Arch manual pages

SSSD_KRB5_LOCATOR_PL(8) Сторінки підручника SSSD SSSD_KRB5_LOCATOR_PL(8)

sssd_krb5_locator_plugin - Додаток локатора Kerberos

Для пошуку KDC для вказаної області Kerberos libkrb5 використовує додаток пошуку Kerberos sssd_krb5_locator_plugin. SSSD надає такий додаток для спрямовування усіх клієнтів Kerberos у системі до єдиного KDC. Загалом, немає значення, з яким KDC клієнт обмінюється даними. Втім, бувають випадки, наприклад, після зміни пароля, коли не усі KDC перебувають в одному стані, оскільки нові дані має бути спочатку відтворено на усіх серверах. Щоб уникнути неочікуваних помилок під час розпізнавання або навіть блокування облікових записів, варто примусово обмежувати обмін даними до одного KDC якомога довше.

libkrb5 шукатиме додаток пошуку у підкаталозі libkrb5 каталогу додатків Kerberos, див. plugin_base_dir у krb5.conf(5), щоб дізнатися більше. Додаток можна вимкнути лише вилученням файла додатка. У налаштуваннях Kerberos не передбачено пунктів для його вимикання. Втім, для вимикання додатка для окремих команд можна скористатися змінною середовища SSSD_KRB5_LOCATOR_DISABLE. Крім того, можна скористатися параметром SSSD krb5_use_kdcinfo=False з метою заборони створення даних, які потрібні для роботи додатка. Якщо визначити цю змінну, додаток викликатиметься, але не надаватиме дані функції виклику, отже libkrb5 зможе повернутися до інших методів, які визначено у krb5.conf.

Додаток читає дані щодо KDC вказаної області з файла із назвою kdcinfo.REALM. Цей файл має містити одну або декілька назв DNS або IP-адрес або у форматі чисел, які відокремлено крапками, IPv4, або у шістнадцятковому форматі IPv6. Можна додати необов'язковий номер порту наприкінці, відокремивши його від решти запису двокрапкою. У цьому випадку, як завжди, адресу IPv6 слід взяти у квадратні дужки. Коректними вважаються такі записи:

•kdc.example.com

•kdc.example.com:321

•1.2.3.4

•5.6.7.8:99

•2001:db8:85a3::8a2e:370:7334

•[2001:db8:85a3::8a2e:370:7334]:321

Надавач даних розпізнавання krb5 SSSD, який використовується також надавачами даних IPA та AD, додає до цього файла адресу поточного KDC або контролера домену, який використовує SSSD.

У середовищах із придатними лише для читання або для читання запису KDC, де, як очікується, клієнти використовуватимуть придатні лише для читання екземпляри для виконання загальних завдань і користуватиметься призначеними для запису KDC лише для внесення змін до налаштувань, зокрема зміни паролів, kpasswdinfo.REALM також використовується для визначення придатних до читання і запису KDC. Якщо цей файл існує для вказаної області, його вміст буде використано додатком для надання відповідей на запити щодо сервера kpasswd або kadmin чи щодо певного основного KDC MIT Kerberos. Якщо адреса містить номер порту, для останньої мети використовуватиметься типовий порт KDC 88.

Підтримку використання додатків передбачено не у всіх реалізаціях Kerberos. Якщо у вашій системі немає sssd_krb5_locator_plugin, вам слід внести зміни до /etc/krb5.conf, які відповідатимуть вашій версії Kerberos.

Якщо встановлено будь-яке значення змінної середовища SSSD_KRB5_LOCATOR_DEBUG, діагностичні повідомлення надсилатимуться до stderr.

Якщо встановлено будь-яке значення для змінної середовища SSSD_KRB5_LOCATOR_DISABLE, додаток буде вимкнено і поверне функції виклику лише KRB5_PLUGIN_NO_HANDLE.

Якщо встановлено будь-яке значення змінної середовища SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES, додаток спробує визначити усі назви DNS у файлі kdcinfo. Типово, додаток повертає функції виклику KRB5_PLUGIN_NO_HANDLE негайно після першої ж невдалої спроби визначення DNS.

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
11/04/2019 SSSD