pam_sss 8 pam_sss модуль PAM для SSSD pam_sss.so quiet forward_pass use_first_pass use_authtok retry=N ignore_unknown_user ignore_authinfo_unavail domains=X allow_missing_name prompt_always try_cert_auth require_cert_auth pam_sss.so — это интерфейс PAM к сервису SSSD. Ошибки и результаты записываются в журнал посредством syslog(3) с LOG_AUTHPRIV. quiet Подавлять сообщения журнала для неизвестных пользователей. forward_pass Если параметр forward_pass задан, введённый пароль будет помещён в стек для использования другими модулями PAM. use_first_pass Использование аргумента use_first_pass позволяет указать модулю принудительно использовать пароль ранее добавленного в стек модуля и никогда не запрашивать его у пользователя — если пароль недоступен или некорректен, пользователю будет отказано в доступе. use_authtok Если этот параметр задан, при смене пароля модуль установит в качестве нового пароля тот пароль, который предоставлен ранее добавленным в стек модулем обработки паролей. retry=N Если этот параметр задан, в случае неудачной проверки подлинности у пользователя будет N раз запрашиваться пароль. Значение по умолчанию — 0. Обратите внимание, что этот параметр может не работать ожидаемым образом, если приложение, которое вызывает PAM, самостоятельно обрабатывает диалог с пользователем. Типичный пример: sshd с PasswordAuthentication. ignore_unknown_user Если этот параметр указан и пользователь не существует, модуль PAM вернёт PAM_IGNORE. В результате платформа PAM игнорирует этот модуль. ignore_authinfo_unavail Позволяет указать, что модуль PAM должен вернуть PAM_IGNORE, если ему не удаётся связаться с сервисом SSSD. В результате платформа PAM игнорирует этот модуль. domains Позволяет администратору ограничить перечень доменов, в которых может проходить проверку подлинности определённая служба PAM. Формат: разделённый запятыми список имён доменов SSSD, в том виде, в котором они указаны в файле sssd.conf. ПРИМЕЧАНИЕ: при использовании для службы, которая запущена не от имени пользователя root (например, для веб-сервера), этот параметр необходимо использовать совместно с параметрами pam_trusted_users и pam_public_domains. Дополнительные сведения об этих двух параметрах ответчика PAM доступны на справочной странице sssd.conf 5 . allow_missing_name Основная задача этого параметра — разрешить SSSD определять имя пользователя на основе дополнительной информации (например, сертификата со смарт-карты). В настоящее время используется диспетчерами входа, которые могут отслеживать события карты на устройстве чтения смарт-карт. При вставке смарт-карты диспетчер входа вызовет стек PAM, который включает строку наподобие auth sufficient pam_sss.so allow_missing_name В этом случае SSSD попытается определить имя пользователя на основе содержимого смарт-карты, потом вернёт его pam_sss, который затем поместит его в стек PAM. prompt_always Всегда запрашивать учётные данные у пользователя. Если этот параметр включён, учётные данные, запрошенные другими модулями PAM (обычно это пароль), будут игнорироваться и pam_sss будет запрашивать учётные данные снова. В зависимости от ответа предварительной проверки подлинности, полученного от SSSD, pam_sss может запросить пароль, PIN-код смарт-карты или другие учётные данные. try_cert_auth Пытаться применить проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт-карты или аналогичных устройств. Если смарт-карта доступна и для службы разрешена проверка подлинности по смарт-карте, у пользователя будет запрошен PIN-код, после чего проверка подлинности на основе сертификата будет продолжена Если смарт-карта недоступна или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL. require_cert_auth Выполнять проверку подлинности на основе сертификата, то есть проверку подлинности с помощью смарт-карты или аналогичных устройств. Если смарт-карта недоступна, пользователю будет предложено вставить её. SSSD будет ожидать вставки смарт-карты до истечения тайм-аута, определённого параметром p11_wait_for_card_timeout, подробные сведения доступны на справочной странице sssd.conf 5. Если смарт-карта недоступна по истечении тайм-аута или для текущей службы не разрешена проверка подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL. Предоставляются все типы модулей (account, auth, password и session). Если ответчик PAM SSSD не запущен (например, когда недоступен сокет ответчика PAM), pam_sss вернёт PAM_USER_UNKNOWN при вызове в качестве модуля account, чтобы избежать проблем с пользователями из других источников во время управления доступом. PAM_SUCCESS Операция PAM успешно завершена. PAM_USER_UNKNOWN Пользователь неизвестен службе проверки подлинности или не запущен ответчик PAM SSSD. PAM_AUTH_ERR Сбой при проверке подлинности. Кроме того, может быть возвращено в случае проблемы с получением сертификата. PAM_PERM_DENIED Доступ запрещён. В журнале SSSD могут быть дополнительные сведения об этой ошибке. PAM_IGNORE Смотрите описание параметров ignore_unknown_user и ignore_authinfo_unavail. PAM_AUTHTOK_ERR Не удалось получить новый маркер проверки подлинности. Кроме того, может быть возвращено, когда пользователь проходит проверку подлинности с помощью сертификатов и доступно несколько сертификатов, но установленная версия GDM не поддерживает выбор из нескольких сертификатов. PAM_AUTHINFO_UNAVAIL Не удалось получить доступ к данным проверки подлинности. Это может быть связано со сбоем сети или оборудования. PAM_BUF_ERR Произошла ошибка памяти. Кроме того, может быть возвращено в том случае, если заданы параметры use_first_pass или use_authtok, но не был найден пароль, предоставленный ранее добавленным в стек модулем PAM. PAM_SYSTEM_ERR Произошла системная ошибка. В журнале SSSD могут быть дополнительные сведения об этой ошибке. PAM_CRED_ERR Не удалось задать учётные данные пользователя. PAM_CRED_INSUFFICIENT Приложение не располагает учётными данными, достаточными для проверки подлинности пользователя. Например, отсутствует PIN-код при проверке подлинности по смарт-карте или отсутствует фактор при двухфакторной проверке подлинности. PAM_SERVICE_ERR Ошибка в модуле службы. PAM_NEW_AUTHTOK_REQD Срок действия маркера проверки подлинности пользователя истёк. PAM_ACCT_EXPIRED Срок действия учётной записи пользователя истёк. PAM_SESSION_ERR Не удалось получить правила профилей рабочего стола IPA или информацию о пользователе. PAM_CRED_UNAVAIL Не удалось получить учётные данные пользователя Kerberos. PAM_NO_MODULE_DATA Kerberos не был найден способ проверки подлинности. Это могло произойти, если для записи пользователя назначена смарт-карта, но на клиенте недоступен модуль pkint. PAM_CONV_ERR Сбой обмена данными. PAM_AUTHTOK_LOCK_BUSY Нет доступных KDC, которые подходят для смены пароля. PAM_ABORT Неизвестный вызов PAM. PAM_MODULE_UNKNOWN Неподдерживаемое задание или команда PAM. PAM_BAD_ITEM Модулю проверки подлинности не удалось обработать учётные данные со смарт-карты. Когда не удаётся выполнить сброс пароля от имени пользователя root из-за того, что соответствующий поставщик SSSD не поддерживает сброс пароля, может быть показано отдельное сообщение. Это сообщение может, например, содержать инструкции по сбросу пароля. Это сообщение читается из файла pam_sss_pw_reset_message.LOC, где LOC обозначает строку локали, возвращённую setlocale3 . Если такого файла нет, отображается содержимое pam_sss_pw_reset_message.txt. Владельцем файлов должен быть пользователь root, при этом права на чтение и запись могут быть только у пользователя root, а у всех остальных пользователей должны быть права только на чтение. Поиск этих файлов выполняется в каталоге /etc/sssd/customize/DOMAIN_NAME/. Если соответствующего файла нет, будет показано общее сообщение.