SSSD-KRB5(5) Filformat och konventioner SSSD-KRB5(5) NAME sssd-krb5 - SSSD:s Kerberos-leverantor BESKRIVNING Denna manualsida beskriver konfigurationen av bakanden for Kerberos 5-autentisering for sssd(8). For en detaljerad syntaxreferens, se avsnittet "FILFORMAT" i manualsidan sssd.conf(5). Kerberos 5-autentiseringsbakanden innehaller auth- och chpass-leverantorer. Den maste paras ihop med en identitetsleverantor for att fungera korrekt (till exempel, id_provider = ldap). En del information kravs av Kerberos 5-autentiseringsbakanden maste tillhandahallas av identitetsleverantoren, sasom anvandarens Kerberos huvudmannanamn (UPN). Konfigurationen av identitetsleverantoren skall ha en post for att ange UPN:en. Se manualsidan for den tillampliga identitetsleverantoren for detaljer om hur man konfigurerar detta. Denna bakande tillhandahaller aven atkomstkontroll baserad pa filen .k5login i anvandarens hemkatalog Se k5login(5) for mer detaljer. Observera att en tom .k5login-fil kommer neka all atkomst till denna anvandare. For att aktivera denna funktion, anvand "access_provider = krb5" i din SSSD-konfiguration. I situationer dar UPN:en inte ar tillganglig i identitetsbakanden kommer sssd konstruera en UPN genom att anvanda formatet username@krb5_realm. KONFIGURATIONSALTERNATIV Om autentiseringsmodulen krb5 anvands i en SSSD-doman maste foljande alternativ anvandas. Se manualsidan sssd.conf(5), avsnittet "DOMANSEKTIONER" for detaljer om konfigurationen av en SSSD-doman. krb5_server, krb5_backup_server (strang) Anger en kommaseparerad lista av IP-adresser eller vardnamn till Kerberosservrar till vilka SSSD skall ansluta, i prioritetsordning. For mer information om reserver och serverredundans se avsnittet "RESERVER". Ett frivilligt portnummer (foreganget av ett kolon) kan laggas till till adresserna eller vardnamnen. Om tomt aktiveras tjansteupptackt; for mer information, se avsnittet "TJANSTEUPPTACKT". Nar tjansteupptackt anvands for KDC eller kpasswd-servrar soker SSSD forst efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget hittas. Detta alternativ hade namnet "krb5_kdcip" i tidigare utgavor av SSSD. Medan det aldre namnet kanns igen tills vidare rekommenderas anvandare att migrera sina konfigurationsfiler till att anvanda "krb5_server" istallet. krb5_realm (strang) Namnet pa Kerberos-riket. Detta alternativ ar nodvandigt och maste anges. krb5_kpasswd, krb5_backup_kpasswd (strang) Om tjansten for att andra losenord inte kor pa KDC:n kan alternativa servrar definieras har. Ett frivilligt portnummer (foregatt av ett kolon) kan laggas till efter adresser eller vardnamn. For mer information om reserver och serverredundans se avsnittet "RESERVER". OBSERVERA: aven om det inte finns nagra fler kpasswd-servrar att forsoka med byter inte bakanden till att kora frankopplat om autentisering mot KDC:n fortfarande ar mojligt. Standard: anvand KDC:n krb5_ccachedir (strang) Katalog att lagra kreditiv-cachar i. Alla substitutionssekvenserna i krb5_ccname_template kan anvandas har ocksa, utom %d och %P. Katalogen skapas som privat och agd av anvandaren, med rattigheterna satta till 0700. Standard: /tmp krb5_ccname_template (strang) Platsen for anvandarens kreditiv-cache. Tre typer av kreditiv-cachar stodjs for narvarande: "FILE", "DIR" och "KEYRING:persistent". Cachen kan anges antingen som TYP:ATERSTOD, eller som en absolut sokvag, vilket implicerar typen "FILE". I mallen ersatts foljande sekvenser: %u inloggningsnamn %U inloggnings-AID %p huvudmannanamn %r namn pa rike %h hemkatalog %d vardet pa krb5_ccachedir %P process-ID:t pa SSSD-klienten %% ett bokstavligt "%" Om mallen slutar med "XXXXXX" anvands mkstemp(3) for att skapa ett unikt filnamn pa ett sakert satt. Nar KEYRING-typer anvands ar den enda mekanismen som stodjs "KEYRING:persistent:%U", vilket anvander Linuxkarnans nyckelring for att lagra kreditiv pa per-AID-bas. Detta ar ocksa det rekommenderade valet, eftersom det ar den sakraste och mest forutsagbara metoden. Standardvardet for namnet pa kreditiv-cachen lases fran profilen som fil sparad i den systemtackande konfigurationsfilen krb5.conf i avsnittet [libdefaults]. Alternativnamnet ar default_ccache_name. Se krb5.conf(5)s avsnitt PARAMETEREXPANSION for mer information om expansionsformatet som definieras av krb5.conf. OBSERVERA: var medveten om att ccache-expansionsmallen for libkrb5 fran krb5.conf(5) anvander andra expansionssekvenser an SSSD. Standard: (fran libkrb5) krb5_keytab (strang) Platsen dar keytab:en som skall anvandas for validering av kreditiv som tas emot fran KDC:er finns. Standard: Systemets keytab, normalt /etc/krb5.keytab krb5_store_password_if_offline (boolean) Spara losenordet for anvandaren om leverantoren ar frankopplad och anvand det for att begara en TGT nar leverantoren blir uppkopplad igen. OBS: denna funktion ar endast tillganglig pa Linux. Losenord som lagras pa detta satt halls i klartext i karnans nyckelring och ar potentiellt atkomliga for root-anvandaren (med svarighet). Standard: false krb5_use_fast (strang) Aktiverar flexibel autentisering via saker tunnling (flexible authentication secure tunneling, FAST) for Kerberos forautentisering. Foljande alternativ stodjs: never anvand aldrig FAST. Detta ar ekvivalent med att inte stalla in detta alternativ alls. try forsok anvanda FAST. Om servern inte stodjer FAST, fortsatt da autentiseringen utan den. demand krav anvandning av FAST. Autentiseringen misslyckas om servern inte begar fast. Standard: inte satt, d.v.s. FAST anvands inte. OBSERVERA: en keytab eller stod for anonym PKINIT kravs for att anvanda FAST. OBSERVERA: SSSD stodjer endast FAST med MIT Kerberos version 1.8 och senare. Om SSSD anvands med en aldre version av MIT Kerberos ar det ett konfigurationsfel att anvanda detta alternativ. krb5_fast_principal (strang) Anger serverhuvudmannen att anvanda for FAST. krb5_fast_use_anonymous_pkinit (boolean) Om satt till sant, forsok anvanda anonym PKINIT istallet for en keytab for att fa de begarda kreditiven for FAST. Alternativet krb5_fast_prinicpal ignoreras i detta fall. Standard: false krb5_use_kdcinfo (boolean) Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka KDC:er som skall anvandas. Detta alternativ ar pa som standard, om du avaktiverar det behover du konfigurera Kerberos-biblioteket i konfigurationsfilen krb5.conf(5). Se manualsidan sssd_krb5_locator_plugin(8) for mer information om lokaliseringsinsticksmodulen. Standard: true krb5_kdcinfo_lookahead (strang) Nar krb5_use_kdcinfo ar satt till true kan man begransa mangden servrar som skickas till sssd_krb5_locator_plugin(8). Detta kan vara anvandbart nar det finns for manga servrar som upptacks med hjalp av SRV-poster. Alternativet krb5_kdcinfo_lookahead innehaller tva tal separerade av ett kolon. Det forsta talet representerar antalet primarservrar som anvands och det andra talet anger antalet reservservrar. Till exempel betyder 10:0 att upp till 10 primarservrar kommer lamnas till sssd_krb5_locator_plugin(8) men inga reservservrar. Standard: 3:1 krb5_use_enterprise_principal (boolean) Anger om anvandarens huvudman skall behandlas som foretagshuvudman. Se avsnitt 5 i RFC 6806 for mer detaljer om foretagshuvudman. Standard: false (AD-leverantor: true) IPA-leverantoren kommer satta detta alternativ till "true" om den upptacker att servern klarar av att hantera foretagshuvudman och alternativet inte ar uttryckligen satt i konfigurationsfilen. krb5_use_subdomain_realm (boolean) Anger att anvanda underdomanriken for autentiseringen av anvandare fran betrodda domaner. Detta alternativ kan sattas till "sant" om foretagshuvudman anvands med upnSuffixes vilka inte ar kanda av foraldradomanens KDC:er. Om alternativet satts till "sant" kommer SSSD forsoka skicka begaran direkt till en KDC for den betrodda domanen anvandaren kommer ifran. Standard: false krb5_map_user (strang) Listan av mappningar anges som en kommaseparerad lista av par "anvandarnamn:primar" dar "anvandarnamn" ar ett UNIX-anvandarnamn och "primar" ar en anvandardel av en kerberoshuvudman. Denna mappning anvands nar anvandaren autentiserar med "auth_provider = krb5". exempel: krb5_realm = RIKE krb5_map_user = maria:manvnd,hasse:hans "maria" och "hasse" ar UNIX-anvandarnamn och "manvnd" och "hans" ar primarer i kerberoshuvudman. For anvandaren "maria" resp. "hasse" kommer SSSD forsoka att gora kinit som "manvnd@RIKE" resp. "hans@RIKE". Standard: inte satt krb5_auth_timeout (heltal) Tidsgrans i sekunder efter vilken en uppkopplad begaran om autentisering eller begaran om losenordsandring avbryts. Om mojligt fortsatts begaran om autentisering frankopplat. Standard: 6 krb5_validate (boolean) Verifiera med hjalp av krb5_keytab att den TGT om hamtats inte har forfalskats. I keytab:en kontrolleras poster sekventiellt, och den forsta posten med ett matchande rike anvands for validering. Om ingen post matchar riket anvands den sista posten i keytab:en. Denna process kan anvandas for att validera miljoer genom att anvanda fortroenden mellan riken genom att placera den motsvarande keytab-posten som sista post eller den enda posten i keytab-filen. Standard: false (IPA- och AD-leverantor: true) Observera att biljettvalideringen ar forsta steget vid kontroll av PAC:n (se "pac_check" i manualsidan sssd.conf(5) for detaljer). Om biljettvalideringen ar avaktiverad kommer PAC-kontrollerna ocksa att hoppas over. krb5_renewable_lifetime (strang) Begar en fornybar biljett med en total livslangd, given som ett heltal omedelbart foljd av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta den fornybara livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Standard: inte satt, d.v.s. TGT:en ar inte fornybar krb5_lifetime (strang) Begar en biljett med en livslangd, given som ett heltal omedelbart foljd av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Standard: inte satt, d.v.s. biljettens standardlivslangd konfigurerad pa KDC:n. krb5_renew_interval (strang) Tiden i sekunder mellan tva kontroller om TGT:en skall fornyas. TGT:er fornyas om ungefar halva deras livstid har overskridits, givet som ett heltal omedelbart foljt av en tidsenhet: s for sekunder m for minuter h for timmar d for dagar. Om ingen enhet anges antas s. OBSERVERA: det ar inte mojligt att blanda enheter. For att satta den fornybara livslangden till en och en halv timma, anvand "90m" istallet for "1h30m". Om detta alternativ inte ar satt eller ar 0 ar den automatiska fornyelsen avaktiverad. Standard: inte satt krb5_canonicalize (boolean) Anger om vardens och anvandarens huvudman skall goras kanonisk. Denna funktion ar tillganglig med MIT Kerberos 1.7 och senare versioner. Standard: false RESERVER Reservfunktionen gor att bakandar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera. Reservsyntax Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillats runt kommatecknet. Servrarna listas i preferensordning. Listan kan innehalla obegransat antal servrar. For varje reservaktiverat konfigurationsalternativ finns det tva varianter: primary och backup. Tanken ar att servrar i den primara listan foredras och backup-servrar bara provas om inga primara servrar kan nas. Om en backup-server valjs satts en tidsgrans pa 31 sekunder. Efter denna tidsgrans kommer SSSD periodiskt att forsoka ateransluta till en av de primara servrarna. Om det lyckas kommer den ersatta den nu aktiva (backup-)servern. Reservmekanismen Reservmekanismen gor skillnad mellan en maskin och en tjanst. Bakanden forsoker forst att sla upp vardnamnet for en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare forsok gors att ansluta till denna maskin for nagon annan tjanst. Om uppslagningsforsoket lyckas forsoker bakanden ansluta till en tjanst pa denna maskin. Om tjansteanslutningen misslyckas anses bara just denna tjanst frankopplad och bakanden byter automatiskt till nasta tjanst. Maskinen betraktas fortfarande som uppkopplad och kan anvandas vid forsok att na en annan tjanst. Ytterligare forsok att ansluta gors till maskiner eller tjanster som markerats som frankopplade efter en viss tidsperiod, detta ar for narvarande hardkodat till 30 sekunder. Om det inte finns nagra fler maskiner att prova byter bakanden i sin helhet till frankopplat lage, och forsoker sedan ateransluta var 30:e sekund. Tidsgranser och trimning av reservfunktioner Att sla upp en server att ansluta till kan vara sa enkelt som att gora en enstaka DNS-fraga eller kan innebara flera steg, sasom att hitta den ratta sajten eller forsoka med flera vardnamn ifall nagra av de konfigurerade servrarna inte kan nas. De mer komplexa scenariona kan ta en stund och SSSD behover balansera mellan att tillhandahalla tillrackligt med tid for att fardigstalla upplosningsprocessen men a andra sidan inte forsoka for lange fore den faller tillbaka pa frankopplat lage. Om SSSD:s felsokningsloggar visar att serverns upplosning overskrider tidsgransen fore en aktiv server nas kan du overvaga att andra tidsgranserna. Detta avsnitt listar tillgangliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5). dns_resolver_server_timeout Tid i millisekunder som anger hur lange SSSD skall tala med en viss DNS-server fore den provar nasta. Standard: 1000 dns_resolver_op_timeout Tid i sekunder hur lange SSSD skall forsoka sla upp en viss DNS-fraga (t.ex. uppslagning av ett vardnamn eller en SRV-post) fore den provar nasta vardnamn eller upptacktsdoman. Standard: 3 dns_resolver_timeout Hur lange skall SSSD forsoka sla upp en reservtjanst. Denna tjansteuppslagning kan internt besta av flera steg, sasom att sla upp DNS SRV-fragor och lokalisera sajten. Standard: 6 For LDAP-baserade leverantorer utfors uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Darfor skall aven tidsgransen "ldap_opt_timeout" sattas till ett storre varde an "dns_resolver_timeout" som i sin tur skall sattas till ett storre varde an "dns_resolver_op_timeout" som skall vara storre an "dns_resolver_server_timeout". TJANSTEUPPTACKT Tjansteupptacktsfunktionen gor att bakandar automatiskt kan hitta en lamplig server att ansluta till med en speciell DNS-fraga. Denna funktion stodjs inte for backup-servrar. Konfiguration Om inga servrar anges anvander bakanden automatiskt tjansteupptackt for att forsoka hitta en server. Anvandaren kan om sa onskas valja att anvanda bade en bestamd serveradress och tjansteupptackt genom att infoga ett speciellt nyckelord, "_srv_", i listan av servrar. Preferensordningen bibehalls. Denna funktion ar anvandbar om, till exempel, anvandaren foredrar att anvanda tjansteupptackt narhelst det ar mojligt, och falla tillbaka pa en specifik server nar inga servrar kan upptackas med DNS. Domannamnet Se parametern "dns_discovery_domain" i manualsidan sssd.conf(5) for fler detaljer. Protokollet Fragorna anger vanligen _tcp som protokoll. Undantag ar dokumenterade i respektive alternativs beskrivning. Se aven For mer information om tjansteupptacktsmekanismen, se RFC 2782. EXEMPEL Foljande exempel antar att SSSD ar korrekt konfigurerad och att APA ar en av domanerna i avsnittet [sssd]. Detta exempel visar endast konfigurationen av Kerberosautentisering; det inkluderar inte nagon identitetsleverantor. [domain/APA] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 05/17/2024 SSSD-KRB5(5)