sssd-krb5 5 Формати файлів та правила sssd-krb5 Модуль надання даних Kerberos SSSD На цій сторінці довідника описано налаштування засобу розпізнавання Kerberos 5 для sssd 8 . Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника sssd.conf 5 . Модуль розпізнавання Kerberos 5 містити засоби розпізнавання та зміни паролів. З метою отримання належних результатів його слід використовувати разом з інструментом обробки профілів (наприклад, id_provider = ldap). Деякі з даних, потрібних для роботи модуля розпізнавання Kerberos 5, має бути надано інструментом обробки профілів, серед цих даних Kerberos Principal Name (UPN) або реєстраційне ім’я користувача. У налаштуваннях інструменту обробки профілів має бути запис з визначенням UPN. Докладні настанови щодо визначення такого UPN має бути викладено на сторінці довідника (man) відповідного інструменту обробки профілів. У цьому інструменті керування даними також передбачено можливості керування доступом, засновані на даних з файла k5login у домашньому каталозі користувача. Докладніші відомості можна отримати з підручника до k5login5 . Зауважте, що якщо файл .k5login виявиться порожнім, доступ користувачеві буде заборонено. Щоб задіяти можливість керування доступом, додайте рядок «access_provider = krb5» до ваших налаштувань SSSD. У випадку, коли доступу до UPN у модулі профілів не передбачено, sssd побудує UPN у форматі ім’я_користувача@область_krb5. Якщо у домені SSSD використано auth-module krb5, має бути використано вказані нижче параметри. Зверніться до сторінки довідника (man) sssd.conf 5 , розділ «РОЗДІЛИ ДОМЕНІВ», щоб дізнатися більше про налаштування домену SSSD. krb5_server, krb5_backup_server (рядок) Визначає список IP-адрес або назв вузлів, відокремлених комами, серверів Kerberos, з якими SSSD має встановлювати з’єднання. Список має бути впорядковано за пріоритетом. Докладніше про резервування та додаткові сервери можна дізнатися з розділу «РЕЗЕРВ». До адрес або назв вузлів може бути додано номер порту (перед номером слід вписати двокрапку). Якщо параметр матиме порожнє значення, буде увімкнено виявлення служб. Докладніше про виявлення служб можна дізнатися з розділу «ПОШУК СЛУЖБ». Під час використання виявлення служб для серверів KDC або kpasswd SSSD спочатку намагається знайти записи DNS, у яких визначається протокол _udp. Використання протоколу _tcp відбувається, лише якщо таких записів не вдасться знайти. У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній версії передбачено розпізнавання цієї застарілої назви, але користувачам варто перейти на використання «krb5_server» у файлах налаштувань. krb5_realm (рядок) Назва області Kerberos. Цей параметр є обов’язковим, його неодмінно слід вказати. krb5_kpasswd, krb5_backup_kpasswd (рядок) Якщо службу зміни паролів не запущено на KDC, тут можна визначити альтернативні сервери. До адрес або назв вузлів можна додати номер порту (перед яким слід вписати двокрапку). Додаткові відомості щодо резервних серверів можна знайти у розділі «РЕЗЕРВ». Зауваження: навіть якщо список всіх серверів kpasswd буде вичерпано, модуль не перемкнеться у автономний режим роботи, якщо розпізнавання за KDC залишатиметься можливим. Типове значення: використання KDC krb5_ccachedir (рядок) Каталог для зберігання кешу реєстраційних даних. Тут також можна використовувати усі замінники з krb5_ccname_template, окрім %d та %P. Каталог створюється як конфіденційний, власником є користувач, права доступу — 0700. Типове значення: /tmp krb5_ccname_template (рядок) Розташування кешу з реєстраційними даними користувача У поточній версії передбачено підтримку трьох типів кешу реєстраційних даних: FILE, DIR та KEYRING:persistent. Кеш може бути вказано або у форматі ТИП:РЕШТА, або у форматі абсолютного шляху (тоді вважається, що типом кешу є FILE). У шаблоні передбачено можливість використання таких послідовностей-замінників: %u ім'я користувача %U ідентифікатор користувача %p назва реєстраційного запису %r назва області %h домашній каталог %d значення krb5_ccachedir %P ідентифікатор процесу клієнтської частини SSSD %% символ відсотків («%») Якщо шаблон завершується послідовністю «XXXXXX», для безпечного створення назви файла використовується mkstemp(3). Якщо використовуються типи KEYRING, єдиним підтримуваним механізмом є «KEYRING:persistent:%U», тобто використання сховища ключів ядра Linux для зберігання реєстраційних даних на основі поділу за UID. Цей варіант є рекомендованим, оскільки це найбезпечніший та найпередбачуваніший спосіб. Типове значення назви кешу реєстраційних даних буде запозичено з загальносистемного профілю, що зберігається у файлі налаштувань krb5.conf, розділ [libdefaults]. Назва параметра — default_ccache_name. Див. розділ щодо розгортання параметрів (PARAMETER EXPANSION) у довідці щодо krb5.conf(5), щоб отримати додаткові дані щодо формату розгортання, використаного у krb5.conf. ЗАУВАЖЕННЯ: майте на увазі, що шаблон розширення ccache libkrb5 з krb5.conf 5 використовує інші послідовності розширення, що не збігаються із використаними у SSSD. Типове значення: (з libkrb5) krb5_keytab (рядок) Розташування таблиці ключів, якою слід скористатися під час перевірки реєстраційних даних, отриманих від KDC. Типове значення: системна таблиця ключів, зазвичай /etc/krb5.keytab krb5_store_password_if_offline (булівське значення) Зберігати пароль користувача, якщо засіб перевірки перебуває поза мережею, і використовувати його для запитів TGT після встановлення з’єднання з засобом перевірки. Зауваження: ця можливість у поточній версії доступна лише на платформі Linux. Паролі зберігатимуться у форматі звичайного тексту (без шифрування) у сховищі ключів ядра, потенційно до них може отримати доступ адміністративний користувач (root), але йому для цього слід буде подолати деякі перешкоди. Типове значення: false krb5_use_fast (рядок) Вмикає безпечне тунелювання для гнучкого розпізнавання (flexible authentication secure tunneling або FAST) для попереднього розпізнавання у Kerberos. Передбачено такі варіанти: never використовувати FAST, рівнозначний варіанту, за якого значення цього параметра взагалі не задається. try — використовувати FAST. Якщо на сервері не передбачено підтримки FAST, продовжити розпізнавання без FAST. demand — використовувати FAST. Якщо на сервері не передбачено підтримки FAST, спроба розпізнавання зазнає невдачі. Типове значення: не встановлено, тобто FAST не використовується. Зауваження: будь ласка, зауважте, що для використання FAST потрібна таблиця ключів або підтримка анонімного PKINIT. Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT Kerberos версії 1.8 або новішої. Якщо SSSD буде використано зі старішою версією MIT Kerberos і цим параметром, буде повідомлено про помилку у налаштуваннях. krb5_fast_principal (рядок) Визначає реєстраційний запис сервера, який слід використовувати для FAST. krb5_fast_use_anonymous_pkinit (булеве значення) Якщо встановлено значення «true» намагатися скористатися анонімним PKINIT замість таблиці ключів для отримання бажаних реєстраційних даних для FAST. У цьому випадку параметри krb5_fast_principal буде проігноровано. Типове значення: false krb5_use_kdcinfo (булеве значення) Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які значення KDC слід використовувати. Типово, дію параметра увімкнено. Якщо ви вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла налаштувань krb5.conf 5 . Див. сторінку підручника (man) sssd_krb5_locator_plugin 8 , щоб дізнатися більше про додаток пошуку. Типове значення: true krb5_kdcinfo_lookahead (рядок) Якщо для krb5_use_kdcinfo встановлено значення true, ви можете обмежити кількість серверів, які буде передано sssd_krb5_locator_plugin 8 . Це може бути корисним, якщо за допомогою запису SRV виявляється надто багато серверів. Параметр krb5_kdcinfo_lookahead містить два числа, які відокремлено двокрапкою. Перше число визначає кількість основних серверів, а друге — кількість резервних серверів. Наприклад, 10:0 означає «буде передано до 10 основних серверів до sssd_krb5_locator_plugin 8 », але не буде передано резервні сервери Типове значення: 3:1 krb5_use_enterprise_principal (булеве значення) Визначає, чи слід вважати реєстраційні дані користувача даними промислового рівня. Див. розділ 5 RFC 6806, щоб дізнатися більше про промислові реєстраційні дані. Типове значення: false (надається AD: true) Засіб надання даних IPA встановить для цього параметра значення «true», якщо виявить, що сервер здатен обробляти реєстраційні дані промислового класу, і параметр на встановлено явним чином у файлі налаштувань. krb5_use_subdomain_realm (булеве значення) Визначає використання областей піддоменів для розпізнавання користувачів з довірених доменів. Для цього параметра можна встановити значення «true», якщо промислові реєстраційні записи використовуються із upnSuffixes, який не є відомим KDC батьківського домену. Якщо для параметра встановлено значення «true», SSSD спробує надіслати запит безпосередньо до KDC довіреного домену, з якого прийшов користувач. Типове значення: false krb5_map_user (рядок) Список прив’язок визначається як список пар «користувач:основа», де «користувач» — ім’я користувача UNIX, а «основа» — частина щодо користувача у реєстраційному записі kerberos. Ця прив’язка використовується, якщо користувач проходить розпізнавання із використанням «auth_provider = krb5». приклад: krb5_realm = REALM krb5_map_user = joe:juser,dick:richard joe і dick — імена користувачів UNIX, а juser і richard основні частини реєстраційних записів kerberos. Для користувачів joe та, відповідно, dick SSSD намагатиметься виконати ініціалізацію kinit як juser@REALM і, відповідно, richard@REALM. Типове значення: not set У наведеному нижче прикладі припускається, що SSSD налаштовано належним чином, а FOO є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише налаштування розпізнавання аз допомогою Kerberos, там не вказано інструменту обробки профілів. [domain/FOO] auth_provider = krb5 krb5_server = 192.168.1.1 krb5_realm = EXAMPLE.COM