описание этих параметров приводится далее) .sp .if n \{\ .RS 4 .\} .nf krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout .fi .if n \{\ .RE .\} .sp .SH "ПАРАМЕТРЫ КОНФИГУРАЦИИ" .PP Служба KCM настраивается в разделе \(lqkcm\(rq файла sssd\&.conf\&. Обратите внимание: так как служба KCM обычно активируется с помощью сокета, достаточно просто перезапустить службу \(lqsssd\-kcm\(rq после изменения параметров в разделе \(lqkcm\(rq sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .PP Настройки службы KCM выполняются с помощью \(lqkcm\(rq\&. Подробные сведения о синтаксисе доступны в разделе \(lqФОРМАТ ФАЙЛА\(rq справочной страницы \fBsssd.conf\fR(5)\&. .PP Службе kcm можно передавать типовые параметры сервиса SSSD, такие как \(lqdebug_level\(rq или\(lqfd_limit\(rq\&. Полный список параметров доступен на справочной странице \fBsssd.conf\fR(5)\&. Кроме того, предусмотрено несколько специфичных для KCM параметров\&. .PP socket_path (строка) .RS 4 Сокет, на котором будет ожидать передачи данных служба KCM\&. .sp По умолчанию: \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR .sp Примечание: на платформах, которые поддерживают systemd, путь к сокету перезаписан путём, который определён в файле модуля sssd\-kcm\&.socket\&. .RE .PP max_ccaches (целое число) .RS 4 Сколько кэшей учётных данных может содержать база данных KCM для всех пользователей\&. .sp По умолчанию: 0 (без ограничений, принудительно применяется только квота для отдельного UID) .RE .PP max_uid_ccaches (целое число) .RS 4 Сколько кэшей учётных данных может содержать база данных KCM для одного UID\&. Это эквивалентно \(lqколичеству участников, инициализацию которых можно выполнить с помощью kinit\(rq\&. .sp По умолчанию: 64 .RE .PP max_ccache_size (целое число) .RS 4 Максимальный размер кэша учётных данных для отдельного ccache\&. Эта квота вычисляется сразу для всех билетов служб\&. .sp По умолчанию: 65536 .RE .PP tgt_renewal (логическое значение) .RS 4 Включает функциональную возможность обновлений TGT\&. .sp По умолчанию: False (автоматические обновления отключены) .RE .PP tgt_renewal_inherit (строка) .RS 4 Домен, от которого наследуются параметры krb5_*, для использования при обновлении TGT\&. .sp По умолчанию: NULL .RE .PP krb5_auth_timeout (целое число) .RS 4 Тайм\-аут в секундах после прерывания запроса проверки подлинности или смены пароля в сетевом режиме\&. Обработка запроса проверки подлинности будет продолжена в автономном режиме, если это возможно\&. .sp По умолчанию: 6 .RE .PP krb5_validate (логическое значение) .RS 4 Проверить с помощью krb5_keytab, что полученный TGT не был подменён\&. Проверка записей в таблице ключей выполняется последовательно, для проверки действительности используется первая запись с соответствующей областью\&. Если области не соответствует ни одна из записей, используется последняя запись в таблице ключей\&. Этот процесс можно использовать для проверки сред, где используются межобластные отношения доверия, поместив соответствующую запись таблицы ключей в качестве последней или единственной записи в файле таблицы ключей\&. .sp По умолчанию: false (для поставщиков данных IPA и AD: true) .sp Обратите внимание, что проверка билета \(em это первый шаг при проверке PAC (дополнительные сведения доступны в описании параметра \(Fopac_check\(Fc на справочной странице \fBsssd.conf\fR(5))\&. Если проверка билета отключена, проверки PAC также будут пропущены\&. .RE .PP krb5_renewable_lifetime (строка) .RS 4 Запросить обновляемый билет с общим временем жизни, указанным как целое число, сразу после которого следует единица измерения времени: .sp \fIs\fR для секунд .sp \fIm\fR для минут .sp \fIh\fR для часов .sp \fId\fR для дней\&. .sp Если единица измерения не указана, предполагается, что используется значение \fIs\fR\&. .sp ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить обновляемое время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp По умолчанию: не задано, то есть TGT не является обновляемым .RE .PP krb5_lifetime (строка) .RS 4 Запросить билет с временем жизни, указанным как целое число, сразу после которого следует единица измерения времени: .sp \fIs\fR для секунд .sp \fIm\fR для минут .sp \fIh\fR для часов .sp \fId\fR для дней\&. .sp Если единица измерения не указана, предполагается, что используется значение \fIs\fR\&. .sp ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp По умолчанию: не задано, то есть стандартное время жизни билета, настроенное в параметрах KDC\&. .RE .PP krb5_renew_interval (строка) .RS 4 Время в секундах между двумя проверками того, следует ли обновить TGT\&. Обновление TGT выполняется в том случае, если прошла примерно половина времени жизни билета, указанного как целое число, сразу после которого следует единица измерения времени: .sp \fIs\fR для секунд .sp \fIm\fR для минут .sp \fIh\fR для часов .sp \fId\fR для дней\&. .sp Если единица измерения не указана, предполагается, что используется значение \fIs\fR\&. .sp ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить обновляемое время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp Если этот параметр не указан или установлен в значение \(Fo0\(Fc, автоматическое обновление отключено\&. .sp По умолчанию: не задано .RE .PP krb5_canonicalize (логическое значение) .RS 4 Позволяет указать, следует ли приводить в каноническую форму имя участника\-узла и участника\-пользователя\&. Эта возможность доступна в MIT Kerberos 1\&.7 и выше\&. .sp По умолчанию: false .RE .SH "СМ\&. ТАКЖЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), .SH "AUTHORS" .PP \fBВосходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github\&.com/SSSD/sssd/\fR