Класс объектов записи пользователя в LDAP.

По умолчанию: posixAccount

Атрибут LDAP, соответствующий имени пользователя для входа.

По умолчанию: uid (rfc2307, rfc2307bis и IPA), sAMAccountName (AD)

Атрибут LDAP, соответствующий идентификатору пользователя.

По умолчанию: uidNumber

Атрибут LDAP, соответствующий идентификатору основной группы пользователя.

По умолчанию: gidNumber

Атрибут основной группы Active Directory для сопоставления ID. Обратите внимание, что этот атрибут следует устанавливать только вручную, если запущен поставщик “ldap” с сопоставлением ID.

По умолчанию: не задано (LDAP), primaryGroupID (AD)

Атрибут LDAP, соответствующий полю gecos пользователя.

По умолчанию: gecos

Атрибут LDAP, который содержит имя домашнего каталога пользователя.

По умолчанию: homeDirectory (LDAP и IPA), unixHomeDirectory (AD)

Атрибут LDAP, который содержит путь к стандартной оболочке пользователя.

По умолчанию: loginShell

Атрибут LDAP, который содержит UUID/GUID объекта пользователя LDAP.

По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA

Атрибут LDAP, который содержит objectSID объекта пользователя LDAP. Обычно требуется только для серверов Active Directory.

По умолчанию: objectSid для Active Directory, не задано для других серверов.

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

По умолчанию: modifyTimestamp

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (дата последней смены пароля).

По умолчанию: shadowLastChange

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (минимальный срок действия пароля).

По умолчанию: shadowMin

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (максимальный срок действия пароля).

По умолчанию: shadowMax

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (срок предупреждения о пароле).

По умолчанию: shadowWarning

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (срок неактивности пароля).

По умолчанию: shadowInactive

Если используется ldap_pwd_policy=shadow или ldap_account_expire_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (дата истечения срока действия учётной записи).

По умолчанию: shadowExpire

Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время последней смены пароля в kerberos.

По умолчанию: krbLastPwdChange

Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время истечения срока действия текущего пароля.

По умолчанию: krbPasswordExpiration

Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего время истечения срока действия учётной записи.

По умолчанию: accountExpires

Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего битовое поле управления учётной записью пользователя.

По умолчанию: userAccountControl

Если используется ldap_account_expire_policy=rhds или эквивалент, этот параметр определяет, разрешён ли доступ.

По умолчанию: nsAccountLock

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, разрешён ли доступ.

По умолчанию: loginDisabled

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, до какой даты предоставляется доступ.

По умолчанию: loginDisabled

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, в какие часы дней недели предоставляется доступ.

По умолчанию: loginAllowedTimeMap

Атрибут LDAP, который содержит имя участника-пользователя Kerberos (UPN) пользователя.

По умолчанию: krbPrincipalName

Разделённый запятыми список атрибутов LDAP, которые SSSD получит вместе с обычным набором атрибутов пользователя.

Список может содержать либо только имена атрибутов LDAP, либо разделённые двоеточиями кортежи с именем атрибута кэша SSSD и именем атрибута LDAP. Если указано только имя атрибута LDAP, атрибут сохраняется в кэш буквально. В средах, где настроено несколько доменов SSSD с разными схемами LDAP, может быть необходимо использование пользовательского имени атрибута SSSD.

Обратите внимание, что несколько имён атрибутов зарезервировано SSSD (в частности, атрибут “name”). SSSD сообщит об ошибке, если какие-либо из них будут использованы в качестве имени дополнительного атрибута.

Примеры:

ldap_user_extra_attrs = telephoneNumber

Сохранить атрибут “telephoneNumber” из LDAP в кэш как “telephoneNumber”.

ldap_user_extra_attrs = phone:telephoneNumber

Сохранить атрибут “telephoneNumber” из LDAP в кэш как “phone”.

По умолчанию: не задано

Атрибут LDAP, который содержит открытые ключи SSH пользователя.

По умолчанию: sshPublicKey

Атрибут LDAP, соответствующий полному имени пользователя.

По умолчанию: cn

Атрибут LDAP со списком групп, участником которых является пользователь.

По умолчанию: memberOf

Если access_provider=ldap и ldap_access_order=authorized_service, SSSD будет использовать наличие атрибута authorizedService в записи пользователя LDAP для определения привилегий доступа.

Сначала определяются явные запреты (!svc). Затем SSSD выполняет поиск явных разрешений (svc), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “authorized_service”, чтобы можно было использовать параметр ldap_user_authorized_service.

В некоторых дистрибутивах (например, Fedora-29+ или RHEL-8) служба PAM “systemd-user” всегда является частью процесса входа в систему. Следовательно, когда используется управление доступом на основе данных служб, следует добавить службу “systemd-user” в список разрешённых служб.

По умолчанию: authorizedService

Если access_provider=ldap и ldap_access_order=host, SSSD будет использовать наличие атрибута host в записи пользователя LDAP для определения привилегий доступа.

Сначала определяются явные запреты (!host). Затем SSSD выполняет поиск явных разрешений (host), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “host”, чтобы можно было использовать параметр ldap_user_authorized_host.

По умолчанию: host

Если access_provider=ldap и ldap_access_order=rhost, SSSD будет использовать наличие атрибута rhost в записи пользователя LDAP для определения привилегий доступа. Аналогично процессу проверки узла.

Сначала определяются явные запреты (!rhost). Затем SSSD выполняет поиск явных разрешений (rhost), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “rhost”, чтобы можно было использовать параметр ldap_user_authorized_rhost.

По умолчанию: rhost

Имя атрибута LDAP, содержащего сертификат X509 пользователя.

По умолчанию: userCertificate;binary

Имя атрибута LDAP, который содержит адрес электронной почты пользователя.

Примечание: если адрес электронной почты пользователя конфликтует с адресом электронной почты или полным именем другого пользователя, SSSD не удастся надлежащим образом обслужить этих пользователей. Если у нескольких пользователей по какой-либо причине должен быть один и тот же адрес электронной почты, задайте в качестве значения этого параметра несуществующее имя атрибута, чтобы отключить поиск/вход пользователей по электронной почте.

По умолчанию: mail

Класс объектов записи группы в LDAP.

По умолчанию: posixGroup

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

По умолчанию: cn (rfc2307, rfc2307bis и IPA), sAMAccountName (AD)

Атрибут LDAP, соответствующий идентификатору группы.

По умолчанию: gidNumber

Атрибут LDAP, который содержит имена участников группы.

По умолчанию: memberuid (rfc2307) / member (rfc2307bis)

Атрибут LDAP, который содержит UUID/GUID объекта группы LDAP.

По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA

Атрибут LDAP, который содержит objectSID объекта группы LDAP. Обычно требуется только для серверов Active Directory.

По умолчанию: objectSid для Active Directory, не задано для других серверов.

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

По умолчанию: modifyTimestamp

Атрибут LDAP, который содержит целое значение, обозначающее тип группы, и, возможно, другие флаги.

Этот атрибут в настоящее время используется только поставщиком данных AD для определения того, является ли группа группой, локальной в домене, и должна ли быть отфильтрована для доверенных доменов.

По умолчанию: groupType для поставщика данных AD, в ином случае не задано

Атрибут LDAP, который ссылается на участников группы, которые определены во внешнем домене. В настоящее время поддерживаются только внешние участники IPA.

По умолчанию: ipaExternalMember для поставщика данных IPA, в ином случае не задано.

Класс объектов записи сетевой группы в LDAP.

В поставщике данных IPA следует использовать ipa_netgroup_object_class.

По умолчанию: nisNetgroup

Атрибут LDAP, соответствующий имени сетевой группы.

В поставщике данных IPA следует использовать ipa_netgroup_name.

По умолчанию: cn

Атрибут LDAP, который содержит имена участников сетевой группы.

В поставщике данных IPA следует использовать ipa_netgroup_member.

По умолчанию: memberNisNetgroup

Атрибут LDAP, который содержит тройки (узел, пользователь, домен) сетевых групп.

Этот параметр недоступен в поставщике данных IPA.

По умолчанию: nisNetgroupTriple

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

Этот параметр недоступен в поставщике данных IPA.

По умолчанию: modifyTimestamp

Класс объектов записи узла в LDAP.

По умолчанию: ipService

Атрибут LDAP, соответствующий имени узла.

По умолчанию: cn

Атрибут LDAP, соответствующий полному доменному имени узла.

По умолчанию: fqdn

Атрибут LDAP, соответствующий имени узла.

По умолчанию: serverHostname

Атрибут LDAP со списком групп, участником которых является узел.

По умолчанию: memberOf

Атрибут LDAP, который содержит открытые ключи SSH узла.

По умолчанию: sshPublicKey

Атрибут LDAP, который содержит UUID/GUID объекта узла LDAP.

По умолчанию: не задано

Класс объектов записи службы в LDAP.

По умолчанию: ipService

Атрибут LDAP, который содержит имя атрибутов службы и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит порт, управляемый этой службой.

По умолчанию: ipServicePort

Атрибут LDAP, который содержит протоколы, поддерживаемые этой службой.

По умолчанию: ipServiceProtocol

Класс объектов записи правила sudo в LDAP.

По умолчанию: sudoRole

Атрибут LDAP, соответствующий имени правила sudo.

По умолчанию: cn

Атрибут LDAP, соответствующий имени команды.

По умолчанию: sudoCommand

Атрибут LDAP, соответствующий имени узла (или IP-адресу узла, IP-сети узла или сетевой группе узла)

По умолчанию: sudoHost

Атрибут LDAP, соответствующий имени пользователя (или UID, имени группы или сетевой группе пользователя)

По умолчанию: sudoUser

Атрибут LDAP, соответствующий параметрам SUDO.

По умолчанию: sudoOption

Атрибут LDAP, соответствующий имени пользователя, от имени которого могут выполняться команды.

По умолчанию: sudoRunAsUser

Атрибут LDAP, соответствующий имени группы или GID группы, от имени которой могут выполняться команды.

По умолчанию: sudoRunAsGroup

Атрибут LDAP, соответствующий дате и времени начала действия правила SUDO.

По умолчанию: sudoNotBefore

Атрибут LDAP, соответствующий дате и времени истечения срока действия правила sudo.

По умолчанию: sudoNotAfter

Атрибут LDAP, соответствующий порядковому номеру правила.

По умолчанию: sudoOrder

Класс объектов записи карты автоматического монтирования в LDAP.

По умолчанию: nisMap (rfc2307, autofs_provider=ad), в ином случае — automountMap

Имя записи карты автоматического монтирования в LDAP.

По умолчанию: nisMapName (rfc2307, autofs_provider=ad), в ином случае — automountMapName

Класс объектов записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: nisObject (rfc2307, autofs_provider=ad), в ином случае — automount

Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: cn (rfc2307, autofs_provider=ad), в ином случае — automountKey

Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: nisMapEntry (rfc2307, autofs_provider=ad), в ином случае — automountInformation

Класс объектов записи IP-узла в LDAP.

По умолчанию: ipHost

Атрибут LDAP, который содержит имя атрибутов IP-узла и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит адрес IP-узла.

По умолчанию: ipHostNumber

Класс объектов записи IP-сети в LDAP.

По умолчанию: ipNetwork

Атрибут LDAP, который содержит имя атрибутов IP-сети и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит адрес IP-сети.

По умолчанию: ipNetworkNumber