AUTHSELECT

Section: \ \& (8)
Updated: 2018-03-18
Page Index

NAME

authselect - システムアイデンティティーおよび認証ソースを選択します。

概要

authselect [--debug] [--trace] [--warn] コマンド [command options]

説明

authselect は、特定のプロファイルを選択することでシステムアイデンティティーおよび認証ソースとプロバイダーを設定するツールです。プロファイルは、結果として得られるシステム設定について説明するファイルのセットです。プロファイルが選択されると、authselect は nsswitch.conf(5) および PAM(8) スタックを作成し、プロファイルによって定義されたアイデンティティーおよび認証ソースを使用します。

提供されたプロファイルセットが十分でない場合、管理者はこれを特別プロファイルディレクトリー (/etc/authselect/custom) に置くことで、カスタムプロファイルを作成できます。これにより、authselect は即時にプロファイルを使用できます。既存のプロファイルの拡張に関する情報は、authselect-profiles(5) を参照してください。

OPT-IN TO AUTHSELECT

Authselect will not touch your existing configuration unless it has already been created by it. If you want to start using authselect to configure your system authentication, please call authselect select with --force parameter first (e.g. authselect select sssd --force). The --force parameter tells authselect that it is all right to overwrite existing non-authselect configuration (see description below). Using the --force parameter will automatically generate a backup of your current configuration so if you wish to go back you can restore it with authselect backup-restore command (see description below).

利用可能なコマンド

利用可能なすべてのコマンドを一覧表示するには、パラメーターなしで authselect を実行します。選択したコマンドのヘルプを印刷するには、authselect COMMAND --help を実行します。

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NAME]

必要なプロファイルを実行します。プロファイル特定のオプション機能を一覧表示するには、show コマンドでプロファイルの説明を表示します。

--force, -f

: 以前の設定を authselect が作成したのではなく、他のツールまたは手動での変更によって作成された場合でも、変更を書き込みます。このオプションは、--nobackup オプションが設定されない限り、変更を書き込む前に自動的にシステムファイルをバックアップします。

-b

: 選択したプロファイルを有効化する前にシステムファイルをバックアップしてください。バックアップは /var/lib/authselect/backups/NAME に保存されています。一意文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

: 選択したプロファイルの有効化を行う前に、システムファイルをバックアップします。このバックアップは、/var/lib/authselect/backups/NAME で復元されます。値を指定しない場合、一意の文字列を含む現在の時間は名前として使用されます。

--nobackup

: --force が設定されている場合でも、システム設定をバックアップしません。

--quiet, -q

: コマンドは、追加のプロファイル要件またはバックアップロケーションなどの情報に関するメッセージは印刷しません。エラーは引き続き印刷されます。

apply-changes [-b] [--backup=NAME]

現在選択されたプロファイルを再適用します。プロファイルのテンプレートが更新された場合、これらの変更をシステム上に適用するために、このコマンドを使用して現在のシステム設定を再生成できます。このコマンドは、既存の設定が有効な authselect 設定である場合にのみ、変更を再適用します。有効な authselect 設定でない場合は、エラーが返されます。

-b

: 変更を適用する前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

: 変更を適用する前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。値を指定しないと、一意の文字列を含む現在時間がバックアップの名前として使用されます。

list

: 利用可能なプロファイルを一覧表示します。

list-features profile_id

: 指定のプロファイルで利用できるすべての機能を一覧表示します。+ _Note:_説明なしの機能のみが一覧表示されます。機能の詳細は、show でプロファイルのドキュメンテーションをお読みください。

show profile_id

: プロファイルに関する情報を印刷します。

requirements profile_id [features]

: プロファイル要件に関する情報を印刷します。

current [-r, --raw]

: 現在選択しているプロファイルの情報を印刷します。--raw オプションが指定された場合、フォーマット化された出力ではなく select コマンドに渡されたので、コマンドはローパラメーターを印刷します。

check

: 現在の設定が有効かどうかを確認します (これは authselect が作成したか、または以前の authselect 設定とは無関係のいずれかになります)。

test profile_id [options] [features]

システム設定に実際に何かを書き込むことなく、authselect によって生成されたファイルのコンテンツを印刷します。

-a, --all

: すべてのファイルの内容を出力します。

-n, --nsswitch

: nsswitch.conf の内容を出力します。

-s, --system-auth

: system-auth の内容を出力します。

-p, --password-auth

: password-auth の内容を出力します。

-c, --smartcard-auth

: smartcard-auth の内容を出力します。

-f, --fingerprint-auth

: fingerprint-auth の内容を出力します。

-o, --postlogin

: postlogin の内容を出力します。

-d, --dconf-db

: dconf データベースの内容を出力します。

-l, --dconf-lock

: dconf ロックの内容を出力します。

enable-feature feature [-b] [--backup=NAME] [-q, --quiet]

現在選択されているプロファイルの機能を有効にします。

-b

: 機能を有効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

: 機能を有効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。値を指定しないと、一意の文字列を含む現在時間がバックアップの名前として使用されます。

--quiet, -q

: コマンドは、追加のプロファイル要件またはバックアップロケーションなどの情報に関するメッセージは印刷しません。エラーは引き続き印刷されます。

disable-feature feature [-b] [--backup=NAME]

現在選択されているプロファイルの機能を無効にします。

-b

: 機能を無効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。一意の文字列を含む現在時間がバックアップの名前として使用されます。これは --backup= のショートカットです。

--backup=NAME

: 機能を無効にする前にシステムファイルをバックアップします。このバックアップは /var/lib/authselect/backups/NAME に保存されます。値を指定しないと、一意の文字列を含む現在時間がバックアップの名前として使用されます。

create-profile NAME [--custom,-c|--vendor,-v] [options]

NAME という名前の新規のカスタムプロファイルを作成します。プロファイルは、既存のプロファイルに基づくことができます。この場合、新規のプロファイルテンプレートは、基本となるプロファイルのコピーか、またはこのオプションが選択された場合に作成されるこれらのファイルのシンボリックリンクのいずれかになります。

--vendor,-v

: 新規のプロファイルはカスタムプロファイルではなく、ベンダープロファイルです。プロファイルタイプに関する詳細は、authselect-profiles(5) を参照してください。

--base-on=BASE-ID, -b=BASE-ID

新規のプロファイルは BASE-ID という名前のプロファイルに基づきます。基本となるプロファイルのロケーションは、以下の手順で決定します。

: 1. BASE-ID の先頭に custom/ がつく場合は、カスタムプロファイルになります。

: 2. BASE-ID がベンダープロファイルで見つかるかどうか試します。

: 3. BASE-ID がデフォルトプロファイルで見つかるかどうか試します。

: 4. エラーを返します。

--base-on-default

: ベースプロファイルは、同じくベンダープロファイル内で見つかった場合でも、デフォルトプロファイルになります。

--symlink-meta

: README および REQUIREMENTS などの meta ファイルは、コピーではなく、オリジナルのプロファイルファイルのシンボリックリンクになります。

--symlink-nsswitch

: nsswitch.conf テンプレートは、コピーではなくオリジナルのプロファイルファイルのシンボリックリンクになります。

--symlink-pam

: PAM テンプレートは、コピーではなくオリジナルのプロファイルファイルのシンボリックリンクになります。

--symlink-dconf

: dconf テンプレートは、コピーではなくオリジナルのプロファイルファイルのシンボリックリンクになります。

--symlink=FILE,-s=FILE

: テンプレートファイル FILE のコピーを作成するのではなく、シンボリックリンクを作成します。このオプションは複数回渡すことができます。

バックアップコマンド

これらのコマンドは、バックアップした設定を管理するのに使用します。

backup-list [-r, --raw]

: 利用可能なバックアップを出力します。--raw オプションを指定すると、コマンドはフォーマット情報やその他の情報なしでバックアップ名のみを出力します。

backup-remove BACKUP

: BACKUP というバックアップを永久的に削除します。

backup-restore BACKUP

: BACKUP というバックアップから設定を復元します。Note: これは、現在の設定を上書きします。

一般的なオプション

これらのオプションは、すべてのコマンドで利用可能です。

--debug

: デバッグ情報およびエラーメッセージを印刷します。

--trace

: ツールの実行内容に関する情報を印刷します。

--warn

: プログラムの実行には影響しないが、何らかの望ましくない状況を示す予期せぬ状況 (たとえば、プロファイルディレクトリーに予期せぬファイルがある場合など)に関する情報を印刷します。

NSSWITCH.CONF の管理

authselect は /etc/nsswitch.conf を生成し、ユーザーがこのファイルを変更することを許可しません。変更した場合は検出され、select コマンドに --force オプションが提供されない限り、authselect はあらゆるシステム設定の書き込みを拒否します。このメカニズムは、authselect が利用可能なプロファイルと一致しないものを上書きすることを防ぎます。

nsswitch マップへのユーザーによる変更はどれも、ファイル /etc/authselect/user-nsswitch.conf で実行される必要があります。authselect が新しい nsswitch.conf を生成した場合、このファイルが読み込まれ、選択されたプロファイルの設定と組み合わせます。プロファイル設定は常に優先されます。言い換えると、プロファイルはすべての nsswitch マップを設定する必要はなく、プロファイルに関連するものだけを設定できます。マップがプロファイル内で設定される場合、常に同じマップを user-nsswitch.conf から上書きします。

例 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}

$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files

$ authselect select sssd

# passwd and group maps from user-nsswitch.conf are ignored
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files

$ authselect select sssd with-sudo

# passwd, group and sudoers maps from user-nsswitch.conf are ignored
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

TROUBLESHOOTING

How can I tell if my system is using authselect?

Use authselect check. The output will tell you if you have 1) configuration generated by authselect 2) non-authselect configuration or 3) configuration that was generated by authselect but modified manually at some point.

Is nsswitch.conf supposed to be a symbolic link now?

Authselect generates your system configuration from scratch and stores it at /etc/authselect. System files are then created as symbolic links to this directory. Symbolic links are used to make it clear that authselect is now owning your configuration and should be used instead of any manual modification.

Error: Unexpected changes to the configuration were detected.

For example:

[error] [/etc/authselect/nsswitch.conf] does not exist!
[error] [/etc/nsswitch.conf] is not a symbolic link!
[error] [/etc/nsswitch.conf] was not created by authselect!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

This means that your configuration is unknown to authselect and as such it will not be modified. To fix this, please call authselect select with --force parameter to say that it is all right to overwrite it.

リターンコード

authselect はこれらの終了コードを返すことができます。

: • 0: 成功。

: • 1: 一般エラー。

: • 2: プロファイルまたは設定が見つからないか、システムが authselect で設定されていません。

: • 3: 現在の設定は無効です。authselect なしで修正されました。

: • 4: authselect プロファイルを実行するには、システム設定を上書きする必要があります。--force parameter が必要です。

: • 5: コマンドは、root で実行する必要があります。

生成されたファイル

authselect は、システムアイデンティティーおよび認証プロバイダーを正確に設定するために、以下のファイルを作成および維持します。

/etc/nsswitch.conf

: Name Service Switch 設定ファイルです。

/etc/pam.d/system-auth

: ほぼすべての個別のサービス設定ファイルからインクルードされた PAM スタック。

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

: これらの PAM スタックは、1 つの集合的な会話ではなく個々の会話を同時に実行して、異なるタイプのデバイスの認証を扱うアプリケーション向けです。

/etc/pam.d/postlogin

: この PAM スタックの目的は、system-auth またはその他の共通の PAM 設定ファイルでスタックが設定された後に、呼び込まれるすべての PAM モジュールに共通の場所を提供することです。これは、シェルまたはファイルアクセスでログインサービスを提供するすべての個別のサービス設定ファイルからインクルードされます。 注意: postlogin 設定ファイルのモジュールは、system-auth 設定ファイルのモジュールの成功または失敗に関係なく実行されます。

/etc/dconf/db/distro.d/20-authselect

: dconf データベースへの変更。このファイルの主なユースケースは、スマートカードや指紋による認証を有効または無効にするために gnome ログイン画面に変更を設定することです。

/etc/dconf/db/distro.d/locks/20-authselect

: このファイルは、dconf データベースに設定された値のロックを定義します。

以下も参照してください。

authselect-profiles(5)、authselect-migration(7)、nsswitch.conf(5)、PAM(8)