pam_sss 8 pam_sss PAM-modul för SSSD pam_sss.so quiet forward_pass use_first_pass use_authtok retry=N ignore_unknown_user ignore_authinfo_unavail domains=X allow_missing_name prompt_always try_cert_auth require_cert_auth pam_sss.so är PAM-gränssnittet till System Security Services daemon (SSSD). Fel och resultat loggas via syslog(3) med funktionen LOG_AUTHPRIV. quiet Undertryck loggmeddelanden om okända användare. forward_pass Om forward_pass är satt läggs det inskrivna lösenordet på stacken så att andra PAM-moduler kan använda det. use_first_pass Argumentet use_first_pass tvingar modulen att använda tidigare stackade modulers lösenord och kommer aldrig fråga användaren – om inget lösenord är tillgängligt eller lösenordet inte stämmer kommer användaren nekas åtkomst. use_authtok Vid lösenordsändring tvinga modulen till att sätta det nya lösenordet till det som gavs av en tidigare stackad lösenordsmodul. retry=N Om angivet frågas användaren ytterligare N gånger om ett lösenord ifall autentiseringen misslyckas. Standard är 0. Observera att detta alternativ kanske inte fungerar som förväntat ifall programmet som anropar PAM hanterar användardialogen själv. Ett typiskt exempel är sshd med PasswordAuthentication. ignore_unknown_user Om detta alternativ anges och användaren inte finns kommer PAM-modulen returnera PAM_IGNORE. Detta får PAM-ramverket att ignorera denna modul. ignore_authinfo_unavail Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta SSSD-demonen. Detta får PAM-ramverket att ignorera denna modul. domains Tillåter administratören att begränsa domänerna en viss PAM-tjänst tillåts autentisera emot. Formatet är en kommaseparerad lista över SSSD-domännamn som de specificeras i filen sssd.conf. OBS: om detta används för en tjänst som inte kör som root-användaren, t.ex. en webb-server, måste det användas tillsammans med flaggorna pam_trusted_users och pam_public_domains. Se manualsidan sssd.conf 5 för mer information om dessa två PAM-respondentalternativ. allow_missing_name Huvudsyftet med denna flagga är att låta SSSD avgöra användarnamnet baserat på ytterligare information, t.ex. certifikatet från ett smartkort. Det aktuella användningsfallet är inloggningshanterare som kan övervaka en smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer inloggningshanteraren anropa en PAM-stack som innehåller en rad som auth sufficient pam_sss.so allow_missing_name I detta fall kommer SSSD försöka avgöra användarnamnet baserat på innehållet på smartkortet, returnerar det till pam_sss som slutligen kommer lägga det på PAM-stacken. prompt_always Fråga alltid användaren om kreditiv. Med denna flagga kommer kreditiv begärda av andra PAM-moduler, typiskt ett lösenord, ignoreras och pam_sss kommer fråga efter kreditiv igen. Baserat på förautentiseringssvaret från SSSD kan pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN eller andra kreditiv. try_cert_auth Försök använda certifikatbaserad smartkortsautentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort är tillgängligt och tjänsten tillåter smartkortsautentisering kommer användaren frågas om ett PIN och certifikatbaserad autentisering kommer fortsätta Om inget smartkort är tillgängligt eller certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL. require_cert_auth Använd certifikatbaserad autentisering, d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort inte är tillgängligt ombeds användaren att sätta in ett. SSSD kommer att vänta på ett smartkort tills tidsgränsen definierad av p11_wait_for_card_timeout har passerats, se sssd.conf 5 för detaljer. Om inget smartkort är tillgängligt efter att tidsgränsen passerats eller om certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL. Alla modultyper (account, auth, password och session) tillhandahålls. Om SSSD:s PAM-respondent inte kör, t.ex. om PAM-respondentens uttag (socket) inte är tillgängligt kommer pam_sss returnera PAM_USER_UNKNOWN när det anropas som modulen account för att undvika problem med användare från andra källor under åtkomstkontroll. PAM_SUCCESS PAM-åtgärden avslutades framgångsrikt. PAM_USER_UNKNOWN Användaren är inte känd av autentiseringstjänsten eller så kör inte SSSD:s PAM-respondent. PAM_AUTH_ERR Misslyckad autentisering. Kan också returneras när det är problem med att hämta certifikatet. PAM_PERM_DENIED Åtkomst nekas. SSSD-loggfilerna kan innehålla ytterligare information om felet. PAM_IGNORE Se flaggorna ignore_unknown_user och ignore_authinfo_unavail. PAM_AUTHTOK_ERR Kan inte hämta det nya autentiseringstecknet. Kan också returneras när användaren autentiserar med certifikat och flera certifikat är tillgängliga, men den installerade versionen av GDM inte stödjer val bland flera certifikat. PAM_AUTHINFO_UNAVAIL Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett nätverks- eller hårdvarufel. PAM_BUF_ERR Ett minnesfel uppstod. Kan också returneras när flagga use_first_pass eller use_authtok är satt, men inget lösenord hittades från den tidigare stackade PAM-modulen. PAM_SYSTEM_ERR Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare information om felet. PAM_CRED_ERR Kan inte sätta kreditiv för användaren. PAM_CRED_INSUFFICIENT Programmet har inte tillräckliga kreditiv för att autentisera användaren. Till exempel saknas PIN under smartkortsautentisering eller en saknad faktor under tvåfaktorautentisering. PAM_SERVICE_ERR Fel i tjänstemodul. PAM_NEW_AUTHTOK_REQD Användarens autentiseringstecken har gått ut. PAM_ACCT_EXPIRED Användarkontot har gått ut. PAM_SESSION_ERR Kan inte hämta IPA-skrivbordsprofilsregler eller -användarinformation. PAM_CRED_UNAVAIL Kan inte hämta Kerberos-användarkreditiv. PAM_NO_MODULE_DATA Ingen autentiseringsmetod hittades av Kerberos. Detta kan inträffa om användaren har ett smartkort tilldelat men insticksmodulen pkint inte är tillgänglig på klienten. PAM_CONV_ERR Konversationsfel. PAM_AUTHTOK_LOCK_BUSY Ingen KDC lämpad för lösenordsändringar finns tillgänglig. PAM_ABORT Okänt PAM-anrop. PAM_MODULE_UNKNOWN PAM-uppgift eller -kommando som inte stödjs. PAM_BAD_ITEM Autentiseringsmodulen kan inte hantera smartkortskreditiv. Om en återställning av lösenord av root misslyckas, för att motsvarande SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man återställer ett lösenord. Meddelandet läses från filen pam_sss_pw_reset_message.LOK där LOK står för en lokalsträng som den returneras av setlocale3 . Om det inte finns någon matchande fil visas innehållet i pam_sss_pw_reset_message.txt. Root måste vara ägaren av filerna och endast root får ha läs- och skrivrättigheter medan alla andra användare endast får ha läsrättigheter. Dessa filer söks efter i katalogen /etc/sssd/customize/DOMÄNNAMN/. Om ingen matchande fil finns visas ett allmänt meddelande.