'\" t .\" Title: sssd_krb5_locator_plugin .\" Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/09/2024 .\" Manual: Сторінки підручника SSSD .\" Source: SSSD .\" Language: English .\" .TH "SSSD_KRB5_LOCATOR_PL" "8" "04/09/2024" "SSSD" "Сторінки підручника SSSD" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd_krb5_locator_plugin \- Додаток локатора Kerberos .SH "ОПИС" .PP Для пошуку KDC для вказаної області Kerberos libkrb5 використовує додаток пошуку Kerberos \fBsssd_krb5_locator_plugin\fR\&. SSSD надає такий додаток для спрямовування усіх клієнтів Kerberos у системі до єдиного KDC\&. Загалом, немає значення, з яким KDC клієнт обмінюється даними\&. Втім, бувають випадки, наприклад, після зміни пароля, коли не усі KDC перебувають в одному стані, оскільки нові дані має бути спочатку відтворено на усіх серверах\&. Щоб уникнути неочікуваних помилок під час розпізнавання або навіть блокування облікових записів, варто примусово обмежувати обмін даними до одного KDC якомога довше\&. .PP libkrb5 шукатиме додаток пошуку у підкаталозі libkrb5 каталогу додатків Kerberos, див\&. plugin_base_dir у \fBkrb5.conf\fR(5), щоб дізнатися більше\&. Додаток можна вимкнути лише вилученням файла додатка\&. У налаштуваннях Kerberos не передбачено пунктів для його вимикання\&. Втім, для вимикання додатка для окремих команд можна скористатися змінною середовища SSSD_KRB5_LOCATOR_DISABLE\&. Крім того, можна скористатися параметром SSSD krb5_use_kdcinfo=False з метою заборони створення даних, які потрібні для роботи додатка\&. Якщо визначити цю змінну, додаток викликатиметься, але не надаватиме дані функції виклику, отже libkrb5 зможе повернутися до інших методів, які визначено у krb5\&.conf\&. .PP Додаток читає дані щодо KDC вказаної області з файла із назвою kdcinfo\&.REALM\&. Цей файл має містити одну або декілька назв DNS або IP\-адрес або у форматі чисел, які відокремлено крапками, IPv4, або у шістнадцятковому форматі IPv6\&. Можна додати необов\*(Aqязковий номер порту наприкінці, відокремивши його від решти запису двокрапкою\&. У цьому випадку, як завжди, адресу IPv6 слід взяти у квадратні дужки\&. Коректними вважаються такі записи: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} kdc\&.example\&.com .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} kdc\&.example\&.com:321 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 1\&.2\&.3\&.4 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 5\&.6\&.7\&.8:99 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} 2001:db8:85a3::8a2e:370:7334 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} [2001:db8:85a3::8a2e:370:7334]:321 .RE .sp Надавач даних розпізнавання krb5 SSSD, який використовується також надавачами даних IPA та AD, додає до цього файла адресу поточного KDC або контролера домену, який використовує SSSD\&. .PP У середовищах із придатними лише для читання або для читання запису KDC, де, як очікується, клієнти використовуватимуть придатні лише для читання екземпляри для виконання загальних завдань і користуватиметься призначеними для запису KDC лише для внесення змін до налаштувань, зокрема зміни паролів, kpasswdinfo\&.REALM також використовується для визначення придатних до читання і запису KDC\&. Якщо цей файл існує для вказаної області, його вміст буде використано додатком для надання відповідей на запити щодо сервера kpasswd або kadmin чи щодо певного основного KDC MIT Kerberos\&. Якщо адреса містить номер порту, для останньої мети використовуватиметься типовий порт KDC 88\&. .SH "ЗАУВАЖЕННЯ" .PP Підтримку використання додатків передбачено не у всіх реалізаціях Kerberos\&. Якщо у вашій системі немає \fBsssd_krb5_locator_plugin\fR, вам слід внести зміни до /etc/krb5\&.conf, які відповідатимуть вашій версії Kerberos\&. .PP Якщо встановлено будь\-яке значення змінної середовища SSSD_KRB5_LOCATOR_DEBUG, діагностичні повідомлення надсилатимуться до stderr\&. .PP Якщо встановлено будь\-яке значення для змінної середовища SSSD_KRB5_LOCATOR_DISABLE, додаток буде вимкнено і поверне функції виклику лише KRB5_PLUGIN_NO_HANDLE\&. .PP Якщо встановлено будь\-яке значення змінної середовища SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES, додаток спробує визначити усі назви DNS у файлі kdcinfo\&. Типово, додаток повертає функції виклику KRB5_PLUGIN_NO_HANDLE негайно після першої ж невдалої спроби визначення DNS\&. .SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBОсновна гілка розробки SSSD \(em https://pagure\&.io/SSSD/sssd/\fR