PAM_SSS
Section: SSSD manualsidor (8)
Updated: 03/31/2021
Page Index
NAME
pam_sss - PAM-modul för SSSD
SYNOPSIS
-
pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]
BESKRIVNING
pam_sss.so
är PAM-gränssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via
syslog(3)
med funktionen LOG_AUTHPRIV.
FLAGGOR
quiet
-
Undertryck loggmeddelanden om okända användare.
forward_pass
-
Om
forward_pass
är satt läggs det inskrivna lösenordet på stacken så att andra PAM-moduler kan använda det.
use_first_pass
-
Argumentet use_first_pass tvingar modulen att använda tidigare stackade modulers lösenord och kommer aldrig fråga användaren - om inget lösenord är tillgängligt eller lösenordet inte stämmer kommer användaren nekas åtkomst.
use_authtok
-
Vid lösenordsändring tvinga modulen till att sätta det nya lösenordet till det som gavs av en tidigare stackad lösenordsmodul.
retry=N
-
Om angivet frågas användaren ytterligare N gånger om ett lösenord ifall autentiseringen misslyckas. Standard är 0.
Observera att detta alternativ kanske inte fungerar som förväntat ifall programmet som anropar PAM hanterar användardialogen själv. Ett typiskt exempel är
sshd
med
PasswordAuthentication.
ignore_unknown_user
-
Om detta alternativ anges och användaren inte finns kommer PAM-modulen returnera PAM_IGNORE. Detta får PAM-ramverket att ignorera denna modul.
ignore_authinfo_unavail
-
Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta SSSD-demonen. Detta får PAM-ramverket att ignorera denna modul.
domains
-
Tillåter administratören att begränsa domänerna en viss PAM-tjänst tillåts autentisera emot. Formatet är en kommaseparerad lista över SSSD-domännamn som de specificeras i filen sssd.conf.
NOTE: If this is used for a service not running as root user, e.g. a web-server, it must be used in conjunction with the
"pam_trusted_users"
and
"pam_public_domains"
options. Please see the
sssd.conf(5)
manual page for more information on these two PAM responder options.
allow_missing_name
-
Huvudsyftet med denna flagga är att låta SSSD avgöra användarnamnet baserat på ytterligare information, t.ex. certifikatet från ett smartkort.
Det aktuella användningsfallet är inloggningshanterare som kan övervaka en smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer inloggningshanteraren anropa en PAM-stack som innehåller en rad som
-
auth sufficient pam_sss.so allow_missing_name
I detta fall kommer SSSD försöka avgöra användarnamnet baserat på innehållet på smartkortet, returnerar det till pam_sss som slutligen kommer lägga det på PAM-stacken.
prompt_always
-
Fråga alltid användaren om kreditiv. Med denna flagga kommer kreditiv begärda av andra PAM-moduler, typiskt ett lösenord, ignoreras och pam_sss kommer fråga efter kreditiv igen. Baserat på förautentiseringssvaret från SSSD kan pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN eller andra kreditiv.
try_cert_auth
-
Försök använda certifikatbaserad smartkortsautentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort är tillgängligt och tjänsten tillåter smartkortsautentisering kommer användaren frågas om ett PIN och certifikatbaserad autentisering kommer fortsätta
Om inget smartkort är tillgängligt eller certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.
require_cert_auth
-
Använd certifikatbaserad autentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort inte är tillgängligt ombeds användaren att sätta in ett. SSSD kommer att vänta på ett smartkort tills tidsgränsen definierad av p11_wait_for_card_timeout har passerats, se
sssd.conf(5)
för detaljer.
Om inget smartkort är tillgängligt efter att tidsgränsen passerats eller om certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL.
TILLHANDAHÅLLNA MODULTYPER
Alla modultyper (account,
auth,
password
och
session) tillhandahålls.
Om SSSD:s PAM-respondent inte kör, t.ex. om PAM-respondentens uttag (socket) inte är tillgängligt kommer pam_sss returnera PAM_USER_UNKNOWN när det anropas som modulen
account
för att undvika problem med användare från andra källor under åtkomstkontroll.
RETURVÄRDEN
PAM_SUCCESS
-
PAM-åtgärden avslutades framgångsrikt.
PAM_USER_UNKNOWN
-
Användaren är inte känd av autentiseringstjänsten eller så kör inte SSSD:s PAM-respondent.
PAM_AUTH_ERR
-
Misslyckad autentisering. Kan också returneras när det är problem med att hämta certifikatet.
PAM_PERM_DENIED
-
Åtkomst nekas. SSSD-loggfilerna kan innehålla ytterligare information om felet.
PAM_IGNORE
-
Se flaggorna
ignore_unknown_user
och
ignore_authinfo_unavail.
PAM_AUTHTOK_ERR
-
Kan inte hämta det nya autentiseringstecknet. Kan också returneras när användaren autentiserar med certifikat och flera certifikat är tillgängliga, men den installerade versionen av GDM inte stödjer val bland flera certifikat.
PAM_AUTHINFO_UNAVAIL
-
Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett nätverks- eller hårdvarufel.
PAM_BUF_ERR
-
Ett minnesfel uppstod. Kan också returneras när flagga use_first_pass eller use_authtok är satt, men inget lösenord hittades från den tidigare stackade PAM-modulen.
PAM_SYSTEM_ERR
-
Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare information om felet.
PAM_CRED_ERR
-
Kan inte sätta kreditiv för användaren.
PAM_CRED_INSUFFICIENT
-
Programmet har inte tillräckliga kreditiv för att autentisera användaren. Till exempel saknas PIN under smartkortsautentisering eller en saknad faktor under tvåfaktorautentisering.
PAM_SERVICE_ERR
-
Fel i tjänstemodul.
PAM_NEW_AUTHTOK_REQD
-
Användarens autentiseringstecken har gått ut.
PAM_ACCT_EXPIRED
-
Användarkontot har gått ut.
PAM_SESSION_ERR
-
Kan inte hämta IPA-skrivbordsprofilsregler eller -användarinformation.
PAM_CRED_UNAVAIL
-
Kan inte hämta Kerberos-användarkreditiv.
PAM_NO_MODULE_DATA
-
Ingen autentiseringsmetod hittades av Kerberos. Detta kan inträffa om användaren har ett smartkort tilldelat men insticksmodulen pkint inte är tillgänglig på klienten.
PAM_CONV_ERR
-
Konversationsfel.
PAM_AUTHTOK_LOCK_BUSY
-
Ingen KDC lämpad för lösenordsändringar finns tillgänglig.
PAM_ABORT
-
Okänt PAM-anrop.
PAM_MODULE_UNKNOWN
-
PAM-uppgift eller -kommando som inte stödjs.
PAM_BAD_ITEM
-
Autentiseringsmodulen kan inte hantera smartkortskreditiv.
FILER
Om en återställning av lösenord av root misslyckas, för att motsvarande SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man återställer ett lösenord.
Meddelandet läses från filen
pam_sss_pw_reset_message.LOK
där LOK står för en lokalsträng som den returneras av
setlocale(3). Om det inte finns någon matchande fil visas innehållet i
pam_sss_pw_reset_message.txt. Root måste vara ägaren av filerna och endast root får ha läs- och skrivrättigheter medan alla andra användare endast får ha läsrättigheter.
Dessa filer söks efter i katalogen
/etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas ett allmänt meddelande.
SE ÄVEN
sssd(8),
sssd.conf(5),
sssd-ldap(5),
sssd-krb5(5),
sssd-simple(5),
sssd-ipa(5),
sssd-ad(5),
sssd-files(5),
sssd-sudo(5),
sssd-session-recording(5),
sss_cache(8),
sss_debuglevel(8),
sss_obfuscate(8),
sss_seed(8),
sssd_krb5_locator_plugin(8),
sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),
sssd-ifp(5),
pam_sss(8).
sss_rpcidmapd(5)
sssd-systemtap(5)
AUTHORS
SSSD uppströms -
https://github.com/SSSD/sssd/