Scroll to navigation

SSSD-LDAP(5) Dateiformate und Konventionen SSSD-LDAP(5)

NAME

sssd-ldap - SSSD LDAP-Anbieter

BESCHREIBUNG

Diese Handbuchseite beschreibt die Konfiguration von LDAP-Domains für sssd(8). Detaillierte Syntax-Informationen finden Sie im Abschnitt »DATEIFORMAT« der Handbuchseite sssd.conf(5).

Sie können SSSD so konfigurieren, dass es mehr als eine LDAP-Domain benutzt.

Das LDAP-Backend unterstützt ID-, Authentifizierungs-, Zugriffs- und Chpass-Anbieter. Falls Sie sich bei einem LDAP-Server authentifizieren möchten, wird entweder TLS/SSL oder LDAPS benötigt. sssd unterstützt keine Authentifizierung über einen unverschlüsselten Kanal. Falls der LDAP-Server nur als Identitätsanbieter benutzt wird, wird kein verschlüsselter Kanal benötigt. Weitere Informationen über die Verwendung von LDAP als Zugriffsanbieter finden Sie unter »ldap_access_filter«.

KONFIGURATIONSOPTIONEN

Alle häufigen Konfigurationsoptionen, die für SSSD-Domains gelten, gelten auch für LDAP-Domains. Umfassende Einzelheiten finden Sie im Abschnitt »DOMAIN-ABSCHNITTE« der Handbuchseite sssd.conf(5).

ldap_uri, ldap_backup_uri (Zeichenkette)

gibt eine durch Kommata getrennte Liste der LDAP-Server-URIs in der Reihenfolge an, in der sich SSSD mit ihnen verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. Falls keine Option angegeben wurde, wird die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt »DIENSTSUCHE«.

Das Format der URI muss dem in RFC 2732 definierten Format entsprechen:

ldap[s]://<Rechner>[:Port]

Wenn Sie explizit IPv6-Adressen verwenden möchten, muss <Rechner> in eckigen Klammern [] stehen.

Beispiel: ldap://[fc00::126:25]:389

ldap_chpass_uri, ldap_chpass_backup_uri (Zeichenkette)

gibt eine durch Kommata getrennte Liste von URIs der LDAP-Server an, mit denen SSSD sich in dieser Reihenfolge verbinden soll, um das Passwort eines Benutzers zu ändern. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«.

Um die Dienstsuche zu aktivieren, muss »ldap_chpass_dns_service_name« gesetzt sein.

Voreinstellung: leer, d.h., dass »ldap_uri« benutzt wird

ldap_search_base (Zeichenkette)

der Standardbasis-Domain-Name, der zur Durchführung von LDAP-Benutzeraktionen benutzt wird

Beginnend mit SSSD 1.7.0 unterstützt SSSD mehrere Suchgrundlagen mittels der Syntax:

search_base[?Gültigkeitsbereich?[Filter][?search_base?Gültigkeitsbereich?[Filter]]*]

Der Gültigkeitsbereich kann entweder »base«, »onelevel« oder »subtree« sein.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele:

ldap_search_base = dc=example,dc=com (dies entspricht) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=Beispiel,dc=com?Unterverzeichnis?(host=Dieser_Rechner)?dc=example.com?Unterverzeichnis?

Hinweis: Mehrere Suchgrundlagen, die sich auf Objekte mit gleichem Namen beziehen, werden nicht unterstützt (zum Beispiel Gruppen mit demselben Namen in zwei unterschiedlichen Suchgrundlagen). Dies wird zu unvorhersehbarem Verhalten auf Client-Rechnern führen.

Voreinstellung: Falls nicht gesetzt, wird der Wert der Attribute »defaultNamingContext« oder »namingContexts« vom RootDSE des LDAP-Servers benutzt. Falls »defaultNamingContext« nicht existiert oder ihr Wert leer ist, wird »namingContexts« verwendet. Das Attribut »namingContexts« muss einen einzelnen Wert mit dem Domain-Namen der Suchgrundlage des LDAP-Servers haben, damit dies funktioniert. Mehrere Werte werden nicht unterstützt.

ldap_schema (Zeichenkette)

gibt den Schematyp an, der gerade auf dem Ziel-LDAP-Server benutzt wird. Abhängig vom ausgewählten Schema können sich die von den Servern geholten Standardattributnamen stark unterscheiden. Die Art, wie einige Attribute gehandhabt werden, kann sich ebenfalls unterscheiden.

Derzeit werden vier Schematypen unterstützt:

•rfc2307

•rfc2307bis

•IPA

•AD

Der Hauptunterschied zwischen diesen Schematypen besteht darin, wie Gruppenmitgliedschaften auf dem Server aufgezeichnet werden. Mit »rfc2307« werden Gruppenmitglieder nach Namen im Attribut memberUid aufgeführt. Mit »rfc2307bis« bis »IPA« werden die Gruppenmitglieder nach Domain-Namen aufgeführt und im Attribut member gespeichert. Der Schematyp »AD« setzt die Attribute passend zu den Werten von Active Directory 2008r2.

Voreinstellung: rfc2307

ldap_pwmodify_mode (string)

Specify the operation that is used to modify user password.

Two modes are currently supported:

•exop - Password Modify Extended Operation (RFC 3062)

•ldap_modify - Direct modification of userPassword (not recommended).

Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.

Default: exop

ldap_default_bind_dn (Zeichenkette)

der Standard-Bind-Domain-Name, der zum Durchführen von LDAP-Aktionen benutzt wird

ldap_default_authtok_type (Zeichenkette)

der Typ des Authentifizierungs-Tokens des Standard-Bind-Domain-Namens

Die beiden derzeit unterstützten Mechanismen sind:

password

obfuscated_password

Voreinstellung: password

ldap_default_authtok (Zeichenkette)

das Authentifizierungs-Token des Standard-Bind-Domain-Namens. Derzeit werden nur Klartextpasswörter unterstützt.

ldap_user_object_class (Zeichenkette)

die Objektklasse eines Benutzereintrags in LDAP

Voreinstellung: posixAccount

ldap_user_name (Zeichenkette)

das LDAP-Attribut, das zum Anmeldenamen des Benutzers gehört

Default: uid (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_user_uid_number (Zeichenkette)

das LDAP-Attribut, das zu der ID des Benutzers gehört

Voreinstellung: uidNumber

ldap_user_gid_number (Zeichenkette)

das LDAP-Attribut, das zu der Hauptgruppen-ID des Benutzers gehört

Voreinstellung: gidNumber

ldap_user_primary_group (string)

Active Directory primary group attribute for ID-mapping. Note that this attribute should only be set manually if you are running the “ldap” provider with ID mapping.

Default: unset (LDAP), primaryGroupID (AD)

ldap_user_gecos (Zeichenkette)

das LDAP-Attribut, das zum Gecos-Feld des Benutzers gehört

Voreinstellung: gecos

ldap_user_home_directory (Zeichenkette)

das LDAP-Attribut, das den Namen des Home-Verzeichnisses des Benutzers enthält

Voreinstellung: homeDirectory

ldap_user_shell (Zeichenkette)

das LDAP-Attribut, das den Pfad zur Standard-Shell des Benutzers enthält

Voreinstellung: loginShell

ldap_user_uuid (string)

The LDAP attribute that contains the UUID/GUID of an LDAP user object.

Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA

ldap_user_objectsid (Zeichenkette)

das LDAP-Attribut, das die objectSID eines LDAP-Benutzerobjekts enthält. Dies wird normalerweise nur für Active-Directory-Server benötigt.

Default: objectSid for ActiveDirectory, not set for other servers.

ldap_user_modify_timestamp (Zeichenkette)

das LDAP-Attribut, das den Zeitstempel der letzten Änderung im übergeordneten Objekt enthält

Voreinstellung: modifyTimestamp

ldap_user_shadow_last_change (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (Datum der letzten Passwortänderung) gehört.

Voreinstellung: shadowLastChange

ldap_user_shadow_min (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (Mindestpasswortalter) gehört.

Voreinstellung: shadowMin

ldap_user_shadow_max (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (maximales Passwortalter) gehört.

Voreinstellung: shadowMax

ldap_user_shadow_warning (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (Passwortwarnperiode) gehört.

Voreinstellung: shadowWarning

ldap_user_shadow_inactive (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (Passwortinaktivitätsperiode) gehört.

Voreinstellung: shadowInactive

ldap_user_shadow_expire (Zeichenkette)

Wenn »ldap_pwd_policy=shadow« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, das zum entsprechenden Gegenstück von shadow(5) (Ablaufdatum des Kontos) gehört.

Voreinstellung: shadowExpire

ldap_user_krb_last_pwd_change (Zeichenkette)

Wenn »ldap_pwd_policy=mit_kerberos« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, in dem Datum und Zeit der letzten Passwortänderung in Kerberos gespeichert sind.

Voreinstellung: krbLastPwdChange

ldap_user_krb_password_expiration (Zeichenkette)

Wenn »ldap_pwd_policy=mit_kerberos« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, welches das Datum und die Zeit enthält, wann das aktuelle Passwort erlischt.

Voreinstellung: krbPasswordExpiration

ldap_user_ad_account_expires (Zeichenkette)

Wenn »ldap_account_expire_policy=ad« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, in dem die Zeit gespeichert ist, wann das Konto erlischt.

Voreinstellung: accountExpires

ldap_user_ad_user_account_control (Zeichenkette)

Wenn »ldap_account_expire_policy=ad« benutzt wird, enthält dieser Parameter den Namen eines LDAP-Attributs, in dem das Steuer-Bit-Feld des Benutzerkontos gespeichert ist.

Voreinstellung: userAccountControl

ldap_ns_account_lock (Zeichenkette)

Wenn »ldap_account_expire_policy=rhds« oder Entsprechendes benutzt wird, legt dieser Parameter fest, ob Zugriff gewährt wird oder nicht.

Voreinstellung: nsAccountLock

ldap_user_nds_login_disabled (Zeichenkette)

Wenn »ldap_account_expire_policy=nds« benutzt wird, legt dieses Attribut fest, ob Zugriff gewährt wird oder nicht.

Voreinstellung: loginDisabled

ldap_user_nds_login_expiration_time (Zeichenkette)

Wenn »ldap_account_expire_policy=nds« benutzt wird, legt dieser Parameter fest, bis zu welchem Datum Zugriff gewährt wird.

Voreinstellung: loginDisabled

ldap_user_nds_login_allowed_time_map (Zeichenkette)

Wenn »ldap_account_expire_policy=nds« benutzt wird, legt dieses Attribut die Stunden eines Wochentages fest, in denen Zugriff gewährt wird.

Voreinstellung: loginAllowedTimeMap

ldap_user_principal (Zeichenkette)

das LDAP-Attribut, das den Kerberos User Principal Name (UPN/Hauptbenutzername) enthält.

Voreinstellung: krbPrincipalName

ldap_user_extra_attrs (Zeichenkette)

Durch Kommata getrennte Liste der LDAP-Attribute, die SSSD zusammen mit den üblichen Benutzerattributen holen soll.

Die Liste kann entweder nur Namen von LDAP-Attributen enthalten, oder durch Doppelpunkte getrennte Tupel aus Attributnamen des SSSD-Zwischenspeichers und Namen von LDAP-Attributen. Wenn nur die Namen von LDAP-Attributen angegeben werden, wird das Attribut unverändert im Zwischenspeicher gespeichert. Die Verwendung eines benutzerdefinierten SSSD-Attributnamens kann in Umgebungen notwendig sein, in denen mehrere SSSD-Domains mit unterschiedlichen LDAP-Schemata eingerichtet sind.

Bitte beachten Sie, dass diverse Attributnamen durch SSSD reserviert sind, beispielsweise das Attribut “name”. SSSD würde einen Fehler melden, falls eines der reservierten Attribute als zusätzlicher Attributname verwendet wird.

Beispiele:

ldap_user_extra_attrs = telephoneNumber

Speichert das Attribut “telephoneNumber” von LDAP als “telephoneNumber” im Zwischenspeicher.

ldap_user_extra_attrs = phone:telephoneNumber

Speichert das Attribut “telephoneNumber” von LDAP als “phone” im Zwischenspeicher.

Voreinstellung: nicht gesetzt

ldap_user_ssh_public_key (Zeichenkette)

das LDAP-Attribut, das die öffentlichen SSH-Schlüssel des Benutzers enthält

Default: sshPublicKey

ldap_force_upper_case_realm (Boolesch)

Einige Verzeichnisserver, zum Beispiel Active Directory, könnten den Realm-Teil der UPN in Kleinbuchstaben liefern, was zum Scheitern der Authentifizierung führen kann. Setzen Sie diese Option auf einen Wert ungleich Null, falls Sie einen Realm in Großbuchstaben wünschen.

Voreinstellung: »false«

ldap_enumeration_refresh_timeout (Ganzzahl)

gibt an, wie viele Sekunden lang SSSD warten soll, bevor es seinen Zwischenspeicher aufgezählter Datensätze aktualisiert.

Voreinstellung: 300

ldap_purge_cache_timeout (Ganzzahl)

bestimmt, wie oft der Zwischenspeicher auf inaktive Einträge überprüft wird (wie Gruppen ohne Mitglieder und Benutzer, die sich noch nie angemeldet haben) und diese entfernt werden, um Platz zu sparen.

Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.

Voreinstellung: 0 (deaktiviert)

ldap_user_fullname (Zeichenkette)

das LDAP-Attribut, das dem vollständigen Benutzernamen entspricht

Voreinstellung: cn

ldap_user_member_of (Zeichenkette)

das LDAP-Attribut, das die Gruppenmitgliedschaften des Benutzers aufführt

Voreinstellung: memberOf

ldap_user_authorized_service (Zeichenkette)

Falls »access_provider=ldap« und »ldap_access_order=authorized_service« benutzt werden, wird SSSD die Anwesenheit das Attributs »authorizedService« im LDAP-Eintrag den Benutzers nutzen, um die Zugriffsrechte zu bestimmen.

Ein explizites Verweigern (»!svc«) wird zuerst aufgelöst. Als Zweites sucht SSSD eine explizite Erlaubnis (»svc«) und zuletzt nach »allow_all« (*).

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »authorized_service« enthalten muss, damit die Option »ldap_user_authorized_service« funktioniert.

Voreinstellung: authorizedService

ldap_user_authorized_host (Zeichenkette)

Falls »access_provider=ldap« und »ldap_access_order=host« benutzt werden, wird SSSD die Anwesenheit das Attributs »host« im LDAP-Eintrag den Benutzers verwenden, um die Zugriffsrechte zu bestimmen.

Ein explizites Verweigern (»!host«) wird zuerst aufgelöst. Als Zweites sucht SSSD eine explizite Erlaubnis (»host«) und zuletzt nach »allow_all« (*).

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »host« enthalten muss, damit die Option »ldap_user_authorized_host« funktioniert.

Voreinstellung: host

ldap_user_authorized_rhost (string)

If access_provider=ldap and ldap_access_order=rhost, SSSD will use the presence of the rhost attribute in the user's LDAP entry to determine access privilege. Similarly to host verification process.

An explicit deny (!rhost) is resolved first. Second, SSSD searches for explicit allow (rhost) and finally for allow_all (*).

Please note that the ldap_access_order configuration option must include “rhost” in order for the ldap_user_authorized_rhost option to work.

Default: rhost

ldap_user_certificate (string)

Name of the LDAP attribute containing the X509 certificate of the user.

Default: userCertificate;binary

ldap_user_email (string)

Name of the LDAP attribute containing the email address of the user.

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

Default: mail

ldap_group_object_class (Zeichenkette)

die Objektklasse eines Gruppeneintrags in LDAP

Voreinstellung: posixGroup

ldap_group_name (Zeichenkette)

das LDAP-Attribut, das dem Gruppennamen entspricht

Default: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_group_gid_number (Zeichenkette)

das LDAP-Attribut, das der Gruppen-ID entspricht

Voreinstellung: gidNumber

ldap_group_member (Zeichenkette)

das LDAP-Attribut, das die Namen der Gruppenmitglieder enthält

Voreinstellung: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (string)

The LDAP attribute that contains the UUID/GUID of an LDAP group object.

Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA

ldap_group_objectsid (Zeichenkette)

das LDAP-Attribut, das die ObjectSID eines LDAP-Gruppenobjekts enthält. Dies wird normalerweise nur für Active-Directory-Server benötigt.

Default: objectSid for ActiveDirectory, not set for other servers.

ldap_group_modify_timestamp (Zeichenkette)

das LDAP-Attribut, das den Zeitstempel der letzten Änderung im übergeordneten Objekt enthält

Voreinstellung: modifyTimestamp

ldap_group_type (Ganzzahl)

Das LDAP-Attribut, das einen Ganzzahlwert enthält, der den Gruppentyp und eventuell weitere Flags enthält.

Dieses Attribut wird derzeit nur vom AD-Anbieter verwendet, um zu ermitteln, ob eine Gruppe eine lokale Domain-Gruppe ist und aus den vertrauenswürdigen Domains herausgefiltert werden sollte.

Default: groupType in the AD provider, otherwise not set

ldap_group_external_member (string)

The LDAP attribute that references group members that are defined in an external domain. At the moment, only IPA's external members are supported.

Default: ipaExternalMember in the IPA provider, otherwise unset.

ldap_group_nesting_level (Ganzzahl)

Falls »ldap_schema« auf ein Format gesetzt ist, das verschachtelte Gruppen (z.B. RFC2307bis) unterstützt, dann steuert diese Option, wie viele Stufen tief SSSD der Verschachtelung folgt. Diese Option hat keine Auswirkungen auf das Schema RFC2307.

Hinweis: Diese Option gibt die garantierte Tiefe verschachtelter Gruppen an, die bei Suchvorgängen verarbeitet werden soll. Dennoch können auch tiefer verschachtelte Gruppen einbezogen werden, falls bei früheren Suchvorgängen die tieferen Ebenen bereits einmal berücksichtigt wurden. Außerdem können folgende Suchvorgänge für andere Gruppen die Ergebnisse des ursprünglichen Suchvorgangs vergrößern, wenn die Suche erneut erfolgt.

If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using “id_provider=ad” it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.

Voreinstellung: 2

ldap_groups_use_matching_rule_in_chain

This option tells SSSD to take advantage of an Active Directory-specific feature which may speed up group lookup operations on deployments with complex or deep nested groups.

In most common cases, it is best to leave this option disabled. It generally only provides a performance increase on very complex nestings.

If this option is enabled, SSSD will use it if it detects that the server supports it during initial connection. So "True" here essentially means "auto-detect".

Note: This feature is currently known to work only with Active Directory 2008 R1 and later. See MSDN(TM) documentation[1] for more details.

Voreinstellung: False

ldap_initgroups_use_matching_rule_in_chain

This option tells SSSD to take advantage of an Active Directory-specific feature which might speed up initgroups operations (most notably when dealing with complex or deep nested groups).

If this option is enabled, SSSD will use it if it detects that the server supports it during initial connection. So "True" here essentially means "auto-detect".

Note: This feature is currently known to work only with Active Directory 2008 R1 and later. See MSDN(TM) documentation[1] for more details.

Voreinstellung: False

ldap_use_tokengroups

Diese Optionen aktivieren oder deaktivieren die Verwendung des Token-Gruppen-Attributs, wenn »initgroup« für Benutzers des Active Directory Servers 2008 und neuere Versionen ausgeführt wird.

Default: True for AD and IPA otherwise False.

ldap_netgroup_object_class (Zeichenkette)

die Objektklasse eines Netzgruppeneintrags in LDAP

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_object_class« benutzt werden.

Voreinstellung: nisNetgroup

ldap_netgroup_name (Zeichenkette)

das LDAP-Attribut, das dem Netzgruppennamen entspricht

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_name« benutzt werden.

Voreinstellung: cn

ldap_netgroup_member (Zeichenkette)

das LDAP-Attribut, das die Namen der Netzgruppenmitglieder enthält

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_member« benutzt werden.

Voreinstellung: memberNisNetgroup

ldap_netgroup_triple (Zeichenkette)

das LDAP-Attribut, das die Netzgruppen-Triples (Rechner, Benutzer, Domain) enthält

Diese Option ist für IPA-Anbieter nicht verfügbar.

Voreinstellung: nisNetgroupTriple

ldap_netgroup_modify_timestamp (Zeichenkette)

das LDAP-Attribut, das den Zeitstempel der letzten Änderung im übergeordneten Objekt enthält

Diese Option ist für IPA-Anbieter nicht verfügbar.

Voreinstellung: modifyTimestamp

ldap_host_object_class (string)

The object class of a host entry in LDAP.

Voreinstellung: ipService

ldap_host_name (string)

The LDAP attribute that corresponds to the host's name.

Voreinstellung: cn

ldap_host_fqdn (string)

The LDAP attribute that corresponds to the host's fully-qualified domain name.

Default: fqdn

ldap_host_serverhostname (string)

The LDAP attribute that corresponds to the host's name.

Default: serverHostname

ldap_host_member_of (string)

The LDAP attribute that lists the host's group memberships.

Voreinstellung: memberOf

ldap_host_search_base (string)

optional, verwendet die angegebene Zeichenkette als Suchgrundlage für Rechnerobjekte

Informationen über das Konfigurieren mehrerer Suchgrundlagen finden Sie unter »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_host_ssh_public_key (string)

The LDAP attribute that contains the host's SSH public keys.

Default: sshPublicKey

ldap_host_uuid (string)

The LDAP attribute that contains the UUID/GUID of an LDAP host object.

Voreinstellung: nicht gesetzt

ldap_service_object_class (Zeichenkette)

die Objektklasse eines Diensteintrags in LDAP

Voreinstellung: ipService

ldap_service_name (Zeichenkette)

das LDAP-Attribut, das die Namen von Dienstattributen und ihre Alias enthält

Voreinstellung: cn

ldap_service_port (Zeichenkette)

das LDAP-Attribut, das den von diesem Dienst verwalteten Port enthält

Voreinstellung: ipServicePort

ldap_service_proto (Zeichenkette)

das LDAP-Attribut, das die von diesem Dienst verstandenen Protokolle enthält

Voreinstellung: ipServiceProtocol

ldap_service_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

ldap_search_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem LDAP-Suchen laufen dürfen, bevor sie abgebrochen und die zwischengespeicherten Ergebnisse zurückgegeben werden (und in den Offline-Modus gegangen wird).

Hinweis: Diese Option ist in zukünftigen Versionen von SSSD Gegenstand von Änderungen. Sie wird wahrscheinlich an einigen Stellen durch Serien von Zeitüberschreitungspunkten für spezielle Nachschlagetypen ersetzt.

Voreinstellung: 6

ldap_enumeration_search_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem LDAP-Suchen nach Benutzer- und Gruppenaufzählungen laufen dürfen, bevor sie abgebrochen und die zwischengespeicherten Ergebnisse zurückgegeben werden (und in den Offline-Modus gegangen wird).

Voreinstellung: 60

ldap_network_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, nach dem poll(2)/select(2) gefolgt von einem connect(2) zurückkehrt, falls keine Aktivität stattfindet.

Voreinstellung: 6

ldap_opt_timeout (Ganzzahl)

Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also controls the timeout when communicating with the KDC in case of SASL bind, the timeout of an LDAP bind operation, password change extended operation and the StartTLS operation.

Voreinstellung: 6

ldap_connection_expire_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem eine Verbindung zu einem LDAP-Server aufrechterhalten wird. Nach dieser Zeit wird die Verbindung erneut aufgebaut. Wird dies parallel zu SASL/GSSAPI benutzt, wird der frühere der beiden Werte (dieser Wert gegenüber der TGT-Lebensdauer) verwendet.

Voreinstellung: 900 (15 Minuten)

ldap_page_size (Ganzzahl)

gibt die Anzahl der Datensätze an, die in einer einzelnen Anfrage von LDAP empfangen werden. Einige LDAP-Server erzwingen eine Begrenzung des Maximums pro Anfrage.

Voreinstellung: 1000

ldap_disable_paging (Boolesch)

deaktiviert die Seitenadressierungssteuerung von LDAP. Diese Option sollte benutzt werden, falls der LDAP-Server meldet, dass er die LDAP-Seitenadressierungssteuerung in seinem RootDSE unterstützt, sie jedoch deaktiviert ist oder sich nicht ordnungsgemäß verhält.

Beispiel: OpenLDAP-Server, bei denen das Seitenadressierungssteuerungsmodul installiert, aber nicht aktiviert ist, werden es im RootDSE melden, sind aber nicht in der Lage, es zu benutzen.

Beispiel: 389 DS hat einen Fehler, durch den es gleichzeitig nur eine einzige Seitenadressierungssteuerung für eine einzelne Verbindung benutzen kann. Bei ausgelasteten Clients kann dies dazu führen, dass manche Anfragen abgelehnt werden.

Voreinstellung: False

ldap_disable_range_retrieval (Boolesch)

deaktiviert die Bereichsabfrage von Active Directory

Active Directory begrenzt die Anzahl der Mitglieder, die in einem einzigen Nachschlagen mittels der MaxValRange-Richtlinie empfangen werden können (die Voreinstellung sind 1.500 Mitglieder). Falls eine Gruppe mehr Mitglieder enthält, wird die Antwort eine AD-spezifische Bereichserweiterung enthalten. Diese Option deaktiviert das Auswerten der Bereichserweiterung, daher wird es so aussehen, als ob große Gruppen keine Mitglieder hätten.

Voreinstellung: False

ldap_sasl_minssf (Ganzzahl)

Wenn mittels SASL mit einem LDAP-Server kommuniziert wird, gibt dies die mindestens nötige Sicherheitsstufe zum Herstellen der Verbindung an. Die Werte dieser Option werden durch OpenLDAP definiert.

Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

ldap_sasl_maxssf (integer)

When communicating with an LDAP server using SASL, specify the maximal security level necessary to establish the connection. The values of this option are defined by OpenLDAP.

Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

ldap_deref_threshold (Ganzzahl)

gibt die Anzahl der Gruppenmitglieder an, die aus dem internen Zwischenspeicher fehlen muss, um ein dereferenzierendes Nachschlagen auszulösen. Falls weniger Mitglieder fehlen, werden sie individuell nachgeschlagen.

You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.

Dereferenzierendes Nachschlagen ist ein Mittel, um alle Gruppenmitglieder in einem einzigen LDAP-Aufruf abzuholen. Verschiedene LDAP-Server können unterschiedliche Methoden zum Dereferenzieren implementieren. Die derzeit unterstützten Server sind 389/RHDS, OpenLDAP und Active Directory.

Hinweis: Falls eine der Suchgrundlagen einen Suchfilter angibt, wird die Verbesserung der Leistung beim dereferenzierenden Nachschlagen ohne Rücksicht auf die Einstellung deaktiviert.

Voreinstellung: 10

ldap_tls_reqcert (Zeichenkette)

gibt an, welche Prüfungen von Server-Zertifikaten in einer TLS-Sitzung durchgeführt werden, falls vorhanden. Dies kann in Form einer der folgenden Werte angegeben werden:

never = Der Client wird kein Server-Zertifikat prüfen oder anfordern.

allow = Das Server-Zertifikat wird angefordert. Falls kein Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird es ignoriert und die Sitzung fährt normal fort.

try = Das Server-Zertifikat wird angefordert. Falls das Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

demand = Das Server-Zertifikat wird angefordert. Falls kein oder ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

hard = entspricht »demand«

Voreinstellung: hard

ldap_tls_cacert (Zeichenkette)

gibt die Datei an, die Zertifikate für alle Zertifizierungstellen enthält, die sssd erkennen wird.

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_tls_cacertdir (Zeichenkette)

gibt den Pfad eines Verzeichnisses an, das Zertifikate von Zertifizierungstellen in separaten individuellen Dateien enthält. Die Dateinamen sollen normalerweise ein Hash-Wert des Zertifikats gefolgt von ».0« sein. Falls verfügbar, kann cacertdir_rehash zum Erstellen der korrekten Namen verwendet werden.

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_tls_cert (Zeichenkette)

gibt die Datei an, die das Zertifikat für den Schlüssel des Clients enthält.

Voreinstellung: nicht gesetzt

ldap_tls_key (Zeichenkette)

gibt die Datei an, die den Schlüssel des Clients enthält.

Voreinstellung: nicht gesetzt

ldap_tls_cipher_suite (Zeichenkette)

Specifies acceptable cipher suites. Typically this is a colon separated list. See ldap.conf(5) for format.

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_id_use_start_tls (Boolesch)

gibt an, dass die Verbindung »id_provider« auch tls benutzen muss, um den Kanal abzusichern.

Voreinstellung: »false«

ldap_id_mapping (Boolesch)

gibt an, dass SSSD versuchen soll, die Benutzer- und Gruppen-ID von den Attributen »ldap_user_objectsid« und »ldap_group_objectsid« abzubilden, statt sich auf »ldap_user_uid_number« und »ldap_group_gid_number« zu verlassen.

Derzeit unterstützt diese Funktionalität nur das Abbilden von Active-Directory-ObjectSIDs.

Voreinstellung: »false«

ldap_min_id, ldap_max_id (integer)

Im Gegensatz zum SID-basierten ID-Abbilden, das benutzt wird, falls »ldap_id_mapping« auf »true« gesetzt ist, ist der erlaubte ID-Bereich für »ldap_user_uid_number« und »ldap_group_gid_number« offen. In einer Konfiguration mit Unter-Domains und vertrauenswürdigen Domains könnte dies zu ID-Kollisionen führen. Um Kollisionen zu vermeiden, können »ldap_min_id« und »ldap_max_id« zum Begrenzen des erlaubten Bereichs für direkt vom Server gelesene IDs verwendet werden. Unter-Domains können dann andere Bereiche zur Abbildung von IDs wählen.

Voreinstellung: nicht gesetzt (beide Optionen sind auf 0 gesetzt)

ldap_sasl_mech (Zeichenkette)

Specify the SASL mechanism to use. Currently only GSSAPI and GSS-SPNEGO are tested and supported.

If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in sssd.conf(5) for details.

Voreinstellung: nicht gesetzt

ldap_sasl_authid (Zeichenkette)

Specify the SASL authorization id to use. When GSSAPI/GSS-SPNEGO are used, this represents the Kerberos principal used for authentication to the directory. This option can either contain the full principal (for example host/myhost@EXAMPLE.COM) or just the principal name (for example host/myhost). By default, the value is not set and the following principals are used:

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*

If none of them are found, the first principal in keytab is returned.

Voreinstellung Rechner/MeinRechner@BEREICH

ldap_sasl_realm (Zeichenkette)

gibt den SASL-Realm an, der benutzt werden soll. Wurde diese Option nicht angegeben, ist die Voreinstellung der Wert von »krb5_realm«. Falls »ldap_sasl_authid« ebenfalls den Realm enthält, wird diese Option ignoriert.

Voreinstellung: der Wert von »krb5_realm«

ldap_sasl_canonicalize (Boolesch)

Falls dies auf »true« gesetzt wäre, würde die LDAP-Bibliothek ein umgekehrtes Nachschlagen durchführen, um den Rechnernamen während eines SASL-Bind in eine kanonische Form zu bringen.

Voreinstellung: false;

ldap_krb5_keytab (Zeichenkette)

Specify the keytab to use when using SASL/GSSAPI/GSS-SPNEGO.

Voreinstellung: Keytab des Systems, normalerweise /etc/krb5.keytab

ldap_krb5_init_creds (Boolesch)

Specifies that the id_provider should init Kerberos credentials (TGT). This action is performed only if SASL is used and the mechanism selected is GSSAPI or GSS-SPNEGO.

Voreinstellung: »true«

ldap_krb5_ticket_lifetime (Ganzzahl)

Specifies the lifetime in seconds of the TGT if GSSAPI or GSS-SPNEGO is used.

Voreinstellung: 86400 (24 Stunden)

krb5_server, krb5_backup_server (Zeichenkette)

gibt die durch Kommata getrennte Liste von IP-Adressen bzw. Rechnernamen von Kerberos-Servern in der Reihenfolge an, in der sich SSSD mit ihnen verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. An die Adressen oder Rechnernamen kann eine optionale Portnummer (der ein Doppelpunkt vorangestellt ist) angehängt werden. Falls dies leer gelassen wurde, wird die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt »DIENSTSUCHE«.

Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf _tcp aus.

Diese Option hieß in früheren Veröffentlichungen von SSSD »krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von »krb5_server« zu migrieren.

krb5_realm (Zeichenkette)

Specify the Kerberos REALM (for SASL/GSSAPI/GSS-SPNEGO auth).

Voreinstellung: Systemvoreinstellungen, siehe /etc/krb5.conf

krb5_canonicalize (Boolesch)

gibt an, ob der Host Principal beim Verbinden mit einem LDAP-Server in eine kanonische Form gebracht werden soll. Diese Funktionalität ist mit MIT Kerberos >= 1.7 verfügbar.

Voreinstellung: »false«

krb5_use_kdcinfo (Boolesch)

gibt an, ob SSSD die Kerberos-Bibliotheken anweisen soll, welcher Realm und welche Schlüsselverwaltungszentralen (KDCs) benutzt werden sollen. Diese Option ist standardmäßig eingeschaltet. Falls Sie sie ausschalten, müssen Sie die Kerberos-Bibliothek mittels der Konfigurationsdatei krb5.conf(5) einrichten.

Weitere Informationen über die Locator-Erweiterung finden Sie auf der Handbuchseite sssd_krb5_locator_plugin(8).

Voreinstellung: »true«

ldap_pwd_policy (Zeichenkette)

wählt das Regelwerk, anhand dessen das Client-seitige Erlöschen des Passworts abgeschätzt werden soll. Die folgenden Werte sind erlaubt:

none – keine Client-seitige Abschätzung. Diese Option kann keine Server-seitigen Passwortregelwerke deaktivieren.

shadow – benutzt Attribute im Stil von shadow(5), um abzuschätzen, ob das Passwort erloschen ist.

mit_kerberos – verwendet die von MIT Kerberos benutzten Attribute, um zu bestimmen, ob das Passwort erloschen ist. Verwenden Sie »chpass_provider=krb5«, um diese Attribute zu aktualisieren, wenn das Passwort geändert wurde.

Voreinstellung: none

Hinweis: Falls serverseitig eine Passwortregel konfiguriert ist, hat diese stets Vorrang vor der mit dieser Option festgelegten Regel.

ldap_referrals (Boolesch)

gibt an, ob automatische Verweisverfolgung aktiviert werden soll.

Bitte beachten Sie, dass SSSD nur Verweisverfolgung unterstützt, falls es mit OpenLDAP Version 2.4.13 oder höher kompiliert wurde.

Verweisverfolgungen können in Umgebungen, die ausgiebig von ihnen Gebrauch machen, einen Leistungsnachteil erleiden, ein beachtenswertes Beispiel ist Microsoft Active Directory. Falls ihre Installation Verweisverfolgungen nicht tatsächlich benötigt, könnte diese Option auf »false« zu setzen eine merkliche Leistungsverbesserung bringen.

Voreinstellung: »true«

ldap_dns_service_name (Zeichenkette)

gibt an, welcher Dienstname bei aktivierter Dienstsuche benutzt werden soll.

Voreinstellung: ldap

ldap_chpass_dns_service_name (Zeichenkette)

gibt den Dienstnamen an, der zum Finden eines LDAP-Servers benutzt werden soll, der Passwortänderungen bei aktivierter Dienstsuche ermöglicht.

Voreinstellung: nicht gesetzt, d.h. Dienstsuche ist deaktiviert

ldap_chpass_update_last_change (Boolesch)

gibt an, ob das Attribut »ldap_user_shadow_last_change« nach einer Passwortänderung mit Unix-Zeit geändert wird.

Voreinstellung: False

ldap_access_filter (Zeichenkette)

Falls access_provider = ldap und ldap_access_order = filter ist (Voreinstellung), dann ist diese Option obligatorisch. Sie gibt ein Suchfilterkriterium für LDAP an, dass auf den Benutzer passen muss, damit diesem Zugriff auf den Host gewährt wird. Falls access_provider = ldap und ldap_access_order = filter ist und diese Option nicht gesetzt ist, wird allen Benutzern der Zugriff verweigert. Verwenden Sie access_provider = permit, um dieses Standardverhalten zu ändern. Bitte beachten Sie, dass dieser Filter nur auf den LDAP-Benutzereintrag angewendet wird und daher die auf verschachtelten Gruppen basierende Filterung nicht funktioniert. Beispielsweise zeigt das Active-Directory-Attribut »memberOf« nur auf die unmittelbaren Eltern. Falls die Filterung basierend auf verschachtelten Gruppen erforderlich sein sollte, finden Sie genauere Anweisungen in der Handbuchseite zu sssd-simple(5).

Beispiel:

access_provider = ldap
ldap_access_filter = (employeeType=admin)

In diesem Beispiel wird der Zugriff auf diesen Host auf jene Benutzer beschränkt, deren employeeType-Attribut auf »admin« gesetzt ist.

Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.

Voreinstellung: leer

ldap_account_expire_policy (Zeichenkette)

Mit dieser Option kann eine Client-seitige Abschätzung der Zugriffssteuerungsattribute aktiviert werden.

Bitte beachten Sie, dass die Server-seitige Zugriffssteuerung generell empfohlen wird, d.h. der LDAP-Server sollte die Bind-Abfrage sogar dann mit einem geeigneten Fehlercode zurückweisen, wenn das Passwort korrekt ist.

Die folgenden Werte sind erlaubt:

shadow: verwendet den Wert von »ldap_user_shadow_expire«, um zu bestimmen, ob das Konto abgelaufen ist.

ad: verwendet den Wert des 32-Bit-Felds »ldap_user_ad_user_account_control« und ermöglicht den Zugriff, falls das zweite Bit nicht gesetzt ist. Falls das Attribut fehlt, wird Zugriff gewährt. Außerdem wird die Ablaufzeit des Kontos geprüft.

rhds, ipa, 389ds: verwenden den Wert von »ldap_ns_account_lock«, um zu prüfen, ob Zugriff erlaubt wird oder nicht.

nds: Die Werte von »ldap_user_nds_login_allowed_time_map«, »ldap_user_nds_login_disabled« und »ldap_user_nds_login_expiration_time« werden benutzt, um zu überprüfen, ob Zugriff gewährt wird. Falls diese Attribute fehlen, wird Zugriff erteilt. This is an experimental feature, please use https://pagure.io/SSSD/sssd/ to report any issues.

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »expire« enthalten muss, damit die Option »ldap_account_expire_policy« funktioniert.

Voreinstellung: leer

ldap_access_order (Zeichenkette)

durch Kommata getrennte Liste von Zugriffssteuerungsoptionen. Folgende Werte sind erlaubt:

filter: verwendet »ldap_access_filter«.

lockout: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

Please note that this option is superseded by the “ppolicy” option and might be removed in a future release.

ppolicy: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

expire: verwendet »ldap_account_expire_policy«.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.

The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.

Note If user password is expired no explicit message is prompted by SSSD.

Please note that 'access_provider = ldap' must be set for this feature to work. Also 'ldap_pwd_policy' must be set to an appropriate password policy.

authorized_service: verwendet das Attribut »authorizedService«, um zu bestimmen, ob Zugriff gewährt wird.

host: verwendet das Attribut »host«, um zu bestimmen, ob Zugriff gewährt wird.

rhost: use the rhost attribute to determine whether remote host can access

Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option

Voreinstellung: filter

Bitte beachten Sie, dass es ein Konfigurationsfehler ist, falls ein Wert mehr als einmal benutzt wird.

ldap_pwdlockout_dn (string)

This option specifies the DN of password policy entry on LDAP server. Please note that absence of this option in sssd.conf in case of enabled account lockout checking will yield access denied as ppolicy attributes on LDAP server cannot be checked properly.

Example: cn=ppolicy,ou=policies,dc=example,dc=com

Default: cn=ppolicy,ou=policies,$ldap_search_base

ldap_deref (Zeichenkette)

gibt an, wie Alias-Dereferenzierung bei einer Suche erledigt wird. Die folgenden Optionen sind erlaubt:

never: Alias werden nie dereferenziert.

searching: Alias werden auf Unterebenen des Basisobjekts dereferenziert, nicht jedoch beim Orten des Basisobjekts der Suche.

finding: Alias werden nur beim Orten des Basisobjekts der Suche dereferenziert.

always: Alias werden sowohl bei der Suche als auch beim Orten des Basisobjekts der Suche dereferenziert.

Voreinstellung: leer (Dies wird durch LDAP-Client-Bibliotheken wie never gehandhabt.)

ldap_rfc2307_fallback_to_local_users (Boolesch)

ermöglich, lokale Anwender als Mitglieder einer LDAP-Gruppe für Server beizubehalten, die das Schema RFC2307 benutzen.

In einigen Umgebungen, in denen das Schema RFC2307 verwendet wird, werden lokale Benutzer zu Mitgliedern einer LDAP-Gruppe gemacht, indem ihre Namen dem Attribut »memberUid« hinzugefügt werden. Die eigene Stimmigkeit der Domain wird dabei kompromittiert, daher würde SSSD normalerweise »fehlende« Anwender aus den zwischengespeicherten Gruppenmitgliedschaften entfernen, sobald Nsswitch versucht, Informationen über den Anwender durch Aufrufen von getpw*() oder initgroups() abzurufen.

Diese Option greift auf das Prüfen zurück, ob auf lokale Benutzer Bezug genommen wird und speichert sie, so dass spätere Aufrufe von »initgroups() die lokalen Benutzer um zusätzliche LDAP-Gruppen erweitert werden.

Voreinstellung: »false«

wildcard_limit (integer)

Specifies an upper limit on the number of entries that are downloaded during a wildcard lookup.

At the moment, only the InfoPipe responder supports wildcard lookups.

Default: 1000 (often the size of one page)

SUDO-OPTIONEN

Detaillierte Anweisungen zur Konfiguration von sudo_provider finden Sie in der Handbuchseite zu sssd-sudo(5).

ldap_sudorule_object_class (Zeichenkette)

die Objektklasse eines Sudo-Regeleintrags in LDAP

Voreinstellung: sudoRole

ldap_sudorule_name (Zeichenkette)

das LDAP-Attribut, das dem Namen der Sudo-Regel entspricht

Voreinstellung: cn

ldap_sudorule_command (Zeichenkette)

das LDAP-Attribut, das dem Namen des Befehls entspricht

Voreinstellung: sudoCommand

ldap_sudorule_host (Zeichenkette)

das LDAP-Attribut, das dem Rechnernamen (oder der IP-Adresse, dem IP-Netzwerk oder des Netzwerkgruppe des Rechners) entspricht

Voreinstellung: sudoHost

ldap_sudorule_user (Zeichenkette)

das LDAP-Attribut, das dem Benutzernamen (oder der UID, dem Gruppennamen oder der Netzwerkgruppe des Benutzers) entspricht

Voreinstellung: sudoUser

ldap_sudorule_option (Zeichenkette)

das LDAP-Attribut, das den Sudo-Optionen entspricht

Voreinstellung: sudoOption

ldap_sudorule_runasuser (Zeichenkette)

das LDAP-Attribut, das dem Benutzernamen entspricht, unter dem Befehle ausgeführt werden können

Voreinstellung: sudoRunAsUser

ldap_sudorule_runasgroup (Zeichenkette)

das LDAP-Attribut, das dem Gruppennamen oder der GID der Gruppe entspricht, worunter Befehle ausgeführt werden können

Voreinstellung: sudoRunAsGroup

ldap_sudorule_notbefore (Zeichenkette)

das LDAP-Attribut, das dem Startdatum und der Startzeit entpricht, wann die Sudo-Regel gültig wird.

Voreinstellung: sudoNotBefore

ldap_sudorule_notafter (Zeichenkette)

das LDAP-Attribut, das dem Ablaufdatum und der Ablaufzeit entspricht, nach der die Sudo-Regel nicht länger gültig ist.

Voreinstellung: sudoNotAfter

ldap_sudorule_order (Zeichenkette)

das LDAP-Attribut, das dem Reihenfolgenindex der Regel entspricht

Voreinstellung: sudoOrder

ldap_sudo_full_refresh_interval (Ganzzahl)

wie viele Sekunden SSSD zwischen einer vollständigen Aktualisierung von Sudo-Regeln warten wird (wodurch alle auf dem Server gespeicherten Regeln heruntergeladen werden)

Der Wert muss größer als ldap_sudo_smart_refresh_interval sein.

Voreinstellung: 21600 (6 Stunden)

ldap_sudo_smart_refresh_interval (Ganzzahl)

How many seconds SSSD has to wait before executing a smart refresh of sudo rules (which downloads all rules that have USN higher than the highest server USN value that is currently known by SSSD).

Falls vom Server keine USN-Attribute unterstützt werden, wird stattdessen das Attribut »modifyTimestamp« benutzt.

Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).

Voreinstellung: 900 (15 Minuten)

ldap_sudo_use_host_filter (Boolesch)

Falls dies auf »true« gesetzt ist, wird SSSD nur die Regeln herunterladen, die auf diese Maschine angewandt werden können (mittels der IPv4- oder IPv6-Netzwerkadressen und Rechnernamen).

Voreinstellung: »true«

ldap_sudo_hostnames (Zeichenkette)

durch Leerzeichen getrennte Listen von Rechnernamen oder voll qualifizierten Domain-Namen, die zum Filtern der Regeln benutzt werden sollen

Falls diese Option leer ist, wird SSSD versuchen, den Rechnernamen und den voll qualifizierten Domain-Namen automatisch herauszufinden.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

ldap_sudo_ip (Zeichenkette)

durch Kommata getrennte Liste von IPv4- oder IPv6-Rechner- beziehungsweise Netzwerkadressen, die zum Filtern der Regeln benutzt werden sollen

Falls diese Option leer ist, wird SSSD versuchen, die Adressen automatisch herauszufinden.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

ldap_sudo_include_netgroups (Boolesch)

Falls dies auf »true« gesetzt ist, wird SSSD jede Regel herunterladen, die eine Netzgruppe im Attribut »sudoHost« enthält.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: »true«

ldap_sudo_include_regexp (Boolesch)

Falls dies auf »true« gesetzt ist, wird SSSD jede Regel herunterladen, die einen Platzhalter im Attribut »sudoHost« enthält.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: »true«

Diese Handbuchseite beschreibt nur das Abbilden von Attributnamen. Eine umfassende Erklärung der Sudo-bezogenen Attributsemantik finden Sie unter sudoers.ldap(5).

AUTOFS-OPTIONEN

Some of the defaults for the parameters below are dependent on the LDAP schema.

ldap_autofs_map_master_name (Zeichenkette)

Der Name der Automount-Master-Abbildung in LDAP.

Voreinstellung: auto.master

ldap_autofs_map_object_class (Zeichenkette)

die Objektklasse eines Automount-Abbildungseintrags in LDAP

Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap

ldap_autofs_map_name (Zeichenkette)

der Name eines Automount-Abbildungseintrags in LDAP

Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName

ldap_autofs_entry_object_class (Zeichenkette)

The object class of an automount entry in LDAP. The entry usually corresponds to a mount point.

Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount

ldap_autofs_entry_key (Zeichenkette)

der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der Eintrag einem Einhängepunkt.

Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey

ldap_autofs_entry_value (Zeichenkette)

der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der Eintrag einem Einhängepunkt.

Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation

Bitte beachten Sie, dass der Automounter beim Start nur die Master-Abbildung liest. Daher müssen Sie normalerweise, falls irgendwelche zu Autofs gehörigen Änderungen in der »sssd.conf« vorgenommen wurden, den Automounter-Daemon nach dem SSSD-Neustart ebenfalls neu starten.

ERWEITERTE OPTIONEN

These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.

ldap_netgroup_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

ldap_user_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

ldap_group_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.


Note

If the option “ldap_use_tokengroups” is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.

ldap_sudo_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

ldap_autofs_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

AUSFALLSICHERUNG

Die Ausfallsicherungsfunktionalität ermöglicht es, dass Backends automatisch auf einen anderen Server wechseln, falls der aktuelle versagt.

AUSFALLSICHERUNGSSYNTAX

Die Server werden als durch Kommata getrennte Liste angegeben. Um das Komma herum ist eine beliebige Anzahl von Leerzeichen erlaubt. Die Server werden in Reihenfolge der Bevorzugung aufgeführt. Die Liste kann eine beliebige Anzahl von Servern enthalten.

Von jeder Konfigurationsoption mit aktivierter Ausfallsicherung existieren zwei Varianten: primary und backup. Die Idee dahinter ist, dass Server in der Liste »primary« bevorzugt werden und nur nach »backup«-Servern gesucht wird, falls kein »primary«-Server erreichbar ist. Falls ein »backup«-Server ausgewählt wird, wird eine Dauer von 31 Sekunden bis zur Zeitüberschreitung festgelegt. Nach dieser Zeit wird SSSD periodisch versuchen, sich mit einem der primären Server zu verbinden. Ist dies erfolgreich, wird es den derzeit aktiven (»backup«-)Server ersetzen.

Der Ausfallsicherungsmechanismus

Der Ausfallsicherungsmechanismus unterscheidet zwischen einer Maschine und einem Dienst. Das Backend versucht zuerst, den Rechnernamen der angegebenen Maschine aufzulösen. Falls dieser Versuch scheitert, wird davon ausgegangen, dass die Maschine offline ist und sie auch für keinen anderen Dienst zur Verfügung steht. Kann der den Namen erfolgreich aufgelöst werden, versucht das Backend, sich mit einem Dienst auf dieser Maschine zu verbinden. Ist das nicht möglich, dann wird nur dieser bestimmte Dienst als offline angesehen und das Backend wechselt automatisch weiter zum nächsten. Die Maschine wird weiterhin als online betrachtet und kann immer noch für andere Dienste herangezogen werden.

Weitere Verbindungsversuche zu Maschinen oder Diensten, die als offline gekennzeichnet sind, werden erst nach einer angegebenen Zeitspanne unternommen. Diese ist derzeit hart auf 30 Sekunden codiert.

Falls es weitere Maschinen durchzuprobieren gibt, wechselt das Backend als Ganzes in den Offline-Modus und versucht dann alle 30 Sekunden, sich erneut zu verbinden.

Failover time outs and tuning

Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.

This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.

dns_resolver_op_timeout

How long would SSSD talk to a single DNS server.

dns_resolver_timeout

How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site.

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout>” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout”.

DIENSTSUCHE

Die Dienstsuchfunktionalität ermöglicht es Backends, automatisch mit Hilfe einer speziellen DNS-Abfrage geeignete Server zu suchen, mit denen sie sich verbinden können. Diese Funktionalität wird nicht für Datensicherungs-Server unterstützt.

Konfiguration

Falls keine Server angegeben wurden, benutzt das Backend die Dienstsuche, um einen Server zu finden. Wahlweise kann der Benutzer sowohl feste Server-Adressen als auch die Dienstsuche durch Eingabe des speziellen Schlüsselworts »_srv_« in der Server-Liste auswählen. Die bevorzugte Reihenfolge wird verwaltet. Diese Funktionalität ist zum Beispiel nützlich, falls der Anwender es vorzieht, die Dienstsuche zu verwenden, wann immer dies möglich ist, und auf einen bestimmten Server zurückzugreifen, wenn mittels DNS keine Server gefunden werden.

Der Domain-Name

Weitere Einzelheiten finden Sie in der Handbuchseite sssd.conf(5) beim Parameter »dns_discovery_domain«.

Das Protokoll

Die Abfragen geben als Protokoll üblicherweise »_tcp« an. Ausnahmen sind in der Beschreibung der entsprechenden Option dokumentiert.

Siehe auch

Weitere Informationen über den Dienstsuchmechanismus finden Sie in RFC 2782.

ID-ABBILDUNG

Die ID-Abbildungsfunktionalität ermöglicht es SSSD, als Client eines Active Directorys zu agieren, ohne dass Administratoren Benutzerattribute erweitern müssen, damit POSIX-Attribute für Benutzer- und Gruppenkennzeichner unterstützt werden.

HINWEIS: Wenn ID-Abbildung aktiviert ist, werden die Attribute »uidNumber« und »gidNumber« ignoriert. Dies geschieht, um mögliche Konflikte zwischen automatisch und manuell zugewiesenen Werten zu vermeiden. Falls Sie manuell zugewiesene Werte benutzen müssen, müssen Sie ALLE Werte manuell zuweisen.

Bitte beachten Sie, dass die Änderung der die ID-Abbildung betreffenden Konfigurationsoptionen auch die Änderung der Benutzer- und Gruppen-IDs nach sich zieht. Momentan unterstützt SSSD die Änderung der IDs nicht, daher muss die Datenbank entfernt werden. Da auch zwischengespeicherte Passwörter in der Datenbank enthalten sind, sollte diese nur entfernt werden, während die Authentifizierungsserver erreichbar sind, anderenfalls könnten Benutzer ausgesperrt werden. Um das Passwort zwischenzuspeichern, muss eine Authentifizierung ausgeführt werden. Es reicht nicht aus, sss_cache(8) zum Löschen der Datenbank auszuführen, vielmehr sind folgende Schritte erforderlich:

•Stellen Sie sicher, dass entfernte Server erreichbar sind.

•Stoppen Sie den SSSD-Dienst.

•Entfernen Sie die Datenbank.

•Starten Sie den SSSD-Dienst.

Außerdem ist es ratsam, vorauszuplanen und die ID-Abbildung gründlich zu testen, da die Änderung der IDs Änderungen anderer Systemeigenschaften nach sich ziehen könnte, wie die Besitzverhältnisse von Dateien und Verzeichnissen.

Abbildungsalgorithmus

Active Directory stellt für jedes Benutzer- und Gruppenobjekt im Verzeichnis eine »objectSID« bereit. Diese »objectSID« kann in Bestandteile zerlegt werden, die die Active-Directory-Domain-Identität und den relativen Bezeichner (RID) des Benutzer- oder Gruppenobjekts darstellen.

Der ID-Abbildungsalgorithmus von SSSD nimmt einen Bereich verfügbarer UIDs und teilt sie in gleich große Bestandteile, »Slices« genannt. Jeder Slice steht für den verfügbaren Speicher einer Active-Directory-Domain.

Wenn ein Benutzer- oder Gruppeneintrag für eine bestimmt Domain zum ersten Mal vorgefunden wird, reserviert der SSSD einen der verfügbaren Slices für diese Domain. Um eine Slice-Zuteilung auf verschiedenen Client-Maschinen wiederholbar zu machen, wählen wir den Slice, der auf dem folgenden Algorithmus basiert:

Die Zeichenkette durchläuft den Algorithmus Murmurhash3, um sie in einen 32-Bit-Hash-Wert umzuwandeln. Dann wird der Betrag dieses Werts mit der Gesamtzahl verfügbarer Slices genommen, um den Slice auszusuchen.

HINWEIS: Es ist möglich, dass Kollisionen zwischen dem Hash und nachfolgenden Beträgen auftreten. In diesen Situationen werden wir den nächsten verfügbaren Slice auswählen, aber es ist wahrscheinlich nicht möglich, den genau gleichen Satz von Slices auf anderen Maschinen zu reproduzieren (da die Reihenfolge, in der sie vorgefunden werden, ihren Slice bestimmt). In dieser Situtation wird empfohlen, entweder auf die Verwendung expliziter POSIX-Attribute in Active Directory zu wechseln (ID-Abbildung deaktivieren) oder eine Standard-Domain zu konfigurieren, um sicherzustellen, dass wenigstens eine immer beständig ist. Einzelheiten finden Sie unter »Konfiguration«.

Konfiguration

Minimalkonfiguration (im Abschnitt »[domain/DOMAINNAME]«):

ldap_id_mapping = True
ldap_schema = ad

The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments.

Fortgeschrittene Konfiguration

ldap_idmap_range_min (Ganzzahl)

gibt die Untergrenze des Bereichs von POSIX-IDs an, der zum Abbilden von Active-Directory-Benutzern und Gruppen-SIDs benutzt wird.

HINWEIS: Diese Option unterscheidet sich von »min_id«, wobei »min_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »min_id« kleiner oder gleich »ldap_idmap_range_min« sein sollte.

Voreinstellung: 200000

ldap_idmap_range_max (Ganzzahl)

gibt die Obergrenze des Bereichs von POSIX-IDs an, der zum Abbilden von Active-Directory-Benutzern und Gruppen-SIDs benutzt wird.

HINWEIS: Diese Option unterscheidet sich von »max_id« wobei »max_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »max_id« größer oder gleich »ldap_idmap_range_max« sein sollte.

Voreinstellung: 2000200000

ldap_idmap_range_size (Ganzzahl)

gibt die Anzahl der für jeden Slice verfügbaren IDs an. Falls sich die Bereichsgröße nicht gleichmäßig in die minimalen und maximalen Werte teilen lässt, werden so viele komplette Slices wie möglich erstellt.

HINWEIS: Der Wert dieser Option muss mindestens so groß sein wie die größte Benutzer-RID, die jemals auf dem Active-Directory-Server verwendet werden soll. Das Nachschlagen und Anmelden von Benutzern wird scheitern, wenn deren RIDs größer sind als dieser Wert.

For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, “ldap_idmap_range_size” must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).

Es ist wichtig, für spätere Erweiterungen vorauszuplanen, da die Änderung dieses Wertes zur Änderung aller ID-Abbildungen des Systems führt. Dadurch können Benutzer andere lokale IDs als vorher haben.

Voreinstellung: 200000

ldap_idmap_default_domain_sid (Zeichenkette)

gibt die Domain-SID der Standard-Domain an. Dies wird sicherstellen, dass diese Domain immer dem Slice null im ID-Abbild zugeordnet wird. Dabei wird der oben beschriebene Murmurhash-Algorithmus umgangen.

Voreinstellung: nicht gesetzt

ldap_idmap_default_domain (Zeichenkette)

gibt den Namen der Standard-Domain an.

Voreinstellung: nicht gesetzt

ldap_idmap_autorid_compat (Boolesch)

ändert das Verhalten des ID-Abbildungsalgorithmus so, dass es dem Algorithmus »idmap_autorid« von Winbind ähnlicher ist.

Wenn diese Option konfiguriert wurde, werden Domains beginnend bei Slice null reserviert und gleichmäßig mit jeder zusätzlichen Domain vergrößert.

HINWEIS: Der Algorithmus ist nicht deterministisch (er hängt von der Reihenfolge ab, in der Benutzer und Gruppen abgefragt werden). Falls dieser Modus aus Kompatibilitätsgründen mit Maschinen, die Winbind ausführen, erforderlich ist, wird empfohlen, auch die Option »ldap_idmap_default_domain_sid« zu verwenden. Dies soll sicherstellen, dass mindestens eine Domain beständig für den Slice null reserviert ist.

Voreinstellung: False

ldap_idmap_helper_table_size (integer)

Maximal number of secondary slices that is tried when performing mapping from UNIX id to SID.

Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated.

Voreinstellung: 10

Bekannte Sicherheits-IDs

SSSD unterstützt das Nachschlagen der Namen sogenannter bekannter Sicherheits-IDs, die eine spezielle unveränderliche Bedeutung haben. Da generische Benutzer und Gruppen, die sich auf diese bekannten SIDs beziehen, keine Entsprechung in einer Linux/UNIX-Umgebung haben, sind für diese Objekte keine POSIX-IDs verfügbar.

Der SID-Namensraum ist in Autoritäten organisiert, die als unterschiedliche Domains betrachtet werden können. Die Autoritäten für die bekannten SIDs sind

•Null-Autorität (Null Authority)

•Weltweit anerkannte Autorität (World Authority)

•Lokale Autorität (Local Authority)

•Ersteller-Autorität (Creator Authority)

•NT-Autorität (NT Authority)

•Eingebaut

Die mit großem Anfangsbuchstaben geschriebenen Versionen dieser Namen werden als Domainnamen verwendet, wenn der voll qualifizierte Name einer bekannten Sicherheits-ID zurückgegeben wird.

Da einige Dienstprogramme die Änderung der Sicherheits-ID-basierten Zugriffskontrollinformationen mit Hilfe des Namens ermöglichen, anstelle die Sicherheits-ID direkt zu verwenden, unterstützt SSSD die Suche nach der SID anhand des Namens ebenfalls. Um Überschneidungen zu vermeiden, können nur voll qualifizierte Namen bei der Suche nach bekannten Sicherheit-IDs verwendet werden. Daher sollten die Domainnamen “NULL AUTHORITY”, “WORLD AUTHORITY”, “ LOCAL AUTHORITY”, “CREATOR AUTHORITY”, “NT AUTHORITY” und “BUILTIN” nicht als Domainnamen in sssd.conf verwendet werden.

BEISPIEL

Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert ist und LDAP auf eine der Domains im Abschnitt [domains] gesetzt ist.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

LDAP ACCESS FILTER EXAMPLE

The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

ANMERKUNGEN

Die Beschreibungen einiger Konfigurationsoptionen auf dieser Handbuchseite basieren auf der Handbuchseite ldap.conf(5) der Distribution OpenLDAP 2.4.

SIEHE AUCH

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)

AUTHORS

The SSSD upstream - https://pagure.io/SSSD/sssd/

NOTES

1.
MSDN(TM) documentation
01/23/2024 SSSD