'\" t .\" Title: sssd-kcm .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Filformat och konventioner .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-KCM" "8" "05/17/2024" "SSSD" "Filformat och konventioner" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-kcm \- SSSD Kerberos cache\-hanterare .SH "BESKRIVNING" .PP Denna manualsida beskriver konfigurationen av SSSD:s Kerberos cache\-hanterare (KCM)\&. KCM är en process som lagrar, spårar och hanterar Kerberoskreditiv\-cachar\&. Det kommer från projektet Heimdal Kerberos, fast biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer detaljer om det nedan) av KCM\-kreditiv\-cachen\&. .PP I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket (typiskt använt via ett program, som t\&.ex\&., \fBkinit\fR(1), en \(lq\(rqKCM\-klient"\(rq och KCMdemonen refereras till som en \(lq\(rqKCM\-server"\(rq\&. Klienten och servern kommunicerar via ett UNIX\-uttag\&. .PP KCM\-servern håller reda på ägaren till varje kreditiv\-cache och utför åtkomstkontroller baserat på AID:t och GID:t på KCM\-klienten\&. Root\-användaren har åtkomst till alla kreditiv\-cachar\&. .PP KCM\-kreditiv\-cachen har flera intressanta egenskaper: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} eftersom processen kör i användarrymden är den föremål för AID\-namnrymder, till skillnad mot kärnans nyckelring .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} till skillnad mot kärnans nyckelringsbaserade cache, som delas mellan alla behållare, är KCM\-servern en separat process vars ingångspunkt är ett UNIX\-uttag .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} SSSD\-implementationen sparar ccache:rna i en databas, vanligen placerad i \fI/var/lib/sss/secrets\fR, vilket gör att ccache:rna kan överleva att KCM\-servern eller hela maskinen startas om\&. .RE .sp Detta gör att systemet kan använda en samlingsmedveten kreditiv\-cache, och ändå dela kreditivcachen mellan några eller inga behållare genom bindmontering av uttaget\&. .PP KCM\-standardklientens tidsgräns för inaktivitet är 5 minuter, detta ger mer tid för användarinteraktion med kommandoradsverktyg såsom kinit\&. .SH "ATT ANVÄNDA KCM\-KREDITIV\-CACHEN" .PP För att använda KCM\-kreditiv\-cachen måste den väljas som standardkreditivtypen i \fBkrb5.conf\fR(5)\&. Kreditiv\-cachens namn skall bara vara \(lqKCM:\(rq utan några mallexpansioner\&. Till exempel: .sp .if n \{\ .RS 4 .\} .nf [libdefaults] default_ccache_name = KCM: .fi .if n \{\ .RE .\} .PP Se därefter till att Kerberos\-klientbiblioteken och KCM\-servern är överens om sökvägen till UNIX\-uttaget\&. Som standard använder båda samma sökväg \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR\&. För att konfigurera Kerberos\-biblioteket, ändra dess alternativ \(lqkcm_socket\(rq som beskrivs i manualsidan \fBkrb5.conf\fR(5)\&. .PP Se slutligen till att SSSD KCM\-servern kan kontaktas\&. KCM\-tjänsten är normalt uttagsaktiverad av \fBsystemd\fR(1)\&. Till skillnad mot andra SSSD\-tjänster kan den inte startas genom att lägga till strängen \(lqkcm\(rq till direktivet \(lqservice\(rq\&. .sp .if n \{\ .RS 4 .\} .nf systemctl start sssd\-kcm\&.socket systemctl enable sssd\-kcm\&.socket .fi .if n \{\ .RE .\} .sp Observera att din distribution kanske redan konfigurerar enheterna åt dig\&. .SH "KREDITIV\-CACHE\-LAGRINGEN" .PP Kreditiv\-cachen lagras i en databas, snarlikt hur SSSD cachar användar\- eller grupposter\&. Databasen finns normalt i \(lq/var/lib/sss/secrets\(rq\&. .SH "ATT FÅ TAG I FELSÖKNINGSLOGGAR" .PP Tjänsten sssd\-kcm är normalt uttagsaktiverad av \fBsystemd\fR(1)\&. För att skapa felsökningsloggar, lägg till följande antingen direkt till filen /etc/sssd/sssd\&.conf eller som en konfigurationssnutt till katalogen /etc/sssd/conf\&.d/: .sp .if n \{\ .RS 4 .\} .nf [kcm] debug_level = 10 .fi .if n \{\ .RE .\} .sp Starta sedan om tjänsten sssd\-kcm: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .sp Kör slutligen det användningsfall som inte fungerar\&. KCM\-loggarna kommer skapas i /var/log/sssd/sssd_kcm\&.log\&. Det rekommenderas att avaktivera felsökningsloggarna när man inte längre behöver informationen aktiverad eftersom tjänsten sssd\-kcm kan skapa en ganska stor mängd felsökningsinformation\&. .PP Observera att konfigurationssnuttar för närvarande endast behandlas om huvudkonfigurationsfilen på /etc/sssd/sssd\&.conf över huvud taget finns\&. .SH "FÖRNYELSER" .PP Tjänsten sssd\-kcm kan konfigureras till att försöka göra TGT\-förnyelser med förnybara TGT:er lagrade i KCM\-ccachen\&. Förnyelseförsök görs bara när halva biljettens livstid har uppnåtts\&. KCM\-förnyelser konfigureras när följande alternativ sätts i sektionen [kcm]: .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true krb5_renew_interval = 60m .fi .if n \{\ .RE .\} .PP SSSD kan även ärva krb5\-alternativ för förnyelser från en befintlig domän\&. .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true tgt_renewal_inherit = domännamn .fi .if n \{\ .RE .\} .PP Följande krb5\-alternativ kan konfigureras i sektionen [kcm] för att styra förnyelsebeteendet, dessa alternativ beskrivs i detalj nedan .sp .if n \{\ .RS 4 .\} .nf krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout .fi .if n \{\ .RE .\} .sp .SH "KONFIGURATIONSALTERNATIV" .PP Tjänsten KCM är konfigurerad i sektionen \(lqkcm\(rq av filen sssd\&.conf\&. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är det tillräckligt att bara starta om tjänsten \(lqsssd\-kcm\(rq efter att ha ändrat flaggorna i sektionen \(lqkcm\(rq av sssd\&.conf: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .PP Tjänsten KCM konfigureras i \(lqkcm\(rq För en detaljeras syntaxreferens, se avsnittet \(lqFILFORMAT\(rq i manualsidan \fBsssd.conf\fR(5)\&. .PP De allmänna alternativen för tjänsten SSSD såsom \(lqdebug_level\(rq eller \(lqfd_limit\(rq accepteras av tjänsten kcm\&. Se manualsidan \fBsssd.conf\fR(5) för en fullständig lista\&. Dessutom finns det några KCM\-specifika alternativ också\&. .PP socket_path (sträng) .RS 4 Uttaget tjänsten KCM kommer lyssna på\&. .sp Standard: \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR .sp Observera: på plattformar där systemd stödjs skrivs uttagssökvägen över av den som definieras i enhetsfilen sssd\-kcm\&.socket\&. .RE .PP max_ccaches (heltal) .RS 4 Hur många kreditivcacher KCM\-databasen tillåter för alla användare\&. .sp Standard: 0 (obegränsad, endast kvot per AID upprätthålls) .RE .PP max_uid_ccaches (heltal) .RS 4 Hur många kreditiv\-cachningar KCM\-databasen tillåter per AID\&. Detta är ekvivalent med \(lqmed hur många huvudmän man kan kinit:a\(rq\&. .sp Standard: 64 .RE .PP max_ccache_size (heltal) .RS 4 Hor stor kan en kreditivcach vara per ccache\&. Varje tjänsteärende räknas in i denna kvot\&. .sp Standard: 65536 .RE .PP tgt_renewal (bool) .RS 4 Aktiverar TGT\-förnyelsefunktionalitet\&. .sp Standard: False (Automatiska förnyelser avaktiverade) .RE .PP tgt_renewal_inherit (sträng) .RS 4 Domän att ärva krb5_*\-alternativ ifrån, att användas med TGT\-förnyelser\&. .sp Standard: NULL .RE .PP krb5_auth_timeout (heltal) .RS 4 Tidsgräns i sekunder efter vilken en uppkopplad begäran om autentisering eller begäran om lösenordsändring avbryts\&. Om möjligt fortsätts begäran om autentisering frånkopplat\&. .sp Standard: 6 .RE .PP krb5_validate (boolean) .RS 4 Verifiera med hjälp av krb5_keytab att den TGT om hämtats inte har förfalskats\&. I keytab:en kontrolleras poster sekventiellt, och den första posten med ett matchande rike används för validering\&. Om ingen post matchar riket används den sista posten i keytab:en\&. Denna process kan användas för att validera miljöer genom att använda förtroenden mellan riken genom att placera den motsvarande keytab\-posten som sista post eller den enda posten i keytab\-filen\&. .sp Standard: false (IPA\- och AD\-leverantör: true) .sp Observera att biljettvalideringen är första steget vid kontroll av PAC:n (se \(rqpac_check\(rq i manualsidan \fBsssd.conf\fR(5) för detaljer)\&. Om biljettvalideringen är avaktiverad kommer PAC\-kontrollerna också att hoppas över\&. .RE .PP krb5_renewable_lifetime (sträng) .RS 4 Begär en förnybar biljett med en total livslängd, given som ett heltal omedelbart följd av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta den förnybara livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Standard: inte satt, d\&.v\&.s\&. TGT:en är inte förnybar .RE .PP krb5_lifetime (sträng) .RS 4 Begär en biljett med en livslängd, given som ett heltal omedelbart följd av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Standard: inte satt, d\&.v\&.s\&. biljettens standardlivslängd konfigurerad på KDC:n\&. .RE .PP krb5_renew_interval (sträng) .RS 4 Tiden i sekunder mellan två kontroller om TGT:en skall förnyas\&. TGT:er förnyas om ungefär halva deras livstid har överskridits, givet som ett heltal omedelbart följt av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta den förnybara livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Om detta alternativ inte är satt eller är 0 är den automatiska förnyelsen avaktiverad\&. .sp Standard: inte satt .RE .PP krb5_canonicalize (boolean) .RS 4 Anger om värdens och användarens huvudman skall göras kanonisk\&. Denna funktion är tillgänglig med MIT Kerberos 1\&.7 och senare versioner\&. .sp Standard: false .RE .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR