1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<reference>
<title>Сторінки підручника SSSD</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude"
href="include/upstream.xml" />
<refmeta>
<refentrytitle>pam_sss</refentrytitle>
<manvolnum>8</manvolnum>
</refmeta>
<refnamediv id='name'>
<refname>pam_sss</refname>
<refpurpose>модуль PAM для SSSD</refpurpose>
</refnamediv>
<refsynopsisdiv id='synopsis'>
<cmdsynopsis>
<command>pam_sss.so</command> <arg choice='opt'>
<replaceable>quiet</replaceable> </arg> <arg choice='opt'>
<replaceable>forward_pass</replaceable> </arg> <arg choice='opt'>
<replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'>
<replaceable>use_authtok</replaceable> </arg> <arg choice='opt'>
<replaceable>retry=N</replaceable> </arg> <arg choice='opt'>
<replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'>
<replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'>
<replaceable>domains=X</replaceable> </arg> <arg choice='opt'>
<replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'>
<replaceable>prompt_always</replaceable> </arg> <arg choice='opt'>
<replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'>
<replaceable>require_cert_auth</replaceable> </arg></cmdsynopsis>
</refsynopsisdiv>
<refsect1 id='description'>
<title>ОПИС</title>
<para><command>pam_sss.so</command> — інтерфейс PAM до System Security Services
daemon (SSSD). Помилки та результати роботи записуються за допомогою
<command>syslog(3)</command> до запису LOG_AUTHPRIV.</para>
</refsect1>
<refsect1 id='options'>
<title>ПАРАМЕТРИ</title>
<variablelist remap='IP'>
<varlistentry>
<term>
<option>quiet</option>
</term>
<listitem>
<para>Не показувати у журналі повідомлень для невідомих користувачів.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>forward_pass</option>
</term>
<listitem>
<para>Якщо встановлено значення <option>forward_pass</option>, введений пароль
буде збережено у стосі паролів для використання іншими модулями PAM.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>use_first_pass</option>
</term>
<listitem>
<para>Використання аргументу use_first_pass примушує модуль до використання пароля
з модулів попереднього рівня. Ніяких запитів до користувача не
надсилатиметься, — якщо пароль не буде виявлено або пароль виявиться
непридатним, доступ користувачеві буде заборонено.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>use_authtok</option>
</term>
<listitem>
<para>Визначає ситуацію, коли зміна пароля примушує модуль встановлювати новий
пароль на основі пароля, наданого попереднім модулем обробки паролів зі
стосу модулів.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>retry=N</option>
</term>
<listitem>
<para>Якщо вказано, користувача запитуватимуть про пароль ще N разів, якщо перший
раз розпізнавання зазнає невдачі. Типовим значенням є 0.</para>
<para>Будь ласка, зауважте, що цей параметр може працювати не так, як очікується,
якщо програма, яка викликає PAM, має власний обробник діалогових вікон
взаємодії з користувачем. Типовим прикладом є <command>sshd</command> з
<option>PasswordAuthentication</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>ignore_unknown_user</option>
</term>
<listitem>
<para>Якщо вказано цей параметр і облікового запису не існує, модуль PAM поверне
PAM_IGNORE. Це призводить до ігнорування цього модуля оболонкою PAM.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>ignore_authinfo_unavail</option>
</term>
<listitem>
<para>
Визначає, що модуль PAM має повертати PAM_IGNORE, якщо не вдається
встановити зв’язок із фоновою службою SSSD. У результаті набір інструментів
PAM ігнорує цей модуль.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>domains</option>
</term>
<listitem>
<para>
Надає змогу адміністратору обмежити домен певною службою PAM, за допомогою
якої можна буде виконувати розпізнавання. Формат значення: список назв
доменів SSSD, відокремлених комами, так, як їх вказано у файлі sssd.conf.
</para>
<para>
Зауваження: Якщо використовується для служби, яку запущено не від імені
користувача root, наприклад вебсервера, слід використовувати разом із
параметрами «pam_trusted_users» і «pam_public_domains». Будь ласка,
ознайомтеся із сторінкою підручника <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>, щоб дізнатися більше про ці два параметри відповідача PAM.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>allow_missing_name</option>
</term>
<listitem>
<para>
Основним призначенням цього параметра є надання SSSD змоги визначати ім'я
користувача на основі додаткових даних, наприклад сертифіката зі
смарткартки.
</para>
<para>
Поточним основним призначенням є засоби керування входом до системи, які
можуть спостерігати за подіями обробки карток на засобі читання
смарткарток. Щойно буде вставлено смарткартку, засіб керування входом до
системи викличе стос PAM, до якого включено рядок, подібний до <programlisting>
auth sufficient pam_sss.so allow_missing_name
</programlisting> Якщо SSSD спробує визначити ім'я користувача
на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті,
передасть його стосу PAM.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>prompt_always</option>
</term>
<listitem>
<para>
Завжди запитувати у користувача реєстраційні дані. Якщо використано цей
параметр, реєстраційні дані, запит на які надійшов від інших модулів PAM,
типово, пароль, буде проігноровано, а pam_sss надсилатиме запит щодо
реєстраційних даних знову. На основі відповіді на попереднє розпізнавання
від SSSD pam_sss може надіслати запит щодо пароля, пін-коду смарткартки або
інших реєстраційних даних.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>try_cert_auth</option>
</term>
<listitem>
<para>
Спробувати скористатися розпізнаванням на основі сертифікатів, тобто
розпізнаванням за допомогою смарткартки або подібного пристрою. Якщо
доступною є смарткартка і уможливлено розпізнавання за смарткарткою для
служби, система надішле запит щодо пін-коду і буде продовжено процедуру
розпізнавання за сертифікатом.
</para>
<para>
Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом
буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>require_cert_auth</option>
</term>
<listitem>
<para>
Виконати розпізнавання на основі сертифікатів, тобто розпізнавання за
допомогою смарткартки або подібного пристрою. Якщо смарткартка виявиться
недоступною, система попросить користувача вставити її. SSSD чекатиме на
смарткартку, аж доки не завершиться час очікування, визначений переданим
значенням
p11_wait_for_card_timeout.
Див. <citerefentry><refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum></citerefentry>, щоб дізнатися більше.
</para>
<para>
Якщо смарткартка виявиться недоступною на момент завершення часу очікування
або розпізнавання за сертифікатом буде заборонено для поточної служби, буде
повернуто PAM_AUTHINFO_UNAVAIL.
</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id='module_types_provides'>
<title>ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ</title>
<para>Передбачено всі типи модулів (<option>account</option>,
<option>auth</option>, <option>password</option> і
<option>session</option>).
</para>
<para>Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM
є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля
<option>account</option>, щоб уникнути проблем із записами користувачів із
інших джерел під час керування доступом.</para>
</refsect1>
<refsect1 id="return_values">
<title>ПОВЕРНЕНІ ЗНАЧЕННЯ</title>
<variablelist>
<varlistentry>
<term>PAM_SUCCESS</term>
<listitem>
<para>
Дію PAM завершено успішно.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_USER_UNKNOWN</term>
<listitem>
<para>
Користувач є невідомим службі розпізнавання або відповідач PAM SSSD не
запущено.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_AUTH_ERR</term>
<listitem>
<para>
Помилка розпізнавання. Також може бути повернено, якщо виникла проблема із
отриманням сертифіката.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_PERM_DENIED</term>
<listitem>
<para>
Доступ заборонено. Додаткові відомості щодо помилки можуть міститися у
файлах журналів SSSD.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_IGNORE</term>
<listitem>
<para>
Див. параметри <option>ignore_unknown_user</option> і
<option>ignore_authinfo_unavail</option>.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_AUTHTOK_ERR</term>
<listitem>
<para>
Не вдалося отримати новий ключ розпізнавання. Крім того, може бути
повернуто, якщо користувач проходить розпізнавання за допомогою
сертифікатів, доступними є декілька сертифікатів, але у встановленій версії
GDM не передбачено можливості вибору одного з декількох сертифікатів.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_AUTHINFO_UNAVAIL</term>
<listitem>
<para>
Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути
помилка у роботі мережі або обладнання.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_BUF_ERR</term>
<listitem>
<para>
Сталася помилка при роботі з пам'яттю. Також може бути повернуто, якщо було
встановлено параметр use_first_pass або use_authtok, але не було знайдено
пароля у попередньому модулі PAM зі стосу обробки.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_SYSTEM_ERR</term>
<listitem>
<para>
Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть
міститися у файлах журналів SSSD.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_CRED_ERR</term>
<listitem>
<para>
Не вдалося встановити реєстраційні дані користувача.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_CRED_INSUFFICIENT</term>
<listitem>
<para>
У програми немає достатніх реєстраційних даних для розпізнавання
користувача. Наприклад, може не вистачати PIN-коду при розпізнаванні за
смарткарткою або якогось фактора при двофакторному розпізнаванні.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_SERVICE_ERR</term>
<listitem>
<para>
Помилка у службовому модулі.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_NEW_AUTHTOK_REQD</term>
<listitem>
<para>
Строк дії ключа розпізнавання користувача вичерпано.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_ACCT_EXPIRED</term>
<listitem>
<para>
Строк дії облікового запису користувача вичерпано.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_SESSION_ERR</term>
<listitem>
<para>
Не вдалося отримати правила профілю стільниці IPA або дані користувача.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_CRED_UNAVAIL</term>
<listitem>
<para>
Не вдалося отримати реєстраційні дані користувача Kerberos.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_NO_MODULE_DATA</term>
<listitem>
<para>
Kerberos не вдалося знайти метод розпізнавання. Таке може трапитися, якщо із
записом користувача пов'язано смарткартку, але додаток pkint є недоступним
на клієнті.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_CONV_ERR</term>
<listitem>
<para>
Помилка обміну даними.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_AUTHTOK_LOCK_BUSY</term>
<listitem>
<para>
Немає доступних придатних KDC для зміни пароля.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_ABORT</term>
<listitem>
<para>
Невідомий виклик PAM.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_MODULE_UNKNOWN</term>
<listitem>
<para>
Непідтримувана команда або завдання PAM.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>PAM_BAD_ITEM</term>
<listitem>
<para>
Модулю розпізнавання не вдалося обробити реєстраційні дані з смарткартки.
</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id='files'>
<title>ФАЙЛИ</title>
<para>Якщо спроба скидання пароля від імені адміністративного користувача (root)
зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено
скидання паролів, може бути показано певне повідомлення. У цьому
повідомленні, наприклад, можуть міститися настанови щодо скидання пароля.</para>
<para>Текст повідомлення буде прочитано з файла
<filename>pam_sss_pw_reset_message.LOC</filename>, де «LOC» — рядок локалі у
форматі, повернутому <citerefentry>
<refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum>
</citerefentry>. Якщо відповідного файла знайдено не буде, буде показано
вміст файла <filename>pam_sss_pw_reset_message.txt</filename>. Власником
файлів має бути адміністративний користувач (root). Доступ до запису файлів
також повинен мати лише адміністративний користувач. Всім іншим користувачам
може бути надано лише право читання файлів.</para>
<para>Пошук цих файлів виконуватиметься у каталозі
<filename>/etc/sssd/customize/НАЗВА_ДОМЕНУ/</filename>. Якщо відповідний
файл не буде знайдено, буде показано типове повідомлення.</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
</refentry>
</reference>
|
