sssd-kcm 8 Filformat och konventioner sssd-kcm SSSD Kerberos cache-hanterare Denna manualsida beskriver konfigurationen av SSSD:s Kerberos cache-hanterare (KCM). KCM är en process som lagrar, spårar och hanterar Kerberoskreditiv-cachar. Det kommer från projektet Heimdal Kerberos, fast biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer detaljer om det nedan) av KCM-kreditiv-cachen. I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket (typiskt använt via ett program, som t.ex., kinit1 , en ”KCM-klient" och KCMdemonen refereras till som en ”KCM-server". Klienten och servern kommunicerar via ett UNIX-uttag. KCM-servern håller reda på ägaren till varje kreditiv-cache och utför åtkomstkontroller baserat på AID:t och GID:t på KCM-klienten. Root-användaren har åtkomst till alla kreditiv-cachar. KCM-kreditiv-cachen har flera intressanta egenskaper: eftersom processen kör i användarrymden är den föremål för AID-namnrymder, till skillnad mot kärnans nyckelring till skillnad mot kärnans nyckelringsbaserade cache, som delas mellan alla behållare, är KCM-servern en separat process vars ingångspunkt är ett UNIX-uttag SSSD-implementationen sparar ccache:rna i en databas, vanligen placerad i /var/lib/sss/secrets, vilket gör att ccache:rna kan överleva att KCM-servern eller hela maskinen startas om. Detta gör att systemet kan använda en samlingsmedveten kreditiv-cache, och ändå dela kreditivcachen mellan några eller inga behållare genom bindmontering av uttaget. KCM-standardklientens tidsgräns för inaktivitet är 5 minuter, detta ger mer tid för användarinteraktion med kommandoradsverktyg såsom kinit. För att använda KCM-kreditiv-cachen måste den väljas som standardkreditivtypen i krb5.conf5 . Kreditiv-cachens namn skall bara vara KCM: utan några mallexpansioner. Till exempel: [libdefaults] default_ccache_name = KCM: Se därefter till att Kerberos-klientbiblioteken och KCM-servern är överens om sökvägen till UNIX-uttaget. Som standard använder båda samma sökväg /var/run/.heim_org.h5l.kcm-socket. För att konfigurera Kerberos-biblioteket, ändra dess alternativ kcm_socket som beskrivs i manualsidan krb5.conf5 . Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjänsten är normalt uttagsaktiverad av systemd 1 . Till skillnad mot andra SSSD-tjänster kan den inte startas genom att lägga till strängen kcm till direktivet service. systemctl start sssd-kcm.socket systemctl enable sssd-kcm.socket Observera att din distribution kanske redan konfigurerar enheterna åt dig. Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar användar- eller grupposter. Databasen finns normalt i /var/lib/sss/secrets. Tjänsten sssd-kcm är normalt uttagsaktiverad av systemd 1 . För att skapa felsökningsloggar, lägg till följande antingen direkt till filen /etc/sssd/sssd.conf eller som en konfigurationssnutt till katalogen /etc/sssd/conf.d/: [kcm] debug_level = 10 Starta sedan om tjänsten sssd-kcm: systemctl restart sssd-kcm.service Kör slutligen det användningsfall som inte fungerar. KCM-loggarna kommer skapas i /var/log/sssd/sssd_kcm.log. Det rekommenderas att avaktivera felsökningsloggarna när man inte längre behöver informationen aktiverad eftersom tjänsten sssd-kcm kan skapa en ganska stor mängd felsökningsinformation. Observera att konfigurationssnuttar för närvarande endast behandlas om huvudkonfigurationsfilen på /etc/sssd/sssd.conf över huvud taget finns. Tjänsten sssd-kcm kan konfigureras till att försöka göra TGT-förnyelser med förnybara TGT:er lagrade i KCM-ccachen. Förnyelseförsök görs bara när halva biljettens livstid har uppnåtts. KCM-förnyelser konfigureras när följande alternativ sätts i sektionen [kcm]: tgt_renewal = true krb5_renew_interval = 60m SSSD kan även ärva krb5-alternativ för förnyelser från en befintlig domän. tgt_renewal = true tgt_renewal_inherit = domännamn Följande krb5-alternativ kan konfigureras i sektionen [kcm] för att styra förnyelsebeteendet, dessa alternativ beskrivs i detalj nedan krb5_renew_interval krb5_renewable_lifetime krb5_lifetime krb5_validate krb5_canonicalize krb5_auth_timeout Tjänsten KCM är konfigurerad i sektionen kcm av filen sssd.conf. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är det tillräckligt att bara starta om tjänsten sssd-kcm efter att ha ändrat flaggorna i sektionen kcm av sssd.conf: systemctl restart sssd-kcm.service Tjänsten KCM konfigureras i kcm För en detaljeras syntaxreferens, se avsnittet FILFORMAT i manualsidan sssd.conf 5 . De allmänna alternativen för tjänsten SSSD såsom debug_level eller fd_limit accepteras av tjänsten kcm. Se manualsidan sssd.conf 5 för en fullständig lista. Dessutom finns det några KCM-specifika alternativ också. socket_path (sträng) Uttaget tjänsten KCM kommer lyssna på. Standard: /var/run/.heim_org.h5l.kcm-socket Observera: på plattformar där systemd stödjs skrivs uttagssökvägen över av den som definieras i enhetsfilen sssd-kcm.socket. max_ccaches (heltal) Hur många kreditivcacher KCM-databasen tillåter för alla användare. Standard: 0 (obegränsad, endast kvot per AID upprätthålls) max_uid_ccaches (heltal) Hur många kreditiv-cachningar KCM-databasen tillåter per AID. Detta är ekvivalent med med hur många huvudmän man kan kinit:a. Standard: 64 max_ccache_size (heltal) Hor stor kan en kreditivcach vara per ccache. Varje tjänsteärende räknas in i denna kvot. Standard: 65536 tgt_renewal (bool) Aktiverar TGT-förnyelsefunktionalitet. Standard: False (Automatiska förnyelser avaktiverade) tgt_renewal_inherit (sträng) Domän att ärva krb5_*-alternativ ifrån, att användas med TGT-förnyelser. Standard: NULL sssd8 , sssd.conf5 ,