"Fossies" - the Fresh Open Source Software Archive

Member "sssd-2.4.2/src/man/uk/sssd-kcm.8.xml" (19 Feb 2021, 13998 Bytes) of package /linux/misc/sssd-2.4.2.tar.gz:


As a special service "Fossies" has tried to format the requested source page into HTML format using (guessed) XML source code syntax highlighting (style: standard) with prefixed line numbers. Alternatively you can here view or download the uninterpreted source code file. See also the latest Fossies "Diffs" side-by-side code changes report for "sssd-kcm.8.xml": 2.4.1_vs_2.4.2.

    1 <?xml version="1.0" encoding="UTF-8"?>
    2 <!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
    3 "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
    4 <reference>
    5 <title>Сторінки підручника SSSD</title>
    6 <refentry>
    7     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
    8 
    9     <refmeta>
   10         <refentrytitle>sssd-kcm</refentrytitle>
   11         <manvolnum>8</manvolnum>
   12         <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo>
   13     </refmeta>
   14 
   15     <refnamediv id='name'>
   16         <refname>sssd-kcm</refname>
   17         <refpurpose>Керування кешем Kerberos SSSD</refpurpose>
   18     </refnamediv>
   19 
   20     <refsect1 id='description'>
   21         <title>ОПИС</title>
   22         <para>
   23             На цій сторінці підручника описано налаштування засобу керування кешем
   24 Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який
   25 зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення
   26 засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT
   27 також надається підтримка з боку клієнта для кешу реєстраційних даних KCM
   28 (докладніше про це нижче).
   29         </para>
   30         <para>
   31             У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово
   32 використовується за допомогою якоїсь програми, наприклад <citerefentry>
   33 <refentrytitle>kinit</refentrytitle><manvolnum>1</manvolnum>
   34 </citerefentry>) є <quote>клієнтом KCM</quote>, а фонова служба KCM
   35 вважається <quote>сервером KCM</quote>. Клієнт і сервер обмінюються даними
   36 за допомогою сокета UNIX.
   37         </para>
   38         <para>
   39             Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує
   40 перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має
   41 доступ до усіх кешів реєстраційних даних.
   42         </para>
   43         <para>
   44             Кеш реєстраційних даних KCM має декілька цікавих властивостей:
   45             <itemizedlist>
   46                 <listitem>
   47                     <para>
   48                         оскільки процес виконується у просторі користувача, він підлягає обмеженням
   49 за простором назв UID, на відміну від набору ключів ядра
   50                     </para>
   51                 </listitem>
   52                 <listitem>
   53                     <para>
   54                         на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх
   55 контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX
   56                     </para>
   57                 </listitem>
   58                 <listitem>
   59                     <para>
   60                         реалізація у SSSD зберігає дані ccache у базі даних, файл якої типово
   61 називається <replaceable>/var/lib/sss/secrets</replaceable>. За допомогою
   62 цього файла ccache зберігаються протягом періодів перезапуску сервера KCM
   63 або перезавантаження комп'ютера.
   64                     </para>
   65                 </listitem>
   66             </itemizedlist>
   67             Це надає змогу системі використовувати кеш реєстраційних даних із
   68 врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних
   69 даних для декількох контейнерів або без контейнерів взагалі шляхом
   70 прив'язування-монтування сокета.
   71         </para>
   72         <para>
   73             The KCM default client idle timeout is 5 minutes, this allows more time for
   74 user interaction with command line tools such as kinit.
   75         </para>
   76     </refsect1>
   77 
   78     <refsect1 id='usage'>
   79         <title>КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM</title>
   80         <para>
   81             Для використання кешу реєстраційних даних KCM його слід вибрати стандартним
   82 типом реєстраційних даних у <citerefentry>
   83 <refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum>
   84 </citerefentry>. Назвою кешу реєстраційних даних має бути лише
   85 <quote>KCM:</quote> без будь-яких розширень шаблонами. Приклад: <programlisting>
   86 [libdefaults]
   87     default_ccache_name = KCM:
   88             </programlisting>
   89         </para>
   90         <para>
   91             Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек
   92 Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий
   93 шлях <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>. Для
   94 налаштовування бібліотеки Kerberos змініть значення її параметра
   95 <quote>kcm_socket</quote>, як це описано на сторінці підручника
   96 <citerefentry>
   97 <refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum>
   98 </citerefentry>.
   99         </para>
  100         <para>
  101             Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити
  102 зв'язок. Типово, служба KCM вмикається за допомогою сокета з <citerefentry>
  103 <refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum>
  104 </citerefentry>. На відміну від інших служб SSSD, її не можна запустити
  105 додаванням рядка <quote>kcm</quote> до інструкції <quote>service</quote>.
  106 <programlisting>
  107 systemctl start sssd-kcm.socket
  108 systemctl enable sssd-kcm.socket
  109             </programlisting> Будь ласка, зауважте, що
  110 відповідні налаштування модулів вже могло бути виконано засобами вашого
  111 дистрибутива.
  112         </para>
  113     </refsect1>
  114 
  115     <refsect1 id='storage'>
  116         <title>СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ</title>
  117         <para>
  118             Кеші реєстраційних даних зберігаються у базі даних, дуже подібно до кешів
  119 записів користувачів і груп SSSD. Типово, база даних зберігається у
  120 <quote>/var/lib/sss/secrets</quote>.
  121         </para>
  122     </refsect1>
  123 
  124     <refsect1 id='debugging'>
  125         <title>ОТРИМАННЯ ДІАГНОСТИЧНОГО ЖУРНАЛУ</title>
  126         <para>
  127             Типово, служба sssd-kcm активує крізь сокет <citerefentry>
  128 <refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum>
  129 </citerefentry>. Для створення діагностичних журналів додайте вказані нижче
  130 рядки або безпосередньо до файла <filename>/etc/sssd/sssd.conf</filename>,
  131 або як фрагмент налаштувань до каталогу
  132 <filename>/etc/sssd/conf.d/</filename>: <programlisting>
  133 [kcm]
  134 debug_level = 10
  135             </programlisting> Далі, перезапустіть службу sssd-kcm: <programlisting>
  136 systemctl restart sssd-kcm.service
  137             </programlisting> Нарешті, виконайте дії, які не призводять до
  138 бажаних для вас наслідків. Журнал KCM буде записано до
  139 <filename>/var/log/sssd/sssd_kcm.log</filename>. Рекомендуємо вимкнути
  140 ведення діагностичного журналу, якщо вам не потрібні діагностичні дані,
  141 оскільки служба sssd-kcm може породжувати доволі великий обсяг діагностичних
  142 даних.
  143         </para>
  144         <para>
  145             Будь ласка, зауважте, що у поточній версії фрагменти налаштувань буде
  146 оброблено, лише якщо взагалі існує основний файл налаштувань
  147 <filename>/etc/sssd/sssd.conf</filename>.
  148         </para>
  149     </refsect1>
  150 
  151     <refsect1 id='options'>
  152         <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title>
  153         <para>
  154             Налаштовування служби KCM виконується за допомогою розділу
  155 <quote>kcm</quote> файла sssd.conf. Будь ласка, зауважте, що оскільки
  156 активація служби KCM, зазвичай, відбувається за допомогою сокетів, після
  157 внесення змін до розділу <quote>kcm</quote> файла sssd.conf достатньо
  158 перезапустити службу <quote>sssd-kcm</quote>: <programlisting>
  159 systemctl restart sssd-kcm.service
  160             </programlisting>
  161         </para>
  162         <para>
  163             Налаштування служби KCM виконують за допомогою <quote>kcm</quote>. Докладний
  164 опис синтаксичних конструкцій налаштувань наведено у розділі <quote>ФОРМАТ
  165 ФАЙЛА</quote> сторінки підручника щодо <citerefentry>
  166 <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
  167 </citerefentry>.
  168         </para>
  169         <para>
  170             Службі kcm можна передавати типові параметри служби SSSD, зокрема
  171 <quote>debug_level</quote> та <quote>fd_limit</quote> Із повним списком
  172 параметрів можна ознайомитися на сторінці підручника <citerefentry>
  173 <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
  174 </citerefentry>. Крім того, передбачено декілька специфічних для KCM
  175 параметрів.
  176         </para>
  177         <variablelist>
  178             <varlistentry>
  179                 <term>socket_path (рядок)</term>
  180                 <listitem>
  181                     <para>
  182                         Сокет, на якому очікуватиме на з'єднання служба KCM.
  183                     </para>
  184                     <para>
  185                         Типове значення:
  186 <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>
  187                     </para>
  188                     <para>
  189                         <phrase condition="have_systemd"> Note: on platforms where systemd is
  190 supported, the socket path is overwritten by the one defined in the
  191 sssd-kcm.socket unit file.  </phrase>
  192                     </para>
  193                 </listitem>
  194             </varlistentry>
  195             <varlistentry>
  196                 <term>max_ccaches (ціле число)</term>
  197                 <listitem>
  198                     <para>
  199                         Скільки кешів реєстраційних може мати даних база даних KCM для усіх
  200 користувачів.
  201                     </para>
  202                     <para>
  203                         Типове значення: 0 (без обмежень, застосовується лише квота на кількість
  204 кешів на UID)
  205                     </para>
  206                 </listitem>
  207             </varlistentry>
  208             <varlistentry>
  209                 <term>max_uid_ccaches (ціле число)</term>
  210                 <listitem>
  211                     <para>
  212                         Скільки кешів реєстраційних може мати даних база даних KCM для окремого
  213 UID. Еквівалент значення <quote>кількість реєстраційних даних, які можна
  214 ініціювати за допомогою kinit</quote>.
  215                     </para>
  216                     <para>
  217                         Типове значення: 64
  218                     </para>
  219                 </listitem>
  220             </varlistentry>
  221             <varlistentry>
  222                 <term>max_ccache_size (ціле число)</term>
  223                 <listitem>
  224                     <para>
  225                         Наскільки великим може бути кеш реєстраційних даних окремого ccache. Ця
  226 квота обчислюється для усіх квитків служб разом.
  227                     </para>
  228                     <para>
  229                         Типове значення: 65536
  230                     </para>
  231                 </listitem>
  232             </varlistentry>
  233         </variablelist>
  234     </refsect1>
  235 
  236     <refsect1 id='see_also'>
  237         <title>ТАКОЖ ПЕРЕГЛЯНЬТЕ</title>
  238         <para>
  239             <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum>
  240 </citerefentry>, <citerefentry>
  241 <refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum>
  242 </citerefentry>,
  243         </para>
  244     </refsect1>
  245 </refentry>
  246 </reference>