'\" t .\" Title: sssd_krb5_locator_plugin .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/09/2024 .\" Manual: SSSD manualsidor .\" Source: SSSD .\" Language: English .\" .TH "SSSD_KRB5_LOCATOR_PL" "8" "04/09/2024" "SSSD" "SSSD manualsidor" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd_krb5_locator_plugin \- Kerberos lokaliseringsinsticksmodul .SH "BESKRIVNING" .PP Kerberos lokaliseringsinsticksmodul \fBsssd_krb5_locator_plugin\fR används av libkrb5 för att hitta KDC:er för ett givet Kerberos\-rike\&. SSSD tillhandahåller en sådan insticksmodul för att styra alla Kerberos\-klienter på ett system till en ensam KDC\&. I allmänhet skall det inte ha någon betydelse vilken KDC en klientprocess pratar med\&. Men det finns fall, t\&.ex\&. efter en lösenordsändring, då inte alla KDC:er är i samma tillstånd för att den nya datan måste spridas först\&. För att undvika oväntade autentiseringsfel och kanske även kontolåsningar kan det vara bra att prata med en enskild KDC så länge som möjligt\&. .PP libkrb5 kommer söka efter lokaliseringsinsticksmodulen i underkatalogen libkrb5 till Kerberos katalog för insticksmoduler, se plugin_base_dir i \fBkrb5.conf\fR(5) för detaljer\&. Insticksmodulen kan endast avaktiveras genom att ta bort filen med insticksmodulen\&. Det finns ingen möjlighet att avaktivera den i Kerberos konfiguration\&. Men miljövariabeln SSSD_KRB5_LOCATOR_DISABLE kan användas för att avaktivera insticksmodulen för individuella kommandon\&. Alternativt kan SSSD\-alternativet krb5_use_kdcinfo=False användas för att inte generera de data som behövs av insticksmodulen\&. Med denna anropas fortfarande insticksmodulen men den tillhandahåller inga data till anroparen så att libkrb5 kan falla tillbaka på andra metoder som är definierade i krb5\&.conf\&. .PP Insticksmodulen läser information om KDC:erna för ett givet rike från en fil som heter kdcinfo\&.RIKE\&. Filen skall innehålla ett eller flera DNS\-namn eller IP\-adresser antingen i punktad decimal IPv4\-notation eller den hexadecimala IPv6\-notationen\&. Ett frivilligt portnummer kan läggas till på slutet separerat av ett kolon, IPv6\-adressen måste inneslutas i hakparenteser i detta fall som vanligt\&. Giltiga poster är: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} kdc\&.example\&.com .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} kdc\&.example\&.com:321 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 1\&.2\&.3\&.4 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 5\&.6\&.7\&.8:99 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 2001:db8:85a3::8a2e:370:7334 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} [2001:db8:85a3::8a2e:370:7334]:321 .RE .sp SSSD:s krb5\-autentiseringsleverantör som också används av IPA\- och AD\-leverantörerna lägger till adresser till den aktuella KDC\- eller domänkontrollern SSSD använder till denna fil\&. .PP I miljöer med KDC:er som endast är för läsning och för läsning och skrivning där klienter förväntas använda instanser endast för läsning för allmänna operationer och endast KDC:n för läsning och skrivning för konfigurationsändringar som lösenordsändringar används även en kpasswdinfo\&.RIKE för att identifiera KDC:er för läsning och skrivning\&. Om denna fil finns för det givna riket kommer innehållet användas av insticksmodulen för att svara på begäranden om en kpasswd\- eller kadmin\-server eller om huvud\-KDC:n specifik för MIT Kerberos\&. Om adressen innehåller ett portnummer kommer standard\-KDC\-porten 88 användas för det senare\&. .SH "NOTER" .PP Inte alla Kerberosimplementationer stödjer användningen av insticksmoduler\&. Om \fBsssd_krb5_locator_plugin\fR inte är tillgänglig på ditt system måste du redigera /etc/krb5\&.conf för att avspegla din Kerberosuppsättning\&. .PP Om miljövariabeln SSSD_KRB5_LOCATOR_DEBUG är satt till något värde kommer felsökningsmeddelanden skrivas till standard fel\&. .PP Om miljövariabeln SSSD_KRB5_LOCATOR_DISABLE är satt till något värde avaktiveras insticksmodulen och kommer bara returnera KRB5_PLUGIN_NO_HANDLE till anroparen\&. .PP Om miljövariabeln SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES är satt till något värde kommer insticksmodulen försöka slå upp alla DNS\-namn i filen kdcinfo\&. Som standard returneras KRB5_PLUGIN_NO_HANDLE till anroparen omedelbart vid den första misslyckade DNS\-uppslagningen\&. .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR