sssd-krb5 5 Форматы файлов и рекомендации sssd-krb5 Поставщик данных Kerberos SSSD На этой справочной странице представлено описание настройки внутреннего сервера проверки подлинности Kerberos 5 для sssd 8 . Подробные сведения о синтаксисе доступны в разделе ФОРМАТ ФАЙЛА справочной страницы sssd.conf 5 . Внутренний сервер проверки подлинности Kerberos 5 содержит поставщиков данных для проверки подлинности (auth) и смены пароля (chpass). Для корректной работы его необходимо использовать совместно с поставщиком данных идентификации (например, id_provider = ldap). Некоторые данные, которые требуются внутреннему серверу проверки подлинности Kerberos 5, должны предоставляться поставщиком данных идентификации (например, имя участника Kerberos пользователя (UPN)). В конфигурации поставщика данных идентификации должна быть запись с указанием UPN. Сведения о том, как выполнить такую настройку, доступны на справочной странице соответствующего поставщика данных идентификации. Этот внутренний сервер также предоставляет возможность управления доступом на основе файла .k5login в домашнем каталоге пользователя. Дополнительные сведения доступны на справочной странице k5login5 . Обратите внимание, что пользователю будет отказано в доступе, если файл .k5login пуст. Чтобы активировать эту возможность, укажите «access_provider = krb5» в конфигурации SSSD. Если на внутреннем сервере идентификации недоступен UPN, sssd создаст UPN в формате username@krb5_realm. Если в домене SSSD используется модуль проверки подлинности krb5, необходимо использовать следующие параметры. Сведения о конфигурации домена SSSD доступны на справочной странице sssd.conf 5 , в разделе РАЗДЕЛЫ ДОМЕНА. krb5_server, krb5_backup_server (строка) Разделённый запятыми список IP-адресов или имён узлов серверов Kerberos, к которым SSSD следует подключаться в порядке приоритета. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе ОТРАБОТКА ОТКАЗА. После адресов или имён узлов можно (необязательно) добавить номер порта (предварив его двоеточием). Если у параметра пустое значение, будет включено обнаружение служб — дополнительные сведения доступны в разделе ОБНАРУЖЕНИЕ СЛУЖБ. При использовании обнаружения служб для серверов KDC или kpasswd SSSD сначала выполняет поиск записей DNS, в которых в качестве протокола указан _udp. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS, в которых в качестве протокола указан _tcp. В предыдущих версиях SSSD этот параметр назывался krb5_kdcip. Это устаревшее имя всё ещё распознаётся, но пользователям рекомендуется перейти на использование krb5_server в файлах конфигурации. krb5_realm (строка) Имя области Kerberos. Этот параметр является обязательным и должен быть указан. krb5_kpasswd, krb5_backup_kpasswd (строка) Если на KDC не запущена служба смены паролей, здесь можно задать альтернативные серверы. После адресов или имён узлов можно добавить необязательный номер порта (предварив его двоеточием). Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе ОТРАБОТКА ОТКАЗА. ПРИМЕЧАНИЕ: даже если список серверов kpasswd будет исчерпан, внутренний сервер не перейдёт в автономный режим работы, если всё ещё возможна проверка подлинности с помощью KDC. По умолчанию: использовать KDC krb5_ccachedir (строка) Каталог для хранения кэшей учётных данных. Здесь также можно использовать все последовательности замещения krb5_ccname_template, за исключением %d и %P. Каталог создаётся как закрытый, его владельцем является пользователь, права доступа — 0700. По умолчанию: /tmp krb5_ccname_template (строка) Расположение кэша учётных данных пользователя. В настоящее время поддерживаются три типа кэша учётных данных: FILE, DIR и KEYRING:persistent. Кэш можно указать либо как TYPE:RESIDUAL, либо как абсолютный путь, что предполагает тип FILE. В шаблоне заменяются следующие последовательности: %u имя для входа %U UID для входа %p имя участника %r имя области %h домашний каталог %d значение krb5_ccachedir %P идентификатор процесса клиента SSSD %% литерал «%» Если шаблон заканчивается на «XXXXXX», для безопасного создания уникального имени файла используется mkstemp(3). Если используются типы KEYRING, единственным поддерживаемым механизмом является KEYRING:persistent:%U, то есть использование набора ключей ядра Linux для хранения учётных данных на основе разделения по UID. Этот вариант также является рекомендуемым, так как этот способ обеспечивает наибольшую безопасность и предсказуемость. Источником стандартного значения имени кэша учётных данных является профиль, который хранится в общесистемном файле конфигурации krb5.conf в разделе [libdefaults]. Имя параметра — default_ccache_name. Дополнительные сведения о формате расширения, определённом krb5.conf, доступны в абзаце о расширении параметров (PARAMETER EXPANSION) krb5.conf(5). ПРИМЕЧАНИЕ: обратите внимание, что в шаблоне расширения ccache libkrb5 из krb5.conf 5 используются другие последовательности расширения, чем в SSSD. По умолчанию: (из libkrb5) krb5_keytab (строка) Расположение таблицы ключей, которую следует использовать при проверке учётных данных, полученных от KDC. По умолчанию: системная таблица ключей, обычно /etc/krb5.keytab krb5_store_password_if_offline (логическое значение) Сохранять пароль пользователя, если поставщик не в сети, и использовать его для запроса TGT, когда поставщик снова появляется в сети. ПРИМЕЧАНИЕ: эта возможность доступна только в Linux. Пароли, сохранённые таким образом, хранятся как простой текст в наборе ключей ядра и потенциально доступны пользователю root (потребуются некоторые усилия). По умолчанию: false krb5_use_fast (строка) Включает защищённое туннелирование гибкой проверки подлинности (FAST) для предварительной проверки подлинности Kerberos. Поддерживаются следующие параметры: never — никогда не использовать FAST. Это равнозначно тому варианту, когда значение этого параметра вообще не указано. try — пытаться использовать FAST. Если сервер не поддерживает FAST, проверка подлинности будет продолжена без него. demand — требовать использования FAST. Проверка подлинности будет неудачной, если сервер не требует использования FAST. По умолчанию: не задано, то есть FAST не используется. ПРИМЕЧАНИЕ: для использования FAST необходима таблица ключей или поддержка анонимного PKINIT. ПРИМЕЧАНИЕ: SSSD поддерживает FAST только для MIT Kerberos версии 1.8 и выше. Если SSSD используется с более ранней версией MIT Kerberos, использование этого параметра является ошибкой конфигурации. krb5_fast_principal (строка) Указывает участник-сервер, который следует использовать для FAST. krb5_fast_use_anonymous_pkinit (логическое значение) Если установлено значение «true», попытаться воспользоваться анонимным PKINIT вместо таблицы ключей для получения необходимых учётных данных для FAST. В этом случае параметры krb5_fast_principal игнорируются. По умолчанию: false krb5_use_kdcinfo (логическое значение) Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и какие KDC нужно использовать. Этот параметр включён по умолчанию. Если отключить его, потребуется настроить библиотеку Kerberos с помощью файла конфигурации krb5.conf 5 . Дополнительные сведения о модуле локатора доступны на справочной странице sssd_krb5_locator_plugin 8 . По умолчанию: true krb5_kdcinfo_lookahead (строка) Когда параметр krb5_use_kdcinfo установлен в значение «true», можно ограничить количество серверов, которые передаются sssd_krb5_locator_plugin 8 . Это может быть полезно, когда с помощью записи SRV обнаруживается слишком много серверов. Параметр krb5_kdcinfo_lookahead содержит два числа, разделённых двоеточием. Первое число представляет количество используемых основных серверов, а второе — количество резервных серверов. Например, 10:0 означает, что sssd_krb5_locator_plugin 8 будут переданы 10 основных серверов, но ни одного резервного сервера. По умолчанию: 3:1 krb5_use_enterprise_principal (логическое значение) Позволяет указать, следует ли обрабатывать участника-пользователя как участника-предприятие. Дополнительные сведения об участниках-предприятиях доступны в разделе 5 RFC 6806. По умолчанию: false (поставщик данных AD: true) Поставщик данных IPA установит этот параметр в значение «true», если определит, что сервер может обрабатывать участников-предприятия, и если этот параметр не задан в явном виде в файле конфигурации. krb5_use_subdomain_realm (логическое значение) Указывает использовать области поддоменов для проверки подлинности пользователей из доверенных доменов. Этот параметр можно установить в значение «true», если участники-предприятия используются с upnSuffixes, неизвестными KDC родительского домена. Если этот параметр установлен в значение «true», SSSD будет пытаться отправить запрос напрямую KDC того доверенного домена, из которого пришёл пользователь. По умолчанию: false krb5_map_user (строка) Перечень сопоставлений указывается в виде разделённого запятыми списка пар username:primary, где username — имя пользователя UNIX, а primary — часть пользователя в записи участника Kerberos. Это сопоставление задействуется, когда для проверки подлинности пользователя используется auth_provider = krb5. пример: krb5_realm = REALM krb5_map_user = joe:juser,dick:richard joe и dick — имена пользователей UNIX, а juser и richard — основные части участников Kerberos. Для пользователей joe и dick SSSD попытается выполнить kinit как, соответственно, juser@REALM и richard@REALM. По умолчанию: не задано В следующем примере предполагается, что конфигурация SSSD корректна и что FOO — один из доменов в разделе [sssd]. В примере показана только конфигурация проверки подлинности Kerberos; он не включает какого-либо поставщика данных идентификации. [domain/FOO] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM