AUTHSELECT
Section: \ \& (8)
Updated: 2018-03-18
Page Index
NAME
authselect - välj systemets källor för identitet och autentisering.
SYNOPSIS
authselect [--debug] [--trace] [--warn] kommando [kommandoflaggor]
BESKRIVNING
"Authselect" är ett verktyg för att konfigurera systemets källor och leverantörer för identitet och autentisering genom att välja en specifik profil. En profil är ett antal filer som beskriver hur den resulterande systemkonfigurationen skall se ut. När en profil väljs kommer "authselect" skapa nsswitch.conf(5) och stacken för PAM(8) till att använda källor för identitet och autentisering som definieras av profilen.
Om den levererade uppsättningen prfiler inte är tillräcklig kan administratören skapa en anpassad profil genom att placera den i en särskild profilkatalog (/etc/authselect/custom). Genom att göra detta är profilen omedelbart användbar av "authselect". Se authselect-profiles(5) för mer information om att utöka befintliga profiler.
ANVÄND AUTHSELECT
Authselect kommer inte röra din befintliga konfiguration om den inte redan har skapatden. Om du vill börja använda authselect för att konfigurera systemets autentisering, anropa authselect select med parametern --force först (t.ex. authselect select sssd --force). Parametern --force säger till authselect att det är ok att skriva över en befintlig konfiguration som inte är authselect-skapad (se beskrivning nedan). Att använda parametern --force kommer automatiskt generera en säkerhetskopia av din befintliga konfiguration så om du vill gå tillbaka kan du återställa den med kommandot authselect backup-restore (se beskrivning nedan).
TILLGÄNGLIGA KOMMANDON
För att lista alla tillgängliga kommandon, kör "authselect" utan några parametrar. För att skriva ut hjälp för ett valt kommando, kör "authselect KOMMANDO --help".
select profil-id [funktioner] [-f, --force] [-q, --quiet] [-b] [--backup=NAMN]
-
Aktivera vald profil. Se profilbeskrivningen med kommandot
show, för att lista profilspecifika valfria funktioner.
--force, -f
-
Skriv ändringar även om den föregående konfigurationen inte skapades av authselect utan av andra verktyg eller med manuella ändringar. Detta alternativ kommer automatiskt säkerhetskopiera systemfiler före några ändringar skrivs om inte alternativet
--nobackup
anges.
-b
-
Säkerhetskopiera systemfiler före aktivering av den valda profilen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för
--backup=.
--backup=NAMN
-
Säkerhetskopiera systemfiler före aktivering av den valda profilen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn om inget värde anges.
--nobackup
-
Säkerhetskopiera inte systemkonfigurationen även om
--force
anges.
--quiet, -q
-
Kommandot kommer inte skriva några informationsmeddelanden såsom ytterligare profilkrav eller plats för säkerhetskopia. Fel skrivs fortfarande ut.
apply-changes [-b] [--backup=NAMN]
-
Återverkställ den nu valda profilen. Om profilmallarna uppdaterats kan detta kommando användas för att generera om den aktuella systemkonfigurationen för att verkställa dessa ändringar av systemet. Detta kommando kommer bara verkställa om ändringar om den befintliga konfigurationen är en giltig authselect-konfiguration, annars returneras ett fel.
-b
-
Säkerhetskopiera systemfiler före ändringarna verkställs. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för
--backup=.
--backup=NAMN
-
Säkerhetskopiera systemfiler före ändringarna verkställs. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn in inget värde ges.
list
-
Lista tillgängliga profiler.
list-features profil-id
-
Lista alla funktioner som är tillgängliga i en given profil. +
Obs:
Detta kommer endast lista funktionerna utan någon beskrivning. Läs profildokumentation med
show
för att se vad funktionerna gör.
show profil_id
-
Skriv information om profilen.
requirements profil_id [funktioner]
-
Skriv information om profilkrav.
current [-r, --raw]
-
Skriv information om de för närvarande valda profilerna. Om flaggan
--raw
anges kommer kommandot skriva råa parametrar som de skickas till kommandot
select
istället för formaterad utdata.
check
-
Kontrollera om den aktuella konfigurationen är giltig (den var antingen skapad av
authselect
eller det inte finns några rester från en tidigare authselect-konfiguration).
test profil-id [flaggor] [funktioner]
-
Skriv innehållet i filer som genererats av
authselect
utan att faktiskt skriva något till systemkonfigurationen.
-a, --all
-
Skriv ut innehållet i alla filer.
-n, --nsswitch
-
Skriv ut innehållet i nsswitch.conf.
-s, --system-auth
-
Skriv ut innehållet i system-auth.
-p, --password-auth
-
Skriv ut innehållet i password-auth.
-c, --smartcard-auth
-
Skriv ut innehållet i smartcard-auth.
-f, --fingerprint-auth
-
Skriv ut innehållet i fingerprint-auth.
-o, --postlogin
-
Skriv ut inenhållet i postlogin.
-d, --dconf-db
-
Skriv ut innehållet i dconf-databasen.
-l, --dconf-lock
-
Skriv ut innehållet i dconf-låset
enable-feature funktion [-b] [--backup=NAMN] [-q, --quiet]
-
Aktivera funktionen i den nu valda profilen.
-b
-
Säkerhetskopiera systemfiler före aktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för
--backup=.
--backup=NAMN
-
Säkerhetskopiera systemfiler före aktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn in inget värde ges.
--quiet, -q
-
Kommandot kommer inte skriva några informationsmeddelanden såsom ytterligare profilkrav eller plats för säkerhetskopia. Fel skrivs fortfarande ut.
disable-feature funktion [-b] [--backup=NAMN]
-
Avaktivera funktionen i den nu valda profilen.
-b
-
Säkerhetskopiera systemfiler före avaktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn på säkerhetskopian. Detta är en kortform för
--backup=.
--backup=NAMN
-
Säkerhetskopiera systemfiler före avaktivering av funktionen. Säkerhetskopian kommer lagras i /var/lib/authselect/backups/NAMN. Aktuell tid med en unik sträng används som namn in inget värde ges.
create-profile NAMN [--custom,-c|--vendor,-v] [flaggor]
-
Skapa en ny anpassad profil men namnet
NAMN. Profilen kan baseras på en befintlig profil i vilket fall den nya profilmallen antingen kopieras från basprofilen eller så skapas symboliska länkar till dessa filer om den flaggan anges.
--vendor,-v
-
Den nya profilen är en leverantörsprofil istället för en anpassad profil. Se
authselect-profiles(5)
för mer information om profiltyper.
--base-on=BAS-ID, -b=BAS-ID
-
Den nya profilen kommer baseras på en profil som heter
BAS-ID. Basprofilens plats avgörs med dessa steg:
-
1.
Om
BAS-ID
börjar med prefixet
custom/
är det en anpassad profil.
-
2.
Prova om
BAS-ID
finns bland leverantörsprofiler.
-
3.
Prova om
BAS-ID
finns bland standardprofiler.
-
4.
Returnera vid fel.
--base-on-default
-
Basprfilen är en standardprofil även om den inte finnss bland leverantörsprofiler.
--symlink-meta
-
Metafiler, såsom
README
och
REQUIREMENTS
kommer vara symboliska länkar till originalfiler istället för deras kopior.
--symlink-nsswitch
-
Mallen
nsswitch.conf
kommer vara en symbolisk länk till originalprofilens fil istället för dess kopia.
--symlink-pam
-
Mallar för
PAM
kommer vara symboliska länkar till originalprofilens filer istället för deras kopior.
--symlink-dconf
-
Mallar för
dconf
kommer vara symboliska länkar till originalprofilens filer istället för deras kopior.
--symlink=FIL,-s=FIL
-
Skapa en symbolisk länk för en mallfil
FIL
istället för att skapa dess kopia. Denna flagga kan skickas flera gånger.
SÄKERHETSKOPIERINGSKOMMANDON
Dessa kommandon kan användas för att hantera säkerhetskopierade konfigurationer.
backup-list [-r, --raw]
-
Skriv ut tillgängliga säkerhetskopior. Om flaggan
--raw
anges kommer kommandot skriva bara namnen på säkerhetskopiorna utan någon formatering eller ytterligare information.
backup-remove SÄKERHETSKOPIA
-
Radera säkerhetskopian som heter
SÄKERHETSKOPIA
permanent.
backup-restore SÄKERHETSKOPIA
-
Återställ konfigurationen från säkerhetskopian som heter
SÄKERHETSKOPIA.
Obs:
detta kommer skriva över den aktuella konfigurationen.
GEMENSAMMA FLAGGOR
Dessa flaggor är tillgängliga med alla kommandon.
--debug
-
Skriv ut felsökningsinformation och felmeddelanden.
--trace
-
Skriv information om vad verktyget gör.
--warn
-
Skriv information om oväntade situationer som inte påverkar programexekveringen men kan indikera några oönskade situationer (t.ex. en oväntad fil i en profilkatalog).
HANTERING AV NSSWITCH.CONF
Authselect genererar /etc/nsswitch.conf och tillåter inte några användarändringar av denna fil. Sådana ändringar upptäcks och authselect kommer vägra att skriva någon systemkonfiguration om inte en flagga --force anges till kommandot select. Denna mekanism förhindrar authselect från att skriva över något som inte matchar någon tillgänglig profil.
Eventuella användarändringar till nsswitch-mappningarna måste göras i filen /etc/authselect/user-nsswitch.conf. När authselect genererar en ny nsswitch.conf läser den denna fil och kombinerar den med konfigurationen från den valda profilen. Profilkonfigurationen ges alltid företräde. Med andra ord, profiler behöver inte ange alla nsswitch-mappningar utan kan ange endast de som är relevanta för profilen. Om en mappning anges i en profil åsidosätter den alltid samma mappning från user-nsswitch.conf.
Exempel 1.
-
# "sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if "with-sudo"}
$ cat /etc/authselect/user-nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd- och group-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with-sudo
# passwd-, group- och sudoers-mappningar från user-nsswitch.conf ignoreras
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
FELSÖKNING
Hur kan jag avgöra om mitt system använder authselect?
Använd authselect check. Utskriften kommer berätta om du har 1) en konfiguration genererad av authselect 2) en icke-authselect-konfiguration eller 3) en konfiguration som genererades av authselect med modifierades manuellt vid någon tidpunkt.
Är nsswitch.conf tänkt att vara en symbolisk länk nu?
Authselect genererar ditt systems konfiguration från start och lagrar den i /etc/authselect. Systemfiler skapas sedan som symboliska länkar till denna katalog. Symboliska länkar används för att göra det tydligt att authselect nu äger din konfiguration och skall användas istället för någon manuell modifikation.
Fel: Oväntade ändringar av konfigurationen upptäcktes.
Till exempel:
-
[fel] [/etc/authselect/nsswitch.conf] finns inte!
[fel] [/etc/nsswitch.conf] är inte en symbolisk länk!
[fel] [/etc/nsswitch.conf] skapades inte av authselect!
[fel] Oväntade ändringar av konfigurationen upptäcktes.
[fel] Vägrar att aktivera profilen om inte dessa ändringar först tas bort eller överskrivning begärs.
Detta betyder att din konfiguration är okänd för authselect och som sådan kommer den inte ändras. För att fixa detta, anropa authselect select med parametern --force för att säga att det är i sin ordning att skriva över den.
RETURKODER
Authselect kan returnera dessa slutstatusar:
-
•
0: Det gick bra.
-
•
1: Allmänt fel.
-
•
2: Profilen eller konfigurationen finns inte eller så är systemet inte konfigurerat med authselect.
-
•
3: Aktuell konfiguration är inte giltig, den har redigerats utan authselect.
-
•
4: Systemkonfigurationen måste skrivas över för att aktivera en authselect-profil, parametern --force behövs.
-
•
5: Det körda kommandot måste köras som root.
GENERERADE FILER
Authselect skapar och underhåller följande filer för at tkonfigurera systemets identitets- och autentiseringsleverantörer korrekt.
/etc/nsswitch.conf
-
Konfigurationsfil för namntjänststväxling.
/etc/pam.d/system-auth
-
PAM-stack som inkluderas från nästan alla individuella tjänstekonfigurationsfiler.
/etc/pam.d/password-auth, smartcard-auth, fingerprint-auth
-
Dessa PAM-stackar är för program som hanterar autentisering från olika typer av enheter genom att samtidigt köra flera individuella konversationer istället för en sammansatt konfiguration.
/etc/pam.d/postlogin
-
Syftet med denna PAM-stack är att vara en gemensam plats för alla PAM-moduler som skall anropas efter att stacken konfigurerats i system-auth eller andra gemensamma PAM-konfigurationsfiler. Den inkluderas från alla individuella tjänstekonfigurationsfiler som tillhandahåller en inloggningstjänst med skalåtkomst.
OBSERVERA: modulerna i konfigurationsfilen postlogin körs oavsett om modulerna i konfigurationsfilen system-auth lyckas eller inte.
/etc/dconf/db/distro.d/20-authselect
-
Ändringar av dconf-databasen. Det huvudsakliga användningsfallet för denna fil är att ange ändrignar för gnomes inloggningsskärm för att aktivera eller avaktivera autentisering med smartkort eller och fingeravtryck.
/etc/dconf/db/distro.d/locks/20-authselect
-
Denna fil definierar lås på värden som anges i dconf-databasen.
SE ÄVEN
authselect-profiles(5), authselect-migration(7), nsswitch.conf(5), PAM(8)