AUTHSELECT

Section: \ \& (8)
Updated: 2018-03-18
Page Index

NAME

authselect - poskytuje výběr systémové totožnosti a zdrojů autentizace.

SOUHRN

authselect [--debug] [--trace] [--warn] příkaz [volby příkazu]

POPIS

Authselect je nástroj pro nastavení systémové totožnosti i zdrojů autentizace a jejích poskytovatelů prostřednictvím výběru určitého profilu. Profil je sadou souborů, která popisuje, jak má vypadat výsledné nastavení systému. Je-li vybrán profil, authselect vytvoří stoh nsswitch.conf(5) a PAM(8), který používá totožnost a zdroje autentizace určené profilem.

Pokud poskytnutá profilová sada nedostačuje, správce může vytvořit vlastní profil, který umístí do zvláštního profilového adresáře (/etc/authselect/custom). Tímto se stane profil pro authselect ihned použitelným. Více informací o rozšiřování současných profilů viz authselect-profiles(5).

OPT-IN TO AUTHSELECT

Authselect will not touch your existing configuration unless it has already been created by it. If you want to start using authselect to configure your system authentication, please call authselect select with --force parameter first (e.g. authselect select sssd --force). The --force parameter tells authselect that it is all right to overwrite existing non-authselect configuration (see description below). Using the --force parameter will automatically generate a backup of your current configuration so if you wish to go back you can restore it with authselect backup-restore command (see description below).

DOSTUPNÉ PŘÍKAZY

Všechny dostupné příkazy lze vypsat spuštěním authselect bez jakýchkoliv parametrů. Zobrazení nápovědy pro vybraný příkaz lze spustit příkazem authselect PŘÍKAZ --help.

select id_profilu [vlastnosti] [-f, --force] [-q, --quiet] [-b] [--backup=NÁZEV]

Aktivuje požadovaný profil. Výpis volitelných vlastností daného profilu viz popis profilu s příkazem show.

--force, -f

: Zapsat změny, i když předchozí konfigurace nebyla vytvořena authselectem, ale jiným nástrojem nebo ručně. Tato volba automaticky zálohuje systémové soubory před zápisem kterékoliv změny, pokud není nastavena volba --nobackup.

-b

: Vytvořit zálohu systémových souborů před aktivací zvoleného profilu. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NÁZEV

: Vytvořit zálohu systémových souborů před aktivací zvoleného profilu. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

--nobackup

: Nezálohovat systémovou konfiguraci, přestože je nastavena volba --force.

--quiet, -q

: Příkaz nevypíše žádné informační zprávy, jako např. dodatečné požadavky na profil nebo umístění zálohy. Chybové hlášky vypsány budou.

apply-changes [-b] [--backup=NÁZEV]

Opětovně aplikovat zvolený profil. Jsou-li zaktualizovány profilové šablony, tímto příkazem lze znovu vytvořit aktuální systémovou konfiguraci, aby se tyto změny promítly do systému. Příkaz opětovně aplikuje změny pouze, je-li aktuální konfigurace platnou konfigurací authselectu, jinak je vrácena chyba.

-b

: Vytvořit zálohu systémových souborů před použitím změn. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NÁZEV

: Vytvořit zálohu systémových souborů před použitím změn. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

list

: Vypsat dostupné profily.

list-features id_profilu

: Vypsat všechny vlastnosti v daném profilu. + Poznámka: Vlastnosti jsou pouze vypsány bez popisu. Chcete-li získat i popis, prosíme, prostudujte dokumentaci profilu příkazem show.

show id_profilu

: Vypsat informace o profilu.

requirements id_profilu [vlastnosti]

: Zobrazit informace o požadavcích na profil.

current [-r, --raw]

: Zobrazit informace o aktuálně zvolených profilech. Je-li uvedena volba --raw, příkaz namísto formátovaného výstupu zobrazí parametry v surovém stavu, jako kdyby by byly předány příkazu select.

check

: Provést kontrolu, zda je aktuální konfigurace platná (byla vytvořena buď nástrojem authselect nebo nezůstaly žádné pozůstatky předchozích konfigurací authselectu).

test id_profilu [volby] [vlastnosti]

Vypsat obsah souborů vytvořených nástrojem authselect bez zapsání změn do systémové konfigurace.

-a, --all

: Zobrazit obsah všech souborů.

-n, --nsswitch

: Zobrazit obsah nsswitch.conf.

-s, --system-auth

: Zobrazit obsah system-auth.

-p, --password-auth

: Zobrazit obsah password-auth.

-c, --smartcard-auth

: Zobrazit obsah smartcard-auth.

-f, --fingerprint-auth

: Zobrazit obsah fingerprint-auth.

-o, --postlogin

: Zobrazit obsah postlogin.

-d, --dconf-db

: Zobrazit obsah databáze dconf.

-l, --dconf-lock

: Zobrazit obsah dconf lock.

enable-feature vlasnost [-b] [--backup=NÁZEV] [-q, --quiet]

Povolit vlastnost v aktuálně zvoleném profilu.

-b

: Vytvořit zálohu systémových souborů před povolením vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NÁZEV

: Vytvořit zálohu systémových souborů před povolením vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

--quiet, -q

: Příkaz nevypíše žádné informační zprávy, jako např. dodatečné požadavky na profil nebo umístění zálohy. Chybové hlášky vypsány budou.

disable-feature vlastnost [-b] [--backup=NÁZEV]

Zakázat vlastnost v aktuálně zvoleném profilu.

-b

: Vytvořit zálohu systémových souborů před zákazem vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Jako název zálohy se použije aktuální čas a jedinečný řetězec. Jedná se o kratší formu volby --backup=.

--backup=NÁZEV

: Vytvořit zálohu systémových souborů před zákazem vlastnosti. Záloha bude uložena v /var/lib/authselect/backups/NÁZEV. Není-li zadána hodnota, jako název zálohy se použije aktuální čas a jedinečný řetězec.

create-profile NÁZEV [--custom,-c|--vendor,-v] [volby]

Vytvořit nový vlastní profil s názvem dle parametru NÁZEV. Profil lze vytvořit na základě již existujícího profilu, kdy šablony nového profilu jsou zkopírovány z existujícího (a tedy bázového) profilu, nebo jsou vytvořeny symbolické odkazy na tyto soubory, je-li uvedena příslušná volba.

--vendor,-v

: Nový profil se vytvoří jako profil výrobce, nikoliv vlastní profil. Více informací o typech profilů viz authselect-profiles(5).

--base-on=ID-BÁZE, -b=ID-BÁZE

Nový profil bude založen na (bázovém) profilu s názvem dle parametru ID-BÁZE. Místo, kde se nachází bázový profil, je určeno těmito kroky:

: 1. Je-li před ID-BÁZE předřazeno custom/, jedná se o vlastní profil.

: 2. Zkus, zda bude ID-BÁZE nalezen v profilech výrobců.

: 3. Zkus, zda bude ID-BÁZE nalezen ve výchozích (default) profilech.

: 4. Vrať chybu.

--base-on-default

: Bázovým profilem bude profil výchozí, i pokud se nalézá též v profilech výrobců.

--symlink-meta

: Meta soubory, jako README a REQUIREMENTS budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink-nsswitch

: šablona nsswitch.conf bude symbolickým odkazem na soubor původního (tzn. bázového) profilu, nikoliv jeho kopií.

--symlink-pam

: šablony PAM budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink-dconf

: šablony dconf budou symbolickými odkazy na soubory původního (tzn. bázového) profilu, nikoliv jejich kopiemi.

--symlink=SOUBOR,-s=SOUBOR

: Vytvořit symbolický odkaz na soubor šablony SOUBOR, nikoliv jeho kopii. Tuto volbu lze uvést vícekrát.

PŘÍKAZY ZÁLOHY

Tyto příkazy lze použít ke správě zálohovaných konfigurací.

backup-list [-r, --raw]

: Zobrazit dostupné zálohy. Je-li uvedena volba --raw, příkaz vypíše pouze názvy záloh bez jakéhokoliv formátování či dalších informací.

backup-remove ZÁLOHA

: Trvale odstranit zálohu s názvem ZÁLOHA.

backup-restore BACKUP

: Obnovit konfiguraci ze zálohy s názvem ZÁLOHA. POZNÁMKA: Příkaz přepíše aktuální konfiguraci.

SPOLEČNÉ VOLBY

Tyto volby lze použít u všech příkazů.

--debug

: Zobrazit ladící informace a chybové zprávy.

--trace

: Zobrazit informace o tom, co nástroj provádí.

--warn

: Zobrazit informace o neočekávaných situacích, které nemají vliv na vykonávání programu, ale mohou naznačovat nějaké nechtěné situace (např. neočekávaný soubor v adresáři profilu).

SPRÁVA NSSWITCH.CONF

Authselect vytváří /etc/nsswitch.conf a žádnému uživateli nedovoluje provést změny tohoto souboru. Takové změny jsou odhaleny a pokud není uvedena v příkazu select volba --force, authselect odmítne zapsat každou systémovou konfiguraci. Tento mechanismus brání authselectu v přepsání čehokoliv, co neodpovídá dostupným profilům.

Jakékoliv uživatelské změny v mapách nsswitch musí být provedeny v souboru /etc/authselect/user-nsswitch.conf. Při vytváření nového souboru nsswitch.conf čte authselect tento soubor a kombinuje ho s konfigurací zvoleného profilu. Konfigurace profilu má vždy přednost. Jinými slovy profily nemusí nastavovat všechny mapy nsswitch, mohou pouze nastavovat ty, jež jsou relevantní pro daný profil. Je-li mapa v rámci profilu nastavena, vždy přepíše stejnou mapu z user-nsswitch.conf.

Příklad 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}

$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files

$ authselect select sssd

# k mapám passwd a group z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files

$ authselect select sssd with-sudo

# k mapám passwd, group a sudoers z user-nsswitch.conf se nepřihlíží
$ cat /etc/nsswitch.conf
passwd:     sss files systemdindicate
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

TROUBLESHOOTING

How can I tell if my system is using authselect?

Use authselect check. The output will tell you if you have 1) configuration generated by authselect 2) non-authselect configuration or 3) configuration that was generated by authselect but modified manually at some point.

Is nsswitch.conf supposed to be a symbolic link now?

Authselect generates your system configuration from scratch and stores it at /etc/authselect. System files are then created as symbolic links to this directory. Symbolic links are used to make it clear that authselect is now owning your configuration and should be used instead of any manual modification.

Error: Unexpected changes to the configuration were detected.

For example:

[error] [/etc/authselect/nsswitch.conf] does not exist!
[error] [/etc/nsswitch.conf] is not a symbolic link!
[error] [/etc/nsswitch.conf] was not created by authselect!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

This means that your configuration is unknown to authselect and as such it will not be modified. To fix this, please call authselect select with --force parameter to say that it is all right to overwrite it.

NÁVRATOVÉ KÓDY

authselect vrací tyto návraté kódy:

: • 0: Úspěch.

: • 1: Obecná chyba.

: • 2: Profil nebo konfigurace nenalezeny nebo systém nebyl konfigurován pomocí authselect.

: • 3: Aktuální konfigurace je neplatná, nebyla upravena prostřednictvím authselect.

: • 4: Systémová konfigurace musí být přepsána, aby se aktivoval profil authselectu, je nutný parametr --force.

: • 5: Zadaný příkaz lze spustit jen jako uživatel root.

VYTVÁŘENÉ SOUBORY

Authselect vytváří a udržuje následující soubory, z důvodu správného nastavení systémové totožnosti a poskytovatelů autentizace.

/etc/nsswitch.conf

: Konfigurační soubor Name Service Switch.

/etc/pam.d/system-auth

: PAM stack that is included from nearly all individual service configuration files.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

: Tyto stohy PAM jsou určené pro aplikace, které obsluhují autentizaci z různých druhů zařízení prostřednictvím souběžného vedení jednotlivých konverzací, nikoliv jedné hromadné konverzace.

/etc/pam.d/postlogin

: The purpose of this PAM stack is to provide a common place for all PAM modules which should be called after the stack configured in system-auth or the other common PAM configuration files. It is included from all individual service configuration files that provide login service with shell or file access. NOTE: the modules in the postlogin configuration file are executed regardless of the success or failure of the modules in the system-auth configuration file.

/etc/dconf/db/distro.d/20-authselect

: Změny v databázi dconf. Hlavním příkladem použití tohoto souboru je nastavit změny u přihlašovací obrazovky gnome tak, aby bylo možné povolit či zakázat autentizaci přes čipovou kartu nebo otisk prstu.

/etc/dconf/db/distro.d/locks/20-authselect

: Tento soubor nastavuje zámek u hodnot nastavených v databázi dconf.

VIZ TÉŽ

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)