sssd-krb5 5 Filformat och konventioner sssd-krb5 SSSD:s Kerberos-leverantör Denna manualsida beskriver konfigurationen av bakänden för Kerberos 5-autentisering för sssd 8 . För en detaljerad syntaxreferens, se avsnittet FILFORMAT i manualsidan sssd.conf 5 . Kerberos 5-autentiseringsbakänden innehåller auth- och chpass-leverantörer. Den måste paras ihop med en identitetsleverantör för att fungera korrekt (till exempel, id_provider = ldap). En del information krävs av Kerberos 5-autentiseringsbakänden måste tillhandahållas av identitetsleverantören, såsom användarens Kerberos huvudmannanamn (UPN). Konfigurationen av identitetsleverantören skall ha en post för att ange UPN:en. Se manualsidan för den tillämpliga identitetsleverantören för detaljer om hur man konfigurerar detta. Denna bakände tillhandahåller även åtkomstkontroll baserad på filen .k5login i användarens hemkatalog Se k5login5 för mer detaljer. Observera att en tom .k5login-fil kommer neka all åtkomst till denna användare. För att aktivera denna funktion, använd ”access_provider = krb5” i din SSSD-konfiguration. I situationer där UPN:en inte är tillgänglig i identitetsbakänden kommer sssd konstruera en UPN genom att använda formatet username@krb5_realm. Om autentiseringsmodulen krb5 används i en SSSD-domän måste följande alternativ användas. Se manualsidan sssd.conf 5 , avsnittet DOMÄNSEKTIONER för detaljer om konfigurationen av en SSSD-domän. krb5_server, krb5_backup_server (sträng) Anger en kommaseparerad lista av IP-adresser eller värdnamn till Kerberosservrar till vilka SSSD skall ansluta, i prioritetsordning. För mer information om reserver och serverredundans se avsnittet RESERVER. Ett frivilligt portnummer (föregånget av ett kolon) kan läggas till till adresserna eller värdnamnen. Om tomt aktiveras tjänsteupptäckt; för mer information, se avsnittet TJÄNSTEUPPTÄCKT. När tjänsteupptäckt används för KDC eller kpasswd-servrar söker SSSD först efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget hittas. Detta alternativ hade namnet krb5_kdcip i tidigare utgåvor av SSSD. Medan det äldre namnet känns igen tills vidare rekommenderas användare att migrera sina konfigurationsfiler till att använda krb5_server istället. krb5_realm (sträng) Namnet på Kerberos-riket. Detta alternativ är nödvändigt och måste anges. krb5_kpasswd, krb5_backup_kpasswd (sträng) Om tjänsten för att ändra lösenord inte kör på KDC:n kan alternativa servrar definieras här. Ett frivilligt portnummer (föregått av ett kolon) kan läggas till efter adresser eller värdnamn. För mer information om reserver och serverredundans se avsnittet RESERVER. OBSERVERA: även om det inte finns några fler kpasswd-servrar att försöka med byter inte bakänden till att köra frånkopplat om autentisering mot KDC:n fortfarande är möjligt. Standard: använd KDC:n krb5_ccachedir (sträng) Katalog att lagra kreditiv-cachar i. Alla substitutionssekvenserna i krb5_ccname_template kan användas här också, utom %d och %P. Katalogen skapas som privat och ägd av användaren, med rättigheterna satta till 0700. Standard: /tmp krb5_ccname_template (sträng) Platsen för användarens kreditiv-cache. Tre typer av kreditiv-cachar stödjs för närvarande: FILE, DIR och KEYRING:persistent. Cachen kan anges antingen som TYP:ÅTERSTOD, eller som en absolut sökväg, vilket implicerar typen FILE. I mallen ersätts följande sekvenser: %u inloggningsnamn %U inloggnings-AID %p huvudmannanamn %r namn på rike %h hemkatalog %d värdet på krb5_ccachedir %P process-ID:t på SSSD-klienten %% ett bokstavligt ”%” Om mallen slutar med ”XXXXXX” används mkstemp(3) för att skapa ett unikt filnamn på ett säkert sätt. När KEYRING-typer används är den enda mekanismen som stödjs KEYRING:persistent:%U, vilket använder Linuxkärnans nyckelring för att lagra kreditiv på per-AID-bas. Detta är också det rekommenderade valet, eftersom det är den säkraste och mest förutsägbara metoden. Standardvärdet för namnet på kreditiv-cachen läses från profilen som fil sparad i den systemtäckande konfigurationsfilen krb5.conf i avsnittet [libdefaults]. Alternativnamnet är default_ccache_name. Se krb5.conf(5)s avsnitt PARAMETEREXPANSION för mer information om expansionsformatet som definieras av krb5.conf. OBSERVERA: var medveten om att ccache-expansionsmallen för libkrb5 från krb5.conf 5 använder andra expansionssekvenser än SSSD. Standard: (från libkrb5) krb5_keytab (sträng) Platsen där keytab:en som skall användas för validering av kreditiv som tas emot från KDC:er finns. Standard: Systemets keytab, normalt /etc/krb5.keytab krb5_store_password_if_offline (boolean) Spara lösenordet för användaren om leverantören är frånkopplad och använd det för att begära en TGT när leverantören blir uppkopplad igen. OBS: denna funktion är endast tillgänglig på Linux. Lösenord som lagras på detta sätt hålls i klartext i kärnans nyckelring och är potentiellt åtkomliga för root-användaren (med svårighet). Standard: false krb5_use_fast (sträng) Aktiverar flexibel autentisering via säker tunnling (flexible authentication secure tunneling, FAST) för Kerberos förautentisering. Följande alternativ stödjs: never använd aldrig FAST. Detta är ekvivalent med att inte ställa in detta alternativ alls. try försök använda FAST. Om servern inte stödjer FAST, fortsätt då autentiseringen utan den. demand kräv användning av FAST. Autentiseringen misslyckas om servern inte begär fast. Standard: inte satt, d.v.s. FAST används inte. OBSERVERA: en keytab eller stöd för anonym PKINIT krävs för att använda FAST. OBSERVERA: SSSD stödjer endast FAST med MIT Kerberos version 1.8 och senare. Om SSSD används med en äldre version av MIT Kerberos är det ett konfigurationsfel att använda detta alternativ. krb5_fast_principal (sträng) Anger serverhuvudmannen att använda för FAST. krb5_fast_use_anonymous_pkinit (boolean) Om satt till sant, försök använda anonym PKINIT istället för en keytab för att få de begärda kreditiven för FAST. Alternativet krb5_fast_prinicpal ignoreras i detta fall. Standard: false krb5_use_kdcinfo (boolean) Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka KDC:er som skall användas. Detta alternativ är på som standard, om du avaktiverar det behöver du konfigurera Kerberos-biblioteket i konfigurationsfilen krb5.conf 5 . Se manualsidan sssd_krb5_locator_plugin 8 för mer information om lokaliseringsinsticksmodulen. Standard: true krb5_kdcinfo_lookahead (sträng) När krb5_use_kdcinfo är satt till true kan man begränsa mängden servrar som skickas till sssd_krb5_locator_plugin 8 . Detta kan vara användbart när det finns för många servrar som upptäcks med hjälp av SRV-poster. Alternativet krb5_kdcinfo_lookahead innehåller två tal separerade av ett kolon. Det första talet representerar antalet primärservrar som används och det andra talet anger antalet reservservrar. Till exempel betyder 10:0 att upp till 10 primärservrar kommer lämnas till sssd_krb5_locator_plugin 8 men inga reservservrar. Standard: 3:1 krb5_use_enterprise_principal (boolean) Anger om användarens huvudman skall behandlas som företagshuvudman. Se avsnitt 5 i RFC 6806 för mer detaljer om företagshuvudmän. Standard: false (AD-leverantör: true) IPA-leverantören kommer sätta detta alternativ till ”true” om den upptäcker att servern klarar av att hantera företagshuvudmän och alternativet inte är uttryckligen satt i konfigurationsfilen. krb5_use_subdomain_realm (boolean) Anger att använda underdomänriken för autentiseringen av användare från betrodda domäner. Detta alternativ kan sättas till ”sant” om företagshuvudmän används med upnSuffixes vilka inte är kända av föräldradomänens KDC:er. Om alternativet sätts till ”sant” kommer SSSD försöka skicka begäran direkt till en KDC för den betrodda domänen användaren kommer ifrån. Standard: false krb5_map_user (sträng) Listan av mappningar anges som en kommaseparerad lista av par användarnamn:primär där användarnamn är ett UNIX-användarnamn och primär är en användardel av en kerberoshuvudman. Denna mappning används när användaren autentiserar med auth_provider = krb5. exempel: krb5_realm = RIKE krb5_map_user = maria:manvnd,hasse:hans maria och hasse är UNIX-användarnamn och manvnd och hans är primärer i kerberoshuvudmän. För användaren maria resp. hasse kommer SSSD försöka att göra kinit som manvnd@RIKE resp. hans@RIKE. Standard: inte satt Följande exempel antar att SSSD är korrekt konfigurerad och att APA är en av domänerna i avsnittet [sssd]. Detta exempel visar endast konfigurationen av Kerberosautentisering; det inkluderar inte någon identitetsleverantör. [domain/APA] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM