'\" t .\" Title: sssd-krb5 .\" Author: O autor do SSSD - https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 06/09/2026 .\" Manual: Formatos de Ficheiros e Convenções .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-KRB5" "5" "06/09/2026" "SSSD" "Formatos de Ficheiros e Conven" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-krb5 \- Provedor Kerberos do SSSD .SH "DESCRIÇÃO" .PP Este manual descreve a configuração do backend de autenticação Kerberos 5 para \fBsssd\fR(8)\&. Para uma referência detalhada da sintaxe, consulte a secção \(lqFORMATO DE FICHEIRO\(rq do manual \fBsssd.conf\fR(5)\&. .PP O backend de autenticação Kerberos 5 contém provedores auth e chpass\&. Tem de ser pareado com um provedor de identidade de modo a funcionar correctamente (por exemplo, id_provider = ldap)\&. Alguma informação requerida pelo backend de autenticação Kerberos 5 tem de ser fornecida pelo provedor de identidade, tal como o Kerberos Principal Name (UPN) do utilizador\&. A configuração do provedor de identidade deve ter uma entrada para especificar o UPN\&. Por favor consulte o manual do provedor de identidade aplicado para detalhes sobre como configurar isto\&. .PP Este backend também fornece controle de acesso baseado no ficheiro \&.k5login no directório home do utilizador\&. Veja \fBk5login\fR(5) para mais detalhes\&. Por favor note que um ficheiro \&.k5login vazio irá negar todo o acesso a este utilizador\&. Para activar esta funcionalidade, use \*(Aqaccess_provider = krb5\*(Aq na sua configuração do SSSD\&. .PP Em casos onde o UPN não está disponível no backend de identidade, o \fBsssd\fR irá construir um UPN usando o formato \fInome\-utilizador\fR@\fIkrb5_realm\fR\&. .SH "OPÇÕES DE CONFIGURAÇÃO" .PP Se o auth\-module krb5 for usado num domínio SSSD, as seguintes opções têm de ser usadas\&. Veja o manual \fBsssd.conf\fR(5), secção \(lqSECÇÕES DE DOMÍNIO\(rq, para detalhes sobre a configuração de um domínio SSSD\&. .PP krb5_server, krb5_backup_server (string) .RS 4 Especifica a lista separada por vírgulas de endereços IP ou nomes de máquinas dos servidores Kerberos aos quais o SSSD deve ligar, pela ordem de preferência\&. Para mais informação sobre failover e redundância de servidores, veja a secção \(lqFAILOVER\(rq\&. Um número de porto adicional (com dois pontos a preceder) pode ser acrescentado aos endereços ou nomes de máquinas\&. Se vazia, é activada a descoberta de serviços; para mais informação, consulte a secção \(lqDESCOBERTA DE SERVIÇOS\(rq\&. .sp Quando se usa descoberta de serviços para servidores KDC ou kpasswd, o SSSD primeiro procura por entradas DNS que especifiquem _udp como o protocolo e regressa a _tcp se nenhuma for encontrada\&. .sp Esta opção tinha o nome \(lqkrb5_kdcip\(rq em lançamentos anteriores do SSSD\&. Apesar do nome antigo ser reconhecido por agora, aconselha\-se os utilizadores a migrarem os seus ficheiros de configuração para usar \(lqkrb5_server\(rq em vez disto\&. .RE .PP krb5_realm (string) .RS 4 O nome do reino Kerberos\&. Esta opção é requerida e tem de ser especificada\&. .RE .PP krb5_kpasswd, krb5_backup_kpasswd (string) .RS 4 Se o serviço de mudança de palavra passe não estiver a correr no KDC, podem ser definidos aqui servidores alternativos\&. Pode ser acrescentado um número de porto opcional (precedido pelo caractere dois pontos) aos endereços ou nomes de máquinas\&. .sp Para mais informação sobre failover e redundância de servidores, veja a secção \(lqFAILOVER\(rq\&. NOTA: Mesmo que não existam mais servidores kpasswd para tentar, o backend não é comutado para operar offline se a autenticação contra o KDC ainda for possível\&. .sp Predefinição: Usar o KDC .RE .PP krb5_ccachedir (string) .RS 4 Directório para guardar as caches de credenciais\&. Todas as sequências de substituição de krb5_ccname_template podem ser usadas aqui também, excepto %d e %P\&. O directório é criado como privado e com o utilizador como dono, com as permissões definidas para 0700\&. .sp Predefinição: /tmp .RE .PP krb5_ccname_template (string) .RS 4 Localização da cache de credenciais do utilizador\&. Actualmente são suportados três tipos de cache de credenciais: \(lqFILE\(rq, \(lqDIR\(rq e \(lqKEYRING:persistent\(rq\&. A cache pode ser especificada como \fITYPE:RESIDUAL\fR, ou como um caminho absoluto, o que implica o tipo \(lqFILE\(rq\&. No modelo, as seguintes sequências são substituídas: .PP %u .RS 4 nome de login .RE .PP %U .RS 4 UID de login .RE .PP %p .RS 4 nome principal .RE .PP %r .RS 4 nome de reino .RE .PP %h .RS 4 directório home .RE .PP %d .RS 4 valor de krb5_ccachedir .RE .PP %P .RS 4 o ID de processo do cliente SSSD .RE .PP %% .RS 4 um literal \*(Aq%\*(Aq .RE .sp Se o modelo terminar com \*(AqXXXXXX\*(Aq é usado o mkstemp(3) para criar um nome de ficheiro único numa maneira segura\&. .sp Quando se usam tipos KEYRING, o único mecanismo suportado é \(lqKEYRING:persistent:%U\(rq, o qual usa o chaveiro do kernel Linux para guardar as credenciais numa base por UID\&. Esta é também a escolha recomendada, pois é o método mas seguro e previsível\&. .sp O valor predefinido para o nome da cache de credenciais é obtido a partir do perfil guardado no ficheiro de configuração krb5\&.conf de todo o sistema na secção [libdefaults]\&. O nome da opção é default_ccache_name\&. Veja o parágrafo EXPANSÃO DE PARÂMETROS em krb5\&.conf(5)\*(Aqs para informação adicional sobre o formato de expansão definido pelo krb5\&.conf\&. .sp NOTA: Por favor tenha atenção que o modelo de expansão de cache libkrb5 de \fBkrb5.conf\fR(5) usa sequências de expansão diferentes do SSSD\&. .sp Predefinição: (de libkrb5) .RE .PP krb5_keytab (string) .RS 4 A localização da keytab a usar quando se valida credenciais obtidas a partir de KDCs\&. .sp Predefinição: Sistema keytab, normalmente /etc/krb5\&.keytab .RE .PP krb5_store_password_if_offline (booleano) .RS 4 Guarda a palavra passe do utilizador se o provedor estiver offline e usa\-a para pedir um TGT quando o provedor ficar online de novo\&. .sp NOTA: esta funcionalidade só está disponível em Linux\&. As palavras passe guardadas deste modo são mantidas em texto simples no chaveiro do kernel e são potencialmente acessíveis pelo utilizador root (com dificuldade)\&. .sp Predefinição: false .RE .PP krb5_use_fast (string) .RS 4 Activa autenticação segura flexível em túnel (FAST) para a pré\-autenticação do Kerberos\&. As seguintes opções são suportadas: .sp \fInever\fR (nunca) usa FAST\&. Isto é equivalente a não definir de todo esta opção\&. .sp \fItry\fR (tenta) usar FAST\&. Se o servidor não suportar FAST, continua com a autenticação sem isso\&. .sp \fIdemand\fR (obriga) a usar FAST\&. A autenticação falha se o servidor não requerer fast\&. .sp Predefinição: não definida, isto é, FAST não é usado\&. .sp NOTA: é requerido uma keytab ou suporte a PKINIT anônimo para se usar FAST\&. .sp NOTA: SSSD suporta FAST apenas com MIT Kerberos versão 1\&.8 e posterior\&. Se o SSSD for usado com uma versão antiga do MIT Kerberos, usar esta opção é um erro de configuração\&. .RE .PP krb5_fast_principal (string) .RS 4 Especifica o principal servidor a usar para FAST\&. .RE .PP krb5_fast_use_anonymous_pkinit (booleano) .RS 4 Se definido para true tenta usar PKINIT anônimo em vez de uma keytab para obter a credencial requerida para FAST\&. A opção krb5_fast_principal é ignorada neste caso\&. .sp Predefinição: false .RE .PP krb5_use_kdcinfo (booleano) .RS 4 Especifica se o SSSD deve instruir as bibliotecas Kerberos qual reino e quais KDCs usar\&. Esta opção está ligada por predefinição, se você a desactivar, você precisa de configurar a biblioteca Kerberos usando o ficheiro de configuração \fBkrb5.conf\fR(5)\&. .sp Veja o manual \fBsssd_krb5_locator_plugin\fR(8) para mais informação no plugin locador\&. .sp Predefinição: true .RE .PP krb5_kdcinfo_lookahead (string) .RS 4 Quando krb5_use_kdcinfo é definida para true, você pode limitar a quantidade de servidores lidados para \fBsssd_krb5_locator_plugin\fR(8)\&. Isto pode ser útil quando existem demasiados servidores descobertos usando o registo SRV\&. .sp A opção krb5_kdcinfo_lookahead contém dois números separados pelo caractere dois pontos\&. O primeiro número representa o número de servidores primários usados e o segundo número especifica o número de servidores de backup\&. .sp Por exemplo, \fI10:0\fR significa que até 10 servidores primários serão lidados para \fBsssd_krb5_locator_plugin\fR(8) mas nenhum servidor de recurso\&. .sp Predefinição: 3:1 .RE .PP krb5_use_enterprise_principal (booleano) .RS 4 Especifica se o principal de utilizador deve ser tratado como principal de empresa\&. Veja a secção 5 de RFC 6806 para mais detalhes sobre principais de empresa\&. .sp Predefinição: false (fornecedor AD: true) .sp O provedor IPA irá definir a opção para \*(Aqtrue\*(Aq se detectar que o servidor é capaz de lidar principais de empresa e a opção não está definida explicitamente no ficheiro de configuração\&. .RE .PP krb5_use_subdomain_realm (booleano) .RS 4 Especifica para se usar reinos de sub\-domínios para a autenticação de utilizadores de domínios de confiança\&. Esta opção pode ser definida para \*(Aqtrue\*(Aq se principais de empresa foram usadas com upnSuffixes que são desconhecidos nos KDCs do domínio pai\&. Se a opção for definida para \*(Aqtrue\*(Aq o SSSD irá tentar enviar o pedido directamente para um KDC do domínio de confiança de onde o utilizador venha\&. .sp Predefinição: false .RE .PP krb5_map_user (string) .RS 4 A lista de mapeamentos é dada como uma lista separada por vírgulas de pares \(lqusername:primary\(rq onde \(lqusername\(rq é um nome de utilizador UNIX e \(lqprimary\(rq é uma parte utilizador de um principal kerberos\&. Este mapeamento é usado quando o utilizador é autenticado usando \(lqauth_provider = krb5\(rq\&. .sp exemplo: .sp .if n \{\ .RS 4 .\} .nf krb5_realm = REALM krb5_map_user = joe:juser,dick:richard .fi .if n \{\ .RE .\} .sp \(lqjoe\(rq e \(lqdick\(rq são nomes de utilizador UNIX e \(lqjuser\(rq e \(lqrichard\(rq são primários de principais do kerberos\&. Para utilizador \(lqjoe\(rq resp\&. \(lqdick\(rq o SSSD irá tentar fazer kinit como \(lqjuser@REALM\(rq resp\&. \(lqrichard@REALM\(rq\&. .sp Predefinição: não definida .RE .PP krb5_auth_timeout (inteiro) .RS 4 Tempo limite em segundos após um pedido de autenticação online ou pedido de mudança de palavra passe abortado\&. Se possível, o pedido de autenticação é continuado em offline\&. .sp Predefinição: 6 .RE .PP krb5_validate (booleano) .RS 4 Verifica com a ajuda de krb5_keytab que o TGT obtido não foi falsificado\&. A keytab é verificada por entradas sequencialmente, e a primeira entrada com um reino correspondente é usada para validação\&. Se nenhuma entrada corresponder ao reino, é usada a última entrada na keytab, Este processo pode ser usado para validar ambientes que usam confiança de reino\-cruzada ao colocar a entrada keytab apropriada como a última entrada ou a única entrada no ficheiro keytab\&. .sp Predefinição: false (Provedor IPA e AD: true) .sp Por favor note que a validação do bilhete é o primeiro passo quando se verifica o PAC (veja \*(Aqpac_check\*(Aq no manual \fBsssd.conf\fR(5) para detalhes)\&. Se a validação de bilhete estiver desativada as verificações de PAC serão também saltadas\&. .RE .PP krb5_renewable_lifetime (string) .RS 4 Requisita um bilhete renovável com um tempo de vida total, dado como um inteiro imediatamente seguido de uma unidade de tempo: .sp \fIs\fR para segundos .sp \fIm\fR para minutos .sp \fIh\fR para horas .sp \fId\fR para dias\&. .sp Se não existir nenhuma unidade dada, é assumido \fIs\fR\&. .sp NOTA: Não é possível misturar unidades\&. Para definir um tempo de vida renovável de uma hora e meia, use \*(Aq90m\*(Aq em vez de \*(Aq1h30m\*(Aq\&. .sp Predefinição: não definido, ou seja, o TGT não é renovável .RE .PP krb5_lifetime (string) .RS 4 Requisita um bilhete com um tempo de vida, dado como um inteiro imediatamente seguido de uma unidade de tempo: .sp \fIs\fR para segundos .sp \fIm\fR para minutos .sp \fIh\fR para horas .sp \fId\fR para dias\&. .sp Se não existir nenhuma unidade dada é assumido \fIs\fR\&. .sp NOTA: Não é possível misturar unidades\&. Para definir um tempo de vida de uma hora e meia por favor use \*(Aq90m\*(Aq em vez de \*(Aq1h30m\*(Aq\&. .sp Predefinição: não definida, isto é, o tempo de vida de bilhete predefinido configurado no KDC\&. .RE .PP krb5_renew_interval (string) .RS 4 O tempo em segundos entre duas verificações se o TGT deve ser renovado\&. Os TGTs são renovados se cerca de metade do seu tempo de vida for excedido, dado como um inteiro imediatamente seguido por uma unidade de tempo: .sp \fIs\fR para segundos .sp \fIm\fR para minutos .sp \fIh\fR para horas .sp \fId\fR para dias\&. .sp Se não existir nenhuma unidade dada, é assumido \fIs\fR\&. .sp NOTA: Não é possível misturar unidades\&. Para definir um tempo de vida renovável de uma hora e meia, use \*(Aq90m\*(Aq em vez de \*(Aq1h30m\*(Aq\&. .sp Se esta opção não for definida ou for 0 a renovação automática é desactivada\&. .sp Predefinição: não definida .RE .PP krb5_canonicalize (booleano) .RS 4 Especifica se a máquina e o principal utilizador devem ser canonizados\&. Esta funcionalidade está disponível com o MIT Kerberos 1\&.7 e versões posteriores\&. .sp Predefinição: false .RE .SH "FAILOVER" .PP A funcionalidade failover permite aos backends mudarem automaticamente para o servidor diferente se o servidor actual falhar\&. .SS "Sintaxe do Failover" .PP A lista de servidores é dada como uma lista separada por vírgulas; é permitido qualquer número de espaços em volta das vírgulas\&. Os servidores são listados pela ordem de preferência\&. A lista pode conter qualquer número de servidores\&. .PP Para cada opção de configuração activa\-failover, existem duas variantes: \fIprimary\fR e \fIbackup\fR\&. A ideia é que os servidores na lista primária são preferidos e os servidores backup são apenas procurados se os servidores primários não puderem ser alcançados\&. Se um servidor backup for selecionado, é definido um tempo limite de 31 segundos\&. Após este tempo limite o SSSD irá periodicamente tentar re\-ligar a um dos servidores primários\&. Se tiver sucesso, irá substituir o servidor actualmente activo (backup)\&. .SS "O Mecanismo Failover" .PP O mecanismo failover distingue entre uma máquina e um serviço\&. O backend primeiro tenta resolver o nome de máquina de uma dada máquina; se esta tentativa de resolução falhar, a máquina é considerada offline\&. Não são feitas mais tentativas de ligar a esta máquina para qualquer outro serviço\&. Se a tentativa de resolução tiver sucesso, o backend tenta ligar a um serviço nesta máquina\&. Se a tentativa de ligação a serviço falhar, então este serviço particular é considerado offline e o backend automaticamente muda para o próximo serviço\&. A máquina continua a ser considerada online e pode ainda ser tentada para outro serviço\&. .PP São feitas mais tentativas de ligação a máquinas ou serviços marcados como offline após um período de tempo especificado; isto é actualmente duramente codificado a 30 segundos\&. .PP Se não existirem mais máquinas para tentar, o backend muda todos para modo offline, e depois tenta re\-ligar a cada 30 segundos\&. .SS "Tempo limite e afinação do Failover" .PP Resolver um servidor a onde ligar pode ser tão simples como correr uma única consulta DNS ou pode invocar vários passos, tais como encontrar o sítio correto ou tentar múltiplos nomes de máquinas no caso de alguns dos servidores configurados não estarem alcançáveis\&. Os cenários mais complexos podem durar algum tempo e o SSSD precisa de equilibrar entre disponibilizar tempo suficiente para terminar o processo de resolução mas por outro lado, não demorar muito tempo antes de regressar ao modo offline\&. Se os registos de depuração do SSSD mostrarem que a resolução do servidor atingiu o tempo limite antes de ser contactado um servidor vivo, você pode considerar mudar os tempos limite\&. .PP Esta secção lista as afinações disponíveis\&. Por favor consulte as suas descrições no manual \fBsssd.conf\fR(5)\&. .PP dns_resolver_server_timeout .RS 4 Tempo em milissegundos que define quanto tempo deve o SSSD falar com um único servidor DNS antes de tentar o próximo\&. .sp Predefinição: 1000 .RE .PP dns_resolver_op_timeout .RS 4 Tempo em segundos que diz quanto tempo deve o SSSD tentar resolver uma única consulta DNS (ex\&. resolução de um nome de máquina ou dum registo SRV) antes de tentar o próximo nome de máquina ou domínio de descoberta\&. .sp Predefinição: 3 .RE .PP dns_resolver_timeout .RS 4 Quanto tempo deve o SSSD tentar resolver um serviço failover\&. Esta resolução de serviço internamente pode incluir vários passos, tal como resolver consultas SRV de DNS ou localizar o sítio\&. .sp Predefinição: 6 .RE .PP Para provedores baseados em LDAP, a operação de resolução é executada como parte de uma operação de ligação LDAP\&. Assim, também o tempo limite \(lqldap_opt_timeout\(rq deve ser definido para um valor maior que \(lqdns_resolver_timeout\(rq que por sua vez deve ser definido para um valor maior que \(lqdns_resolver_op_timeout\(rq o qual deve ser maior que \(lqdns_resolver_server_timeout\(rq\&. .SH "DESCOBERTA DE SERVIÇOS" .PP A funcionalidade de descoberta de serviços permite aos backends encontrarem automaticamente os servidores apropriados para ligarem para usarem uma consulta DNS especial\&. Esta funcionalidade não é suportada para servidores de salvaguarda (backup)\&. .SS "Configuração" .PP Se nenhum servidor for especificado, o backend automaticamente usa a descoberta de serviços para tentar encontrar um servidor\&. Opcionalmente, o utilizador pode escolher usar ambos endereços de servidor fixos e a descoberta de serviços ao inserir uma palavra chave especial \(lq_srv_\(rq, na lista de servidores\&. A ordem de preferência é mantida\&. Esta funcionalidade é útil se, por exemplo, o utilizador prefere usar descoberta de serviços sempre que possível, e regressar a um servidor específico quando não se descobrem servidores usando DNS\&. .SS "O nome de domínio" .PP Por favor consulte o parâmetro \(lqdns_discovery_domain\(rq no manual \fBsssd.conf\fR(5) para mais detalhes\&. .SS "O protocolo" .PP As consultas geralmente especificam _tcp como o protocolo\&. As excepções estão documentadas na descrição da opção respectiva\&. .SS "Veja também" .PP Para mais informação sobre o mecanismo de descoberta de serviços, consulte RFC 2782\&. .SH "EXEMPLO" .PP O exemplo seguinte assume que o SSSD está presentemente configurado e FOO é um dos domínios na secção \fI[sssd]\fR\&. Este exemplo mostra apenas configuração da autenticação Kerberos; não inclui nenhum provedor de identidade\&. .PP .if n \{\ .RS 4 .\} .nf [domain/FOO] auth_provider = krb5 krb5_server = 192\&.168\&.1\&.1 krb5_realm = EXAMPLE\&.COM .fi .if n \{\ .RE .\} .sp .SH "VEJA TAMBÉM" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-idp\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(1), \fBsss_ssh_knownhosts\fR(1), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBO autor do SSSD \- https://github\&.com/SSSD/sssd/\fR