GSP
Quick Navigator
Search Site

Unix VPS
A - Starter
B - Basic
C - Preferred
D - Commercial
MPS - Dedicated
Previous VPSs
* Sign Up! *

Support
Contact Us
Online Help
Handbooks
Domain Status
Man Pages

FAQ
Virtual Servers
Pricing
Billing
Technical

Network
Facilities
Connectivity
Topology Map

Miscellaneous
Server Agreement
Year 2038
Credits
 

USA Flag

 

 

Man Pages
SSSD-KCM(8) Формати файлів та правила SSSD-KCM(8)

sssd-kcm - Керування кешем Kerberos SSSD

На цій сторінці підручника описано налаштування засобу керування кешем Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT також надається підтримка з боку клієнта для кешу реєстраційних даних KCM (докладніше про це нижче).

У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово використовується за допомогою якоїсь програми, наприклад kinit(1)) є “клієнтом KCM”, а фонова служба KCM вважається “сервером KCM”. Клієнт і сервер обмінюються даними за допомогою сокета UNIX.

Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має доступ до усіх кешів реєстраційних даних.

Кеш реєстраційних даних KCM має декілька цікавих властивостей:

•оскільки процес виконується у просторі користувача, він підлягає обмеженням за простором назв UID, на відміну від набору ключів ядра

•на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX

•реалізація у SSSD зберігає ccache-і у сховищі реєстраційних даних sssd-secrets(5) SSSD, що надає змогу ccache-ам переживати перезапуски сервера KCM та перезавантаження комп'ютера.

Це надає змогу системі використовувати кеш реєстраційних даних із врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних даних для декількох контейнерів або без контейнерів взагалі шляхом прив'язування-монтування сокета.

Для використання кешу реєстраційних даних KCM його слід вибрати стандартним типом реєстраційних даних у krb5.conf(5). Назвою кешу реєстраційних даних має бути лише “KCM:” без будь-яких розширень шаблонами. Приклад: 

[libdefaults]
    default_ccache_name = KCM:

Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий шлях /var/run/.heim_org.h5l.kcm-socket. Для налаштовування бібліотеки Kerberos змініть значення її параметра “kcm_socket”, як це описано на сторінці підручника krb5.conf(5).

Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити зв'язок. Типово, служба KCM вмикається за допомогою сокета з systemd(1). На відміну від інших служб SSSD, її не можна запустити додаванням рядка “kcm” до інструкції “service”.

systemctl start sssd-kcm.socket
systemctl enable sssd-kcm.socket

Будь ласка, зауважте, що відповідні налаштування модулів вже могло бути виконано засобами вашого дистрибутива.

Кеші реєстраційних даних зберігаються у сховищі служби реєстраційних даних SSSD (докладніший опис наведено на сторінці підручника sssd-secrets(5)). Тому важливо, щоб було увімкнено службу sssd-secrets, а її сокет був доступним: 

systemctl start sssd-secrets.socket
systemctl enable sssd-secrets.socket

Відповідні залежності між цими службами вже мало бути встановлено засобами вашого дистрибутива.

Налаштовування служби KCM виконується за допомогою розділу “kcm” файла sssd.conf. Будь ласка, зауважте, що у поточній версії для застосування налаштувань перезапуску служби sssd-kcm недостатньо, оскільки обробка і читання налаштувань sssd до внутрішньої бази даних налаштувань виконується лише самою службою sssd. Тому вам слід перезапустити вашу службу sssd, якщо ви щось змінили у розділі “kcm” файла sssd.conf. Докладний опис синтаксису файла налаштувань наведено у розділі “ФОРМАТ ФАЙЛА” сторінки підручника sssd.conf(5).

Службі kcm можна передавати типові параметри служби SSSD, зокрема “debug_level” та “fd_limit” Із повним списком параметрів можна ознайомитися на сторінці підручника sssd.conf(5). Крім того, передбачено декілька специфічних для KCM параметрів.

socket_path (рядок)

Сокет, на якому очікуватиме на з'єднання служба KCM.

Типове значення: /var/run/.heim_org.h5l.kcm-socket

sssd(8), sssd.conf(5),

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
05/26/2022 SSSD
Search for    or go to Top of page |  Section 8 |  Main Index

Powered by GSP Visit the GSP FreeBSD Man Page Interface.
Output converted with ManDoc.