SSSD-IPA(5) | Filformat och konventioner | SSSD-IPA(5) |
NAME¶
sssd-ipa - SSSD IPA-leverantör
BESKRIVNING¶
Denna manualsida besriver konfigurationen av leverantören IPA till sssd(8). För en detaljerad referens om syntaxen, se avsnittet “FILFORMAT” i manualsidan sssd.conf(5).
IPA-leverantören är en bakände som används för att ansluta till en IPA-server. (Se webbsidan freeipa.org för information om IPA-servrar.) Leverantören förutsätter att maskinen är inlagt i IPA-domänen; konfigurationen är nästan helt självupptäckande och hämtas direkt från servern.
IPA-leverantören gör att SSSD kan använda identitetsleverantören sssd-ldap(5) och autentiseringsleverantören sssd-krb5(5) med optimeringar för IPA-miljöer. IPA-leverantören tar samma alternativ som aänvänds av leverantörerna sssd-ldap och sssd-krb5 med några undantag. Dock är det varken nödvändigt eller lämpligt att sätta dessa alternativ.
IPA-leverantören kopierar i huvudsak standardalternativen för de traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna listas i avsnittet “ÄNDRADE STANDARDINSTÄLLNINGAR”.
Som en åtkomstleverantör använder leverantören IPA HBAC-regler (host-based access control, värdbaserad åtkomstkontroll). Se freeipa.org för mer information om HBAC. Ingen konfiguration av åtkomstleverantören behövs på klientsidan.
Om “auth_provider=ipa” eller “access_provider=ipa” konfigureras i sssd.conf måste id-leverantören också sättas till “ipa”.
IPA-leverantörer kommer använda PAC-respondenten om Kerberos-biljetter för användare för betrodda riken innehåller en PAC. För att göra konfigurationen enklare startas PAC-respondenten automatiskt om ID-leverantören IPA är konfigurerad.
KONFIGURATIONSALTERNATIV¶
Se “DOMÄNSEKTIONER” i manualsidan sssd.conf(5) för detaljer om konfigurationen av en SSSD-domän.
ipa_domain (sträng)
ipa_server, ipa_backup_server (sträng)
ipa_hostname (sträng)
dyndns_update (boolean)
OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas i /etc/krb5.conf för att detta beteende skall fungera pålitligt.
OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_update bör användare migrera till att använda dyndns_update i sin konfigurationsfil.
Standard: false
dyndns_ttl (heltal)
OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_ttl bör användare migrera till att använda dyndns_ttl i sin konfigurationsfil.
Default: 1200 (sekunder)
dyndns_iface (sträng)
OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_iface bör användare migrera till att använda dyndns_iface i sin konfigurationsfil.
Standard: använd IP-adresser för gränssnittet som används för IPA LDAP-förbindelsen
Exempel: dyndns_iface = em1, vnet1, vnet2
dyndns_auth (sträng)
Standard: GSS-TSIG
ipa_enable_dns_sites (boolean)
Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av manualsidan) är aktiverat kommer SSSD först att försöka med platsbaserad upptäckt med en fråga som innehåller ”_location.hostname.example.com” och sedan falla tillbaka på traditionell SRV-upptäckt. Om platsbaserad upptäckt lyckas betraktas IPA-servrarna som lokaliserats med platsbaserad upptäckt som primära servrar och IPA-servrarna som hittas med den traditionenlla SRV-upptäckten används som backup-servrar.
Standard: false
dyndns_refresh_interval (heltal)
Standard: 0 (avaktiverat)
dyndns_update_ptr (bool)
Detta alternativ är False i de flesta IPA-installationer eftersom IPA-servern genererar PTR-posterna automatiskt när framåtposterna ändras.
Standard: False (avaktiverat)
dyndns_force_tcp (bool)
Standard: False (låt nsupdate välja protokollet)
dyndns_server (sträng)
Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är skild från identitetsservern.
Observera att detta alternativ bara kommer användas i försök att falla tillbaka på när tidigare försök som använder automatiskt upptäckta inställningar misslyckas.
Standard: Ingen (låt nsupdate välja servern)
ipa_deskprofile_search_base (sträng)
Standard: använd bas-DN
ipa_hbac_search_base (sträng)
Standard: använd bas-DN
ipa_host_search_base (sträng)
ipa_selinux_search_base (sträng)
Se “ldap_search_base” för information om konfiguration av multipla sökbaser.
Standard: värdet på ldap_search_base
ipa_subdomains_search_base (sträng)
Se “ldap_search_base” för information om konfiguration av multipla sökbaser.
Standard: värdet på cn=trusts,%basedn
ipa_master_domain_search_base (sträng)
Se “ldap_search_base” för information om konfiguration av multipla sökbaser.
Standard: värdet av cn=ad,cn=etc,%basedn
ipa_views_search_base (sträng)
Se “ldap_search_base” för information om konfiguration av multipla sökbaser.
Standard: värdet av cn=views,cn=accounts,%basedn
krb5_realm (sträng)
Namnet på Kerberos-riket har en speciell betydelse i IPA – det konverteras till bas-DN:en för att användas när LDAP-operationer utförs.
krb5_confd_path (sträng)
För att förhindra att konfigurationsstycken skapas, sätt parametern till ”none”.
Standard: inte satt (underkatalogen krb5.include.d till SSSD:s pubconf-katalog)
ipa_deskprofile_refresh (heltal)
Standard: 5 (sekunder)
ipa_deskprofile_request_interval (heltal)
Standard: 60 (minuter)
ipa_hbac_refresh (heltal)
Standard: 5 (sekunder)
ipa_hbac_selinux (heltal)
Standard: 5 (sekunder)
ipa_server_mode (boolean)
På en IPA-server kommer SSSD slå upp användare och grupper från betrodda domäner direkt medan på en klient kommer den att fråga en IPA-server.
OBS: det finns för närvarande några antagenden som måste uppfyllas när SSSD kör på en IPA-server.
Standard: false
ipa_automount_location (sträng)
Standard: platsen som heter ”default”
Please note that the automounter only reads the master map on startup, so if any autofs-related changes are made to the sssd.conf, you typically also need to restart the automounter daemon after restarting the SSSD.
VYER OCH ÅSIDOSÄTTANDEN¶
SSSD kan hantera vyer och åsidosättanden som erbjuds av FreeIPA 4.1 och senare versioner. Eftersom alla sökvägar och objektklasser är fasta på serversidan finns det egentligen inget behov av att konfigurera något. För fullständighets skull är de tillhörande alternativen listade här med sina standardvärden.
ipa_view_class (sträng)
Standard: nsContainer
ipa_view_name (sträng)
Standard: cn
ipa_override_object_class (sträng)
Standard: ipaOverrideAnchor
ipa_anchor_uuid (sträng)
Standard: ipaAnchorUUID
ipa_user_override_object_class (sträng)
Användaråsidosättanden kan innehålla attribut givna av
Standard: ipaUserOverride
ipa_group_override_object_class (sträng)
Gruppåsidosättanden kan innehålla attribut givna av
Standard: ipaGroupOverride
MODIFIED DEFAULT OPTIONS¶
Certain option defaults do not match their respective backend provider defaults, these option names and IPA provider-specific defaults are listed below:
KRB5 Provider¶
LDAP Provider - General¶
LDAP Provider - User options¶
LDAP Provider - Group options¶
UNDERDOMÄNLEVERANTÖR¶
IPA-underomänleverantören beter sig något annorlunda om den konfigureras explicit eller implicit.
Om alternativet ”subdomains_provider = ipa” finns i domänavsnittet i sssd.conf konfigureras IPA-underdomänsleverantören explicit, och alla begäranden tav underdomäner skickas till IPA-servern om nödvändigt.
Om alternativet ”subdomains_provider” inte är satt i domänavsnittet av sssd.conf men alternativet ”id_provider = ipa” finns konfigureras IPA-underdomänsleverantören implicit. I det fallet, om en underdomänsbegäran misslyckas och indikerar att servern inte stödjer underdomäner, d.v.s. den är inte konfigurerad för förtroenden, avaktiveras IPA-underdomänsleverantören. Efter en timma eller efter att IPA-leverantören blir uppkopplad aktiveras underdomänsleverantören igen.
KONFIGURATION AV BETRODDA DOMÄNER¶
Några konfigurationsalternativ kan även sättas för en betrodd domän. En konfiguration av en betrodd domän kan antingen göras med ett underavsnitt, till exempel:
[domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com
Dessutom kan några alternativ sättas i föräldradomänen och ärvas av den betrodda domänen med alternativet “subdomain_inherit”. För fler detaljer, se manualsidan sssd.conf(5).
Olika konfigurationsalternativ kan ställas in för en betrodd domän beroende på huruvida man konfigurerar SSSD på en IPA-server eller en IPA-klient.
ALTERNATIV ATT STÄLLA IN PÅ IPA-MASTRAR¶
Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-master:
ALTERNATIV ATT STÄLLA IN PÅ IPA-KLIENTER¶
Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-klient:
Observera att om bådda alternativen sätts evalueras endast “ad_server”.
Eftersom alla begäranden om en användar- eller en gruppidentitet från en betrodd domän startad från en IPA-klient löses upp av IPA-servern, påverkar alternativen “ad_server” och “ad_site” bara vilken AD DC autentiseringen kommer utföras emot. I synnerhet kommer adresserna som löses upp från dessa listor att skrivas till “kdcinfo”-filer som läses av Kerberos-lokaliseringinsticksmodulen. För fler detaljer om Kerberos-lokaliseringsinsticksmodulen hänvisas till manualsidan sssd_krb5_locator_plugin(8).
RESERVER¶
Reservfunktionen gör att bakändar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera.
Reservsyntax¶
Listand av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillåts runt kommatecknet. Servrarna listas i preferensordning. Listan kan innhålla obegränsat antal servrar.
För varje reservaktiverad konfigurationsalternativ finns det två varianter: primary och backup. Tanken är att servrar i den primära listan föredras och backup-servrar bara provas om inga primära servrar kan nås. Om en backup-server väljs sätts en tidsgräns på 31 sekunder. Efter demma todsgräns kommer SSSD periodiskt att försöka återansluta till en av de primära servrarna. Om det lyckas kommer den ersätta den nu aktiva (backup-)servern.
Reservmekanismen¶
Reservmekanismen gör skillnad mellan en maskin och en tjänst. Bakänden försöker först att slå upp värdnamnet för en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare försök görs att ansluta till denna maskin för någon annan tjänst. Om uppslagningsförsöket lyckas försöker bakänden ansluta till en tjänst på denna maskin. OM tjänsteanslutningen misslyckas anses bara just denna tjänst frånkopplad och bakänden byter automatiskt till nästa tjänst. Maskinen betraktas fortfarande som uppkopplad och kan användas vid försök att nå en annan tjänst.
Ytterligare försök att ansluta görs till maskiner eller tjänster som markerats som frånkopplade efter en viss tidsperiod, detta är för närvarande hårdkodat till 30 sekunder.
Om det inte finns några fler maskiner att prova byter bakänden i sin helhet till frånkopplat läge, och försöker sedan återansluta var 30:e sekund.
Tidsgränser och trimning av reservfunktioner¶
Att slå upp en server att ansluta till kan vara så enkelt som att göra en enstaka DNS-fråga eller kan innebära flera steg, såsom att hitta den rätta sajten eller försöka med flera värdnamn ifall några av de konfigurerade servrarna inte kan nås. De mer komplexa scenariona kan ta en stund och SSSD behöver balansera mellan att tillhandahålla tillräckligt med tid för att färdigställa upplösningprocessen men å andra sidan inte försöka för länge före den faller tillbaka på frånkopplat läge. Om SSSD:s felsökningloggar visar att serverns upplösning överskrider tidsgränsen före en aktiv server nås kan du överväga att ändra tidsgränserna.
Detta avsnitt listar tillgängliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5).
dns_resolver_op_timeout
dns_resolver_timeout
För LDAP-baserade leverantörer utförs uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Därför skall även tidsgränsen “ldap_opt_timeout>” sättas till ett större värde än “dns_resolver_timeout” som i sin tur skall sättas till ett större värde än “dns_resolver_op_timeout”.
TJÄNSTEUPPTÄCKT¶
Tjänsteupptäcktsfunktionen gör att bakändar automatiskt kan hitta en lämplig server att ansluta till med en speciell DNS-fråga. Denna funktion stödjs inte för backup-servrar.
Configuration¶
Om inga servrar anges använder bakänden automatiskt tjänsteupptäckt för att försöka hitta en server. Användaren kan om så önskas välja att använda både en bestämd serveradress och tjänsteupptäckt genom att infoga ett speciellt nyckelord, “_srv_”, i listan av servrar. Prefernsordningen bibehålls. Denna funktion är användbar om, till exempel, användaren föredrar att använda tjänsteupptäckt närhelst det är möjligt, och falla tillbaka på en specifik server när inga servrar kan upptäckas med DNS.
The domain name¶
Please refer to the “dns_discovery_domain” parameter in the sssd.conf(5) manual page for more details.
The protocol¶
The queries usually specify _tcp as the protocol. Exceptions are documented in respective option description.
Se även¶
För mer information om tjänsteupptäcktsmekanismen, se RFC 2782.
EXEMPEL¶
Följande exempel antar att SSSD är korrekt konfigurerat och att exempel.se är en av domänerna i avsnittet [sssd]. Dessa exempel visar endast alternativ som är specifika för leverantören ipa.
[domain/exemple.se] id_provider = ipa ipa_server = ipaserver.exempel.se ipa_hostname = minvärd.exempel.se
SEE ALSO¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)
AUTHORS¶
SSSD uppströms – https://pagure.io/SSSD/sssd/
01/23/2024 | SSSD |