Denna manualsida beskriver konfigurationen av SSSD:s Kerberos cache-hanterare (KCM). KCM är en process som lagrar, spårar och hanterar Kerberoskreditiv-cachar. Det kommer från projektet Heimdal Kerberos, fast biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer detaljer om det nedan) av KCM-kreditiv-cachen.
I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket (typiskt använt via ett program, som t.ex., kinit(1), en ""KCM-klient"" och KCMdemonen refereras till som en ""KCM-server"". Klienten och servern kommunicerar via ett UNIX-uttag.
KCM-servern håller reda på ägaren till varje kreditiv-cache och utför åtkomstkontroller baserat på AID:t och GID:t på KCM-klienten. Root-användaren har åtkomst till alla kreditiv-cachar.
KCM-kreditiv-cachen har flera intressanta egenskaper:
Detta gör att systemet kan använda en samlingsmedveten kreditiv-cache, och ändå dela kreditivcachen mellan några eller inga behållare genom bindmontering av uttaget.
The KCM default client idle timeout is 5 minutes, this allows more time for user interaction with command line tools such as kinit.
För att använda KCM-kreditiv-cachen måste den väljas som standardkreditivtypen i krb5.conf(5). Kreditiv-cachens namn skall bara vara "KCM:" utan några mallexpansioner. Till exempel:
[libdefaults]
default_ccache_name = KCM:
Se därefter till att Kerberos-klientbiblioteken och KCM-servern är överens om sökvägen till UNIX-uttaget. Som standard använder båda samma sökväg /var/run/.heim_org.h5l.kcm-socket. För att konfigurera Kerberos-biblioteket, ändra dess alternativ "kcm_socket" som beskrivs i manualsidan krb5.conf(5).
Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjänsten är normalt uttagsaktiverad av systemd(1). Till skillnad mot andra SSSD-tjänster kan den inte startas genom att lägga till strängen "kcm" till direktivet "service".
systemctl start sssd-kcm.socket
systemctl enable sssd-kcm.socket
Observera att din distribution kanske redan konfigurerar enheterna åt dig.
Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar användar- eller grupposter. Databasen finns normalt i "/var/lib/sss/secrets".
Tjänsten sssd-kcm är normalt uttagsaktiverad av systemd(1). För att skapa felsökningsloggar, lägg till följande antingen direkt till filen /etc/sssd/sssd.conf eller som en konfigurationssnutt till katalogen /etc/sssd/conf.d/:
[kcm]
debug_level = 10
Starta sedan om tjänsten sssd-kcm:
systemctl restart sssd-kcm.service
Kör slutligen det användningsfall som inte fungerar. KCM-loggarna kommer skapas i /var/log/sssd/sssd_kcm.log. Det rekommenderas att avaktivera felsökningsloggarna när man inte längre behöver informationen aktiverad eftersom tjänsten sssd-kcm kan skapa en ganska stor mängd felsökningsinformation.
Observera att konfigurationssnuttar för närvarande endast behandlas om huvudkonfigurationsfilen på /etc/sssd/sssd.conf över huvud taget finns.
Tjänsten KCM är konfigurerad i sektionen "kcm" av filen sssd.conf. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är det tillräckligt att bara starta om tjänsten "sssd-kcm" efter att ha ändrat flaggorna i sektionen "kcm" av sssd.conf:
systemctl restart sssd-kcm.service
Tjänsten KCM konfigureras i "kcm" För en detaljeras syntaxreferens, se avsnittet "FILFORMAT" i manualsidan sssd.conf(5).
De allmänna alternativen för tjänsten SSSD såsom "debug_level" eller "fd_limit" accepteras av tjänsten kcm. Se manualsidan sssd.conf(5) för en fullständig lista. Dessutom finns det några KCM-specifika alternativ också.
socket_path (sträng)
Standard: /var/run/.heim_org.h5l.kcm-socket
Note: on platforms where systemd is supported, the socket path is overwritten by the one defined in the sssd-kcm.socket unit file.
max_ccaches (heltal)
Standard: 0 (obegränsad, endast kvot per AID upprätthålls)
max_uid_ccaches (heltal)
Standard: 64
max_ccache_size (heltal)
Standard: 65536
SSSD uppströms - https://github.com/SSSD/sssd/