Provided by: manpages-de_4.21.0-2_all bug

BEZEICHNUNG

       nss-systemd, libnss_systemd.so.2 - UNIX-Benutzer- und -Gruppennamensauflösung zum
       Nachschlagen von Benutzern/Gruppen mittels Varlink

ÜBERSICHT

       libnss_systemd.so.2

BESCHREIBUNG

       nss-systemd ist ein Erweiterungsmodul für die GNU »Name Service Switch«
       (NSS)-Funktionalität der GNU-C-Bibliothek (glibc). Es stellt eine UNIX-Benutzer- und
       -Gruppennamensauflösung für Dienste bereit, die das Nachschlagen von
       Benutzern-/Gruppendatensätzen mittels Varlink[1] implementieren (für seine Funktionalität
       DynamicUser=, siehe systemd.exec(5) für Details), systemd-homed.service(8) oder
       systemd-machined.service(8).

       Dieses Modul stellt auch sicher, dass die Benutzer und Gruppen »root« und »nobody« (d.h.
       die Benutzer/Gruppen mit den UIDs/GIDs 0 und 65534) zu allen Zeiten aufgelöst werden
       können, selbst wenn sie in /etc/passwd oder /etc/group nicht aufgeführt sind oder diese
       Dateien fehlen.

       Dieses Modul verwendet bevorzugt systemd-userdbd.service(8) zur Auflösung von Benutzern
       und Gruppen, funktioniert aber auch, wenn dieser Dienst nicht läuft.

       Um das NSS-Modul zu aktivieren, fügen Sie »systemd« zu den mit »passwd:«, »group:«,
       »shadow:« und »gshadow:« in /etc/nsswitch.conf beginnenden Zeilen hinzu.

       Es wird empfohlen, »systemd« nach dem »files«-Eintrag in den /etc/nsswitch.conf-Zeilen
       abzulegen, um sicherzustellen, dass /etc/passwd-, /etc/group-, /etc/shadow- und
       /etc/gshadow-basierte Abbildungen Vorrang haben.

STATISCHE ERGÄNZUNGS-JSON-BENUTZER/GRUPPEN-DATENSÄTZE

       Neben den Benutzer-/Gruppendatensätzen, die über die vorgenannten
       Varlink-IPC-Schnittstellen erlangt werden und die synthetisierten Konten von root und
       nobodoy, stellt dieses Modul auch Benutzer- und Gruppenkonten dem System zur Verfügung,
       die in statischen Ergänzungsdateien in den Verzeichnissen /etc/userdb/, /run/userdb/,
       /run/host/userdb/ und /usr/lib/userdb/ definiert sind.

       Dies ist ein einfacher Mechanismus, statische Benutzer- und Gruppendatensätze mittels
       JSON-Ergänzungsdateien bereitzustellen. Solche Benutzerdatensätze sollten in dem in der
       Spezifikation JSON-Benutzerdatensätze[2] beschriebenen Format bereitgestellt werden und in
       eines der vorgenannten Verzeichnisse unter einem Dateinamen abgelegt werden, der aus dem
       Benutzernamen mit angehängtem .user besteht; die Datei sollte für alle lesbar sein. Es
       sollte auch ein Symlink, der nach der UID des Benutzerdatensatzes benannt, dezimal
       formatiert und mit angehängtem .user versehen ist, erstellt werden, der auf die primäre
       Datensatzdatei zeigt, um Nachschlagen nach sowohl dem Benutzer als auch der UID zu
       ermöglichen. Es können optional auch privilegierte Benutzerdaten (z.B. gehashte
       UNIX-Passwörter) bereitgestellt werden und zwar als Paar von getrennten Begleiterdateien
       mit der Endung .user-privileged. Die Daten sollten in einer regulären Datei gespeichert
       werden, die nach dem Benutzernamen benannt ist und die Endung .user-privileged trägt und
       einem Symlink, der darauf zeigt, der nach der verwandten numerischen UID, dezimal
       formatiert, benannt ist und die gleiche Endung hat. Diese Begleiterdateien sollten nur für
       root lesbar sein. Beispiel:

           -rw-r--r--. 1 root root  723 May 10 foobar.user
           -rw-------. 1 root root  123 May 10 foobar.user-privileged
           lrwxrwxrwx. 1 root root   19 May 10 4711.user -> foobar.user
           lrwxrwxrwx. 1 root root   19 May 10 4711.user-privileged -> foobar.user-privileged

       Ähnlich können Gruppendatensätze, die dem in JSON-Gruppendatensatz[3] beschriebenen Format
       folgen, definiert werden. Sie verwenden die Endungen .group und .group-privileged.

       Die primären Benutzer-/Gruppendatensätze (d.h. solche, mit der Endung .user und .group)
       sollten keinen »privilegierten« Abschnitt enthalten, wie das in der Spezifikation
       beschrieben ist. Ausschließlich die privilegierten Benutzer-/Gruppendatensatzdateien (d.h.
       die mit den Endungen .user-privileged und .group-privileged) sollten diesen Abschnitt
       enthalten.

       Beachten Sie, dass die statischen Benutzer-/Gruppendatensätze im Allgemeinen dazu in
       Konflikt stehende Datensätze /etc/passwd oder/etc/group oder anderen Kontodatenbanken
       nicht außer Kraft setzen. Bevor diese Dateien entfernt werden, sollte vernünftige Sorgfalt
       walten gelassen werden, Konflikte bei Benutzer-/Gruppennamen und UIDs/GIDs zu vermeiden.

KONFIGURATION IN /ETC/NSSWITCH.CONF

       Hier ist ein Beispiel für eine /etc/nsswitch.conf-Datei, die nss-systemd korrekt
       aktiviert:

           passwd:         files systemd
           group:          files [SUCCESS=merge] systemd
           shadow:         files systemd
           gshadow:        files systemd

           hosts:          mymachines resolve [!UNAVAIL=return] files myhostname dns
           networks:       files

           protocols:      db files
           services:       db files
           ethers:         db files
           rpc:            db files

           netgroup:       nis

BEISPIEL: DURCH SYSTEMD-MACHINED.SERVICE BEREITGESTELLTE ABBILDUNGEN

       Der Container »rawhide« wird mittels systemd-nspawn(1) erzeugt:

           # systemd-nspawn -M rawhide --boot --network-veth --private-users=pick
           Spawning container rawhide on /var/lib/machines/rawhide.
           Selected user namespace base 20119552 and range 65536.
           …

           $ machinectl --max-addresses=3
           MACHINE CLASS     SERVICE        OS     VERSION ADDRESSES
           rawhide container systemd-nspawn fedora 30      169.254.40.164 fe80::94aa:3aff:fe7b:d4b9

           $ getent passwd vu-rawhide-0 vu-rawhide-81
           vu-rawhide-0:*:20119552:65534:vu-rawhide-0:/:/usr/sbin/nologin
           vu-rawhide-81:*:20119633:65534:vu-rawhide-81:/:/usr/sbin/nologin

           $ getent group vg-rawhide-0 vg-rawhide-81
           vg-rawhide-0:*:20119552:
           vg-rawhide-81:*:20119633:

           $ ps -o user:15,pid,tty,command -e|grep '^vu-rawhide'
           vu-rawhide-0      692 ? /usr/lib/systemd/systemd
           vu-rawhide-0      731 ? /usr/lib/systemd/systemd-journald
           vu-rawhide-192    734 ? /usr/lib/systemd/systemd-networkd
           vu-rawhide-193    738 ? /usr/lib/systemd/systemd-resolved
           vu-rawhide-0      742 ? /usr/lib/systemd/systemd-logind
           vu-rawhide-81     744 ? /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
           vu-rawhide-0      746 ? /usr/sbin/sshd -D ...
           vu-rawhide-0      752 ? /usr/lib/systemd/systemd --user
           vu-rawhide-0      753 ? (sd-pam)
           vu-rawhide-0     1628 ? login -- zbyszek
           vu-rawhide-1000  1630 ? /usr/lib/systemd/systemd --user
           vu-rawhide-1000  1631 ? (sd-pam)
           vu-rawhide-1000  1637 pts/8    -zsh

SIEHE AUCH

       systemd(1), systemd.exec(5), nss-resolve(8), nss-myhostname(8), nss-mymachines(8),
       systemd-userdbd.service(8), systemd-homed.service(8), systemd-machined.service(8),
       nsswitch.conf(5), getent(1)

ANMERKUNGEN

        1. Benutzer-/Gruppen-Datensatznachschlage-API über Varlink
           https://systemd.io/USER_GROUP_API

        2. JSON-Benutzerdatensätze
           https://systemd.io/USER_RECORD

        3. JSON-Gruppendatensatz
           https://systemd.io/GROUP_RECORD

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
       <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
       Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
       Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.