Documentation made easier
authselect − selecteert systeemidentiteit en authenticatiebronnen.
authselect [−−debug] [−−trace] [−−warn] commando [commando opties]
Authselect is een gereedschap voor het configureren van systeemidentiteit, authenticatiebronnen en aanbieders door middel van het selecteren van een specifiek profiel. Een profiel is een verzameling van bestanden die beschrijft hoe de resulterende systeemconfiguratie eruit zal zien. Wanneer een profiel is geselecteerd, zal authselect nsswitch.conf en een PAM−stack aanmaken om de identiteits− en authenticatiebronnen te gebruiken die worden gedefinieerd door het profiel.
Als de verschafte verzameling van profielen niet voldoende is, kan de beheerder een aangepast profiel aanmaken door deze in een speciale profielmap (/etc/authselect/custom) te plaatsen. Daarna is het profiel is onmiddellijk te gebruiken door authselect. Zie authselect−profiles(5) voor meer informatie over het uitbreiden van bestaande profielen.
Authselect tast uw bestaande configuratie niet aan, tenzij zij reeds door authselect is gecreëerd. Als u authselect wilt gaan gebruiken om uw systeemauthenticatie te configureren, roept u eerst authselect select aan met de parameter −−force (bijvoorbeeld authselect select sssd −−force). De parameter −−force vertelt authselect dat het in orde is om de bestaande configuratie te overschrijven (zie beschrijving hieronder). Het gebruik van de parameter −−force zal automatisch een back−up van uw huidige configuratie maken. Als u later terug wilt gaan, dan kunt u met het commando authselect backup−restore uw huidige configuratie herstellen (zie beschrijving hieronder).
Om alle beschikbare commando’s te tonen voert u authselect uit zonder parameters. Om hulp voor het geselecteerde commando weer te geven voert u authselect COMMANDO −−help uit.
select profile_id [features] [−f, −−force] [−q, −−quiet] [−b] [−−backup=NAAM]
Activeer het gewenste profiel. Zie profielbeschrijving met show commando, om profielspecifieke optionele functies te tonen.
−−force, −f
Schrijf veranderingen weg, zelfs als de vorige configuratie niet gecreëerd werd door authselect maar door een ander gereedschap of door handmatige veranderingen. Deze optie zal van systeembestanden automatisch een back−up maken voordat de veranderingen weggeschreven worden tenzij de optie −−nobackup meegegeven wordt.
−b
Maak een back−up van systeembestanden voordat het geselecteerde profiel geactiveerd wordt. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd is een unieke tekenreeks en wordt gebruikt als de NAAM van de back−up. Dit is gemakkelijker dan −−backup= gebruiken.
−−backup=NAME
Maak een back−up van systeembestanden voordat het geselecteerde profiel geactiveerd wordt. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. De huidige tijd is een unieke string en wordt als NAAM gebruikt als geen naam opgegeven wordt.
−−nobackup
Maak geen back−up van systeemconfiguratie, zelfs als −−force meegegeven is.
−−quiet, −q
Het commando zal geen enkel bericht ter informatie afdrukken zoals over extra profielvereisten of over een back−uplocatie. Fouten worden wel geprint.
apply−changes [−b] [−−backup=NAAM]
Pas het huidig geselecteerde profiel opnieuw toe. Als de profielsjablonen vernieuwd werden kan dit commando gebruikt worden om de huidige systeemconfiguratie opnieuw te genereren om deze veranderingen toe te passen op het systeem. Dit commando zal de veranderingen alleen opnieuw toepassen als de bestaande configuratie een geldige authselect−configuratie is, anders wordt een fout geretourneerd.
−b
Maak een back−up van systeembestanden voordat wijzigingen worden toegepast. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. Een unieke string met de huidige tijd zal worden gebruikt als NAAM voor de back−up. Dit is eenvoudiger dan −−backup=.
−−backup=NAME
Maak een back−up van systeembestanden voordat wijzigingen worden toegepast. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. Een unieke string met de huidige tijd zal worden gebruikt als NAAM als geen naam is gegeven.
list
Toon de beschikbare profielen.
list−features profile_id
List all features available in given profile. + Note: This will only list the features without any description. Please, read the profile documentation with show to see what the features do.
show profile_id
Druk informatie af over het profiel.
requirements profile_id [features]
Druk informatie af over de profielvereisten.
current [−r, −−raw]
Druk informatie af over de huidige geselecteerde profielen. Als de optie −−raw meegegeven is, zal het commando de parameters afdrukken zoals ze doorgegeven waren aan het select−commando in plaats van als geformatteerde uitvoer.
check
Controleer of de huidige configuratie geldig is (zij is aangemaakt door authselect of er zijn geen restanten van een vorige authselect−configuratie).
test profile_id [opties] [functies]
Druk de inhoud van de bestanden af die werden gegenereerd door authselect zonder daadwerkelijk iets naar de systeemconfiguratie weg te schrijven.
−a, −−all
Druk de inhoud van alle bestanden af.
−n, −−nsswitch
Druk de inhoud van nsswitch.conf af.
−s, −−system−auth
Druk de inhoud van system−auth af.
−p, −−password−auth
Druk de inhoud van password−auth af.
−c, −−smartcard−auth
Druk de inhoud van smartcard−auth af.
−f, −−fingerprint−auth
Druk de inhoud van fingerprint−auth af.
−o, −−postlogin
Druk de inhoud van postlogin af.
−d, −−dconf−db
Druk de inhoud van de dconf−database af.
−l, −−dconf−lock
Druk de inhoud van de dconf−vergrendeling af.
enable−feature functie [−b] [−−backup=NAAM] [−q, −−quiet]
Zet functie aan in de huidige geselecteerde profiel.
−b
Maak een back−up van systeembestanden voordat de functie wordt aangezet. De back−up zal worden opgeslagen in /var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd zal worden gebruikt voor de NAAM van de back−up. Dit is gemakkelijker dan −−backup= gebruiken.
−−backup=NAME
Maak een back−up van systeembestanden voordat de functie wordt aangezet. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd zal worden gebruikt voor NAAM als geen naam is opgegeven.
−−quiet, −q
Het commando zal geen enkel bericht ter informatie afdrukken zoals over extra profielvereisten of over een back−uplocatie. Fouten worden wel geprint.
disable−feature functie [−b] [−−backup=NAAM]
Zet functie uit in de huidige geselecteerde profiel.
−b
Maak een back−up van systeembestanden voordat de functie wordt uitgezet. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd zal worden gebruikt voor de NAAM van de back−up. Dit is gemakkelijker dan −−backup= gebruiken.
−−backup=NAME
Maak een back−up van systeembestanden voordat de functie wordt uitgezet. De back−up zal opgeslagen worden in /var/lib/authselect/backups/NAAM. Een unieke tekenreeks met de huidige tijd zal gebruikt worden als NAAM als geen naam is opgegeven.
create−profile NAAM [−−vendor,−v] [opties]
Maak een nieuw aangepast profiel aan genaamd NAAM. Het profiel kan gebaseerd zijn op een bestaand profiel, in welk geval de nieuwe profielsjablonen ofwel kopieën worden van het basisprofiel ofwel er worden symbolische links naar deze bestanden gecreëerd als zo’n optie gekozen is.
−−vendor,−v
Het nieuwe profiel is een leveranciersprofiel in plaats van een aangepast profiel. Zie authselect−profiles(5) voor meer informatie over profieltypes.
−−base−on=BASE−ID, −b=BASE−ID
Het nieuwe profiel zal gebaseerd worden op een profiel met de naam GRONDSLAG. De locatie van de GRONDSLAG wordt bepaald met de volgen stappen:
1. Als BASE−ID begint met voorvoegsel custom/ dan is het een aangepast profiel.
2. Ga na of GRONDSLAG gevonden kan worden in de leveranciersprofielen.
3. Ga na of GRONDSLAG gevonden kan worden in de standaard profielen.
4. Retourneer een fout.
−−base−on−default
Het basisprofiel is een standaard profiel zelfs als het ook gevonden word in de leveranciersprofielen.
−−symlink−meta
Metabestanden zoals README en REQUIREMENTS zullen symbolische links zijn naar de oorspronkelijke profielbestanden in plaats van hun kopieën.
−−symlink−nsswitch
Een nsswitch.conf−sjabloon zal een symbolische link zijn naar het oorspronkelijke bestand in plaats van een kopie.
−−symlink−pam
PAM−sjablonen zullen symbolische links zijn naar de oorspronkelijke profielbestanden in plaats van een kopie.
−−symlink−dconf
dconf−sjablonen zullen symbolische links zijn naar de oorspronkelijke profielbestanden in plaats van een kopie.
−−symlink=FILE,−s=FILE
Creëer een symbolische link voor een sjabloonbestand BESTAND in plaats van het aanmaken van een kopie. Deze optie kan meerdere keren meegegeven worden.
Deze commando’s kunnen gebruikt worden om back−ups van configuraties te beheren.
backup−list [−r, −−raw]
Druk de beschikbare back−ups af. Als de optie −−raw meegegeven is, dan zal het commando de namen van de back−ups afdrukken zonder formattering of extra informatie.
backup−remove BACK−UP
Verwijder de back−up genaamd BACK−UP definitief.
backup−restore BACK−UP
Herstel de configuratie met back−up BACK−UP. Opmerking: Dit zal de huidige configuratie overschrijven.
Deze opties zijn beschikbaar voor alle commando’s.
−−debug
Druk informatie voor debuggen en foutmeldingen af.
−−trace
Druk informatie af over waar het programma mee bezig is.
−−warn
Druk informatie af over onverwachte situaties die de uitvoering van het programma niet beïnvloeden maar die een indicatie kunnen zijn van ongewenste situaties (bijv. een onverwacht bestand in een profielmap).
Authselect genereert /etc/nsswitch.conf en staat een gebruiker niet toe dit bestand te veranderen. Zulke veranderingen worden gedetecteerd en authselect zal weigeren een systeemconfiguratie vast te leggen, tenzij de optie −−force werd meegegeven aan het select−commando. Dit mechanisme voorkomt dat authselect iets overschrijft dat niet overeenkomt met een beschikbaar profiel.
Elke wijziging in de nsswitch−afbeeldingen die uitgaat van een gebruiker moet plaatsvinden in het bestand /etc/authselect/user−nsswitch.conf. Als authselect een nieuwe nsswitch.conf genereert leest het dit bestand en combineert het met de configuratie van het geselecteerde profiel. De profielconfiguratie heeft altijd voorrang. Met andere woorden, profielen hoeven niet alle nsswitch−afbeeldingen in te stellen maar kunnen alleen die instellen die relevant zijn voor het profiel. Als een afbeelding is ingesteld in een profiel, dan overschrijft het programma altijd dezelfde afbeelding in user−nsswitch.conf.
Voorbeeld 1.
#
"sssd" profile
$ cat /usr/share/authselect/default/sssd/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss {include if
"with−sudo"}
$ cat
/etc/authselect/user−nsswitch.conf
passwd: files sss
group: files sss
hosts: files dns myhostname
sudoers: files
$ authselect select sssd
# passwd en
group−mappen uit user−nsswitch.conf worden
genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
hosts: files dns myhostname
sudoers: files
$ authselect select sssd with−sudo
# passwd, group
en sudoers−afbeeldingen uit user−nsswitch.conf
worden genegeerd
$ cat /etc/nsswitch.conf
passwd: sss files systemd
group: sss files systemd
netgroup: sss files
automount: sss files
services: sss files
sudoers: files sss
hosts: files dns myhostname
Hoe weet ik
of mijn systeem authselect gebruikt?
Om te weten of uw authselect gebruikt typt u authselect
check. De uitvoer zal u vertellen of: (1) u een
configuratie hebt die gegenereerd is door authselect; ( 2) u
een configuratie hebt die niet door authselect gegenereerd
is; (3) u een configuratie hebt die gegenereerd is door
authselect maar die ooit handmatig is gewijzigd.
Moet
nsswitch.conf nu een symbolische link zijn?
Authselect genereert uw systeemconfiguratie helemaal opnieuw
en slaat haar op in /etc/authselect. Systeembestanden worden
dan gecreëerd als symbolische links naar deze map.
Symbolische links worden gebruikt om duidelijk te maken dat
authselect nu uw configuratie beheert en gebruikt moet
worden in plaats van handmatige wijziging.
Fout:
onverwachte wijzigingen in de configuratie zijn
gedetecteerd.
Bijvoorbeeld:
[fout]
[/etc/authselect/nsswitch.conf] bestaat niet!
[fout] [/etc/nsswitch.conf] is geen symbolische link!
[fout] [/etc/nsswitch.conf] is niet aangemaakt door
authselect!
[fout] Onverwachte wijzigingen in de configuratie zijn
gedetecteerd.
[fout] Het profiel activeren wordt geweigerd tenzij die
wijzigingen worden verwijderd of om overschrijven wordt
verzocht.
Dit betekent uw configuratie onbekend is bij authselect en daarom niet zal worden gewijzigd. Om dit te verhelpen, gelieve authselect select aan te roepen met de parameter −−force om aan te geven dat het in orde is om het te overschrijven.
authselect kan de volgende exit−codes retourneren:
• 0: Succes.
• 1: Algemene fout.
• 2: Profiel of configuratie werd niet gevonden of het systeem werd niet geconfigureerd met authselect.
• 3: Huidige configuratie is niet geldig, het werd bewerkt zonder authselect.
• 4: Systeemconfiguratie moet overschreven worden om een profiel van authselect te activeren, de −−force parameter is daarom benodigd.
• 5: Het commando moet uitgevoerd worden door root.
Authselect creëert en onderhoudt de volgende bestanden voor het correct configureren van systeemidentiteit en authenticatieverschaffers.
/etc/nsswitch.conf
Name Service Switch−configuratiebestand.
/etc/pam.d/system−auth
PAM−stack die wordt toegevoegd aan bijna alle configuratiebestanden van diensten.
/etc/pam.d/password−auth, smartcard−auth, fingerprint−auth
Deze PAM−stacks zijn voor toepassingen die authenticatie vanaf verschillende typen van apparaten afhandelen via simultane individuele conversaties in plaats van een samengevoegde conversatie.
/etc/pam.d/postlogin
Het doel van deze PAM−stack is het bieden van een gemeenschappelijke plaats voor alle PAM−modules welke aangeroepen behoren te worden nadat de stack geconfigureerd werd met system−auth of de andere algemene PAM−configuratiebestanden. Hij wordt ingevoegd in alle configuratiebestanden voor de individuele diensten die een inlogdienst bieden voor toegang tot een shell of tot bestanden. OPMERKING: De modules in het postlogin−configuratiebestand worden uitgevoerd onafhankelijk van het succes of het mislukken van de modules in het system−auth−configuratiebestand.
/etc/dconf/db/distro.d/20−authselect
Wijzigingen in de dconf−database. De belangrijkste toepassing van dit bestand is het instellen van wijzigingen van het GNOME inlogscherm voor het aan− of uitzetten van authenticatie met smartcard of vingerafdruk.
/etc/dconf/db/distro.d/locks/20−authselect
Dit bestand definieert vergrendelingen op waarden ingesteld in de dconf−database.
authselect−profiles(5), authselect−migration(7), nsswitch.conf(5), PAM(8)