Systemd sai uue komponendi kodukataloogide haldamiseks

Lennart Poettering esitas All Systems Go 2019 konverentsil uus süsteemihalduri komponent, "Systemd-kodune" mis on mõeldud kasutajate kodukataloogide teisaldatavuse tagamiseks ja selle eraldamine süsteemi konfiguratsioonist.

Projekti peamine mõte on luua kasutajaandmete jaoks autonoomsed keskkonnad mida saab erinevate süsteemide vahel üle kanda, muretsemata identifikaatorite sünkroonimise ja privaatsuse pärast. Kodukataloogi keskkond edastatakse ühendatud pildifailina, mille andmed on krüptitud.

Kasutaja mandaadid on seotud kodukataloogiga, mitte süsteemi konfiguratsiooni; / etc / passwd ja / etc / shadow asemel kasutatakse JSON-vormingus profiili, salvestatud kataloogi ~ / .identity.

Profiil sisaldab vajalikke parameetreid et kasutaja saaks töötada, sealhulgas teave nime, parooli räsi, krüptovõtmete kohta, tasud ja pakutavad ressursid. Profiili saab autentida digitaalse allkirja abil, mis on salvestatud välimisse Yubikey märki.

 Iga tema hallatav kataloog kapseldab nii andmekogumi kui ka kasutaja kasutajakirje, nii et see kirjeldab igakülgselt kasutaja kontot ja on seetõttu loomulikult süsteemide vahel teisaldatav ilma täiendavate väliste metaandmeteta. 

Teatises rõhutatakse ka järgmist:

Parameetrid võivad sisaldada ka lisateavet, näiteks SSH-i võtmeid, biomeetrilise autentimise andmed, pilt, e-post, aadress, ajavöönd, keel, protsesside arvu ja mälu piirangud, täiendavad kinnitusmärgised (nodev, noexec, nosuid), andmed rakendatava IMAP-serveri kasutajainfo / SMTP kohta, vanemlik kontroll teave seadistamise, varundamise võimaluste jms kohta

Parameetrite pärimiseks ja analüüsimiseks on ette nähtud Varlinki API.

UID / GID määratakse dünaamiliselt ja töödeldakse igas kohalikus süsteemis, millega kodukataloog on ühendatud.

Kavandatava süsteemi abil saab kasutaja hoida oma kodukataloogi.Näiteks Flash-draivil ja saan töökeskkonna mis tahes arvutisse, ilma et sellele oleks selgesõnaliselt kontot loodud (kodukataloogi pildiga faili olemasolu viib kasutajate sünteesini).

Tehakse ettepanek kasutada andmete krüptimiseks LUKS2 alamsüsteemi, kuid systemd-homed võimaldab teil kasutada ka muid taustaprogramme, näiteks krüptimata kataloogide, Btrf-de, Fscrypti ja CIFS-i võrgupartitsioonide jaoks.

Kaasaskantavate kataloogide haldamiseks pakutakse utiliiti homectl, mis võimaldab teil luua ja aktiveerida põhikataloogide pilte, samuti muuta nende suurust ja määrata parooli.

Süsteemi tasemel tööd pakuvad järgmised komponendid:

• systemd-homed.service: haldab kodukataloogi ja manustab JSON-kirjed otse kodukataloogi piltidesse.
• pam_systemd: töötleb JSON-i profiili parameetreid, kui kasutaja sisse logib, ja rakendab neid käivitatud seansi kontekstis (teostab autentimist, määrab keskkonnamuutujaid jne).
• systemd-logind.service: töötleb kasutaja sisselogimisel JSON-profiili parameetreid, rakendab erinevaid ressursihalduse sätteid ja seab piirangud.
• nss-süsteem: Glibc NSS-moodul sünteesib JSON-profiilil põhinevad klassikalised NSS-kirjed, pakkudes UNIX API tuge kasutaja (/ etc / password) töötlemiseks.
• PID1: loob kasutajaid dünaamiliselt (sünteesib analoogia põhjal DynamicUseri direktiiviga ühikutes) ja muudab need ülejäänud süsteemile nähtavaks.
• systemd-userdbd.service: tõlgib UNIX / glibc NSS-i kontod JSON-kirjeteks ja pakub ühtlustatud Varlinki API-d kirjete päringute esitamiseks ja loetlemiseks.

Kavandatud süsteemi eelised hõlmavad võimalust hallata kasutajaid kataloogi / etc paigaldamise abil kirjutuskaitstud režiimis, identifikaatorite (UID / GID) süsteemide vahelise sünkroonimise vajaduse puudumine, kasutaja sõltumatus konkreetsest arvutist, lukustamine kasutajaandmed unerežiimis, kasutades krüptimist ja kaasaegseid autentimismeetodeid.

Lõpuks on oluline seda mainida see uus komponent on kavas lisada "Systemd-kodune" süsteemiversiooni 244 või 245 peamises versioonis.

Kui soovite selle komponendi kohta rohkem teada saada, võite tutvuda järgmise pdf-dokumendiga.

Link on see.