diff options
Diffstat (limited to 'src/man/uk/pam_sss_gss.8.xml')
| -rw-r--r-- | src/man/uk/pam_sss_gss.8.xml | 217 |
1 files changed, 217 insertions, 0 deletions
diff --git a/src/man/uk/pam_sss_gss.8.xml b/src/man/uk/pam_sss_gss.8.xml new file mode 100644 index 0000000..9f07372 --- /dev/null +++ b/src/man/uk/pam_sss_gss.8.xml @@ -0,0 +1,217 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss_gss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss_gss</refname> + <refpurpose>модуль PAM для розпізнавання за GSSAPI у SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss_gss.so</command> <arg choice='opt'> +<replaceable>debug</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>pam_sss_gss.so</command> розпізнає користувача за допомогою GSSAPI +у поєднанні із SSSD. + </para> + <para> + Цей модуль намагатиметься виконати розпізнавання користувача за допомогою +служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме +дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ. Частину +<emphasis>ОБЛАСТЬ</emphasis> назви реєстраційного запису Kerberos буде +визначено за внутрішніми механізмами Kerberos. Її можна встановити явним +чином у налаштуваннях розділу [domain_realm] у /etc/krb5.conf. + </para> + <para> + SSSD використовується для отримання бажаної назви служби і для перевірки +реєстраційних даних користувача за допомогою викликів GSSAPI. Якщо у кеші +реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток +квитка користувача можна використати для отримання належного квитка служби, +користувача буде розпізнано. + </para> + <para> + Якщо <option>pam_gssapi_check_upn</option> матиме значення True (типове +значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться +для отримання квитків служби, можна було пов'язати із користувачем. Це +означає, що реєстраційний запис, який є власником реєстраційних даних +Kerberos, має відповідати назві реєстраційного запису користувача, яку +визначено у LDAP. + </para> + <para> + Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення +<option>pam_gssapi_services</option> у розділі [pam] або домену в +sssd.conf. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD +(його вже збережено там, якщо ви користуєтеся надавачем даних ipa або +ad). Розташування сховища ключів можна встановити за допомогою параметра +<option>krb5_keytab</option>. Див. <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> і <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про ці +параметри. + </para> + <para> + Деякі розгорнуті екземпляри Kerberos дозволяють пов'язувати індикатори +розпізнавання із певним методом попереднього розпізнавання, який +використовується для отримання квитка, який надає квиток користувача. +<command>pam_sss_gss.so</command> надає змогу примусово встановити потребу у +наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано +доступ до певної служби PAM. + </para> + <para> + Якщо <option>pam_gssapi_indicators_map</option> встановлено у розділі [pam] +або домену sssd.conf, SSSD виконає перевірку наявності будь-яких +налаштованих індикаторів у квитку служби. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>debug</option> + </term> + <listitem> + <para>Вивести діагностичні дані.</para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ</title> + <para>Передбачено лише тип модулів <option>auth</option></para> + </refsect1> + + <refsect1 id="return_values"> + <title>ПОВЕРНЕНІ ЗНАЧЕННЯ</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + Дію PAM завершено успішно. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Користувач є невідомим службі розпізнавання або підтримки розпізнавання за +GSSAPI не передбачено. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Помилка під час спроби розпізнавання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути +помилка у роботі мережі або обладнання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть +міститися у файлах журналів SSSD. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='examples'> + <title>ПРИКЛАДИ</title> + <para> + Основним випадком використання є забезпечення розпізнавання без пароля у +sudo, але без потреби у повному вимиканні розпізнавання. Для досягнення +потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в +sssd.conf: + </para> + <programlisting> +[domain/MYDOMAIN] +pam_gssapi_services = sudo, sudo-i + </programlisting> + <para> + Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam.d/sudo і +/etc/pam.d/sudo-i). + </para> + <programlisting> +... +auth sufficient pam_sss_gss.so +... + </programlisting> + </refsect1> + + <refsect1 id='troubleshooting'> + <title>ДІАГНОСТИКА</title> + <para> + У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть +міститися корисні дані щодо помилки. Ось деякі з типових проблем: + </para> + <para> + 1. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: +залежно від вашої версії sudo, можливо, sudo не передає цю змінну до +середовища PAM. Спробуйте додати KRB5CCNAME до <option>env_keep</option> в +/etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP. + </para> + <para> + 2. Розпізнавання не працює, а у syslog міститься повідомлення «Server not +found in Kerberos database»: Kerberos, ймовірно, не може визначити належну +область для квитка служби на основі назви вузла. Спробуйте додати назву +вузла безпосередньо у розділ <option>[domain_realm]</option> в +/etc/krb5.conf, ось так: + </para> + <para> + 3. Розпізнавання не працює, а у syslog міститься повідомлення «No Kerberos +credentials available»: у вас немає реєстраційних даних, якими можна було б +скористатися для отримання потрібного квитка служби. Скористайтеся kinit або +пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні +реєстраційні дані. + </para> + <para> + 4. Розпізнавання не працює, а у журналі sssd-pam SSSD міститься повідомлення +«User with UPN [$UPN] was not found.» або «UPN [$UPN] does not match target +user [$username].»: ви використовуєте реєстраційні дані, які не можна +пов'язати із користувачем, розпізнавання якого відбувається. Спробуйте +скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, +що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути +<option>pam_gssapi_check_upn</option>. + </para> + <programlisting> +[domain_realm] +.myhostname = MYREALM + </programlisting> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |