'\" t .\" Title: sssd-kcm .\" Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Формати файлів та правила .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-KCM" "8" "05/17/2024" "SSSD" "Формати файлів та правила" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-kcm \- Керування кешем Kerberos SSSD .SH "ОПИС" .PP На цій сторінці підручника описано налаштування засобу керування кешем Kerberos SSSD (Kerberos Cache Manager або KCM)\&. KCM є процесом, який зберігає, стежить і керує кешем реєстраційних даних Kerberos\&. Ідея створення засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT також надається підтримка з боку клієнта для кешу реєстраційних даних KCM (докладніше про це нижче)\&. .PP У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово використовується за допомогою якоїсь програми, наприклад \fBkinit\fR(1)) є \(lqклієнтом KCM\(rq, а фонова служба KCM вважається \(lqсервером KCM\(rq\&. Клієнт і сервер обмінюються даними за допомогою сокета UNIX\&. .PP Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує перевірку прав доступу на основі UID і GID клієнта KCM\&. Користувач root має доступ до усіх кешів реєстраційних даних\&. .PP Кеш реєстраційних даних KCM має декілька цікавих властивостей: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} оскільки процес виконується у просторі користувача, він підлягає обмеженням за простором назв UID, на відміну від набору ключів ядра .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} реалізація у SSSD зберігає дані ccache у базі даних, файл якої типово називається \fI/var/lib/sss/secrets\fR\&. За допомогою цього файла ccache зберігаються протягом періодів перезапуску сервера KCM або перезавантаження комп\*(Aqютера\&. .RE .sp Це надає змогу системі використовувати кеш реєстраційних даних із врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних даних для декількох контейнерів або без контейнерів взагалі шляхом прив\*(Aqязування\-монтування сокета\&. .PP Час очікування на дії типового клієнта KCM дорівнює 5 хвилин, таке значення надає більшу часу на взаємодію користувача із інструментами командного рядка, зокрема kinit\&. .SH "КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM" .PP Для використання кешу реєстраційних даних KCM його слід вибрати стандартним типом реєстраційних даних у \fBkrb5.conf\fR(5)\&. Назвою кешу реєстраційних даних має бути лише \(lqKCM:\(rq без будь\-яких розширень шаблонами\&. Приклад: .sp .if n \{\ .RS 4 .\} .nf [libdefaults] default_ccache_name = KCM: .fi .if n \{\ .RE .\} .PP Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек Kerberos і сервера KCM\&. Типово, у обох випадках використовується однаковий шлях \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR\&. Для налаштовування бібліотеки Kerberos змініть значення її параметра \(lqkcm_socket\(rq, як це описано на сторінці підручника \fBkrb5.conf\fR(5)\&. .PP Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити зв\*(Aqязок\&. Типово, служба KCM вмикається за допомогою сокета з \fBsystemd\fR(1)\&. На відміну від інших служб SSSD, її не можна запустити додаванням рядка \(lqkcm\(rq до інструкції \(lqservice\(rq\&. .sp .if n \{\ .RS 4 .\} .nf systemctl start sssd\-kcm\&.socket systemctl enable sssd\-kcm\&.socket .fi .if n \{\ .RE .\} .sp Будь ласка, зауважте, що відповідні налаштування модулів вже могло бути виконано засобами вашого дистрибутива\&. .SH "СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ" .PP Кеші реєстраційних даних зберігаються у базі даних, дуже подібно до кешів записів користувачів і груп SSSD\&. Типово, база даних зберігається у \(lq/var/lib/sss/secrets\(rq\&. .SH "ОТРИМАННЯ ДІАГНОСТИЧНОГО ЖУРНАЛУ" .PP Типово, служба sssd\-kcm активує крізь сокет \fBsystemd\fR(1)\&. Для створення діагностичних журналів додайте вказані нижче рядки або безпосередньо до файла /etc/sssd/sssd\&.conf, або як фрагмент налаштувань до каталогу /etc/sssd/conf\&.d/: .sp .if n \{\ .RS 4 .\} .nf [kcm] debug_level = 10 .fi .if n \{\ .RE .\} .sp Далі, перезапустіть службу sssd\-kcm: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .sp Нарешті, виконайте дії, які не призводять до бажаних для вас наслідків\&. Журнал KCM буде записано до /var/log/sssd/sssd_kcm\&.log\&. Рекомендуємо вимкнути ведення діагностичного журналу, якщо вам не потрібні діагностичні дані, оскільки служба sssd\-kcm може породжувати доволі великий обсяг діагностичних даних\&. .PP Будь ласка, зауважте, що у поточній версії фрагменти налаштувань буде оброблено, лише якщо взагалі існує основний файл налаштувань /etc/sssd/sssd\&.conf\&. .SH "ПОНОВЛЕННЯ" .PP Службу sssd\-kcm можна налаштувати на спробу поновлення TGT для поновлюваних TGT, які зберігаються у ccache KCM\&. Спроби поновлення виконуватимуться при досягненні половини строку дії квитка\&. Поновлення KCM налаштовуються при встановленні таких параметрів у розділі [kcm]: .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true krb5_renew_interval = 60m .fi .if n \{\ .RE .\} .PP Крім того, SSSD може успадковувати параметри krb5 для поновлень з наявного домену\&. .sp .if n \{\ .RS 4 .\} .nf tgt_renewal = true tgt_renewal_inherit = domain\-name .fi .if n \{\ .RE .\} .PP Вказані нижче параметри krb5 можна налаштувати у розділі [kcm] для керування поведінкою під час поновлення\&. Ці параметри докладно описано нижче .sp .if n \{\ .RS 4 .\} .nf krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout .fi .if n \{\ .RE .\} .sp .SH "ПАРАМЕТРИ НАЛАШТУВАННЯ" .PP Налаштовування служби KCM виконується за допомогою розділу \(lqkcm\(rq файла sssd\&.conf\&. Будь ласка, зауважте, що оскільки активація служби KCM, зазвичай, відбувається за допомогою сокетів, після внесення змін до розділу \(lqkcm\(rq файла sssd\&.conf достатньо перезапустити службу \(lqsssd\-kcm\(rq: .sp .if n \{\ .RS 4 .\} .nf systemctl restart sssd\-kcm\&.service .fi .if n \{\ .RE .\} .PP Налаштування служби KCM виконують за допомогою \(lqkcm\(rq\&. Докладний опис синтаксичних конструкцій налаштувань наведено у розділі \(lqФОРМАТ ФАЙЛА\(rq сторінки підручника щодо \fBsssd.conf\fR(5)\&. .PP Службі kcm можна передавати типові параметри служби SSSD, зокрема \(lqdebug_level\(rq та \(lqfd_limit\(rq Із повним списком параметрів можна ознайомитися на сторінці підручника \fBsssd.conf\fR(5)\&. Крім того, передбачено декілька специфічних для KCM параметрів\&. .PP socket_path (рядок) .RS 4 Сокет, на якому очікуватиме на з\*(Aqєднання служба KCM\&. .sp Типове значення: \fI/var/run/\&.heim_org\&.h5l\&.kcm\-socket\fR .sp Зауваження: на платформах, де передбачено підтримку systemd, шлях до сокета буде перезаписано шляхом, який визначено у файлі модуля sssd\-kcm\&.socket\&. .RE .PP max_ccaches (ціле число) .RS 4 Скільки кешів реєстраційних може мати даних база даних KCM для усіх користувачів\&. .sp Типове значення: 0 (без обмежень, застосовується лише квота на кількість кешів на UID) .RE .PP max_uid_ccaches (ціле число) .RS 4 Скільки кешів реєстраційних може мати даних база даних KCM для окремого UID\&. Еквівалент значення \(lqкількість реєстраційних даних, які можна ініціювати за допомогою kinit\(rq\&. .sp Типове значення: 64 .RE .PP max_ccache_size (ціле число) .RS 4 Наскільки великим може бути кеш реєстраційних даних окремого ccache\&. Ця квота обчислюється для усіх квитків служб разом\&. .sp Типове значення: 65536 .RE .PP tgt_renewal (булеве значення) .RS 4 Вмикає функціональні можливості поновлень TGT\&. .sp Типове значення: False (автоматичні поновлення вимкнено) .RE .PP tgt_renewal_inherit (рядок) .RS 4 Домен, з якого слід успадковувати параметри krb5_*, для використання із поновленнями TGT\&. .sp Типове значення: NULL .RE .PP krb5_auth_timeout (ціле число) .RS 4 Час очікування, по завершенню якого буде перервано запит щодо розпізнавання або зміни пароля у мережі\&. Якщо це можливо, обробку запиту щодо розпізнавання буде продовжено у автономному режимі\&. .sp Типове значення: 6 .RE .PP krb5_validate (булеве значення) .RS 4 Перевірити за допомогою krb5_keytab, чи отриманий TGT не було підмінено\&. Перевірка записів у таблиці ключів виконується послідовно\&. Для перевірки використовується перший запис з відповідним значенням області\&. Якщо не буде знайдено жодного відповідного області запису, буде використано останній запис з таблиці ключів\&. Цим процесом можна скористатися для перевірки середовищ за допомогою зв\(cqязків довіри між записами областей: достатньо розташувати відповідний запис таблиці ключів на останньому місці або зробити його єдиним записом у файлі таблиці ключів\&. .sp Типове значення: false (надається IPA та AD: true) .sp Будь ласка, зауважте, що перевірка квитка є першим кроком при перевірці PAC (див\&. \(Fopac_check\(Fc на сторінці підручника щодо \fBsssd.conf\fR(5), щоб дізнатися більше)\&. Якщо перевірку квитків вимкнено, також буде вимкнено і перевірки PAC\&. .RE .PP krb5_renewable_lifetime (рядок) .RS 4 Надіслати запит щодо поновлюваного квитка з загальним строком дії, вказаним за допомогою цілого числа, за яким одразу вказано одиницю часу: .sp \fIs\fR \(em секунди .sp \fIm\fR \(em хвилини .sp \fIh\fR \(em години .sp \fId\fR \(em дні\&. .sp Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю \fIs\fR\&. .sp Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp Типове значення: не встановлено, тобто TGT не є оновлюваним .RE .PP krb5_lifetime (рядок) .RS 4 Надіслати запит щодо квитка з загальним строком дії, вказаним за допомогою цілого числа, за яким одразу вказано одиницю часу: .sp \fIs\fR \(em секунди .sp \fIm\fR \(em хвилини .sp \fIh\fR \(em години .sp \fId\fR \(em дні\&. .sp Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю \fIs\fR\&. .sp Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp Типове значення: не встановлено, тобто типовий строк дії квитка визначатиметься у налаштуваннях KDC\&. .RE .PP krb5_renew_interval (рядок) .RS 4 Час у секундах між двома послідовними перевірками того, чи слід оновлювати записи TGT\&. Записи TGT оновлюються після завершення приблизно половини їхнього строку дії, що задається як ціле число з наступним позначенням одиниці часу: .sp \fIs\fR \(em секунди .sp \fIm\fR \(em хвилини .sp \fIh\fR \(em години .sp \fId\fR \(em дні\&. .sp Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю \fIs\fR\&. .sp Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&. .sp Якщо значення для цього параметра встановлено не буде або буде встановлено значення 0, автоматичного оновлення не відбуватиметься\&. .sp Типове значення: not set .RE .PP krb5_canonicalize (булеве значення) .RS 4 Визначає, чи слід перетворювати реєстраційний запис вузла і користувача у канонічну форму\&. Цю можливість передбачено з версії MIT Kerberos 1\&.7\&. .sp Типове значення: false .RE .SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), .SH "AUTHORS" .PP \fBОсновна гілка розробки SSSD \(em https://pagure\&.io/SSSD/sssd/\fR