AUTHSELECT

Section: \ \& (8)
Updated: 2018-03-18
Page Index
 

NAME

authselect - selecteert systeemidentiteit en authenticatiebronnen.  

KORTE INHOUD

authselect [--debug] [--trace] [--warn] commando [commando opties]
 

BESCHRIJVING

Authselect is een gereedschap voor het configureren van systeemidentiteit en authenticatiebronnen en aanbieders door het selecteren van een specifiek profiel. Profiel is een set of bestanden die beschrijven hoe de resulterende systeemconfiguratie eruit zal zien. Als een profiel geselecteerd is, zal authselect nsswitch.conf(5) en PAM(8) stack aanmaken voor het gebruik van identiteit en authenticatie bronnen gedefinieerd door het profiel.

Als de aangeboden profiel set niet voldoende is, kan de beheerder een aangepast profiel aanmaken door deze in een speciale profielmap (/etc/authselect/custom) te plaatsen. Door dit te doen, is het profiel is onmiddellijk bruikbaar bij authselect. Zie authselect-profiles(5) voor meer informatie over het uitbreiden van bestaande profielen.  

OPT-IN VOOR AUTHSELECT

Authselect raakt je bestaande configuratie niet aan, tenzij deze al door authselect is gemaakt. Als je authselect wilt gaan gebruiken om je systeemauthenticatie te configureren, roep je eerst authselect select aan met de parameter --force (bijvoorbeeld authselect select sssd --force). De --force parameter vertelt authselect dat het in orde is om de bestaande niet-authselect configuratie te overschrijven (zie beschrijving hieronder). Met de parameter --force wordt automatisch een back-up van je huidige configuratie gemaakt, dus als je terug wil gaan, kun je deze herstellen met het commando authselect backup-restore (zie beschrijving hieronder).  

BESCHIKBARE COMMANDO'S

Om alle beschikbare commando's te tonen voer je authselect uit zonder parameters. Om hulp voor het geselecteerde commando te printen voer je authselect COMMANDO --help uit.

select profile_id [features] [-f, --force] [-q, --quiet] [-b] [--backup=NAAM]

Activeert het gewenste profiel. Zie profielbeschrijving met show commando, om profiel specifieke optionele eigenschappen te tonen.

--force, -f

Schrijft veranderingen weg zelfs als de vorige configuratie niet aangemaakt werd door authselect maar door een ander gereedschap of handmatige veranderingen. Deze optie zal van systeembestanden automatisch een back-up maken voordat veranderingen weggeschreven worden tenzij de --nobackup optie ingesteld is.

-b

Maak een back-up van systeembestanden voordat het geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAME. De huidige tijd in een unieke string worst gebruikt als de naam van de back-up. Dit is een snelkoppeling voor --backup=.

--backup=NAAM

Maak een back-up van systeembestanden voordat het geselecteerde profiel geactiveerd wordt. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt als naam gebruikt als geen waarde opgegeven wordt.

--nobackup

Maak geen back-up van systeemconfiguratie zelfs als --force ingesteld is.

--quiet, -q

Het commando zal geen informatie berichten printen zoals extra profielvereisten of back-uplocatie. Fouten worden wel geprint.

apply-changes [-b] [--backup=NAAM]

Pas het huidig geselecteerde profiel opnieuw toe. Als de profielsjablonen vernieuwd werden kan dit commando gebruikt worden om de huidige systeemconfiguratie opnieuw te genereren om deze veranderingen toe te passen op het systeem. Dit commando zal de veranderingen alleen opnieuw toepassen als de bestaande configuratie een geldige authselect configuratie is, anders wordt een fout teruggegeven.

-b

Maak een back-up van systeembestanden voordat je veranderingen toepast. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt gebruikt als naam voor de back-up. Dit is een snelkoppeling voor --backup=.

--backup=NAAM

Maak een back-up van systeembestanden voordat je veranderingen toepast. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAME. De huidige tijd in een unieke string wordt als naam gebruikt als geen waarde is aangeboden.

list

Toon de beschikbare profielen.

list-features profile_id

Toon alle functies die beschikbaar zijn in het gegeven profiel. + Opmerking: Dir zal alleen de functies tonen zonder beschrijving. Lees de profieldocumentatie met show om te zien wat de functies doen.

show profile_id

Print informatie over het profiel.

requirements profile_id [features]

Print informatie ovet de profielvereisten.

current [-r, --raw]

Print informatie over de huidig geselecteerde profielen. Als de --raw optie gespecificeerd is, zal het commando ruwe parameters printen zoals ze doorgegeven zijn naar het select commando in plaats van geformatteerde output.

check

Check of de huidige configuratie geldig is (of het aangemaakt is door authselect of dat er geen restanten zijn van een vorige authselect configuratie).

test profile_id [options] [features]

Print de inhoud van bestanden gegenereerd door authselect zonder iets naar de systeemconfiguratie weg te schrijven.

-a, --all

Print de inhoud van alle bestandens.

-n, --nsswitch

Print nsswitch.conf inhoud.

-s, --system-auth

Print system-auth inhoud.

-p, --password-auth

Print password-auth inhoud.

-c, --smartcard-auth

Print smartcard-auth inhoud.

-f, --fingerprint-auth

Print fingerprint-auth inhoud.

-o, --postlogin

Print postlogin inhoud.

-d, --dconf-db

Print dconf database inhoud.

-l, --dconf-lock

Print dconf lock inhoud.

enable-feature feature [-b] [--backup=NAME] [-q, --quiet]

Zet feature aan in de huidig geselecteerde profiel.

-b

Maak een back-up van systeembestanden voordat je de feature aanzet. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt gebruikt als de naam van de back-up. Dit is een snelkoppeling voor --backup=.

--backup=NAAM

Maak een back-up van systeembestanden voordat je de feature aanzet. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt gebruikt als geen waarde is opgegeven.

--quiet, -q

Het commando zal geen informatie berichten printen zoals extra profielvereisten of back-uplocatie. Fouten worden wel geprint.

disable-feature feature [-b] [--backup=NAAM]

Zet feature uit in de huidig geselecteerde profiel.

-b

Maak een back-up van systeembestanden voordat je de feature uitzet. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt gebruikt als de naam van de back-up. Dit is een snelkoppeling voor --backup=.

--backup=NAAM

Maak een back-up van systeembestanden voordat je de feature uitzet. De back-up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd in een unieke string wordt gebruikt als geen waarde is opgegeven.

create-profile NAAM [--custom,-c|--vendor,-v] [opties]

Maak een nieuw aangepast profiel aan met de naam NAAM. Het profiel kan gebaseerd zijn op een bestaand profiel in welk geval de nieuwe profielsjablonen gecopieerd worden van het basis profiel of er worden symbolische links naar deze bestanden aangemaakt als zo'n optie geselecteerd is.

--vendor,-v

Het nieuwe profiel is een leveranciersprofiel in plaats van een aangepast profiel. Zie authselect-profiles(5) voor meer informatie over profieltypes.

--base-on=BASE-ID, -b=BASE-ID

Het nieuwe profiel zal gebaseerd worden op een profiel met de naam BASE-ID. De basis profiellocatie wordt bepaald met de volgen stappen:

1. Als BASE-ID begint met voorvoegsel custom/ dan is het een aangepast profiel.

2. Probeer of BASE-ID gevonden kan worden in de leverancier profielen.

3. Probeer of BASE-ID gevonden kan worden in de standaard profielen.

4. Geef een fout terug.

--base-on-default

Het basis profiel is een standaard profiel zelfs als het ook gevonden kan worden in leverancier profielen.

--symlink-meta

Meta bestanden, zoals README en REQUIREMENTS zan symbolische links zijn naar de originele profielbestanden op plaats van ze te kopiëren.

--symlink-nsswitch

nsswitch.conf sjabloon zan een symbolische link zijn naar het oorsprong bestand in plaats van een kopie.

--symlink-pam

PAM sjablonen zullen symbolische links zijn van de oorsprong profielbestanden in plaats van een kopie.

--symlink-dconf

dconf sjablonen zullen symbolische links zijn van de oorsprong profielbestanden in plaats van een kopie.

--symlink=BESTAND,-s=BESTAND

Maak een symbolische link aan voor een sjabloonbestand BESTAND in plaats van het aanmaken van een kopie. Deze optie kan meerdere keren doorgegeven worden.
 

BACK-UP COMANDO'S

TDeze commando's kunnen gebruikt worden voor het beheren van de back-ups van configuraties.

backup-list [-r, --raw]

Print beschikbare back-ups. Als de --raw optie gespecificeerd is, zal het commando alleen back-up namen tonen zonder formattering en extra informatie.

backup-remove BACKUP

Verwijder de back-up met naam BACKUP permanent.

backup-restore BACKUP

Herstel de configuratie met de back-up met naam BACKUP. Opmerking: Dit zal de huidige configuratie overschrijven.
 

ALGEMENE OPTIES

Deze opties zijn beschikbaar voor alle commando's.

--debug

Print debug informatie en foutboodschappen.

--trace

Print informatie over waar het gereedschap mee bezig is.

--warn

Print informatie over onverwachte situaties die de programma uitvoering niet beïnvloeden maar die een indicatie kunnen zijn van ongewenste situaties (bijv. onverwacht bestand in een profielmap).
 

NSSWITCH.CONF BEHEER

Authselect genereert /etc/nsswitch.conf en staat nbiet toe dat een gebruiker dit bestand kan veranderen. Zulke veranderingen worden gedetecteerd en authselect zal weigeren om een systeemconfiguratie weg te schrijven tenzij een --force optie werd aangeboden aan het select commando. Dit mechanisme belet authselect het overschrijven van iets dat niet overeenkomt met een beschikbaar profiel.

Elke gebruikersverandering in nsswitch mappen moet gebeuren in het bestand /etc/authselect/user-nsswitch.conf. Als authselect een nieuwe nsswitch.conf genereert leest het dit bestand enm combineert het met configuratie van het geselecteerde profiel. De profielconfiguratie heeft altijd voorrang. Met andere woorden, profielen hoeven niet alle nsswitch mappen in te stellen maar kunnen alleen die instellen die relevant zijn voor het profiel. Als een map is ingesteld in een profiel, overschrijft het altijd dezelfde map uit user-nsswitch.conf.

Voorbeeld 1.

# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss {include if "with-sudo"}

$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files

$ authselect select sssd

# passwd en groep mappen uit user-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
hosts:      files dns myhostname
sudoers:    files

$ authselect select sssd with-sudo

# passwd, groep en sudoers mappen uit iser-nsswitch.conf worden genegeerd
$ cat /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files
sudoers:    files sss
hosts:      files dns myhostname

 

PROBLEEMOPLOSSEN

 

Hoe weet ik of mijn systeem authselect gebruikt?

Gebruik authselect check. De output zal je vertellen of je 1) configuratie hebt gegenereerd met authselect 2) niet-authselect configuratie of 3) configuratie die is gegenereerd door authselect maar op een gegeven moment handmatig is gewijzigd.  

Moet nsswitch.conf nu een symbolische link zijn?

Authselect genereert je systeemconfiguratie helemaal opnieuw en slaat deze op bij /etc/authselect. Systeembestanden worden vervolgens gemaakt als symbolische koppelingen naar deze map. Symbolische koppelingen worden gebruikt om duidelijk te maken dat authselect nu je configuratie bezit en in plaats van een handmatige wijziging moet worden gebruikt.  

Fout: onverwachte wijzigingen in de configuratie zijn gedetecteerd.

Bijvoorbeeld:

[fout] [/etc/authselect/nsswitch.conf] bestaat niet!
[fout] [/etc/nsswitch.conf] is geen symbolische link!
[fout] [/etc/nsswitch.conf] is niet aangemaakt door authselect!
[fout] Onverwachte wijzigingen in de configuratie zijn gedetecteerd.
[fout] Weigeren om het profiel te activeren tenzij die wijzigingen zijn verwijderd of overschreven.

Dit betekent dat je configuratie onbekend is bij authselect en als zodanig niet zal worden gewijzigd. Om dit op te lossen, roep je authselect select aan met de parameter --force om aan te geven dat het goed is om het te overschrijven.  

RETOURCODES

authselect kan de volgende exit codes teruggeven:

• 0: Succes.

• 1: Algemene fout.

• 2: Profiel of configuratie werd niet gevonden of het systeem is niet geconfigureerd met authselect.

• 3: Huidige configuratie is niet geldig, het werd bewerkt zonder authselect.

• 4: Systeemconfiguratie moet overschreven worden om een authselect profiel te activeren, --force parameter is nodig.

• 5: Uitgevoerde commando moet uitgevoerd worden als root.
 

GEGENEREERDE BESTANDEN

Authselect maakt en beheert de volgende bestanden voor het correct configureren van systeemidentiteit en authenticatie aanbieders.

/etc/nsswitch.conf

Naam Service Switch configuratiebestands.

/etc/pam.d/system-auth

PAM stack die ingesloten wordt van bijna alle individuele service configuratiebestanden.

/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth

Deze PAM stacks zijn voor toepassingen die authenticatie afhandelen voor verschillende types apparaten via gelijktijdige uitvoering van individuele conversaties in plaats van een samengevoegde conversatie.

/etc/pam.d/postlogin

Het doel van deze PAM stack is het bieden van een algemene plaats voor alle PAM modules die aangeroepen moeten worden na de stack geconfigureerd in system-auth of de andere algemene PAM configuratiebestanden. Het wordt ingevoegd vanuit alle individuele service configuratiebestanden die inlogservice bieden met shell of bestand toegang. MERK OP: de modules in de postlogin configuratiebestand worden uitgevoerd onafhankelijk van het succes of mislukken van de modules in het system-auth configuratiebestand.

/etc/dconf/db/distro.d/20-authselect

Veranderingen in de dconf database. Het hoofdgebruik van dit bestand is het instellen van veranderingen voor het gnome inlogscherm voor het aan of uitzetten smartcard en and vingerafdruk authenticatie.

/etc/dconf/db/distro.d/locks/20-authselect

Dit bestand definieert sloten voor waardes ingesteld in de dconf database.
 

ZIE OOK

authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)


 

Index

NAME
KORTE INHOUD
BESCHRIJVING
OPT-IN VOOR AUTHSELECT
BESCHIKBARE COMMANDO'S
BACK-UP COMANDO'S
ALGEMENE OPTIES
NSSWITCH.CONF BEHEER
PROBLEEMOPLOSSEN
Hoe weet ik of mijn systeem authselect gebruikt?
Moet nsswitch.conf nu een symbolische link zijn?
Fout: onverwachte wijzigingen in de configuratie zijn gedetecteerd.
RETOURCODES
GEGENEREERDE BESTANDEN
ZIE OOK