SSSD-KCM(8) Filformat och konventioner SSSD-KCM(8) NAME sssd-kcm - SSSD Kerberos cache-hanterare BESKRIVNING Denna manualsida beskriver konfigurationen av SSSD:s Kerberos cache-hanterare (KCM). KCM ar en process som lagrar, sparar och hanterar Kerberoskreditiv-cachar. Det kommer fran projektet Heimdal Kerberos, fast biblioteket MIT Kerberos tillhandahaller aven stod for klientsidan (mer detaljer om det nedan) av KCM-kreditiv-cachen. I en uppsattning dar Kerberos cachar hanteras av KCM ar Kerberosbiblioteket (typiskt anvant via ett program, som t.ex., kinit(1), en ""KCM-klient"" och KCMdemonen refereras till som en ""KCM-server"". Klienten och servern kommunicerar via ett UNIX-uttag. KCM-servern haller reda pa agaren till varje kreditiv-cache och utfor atkomstkontroller baserat pa AID:t och GID:t pa KCM-klienten. Root-anvandaren har atkomst till alla kreditiv-cachar. KCM-kreditiv-cachen har flera intressanta egenskaper: o eftersom processen kor i anvandarrymden ar den foremal for AID-namnrymder, till skillnad mot karnans nyckelring o till skillnad mot karnans nyckelringsbaserade cache, som delas mellan alla behallare, ar KCM-servern en separat process vars ingangspunkt ar ett UNIX-uttag o SSSD-implementationen sparar ccache:rna i en databas, vanligen placerad i /var/lib/sss/secrets, vilket gor att ccache:rna kan overleva att KCM-servern eller hela maskinen startas om. Detta gor att systemet kan anvanda en samlingsmedveten kreditiv-cache, och anda dela kreditivcachen mellan nagra eller inga behallare genom bindmontering av uttaget. KCM-standardklientens tidsgrans for inaktivitet ar 5 minuter, detta ger mer tid for anvandarinteraktion med kommandoradsverktyg sasom kinit. ATT ANVANDA KCM-KREDITIV-CACHEN For att anvanda KCM-kreditiv-cachen maste den valjas som standardkreditivtypen i krb5.conf(5). Kreditiv-cachens namn skall bara vara "KCM:" utan nagra mallexpansioner. Till exempel: [libdefaults] default_ccache_name = KCM: Se darefter till att Kerberos-klientbiblioteken och KCM-servern ar overens om sokvagen till UNIX-uttaget. Som standard anvander bada samma sokvag /var/run/.heim_org.h5l.kcm-socket. For att konfigurera Kerberos-biblioteket, andra dess alternativ "kcm_socket" som beskrivs i manualsidan krb5.conf(5). Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjansten ar normalt uttagsaktiverad av systemd(1). Till skillnad mot andra SSSD-tjanster kan den inte startas genom att lagga till strangen "kcm" till direktivet "service". systemctl start sssd-kcm.socket systemctl enable sssd-kcm.socket Observera att din distribution kanske redan konfigurerar enheterna at dig. KREDITIV-CACHE-LAGRINGEN Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar anvandar- eller grupposter. Databasen finns normalt i "/var/lib/sss/secrets". ATT FA TAG I FELSOKNINGSLOGGAR Tjansten sssd-kcm ar normalt uttagsaktiverad av systemd(1). For att skapa felsokningsloggar, lagg till foljande antingen direkt till filen /etc/sssd/sssd.conf eller som en konfigurationssnutt till katalogen /etc/sssd/conf.d/: [kcm] debug_level = 10 Starta sedan om tjansten sssd-kcm: systemctl restart sssd-kcm.service Kor slutligen det anvandningsfall som inte fungerar. KCM-loggarna kommer skapas i /var/log/sssd/sssd_kcm.log. Det rekommenderas att avaktivera felsokningsloggarna nar man inte langre behover informationen aktiverad eftersom tjansten sssd-kcm kan skapa en ganska stor mangd felsokningsinformation. Observera att konfigurationssnuttar for narvarande endast behandlas om huvudkonfigurationsfilen pa /etc/sssd/sssd.conf over huvud taget finns. FORNYELSER Tjansten sssd-kcm kan konfigureras till att forsoka gora TGT-fornyelser med fornybara TGT:er lagrade i KCM-ccachen. Fornyelseforsok gors bara nar halva biljettens livstid har uppnatts. KCM-fornyelser konfigureras nar foljande alternativ satts i sektionen [kcm]: tgt_renewal = true krb5_renew_interval = 60m SSSD kan aven arva krb5-alternativ for fornyelser fran en befintlig doman. tgt_renewal = true tgt_renewal_inherit = domannamn Foljande krb5-alternativ kan konfigureras i sektionen [kcm] for att styra fornyelsebeteendet, dessa alternativ beskrivs i detalj nedan krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout KONFIGURATIONSALTERNATIV Tjansten KCM ar konfigurerad i sektionen "kcm" av filen sssd.conf. Observera att eftersom tjansten KCM typiskt ar uttagsaktiverad ar det tillrackligt att bara starta om tjansten "sssd-kcm" efter att ha andrat flaggorna i sektionen "kcm" av sssd.conf: systemctl restart sssd-kcm.service Tjansten KCM konfigureras i "kcm" For en detaljeras syntaxreferens, se avsnittet "FILFORMAT" i manualsidan sssd.conf(5). De allmanna alternativen for tjansten SSSD sasom "debug_level" eller "fd_limit" accepteras av tjansten kcm. Se manualsidan sssd.conf(5) for en fullstandig lista. Dessutom finns det nagra KCM-specifika alternativ ocksa. socket_path (strang) Uttaget tjansten KCM kommer lyssna pa. Standard: /var/run/.heim_org.h5l.kcm-socket Observera: pa plattformar dar systemd stodjs skrivs uttagssokvagen over av den som definieras i enhetsfilen sssd-kcm.socket. max_ccaches (heltal) Hur manga kreditivcacher KCM-databasen tillater for alla anvandare. Standard: 0 (obegransad, endast kvot per AID uppratthalls) max_uid_ccaches (heltal) Hur manga kreditiv-cachningar KCM-databasen tillater per AID. Detta ar ekvivalent med "med hur manga huvudman man kan kinit:a". Standard: 64 max_ccache_size (heltal) Hor stor kan en kreditivcach vara per ccache. Varje tjanstearende raknas in i denna kvot. Standard: 65536 tgt_renewal (bool) Aktiverar TGT-fornyelsefunktionalitet. Standard: False (Automatiska fornyelser avaktiverade) tgt_renewal_inherit (strang) Doman att arva krb5_*-alternativ ifran, att anvandas med TGT-fornyelser. Standard: NULL krb5_auth_timeout (heltal) Tidsgrans i sekunder efter vilken en uppkopplad begaran om autentisering eller begaran om losenordsandring avbryts. Om mojligt fortsatts begaran om autentisering frankopplat. Standard: 6 krb5_validate (boolean) Verifiera med hjalp av krb5_keytab att den TGT om hamtats inte har forfalskats. I keytab:en kontrolleras poster sekventiellt, och den forsta posten med ett matchande rike anvands for validering. Om ingen post matchar riket anvands den sista posten i keytab:en. Denna process kan anvandas for att validera miljoer genom att anvanda fortroenden mellan riken genom att placera den motsvarande keytab-posten som sista post eller den enda posten i keytab-filen. Standard: false (IPA- och AD-leverantor: true) Observera att biljettvalideringen ar forsta steget vid kontroll av PAC:n (se "pac_check" i manualsidan sssd.conf(5) for detaljer). Om biljettvalideringen ar avaktiverad kommer PAC-kontrollerna ocksa att hoppas over. krb5_renewable_lifetime (strang) Begar en fornybar biljett med en total livslangd, given som ett heltal omedelbart foljd av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta den fornybara livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Standard: inte satt, d.v.s. TGT:en ar inte fornybar krb5_lifetime (strang) Begar en biljett med en livslangd, given som ett heltal omedelbart foljd av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Standard: inte satt, d.v.s. biljettens standardlivslangd konfigurerad pa KDC:n. krb5_renew_interval (strang) Tiden i sekunder mellan tva kontroller om TGT:en skall fornyas. TGT:er fornyas om ungefar halva deras livstid har overskridits, givet som ett heltal omedelbart foljt av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta den fornybara livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Om detta alternativ inte ar satt eller ar 0 ar den automatiska fornyelsen avaktiverad. Standard: inte satt krb5_canonicalize (boolean) Anger om vardens och anvandarens huvudman skall goras kanonisk. Denna funktion ar tillganglig med MIT Kerberos 1.7 och senare versioner. Standard: false SE AVEN sssd(8), sssd.conf(5), AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 05/17/2024 SSSD-KCM(8)