2. EL 6 ELS
  3. sssd-ipa
  4. sssd-ipa(5)

Scroll to navigation

SSSD-IPA(5) Формати файлів та правила SSSD-IPA(5)

NAME

sssd-ipa - Модуль надання даних IPA SSSD

ОПИС

На цій сторінці довідника описано налаштування засобу керування доступом IPA для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf(5).

Інструмент надання даних IPA — модуль, який використовується для встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує включення комп’ютера до домену IPA. Налаштування майже повністю автоматизовано, дані для нього отримуються безпосередньо з сервера.

Інструментом надання даних IPA використовуються ті самі параметри, що використовуються надавачем даних профілів sssd-ldap(5) та надавачем даних для розпізнавання sssd-krb5(5) з певними винятками, описаними нижче.

Потреби у встановленні або використанні цих параметрів виникнути не повинно. Інструментом надання даних IPA також можна скористатися для перевірки прав доступу та зміни паролів. Для керування доступом використовуються правила HBAC (host-based access control або керування доступом на основі даних щодо вузлів). Докладнішу інформацію щодо HBAC можна отримати на сайті freeipa.org. У налаштуванні керування доступом на боці клієнта немає потреби.

Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки Kerberos користувачів з довірених областей містять PAC. Для полегшення налаштовування відповідач PAC запускається автоматично, якщо налаштовано інструмент надання даних ідентифікаторів IPA.

ПАРАМЕТРИ НАЛАШТУВАННЯ

Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf(5), щоб дізнатися більше про налаштування домену SSSD.

ipa_domain (рядок)

Визначає назву домену IPA. Є необов’язковим. Якщо не вказано, буде використано назву домену з налаштувань.

ipa_server, ipa_backup_server (рядок)

Впорядкований за пріоритетом список IP-адрес або назв вузлів, відокремлених комами, серверів IPA, з якими має встановити з’єднання SSSD. Докладніші відомості щодо резервних серверів викладено у розділі «РЕЗЕРВ». Цей список є необов’язковим, якщо увімкнено автоматичне виявлення служб. Докладніші відомості щодо автоматичного виявлення служб наведено у розділі «ПОШУК СЛУЖБ».

ipa_hostname (рядок)

Необов’язковий. Може бути встановлено на комп’ютерах, де hostname(5) не відповідає повній назві, що використовується доменом IPA для розпізнавання цього вузла.

dyndns_update (булеве значення)

Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично оновити на сервері DNS, вбудованому до FreeIPA v2, IP-адресу клієнта. Захист оновлення буде забезпечено за допомогою GSS-TSIG. Для оновлення буде використано IP-адресу з’єднання LDAP IPA, якщо не вказано іншу адресу за допомогою параметра «dyndns_iface».

ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у цьому режимі типову область дії Kerberos має бути належним чином визначено у /etc/krb5.conf

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_update, користувачам слід переходити на нову назву, dyndns_update, у файлі налаштувань.

Типове значення: false

dyndns_ttl (ціле число)

TTL, до якого буде застосовано клієнтський запис DNS під час його оновлення. Якщо dyndns_update має значення false, цей параметр буде проігноровано. Перевизначає TTL на боці сервера, якщо встановлено адміністратором.

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_ttl, користувачам слід переходити на нову назву, dyndns_ttl, у файлі налаштувань.

Типове значення: 1200 (секунд)

dyndns_iface (рядок)

Optional. Applicable only when dyndns_update is true. Choose the interface or a list of interfaces whose IP addresses should be used for dynamic DNS updates. Special value “*” implies that IPs from all interfaces should be used.

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_iface, користувачам слід переходити на нову назву, dyndns_iface, у файлі налаштувань.

Default: Use the IP addresses of the interface which is used for IPA LDAP connection

Example: dyndns_iface = em1, vnet1, vnet2

ipa_enable_dns_sites (булеве значення)

Вмикає сайти DNS — визначення служб на основі адрес.

Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку спробує визначення на основі адрес за допомогою запиту, що містить "_location.hostname.example.com", а потім повертається до традиційного визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, виявлені на основі визначення за адресою, вважатимуться основним серверами, а сервери IPA, виявлені за допомогою традиційного визначення SRV, вважатимуться резервними серверами.

Типове значення: false

dyndns_refresh_interval (ціле число)

Визначає, наскільки часто серверний модуль має виконувати періодичні оновлення DNS на додачу до автоматичного оновлення, яке виконується під час кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не є обов’язкоми, його застосовують, лише якщо dyndns_update має значення true.

Типове значення: 0 (вимкнено)

dyndns_update_ptr (булеве значення)

Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true.

Значенням цього параметра у більшості розгорнутих систем IPA має бути False, оскільки сервер IPA створює записи PTR автоматично після зміни у записах переспрямовування.

Типове значення: False (вимкнено)

dyndns_force_tcp (булеве значення)

Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну даними з сервером DNS.

Типове значення: False (надати змогу nsupdate вибирати протокол)

dyndns_server (string)

The DNS server to use when performing a DNS update. In most setups, it´s recommended to leave this option unset.

Setting this option makes sense for environments where the DNS server is different from the identity server.

Please note that this option will be only used in fallback attempt when previous attempt using autodetected settings failed.

Default: None (let nsupdate choose the server)

ipa_hbac_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з HBAC об’єктів.

Типове значення: використання базової назви домену

ipa_host_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку об’єктів вузлів.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення ldap_search_base

ipa_selinux_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку карт користувачів SELinux.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення ldap_search_base

ipa_subdomains_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку надійних доменів.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення cn=trusts,%basedn

ipa_master_domain_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку основного об’єкта домену.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення виразу cn=ad,cn=etc,%basedn

ipa_views_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку контейнерів перегляду.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення cn=views,cn=accounts,%basedn

krb5_validate (булеве значення)

Перевірити за допомогою krb5_keytab, чи не було підмінено отриманий TGT.

Типове значення: true

Зауважте, що це типове значення не збігається з типовим значенням засобу модуля Kerberos.

krb5_realm (рядок)

Назва області дії Kerberos. Є необов’язковою, типовим значенням є значення «ipa_domain».

Назва області дії Kerberos має особливе значення у IPA: цю назву буде перетворено у основний DN для виконання дій LDAP.

krb5_canonicalize (булеве значення)

Визначає, чи слід перетворювати реєстраційний запис вузла і користувача у канонічну форм під час встановлення з’єднання з LDAP IPA, а також для запитів AS. Цю можливість передбачено з версії MIT Kerberos >= 1.7

Типове значення: true

krb5_use_fast (рядок)

Вмикає безпечне тунелювання для гнучкого розпізнавання (flexible authentication secure tunneling або FAST) для попереднього розпізнавання у Kerberos. Передбачено такі варіанти:

never — (ніколи) не використовувати FAST.

try — (спробувати) використати FAST. Якщо на сервері не передбачено підтримки FAST, продовжити спробу розпізнавання без FAST. Це еквівалентно невстановленню значення цього параметра взагалі.

demand — використовувати FAST. Якщо на сервері не передбачено підтримки FAST, спроба розпізнавання зазнає невдачі.

Типове значення: try

Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT Kerberos версії 1.8 або новішої. Якщо SSSD буде використано зі старішою версією MIT Kerberos і цим параметром, буде повідомлено про помилку у налаштуваннях.

krb5_confd_path (рядок)

Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти налаштувань Kerberos.

Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра значення «none».

Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf SSSD)

ipa_hbac_refresh (ціле число)

Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо керування доступом.

Типове значення: 5 (секунд)

ipa_hbac_selinux (ціле число)

Проміжок часу між послідовними пошуками у картах SELinux щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо входу користувача до системи.

Типове значення: 5 (секунд)

ipa_server_mode (булеве значення)

Цей параметр має встановлюватися лише засобом встановлення IPA.

За допомогою цього параметра можна визначити, чи працює SSSD на сервері IPA і має виконувати пошуки користувачів і груп з довірених доменів окремо.

Типове значення: false

ipa_automount_location (рядок)

Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA

Типове значення: адреса з назвою "default"

Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту лише під час запуску, отже якщо до ssd.conf внесено будь-які пов’язані з autofs зміни, типово слід перезапустити фонову службу автоматичного монтування після перезапуску SSSD.

ПЕРЕГЛЯДИ і ПЕРЕВИЗНАЧЕННЯ

SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA 4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для повноти, усі відповідні параметри наведено у списку разом з їхніми типовими значеннями.

ipa_view_class (рядок)

Клас об’єктів для контейнерів перегляду.

Типове значення: nsContainer

ipa_view_name (рядок)

Назва атрибута, у якому зберігається назва перегляду.

Типове значення: cn

ipa_overide_object_class (рядок)

Клас об’єктів для об’єктів перевизначення

Типове значення: ipaOverrideAnchor

ipa_anchor_uuid (рядок)

Назва атрибута, у якому зберігається посилання на початковий об’єкт на віддаленому домені.

Типове значення: ipaAnchorUUID

ipa_user_override_object_class (рядок)

Назва класу об’єктів для перевизначень користувачів. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою.

Перевизначення користувачів можуть містити атрибути, задані

•ldap_user_name

•ldap_user_uid_number

•ldap_user_gid_number

•ldap_user_gecos

•ldap_user_home_directory

•ldap_user_shell

•ldap_user_ssh_public_key

Типове значення: ipaUserOverride

ipa_group_override_object_class (рядок)

Назва класу об’єктів для перевизначень груп. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою.

Перевизначення груп можуть містити атрибути, задані

•ldap_group_name

•ldap_group_gid_number

Типове значення: ipaGroupOverride

СЛУЖБА ПІДДОМЕНІВ

Поведінка інструмента надання даних піддоменів IPA залежить від того, у який спосіб його налаштовано: явний чи неявний.

Якщо у розділі домену sssd.conf буде знайдено запис параметра «subdomains_provider = ipa», інструмент надання даних піддоменів IPA налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, якщо це потрібно.

Якщо у розділі домену sssdconf не встановлено параметр «subdomains_provider», але встановлено параметр «id_provider = ipa», інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або відкриється доступ до інструмента надання даних IPA, інструмент надання даних піддоменів буде знову увімкнено.

РЕЗЕРВ

Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з’єднання з поточним сервером зазнає невдачі.

Синтаксичні конструкції визначення резервного сервера

Список записів серверів, відокремлених комами. Між комами можна використовувати довільну кількість пробілів. Порядок у списку визначає пріоритет. У списку може бути будь-яка кількість записів серверів.

Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти: основний і резервний. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з’єднання з основними серверами. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний.

Механізм визначення резервного сервера

Механізмом резервного використання розрізняються окремі комп’ютери і служби. Спочатку модуль намагається визначити назву вузла вказаного комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься від’єднаним від мережі. Подальших спроб встановити з’єднання з цим комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати визначення, модуль зробити спробу встановити з’єднання зі службою на визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з мережею, можливі подальші спроби використання інших служб.

Подальші спроби встановлення з’єднання з комп’ютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам.

Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд.

ПОШУК СЛУЖБ

За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з’єднання на основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки цієї можливості для резервних серверів не передбачено.

Налаштування

Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб. Для цього слід вставити особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера.

Назва домену

З докладнішими відомостями щодо параметра «dns_discovery_domain» можна ознайомитися на сторінці підручника (man) sssd.conf(5).

Протокол

Запитами зазвичай визначається протокол _tcp. Виключення документовано у описі відповідного параметра.

Також прочитайте

Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782.

ПРИКЛАД

У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example.com є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише параметри доступу, специфічні для засобу ipa.

[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Основна гілка розробки SSSD — http://fedorahosted.org/sssd

01/16/2019 SSSD