SYSTEMD.SYSTEM-CREDENTIALS(7)

systemd.system-credentials

SYSTEMD.SYSTEM-CREDENTIALS(7)

BEZEICHNUNG¶

systemd.system-credentials - Systemzugangsberechtigungen

BESCHREIBUNG¶

System- und Dienste-Zugangsberechtigungen[1] sind Datenobjekte, die an gestartete Systeme oder Systemdienste bei deren Aufruf übergeben werden können. Sie können von verschiedenen externen Quellen erlangt und in das System weitergeleitet werden und von dort aus in Systemdienste. Zugangsberechtigungen können optional mit einem maschinenspezifischen Schlüssel verschlüsselt und/oder im lokalen TPM2-Gerät gesperrt sein und nur entschlüsselt werden, wenn der benutzende Dienst aufgerufen wird.

System-Zugangsberechtigungen können zur Erbringung und Konfiguration verschiedener Aspekte des Systems verwandt werden. Abhängig von der benutzenden Komponente werden Zugangsberechtigungen nur bei dem anfänglichen Aufruf verwandt oder werden für alle Aufrufe benötigt.

Zugangsberechtigungen können für alle Arten von Daten, binär oder Text, verwandt werden und können Passwörter, Geheimnisse, Zertifikate, kryptographisches Schlüsselmaterial, Identitätsinformationen, Konfiguration und weiteres transportieren.

GUT BEKANNTE SYSTEM-ZUGANGSBERECHTIGUNGEN¶

firstboot.keymap

Die zu setzende Tastaturzuordnung für die Konsole (z.B. »de«). Wird von systemd-firstboot(1) gelesen und nur berücksichtigt, falls vorher keine Konsolen-Tastaturzuordnung konfiguriert wurde.

Hinzugefügt in Version 252.

firstboot.locale, firstboot.locale-messages

Die zu setzende System-Locale (z.B. »de_DE.UTF-8«). Wird von systemd-firstboot(1) gelesen und nur berücksichtigt, falls vorher keine Locale konfiguriert wurde. firstboot.locale setzt »LANG«, während firstboot.locale-message »LC_MESSAGES« setzt.

Hinzugefügt in Version 252.

firstboot.timezone

Die zu setzende System-Zeitzone (z.B. »Europe/Berlin«). Wird von systemd-firstboot(1) gelesen und nur berücksichtigt, falls vorher keine Zeitzone konfiguriert wurde.

Hinzugefügt in Version 252.

login.issue

Die Daten dieser Zugangsberechtigung werden nach /etc/issue.d/50-provision.conf geschrieben, falls diese Datei noch nicht existiert. agetty(8) liest diese Datei und zeigt ihren Inhalt bei der Anmeldeeingabeaufforderung von Terminal-Anmeldungen. Siehe issue(5) für Details.

Wird von /usr/lib/tmpfiles.d/provision.conf benutzt, siehe tmpfiles.d(5).

Hinzugefügt in Version 252.

login.motd

Die Daten dieser Zugangsberechtigung werden nach /etc/motd.d/50-provision.conf geschrieben, falls diese Datei noch nicht existiert. pam_motd(8) liest diese Datei und zeigt ihren Inhalt als »Nachricht des Tages« während Anmeldungen auf Terminals an. Siehe motd(5) für Details.

Wird von /usr/lib/tmpfiles.d/provision.conf benutzt, siehe tmpfiles.d(5).

Hinzugefügt in Version 252.

network.hosts

Die Daten dieser Zugangsberechtigung werden nach /etc/hosts geschrieben, falls diese Datei noch nicht existiert. Siehe hosts(5) für Details.

Wird von /usr/lib/tmpfiles.d/provision.conf benutzt, siehe tmpfiles.d(5).

Hinzugefügt in Version 252.

network.dns, network.search_domains

DNS-Server-Informationen und Such-Domains. Wird von systemd-resolved.service(8) gelesen.

Hinzugefügt in Version 253.

network.conf.*, network.link.*, network.netdev.*, network.network.*

Konfiguriert Netzwerkgeräte. Wird von systemd-network-generator.service(8) gelesen. Diese Zugangsberechtigungen sollten gültige Konfigurationsdaten für networkd.conf(5), systemd.link(5), systemd.netdev(5), systemd.network(5) enthalten. Für jede passende Netzwerkzugangsberechtigung wird eine separate Datei erstellt. Beispiel: Der Inhalt eine Zugangsberechtigung network.link.50-foobar wird in 50-foobar.link kopiert.

Beachten Sie, dass die erstellten Dateien welt-lesbar sind, es wird daher empfohlen, keine Geheimnisse in diese Zugangsberechtigungen aufzunehmen, sondern sie mittels separaten Zugangsberechtigungen direkt an systemd-networkd.service(8) bereitzustellen, z.B. network.wireguard.* wie unten beschrieben.

Hinzugefügt in Version 256.

network.wireguard.*

Konfiguriert Geheimnisse für WireGuard-Netdevs. Wird von systemd-networkd.service(8) gelesen. Zu weiteren Informationen lesen Sie den Abschnitt [WireGuard] in systemd.netdev(5).

Hinzugefügt in Version 256.

passwd.hashed-password.root, passwd.plaintext-password.root

Darf das Passwort (entweder im gehashten UNIX-Format oder im Klartext) für den Benutzer »root« enthalten. Wird von sowohl systemd-firstboot(1) als auch systemd-sysusers(8) gelesen und nur berücksichtigt, falls vorher kein Passwort für den Benutzer »root« konfiguriert wurde.

Hinzugefügt in Version 252.

passwd.shell.root

Der Pfad zum dem Shell-Programm (z.B. »/bin/bash«) für den Benutzer »root«. Wird von sowohl systemd-firstboot(1) als auch systemd-sysusers(8) gelesen und nur berücksichtigt, falls vorher keine Shell für den Benutzer »root« konfiguriert wurde.

Hinzugefügt in Version 252.

ssh.authorized_keys.root

Die Daten dieser Zugangsberechtigung werden nach /root/.ssh/authorized_keys geschrieben, falls diese Datei noch nicht existiert. Dies erlaubt das Erbringen von SSH-Zugriff für den Benutzer »root« des Systems.

Wird von /usr/lib/tmpfiles.d/provision.conf benutzt, siehe tmpfiles.d(5).

Hinzugefügt in Version 252.

ssh.listen

Kann zur Konfiguration von SSH-Sockets verwandt werden, auf denen das System erreichbar sein soll. Siehe systemd-ssh-generator(8) zu Details.

Hinzugefügt in Version 256.

sysusers.extra

Zusätzliche sysusers.d(5)-Zeilen, die während des Systemstarts verarbeitet werden.

Hinzugefügt in Version 252.

sysctl.extra

Zusätzliche sysctl.d(5)-Zeilen, die während des Systemstarts verarbeitet werden.

Hinzugefügt in Version 252.

tmpfiles.extra

Zusätzliche tmpfiles.d(5)-Zeilen, die während des Systemstart verarbeitet werden.

Hinzugefügt in Version 252.

fstab.extra

Zusätzliche Einhängungen, die beim Systemstart etabliert werden sollen. Zu Details siehe systemd-fstab-generator(8).

Hinzugefügt in Version 254.

vconsole.keymap, vconsole.keymap_toggle, vconsole.font, vconsole.font_map, vconsole.font_unimap

Anzuwendende Konsoleeinstellungen, siehe systemd-vconsole-setup.service(8) für Details.

Hinzugefügt in Version 253.

getty.auto

Wird zum Steuern des Ausführungsmodus von systemd-getty-generator verwandt, siehe systemd-getty-generator(8) zu Details.

Hinzugefügt in Version 258.

getty.ttys.serial, getty.ttys.container

Wird zum Erzeugen zusätzlicher Anmeldeeingaben verwandt, siehe systemd-getty-generator(8) zu Details.

Hinzugefügt in Version 254.

journal.forward_to_socket

Wird von systemd-journald(8) verwandt, um zu bestimmen, wohin bei Socket-Weiterleitungen Meldungen weitergeleitet werden sollen, siehe journald.conf(5) zu Details.

Hinzugefügt in Version 256.

journal.storage

Wird von systemd-journald(8) verwandt, um zu bestimmen, wo Journal-Dateien gespeichert werden sollen, siehe journald.conf(5) zu Details.

Hinzugefügt in Version 256.

vmm.notify_socket

Konfiguriert einen zu sd_notify(3) kompatiblen AF_VSOCK-Socket, für den der Diensteverwalter Statusinformationen, Bereitschaftsbenachrichtigungen und Exit-Status berichten wird. Zu Details siehe systemd(1).

Hinzugefügt in Version 253.

shell.prompt.prefix, shell.prompt.suffix

Definiert Zeichenketten, die allen interaktiven UNIX-Shell-Eingabeaufforderungen vorangestellt oder angehängt werden. Zu Details siehe pam_systemd(8).

Hinzugefügt in Version 257.

shell.welcome

Definiert eine Zeichenkette, die ausgegeben wird, wenn sich eine interaktive UNIX-Shell initialisiert. Zu Details siehe pam_systemd(8).

Hinzugefügt in Version 257.

system.machine_id

Akzeptiert eine 128-bit-Kennung, aus der die Maschinenkennung initialisiert wird (falls sie noch nicht gesetzt ist). Wird vom Diensteverwalter (PID 1) interpretiert. Zu Details siehe systemd(1).

Hinzugefügt in Version 254.

system.hostname

Akezptiert einen (flüchtigen) Rechnernamen für die Konfiguration im frühen Systemstart. Der in /etc/hostname angegebene statische Rechnername hat Vorrang, falls konfiguriert, vor dieser Einstellung. Wird vom Diensteverwalter (PID 1) interpretiert. Zu Details siehe systemd(1).

Hinzugefügt in Version 254.

home.add-signing-key.*

Fügt einen neuen Signaturschlüssel für Benutzerdatensätze zum System hinzu. Der Inhalt der Zugangsberechtigung sollte einen Benutzer-Signaturschlüssel enthalten, beispielsweise wie er durch homectl get-signing-key berichtet wird. Es können mehrere Schlüssel festgelegt werden und sie werden unter dem Namen der Endung der Zugangsberechtigung abgelegt (die wiederum die Endung .public tragen muss). Details finden Sie in homectl(1).

Hinzugefügt in Version 258.

home.create.*

Erstellt einen neuen Home-Bereich für den festgelegten Benutzer, wobei die Benutzerdatensatzdaten hereingereicht werden. Zu Details siehe homectl(1).

Hinzugefügt in Version 256.

home.register.*

Registriert einen bestehenden Home-Bereich für den festgelegten Benutzer, wobei die Benutzerdatensatzdaten hereingereicht werden. Zu Details siehe homectl(1).

Hinzugefügt in Version 258.

cryptsetup.passphrase, cryptsetup.tpm2-pin, cryptsetup.fido2-pin, cryptsetup.pkcs11-pin, cryptsetup.luks2-pin

Spezifiziert die Passhprasen/PINs, die zum Entsperren von verschlüsselten Speicherdatenträgern verwandt werden. Zu Details sieh systemd-cryptsetup(8).

Hinzugefügt in Version 256.

systemd.extra-unit.*, systemd.unit-dropin.*

Diese Zugangsberechtigungen spezifizieren zusätzliche Units und Ergänzungen, die zu dem System hinzugefügt werden sollen. Zu Details siehe systemd-debug-generator(8).

Hinzugefügt in Version 256.

udev.conf.*, udev.rules.*

Konfiguriert die Udev-Konfigurationsdateien und -Regeln. Wird von systemd-udev-load-credentials.service gelesen, das udevadm control --load-credentials aufruft. Diese Zugangsberechtigungen werden direkt in eine übereinstimmende udev.conf(5)- oder udev(7)-Regeldatei übersetzt. Beispiel: Der Inhalt einer Zugangsberechtigungs-udev.conf.50-foobar wird in die Datei /run/udev/udev.conf.d/50-foobar.conf kopiert und udev.rules.50-foobar wird in eine Datei /run/udev/rules.d/50-foobar.rules kopiert. Siehe udev(7), udev.conf(5) und udevadm(8) zu Details.

Hinzugefügt in Version 256.

import.pull

Festgelegte Plattenabbilder (Tarbälle und DDIs), die beim Systemstart automatisch heruntergeladen und installiert werden. Zu Details siehe systemd-import-generator(8).

Hinzugefügt in Version 257.

userdb.user.*, userdb.group.*, userdb.transient.user.*, userdb.transient.group.*

Konfiguriert JSON-Benutzer- und -Gruppen-Datensätze. Wird von systemd-userdb-load-credentials.service gelesen, das userdbctl load-credentials aufruft. Diese Zugangsberechtigungen werden direkt in übereinstimmende JSON-Benutzer-[2] und JSON-Gruppen-[3]Datensätze übersetzt. Beispiel: Der Inhalt einer Zugangsberechtigungs-userdb.user.foobar wird in eine Datei /etc/userdb/foobar.user kopiert und userdb.group.foobar wird in eine Datei /etc/userdb/foobar.group kopiert. Symlinks für die uid/gid werden ebenfalls in /etc/userdb/ erstellt sowie die entsprechenden Dateien .membership. In systemd-userdbd.service(7), nss-systemd(8) und userdbctl(1) finden Sie weitere Details.

Alle übergebenen Benutzerdatensätze müssen die Felder uid und gid enthalten. Alle übergebenen Gruppendatensätze müssen ein Feld gid enthalten. Sowohl bei Benutzer- als auch Gruppendatensätzen muss die Endung der Zugangsberechtigung (für »userdb.user.foobar« ist die Endung »foobar«) auf das Benutzer- oder Gruppennamenfeld aus dem Benutzer- oder Gruppendatensatz passen.

Beachten Sie, dass für die Zugangsberechtigungen userdb.user.* und userdb.group.* erstellte Datensätze in /etc/userdb/ und die für userdb.transient.user.* und userdb.transient.group.* erstellten Datensätze in /run/userdb/ erstellt werden (/etc/passwd und /etc/group werden nicht verändert).

Hinzugefügt in Version 258.

fsck.*

Wird von systemd-fsck@.service, systemd-fsck-root.service und systemd-fsck-usr.service gelesen. Weitere Details finden Sie in systemd-fsck@.service(8).

Hinzugefügt in Version 258.

quotacheck.*

Wird von systemd-quotacheck@.service und systemd-quotacheck-root.service gelesen. Weitere Details finden Sie in systemd-quotacheck(8).

Hinzugefügt in Version 258.

SIEHE AUCH¶

systemd(1), kernel-command-line(7), smbios-type-11(7)

ANMERKUNGEN¶

1.: System- und Dienste-Zugangsberechtigungen

https://systemd.io/CREDENTIALS

2.: JSON-Benutzer

https://systemd.io/USER_RECORD

3.: JSON-Gruppe

https://systemd.io/GROUP_RECORD

ÜBERSETZUNG¶

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

systemd 258~rc3

Source file:	systemd.system-credentials.7.de.gz (from manpages-de 4.28.0-2)
Source last updated:	2025-09-26T15:11:42Z
Converted to HTML:	2025-10-12T15:10:27Z