English Korean
authselect-migration(7) authselect-migration(7)
NAME 이름
authselect-migration - A guide how to migrate from authconfig to authselect. authselect-migration -authconfig에서 authselect까지 이전 방법 안내.
DESCRIPTION 설명
This manual page explains the main differences between authconfig, the previous tool to configure system authentication and identity sources, and authselect which replaces it. It also explains what actions need to be done in order to migrate from authconfig to authselect. 이 설명서는 시스템 인증과 소스를 식별하는 설정에서 이전 도구인 authconfig와 이를 대체하는 authselect 사이에서 주요 차이점을 설명합니다. 이는 또한 authconfig에서 authselect 까지 이전하기 위해서 실행이 필요한 동작과 같은 것을 설명합니다.
MAIN DIFFERENCES 주요 차이점
Authselect takes a completely different approach to system configuration than the previous tool authconfig. Authselect는 이전 도구 authconfig 보다 시스템 설정에 완전히 다른 접근을 가집니다.
Authconfig tries its best to keep users's manual changes to the files it generates. It generates not only PAM configuration files and nsswitch.conf (to setup authentication modules and identity sources) but it also generates simple configuration files for several services such as LDAP and Kerberos. Authconfig는 파일을 발생시키는 사용자 설명서 변화를 유지하기 위해 가장 좋은 시도입니다. 이는 PAM 설정 파일과 nsswithch.conf 뿐만 아니라 발생합니다(인증 모델과 공급원 식별 설정)만 또한 LDAP 및 Kerberos와 같은 여러 서비스를 위하여 단순 설정을 발생시킵니다.
Authselect does no such things. It does not generate any configuration files beside PAM and nsswitch.conf and it strictly prohibits any manual changes to generated configuration. It provides a set of files called profiles. Each profile describes how the resulting configuration should look like and it can be slightly modified by enabling or disabling certain optional features. If a need arises for a different profile than what authselect ships, the administrator has an option to create a whole new profile and use it with authselect. See authselect-profiles(5) to learn more about profiles. authselect는 그런 것들을 하지 않습니다. PAM과 nsswitch.conf외에 다른 설정 파일을 발생시키지 않으며 이는 발생된 설정에 다른 수동 변화를 엄격히 금지합니다. 이 프로파일이라고 불리는 파일 설정을 제공합니다. 각각의 프로파일은 결과 설정이 어떻게 되는지를 설명하고, 이는 특정 선택 기능을 활성화 또는 비활성화에 의해 약간 수정 될 수 있습니다. 만약 요구가 authselect가 제공하는 것보다 다른 프로파일이 필요한 경우에, 관리자는 모든 새로운 프로파일 생성과 authselect를 사용하는 선택을 가지고 있습니다. 프로파일에 대해서 보다 더 알고 싶으면 authselect-profile(5)를 참조하세요.
This may seem like a big disadvantage but the truth is the opposite. Authconfig is a very old tool and the applications providing required services have changed rapidly over the years. Typically, there is no longer a need to have multiple authentication modules in PAM and nsswitch.conf, because the vast majority of use-cases is covered by SSSD. Therefore there is no need to add or remove them specifically. There are also better tools to generate configuration for system daemons that can help you automate the process of joining to a remote domain such as `realm`. In addition, the shipped profiles give us comprehensive and deterministic system configuration that can be fully tested and is much less error prone. It is also much easier to distribute such configuration across many systems. 이는 큰 불이익처럼 보이며 사실과는 다릅니다. Authconfig는 매우 오래된 도구이며 요구되는 서비스를 제공하는 응용프로그램은 근래(몇년 사이)에 빨리 변화하였습니다. 전형적으로, 이는 PAM과 nsswitch.conf에서 다중 인증 모듈을 더 이상 가질 필요가 없습니다, 왜냐하면 SSSD에 의하여 대부분의 사용사례는 처리됩니다. 그러므로 그것들을 특별히 추가하거나 지우거나 할 필요가 없습니다.이는 또한 `realm` 와 같이 원격 도메인에 자동 처리에 참가하는 것을 도울 수 있는 시스템 데몬을 위하여 설정을 생성하는 보다 좋은 도구가 있습니다. 게다가, 이 탑재된 프로파일은 완전히 시험되어졌으며 보다 적은 오류 발생 가능성이 훨씬 적으며 이해 할 수 있고 결정적인 시스템을 환경을 제공합니다. 이는 또한 많은 시스템을 통해 그런 환경을 배분 하는 것을 보다 쉽게 할 수 있습니다.
Probably the most controversial change is that authselect only ships profiles for sssd and winbind providers. Those two providers cover all modern use cases from providing local users and legacy LDAP domain to complex configurations with IPA or Active Directory servers. The profiles no longer contain support for nss-pam-ldapd and users are encouraged to switch to sssd. 아마도 대부분 논쟁의 변화는 authselect가 단지 sssd와 winbind 제공자를 위해 프로파일만 탑재한 것입니다. 그들 두개의 제공자는 로컬 사용자와 기존 LDAP 도메인에서 IPA 또는 동적 디렉토리 서버와 함께 복합 설정까지 모든 최근의 사용 경우를 제공합니다. 이 프로파일은 nss-pam-ldapd를 위한 지원을 더 이상 포함하지 않으며 사용자는 전환을 sssd로 하는 것이 좋습니다.
JOINING REMOTE DOMAINS 원격 도메인 가입
You can use either `ipa-client-install` or `realm` to join an IPA domain and `realm` to join an Active Directory domain. These tools will make sure that the correct authselect profile is selected and all daemons and services are properly configured. 당신은 `ipa-client-install` 또는 IPA 도메인에 참여하는 `realm` 중 하나와 동적 디렉토리 도메인에 참여하는 `realm`을 사용 할 수 있습니다. 이들 도구는 정확한 authselect 프로파일이 선택하는 모든 데몬과 서비스가 적절히 설정되어져 있는 것을 확실히 만들어 줍니다.
CONVERTING YOUR SCRIPTS 당신의 스크립트 변환하기
If you use `ipa-client-install` or `realm` to join a domain, you can just remove any authconfig call in your scripts. If this is not an option, you need to replace each authconfig call with its equivalent authselect call to select a correct profile with desired features. Then you also need to write configuration file for required services. 만약 당신이 도메인에 가입하는데 `ipa-client-install` 또는 `realm`을 사용하면, 당신의 스크립트에서 어떤 authconfig도 제거 할 수 있습니다. 만약 이들 선택을 사용하지 않으면, 당신은 개별 authconfig 호출과 이와 동일한 authselect 호출은 요구한 기능과 함께 정확한 프로파일을 선택에 교체가 필요합니다. 그런 후에 당신은 필요한 서비스를 위하여 설정 파일을 작성이 또한 필요합니다.
Relation of authconfig options to authselect profiles authconfig 선택과 authselect 프로파일과의 관계
|*Authconfig options* |*Authselect profile*
|--enableldap --enableldapauth |sssd
|--enablesssd --enablesssdauth |sssd
|--enablekrb5 |sssd
|--enablewinbind --enablewinbindauth |winbind
|--enablenis |nis
|*Authconfig options* |*Authselect profile*
|--enableldap --enableldapauth |sssd
|--enablesssd --enablesssdauth |sssd
|--enablekrb5 |sssd
|--enablewinbind --enablewinbindauth |winbind
|--enablenis |nis
Relation of authconfig options to authselect profile features authconfig 선택과 authselect 프로파일 기능과의 관계
|*Authconfig options* |*Authselect profile feature*
|--enablesmartcard |with-smartcard
|--enablefingerprint |with-fingerprint
|--enableecryptfs |with-ecryptfs
|--enablemkhomedir |with-mkhomedir
|--enablefaillock |with-faillock
|--enablepamaccess |with-pamaccess
|--enablewinbindkrb5 |with-krb5
|--enableshadow |_none_
|--passalgo |_none_
|*Authconfig options* |*Authselect profile feature*
|--enablesmartcard |with-smartcard
|--enablefingerprint |with-fingerprint
|--enableecryptfs |with-ecryptfs
|--enablemkhomedir |with-mkhomedir
|--enablefaillock |with-faillock
|--enablepamaccess |with-pamaccess
|--enablewinbindkrb5 |with-krb5
|--enableshadow |_none_
|--passalgo |_none_
Authconfig options `--enableshadow` and `--passalgo=sha512` were often used to make sure that passwords are stored in `/etc/shadow` using `sha512` algorithm. *The authselect profiles now use the yescrypt hashing method* and it cannot be changed through an option (only by creating a custom profile). You can just omit these options. Authconfig 선택 `--enableshadow`와 `--passalgo=sah512`는 비밀번호는 `sha512` 알고리즘을 사용하여 `/etc/shadow`에서 저장되어지도록 자주 사용되곤 합니다. *authselect 프로파일은 이제 yescrypt 해쉬 방법을 사용합니다* 그리고 이는 선택(사용자 정의 프로파일 생성에서만)을 통해 변경 될 수 없습니다. 당신은 다만 이들 옵션을 생략 할 수 있습니다.