AUTHSELECT
Section: \ \& (8)
Updated: 2018-03-18
Page Index
NAME
authselect - выбор источников идентификации системы и авторизации.
КРАТКОЕ СОДЕРЖАНИЕ
-
authselect [--debug] [--trace] [--warn] команда [параметры команды]
ОПИСАНИЕ
Authselect - инструмент для настройки источников и провайдеров идентификации и подтверждения подлинности системы путем выбора определенного профиля. Профиль - это набор файлов, описывающий, как в итоге будет выглядеть конфигурация системы. Когда выбирается профиль, authselect создает стек nsswitch.conf(5) и PAM(8) для использования источников идентификации и подтверждения подлинности, определенных профилем.
Если предоставленного набора профилей недостаточно, администратор может создать собственный профиль, поместив его в специальный каталог профилей (/etc/authselect/custom). Сразу после этого профиль может использоваться authselect. Дополнительные сведения о расширении существующих профилей см. authselect-profiles(5).
ПОДПИСАТЬСЯ НА AUTHSELECT
Authselect не коснется вашей существующей конфигурации, если она еще не была им создана. Если вы хотите начать использовать authselect для настройки аутентификации вашей системы, сначала вызовите authselect select с параметром --force (например, authselect select sssd --force). Параметр * --force * сообщает authselect, что можно перезаписать существующую конфигурацию без авторизации (см. описание ниже). Использование параметра - -force автоматически создаст резервную копию вашей текущей конфигурации, поэтому, если вы хотите вернуться, вы можете восстановить ее с помощью команды authselect backup-restore (см. описание ниже).
ДОСТУПНЫЕ КОМАНДЫ
Чтобы получить список всех имеющихся команд, запустите команду authselect без параметров. Чтобы вывести справку по выбранной команде, выполните команду authselect COMMAND --help.
select идентификатор_профиля [функции] [-f, --force] [-q, --quiet] [-b] [--backup=NAME]
-
Активировать нужный профиль. Описание профиля можно получить с помощью команды
show, при этом выводится список дополнительных функций профиля.
--force, -f
-
Записать изменения, даже если предыдущая конфигурация была создана не authselect, а другим инструментом или путем изменения вручную. Этот параметр приводит к автоматическому резервному копированию системных файлов перед записью изменений, если только не установлен параметр
--nobackup.
-b
-
Резервное копирование системных файлов перед активацией выбранного профиля. Резервная копия будет храниться в /var/lib/authselect/backups/NAME. Текущее время с в качестве имени резервной копии в качестве уникальной строки. Это ссылка для
--backup=.
--backup=ИМЯ
-
Резервное копирование системных файлов перед активированием выбранного профиля. Резервная копия будет храниться в /var/lib/authselect/backups/ИМЯ. Если имя не предоставлено, в качестве имени будет использоваться текущее время.
--nobackup
-
Не делать резервное копирование конфигурации системы, если указано
--force.
--quiet, -q
-
Команда не выводит информационных сообщений, например, дополнительных требований к профилю или расположение резервной копии. Ошибки все же выводятся.
apply-changes [-b] [--backup=НАЗВАНИЕ]
-
Повторно применить текущий выбранный профиль. Если шаблоны профиля были обновлены, эта команду можно использовать для восстановления текущей конфигурации системы, чтобы применить эти изменения в системе. Эта команда повторно применит изменения, только если существующая конфигурация является допустимой конфигурацией authselect, в противном случае будет возвращена ошибка.
-b
-
Перед применением изменений сделайте резервную копию системных файлов. Резервная копия будет храниться в /var/lib/authselect/backups/НАЗВАНИЕ. Текущее время с в качестве имени резервной копии используется уникальная строка. Это ярлык для
--backup=.
--backup=ИМЯ
-
Перед применением изменений сделайте резервную копию системных файлов. Резервная копия будет храниться в /var/lib/authselect/backups/НАЗВАНИЕ. Текущее время в виде уникальной строки используется как название, если значение не указано.
list
-
Список доступных профилей.
list-features индентификатор_профиля
-
Список всех функций, доступных в данном профиле. +
Note:
Здесь будут перечислены только функции без описания. Пожалуйста, прочтите документацию по профилю с
show, чтобы узнать, что делают функции.
show ид_профиля
-
Вывести информацию о профиле.
requirements ид_профиля [возможности]
-
Вывести информацию о требованиях профиля.
current [-r, --raw]
-
Вывести информацию о текущих выбранных профилях. Если задан параметр
--raw, эта команда выведет параметры без обработки, так, как они были переданы команде
select, вместо форматированного вывода.
check
-
Проверить правильность текущей конфигурации (либо она была создана
authselect, либо нет остатков от предыдущей конфигурации authselect).
test индентификатор_профиля [опции] [функции]
-
Вывести содержимое файлов, сгенерированных
authselect
без фактической записи в конфигурацию системы.
-a, --all
-
Печать содержимого всех файлов
-n, --nsswitch
-
Печать содержимого nsswitch.conf.
-s, --system-auth
-
Печать содержимого system-auth.
-p, --password-auth
-
Печать содержимого password-auth.
-c, --smartcard-auth
-
Печать содержимого smartcard-auth.
-f, --fingerprint-auth
-
Печать содержимого fingerprint-auth.
-o, --postlogin
-
Печать содержимого postlogin.
-d, --dconf-db
-
Печать содержимого базы данных dconf.
-l, --dconf-lock
-
Печать содержимого dconf lock.
enable-feature feature [-b] [--backup=ИМЯ] [-q, --quiet]
-
Включить функцию в выбранном профиле.
-b
-
Перед применением изменений сделайте резервную копию системных файлов. Резервная копия будет храниться в /var/lib/authselect/backups/НАЗВАНИЕ. Текущее время с в качестве имени резервной копии используется уникальная строка. Это ярлык для
--backup=.
--backup=ИМЯ
-
Перед включением функции сделайте резервную копию системных файлов. Резервная копия будет храниться в /var/lib/authselect/backups/НАЗВАНИЕ. Текущее время в виде уникальной строки используется как название, если значение не указано.
--quiet, -q
-
Команда не выводит информационных сообщений, например, дополнительных требований к профилю или расположение резервной копии. Ошибки все же выводятся.
disable-feature feature [-b] [--backup=ИМЯ]
-
Отключить функцию в текущем выбранном профиле.
-b
-
Резервное копирование системных файлов перед выключением функции. Резервная копия будет храниться в /var/lib/authselect/backups/NAME. Текущее время с в качестве имени резервной копии в качестве уникальной строки. Это ссылка для
--backup=.
--backup=ИМЯ
-
Резервное копирование системных файлов перед отключением функции. Резервная копия будет храниться в /var/lib/authselect/backups/ИМЯ. Уникальная строка текущего времени используется в качестве имени если значение не указано.
create-profile ИМЯ [--custom,-c|--vendor,-v] [options]
-
Создать новый пользовательский профиль с именем
ИМЯ. Этот профиль может быть на основе существующего профиля, в таком случае новые шаблоны профиля либо копируются из базового профиля, либо на эти файлы могут быть созданы символические ссылки, если выбран такой вариант.
--vendor,-v
-
Новый профиль - профиль поставщика, а не пользовательский профиль. См.
authselect-profiles(5)
для получения дополнительной информации о типах профилей.
--base-on=БАЗОВЫЙ-ИД, -b=БАЗОВЫЙ-ИД
-
Новый профиль будет на основе профиля с именем
БАЗОВЫЙ-ИД. Местоположение базового профиля определяется с помощью следующих шагов:
-
1.
Если
БАЗОВЫЙ-ИД
начинается с префикса
custom/, то это пользовательский профиль.
-
2.
Попробовать найти
БАЗОВЫЙ-ИД
в профилях поставщика.
-
3.
Попробовать найти
БАЗОВЫЙ-ИД
в профилях по умолчанию.
-
4.
Вернуть ошибку.
--base-on-default
-
Базовый профиль - это профиль по умолчанию, даже если он есть в профилях поставщиков.
--symlink-meta
-
Метафайлы, как, например,
README
и
REQUIREMENTS, будут символическими ссылками на исходные файлы профилей, а не их копиями.
--symlink-nsswitch
-
Шаблон
nsswitch.conf
будет символической ссылкой на первоначальный файл профиля, а не его копией.
--symlink-pam
-
Шаблоны
PAM
будут символическими ссылками на исходные файлы профилей, а не их копиями.
--symlink-dconf
-
Шаблоны
dconf
будут символическими ссылками на исходные файлы профилей, а не их копиями.
--symlink=ФАЙЛ,-s=ФАЙЛ
-
Создать символическую ссылку для файла шаблона
ФАЙЛ, а не его копию. Этот параметр может быть передан несколько раз.
КОМАНДЫ РЕЗЕРВНОГО КОПИРОВАНИЯ
Эти команды можно использовать для управления резервными копиями конфигураций.
backup-list [-r, --raw]
-
Вывод доступных резервных копий. Если указан параметр
--raw, команда будет выводить только имена резервных копий без какого-либо форматирования и дополнительной информации.
backup-remove РЕЗЕРВНАЯ_КОПИЯ
-
Безвозвратно удалить резервную копию с именем
BACKUP.
backup-restore РЕЗЕРВНАЯ_КОПИЯ
-
Восстановить конфигурацию из резервной копии с именем
BACKUP.
Примечание:
текущая конфигурация будет перезаписана.
ОБЩИЕ ПАРАМЕТРЫ
Эти параметры доступны для всех команд.
--debug
-
Вывести отладочную информацию и сообщения об ошибках.
--trace
-
Вывести информацию о том, что делает этот инструмент.
--warn
-
Выводить информацию о непредвиденных ситуациях, которые не влияют на выполнение программы, но могут указывать на нежелательные ситуации (например, непредвиденный файл в каталоге профиля).
УПРАВЛЕНИЕ NSSWITCH.CONF
Authselect создает /etc/nsswitch.conf и не позволяет пользователям изменять этот файл. Такие изменения обнаруживаются, и authselect будет отказываться записывать конфигурацию системы, если в команде select не указан параметр --force. Этот механизм не дает authselect перезаписывать всё, что не совпадает с имеющимися профилями.
Все пользовательские изменения в картах nsswitch должны делаться в файле /etc/authselect/user-nsswitch.conf. Когда authselect создает новый nsswitch.conf, он читает этот файл и объединяет его с конфигурацией из выбранного профиля. Конфигурация этого профиля всегда имеет приоритет. Другими словами, профили не должны устанавливать все карты nsswitch, но могут устанавливать только те, которые имеют отношение к профилю. Если карта установлена в профиле, она всегда перезаписывает аналогичную карту из user-nsswitch.conf.
Пример 1.
-
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {включает если "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# Карты passwd и group из user-nsswitch.conf игнорируются
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# Карты passwd, group и sudoers из user-nsswitch.conf игнорируются
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
ИСПРАВЛЕНИЕ ПРОБЛЕМ
Как узнать, использует ли моя система authselect?
Используйте authselect check. Вывод сообщит вам, есть ли у вас 1) конфигурация, сгенерированная authselect 2) не-authselect конфигурация 3) конфигурация, которая была сгенерирована authselect, но в какой-то момент изменена вручную.
Предполагается, что nsswitch.conf теперь является символической ссылкой?
Authselect создает конфигурацию вашей системы с нуля и сохраняет ее в /etc/authselect. Системные файлы затем создаются как символические ссылки на этот каталог. Символические ссылки используются, чтобы прояснить, что authselect теперь является владельцем вашей конфигурации и должен использоваться вместо любых изменений вручную.
Обнаружены неожиданные изменения конфигурации.
Например:
-
[ошибка] [/etc/authselect/nsswitch.conf] не существует!
[ошибка] [/etc/nsswitch.conf] не является символической ссылкой!
[ошибка] [/etc/nsswitch.conf] не был создан authselect!
[ошибка] Обнаружены непредвиденные изменения в конфигурации.
[ошибка] Отказ в активации профиля, если эти изменения не удалены или не запрошена перезапись.
Это означает, что ваша конфигурация неизвестна для authselect и поэтому не будет изменена. Чтобы исправить это, вызовите authselect select с параметром --force, чтобы указать, что его можно перезаписать.
КОДЫ ВОЗВРАТА
authselect может возвращать такие коды завершения:
-
•
0: успех.
-
•
1: общая ошибка.
-
•
2: Профиль или конфигурация не найдены, или система не была настроена с помощью authselect.
-
•
3: текущая конфигурация неправильная, она редактировалась без authselect.
-
•
4: конфигурация системы должна быть перезаписана для активации профиля authselect, требуется параметр --force.
-
•
5: Выполняемая команда должна быть запущена от имени пользователя root.
СОЗДАННЫЕ ФАЙЛЫ
Authselect создает и поддерживает следующие файлы для правильной настройки системной идентификации и поставщиков аутентификации.
/etc/nsswitch.conf
-
Файл конфигурации Name Service Switch.
/etc/pam.d/system-auth
-
Стек PAM, который включен почти во все файлы конфигурации отдельных сервисов.
/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth
-
Эти стеки PAM предназначены для приложений, которые обрабатывают аутентификацию с разных типов устройств путем одновременного выполнения отдельных диалогов вместо одного совокупного разговора.
/etc/pam.d/postlogin
-
Цель этого стека PAM - предоставить общее место для всех модулей PAM, которые должны вызываться после стека, настроенного в system-auth или других общих файлах конфигурации PAM. Он включается во все файлы конфигурации отдельных служб, которые предоставляют службу входа в систему с помощью оболочки или доступа к файлам. _ПРИМЕЧАНИЕ: модули в файле конфигурации postlogin выполняются независимо от успеха или сбоя модулей в файле конфигурации system-auth. _
/etc/dconf/db/distro.d/20-authselect
-
Изменения в базе данных dconf. Основной вариант использования этого файла - установить изменения для экрана входа в gnome, чтобы включить или отключить аутентификацию смарт-карты и отпечатка пальца.
/etc/dconf/db/distro.d/locks/20-authselect
-
Этот файл определяет блокировки значений, установленных в базе данных dconf.
СМОТРИТЕ ТАКЖЕ
authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)