sssd-krb5 5 Dateiformate und Konventionen sssd-krb5 SSSD Kerberos-Anbieter Diese Handbuchseite beschreibt die Konfiguration des Authentifizierungs-Backends Kerberos 5 für sssd 8 . Eine ausführliche Syntax-Referenz finden Sie im Abschnitt »DATEIFORMAT« der Handbuchseite sssd.conf 5 . Das Authentifizierungs-Backend Kerberos 5 enthält Authentifizierungs- und Chpass-Anbieter. Es muss mit einem Identitätsanbieter verbunden werden, damit es sauber läuft (zum Beispiel »id_provider = ldap«). Einige vom Kerberos-5-Authentifizierungs-Backend benötigten Informationen wie der »Kerberos Principal Name« (UPN) des Benutzers müssen durch den Identitätsanbieter bereitgestellt werden. Die Konfiguration des Identitätsanbieters sollte einen Eintrag haben, der den UPN angibt. Einzelheiten, wie dies konfiguriert wird, finden Sie in der Handbuchseite des entsprechenden Identitätsanbieters. This backend also provides access control based on the .k5login file in the home directory of the user. See k5login5 for more details. Please note that an empty .k5login file will deny all access to this user. To activate this feature, use 'access_provider = krb5' in your SSSD configuration. Im Fall, dass UPN nicht im Identitäts-Backend verfügbar ist, wird sssd mittels des Formats Benutzername@Krb5_Realm einen UPN konstruieren. Falls das Authentifizierungsmodul Krb5 in einer SSSD-Domain benutzt wird, müssen die folgenden Optionen verwendet werden. Einzelheiten über die Konfiguration einer SSSD-Domain finden Sie im Abschnitt »DOMAIN-ABSCHNITTE« der Handbuchseite sssd.conf 5 . krb5_server, krb5_backup_server (Zeichenkette) gibt eine durch Kommata getrennte Liste von IP-Adressen oder Rechnernamen der Kerberos-Server in der Reihenfolge an, in der sich SSSD mit ihnen verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. An die Adressen oder Rechnernamen kann eine optionale Portnummer (der ein Doppelpunkt vorangestellt ist) angehängt werden. Falls dies leer gelassen wurde, wird die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt »DIENSTSUCHE«. Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf _tcp aus. Diese Option hieß in früheren Veröffentlichungen von SSSD »krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von »krb5_server« zu migrieren. krb5_realm (Zeichenkette) der Name des Kerberos-Realms. Diese Option wird benötigt und muss angegeben werden. krb5_kpasswd, krb5_backup_kpasswd (Zeichenkette) Falls der Dienst zum Ändern von Passwörtern auf der Schlüsselverwaltungszentrale (KDC) nicht läuft, können hier alternative Server definiert werden. An die Adressen oder Rechnernamen kann eine optionale Portnummer (der ein Doppelpunkt vorangestellt ist) angehängt werden. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. HINWEIS: Selbst wenn es keine weiteren »kpasswd«-Server mehr auszuprobieren gibt, wird das Backend nicht offline gehen, da eine Authentifizierung gegen die Schlüsselverwaltungszentrale (KDC) immer noch möglich ist. Voreinstellung: KDC benutzen krb5_ccachedir (Zeichenkette) Das Verzeichnis zum Ablegen von Anmeldedaten-Zwischenspeichern. Alle Ersetzungssequenzen von krb5_ccname_template können hier auch verwendet werden, außer %d und %P. Das Verzeichnis wird als privat angelegt und ist Eigentum des Benutzers. Die Zugriffsrechte werden auf 0700 gesetzt. Voreinstellung: /tmp krb5_ccname_template (Zeichenkette) Der Ort für die Zwischenspeicherung der Anmeldedaten des Benutzers. Drei Zwischenspeichertypen werden derzeit unterstützt: FILE, DIR und KEYRING:persistent. Der Zwischenspeicher kann entweder als TYP:REST oder als absoluter Pfad angegeben werden, wobei Letzteres den Typ FILE beinhaltet. In der Schablone werden die folgenden Sequenzen ersetzt: %u Anmeldename %U Anmelde-UID %p Principal-Name %r Realm-Name %h Home-Verzeichnis %d Wert von krb5_ccachedir %P die Prozess-ID des SSSD-Clients %% ein buchstäbliches »%« Falls die Vorlage mit »XXXXXX« endet, wird mkstemp(3) verwendet, um auf sichere Weise einen eindeutigen Dateinamen zu erzeugen. Wenn der KEYRING-Typ verwendet wird, ist KEYRING:persistent:%U der einzige unterstützte Mechanismus. Hierfür wird der Schlüsselbund des Linux-Kernels zum Speichern der Anmeldedaten getrennt nach Benutzer-IDs verwendet. Dies wird auch empfohlen, da es die sicherste und vorausberechenbarste Methode ist. Der Vorgabewert für den Anmeldedaten-Zwischenspeicher wird aus dem im Abschnitt [libdefaults] der Datei krb5.conf enthaltenen Profil der systemweiten Konfiguration bezogen. Der Name der Option ist default_ccache_name. Im Abschnitt PARAMETER EXPANSION der Handbuchseite zu krb5.conf(5) finden Sie zusätzliche Informationen zu dem in krb5.conf definierten Format. NOTE: Please be aware that libkrb5 ccache expansion template from krb5.conf 5 uses different expansion sequences than SSSD. Voreinstellung: (aus libkrb5) krb5_keytab (Zeichenkette) der Speicherort der Keytab, der bei der Überprüfung von Berechtigungen benutzt wird, die von Schlüsselverwaltungszentralen (KDCs) stammen. Voreinstellung: Keytab des Systems, normalerweise /etc/krb5.keytab krb5_store_password_if_offline (Boolesch) speichert das Passwort des Benutzers, falls der Anbieter offline ist, und benutzt es zur Abfrage des TGTs, wenn der Anbieter wieder online geht. HINWEIS: Diese Funktionalität ist nur auf Linux verfügbar. Passwörter, die auf diese Weise gespeichert wurden, werden im Klartext im Schlüsselbund des Kernels aufbewahrt. Darauf kann unter Umständen (mit Mühe) durch den Benutzer Root zugegriffen werden. Voreinstellung: »false« krb5_use_fast (Zeichenkette) Schaltet das flexible Authentifizierungs-Sicherheits-Tunneln (FAST) für die Vorauthentifizierung von Kerberos ein. Die folgenden Optionen werden unterstützt: never: FAST wird nie benutzt. Dies ist so, als ob diese Einstellung gar nicht gemacht würde. try: Es wird versucht, FAST zu benutzen. Falls der Server kein FAST unterstützt, fährt die Authentifizierung ohne fort. demand: Fragt nach, ob FAST benutzt werden soll. Die Authentifizierung schlägt fehl, falls der Server kein FAST erfordert. Voreinstellung: nicht gesetzt, d.h. FAST wird nicht benutzt NOTE: a keytab or support for anonymous PKINIT is required to use FAST. HINWEIS: SSSD unterstützt FAST nur mit MIT-Kerberos-Version 1.8 und neuer. Falls SSSD mit einer älteren Version von MIT-Kerberos benutzt wird, ist die Verwendung dieser Option ein Konfigurationsfehler. krb5_fast_principal (Zeichenkette) gibt den Server-Principal zur Benutzung von FAST an. krb5_fast_use_anonymous_pkinit (boolean) If set to true try to use anonymous PKINIT instead of a keytab to get the required credential for FAST. The krb5_fast_principal options is ignored in this case. Voreinstellung: »false« krb5_use_kdcinfo (Boolesch) gibt an, ob SSSD die Kerberos-Bibliotheken anweisen soll, welcher Realm und welche Schlüsselverwaltungszentralen (KDCs) benutzt werden sollen. Diese Option ist standardmäßig eingeschaltet. Falls Sie sie ausschalten, müssen Sie die Kerberos-Bibliothek mittels der Konfigurationsdatei krb5.conf 5 einrichten. Weitere Informationen über die Locator-Erweiterung finden Sie auf der Handbuchseite sssd_krb5_locator_plugin 8 . Voreinstellung: »true« krb5_kdcinfo_lookahead (string) When krb5_use_kdcinfo is set to true, you can limit the amount of servers handed to sssd_krb5_locator_plugin 8 . This might be helpful when there are too many servers discovered using SRV record. The krb5_kdcinfo_lookahead option contains two numbers separated by a colon. The first number represents number of primary servers used and the second number specifies the number of backup servers. For example 10:0 means that up to 10 primary servers will be handed to sssd_krb5_locator_plugin 8 but no backup servers. Default: 3:1 krb5_use_enterprise_principal (Boolesch) gibt an, ob der User Principal als Enterprise Principal betrachtet werden soll. Weitere Informationen über Enterprise Principals finden Sie in Abschnitt 5 von RFC 6806. Voreinstellung: falsch (AD-Anbieter: wahr) The IPA provider will set to option to 'true' if it detects that the server is capable of handling enterprise principals and the option is not set explicitly in the config file. krb5_use_subdomain_realm (boolean) Specifies to use subdomains realms for the authentication of users from trusted domains. This option can be set to 'true' if enterprise principals are used with upnSuffixes which are not known on the parent domain KDCs. If the option is set to 'true' SSSD will try to send the request directly to a KDC of the trusted domain the user is coming from. Voreinstellung: »false« krb5_map_user (string) The list of mappings is given as a comma-separated list of pairs username:primary where username is a UNIX user name and primary is a user part of a kerberos principal. This mapping is used when user is authenticating using auth_provider = krb5. Beispiel: krb5_realm = REALM krb5_map_user = joe:juser,dick:richard joe and dick are UNIX user names and juser and richard are primaries of kerberos principals. For user joe resp. dick SSSD will try to kinit as juser@REALM resp. richard@REALM. Voreinstellung: nicht gesetzt Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert wurde und FOO eine der Domains im Abschnitt [sssd] ist. Dieses Beispiel zeigt nur die Authentifizierung mit Kerberos, sie umfasst keine Identitätsanbieter. [domain/FOO] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM