1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.5//EN"
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd">
<reference>
<title>Справка по SSSD</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
<refmeta>
<refentrytitle>sssd-krb5</refentrytitle>
<manvolnum>5</manvolnum>
<refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo>
</refmeta>
<refnamediv id='name'>
<refname>sssd-krb5</refname>
<refpurpose>Поставщик данных Kerberos SSSD</refpurpose>
</refnamediv>
<refsect1 id='description'>
<title>ОПИСАНИЕ</title>
<para>
На этой справочной странице представлено описание настройки внутреннего
сервера проверки подлинности Kerberos 5 для <citerefentry>
<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum>
</citerefentry>. Подробные сведения о синтаксисе доступны в разделе
<quote>ФОРМАТ ФАЙЛА</quote> справочной страницы <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>.
</para>
<para>
Внутренний сервер проверки подлинности Kerberos 5 содержит поставщиков
данных для проверки подлинности (auth) и смены пароля (chpass). Для
корректной работы его необходимо использовать совместно с поставщиком данных
идентификации (например, id_provider = ldap). Некоторые данные, которые
требуются внутреннему серверу проверки подлинности Kerberos 5, должны
предоставляться поставщиком данных идентификации (например, имя участника
Kerberos пользователя (UPN)). В конфигурации поставщика данных идентификации
должна быть запись с указанием UPN. Сведения о том, как выполнить такую
настройку, доступны на справочной странице соответствующего поставщика
данных идентификации.
</para>
<para>
Этот внутренний сервер также предоставляет возможность управления доступом
на основе файла .k5login в домашнем каталоге пользователя. Дополнительные
сведения доступны на справочной странице <citerefentry>
<refentrytitle>k5login</refentrytitle><manvolnum>5</manvolnum>
</citerefentry>. Обратите внимание, что пользователю будет отказано в
доступе, если файл .k5login пуст. Чтобы активировать эту возможность,
укажите «access_provider = krb5» в конфигурации SSSD.
</para>
<para>
Если на внутреннем сервере идентификации недоступен UPN,
<command>sssd</command> создаст UPN в формате
<replaceable>username</replaceable>@<replaceable>krb5_realm</replaceable>.
</para>
</refsect1>
<refsect1 id='configuration-options'>
<title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title>
<para>
Если в домене SSSD используется модуль проверки подлинности krb5, необходимо
использовать следующие параметры. Сведения о конфигурации домена SSSD
доступны на справочной странице <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>, в разделе <quote>РАЗДЕЛЫ ДОМЕНА</quote>. <variablelist>
<varlistentry>
<term>krb5_server, krb5_backup_server (строка)</term>
<listitem>
<para>
Разделённый запятыми список IP-адресов или имён узлов серверов Kerberos, к
которым SSSD следует подключаться в порядке приоритета. Дополнительные
сведения об отработке отказа и избыточности сервера доступны в разделе
<quote>ОТРАБОТКА ОТКАЗА</quote>. После адресов или имён узлов можно
(необязательно) добавить номер порта (предварив его двоеточием). Если у
параметра пустое значение, будет включено обнаружение служб — дополнительные
сведения доступны в разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>.
</para>
<para>
При использовании обнаружения служб для серверов KDC или kpasswd SSSD
сначала выполняет поиск записей DNS, в которых в качестве протокола указан
_udp. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS,
в которых в качестве протокола указан _tcp.
</para>
<para>
В предыдущих версиях SSSD этот параметр назывался
<quote>krb5_kdcip</quote>. Это устаревшее имя всё ещё распознаётся, но
пользователям рекомендуется перейти на использование
<quote>krb5_server</quote> в файлах конфигурации.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_realm (строка)</term>
<listitem>
<para>
Имя области Kerberos. Этот параметр является обязательным и должен быть
указан.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_kpasswd, krb5_backup_kpasswd (строка)</term>
<listitem>
<para>
Если на KDC не запущена служба смены паролей, здесь можно задать
альтернативные серверы. После адресов или имён узлов можно добавить
необязательный номер порта (предварив его двоеточием).
</para>
<para>
Дополнительные сведения об отработке отказа и избыточности сервера доступны
в разделе <quote>ОТРАБОТКА ОТКАЗА</quote>. ПРИМЕЧАНИЕ: даже если список
серверов kpasswd будет исчерпан, внутренний сервер не перейдёт в автономный
режим работы, если всё ещё возможна проверка подлинности с помощью KDC.
</para>
<para>
По умолчанию: использовать KDC
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_ccachedir (строка)</term>
<listitem>
<para>
Каталог для хранения кэшей учётных данных. Здесь также можно использовать
все последовательности замещения krb5_ccname_template, за исключением %d и
%P. Каталог создаётся как закрытый, его владельцем является пользователь,
права доступа — 0700.
</para>
<para>
По умолчанию: /tmp
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_ccname_template (строка)</term>
<listitem>
<para>
Расположение кэша учётных данных пользователя. В настоящее время
поддерживаются три типа кэша учётных данных: <quote>FILE</quote>,
<quote>DIR</quote> и <quote>KEYRING:persistent</quote>. Кэш можно указать
либо как <replaceable>TYPE:RESIDUAL</replaceable>, либо как абсолютный путь,
что предполагает тип <quote>FILE</quote>. В шаблоне заменяются следующие
последовательности: <variablelist>
<varlistentry>
<term>%u</term>
<listitem><para>имя для входа</para></listitem>
</varlistentry>
<varlistentry>
<term>%U</term>
<listitem><para>UID для входа</para></listitem>
</varlistentry>
<varlistentry>
<term>%p</term>
<listitem><para>имя участника</para>
</listitem>
</varlistentry>
<varlistentry>
<term>%r</term>
<listitem><para>имя области</para></listitem>
</varlistentry>
<varlistentry>
<term>%h</term>
<listitem><para>домашний каталог</para>
</listitem>
</varlistentry>
<varlistentry>
<term>%d</term>
<listitem><para>значение krb5_ccachedir
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>%P</term>
<listitem><para>идентификатор процесса клиента SSSD</para>
</listitem>
</varlistentry>
<varlistentry>
<term>%%</term>
<listitem><para>литерал «%»</para>
</listitem>
</varlistentry>
</variablelist> Если шаблон
заканчивается на «XXXXXX», для безопасного создания уникального имени файла
используется mkstemp(3).
</para>
<para>
Если используются типы KEYRING, единственным поддерживаемым механизмом
является <quote>KEYRING:persistent:%U</quote>, то есть использование набора
ключей ядра Linux для хранения учётных данных на основе разделения по
UID. Этот вариант также является рекомендуемым, так как этот способ
обеспечивает наибольшую безопасность и предсказуемость.
</para>
<para>
Источником стандартного значения имени кэша учётных данных является профиль,
который хранится в общесистемном файле конфигурации krb5.conf в разделе
[libdefaults]. Имя параметра — default_ccache_name. Дополнительные сведения
о формате расширения, определённом krb5.conf, доступны в абзаце о расширении
параметров (PARAMETER EXPANSION) krb5.conf(5).
</para>
<para>
ПРИМЕЧАНИЕ: обратите внимание, что в шаблоне расширения ccache libkrb5 из
<citerefentry> <refentrytitle>krb5.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> используются другие
последовательности расширения, чем в SSSD.
</para>
<para>
По умолчанию: (из libkrb5)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_keytab (строка)</term>
<listitem>
<para>
Расположение таблицы ключей, которую следует использовать при проверке
учётных данных, полученных от KDC.
</para>
<para>
По умолчанию: системная таблица ключей, обычно
<filename>/etc/krb5.keytab</filename>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_store_password_if_offline (логическое значение)</term>
<listitem>
<para>
Сохранять пароль пользователя, если поставщик не в сети, и использовать его
для запроса TGT, когда поставщик снова появляется в сети.
</para>
<para>
ПРИМЕЧАНИЕ: эта возможность доступна только в Linux. Пароли, сохранённые
таким образом, хранятся как простой текст в наборе ключей ядра и
потенциально доступны пользователю root (потребуются некоторые усилия).
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_use_fast (строка)</term>
<listitem>
<para>
Включает защищённое туннелирование гибкой проверки подлинности (FAST) для
предварительной проверки подлинности Kerberos. Поддерживаются следующие
параметры:
</para>
<para>
<emphasis>never</emphasis> — никогда не использовать FAST. Это равнозначно
тому варианту, когда значение этого параметра вообще не указано.
</para>
<para>
<emphasis>try</emphasis> — пытаться использовать FAST. Если сервер не
поддерживает FAST, проверка подлинности будет продолжена без него.
</para>
<para>
<emphasis>demand</emphasis> — требовать использования FAST. Проверка
подлинности будет неудачной, если сервер не требует использования FAST.
</para>
<para>
По умолчанию: не задано, то есть FAST не используется.
</para>
<para>
ПРИМЕЧАНИЕ: для использования FAST необходима таблица ключей или поддержка
анонимного PKINIT.
</para>
<para>
ПРИМЕЧАНИЕ: SSSD поддерживает FAST только для MIT Kerberos версии 1.8 и
выше. Если SSSD используется с более ранней версией MIT Kerberos,
использование этого параметра является ошибкой конфигурации.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_fast_principal (строка)</term>
<listitem>
<para>
Указывает участник-сервер, который следует использовать для FAST.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_fast_use_anonymous_pkinit (логическое значение)</term>
<listitem>
<para>
Если установлено значение «true», попытаться воспользоваться анонимным
PKINIT вместо таблицы ключей для получения необходимых учётных данных для
FAST. В этом случае параметры krb5_fast_principal игнорируются.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_use_kdcinfo (логическое значение)</term>
<listitem>
<para>
Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и
какие KDC нужно использовать. Этот параметр включён по умолчанию. Если
отключить его, потребуется настроить библиотеку Kerberos с помощью файла
конфигурации <citerefentry> <refentrytitle>krb5.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry>.
</para>
<para>
Дополнительные сведения о модуле локатора доступны на справочной странице
<citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle>
<manvolnum>8</manvolnum> </citerefentry>.
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_kdcinfo_lookahead (строка)</term>
<listitem>
<para>
Когда параметр krb5_use_kdcinfo установлен в значение «true», можно
ограничить количество серверов, которые передаются <citerefentry>
<refentrytitle>sssd_krb5_locator_plugin</refentrytitle>
<manvolnum>8</manvolnum> </citerefentry>. Это может быть полезно, когда с
помощью записи SRV обнаруживается слишком много серверов.
</para>
<para>
Параметр krb5_kdcinfo_lookahead содержит два числа, разделённых
двоеточием. Первое число представляет количество используемых основных
серверов, а второе — количество резервных серверов.
</para>
<para>
Например, <emphasis>10:0</emphasis> означает, что <citerefentry>
<refentrytitle>sssd_krb5_locator_plugin</refentrytitle>
<manvolnum>8</manvolnum> </citerefentry> будут переданы 10 основных
серверов, но ни одного резервного сервера.
</para>
<para>
По умолчанию: 3:1
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_use_enterprise_principal (логическое значение)</term>
<listitem>
<para>
Позволяет указать, следует ли обрабатывать участника-пользователя как
участника-предприятие. Дополнительные сведения об участниках-предприятиях
доступны в разделе 5 RFC 6806.
</para>
<para>
По умолчанию: false (поставщик данных AD: true)
</para>
<para>
Поставщик данных IPA установит этот параметр в значение «true», если
определит, что сервер может обрабатывать участников-предприятия, и если этот
параметр не задан в явном виде в файле конфигурации.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_use_subdomain_realm (логическое значение)</term>
<listitem>
<para>
Указывает использовать области поддоменов для проверки подлинности
пользователей из доверенных доменов. Этот параметр можно установить в
значение «true», если участники-предприятия используются с upnSuffixes,
неизвестными KDC родительского домена. Если этот параметр установлен в
значение «true», SSSD будет пытаться отправить запрос напрямую KDC того
доверенного домена, из которого пришёл пользователь.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_map_user (строка)</term>
<listitem>
<para>
Перечень сопоставлений указывается в виде разделённого запятыми списка пар
<quote>username:primary</quote>, где <quote>username</quote> — имя
пользователя UNIX, а <quote>primary</quote> — часть пользователя в записи
участника Kerberos. Это сопоставление задействуется, когда для проверки
подлинности пользователя используется <quote>auth_provider = krb5</quote>.
</para>
<para>
пример: <programlisting>
krb5_realm = REALM
krb5_map_user = joe:juser,dick:richard
</programlisting>
</para>
<para>
<quote>joe</quote> и <quote>dick</quote> — имена пользователей UNIX, а
<quote>juser</quote> и <quote>richard</quote> — основные части участников
Kerberos. Для пользователей <quote>joe</quote> и <quote>dick</quote> SSSD
попытается выполнить kinit как, соответственно, <quote>juser@REALM</quote> и
<quote>richard@REALM</quote>.
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
</variablelist>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" />
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
<refsect1 id='example'>
<title>ПРИМЕР</title>
<para>
В следующем примере предполагается, что конфигурация SSSD корректна и что
FOO — один из доменов в разделе <replaceable>[sssd]</replaceable>. В примере
показана только конфигурация проверки подлинности Kerberos; он не включает
какого-либо поставщика данных идентификации.
</para>
<para>
<programlisting>
[domain/FOO]
auth_provider = krb5
krb5_server = 192.168.1.1
krb5_realm = EXAMPLE.COM
</programlisting>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
</refentry>
</reference>
|
