1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.5//EN"
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd">
<reference>
<title>SSSD manualsidor</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
<refmeta>
<refentrytitle>sssd-kcm</refentrytitle>
<manvolnum>8</manvolnum>
<refmiscinfo class="manual">Filformat och konventioner</refmiscinfo>
</refmeta>
<refnamediv id='name'>
<refname>sssd-kcm</refname>
<refpurpose>SSSD Kerberos cache-hanterare</refpurpose>
</refnamediv>
<refsect1 id='description'>
<title>BESKRIVNING</title>
<para>
Denna manualsida beskriver konfigurationen av SSSD:s Kerberos
cache-hanterare (KCM). KCM är en process som lagrar, spårar och hanterar
Kerberoskreditiv-cachar. Det kommer från projektet Heimdal Kerberos, fast
biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer
detaljer om det nedan) av KCM-kreditiv-cachen.
</para>
<para>
I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket
(typiskt använt via ett program, som t.ex., <citerefentry>
<refentrytitle>kinit</refentrytitle><manvolnum>1</manvolnum>
</citerefentry>, en <quote>”KCM-klient"</quote> och KCMdemonen refereras
till som en <quote>”KCM-server"</quote>. Klienten och servern kommunicerar
via ett UNIX-uttag.
</para>
<para>
KCM-servern håller reda på ägaren till varje kreditiv-cache och utför
åtkomstkontroller baserat på AID:t och GID:t på KCM-klienten.
Root-användaren har åtkomst till alla kreditiv-cachar.
</para>
<para>
KCM-kreditiv-cachen har flera intressanta egenskaper:
<itemizedlist>
<listitem>
<para>
eftersom processen kör i användarrymden är den föremål för AID-namnrymder,
till skillnad mot kärnans nyckelring
</para>
</listitem>
<listitem>
<para>
till skillnad mot kärnans nyckelringsbaserade cache, som delas mellan alla
behållare, är KCM-servern en separat process vars ingångspunkt är ett
UNIX-uttag
</para>
</listitem>
<listitem>
<para>
SSSD-implementationen sparar ccache:rna i en databas, vanligen placerad i
<replaceable>/var/lib/sss/secrets</replaceable>, vilket gör att ccache:rna
kan överleva att KCM-servern eller hela maskinen startas om.
</para>
</listitem>
</itemizedlist>
Detta gör att systemet kan använda en samlingsmedveten kreditiv-cache, och
ändå dela kreditivcachen mellan några eller inga behållare genom
bindmontering av uttaget.
</para>
<para>
KCM-standardklientens tidsgräns för inaktivitet är 5 minuter, detta ger mer
tid för användarinteraktion med kommandoradsverktyg såsom kinit.
</para>
</refsect1>
<refsect1 id='usage'>
<title>ATT ANVÄNDA KCM-KREDITIV-CACHEN</title>
<para>
För att använda KCM-kreditiv-cachen måste den väljas som
standardkreditivtypen i <citerefentry>
<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum>
</citerefentry>. Kreditiv-cachens namn skall bara vara <quote>KCM:</quote>
utan några mallexpansioner. Till exempel: <programlisting>
[libdefaults]
default_ccache_name = KCM:
</programlisting>
</para>
<para>
Se därefter till att Kerberos-klientbiblioteken och KCM-servern är överens
om sökvägen till UNIX-uttaget. Som standard använder båda samma sökväg
<replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>. För att
konfigurera Kerberos-biblioteket, ändra dess alternativ
<quote>kcm_socket</quote> som beskrivs i manualsidan <citerefentry>
<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum>
</citerefentry>.
</para>
<para>
Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjänsten är
normalt uttagsaktiverad av <citerefentry>
<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum>
</citerefentry>. Till skillnad mot andra SSSD-tjänster kan den inte startas
genom att lägga till strängen <quote>kcm</quote> till direktivet
<quote>service</quote>. <programlisting>
systemctl start sssd-kcm.socket
systemctl enable sssd-kcm.socket
</programlisting>
Observera att din distribution kanske redan konfigurerar enheterna åt dig.
</para>
</refsect1>
<refsect1 id='storage'>
<title>KREDITIV-CACHE-LAGRINGEN</title>
<para>
Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar användar-
eller grupposter. Databasen finns normalt i
<quote>/var/lib/sss/secrets</quote>.
</para>
</refsect1>
<refsect1 id='debugging'>
<title>ATT FÅ TAG I FELSÖKNINGSLOGGAR</title>
<para>
Tjänsten sssd-kcm är normalt uttagsaktiverad av <citerefentry>
<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum>
</citerefentry>. För att skapa felsökningsloggar, lägg till följande
antingen direkt till filen <filename>/etc/sssd/sssd.conf</filename> eller
som en konfigurationssnutt till katalogen
<filename>/etc/sssd/conf.d/</filename>: <programlisting>
[kcm]
debug_level = 10
</programlisting> Starta sedan om tjänsten sssd-kcm: <programlisting>
systemctl restart sssd-kcm.service
</programlisting> Kör slutligen det användningsfall som inte
fungerar. KCM-loggarna kommer skapas i
<filename>/var/log/sssd/sssd_kcm.log</filename>. Det rekommenderas att
avaktivera felsökningsloggarna när man inte längre behöver informationen
aktiverad eftersom tjänsten sssd-kcm kan skapa en ganska stor mängd
felsökningsinformation.
</para>
<para>
Observera att konfigurationssnuttar för närvarande endast behandlas om
huvudkonfigurationsfilen på <filename>/etc/sssd/sssd.conf</filename> över
huvud taget finns.
</para>
</refsect1>
<refsect1 id='renewals' condition="enable_kcm_renewal">
<title>FÖRNYELSER</title>
<para>
Tjänsten sssd-kcm kan konfigureras till att försöka göra TGT-förnyelser med
förnybara TGT:er lagrade i KCM-ccachen. Förnyelseförsök görs bara när halva
biljettens livstid har uppnåtts. KCM-förnyelser konfigureras när följande
alternativ sätts i sektionen [kcm]: <programlisting>
tgt_renewal = true
krb5_renew_interval = 60m
</programlisting>
</para>
<para>
SSSD kan även ärva krb5-alternativ för förnyelser från en befintlig domän.
</para>
<programlisting>
tgt_renewal = true
tgt_renewal_inherit = domännamn
</programlisting>
<para>
Följande krb5-alternativ kan konfigureras i sektionen [kcm] för att styra
förnyelsebeteendet, dessa alternativ beskrivs i detalj nedan <programlisting>
krb5_renew_interval
krb5_renewable_lifetime
krb5_lifetime
krb5_validate
krb5_canonicalize
krb5_auth_timeout
</programlisting>
</para>
</refsect1>
<refsect1 id='options'>
<title>KONFIGURATIONSALTERNATIV</title>
<para>
Tjänsten KCM är konfigurerad i sektionen <quote>kcm</quote> av filen
sssd.conf. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är
det tillräckligt att bara starta om tjänsten <quote>sssd-kcm</quote> efter
att ha ändrat flaggorna i sektionen <quote>kcm</quote> av sssd.conf:
<programlisting>
systemctl restart sssd-kcm.service
</programlisting>
</para>
<para>
Tjänsten KCM konfigureras i <quote>kcm</quote> För en detaljeras
syntaxreferens, se avsnittet <quote>FILFORMAT</quote> i manualsidan
<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry>.
</para>
<para>
De allmänna alternativen för tjänsten SSSD såsom <quote>debug_level</quote>
eller <quote>fd_limit</quote> accepteras av tjänsten kcm. Se manualsidan
<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> för en fullständig lista. Dessutom
finns det några KCM-specifika alternativ också.
</para>
<variablelist>
<varlistentry>
<term>socket_path (sträng)</term>
<listitem>
<para>
Uttaget tjänsten KCM kommer lyssna på.
</para>
<para>
Standard: <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>
</para>
<para>
<phrase condition="have_systemd"> Observera: på plattformar där systemd
stödjs skrivs uttagssökvägen över av den som definieras i enhetsfilen
sssd-kcm.socket. </phrase>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>max_ccaches (heltal)</term>
<listitem>
<para>
Hur många kreditivcacher KCM-databasen tillåter för alla användare.
</para>
<para>
Standard: 0 (obegränsad, endast kvot per AID upprätthålls)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>max_uid_ccaches (heltal)</term>
<listitem>
<para>
Hur många kreditiv-cachningar KCM-databasen tillåter per AID. Detta är
ekvivalent med <quote>med hur många huvudmän man kan kinit:a</quote>.
</para>
<para>
Standard: 64
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>max_ccache_size (heltal)</term>
<listitem>
<para>
Hor stor kan en kreditivcach vara per ccache. Varje tjänsteärende räknas in
i denna kvot.
</para>
<para>
Standard: 65536
</para>
</listitem>
</varlistentry>
<varlistentry condition="enable_kcm_renewal">
<term>tgt_renewal (bool)</term>
<listitem>
<para>
Aktiverar TGT-förnyelsefunktionalitet.
</para>
<para>
Standard: False (Automatiska förnyelser avaktiverade)
</para>
</listitem>
</varlistentry>
<varlistentry condition="enable_kcm_renewal">
<term>tgt_renewal_inherit (sträng)</term>
<listitem>
<para>
Domän att ärva krb5_*-alternativ ifrån, att användas med TGT-förnyelser.
</para>
<para>
Standard: NULL
</para>
</listitem>
</varlistentry>
</variablelist>
<xi:include condition="enable_kcm_renewal" xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" />
</refsect1>
<refsect1 id='see_also'>
<title>SE ÄVEN</title>
<para>
<citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum>
</citerefentry>, <citerefentry>
<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum>
</citerefentry>,
</para>
</refsect1>
</refentry>
</reference>
|
