'\" t .\" Title: sssd-krb5 .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Filformat och konventioner .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-KRB5" "5" "05/17/2024" "SSSD" "Filformat och konventioner" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-krb5 \- SSSD:s Kerberos\-leverantör .SH "BESKRIVNING" .PP Denna manualsida beskriver konfigurationen av bakänden för Kerberos 5\-autentisering för \fBsssd\fR(8)\&. För en detaljerad syntaxreferens, se avsnittet \(lqFILFORMAT\(rq i manualsidan \fBsssd.conf\fR(5)\&. .PP Kerberos 5\-autentiseringsbakänden innehåller auth\- och chpass\-leverantörer\&. Den måste paras ihop med en identitetsleverantör för att fungera korrekt (till exempel, id_provider = ldap)\&. En del information krävs av Kerberos 5\-autentiseringsbakänden måste tillhandahållas av identitetsleverantören, såsom användarens Kerberos huvudmannanamn (UPN)\&. Konfigurationen av identitetsleverantören skall ha en post för att ange UPN:en\&. Se manualsidan för den tillämpliga identitetsleverantören för detaljer om hur man konfigurerar detta\&. .PP Denna bakände tillhandahåller även åtkomstkontroll baserad på filen \&.k5login i användarens hemkatalog Se \fBk5login\fR(5) för mer detaljer\&. Observera att en tom \&.k5login\-fil kommer neka all åtkomst till denna användare\&. För att aktivera denna funktion, använd \(rqaccess_provider = krb5\(rq i din SSSD\-konfiguration\&. .PP I situationer där UPN:en inte är tillgänglig i identitetsbakänden kommer \fBsssd\fR konstruera en UPN genom att använda formatet \fIusername\fR@\fIkrb5_realm\fR\&. .SH "KONFIGURATIONSALTERNATIV" .PP Om autentiseringsmodulen krb5 används i en SSSD\-domän måste följande alternativ användas\&. Se manualsidan \fBsssd.conf\fR(5), avsnittet \(lqDOMÄNSEKTIONER\(rq för detaljer om konfigurationen av en SSSD\-domän\&. .PP krb5_server, krb5_backup_server (sträng) .RS 4 Anger en kommaseparerad lista av IP\-adresser eller värdnamn till Kerberosservrar till vilka SSSD skall ansluta, i prioritetsordning\&. För mer information om reserver och serverredundans se avsnittet \(lqRESERVER\(rq\&. Ett frivilligt portnummer (föregånget av ett kolon) kan läggas till till adresserna eller värdnamnen\&. Om tomt aktiveras tjänsteupptäckt; för mer information, se avsnittet \(lqTJÄNSTEUPPTÄCKT\(rq\&. .sp När tjänsteupptäckt används för KDC eller kpasswd\-servrar söker SSSD först efter DNS\-poster som anger _udp som protokoll och provar sedan _tcp om inget hittas\&. .sp Detta alternativ hade namnet \(lqkrb5_kdcip\(rq i tidigare utgåvor av SSSD\&. Medan det äldre namnet känns igen tills vidare rekommenderas användare att migrera sina konfigurationsfiler till att använda \(lqkrb5_server\(rq istället\&. .RE .PP krb5_realm (sträng) .RS 4 Namnet på Kerberos\-riket\&. Detta alternativ är nödvändigt och måste anges\&. .RE .PP krb5_kpasswd, krb5_backup_kpasswd (sträng) .RS 4 Om tjänsten för att ändra lösenord inte kör på KDC:n kan alternativa servrar definieras här\&. Ett frivilligt portnummer (föregått av ett kolon) kan läggas till efter adresser eller värdnamn\&. .sp För mer information om reserver och serverredundans se avsnittet \(lqRESERVER\(rq\&. OBSERVERA: även om det inte finns några fler kpasswd\-servrar att försöka med byter inte bakänden till att köra frånkopplat om autentisering mot KDC:n fortfarande är möjligt\&. .sp Standard: använd KDC:n .RE .PP krb5_ccachedir (sträng) .RS 4 Katalog att lagra kreditiv\-cachar i\&. Alla substitutionssekvenserna i krb5_ccname_template kan användas här också, utom %d och %P\&. Katalogen skapas som privat och ägd av användaren, med rättigheterna satta till 0700\&. .sp Standard: /tmp .RE .PP krb5_ccname_template (sträng) .RS 4 Platsen för användarens kreditiv\-cache\&. Tre typer av kreditiv\-cachar stödjs för närvarande: \(lqFILE\(rq, \(lqDIR\(rq och \(lqKEYRING:persistent\(rq\&. Cachen kan anges antingen som \fITYP:ÅTERSTOD\fR, eller som en absolut sökväg, vilket implicerar typen \(lqFILE\(rq\&. I mallen ersätts följande sekvenser: .PP %u .RS 4 inloggningsnamn .RE .PP %U .RS 4 inloggnings\-AID .RE .PP %p .RS 4 huvudmannanamn .RE .PP %r .RS 4 namn på rike .RE .PP %h .RS 4 hemkatalog .RE .PP %d .RS 4 värdet på krb5_ccachedir .RE .PP %P .RS 4 process\-ID:t på SSSD\-klienten .RE .PP %% .RS 4 ett bokstavligt \(rq%\(rq .RE .sp Om mallen slutar med \(rqXXXXXX\(rq används mkstemp(3) för att skapa ett unikt filnamn på ett säkert sätt\&. .sp När KEYRING\-typer används är den enda mekanismen som stödjs \(lqKEYRING:persistent:%U\(rq, vilket använder Linuxkärnans nyckelring för att lagra kreditiv på per\-AID\-bas\&. Detta är också det rekommenderade valet, eftersom det är den säkraste och mest förutsägbara metoden\&. .sp Standardvärdet för namnet på kreditiv\-cachen läses från profilen som fil sparad i den systemtäckande konfigurationsfilen krb5\&.conf i avsnittet [libdefaults]\&. Alternativnamnet är default_ccache_name\&. Se krb5\&.conf(5)s avsnitt PARAMETEREXPANSION för mer information om expansionsformatet som definieras av krb5\&.conf\&. .sp OBSERVERA: var medveten om att ccache\-expansionsmallen för libkrb5 från \fBkrb5.conf\fR(5) använder andra expansionssekvenser än SSSD\&. .sp Standard: (från libkrb5) .RE .PP krb5_keytab (sträng) .RS 4 Platsen där keytab:en som skall användas för validering av kreditiv som tas emot från KDC:er finns\&. .sp Standard: Systemets keytab, normalt /etc/krb5\&.keytab .RE .PP krb5_store_password_if_offline (boolean) .RS 4 Spara lösenordet för användaren om leverantören är frånkopplad och använd det för att begära en TGT när leverantören blir uppkopplad igen\&. .sp OBS: denna funktion är endast tillgänglig på Linux\&. Lösenord som lagras på detta sätt hålls i klartext i kärnans nyckelring och är potentiellt åtkomliga för root\-användaren (med svårighet)\&. .sp Standard: false .RE .PP krb5_use_fast (sträng) .RS 4 Aktiverar flexibel autentisering via säker tunnling (flexible authentication secure tunneling, FAST) för Kerberos förautentisering\&. Följande alternativ stödjs: .sp \fInever\fR använd aldrig FAST\&. Detta är ekvivalent med att inte ställa in detta alternativ alls\&. .sp \fItry\fR försök använda FAST\&. Om servern inte stödjer FAST, fortsätt då autentiseringen utan den\&. .sp \fIdemand\fR kräv användning av FAST\&. Autentiseringen misslyckas om servern inte begär fast\&. .sp Standard: inte satt, d\&.v\&.s\&. FAST används inte\&. .sp OBSERVERA: en keytab eller stöd för anonym PKINIT krävs för att använda FAST\&. .sp OBSERVERA: SSSD stödjer endast FAST med MIT Kerberos version 1\&.8 och senare\&. Om SSSD används med en äldre version av MIT Kerberos är det ett konfigurationsfel att använda detta alternativ\&. .RE .PP krb5_fast_principal (sträng) .RS 4 Anger serverhuvudmannen att använda för FAST\&. .RE .PP krb5_fast_use_anonymous_pkinit (boolean) .RS 4 Om satt till sant, försök använda anonym PKINIT istället för en keytab för att få de begärda kreditiven för FAST\&. Alternativet krb5_fast_prinicpal ignoreras i detta fall\&. .sp Standard: false .RE .PP krb5_use_kdcinfo (boolean) .RS 4 Anger om SSSD skall instruera Kerberos\-biblioteken om vilket rike och vilka KDC:er som skall användas\&. Detta alternativ är på som standard, om du avaktiverar det behöver du konfigurera Kerberos\-biblioteket i konfigurationsfilen \fBkrb5.conf\fR(5)\&. .sp Se manualsidan \fBsssd_krb5_locator_plugin\fR(8) för mer information om lokaliseringsinsticksmodulen\&. .sp Standard: true .RE .PP krb5_kdcinfo_lookahead (sträng) .RS 4 När krb5_use_kdcinfo är satt till true kan man begränsa mängden servrar som skickas till \fBsssd_krb5_locator_plugin\fR(8)\&. Detta kan vara användbart när det finns för många servrar som upptäcks med hjälp av SRV\-poster\&. .sp Alternativet krb5_kdcinfo_lookahead innehåller två tal separerade av ett kolon\&. Det första talet representerar antalet primärservrar som används och det andra talet anger antalet reservservrar\&. .sp Till exempel betyder \fI10:0\fR att upp till 10 primärservrar kommer lämnas till \fBsssd_krb5_locator_plugin\fR(8) men inga reservservrar\&. .sp Standard: 3:1 .RE .PP krb5_use_enterprise_principal (boolean) .RS 4 Anger om användarens huvudman skall behandlas som företagshuvudman\&. Se avsnitt 5 i RFC 6806 för mer detaljer om företagshuvudmän\&. .sp Standard: false (AD\-leverantör: true) .sp IPA\-leverantören kommer sätta detta alternativ till \(rqtrue\(rq om den upptäcker att servern klarar av att hantera företagshuvudmän och alternativet inte är uttryckligen satt i konfigurationsfilen\&. .RE .PP krb5_use_subdomain_realm (boolean) .RS 4 Anger att använda underdomänriken för autentiseringen av användare från betrodda domäner\&. Detta alternativ kan sättas till \(rqsant\(rq om företagshuvudmän används med upnSuffixes vilka inte är kända av föräldradomänens KDC:er\&. Om alternativet sätts till \(rqsant\(rq kommer SSSD försöka skicka begäran direkt till en KDC för den betrodda domänen användaren kommer ifrån\&. .sp Standard: false .RE .PP krb5_map_user (sträng) .RS 4 Listan av mappningar anges som en kommaseparerad lista av par \(lqanvändarnamn:primär\(rq där \(lqanvändarnamn\(rq är ett UNIX\-användarnamn och \(lqprimär\(rq är en användardel av en kerberoshuvudman\&. Denna mappning används när användaren autentiserar med \(lqauth_provider = krb5\(rq\&. .sp exempel: .sp .if n \{\ .RS 4 .\} .nf krb5_realm = RIKE krb5_map_user = maria:manvnd,hasse:hans .fi .if n \{\ .RE .\} .sp \(lqmaria\(rq och \(lqhasse\(rq är UNIX\-användarnamn och \(lqmanvnd\(rq och \(lqhans\(rq är primärer i kerberoshuvudmän\&. För användaren \(lqmaria\(rq resp\&. \(lqhasse\(rq kommer SSSD försöka att göra kinit som \(lqmanvnd@RIKE\(rq resp\&. \(lqhans@RIKE\(rq\&. .sp Standard: inte satt .RE .PP krb5_auth_timeout (heltal) .RS 4 Tidsgräns i sekunder efter vilken en uppkopplad begäran om autentisering eller begäran om lösenordsändring avbryts\&. Om möjligt fortsätts begäran om autentisering frånkopplat\&. .sp Standard: 6 .RE .PP krb5_validate (boolean) .RS 4 Verifiera med hjälp av krb5_keytab att den TGT om hämtats inte har förfalskats\&. I keytab:en kontrolleras poster sekventiellt, och den första posten med ett matchande rike används för validering\&. Om ingen post matchar riket används den sista posten i keytab:en\&. Denna process kan användas för att validera miljöer genom att använda förtroenden mellan riken genom att placera den motsvarande keytab\-posten som sista post eller den enda posten i keytab\-filen\&. .sp Standard: false (IPA\- och AD\-leverantör: true) .sp Observera att biljettvalideringen är första steget vid kontroll av PAC:n (se \(rqpac_check\(rq i manualsidan \fBsssd.conf\fR(5) för detaljer)\&. Om biljettvalideringen är avaktiverad kommer PAC\-kontrollerna också att hoppas över\&. .RE .PP krb5_renewable_lifetime (sträng) .RS 4 Begär en förnybar biljett med en total livslängd, given som ett heltal omedelbart följd av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta den förnybara livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Standard: inte satt, d\&.v\&.s\&. TGT:en är inte förnybar .RE .PP krb5_lifetime (sträng) .RS 4 Begär en biljett med en livslängd, given som ett heltal omedelbart följd av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Standard: inte satt, d\&.v\&.s\&. biljettens standardlivslängd konfigurerad på KDC:n\&. .RE .PP krb5_renew_interval (sträng) .RS 4 Tiden i sekunder mellan två kontroller om TGT:en skall förnyas\&. TGT:er förnyas om ungefär halva deras livstid har överskridits, givet som ett heltal omedelbart följt av en tidsenhet: .sp \fIs\fR för sekunder .sp \fIm\fR för minuter .sp \fIh\fR för timmar .sp \fId\fR för dagar\&. .sp Om ingen enhet anges antas \fIs\fR\&. .sp OBSERVERA: det är inte möjligt att blanda enheter\&. För att sätta den förnybara livslängden till en och en halv timma, använd \(rq90m\(rq istället för \(rq1h30m\(rq\&. .sp Om detta alternativ inte är satt eller är 0 är den automatiska förnyelsen avaktiverad\&. .sp Standard: inte satt .RE .PP krb5_canonicalize (boolean) .RS 4 Anger om värdens och användarens huvudman skall göras kanonisk\&. Denna funktion är tillgänglig med MIT Kerberos 1\&.7 och senare versioner\&. .sp Standard: false .RE .SH "RESERVER" .PP Reservfunktionen gör att bakändar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera\&. .SS "Reservsyntax" .PP Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillåts runt kommatecknet\&. Servrarna listas i preferensordning\&. Listan kan innehålla obegränsat antal servrar\&. .PP För varje reservaktiverat konfigurationsalternativ finns det två varianter: \fIprimary\fR och \fIbackup\fR\&. Tanken är att servrar i den primära listan föredras och backup\-servrar bara provas om inga primära servrar kan nås\&. Om en backup\-server väljs sätts en tidsgräns på 31 sekunder\&. Efter denna tidsgräns kommer SSSD periodiskt att försöka återansluta till en av de primära servrarna\&. Om det lyckas kommer den ersätta den nu aktiva (backup\-)servern\&. .SS "Reservmekanismen" .PP Reservmekanismen gör skillnad mellan en maskin och en tjänst\&. Bakänden försöker först att slå upp värdnamnet för en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad\&. Inga ytterligare försök görs att ansluta till denna maskin för någon annan tjänst\&. Om uppslagningsförsöket lyckas försöker bakänden ansluta till en tjänst på denna maskin\&. Om tjänsteanslutningen misslyckas anses bara just denna tjänst frånkopplad och bakänden byter automatiskt till nästa tjänst\&. Maskinen betraktas fortfarande som uppkopplad och kan användas vid försök att nå en annan tjänst\&. .PP Ytterligare försök att ansluta görs till maskiner eller tjänster som markerats som frånkopplade efter en viss tidsperiod, detta är för närvarande hårdkodat till 30 sekunder\&. .PP Om det inte finns några fler maskiner att prova byter bakänden i sin helhet till frånkopplat läge, och försöker sedan återansluta var 30:e sekund\&. .SS "Tidsgränser och trimning av reservfunktioner" .PP Att slå upp en server att ansluta till kan vara så enkelt som att göra en enstaka DNS\-fråga eller kan innebära flera steg, såsom att hitta den rätta sajten eller försöka med flera värdnamn ifall några av de konfigurerade servrarna inte kan nås\&. De mer komplexa scenariona kan ta en stund och SSSD behöver balansera mellan att tillhandahålla tillräckligt med tid för att färdigställa upplösningsprocessen men å andra sidan inte försöka för länge före den faller tillbaka på frånkopplat läge\&. Om SSSD:s felsökningsloggar visar att serverns upplösning överskrider tidsgränsen före en aktiv server nås kan du överväga att ändra tidsgränserna\&. .PP Detta avsnitt listar tillgängliga trimningsvariabler\&. Se deras beskrivning i manualsidan \fBsssd.conf\fR(5)\&. .PP dns_resolver_server_timeout .RS 4 Tid i millisekunder som anger hur länge SSSD skall tala med en viss DNS\-server före den provar nästa\&. .sp Standard: 1000 .RE .PP dns_resolver_op_timeout .RS 4 Tid i sekunder hur länge SSSD skall försöka slå upp en viss DNS\-fråga (t\&.ex\&. uppslagning av ett värdnamn eller en SRV\-post) före den provar nästa värdnamn eller upptäcktsdomän\&. .sp Standard: 3 .RE .PP dns_resolver_timeout .RS 4 Hur länge skall SSSD försöka slå upp en reservtjänst\&. Denna tjänsteuppslagning kan internt bestå av flera steg, såsom att slå upp DNS SRV\-frågor och lokalisera sajten\&. .sp Standard: 6 .RE .PP För LDAP\-baserade leverantörer utförs uppslagningsoperationen som en del av LDAP\-anslutningsoperationen\&. Därför skall även tidsgränsen \(lqldap_opt_timeout\(rq sättas till ett större värde än \(lqdns_resolver_timeout\(rq som i sin tur skall sättas till ett större värde än \(lqdns_resolver_op_timeout\(rq som skall vara större än \(lqdns_resolver_server_timeout\(rq\&. .SH "TJÄNSTEUPPTÄCKT" .PP Tjänsteupptäcktsfunktionen gör att bakändar automatiskt kan hitta en lämplig server att ansluta till med en speciell DNS\-fråga\&. Denna funktion stödjs inte för backup\-servrar\&. .SS "Konfiguration" .PP Om inga servrar anges använder bakänden automatiskt tjänsteupptäckt för att försöka hitta en server\&. Användaren kan om så önskas välja att använda både en bestämd serveradress och tjänsteupptäckt genom att infoga ett speciellt nyckelord, \(lq_srv_\(rq, i listan av servrar\&. Preferensordningen bibehålls\&. Denna funktion är användbar om, till exempel, användaren föredrar att använda tjänsteupptäckt närhelst det är möjligt, och falla tillbaka på en specifik server när inga servrar kan upptäckas med DNS\&. .SS "Domännamnet" .PP Se parametern \(lqdns_discovery_domain\(rq i manualsidan \fBsssd.conf\fR(5) för fler detaljer\&. .SS "Protokollet" .PP Frågorna anger vanligen _tcp som protokoll\&. Undantag är dokumenterade i respektive alternativs beskrivning\&. .SS "Se även" .PP För mer information om tjänsteupptäcktsmekanismen, se RFC 2782\&. .SH "EXEMPEL" .PP Följande exempel antar att SSSD är korrekt konfigurerad och att APA är en av domänerna i avsnittet \fI[sssd]\fR\&. Detta exempel visar endast konfigurationen av Kerberosautentisering; det inkluderar inte någon identitetsleverantör\&. .PP .if n \{\ .RS 4 .\} .nf [domain/APA] auth_provider = krb5 krb5_server = 192\&.168\&.1\&.1 krb5_realm = EXAMPLE\&.COM .fi .if n \{\ .RE .\} .sp .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR