AUTHSELECT

Section: \ \& (8)
Updated: 2018-03-18
Page Index

NAME

authselect - Systemidentitäts- und Authentifizierungsquellen auswählen.

ZUSAMMENFASSUNG

authselect [--debug] [--trace] [--warn] command [command options]

BESCHREIBUNG

Authselect ist ein Tool zum Konfigurieren von Systemidentitäts- und Authentifizierungsquellen und Anbieter durch Auswahl eines bestimmten Profils. Profil ist eine Reihe von Dateien, die beschreibt, wie die resultierende Systemkonfiguration aussehen wird. Wenn ein Profil ausgewählt ist, erstellt authselect den zu verwendenden Stapel nsswitch.conf (5) und PAM (8) vom Profil definierte Identitäts- und Authentifizierungsquellen.

Wenn der bereitgestellte Profilsatz nicht ausreicht, kann der Administrator ein benutzerdefiniertes Profil erstellen, indem er es in ein spezielles Profilverzeichnis (/etc/authselect/custom) legt. Auf diese Weise kann das Profil sofort von authselect verwendet werden. Weitere Informationen zum Erweitern vorhandener Profile finden Sie unter _authselect-profile (5) _.

OPT-IN FÜR AUTHSELECT

Authselect berührt Ihre vorhandene Konfiguration nur, wenn sie bereits von ihr erstellt wurde. Wenn Sie authselect zum Konfigurieren Ihrer Systemauthentifizierung verwenden möchten, rufen Sie zuerst authselect select mit dem Parameter --force auf (z. B. authselect select sssd --force). Der Parameter --force teilt authselect mit, dass es in Ordnung ist, vorhandene Nicht-authselect-Konfigurationen zu überschreiben (siehe Beschreibung unten). Wenn Sie den Parameter --force verwenden, wird automatisch eine Sicherungskopie Ihrer aktuellen Konfiguration erstellt. Wenn Sie zurückkehren möchten, können Sie diese mit dem Befehl authselect backup-restore wiederherstellen (siehe Beschreibung unten).

VERFÜGBARE BEFEHLE

Für eine Liste von allen verfügbaren Befehlen, geben Sie authselect ein ohne Argumente. Für Hilfe, geben Sie authselect COMMAND --help ein.

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NAME]

Aktivieren Sie das gewünschte Profil. In der Profilbeschreibung mit dem Befehl show finden Sie Informationen zu den profilspezifischen optionalen Funktionen.

--force, -f

: Schreiben Sie Änderungen, auch wenn die vorherige Konfiguration nicht von erstellt wurde authselect aber durch anderes Tool oder durch manuelle Änderungen. Diese Option wird Sichern Sie Systemdateien automatisch, bevor Sie Änderungen schreiben --nobackup Option ist gesetzt.

-b

: Sichern Sie Systemdateien, bevor Sie das ausgewählte Profil aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

: Sichern Sie Systemdateien, bevor Sie das ausgewählte Profil aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

--nobackup

: Kein Backup erstellen wenn "--force" gesetzt ist.

--quiet, -q

: Der Befehl gibt keine Informationsnachricht aus, z. B. zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler werden noch gedruckt.

apply-changes [-b] [--backup=NAME]

Wenden Sie das aktuell ausgewählte Profil erneut an. Wenn die Profilvorlagen aktualisiert wurden, kann dieser Befehl verwendet werden, um die aktuelle Systemkonfiguration neu zu generieren und diese Änderungen auf das System anzuwenden. Dieser Befehl wendet die Änderungen nur erneut an, wenn die vorhandene Konfiguration eine gültige Authselect-Konfiguration ist. Andernfalls wird ein Fehler zurückgegeben.

-b

: Sichern Sie Systemdateien, bevor Sie Änderungen übernehmen. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

: Sichern Sie Systemdateien, bevor Sie Änderungen übernehmen. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

list

: Liste der verfügbaren Profile.

list-features profil_ID

: Listen Sie alle Funktionen auf, die in einem bestimmten Profil verfügbar sind. + _Hinweis: _ Hier werden nur die Funktionen ohne Beschreibung aufgelistet. Bitte lesen Sie die Profildokumentation mit show, um zu sehen, was die Funktionen bewirken.

show profil_id

: Drucken Sie Informationen zum Profil.

requirements profil_id [eigenschaften]

: Drucken Sie Informationen zu den Profilanforderungen.

current [-r, --raw]

: Drucken Sie Informationen zu aktuell ausgewählten Profilen. Wenn die Option --raw angegeben ist, druckt der Befehl die Rohparameter so, wie sie anstelle der formatierten Ausgabe an den Befehl select übergeben wurden.

check

: Überprüfen Sie, ob die aktuelle Konfiguration gültig ist (sie wurde entweder von authselect erstellt oder es sind keine Reste aus der vorherigen authselect-Konfiguration vorhanden).

test profil_id [optionen] [eigenschaften]

Drucken Sie den Inhalt von Dateien, die von authselect generiert wurden, ohne tatsächlich etwas in die Systemkonfiguration zu schreiben.

-a, --all

: Inhalt aller Dateien drucken.

-n, --nsswitch

: Inhalt der nsswitch.conf drucken.

-s, --system-auth

: Drucken Sie den Inhalt der Systemauthentifizierung.

-p, --password-auth

: Drucken Sie den Inhalt der Kennwortauthentifizierung.

-c, --smartcard-auth

: Smartcard-Auth-Inhalt drucken.

-f, --fingerprint-auth

: Drucken Sie den Fingerabdruck-Auth-Inhalt.

-o, --postlogin

: Postlogin-Inhalt drucken.

-d, --dconf-db

: Dconf-Datenbankinhalt drucken.

-l, --dconf-lock

: Dconf-Sperrinhalt drucken.

enable-feature feature [-b] [--backup=NAME] [-q, --quiet]

Funktion im aktuell ausgewählten Profil aktivieren.

-b

: Sichern Sie Systemdateien, bevor Sie die Funktion aktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

: Sichern Sie Systemdateien, bevor Sie die Funktion aktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

--quiet, -q

: Der Befehl gibt keine Informationsnachricht aus, z. B. zusätzliche Profilanforderungen oder Sicherungsspeicherort. Fehler werden noch gedruckt.

disable-feature feature [-b] [--backup=NAME]

Funktion im aktuell ausgewählten Profil deaktivieren.

-b

: Sichern Sie Systemdateien, bevor Sie die Funktion deaktivieren. Die Sicherungskopie wird unter /var/lib/authselect/backups/NAME gespeichert. Aktuelle Zeit mit Eine eindeutige Zeichenfolge wird als Name der Sicherung verwendet. Dies ist eine Abkürzung für --backup=.

--backup=NAME

: Sichern Sie Systemdateien, bevor Sie die Funktion deaktivieren. Das Backup wird unter /var/lib/authselect/backups/NAME gespeichert werden. Aktuelle Zeit mit einzigartig Zeichenfolge wird als Name verwendet, wenn kein Wert angegeben wird.

create-profile NAME [--custom,-c|--vendor,-v] [optionen]

Erstellen Sie ein neues benutzerdefiniertes Profil mit dem Namen NAME. Das Profil kann auf einem vorhandenen Profil basieren. In diesem Fall werden die neuen Profilvorlagen entweder aus dem Basisprofil kopiert oder symbolische Links zu diesen Dateien erstellt, wenn eine solche Option ausgewählt ist.

--vendor,-v

: Das neue Profil ist ein Lieferantenprofil anstelle eines benutzerdefinierten Profils. Sehen _authselect-profile (5) _ für weitere Informationen zu Profiltypen.

--base-on=BASE-ID, -b=BASE-ID

Das neue Profil basiert auf einem Profil mit dem Namen BASE-ID. Die Basis Die Profilposition wird mit den folgenden Schritten bestimmt:

: 1. Wenn BASE-ID mit dem Präfix _custom / _ beginnt, handelt es sich um ein benutzerdefiniertes Profil.

: 2. Versuchen Sie, ob BASE-ID in Herstellerprofilen gefunden wird.

: 3. Versuchen Sie, ob BASE-ID in Standardprofilen gefunden wird.

: 4. Geben Sie einen Fehler zurück.

--base-on-default

: Das Basisprofil ist ein Standardprofil, auch wenn es auch in gefunden wird Lieferantenprofile.

--symlink-meta

: Metadateien wie README und REQUIREMENTS sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink-nsswitch

: Die Vorlage nsswitch.conf ist ein symbolischer Link zum Ursprungsprofil Datei anstelle ihrer Kopie.

--symlink-pam

: PAM-Vorlagen sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink-dconf

: dconf-Vorlagen sind symbolische Links zu den Ursprungsprofildateien anstelle ihrer Kopie.

--symlink=FILE,-s=FILE

: Erstellen Sie einen symbolischen Link für eine Vorlagendatei FILE, anstatt sie zu erstellen seine Kopie. Diese Option kann mehrfach übergeben werden.

SICHERUNGSBEFEHLE

Mit diesen Befehlen können gesicherte Konfigurationen verwaltet werden.

backup-list [-r, --raw]

: Verfügbare Backups drucken. Wenn die Option --raw angegeben ist, druckt der Befehl nur Sicherungsnamen ohne Formatierung und zusätzliche Informationen.

backup-remove BACKUP

: Löschen Sie das Backup mit dem Namen BACKUP dauerhaft.

backup-restore BACKUP

: Stellen Sie die Konfiguration aus dem Backup mit dem Namen BACKUP wieder her. * Hinweis: * Dadurch wird die aktuelle Konfiguration überschrieben.

GEMEINSAME OPTIONEN

Diese Optionen sind für alle Befehle verfügbar.

--debug

: Drucken Sie Debugging-Informationen und Fehlermeldungen.

--trace

: Drucken Sie Informationen darüber, was das Tool tut.

--warn

: Drucken Sie Informationen zu unerwarteten Situationen, die sich nicht auf die Programmausführung auswirken, aber auf unerwünschte Situationen hinweisen können (z. B. unerwartete Dateien in einem Profilverzeichnis).

NSSWITCH.CONF MANAGEMENT

Authselect generiert /etc/nsswitch.conf und lässt keine Benutzeränderungen an dieser Datei zu. Solche Änderungen werden erkannt und authselect weigert sich, eine Systemkonfiguration zu schreiben, es sei denn, für den Befehl select ist eine Option --force vorgesehen. Dieser Mechanismus verhindert, dass authselect alles überschreibt, was keinem verfügbaren Profil entspricht.

Alle Benutzeränderungen an nsswitch-Maps müssen in der Datei /etc/authselect /user-nsswitch.conf vorgenommen werden. Wenn authselect eine neue nsswitch.conf generiert, liest es diese Datei und kombiniert sie mit der Konfiguration aus dem ausgewählten Profil. Die Profilkonfiguration hat immer Vorrang. Mit anderen Worten, Profile müssen nicht alle nsswitch-Maps festlegen, sondern können nur diejenigen festlegen, die für das Profil relevant sind. Wenn eine Karte in einem Profil festgelegt ist, überschreibt sie immer dieselbe Karte aus user-nsswitch.conf.

Beispiel 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {einschließen, wenn "with-sudo"}

$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files

$ authselect select sssd

# passwd- und Gruppenzuordnungen aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files

$ authselect select sssd with-sudo

# passwd-, group- und sudoers-Maps aus user-nsswitch.conf werden ignoriert
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

FEHLERBEHEBUNG

Wie kann ich feststellen, ob mein System authselect verwendet?

Verwenden Sie authselect check. Die Ausgabe zeigt an, ob Sie 1) eine von authselect generierte Konfiguration haben, 2) eine nicht authselect-Konfiguration oder 3) eine von authselect generierte, aber irgendwann manuell geänderte Konfiguration.

Soll nsswitch.conf jetzt ein symbolischer Link sein?

Authselect generiert Ihre Systemkonfiguration von Grund auf neu und speichert sie unter /etc/authselect. Systemdateien werden dann als symbolische Links zu diesem Verzeichnis erstellt. Symbolische Links werden verwendet, um zu verdeutlichen, dass authselect jetzt Eigentümer Ihrer Konfiguration ist und anstelle manueller Änderungen verwendet werden sollte.

Unerwartete Änderungen an der Konfiguration wurden festgestellt.

Beispielsweise:

[Fehler] [/etc/authselect/nsswitch.conf] existiert nicht!
[error] [/etc/nsswitch.conf] ist kein symbolischer Link!
[error] [/etc/nsswitch.conf] wurde nicht von authselect erstellt!
[Fehler] Es wurden unerwartete Änderungen an der Konfiguration festgestellt.
[Fehler] Weigert sich, das Profil zu aktivieren, es sei denn, diese Änderungen werden entfernt oder überschrieben.

Dies bedeutet, dass Ihre Konfiguration für authselect unbekannt ist und daher nicht geändert wird. Um dies zu beheben, rufen Sie bitte authselect select mit dem Parameter --force auf, um zu sagen, dass das Überschreiben in Ordnung ist.

RÜCKGABECODES

Die authselect kann diese Exit-Codes zurückgeben:

: • 0: Erfolg.

: • 1: Allgemeiner Fehler.

: • 2: Profil oder Konfiguration wurde nicht gefunden oder das System wurde nicht mit authselect konfiguriert.

: • 3: Die aktuelle Konfiguration ist ungültig. Sie wurde ohne Authselect bearbeitet.

: • 4: Die Systemkonfiguration muss überschrieben werden, um ein Authselect-Profil zu aktivieren. Der Parameter --force wird benötigt.

: • 5: Der ausgeführte Befehl muss als root ausgeführt werden.

GENERIERTE DATEIEN

Authselect erstellt und verwaltet die folgenden Dateien, um die Systemidentitäts- und Authentifizierungsanbieter ordnungsgemäß zu konfigurieren.

/etc/nsswitch.conf

: Name Service Switch-Konfigurationsdatei.

/etc/pam.d/system-auth

: PAM-Stack, der aus fast allen einzelnen Dienstkonfigurationsdateien enthalten ist.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

: Diese PAM-Stapel sind für Anwendungen vorgesehen, die die Authentifizierung von verschiedenen Gerätetypen über die gleichzeitige Ausführung einzelner Konversationen anstelle einer aggregierten Konversation verarbeiten.

/etc/pam.d/postlogin

: Der Zweck dieses PAM-Stapels besteht darin, einen gemeinsamen Platz für alle PAM-Module bereitzustellen, der nach dem in Systemauthentifizierung oder den anderen allgemeinen PAM-Konfigurationsdateien konfigurierten Stapel aufgerufen werden soll. Es ist in allen einzelnen Dienstkonfigurationsdateien enthalten, die dem Anmeldedienst Shell- oder Dateizugriff bieten. HINWEIS: Die Module in der Postlogin-Konfigurationsdatei werden unabhängig vom Erfolg oder Misserfolg der Module in der Systemauthentifizierungskonfigurationsdatei ausgeführt .

/etc/dconf/db/distro.d/20-authselect

: Änderungen an der dconf-Datenbank. Der Hauptanwendungsfall dieser Datei besteht darin, Änderungen für den Gnome-Anmeldebildschirm festzulegen, um die Smartcard- und Fingerabdruckauthentifizierung zu aktivieren oder zu deaktivieren.

/etc/dconf/db/distro.d/locks/20-authselect

: Diese Datei definiert Sperren für Werte, die in der dconf-Datenbank festgelegt sind.

SIEHE AUCH

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)