Section courante

A propos

Section administrative du site

authconfig

Configuration de l'authentification
Linux Externe

Syntaxe

authconfig [options] {--update|--updateall|--test|--probe|--restorebackup name|--savebackup name|--restorelastbackup}

Paramètres

Nom Description
--enableshadow Ce paramètre permet d'activer les mots de passe encodé.
--disableshadow Ce paramètre permet de désactiver les mots de passe encodé.
--enablemd5 Ce paramètre permet d'activer le mot de passe encodé en MD5.
--disablemd5 Ce paramètre permet de désactiver le mot de passe encodé en MD5.
--enablenis Ce paramètre permet d'activer le NIS.
--disablenis Ce paramètre permet de désactiver le NIS.
--nisdomain=domain Ce paramètre permet d'indiquer le domaine NIS spécifié.
--nisserver=server Ce paramètre permet de spécifier le serveur NIS.
--enableldap Ce paramètre permet d'activer le LDAP pour les informations des utilisateurs.
--disableldap Ce paramètre permet de désactiver le LDAP pour les informations des utilisateurs.
--enableldaptls Ce paramètre permet d'activer l'utilisation de TLS avec LDAP.
--disableldaptls Ce paramètre permet de désactiver l'utilisation de TLS avec LDAP.
--enableldapauth Ce paramètre permet d'activer LDAP pour l'authentification.
--disableldapauth Ce paramètre permet de désactiver LDAP pour l'authentification.
--ldapserver=server Ce paramètre permet de définir le serveur LDAP.
--ldapbasedn=dn Ce paramètre permet de définir le DN de base du LDAP.
--enablekrb5 Ce paramètre permet d'activer le Kerberos.
--disablekrb5 Ce paramètre permet de désactiver Kerberos.
--krb5kdc=kdc Ce paramètre permet de définir le KDC du Kerberos.
--krb5adminserver=server Ce paramètre permet de définir le serveur d'administration du Kerberos.
--krb5realm=realm Ce paramètre permet de définir le realm de Kerberos.
--enablekrb5kdcdns Ce paramètre permet d'activer le DNS pour rechercher le KDC dans Kerberos.
--disablekrb5kdcdns Ce paramètre permet de désactiver le DNS pour rechercher le KDC dans Kerberos.
--enablekrb5realmdns Ce paramètre permet d'activer l'utilisation du DNS pour rechercher les realm dans Kerberos.
--disablekrb5realmdns Ce paramètre permet de désactiver l'utilisation du DNS pour rechercher les realm dans Kerberos.
--enablesmbauth Ce paramètre permet d'activer le SMB.
--disablesmbauth Ce paramètre permet de désactiver le SMB.
--smbworkgroup=workgroup Ce paramètre permet de définir le groupe de travail du SMB.
--smbservers=server Ce paramètre permet de définir les serveurs SMB.
--enablewinbind Ce paramètre permet d'activer le winbind pour les informations utilisateur par défaut.
--disablewinbind Ce paramètre permet de désactiver le winbind pour les informations utilisateur par défaut.
--enablewinbindauth Ce paramètre permet d'activer winbindauth pour l'authentification par défaut.
--disablewinbindauth Ce paramètre permet de désactiver winbindauth pour l'authentification par défaut.
--smbsecurity=user|server|domain|ads Ce paramètre permet de définir le mode de sécurité pour Samba et winbind.
--smbrealm=STRING Ce paramètre permet de définir le le realm par défaut pour Samba et winbind quand security=ads.
--smbidmapuid=lowest-highest Ce paramètre permet d'indiquer le rang UID associé avec le domaine ou les utilisateurs ADS.
--smbidmapgid=lowest-highest Ce paramètre permet d'indiquer le rang GID winbind associé avec le domaine ou les utilisateurs ADS.
--winbindseparator=\ Ce paramètre permet d'indiquer le caractère utilisé pour séparé la partie domaine et l'utilisateur dans le nom d'utilisateur du winbind si winbindusedefaultdomain n'est pas activé.
--winbindtemplatehomedir=/home/%D/%U Ce paramètre permet d'indiquer le répertoire où les utilisateurs winbind ont leur dossier «home».
--winbindtemplateprimarygroup=nobody Ce paramètre permet d'indiquer le groupe que les utilisateurs winbind ont comme groupe primaire.
--winbindtemplateshell=/bin/false Ce paramètre permet d'indiquer l'interpréteur de commande que les utilisateurs winbind ont par défaut lorsqu'il se connecte à l'interpréteur de commande.
--enablewinbindusedefaultdomain Ce paramètre permet de configurer winbind afin de supposer que les utilisateurs sans nom de domaine sont des utilisateurs de ce domaine.
--disablewinbindusedefaultdomain Ce paramètre de configurer winbind afin de supposer que les utilisateurs ne sont des utilisateurs de ce domaine.
--winbindjoin=Administrator Ce paramètre permet de rejoindre le domaine winbind ou realm d'ADS maintenant en tant qu'administrateur.
--enablewins Ce paramètre permet d'activer WINS pour la résolution de nom de d'hôte.
--disablewins Ce paramètre permet de désactiver WINS pour la résolution de nom de d'hôte.
--enablehesiod Ce paramètre permet d'activer Hesiod.
--disablehesiod Ce paramètre permet de désactiver Hesiod.
--hesiodlhs=lhs Ce paramètre permet de définir le LHS du Hesiod.
--hesiodrhs=rhs Ce paramètre permet de définir le RHS du Hesiod.
--enablecache Ce paramètre permet d'activer le nscd.
--disablecache Ce paramètre permet désactiver le nscd.
--nostart Ce paramètre permet de ne pas démarrer ou arrêter les services portmap, ypbind ou nscd même s'ils sont configurés.
--kickstart Ce paramètre permet de ne pas afficher l'interface utilisateur.
--probe Ce paramètre permet de sonder et d'afficher les valeurs par défaut du réseau.

Codes de retour

Valeur Description
0 Cette valeur permet d'indiquer le succès de la commande.
2 Cette valeur permet d'indiquer qu'une erreur s'est produit dans la commande.

Description

Cette commande permet d'effectuer la configuration des ressources d'authentification du système. La commande authconfig fournit une méthode simple de configuration de /etc/sysconfig/network pour gérer NIS, ainsi que /etc/passwd et /etc/shadow, les fichiers utilisés pour la prise en charge du mot de passe encrypté. La configuration de base des clients LDAP, Kerberos 5 et Winbind est également fournie.

Si l'action --test est spécifiée, authconfig peut être exécuté par des utilisateurs autres que root, et toutes les modifications de configuration ne sont pas enregistrées mais affichées. Si l'action --update est spécifiée, authconfig doit être exécuté par root (ou via l'aide de la console) et les modifications de configuration sont enregistrées. Seuls les fichiers affectés par les modifications de configuration sont écrasés. Si l'action --updateall est spécifiée, authconfig doit être exécuté par root (ou via l'aide de la console) et tous les fichiers de configuration sont écrits. L'action --probe indique à authconfig d'utiliser le DNS et d'autres moyens pour deviner les informations de configuration de l'hôte actuel, afficher ses suppositions s'il les trouve sur la sortie standard et quitter.

Les actions --restorebackup, --savebackup et --restorelastbackup offrent la possibilité de sauvegarder et de restaurer ultérieurement une sauvegarde des fichiers de configuration modifiés par authconfig. Authconfig enregistre également une sauvegarde automatique des fichiers de configuration avant chaque modification de configuration. Cette sauvegarde spéciale peut être restaurée à l'aide de l'action --restorelastbackup. Si --nostart est spécifié (ce que fait le programme d'installation), ypbind ou d'autres services ne seront ni démarrés ni arrêtés immédiatement après l'exécution du programme, mais uniquement activés pour démarrer ou arrêter au démarrage.

Les paramètres --enablenis, --enableldap, --enablewinbind et --enablehesiod sont utilisées pour configurer les services d'informations utilisateur dans le fichier «/etc/nsswitch.conf», le paramètre «--enablecache» est utilisée pour configurer la mise en cache des services de nommage, et les paramètres --enableshadow, --enableldapauth, --enablekrb5 et --enablewinbindauth sont utilisées pour configurer les fonctions d'authentification via le fichier «/etc/pam.d/system-auth». Chaque paramètre --enable a un paramètre correspondant --disable désactivant le service s'il est déjà activé. Les services respectifs ont des paramètres configurant leurs noms de serveur,...

L'algorithme utilisé pour entreposer les hachages de nouveaux mots de passe peut être spécifié par le paramètre --passalgo prennant l'une des valeurs possibles suivantes en tant que paramètre : «descrypt», «bigcrypt», «md5», «sha256» et «sha512». Le paramètre --enablelocauthorize permet d'ignorer la vérification des services d'authentification réseau pour l'autorisation et le paramètre --enablesysnetauth permet l'authentification des comptes système (avec un identificateur d'utilisateur < 500) par ces services.

Lorsque les paramètres de configuration autorisent l'utilisation de SSSD pour les services d'informations utilisateur et l'authentification, SSSD est automatiquement utilisé à la place des services hérités et la configuration de SSSD est configurée de manière à ce qu'un domaine par défaut soit renseigné avec les paramètres requis pour la connexion aux services. Les paramètres --enablesssd et --enablesssdauth forcent l'ajout de SSSD à «/etc/nsswitch.conf» et à «/etc/pam.d/system-auth», mais elles ne configurent pas le domaine dans les fichiers de configuration SSSD. La configuration SSSD doit être configurée manuellement. La configuration autorisée des services pour SSSD est la suivante : LDAP pour les informations utilisateur (--enableldap) et soit LDAP (--enableldapauth), soit Kerberos (--enablekrb5) pour l'authentification. Si SSSD ne prend pas en charge certaines fonctionnalités des services hérités requises pour la configuration du site, vous pouvez forcer l'utilisation de ces services en définissant «FORCELEGACY=yes» dans «/etc/sysconfig/authconfig». Pour la liste de noms, vous pouvez substituer un nom unique ou une liste de noms séparés par des virgules.

Remarques

Fichiers

Nom Description
/etc/sysconfig/authconfig Ces fichiers sont utilisés pour suivre si des mécanismes d'authentification particuliers sont activés ou non. Inclut actuellement les variables nommées USESHADOW, USEMD5, USEKERBEROS, USELDAPAUTH, USESMBAUTH, USEWINBIND, USEWINBINDAUTH, USEHESIOD, USENIS, USELDAP et les autres.
/etc/passwd
/etc/shadow
Ces fichiers sont utilisés pour supporté les mots de passe encryptés.
/etc/yp.conf Ce fichier contient la configuration pour le support NIS.
/etc/sysconfig/network Ce fichier contient l'autre configuration pour le support NIS.
/etc/ldap.conf
/etc/nss_ldap.conf
/etc/pam_ldap.conf
/etc/nslcd.conf
/etc/openldap/ldap.conf
Ces fichiers sont utilisés pour configuré nss_ldap, pam_ldap, nslcd et la bibliothèque OpenLDAP. Seul les fichiers déjà existant dans le système sont modifiés.
/etc/krb5.conf Ce fichier est utilisé pour configurer Kerberos 5.
/etc/hesiod.conf Ce fichier est utilisé pour configurer Hesiod.
/etc/samba/smb.conf Ce fichier est utilisé pour configurer l'authentification winbind.
/etc/nsswitch.conf Ce fichier est utilisé pour configurer les services de configuration d'informations utilisateur.
/etc/login.defs Ce fichier est utilisé pour les paramètres de configuration des comptes utilisateurs (UID minimum d'un utilisateur normal, mot de passe avec un algorithme haché).
/etc/pam.d/system-auth Ce fichier contient la configuration PAM commune pour les services système lequel est inclus en utilisant une directive d'inclusion. Il est créé en tant que lien symbolique et non pas lié à nouveau s'il pointe vers un autre fichier.
/etc/pam.d/system-auth-ac Ce fichier contient la configuration réelle de PAM pour les services système et constitue la cible par défaut du lien symbolique «/etc/pam.d/system-auth». Si une configuration locale de PAM est créée (et liée symboliquement à partir du fichier system-auth), ce fichier peut y être inclus.

Exemple

L'exemple suivant permet de désactiver l'authentification avec un mot de passe MD5 lors de connexion à distance :

authconfig --disablemd5 --updateall


Dernière mise à jour : Samedi, le 10 novembre 2018