Provided by: manpages-de_4.15.0-9_all 
BEZEICHNUNG
pam_systemd_home - Automatisches Einhängen von Home-Verzeichnissen, die durch
systemd-homed.service verwaltet sind, und Aushängen beim Abmelden
ÜBERSICHT
pam_systemd_home.so
BESCHREIBUNG
pam_systemd_home stellt sicher, dass durch systemd-homed.service(8) verwaltete
Home-Verzeichnisse bei der Benutzeranmeldung automatisch aktiviert (eingehängt) und bei
der Beendigung der letzten Sitzung des Benutzers deaktiviert (ausgehängt) werden.
OPTIONEN
Die folgenden Optionen werden verstanden:
suspend=
Akzeptiert ein logisches Argument. Falls wahr, wird das Home-Verzeichnis des Benutzers
bei der Systemsuspendierung automatisch suspendiert; falls falsch, wird es aktiv
bleiben. Automatische Suspendierung des Home-Verzeichnisses erhöht die Sicherheit
deutlich, da geheimes Schlüsselmaterial automatisch aus dem Speicher entfernt wird,
bevor das System in den Schlafzustand versetzt wird und neues erlangt werden muss
(mittels Benutzerauthentifizierung), wenn des System aus der Suspendierung
zurückkehrt. Es wird empfohlen, diesen Parameter für alle PAM-Anwendungen zu setzen,
die automatische Reauthentifizierung beim Systemaufwachen unterstützen. Falls mehrere
Sitzungen des gleichen Benutzers parallel offen sind, wird des Home-Verzeichnis des
Benutzers nicht suspendiert, solange mindestens eine dieser Sitzungen den Parameter
nicht auf »on« setzt. Standardmäßig aus.
Beachten Sie, dass TTY-Anmeldungen im Allgemeinen beim Aufwachen keine erneute
Authentifizierung unterstützen. Die erneute Authentifizierung beim Aufwachen des
Systems ist ein Konzept, das primär von graphischen Umgebungen unterstützt wird, bei
denen beim Schlafenlegen automatisch Sperrbildschirme hochgebracht werden. Dies
bedeutet, dass das Home-Verzeichnis beim Suspendieren aufgrund der oben beschriebenen
Logik nicht gesperrt wird, wenn der Benutzer parallel graphische Anmeldungen, die die
benötigte erneute Authentifizierung unterstützen, und Konsole-Anmeldungen, bei denen
dies nicht der Fall ist, verwendet. Trotzdem ist es möglich, dieses Feld auch für
TTY-Anmeldungen zu verwenden und die Tatsache zu ignorieren, dass TTY-Anmeldungen den
Mechanismus der erneuten Authentifizierung nicht unterstützen. In diesem Fall
erscheint die TTY-Sitzung aufgehangen, bis der Benutzer sich in einem anderen
virtuellen Terminal anmeldet (unabhängig davon, ob dies eine andere TTY-Sitzung oder
graphisch erfolgt), wodurch das Home-Verzeichnis wieder aufgeweckt wird und die
Blockade der ursprünglichen TTY-Sitzung aufgehoben wird. (Beachten Sie, dass das
Fehlen von Bildschirmsperren bei TTY-Sitzungen bedeutet, dass Tastenanschläge
weiterhin in die Warteschlange gestellt werden können, obwohl die TTY-Sitzung
aufgehangen erscheint, und die bestehenden Bildschirminhalte ohne erneute
Authentifizierung gelesen werden können; diese Einschränkung steht nicht in Bezug zu
der Verwaltung des Home-Verzeichnisses durch pam_systemd_home und
systemd-homed.service.)
Es wird für alle Sitzungen nachdrücklich empfohlen, diese Option einzuschalten, aber
nur, falls der Dienst, der diese Sitzungen verwaltet, die vorab erwähnte erneute
Authentifizierung korrekt implementiert. Beachten Sie, dass die erneute
Authentifizierung durch eine Komponente stattfinden muss, die außerhalb des Kontextes
des Benutzers läuft, so dass sie keinen Zugriff auf das Home-Verzeichnis für diese
Aktion benötigt. Traditionell implementieren die meisten Desktop-Umgebungen
Bildschirmschoner nicht auf diese Art und müssen entsprechend aktualisiert werden.
Diese Einstellung kann auch mittels der Umgebungsvariable $SYSTEMD_HOME_SUSPEND (siehe
unten) gesteuert werden, die pam_systemd_home während der Initialisierung liest und
für Sitzungen setzt. Falls sowohl die Umgebungsvariable gesetzt als auch der
Modulparameter angegeben ist, hat der Modulparameter Vorrang.
debug[=]
Akzeptiert ein optionales logisches Argument. Falls »yes« oder ohne Argument, wird das
Modul Fehlersuchinformationen beim Betrieb protokollieren.
BEREITGESTELLTE MODULTYPEN
Das Modul stellt alle vier Verwaltungsaktionen bereit: auth, account, session, password.
UMGEBUNGSVARIABLEN
Die folgenden Umgebungsvariablen werden durch das Modul initialisiert und stehen den
Prozessen der Sitzung des Benutzers zur Verfügung:
$SYSTEMD_HOME=1
Zeigt an, dass das Home-Verzeichnis des Benutzers durch systemd-homed.service
verwaltet wird.
$SYSTEMD_HOME_SUSPEND=
Zeigt an, ob die Sitzung mit dem Suspendierungs-Mechanismus aktiviert oder deaktiviert
registriert wurde (siehe oben). Der Wert der Variablen ist entweder »0« oder »1«.
Beachten Sie, dass das Modul sowohl bei der Initialisierung den Wert liest und ihn
dann auch für Sitzungen setzt.
BEISPIEL
Es folgt ein Beispiel-PAM-Konfigurationsfragment, das die Verwendung von durch
systemd-homed.service verwalteten Benutzern bei der Anmeldung erlaubt:
#%PAM-1.0
auth sufficient pam_unix.so
-auth sufficient pam_systemd_home.so
auth required pam_deny.so
account required pam_nologin.so
-account sufficient pam_systemd_home.so
account sufficient pam_unix.so
account required pam_permit.so
-password sufficient pam_systemd_home.so
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok
password required pam_deny.so
-session optional pam_keyinit.so revoke
-session optional pam_loginuid.so
-session optional pam_systemd_home.so
-session optional pam_systemd.so
session required pam_unix.so
SIEHE AUCH
systemd(1), systemd-homed.service(8), homed.conf(5), homectl(1), pam_systemd(8),
pam.conf(5), pam.d(5), pam(8)
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.