Linux repositories inspector

pam_sss(8) - Español

SSSD
02/28/2020

sssd

System Security Services Daemon -- metapackage

sssd-client

SSSD Client libraries for NSS and PAM

libpam-sss

Pam module for the System Security Services Daemon

NAME

pam_sss - Módulo PAM para SSSD

SYNOPSIS

pam_sss.so [quiet] [forward_pass] [use_first_pass] [use_authtok] [retry=N] [ignore_unknown_user] [ignore_authinfo_unavail] [domains=X] [allow_missing_name] [prompt_always] [try_cert_auth] [require_cert_auth]

DESCRIPCION

pam_sss.so es la interfaz PAM para el demonio Servicios de Seguridad de Sistema (SSSD). Los errores y resultados son registrados a través de syslog(3) con la facilidad LOG_AUTHPRIV.

OPCIONES

quiet
Suprime el registro de mensajes de usuarios desconocidos.
forward_pass
Si forward_pass está fijada el password introducido se pone en la pila para que lo usen otros módulos PAM.
use_first_pass
El argumento use_first_pass fuerza al módulo a usar un módulo de password apilado previamente y nunca preguntará al usuario - si no hay password disponible o el password no es apropiado, se denegará el acceso al usuario.
use_authtok
Cuando cambia el password fuerza al módulo a fijar el nuevo password a uno suministrado por un módulo de password previamente apilado.
retry=N
Si el usuario especificado es preguntado N veces por un password si la autenticación falla. Por defecto es 0.
Por favor advierta que esta opción puede no trabajar como se espera llamando PAM a manejar el diálogo de usuario por el mismo. Un ejecplo típico es sshd con PasswordAuthentication.
ignore_unknown_user
Si se especifica esta opción y el usuario no existe, el módulo PAM devolverá PAM_IGNORE. Esto origina que el marco de referencia PAM ignore este módulo.
ignore_authinfo_unavail
Especifica que el módulo PAM debería devolver PAM_IGNORE si no puede contactar con el demonio SSSD. Esto causa que el marco de referencia PAM ignore este módulo.
domains
Permite al administrador restringir los dominios contra los que un servicio PAM particular puede autenticarse. El formato es una lista separada por comas de nombres de dominio SSSD, como se especifica en el fichero sssd.conf.
AVISO: Se debe usar junto con las opciones \(lqpam_trusted_users\(rq y \(lqpam_public_domains\(rq. Por favor vea la página de manual sssd.conf(5) para mas información sobre estas dos opciones del respondedor PAM.
allow_missing_name
El propósito principal de esta opción es dejar que SSSD determine el nombre de usuario en base a información adicional, e.g. el certificado de una Smartcard.
El caso de uso actual son los administradores de inicio de sesión que pueden monitorear un lector de tarjetas inteligentes para eventos de tarjetas. En el caso de que una Smartcard se inserte el administrador de inicio de sesión llamara a la pila PAM que incluye una línea como
auth sufficient pam_sss.so allow_missing_name

En este caso SSSD intentará determinar el nobre de usuairo en base al contenido de la tarjeta inteligente, se lo devolverá a pam_sss quien finalmente lo pondrá en la pila PAM.
prompt_always
Solicita siempre al usuario las credenciales. Con esta opción las credenciales pedidas por otros módulos PAM, normalmente una contraseña, serán ignoradas y pam_sss solicitará las credenciales otra vez. En base a la respuesta pre autorización de SSSD pam_sss debe solicitar una contraseña, un Smartcard PIN u otras credenciales.
try_cert_auth
Intenta usar autenticación basada en certificado, i.e. autenticación con una tarjeta inteligente o dispositivos similares. Si hay disponible una Smartcard y el servicio tiene permitido la autenticación Smartcard se le pedirá al usuario un PIN y continuará la autenticación basada en certificado
Si no hay Smartcard disponible o la autenticación basada en certificado no está permitida para el servicio actual se devuelve PAM_AUTHINFO_UNAVAIL.
require_cert_auth
Hace la autenticación en base a certificado, i.e. autenticación con Smartcard o dispositivos similares. Si no hay una Smartcard disponible se pedirá al usuario que inserte una. SSSD esperará una Smartcard hasta el tiempo límite definido por p11_wait_for_card_timeout passed, más detalles en sssd.conf(5).
Si no hay Smartcard disponible después del tiempo límite o no está pemitida la autenticación basada en certificado para el servicio actual se devolverá PAM_AUTHINFO_UNAVAIL.

TIPOS DE MÓDULOS SUMINISTRADOS

Todos los tipos de módulos (account, auth, password y session) son suministrados.
Si el respondedor PAM de SSSD no está corriendo, e.g. si el socket respondedor PAM no esta disponible, pam_sss devolverá PAM_USER_UNKNOWN cuando se llame como módulo account para evitar problemas con usuarios de otras fuentes durante el control de acceso.

ARCHIVOS

Si un password se resetea por un fallo de root, como el correspondiente proveedor SSSD no soporta el reseteo de password, se puede mostrar un mensaje individual. Este mensaje puede, por ejemplo, contener instrucciones sobre como resetear un password.
El mensaje se lee desde el fichero pam_sss_pw_reset_message.LOC donde LOC destaca una cadena de lugar devuelta por setlocale(3). Si no hay fichero coincidente se muestra el contenido de pam_sss_pw_reset_message.txt. Root debe ser el propietario de los ficheros y sólo root puede tener permisos de lectura y escritura mientras que todos los demás usuarios sólo tienen permisos de lectura.
Estos ficheros son buscados en el directorio /etc/sssd/customize/DOMAIN_NAME/. Si no hay archivos coincidentes se muestra un mensaje genérico.

AUTHORS

The SSSD upstream - https://pagure.io/SSSD/sssd/
⇧ Top