pam_sss 8 pam_sss модуль PAM для SSSD pam_sss.so quiet forward_pass use_first_pass use_authtok retry=N ignore_unknown_user ignore_authinfo_unavail domains=X allow_missing_name prompt_always try_cert_auth require_cert_auth pam_sss.so — інтерфейс PAM до System Security Services daemon (SSSD). Помилки та результати роботи записуються за допомогою syslog(3) до запису LOG_AUTHPRIV. quiet Не показувати у журналі повідомлень для невідомих користувачів. forward_pass Якщо встановлено значення forward_pass, введений пароль буде збережено у стосі паролів для використання іншими модулями PAM. use_first_pass Використання аргументу use_first_pass примушує модуль до використання пароля з модулів попереднього рівня. Ніяких запитів до користувача не надсилатиметься, — якщо пароль не буде виявлено або пароль виявиться непридатним, доступ користувачеві буде заборонено. use_authtok Визначає ситуацію, коли зміна пароля примушує модуль встановлювати новий пароль на основі пароля, наданого попереднім модулем обробки паролів зі стосу модулів. retry=N Якщо вказано, користувача запитуватимуть про пароль ще N разів, якщо перший раз розпізнавання зазнає невдачі. Типовим значенням є 0. Будь ласка, зауважте, що цей параметр може працювати не так, як очікується, якщо програма, яка викликає PAM, має власний обробник діалогових вікон взаємодії з користувачем. Типовим прикладом є sshd з PasswordAuthentication. ignore_unknown_user Якщо вказано цей параметр і облікового запису не існує, модуль PAM поверне PAM_IGNORE. Це призводить до ігнорування цього модуля оболонкою PAM. ignore_authinfo_unavail Визначає, що модуль PAM має повертати PAM_IGNORE, якщо не вдається встановити зв’язок із фоновою службою SSSD. У результаті набір інструментів PAM ігнорує цей модуль. domains Надає змогу адміністратору обмежити домен певною службою PAM, за допомогою якої можна буде виконувати розпізнавання. Формат значення: список назв доменів SSSD, відокремлених комами, так, як їх вказано у файлі sssd.conf. Зауваження: Якщо використовується для служби, яку запущено не від імені користувача root, наприклад вебсервера, слід використовувати разом із параметрами «pam_trusted_users» і «pam_public_domains». Будь ласка, ознайомтеся із сторінкою підручника sssd.conf 5 , щоб дізнатися більше про ці два параметри відповідача PAM. allow_missing_name Основним призначенням цього параметра є надання SSSD змоги визначати ім'я користувача на основі додаткових даних, наприклад сертифіката зі смарткартки. Поточним основним призначенням є засоби керування входом до системи, які можуть спостерігати за подіями обробки карток на засобі читання смарткарток. Щойно буде вставлено смарткартку, засіб керування входом до системи викличе стос PAM, до якого включено рядок, подібний до auth sufficient pam_sss.so allow_missing_name Якщо SSSD спробує визначити ім'я користувача на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті, передасть його стосу PAM. prompt_always Завжди запитувати у користувача реєстраційні дані. Якщо використано цей параметр, реєстраційні дані, запит на які надійшов від інших модулів PAM, типово, пароль, буде проігноровано, а pam_sss надсилатиме запит щодо реєстраційних даних знову. На основі відповіді на попереднє розпізнавання від SSSD pam_sss може надіслати запит щодо пароля, пін-коду смарткартки або інших реєстраційних даних. try_cert_auth Спробувати скористатися розпізнаванням на основі сертифікатів, тобто розпізнаванням за допомогою смарткартки або подібного пристрою. Якщо доступною є смарткартка і уможливлено розпізнавання за смарткарткою для служби, система надішле запит щодо пін-коду і буде продовжено процедуру розпізнавання за сертифікатом. Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL. require_cert_auth Виконати розпізнавання на основі сертифікатів, тобто розпізнавання за допомогою смарткартки або подібного пристрою. Якщо смарткартка виявиться недоступною, система попросить користувача вставити її. SSSD чекатиме на смарткартку, аж доки не завершиться час очікування, визначений переданим значенням p11_wait_for_card_timeout. Див. sssd.conf 5, щоб дізнатися більше. Якщо смарткартка виявиться недоступною на момент завершення часу очікування або розпізнавання за сертифікатом буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL. Передбачено всі типи модулів (account, auth, password і session). Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля account, щоб уникнути проблем із записами користувачів із інших джерел під час керування доступом. PAM_SUCCESS Дію PAM завершено успішно. PAM_USER_UNKNOWN Користувач є невідомим службі розпізнавання або відповідач PAM SSSD не запущено. PAM_AUTH_ERR Помилка розпізнавання. Також може бути повернено, якщо виникла проблема із отриманням сертифіката. PAM_PERM_DENIED Доступ заборонено. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD. PAM_IGNORE Див. параметри ignore_unknown_user і ignore_authinfo_unavail. PAM_AUTHTOK_ERR Не вдалося отримати новий ключ розпізнавання. Крім того, може бути повернуто, якщо користувач проходить розпізнавання за допомогою сертифікатів, доступними є декілька сертифікатів, але у встановленій версії GDM не передбачено можливості вибору одного з декількох сертифікатів. PAM_AUTHINFO_UNAVAIL Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути помилка у роботі мережі або обладнання. PAM_BUF_ERR Сталася помилка при роботі з пам'яттю. Також може бути повернуто, якщо було встановлено параметр use_first_pass або use_authtok, але не було знайдено пароля у попередньому модулі PAM зі стосу обробки. PAM_SYSTEM_ERR Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть міститися у файлах журналів SSSD. PAM_CRED_ERR Не вдалося встановити реєстраційні дані користувача. PAM_CRED_INSUFFICIENT У програми немає достатніх реєстраційних даних для розпізнавання користувача. Наприклад, може не вистачати PIN-коду при розпізнаванні за смарткарткою або якогось фактора при двофакторному розпізнаванні. PAM_SERVICE_ERR Помилка у службовому модулі. PAM_NEW_AUTHTOK_REQD Строк дії ключа розпізнавання користувача вичерпано. PAM_ACCT_EXPIRED Строк дії облікового запису користувача вичерпано. PAM_SESSION_ERR Не вдалося отримати правила профілю стільниці IPA або дані користувача. PAM_CRED_UNAVAIL Не вдалося отримати реєстраційні дані користувача Kerberos. PAM_NO_MODULE_DATA Kerberos не вдалося знайти метод розпізнавання. Таке може трапитися, якщо із записом користувача пов'язано смарткартку, але додаток pkint є недоступним на клієнті. PAM_CONV_ERR Помилка обміну даними. PAM_AUTHTOK_LOCK_BUSY Немає доступних придатних KDC для зміни пароля. PAM_ABORT Невідомий виклик PAM. PAM_MODULE_UNKNOWN Непідтримувана команда або завдання PAM. PAM_BAD_ITEM Модулю розпізнавання не вдалося обробити реєстраційні дані з смарткартки. Якщо спроба скидання пароля від імені адміністративного користувача (root) зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено скидання паролів, може бути показано певне повідомлення. У цьому повідомленні, наприклад, можуть міститися настанови щодо скидання пароля. Текст повідомлення буде прочитано з файла pam_sss_pw_reset_message.LOC, де «LOC» — рядок локалі у форматі, повернутому setlocale3 . Якщо відповідного файла знайдено не буде, буде показано вміст файла pam_sss_pw_reset_message.txt. Власником файлів має бути адміністративний користувач (root). Доступ до запису файлів також повинен мати лише адміністративний користувач. Всім іншим користувачам може бути надано лише право читання файлів. Пошук цих файлів виконуватиметься у каталозі /etc/sssd/customize/НАЗВА_ДОМЕНУ/. Якщо відповідний файл не буде знайдено, буде показано типове повідомлення.