SSSD.CONF(5) | Filformat och konventioner | SSSD.CONF(5) |
NAME¶
sssd.conf - konfigurationsfilen för SSSD
FILFORMAT¶
Filen har en syntax i ini-stil och består av sektioner och parametrar. En sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda parametrar:
[sektion] nyckel = värde nyckel2 = värde2,värde3
Datatyperna som används är sträng (inga citationstecken behövs), heltal och bool (med värdena “TRUE/FALSE”).
En kommentarsrad börjar med ett nummertecken (“#”) eller ett semikolon (“;”). Kommentarer inom raden stödjs inte.
Alla sektioner kan valfritt ha en parameter description. Dess funktion är endast som en etikett för sektionen.
sssd.conf måste vara en normal fil, ägd av root och endast root får läsa från eller skriva till filen.
KONFIGURATIONSSNUTTAR FRÅN EN INCLUDE-KATALOG¶
Konfigurationsfilen sssd.conf kommer inkludera konfigurationssnuttar från include-katalogen conf.d. Denna funktion är tillgänglig om SSSD kompilerades med version 1.3.0 eller senare av libini.
Filer lagda i conf.d som slutar med “.conf” och inte börjar med en punkt (“.”) kommer användas tillsammans med sssd.conf för att konfigurera SSSD.
Konfigurationssnuttarna från conf.d har högre prioritet än sssd.conf och kommer åsidosätta sssd.conf när konflikter uppstår. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat på lokalen). Filer som inkluderas senare har högre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjälpa till att visualisera prioriteten (högre tals betyder högre prioritet).
Snuttfilerna behöver samma ägare och rättigheter som sssd.conf. Vilket som standard är root:root och 0600.
ALLMÄNNA FLAGGOR¶
Följande flaggor är användbara i mer än en konfigurationssektion.
Flaggor användbara i alla sektioner¶
debug_level (heltal)
Observera att varje SSSD-tjänst loggar till sin egen loggfil. Observera också att aktivering av “debug_level” i avsnittet “[sssd]” bara aktiverar felsökning just för själva sssd-processen, inte för respondent- eller leverantörsprocesser. Parametern “debug_level” skall läggas till i alla sektioner som man vill producera felsökningsloggar ifrån.
Utöver att ändra loggnivån i konfigurationsfilen med parametern “debug_level”, som är bestående, men kräver omstart av SSSD, är det även möjligt att ändra felsökningsnivån i farten med verktyget sss_debuglevel(8).
Felsökningsnivåer som för närvarande stödjs:
0, 0x0010: Ödesdigra fel. Allt som skulle hindra SSSD från att starta upp eller får den att sluta köra.
1, 0x0020: Kritiska fel. Ett fel som inte dödar SSSD, men ett som indikerar att åtminstone en viktig funktion inte kommer fungera korrekt.
2, 0x0040: Allvarliga fel. Ett fel som rapporterar att en viss begäran eller operation har misslyckats.
3, 0x0080: Smärre fel. Detta är fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2.
4, 0x0100: Konfigurationsinställningar.
5, 0x0200: Funktionsdata.
6, 0x0400: Spårmeddelanden för åtgärdsfunktioner.
7, 0x1000: Spårmeddelanden för interna styrfunktioner.
8, 0x2000: Innehållet i interna variabler som kan vara intressant.
9, 0x4000: Spårningsinformation på extremt låg nivå.
9,0x20000: Prestanda och statistiska data, observera att på grund av hur förfrågningar behandlas internt kan den loggade exekveringstiden för en förfrågan vara längre än den faktiskt var.
10, 0x10000: Ännu mer lågnivå spårningsinformation om libldb. Det behövs nästan aldrig.
För att logga begärda bitmaskfelsökningsnivåer, lägg helt enkelt ihop deras tal som visas i följande exempel:
Exempel: För att logga ödesdigra fel, kritiska fel, allvarliga fel och funktionsdata, använd 0x0270.
Exempel: För att logga ödesdigra fel, konfigurationsinställningar, funktionsdata och spårmeddelanden för interna styrfunktioner, använd 0x1310.
Observera: bitmaskformatet för felsökningsnivåer introducerades i 1.7.0.
Standard: 0x0070 (d.v.s. ödesdigra, kritiska och allvarliga fel; motsvarar inställningen 2 i decimal notation)
debug (heltal)
debug_timestamps (bool)
Standard: true
debug_microseconds (bool)
Standard: false
debug_backtrace_enabled (bool)
Ifall SSSD körs med debug_level mindre än 9 loggas allting till en ringbuffert i minnet och skrivs till en loggfil när nägot fel upp till och inklusive ”min(0x0040, debug_level)” (d.v.s. om debug_level uttryckligen är satt till 0 eller 1 kommer endast dessa felnivåer att orsaka en spårning, annars upp till 2).
Funktionen stödjs endast för ”logger == files” (d.v.s. att sätta denna har ingen effekt för andra loggningstyper).
Standard: true
Flaggor användbara i sektionerna SERVICE och DOMAIN¶
timeout (heltal)
Standard: 10
SPECIALSEKTIONER¶
Sektionen [sssd]¶
Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna hanteras av en speciell tjänst som ofta kallas “monitor”. Sektionen “[sssd]” används för att konfigurera övervakaren såväl som andra viktiga alternativ som identitetsdomänerna.
Sektionsparametrar
config_file_version (heltal)
services
Tjänster som stödjs: nss, pam , sudo , autofs , ssh , pac , ifp
Som standard är alla tjänster avaktiverade och administratören måste aktivera de tillåtna genom att köra: ”systemctl enable sssd-@service@.socket".
reconnection_retries (heltal)
Standard: 3
domains
re_expression (sträng)
Varje domän kan ha ett eget reguljärt uttryck konfigurerat. För några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om dessa reguljära uttryck.
full_name_format (sträng)
Följande utvidgningar stödjs:
%1$s
%2$s
%3$s
Varje domän kan ha en egen formatsträng konfigurerad. Se DOMÄNSEKTIONER för mer information om detta alternativ.
monitor_resolv_conf (boolean)
Standard: true
try_inotify (boolean)
Det finns vissa situationer när det är att föredra att vi skall hoppa över att ens försöka att använda inotify. I dessa sällsynta fall skall detta alternativ sättas till ”false”
Standard: true på plattformar där inotify stödjs. False på andra plattformar.
Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify inte är tillgängligt. På dessa plattformar kommer pollning alltid användas.
krb5_rcache_dir (sträng)
Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för cachefilerna för återuppspelning.
Standard: distributionsspecifikt och anges vid byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat)
user (sträng)
This option does not work when running socket-activated services, as the user set up to run the processes is set up during compilation time. The way to override the systemd unit files is by creating the appropriate files in /etc/systemd/system/. Keep in mind that any change in the socket user, group or permissions may result in a non-usable SSSD. The same may occur in case of changes of the user running the NSS responder.
Standard: inte angivet, processer kommer köra som root
default_domain_suffix (sträng)
Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False. One exception from this rule are domains with “id_provider=files” that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used.
Standard: inte satt
override_space (sträng)
Observera att det är ett konfigurationsfel att använda ett ersättningstecken som kan användas i användar- eller gruppnamn. Om ett namn innehåller ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i allmänhet är resultatet av en uppslagning odefinierat.
Standard: inte satt (blanka kommer inte ersättas)
certificate_verification (sträng)
no_ocsp
soft_ocsp
ocsp_dgst
Standard: sha1 (för att tillåta kompatibilitet med respondenter som följer RFC5019)
no_verification
partial_chain
ocsp_default_responder=URL
ocsp_default_responder_signing_cert=NAMN
crl_file=/SÖKVÄG/TILL/CRL/FIL
soft_crl
Okända alternativ rapporteras men ignoreras.
Standard: inte satt, d.v.s begränsa inte certifikatverifieringen
disable_netlink (boolean)
Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga och kan avaktiveras genom att sätta detta alternativ till ”true”
Standard: false (netlink-förändringar detekteras)
enable_files_domain (boolean)
Standard: false
domain_resolution_order
Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input , for all users but the ones managed by the files provider. In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: “full_name_format=%1$s” However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam(3) which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains.
Standard: inte satt
implicit_pac_responder (boolean)
Standard: true
core_dumpable (boolean)
Standard: true
passkey_verification (string)
user_verification (boolean)
The default is that the key settings decide what to do. In the IPA or kerberos pre-authentication case, this value will be overwritten by the server.
TJÄNSTESEKTIONER¶
Inställningar som kan användas för att konfigurera olika tjänster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, för tjänsten NSS skulle sektionen vara “[nss]”
Allmänna alternativ för tjänstekonfiguration¶
Dessa alternativ kan användas för att konfigurera alla tjänster.
reconnection_retries (heltal)
Standard: 3
fd_limit
Standard: 8192 (eller den ”hårda” gränsen i limits.conf)
client_idle_timeout
Standard: 60, KCM: 300
offline_timeout (heltal)
ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + slumpvärde[0...offline_timeout_random_offset]
Standardvärdet för offline_timeout är 60. Standardvärdet på offline_timeout_max är 3600. Standardvärdet på offline_timeout_random_offset är 30. Slutresultatet är antalet sekunder före nästa omförsök.
Observera att den maximala längde på varje intervall definieras av offline_timeout_max (förutom slumpdelen).
Standard: 60
offline_timeout_max (heltal)
Ett värde på 0 avaktiverar det ökande beteendet.
Värdet på denna parameter skall sättas i korrelation med parametervärdet offline_timeout.
Med offline_timout satt till 60 (standardvärdet) är det ingen poäng i att sätta ofline_timeout_max till mindre än 120 eftersom det kommer mättas omedelbart. En allmän regel här bör vara att sätta offline_timeout_max till åtminstone 4 gånger offline_timeout.
Även om ett värde mellan 0 och offline_timeout kan anges har det effekten att åsidosätta värdet offline_timeout så det är inte så användbart.
Standard: 3600
offline_timeout_random_offset (heltal)
ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + slumpvärde[0...offline_timeout_random_offset]
Denna parameter styr värdet på den slumpvisa förskjutningen som används i ovanstående ekvation. Det slutliga random_offset-värdet kommer vara ett slumptal i intervallet:
[0 – offline_timeout_random_offset]
Ett värde på 0 avaktiverar tillägget av en slumpfördröjning.
Standard: 30
responder_idle_timeout
Standard: 300
cache_first
Standard: false
NSS-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten Name Service Switch (NSS).
enum_cache_timeout (heltal)
Standard: 120
entry_cache_nowait_percentage (heltal)
Till exempel, om domänens entry_cache_timeout är satt till 30 s och entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering.
Giltiga värden för detta alternativ är 0-99 och representerar en procentsats av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. (0 avaktiverar denna funktion)
Standard: 50
entry_negative_timeout (heltal)
Standard: 15
local_negative_timeout (heltal)
Standard: 14400 (4 timmar)
filter_users, filter_groups (sträng)
OBS: alternativet filter_groups påverkar inte arvet av nästade gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvändarna i den senare listade.
Standard: root
filter_users_in_groups (bool)
Standard: true
override_homedir (sträng)
%u
%U
%d
%f
%l
%P
%o
%h
%H
%%
Detta alternativ kan även sättas per domän.
exempel:
override_homedir = /home/%u
Standard: Inte satt (SSSD kommer använda värdet som hämtas från LDAP)
Observera att hemkatalog från ett specifikt åsidosättande för användaren, antingen lokalt (se sss_override(8)) eller centralt hanterat IPA-id-åsidosättande, har en högre precedens och kommer användas istället för värdet gom ges av override_homedir.
homedir_substring (sträng)
Standard: /home
fallback_homedir (sträng)
De tillgängliga värdena för detta alternativ är samma som för override_homedir.
exempel:
fallback_homedir = /home/%u
Standard: inte satt (ingen ersättning för ej angivna hemkataloger)
override_shell (sträng)
Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP)
allowed_shells (sträng)
1. Om skalet finns i “/etc/shells” används det.
2. Om skalet finns i listan allowed_shells men inte i “/etc/shells”, använd värdet på parametern shell_fallback.
3. Om skalet inte finns i listan allowed_shells och inte i “/etc/shells” används ett nologin-skal.
Jokertecknet (*) kan användas för att tillåta godtyckligt skal.
(*) är användbart om du vill använda shell_fallback ifall den användarens skal inte finns i “/etc/shells” och att underhålla listan över alla skal i allowed_shells skulle vara för mycket overhead.
En tom sträng som skal skickas som den är till libc.
“/etc/shells” läses bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behövs ifall ett nytt skal installeras.
Standard: inte satt. Användarens skal används automatiskt.
vetoed_shells (sträng)
shell_fallback (sträng)
Standard: /bin/sh
default_shell
Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh)
get_domains_timeout (heltal)
Standard: 60
memcache_timeout (heltal)
Standard: 300
VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ påverkan på SSSD:s prestanda och skall bara användas för testning.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
memcache_size_passwd (heltal)
Standard: 8
VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
memcache_size_group (heltal)
Standard: 6
VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
memcache_size_initgroups (heltal)
Standard: 10
VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
memcache_size_sid (integer)
Standard: 6
VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
user_attributes (sträng)
För att förenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-alternativet om det inte är satt för NSS-respondenten.
Standard: inte satt, gå tillbaka till InfoPipe-alternativet
pwfield (sträng)
Standard: “*”
Observera: detta alternativ kan även sättas per domän vilket åsidosätter värdet i [nss]-sektionen.
Default: “not set” (remote domains), “x” (the files domain), “x” (proxy domain with nss_files and sssd-shadowutils target)
PAM-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten Pluggable Authentication Module (PAM).
offline_credentials_expiration (heltal)
Standard: 0 (ingen gräns)
offline_failed_login_attempts (heltal)
Standard: 0 (ingen gräns)
offline_failed_login_delay (heltal)
Om satt till 0 kan inte användaren autentisera om offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen.
Standard: 5
pam_verbosity (heltal)
För närvarande stödjs följande värden:
0: visa inte några meddelanden
1: visa endast viktiga meddelanden
2: visa informationsmeddelanden
3: visa alla meddelanden och felsökningsinformation
Standard: 1
pam_response_filter (sträng)
Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity gör detta alternativ att man kan filtrera ut andra sorters svar dessutom.
För närvarande stödjs följande filter:
ENV
ENV:varnamn
ENV:varnamn:tjänst
Listan av strängar kan antingen vara listan av filter vilka skulle sätta denna lista av filter och åsidosätta standardvärdet. Eller så kan varje element i listan ha ett tecken ”+” eller ”-” som prefix vilket skulle lägga till filtret till det befintliga standardvärdet respektive ta bort det från standardvärdet. Observera att antingen måste alla listelement ha ett ”+” eller ”-” eller inget av dem. Det ses som ett fel att blanda båda sätten.
Standard: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i
Exempel: -ENV:KRB5CCNAME:sudo-i kommer ta bort det filtret från standardlistan
pam_id_timeout (heltal)
En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom hantering av konto och öppning av en session. Detta alternativ styr (på per-klientprogrambasis) hur länge (i sekunder) vi kan cacha identitetsinformationen för att undvika överdrivna rundturer till identitetsleverantören.
Standard: 5
pam_pwd_expiration_warning (heltal)
Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning.
Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.
Denna inställning kan åsidosättas genom att sätta pwd_expiration_warning för en viss domän.
Standard: 0
get_domains_timeout (heltal)
Standard: 60
pam_trusted_users (sträng)
Standard: alla användare betraktas som betrodda som standard
Observera att AID 0 alltid tillåts komma åt PAM-respondenten även ifall den inte är i listan pam_trusted_users.
pam_public_domains (sträng)
Två speciella värden för alternativet pam_public_domains är definierade:
all (Ej betrodda användare tillåts komma åt alla domäner i PAM-respondenten.)
none (Ej betrodda användare tillåts inte att komma åt några domäner i PAM-respondenten.)
Standard: none
pam_account_expired_message (sträng)
Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om inte pam_verbosity är satt till 3 (visa alla meddelanden och felsökningsinformation).
exempel:
pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten.
Standard: none
pam_account_locked_message (sträng)
exempel:
pam_account_locked_message = Kontot är låst, kontakta kundtjänsten.
Standard: none
pam_passkey_auth (bool)
Standard: False
passkey_debug_libfido2 (bool)
Standard: False
pam_cert_auth (bool)
Standard: False
pam_cert_db_path (sträng)
Standard:
pam_cert_verification (sträng)
exempel:
pam_cert_verification = partial_chain
Standard: inte satt, d.v.s. använd standardvärdet “certificate_verification” definierat i sektionen “[sssd]”.
p11_child_timeout (heltal)
Standard: 10
passkey_child_timeout (integer)
Standard: 15
pam_app_services (sträng)
Standard: inte satt
pam_p11_allowed_services (heltal)
Det är möjligt att lägga till ett annat PAM-tjänstenamn till standarduppsättningen genom att använda “+tjänstenamn” eller att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen genom att använda “-tjänstenamn”. Till exempel, för att byta ut ett standard-PAM-tjänstenamn för autentisering med smarta kort (t.ex. “login”) mot ett anpassat PAM-tjänstenamn (t.ex. “min_pam-tjänst”) skulle man använda följande konfiguration:
pam_p11_allowed_services = +min_pam-tjänst, -login
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
p11_wait_for_card_timeout (heltal)
Standard: 60
p11_uri (sträng)
Exempel:
p11_uri = pkcs11:slot-description=Min%20smartkortsläsare
eller
p11_uri = pkcs11:library-description=OpenSC%20smartkortsramverk;slot-id=2
För att hitta en lämplig URI, kontrollera felsökningsutdata från p11_child. Som ett alternativ kommer GnuTLS-verktyget ”p11tool” med t.ex. ”--list-all” visa även PKCS#11 URI:er.
Standard: none
pam_initgroups_scheme
always
no_session
never
Standard: no_session
pam_gssapi_services
För att avaktivera GSSAPI-autentisering, sätt denna lista till “-” (streck).
Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.
Exempel:
pam_gssapi_services = sudo, sudo-i
Standard: - (GSSAPI-autentisering är avaktiverat)
pam_gssapi_check_upn
Om falskt kommer varje användare som kan få den begärda biljetten att autentiseras.
Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.
Standard: True
pam_gssapi_indicators_map
Varje element i listan kan antingen vara ett autentiseringsindikatornamn eller ett par “tjänst:indikator”. Indikatorer som inte har PAM-tjänsten som prefix kommer krävas för att komma åt någon PAM-tjänst alls som är konfigurerad att användas med pam_gssapi_services. En resulterande lista över indikatorer per PAM-tjänst kontrolleras sedan mot indikatorer i Kerberos-biljetten under autentisering via pam_sss_gss.so. Om någon indikator från biljetten matchar den resulterande listan av indikatorer för PAM-tjänsten så ges åtkomst. Om ingen av indikatorerna i listan matchar, kommer åtkomst nekas. Om den resulterande listan av indikatorer för PAM-tjänsten är tom kommer kontrollen inte att förhindra åtkomsten.
För att avaktivera indikatorkontrollen med GSSAPI-autentisering, sätt denna flagga till “-” (streck). För att avaktivera kontrollen för en specifik PAM-tjänst, lägg till “tjänst:-”.
Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.
Följande autentiseringsindikatorer stödjs av IPA-Kerberosinstallationer:
Exempel: för att begära åtkomst till SUDO-tjänster endast för användare som fick sina Kerberos-biljetter med förautentisering med ett X.509-certifikat (PKINIT), sätt
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
Standard: inte satt (användning av autentiseringsindikatorer krävs inte)
SUDO-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten sudo. De detaljerade instruktionerna för konfiguration av sudo(8) för att fungera med sssd(8) finns i manualsidan sssd-sudo(5).
sudo_timed (bool)
Standard: false
sudo_threshold (heltal)
Standard: 50
AUTOFS-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten autofs.
autofs_negative_timeout (heltal)
Standard: 15
Observera att automounter:n bara läser master-kartan vid uppstart, så om några autofs-relaterade ändringar görs av sssd.conf behöver du normalt även starta om automounter-demonen efter att ha startat om SSSD.
SSH-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten SSH.
ssh_hash_known_hosts (bool)
Standard: false
ssh_known_hosts_timeout (heltal)
Standard: 180
ssh_use_certificate_keys (bool)
Standard: true
ssh_use_certificate_matching_rules (sträng)
Det finns två speciella nyckelord ”all_rules” och ”no_rules” som kommer aktivera alla respektive inga regler. Det senare betyder att inga certifikat kommer filtreras ut och att ssh-nycklar kommer genereras från alla giltiga certifikat.
Om inga regler är konfigurerade kommer att använda ”all_rules” aktivera en standardregel som aktiverar alla certifikat som passar klientautentiseringen. Detta är samma beteende som för PAM-respondenten om certifikatautentisering är aktiverat.
Ett namn på en regel som inte finns anses som ett fel. Om som ett resultat ingen regel blir vald kommer alla certifikat ignoreras.
Standard: inte satt, likvärdigt med ”all_rules”, alla regler som finns eller standardregeln används
ca_db (sträng)
Standard:
PAC-respondentskonfigurationsalternativ¶
PAC-respondenten fungerar tillsammans med insticksmodulen för auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en underdomänsleverantör. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar domän-SID och ID-intervall för domänen klienten går med i och från betrodda domäner från den lokala domänhanteraren. Om PAC:en är avkodad och beräknad kommer några av följande operationer att göras:
Dessa alternativ kan användas för att konfigurera PAC-respondenten.
allowed_uids (sträng)
Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten)
Observera att även om AID 0 används som standard kommer det att skrivas över av detta alternativ. Om du fortfarande vill tillåta root-användaren att komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även 0 i listan av tillåtna AID:er.
pac_lifetime (heltal)
Standard: 300
pac_check (sträng)
Följande alternativ kan användas ensamma eller i en kommaseparerad lista:
no_check
pac_present
check_upn
check_upn_allow_missing
För närvarande är detta alternativ satt som standard för att undvika regressioner i sådana miljöer. Ett loggmeddelande kommer läggas till i systemloggen och SSSD:s felsökningslogg ifall en UPN finns i PAC:en men inte i SSSD:s cache. För att undvika detta loggmeddelande vore det bäst att avgöra om alternativet ”ldap_user_principal” kan tas bort. Om detta inte är möjligt kommer att ta bort ”check_upn” hoppa över testen och undvika loggmeddelandet.
upn_dns_info_present
check_upn_dns_info_ex
upn_dns_info_ex_present
Standard: no_check (AD- och IPA-leverantörerna ”check_upn, check_upn_allow_missing, check_upn_dns_info_ex”)
Konfigurationsalternativ för inspelning av sessioner¶
Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, för att logga vad användaren ser och skriver när de är inloggade på en textterminal. Se även sssd-session-recording(5).
Dessa alternativ kan användas för att konfigurera inspelning av sessioner.
scope (sträng)
”none”
”some”
”all”
Standard: ”none”
users (sträng)
Standard: Tomt. Matchar inte några användare.
groups (sträng)
OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.
Standard: Tom. Matchar inga grupper.
exclude_users (sträng)
Standard: Tomt. Inga användare uteslutna.
exclude_groups (sträng)
OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.
Standard: Tom. Inga grupper uteslutna.
DOMÄNSEKTIONER¶
Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, det vill säga en sektion som heter “[domain/NAMN]”
aktiverat
domain_type (sträng)
Tillåtna värden på detta alternativ är “posix” och “application”.
POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten.
OBSERVERA: Programdomänerna är för närvarande bara vältestade med “id_provider=ldap”.
För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet “Programdomäner”.
Standard: posix
min_id,max_id (heltal)
För användare påverkar detta gränsen för det primära GID:t. Användaren kommer inte returneras till NSS om antingen AID:t eller det primära GID:t ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som ligger i intervallet rapporteras som förväntat.
Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast när de returneras via namn eller ID.
Standard: 1 för min_id, 0 (ingen gräns) för max_id
enumerate (bool)
TRUE = Användare och grupper räknas upp
FALSE = Inga uppräkningar för denna domän
Standard: FALSE
Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och grupposter från fjärrservern.
Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD medan uppräkningen pågår. Det kan ta upp till flera minuter efter att SSSD startat upp för att helt fullborda uppräkningar. Under denna tid kommer enskilda begäranden om information att gå direkt till LDAP, fast det kan vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att spara ett stort antal poster i cachen efter att uppräkningen är klar kan också vara CPU-intensivt eftersom medlemskap måste beräknas om. Detta kan leda till att processen “sssd_be” blir oåtkomlig eller till och med startas om av den interna vakthunden.
Medan den första uppräkningen körs kan begäranden om den fullständiga användar- eller grupplistan returnera utan resultat tills den är färdig.
Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka urkoppling av nätverk, eftersom längre tidsgränser behövs för att säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer information, se manualsidorna för den specifika id-leverantören som används.
Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i stora miljöer.
subdomain_enumerate (sträng)
all
none
Om så önskas kan en lista med en eller flera domännamn aktivera uppräkning bara för dessa betrodda domäner.
Standard: none
entry_cache_timeout (heltal)
Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast effekt för nyligen tillagda eller utgångna poster. Du skall köra verktyget sss_cache(8) för att tvinga fram en uppdatering av poster som redan har cachats.
Standard: 5400
entry_cache_user_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_group_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_netgroup_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_service_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_resolver_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_sudo_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_autofs_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_ssh_host_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_computer_timeout (heltal)
Standard: entry_cache_timeout
refresh_expired_interval (heltal)
Bakgrundsuppdateringen kommer behandla användare, grupper och nätgrupper i cachen. För användare som har utfört operationen initgroups (hämta gruppmedlemskap för en användare, normalt kört vid inloggning) tidigare uppdateras både användarposten och gruppmedlemskapet.
Denna flagga ärvs automatiskt för alla betrodda domäner.
Du kan överväga att sätta detta värde till ¾ ⋅ entry_cache_timeout.
Cacheposter kommer uppdateras av ett bakgrundsjobb när ⅔ av cachetidsgränsen redan har gått. Om det finns cachade poster kommer bakgrundsjobbet referera till deras urpsprungliga cachetidsgränsvärden istället för det aktuella konfiguartionsvärdet. Detta kan leda till en situation där bakgrundsuppdateringsjobbet förefaller inte fungera. Detta är gjort med avsikt för att förbättra funktionen i frånkopplat läge och återanvändning av giltiga cacheposter. För att göra denna ändring omedelbart kan användaren vilja manuellt invalidera den befintliga cachen.
Standard: 0 (avaktiverat)
cache_credentials (bool)
Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack.
Standard: FALSE
cache_credentials_minimal_first_factor_length (heltal)
Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande attacker.
Standard: 8
account_cache_expiration (heltal)
Standard: 0 (obegränsat)
pwd_expiration_warning (heltal)
Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.
Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning. Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden.
Standard: 7 (Kerberos), 0 (LDAP)
id_provider (sträng)
“proxy”: Stöd en tidigare NSS-leverantör.
“files”: FIL-leverantör. Se sssd-files(5) för mer information om hur lokala användare och grupper kan speglas in i SSSD.
“ldap”: LDAP-leverantör. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
use_fully_qualified_names (bool)
Om satt till TRUE måste alla begäranden till denna domän använda fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL som innehåller en användare ”test”, skulle getent passwd test inte hitta användaren medan getent passwd test@LOKAL skulle det.
OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på grund av deras tendens att innehålla nästade nätgrupper utan kvalificerade namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat namn begärs.
Standard: FALSE (TRUE för betrodda domäner/underdomäner eller om default_domain_suffix används)
ignore_group_members (bool)
Om satt till TRUE begärs inte attributet gruppmedlemskap från ldap-servern, och gruppmedlemmar returneras inte vid behandling av gruppuppslagningsanrop, såsom getgrnam(3) eller getgrgid(3). Som en effekt skulle “getent group $groupname” returnera den begärda gruppen som om den vore tom.
Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som innehåller många medlemmar.
Detta alternativ kan även sättas per underdomän eller ärvt via subdomain_inherit.
Standard: FALSE
auth_provider (sträng)
“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“krb5” för Kerberosautentisering. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“proxy” för att skicka vidare autentiseringen till något annat PAM-mål.
“none” avaktiverar explicit autentisering.
Standard: “id_provider” används om det är satt och kan hantera autentiseringsbegäranden.
access_provider (sträng)
“permit” tillåt alltid åtkomst. Det är den enda tillåtna åtkomstleverantören för en lokal domän.
“deny” neka alltid åtkomst.
“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“simple” åtkomstkontroll baserat på åtkomst- eller nekandelistor. Se sssd-simple(5) för mer information om att konfigurera åtkomstmodulen simple.
“krb5”: .k5login-baserad åtkomstkontroll. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“proxy” för att skicka vidare åtkomstkontroll till någon annan PAM-modul.
Standard: “permit”
chpass_provider (sträng)
“ldap” för att ändra lösenord lagrade i en LDAP-server. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“krb5” för att ändra Kerberoslösenordet. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“proxy” för att skicka vidare lösenordsändringar till något annat PAM-mål.
“none” tillåter uttryckligen inte lösenordsändringar.
Standard: “auth_provider” används om det är satt och kan hantera begäranden om ändring av lösenord.
sudo_provider (sträng)
“ldap” för regler lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa” samma som “ldap” men med standardsinställningar för IPA.
“ad” samma som “ldap” men med standardsinställningar för AD.
“none” avaktiverar explicit SUDO.
Standard: värdet på “id_provider” används om det är satt.
De detaljerade instruktionerna för att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns många konfigurationsalternativ som kan användas för att justera beteendet. Se ”ldap_sudo_*” i sssd-ldap(5).
OBSERVERA: Sudo-regler hämtas periodiskt i bakgrunden om inte sudo-leverantören uttryckligen avaktiverats. Ange sudo_provider = None för att avaktivera all sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls.
selinux_provider (sträng)
“ipa” för att läsa in selinux-inställningar från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“none” tillåter uttryckligen inte att hämta selinux-inställningar.
Standard: “id_provider” används om det är satt och kan hantera begäranden om inläsning av selinux.
subdomains_provider (sträng)
“ipa” för att läsa in en lista av underdomäner från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“ad” för att läsa in en lista av underdomäner från en Active Directory-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.
“none” tillåter uttryckligen inte att hämta underdomäner.
Standard: värdet på “id_provider” används om det är satt.
session_provider (sträng)
“ipa” för att utföra uppgifter relaterade till användarsessioner.
“none” utför inte någon sorts uppgifter relaterade till användarsessioner.
Standard: “id_provider” används om det är satt och kan utföra sessionsrelaterade uppgifter.
OBSERVERA: För att denna funktion skall fungera som förväntat måste SSSD köra som ”root” och inte som den oprivilegierade användaren.
autofs_provider (sträng)
“ldap” för att läsa mappar lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa” för att läsa mappar lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“ad” för att läsa mappar lagrade i en AD-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.
“none” avaktiverar explicit autofs.
Standard: värdet på “id_provider” används om det är satt.
hostid_provider (sträng)
“ipa” för att läsa värdidentiteter lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“none” avaktiverar explicit värd-id:n.
Standard: värdet på “id_provider” används om det är satt.
resolver_provider (sträng)
“proxy” för att vidarebefordra uppslagningar till ett annat NSS-bibliotek. Se “proxy_resolver_lib_name”
“ldap” för att hämta värdar och nätverk lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ldap” för att hämta värdar och nätverk lagrade i AD. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.
“none” tillåter uttryckligen inte att hämta värdar och nätverk.
Standard: värdet på “id_provider” används om det är satt.
re_expression (sträng)
Default: “^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$” which allows two different styles for user names:
Default for the AD and IPA provider: “^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$” which allows three different styles for user names:
Medan de första två motsvarar det allmänna standardfallet introduceras den tredje för att tillåta enkel integration av användare från Windows-domäner.
The default re_expression uses the “@” character as a separator between the name and the domain. As a result of this setting the default does not accept the “@” character in short names (as it is allowed in Windows group names). If a user wishes to use short names with “@” they must create their own re_expression.
full_name_format (sträng)
Följande utvidgningar stödjs:
%1$s
%2$s
%3$s
Standard: “%1$s@%2$s”.
lookup_family_order (sträng)
Värden som stödjs:
ipv4_first: Försök slå upp IPv4-adresser, om det misslyckas, prova IPv6
ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser.
ipv6_first: Försök slå upp IPv6-adresser, om det misslyckas, prova IPv4
ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser.
Standard: ipv4_first
dns_resolver_server_timeout (heltal)
AD-leverantören kommer även att använda detta alternativ för CLDAP-pingtidsgränsen.
Se avsnittet “RESERVER” för mer information om tjänstevalet.
Standard: 1000
dns_resolver_op_timeout (heltal)
Se avsnittet “RESERVER” för mer information om tjänstevalet.
Standard: 3
dns_resolver_timeout (heltal)
Se avsnittet “RESERVER” för mer information om tjänstevalet.
Standard: 6
dns_resolver_use_search_list (bool)
Om fullständigt kvalificerade domännamn (eller _srv_) används i SSSD-konfigurationen kan att sätta detta alternativ till FALSE förhindra onödiga DNS-uppslagningar i sådana miljöer.
Standard: TRUE
dns_discovery_domain (sträng)
Standard: använd domändelen av maskinens värdnamn
override_gid (heltal)
case_sensitive (sträng)
True
False
Preserving
Om du vill sätta detta värde för en betrodd domän med IPA-leverantör behöver du sätta det på både klienten och SSSD på servern.
Detta alternativ kan även sättas per underdomän eller ärvt via subdomain_inherit.
Standard: True (False för AD-leverantören)
subdomain_inherit (sträng)
ldap_search_timeout
ldap_network_timeout
ldap_opt_timeout
ldap_offline_timeout
ldap_enumeration_refresh_timeout
ldap_enumeration_refresh_offset
ldap_purge_cache_timeout
ldap_purge_cache_offset
ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte ldap_krb5_keytab sätts särskilt)
ldap_krb5_ticket_lifetime
ldap_enumeration_search_timeout
ldap_connection_expire_timeout
ldap_connection_expire_offset
ldap_connection_idle_timeout
ldap_use_tokengroups
ldap_user_principal
ignore_group_members
auto_private_groups
case_sensitive
Exempel:
subdomain_inherit = ldap_purge_cache_timeout
Standard: none
Observera: detta alternativ fungerar endast med leverantörerna IPA och AD.
subdomain_homedir (sträng)
%F
Värdet kan åsidosättas av alternativet override_homedir.
Standard: /home/%d/%u
realmd_tags (sträng)
cached_auth_timeout (heltal)
Detta alternativs värde ärvs av alla betrodda domäner. För närvarande är det inte möjligt att ange olika värden för varje betrodd domän.
Specialvärdet 0 betyder att denna funktion är avaktiverad.
Observera att om “cached_auth_timeout” är längre än “pam_id_timeout” kan bakänden anropas för att hantera “initgroups.”
Standard: 0
local_auth_policy (string)
There are three possible values for this option: match, only, enable. “match” is used to match offline and online states for Kerberos methods. “only” ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, “enable:passkey”, only enables passkey for local authentication. Multiple enable values should be comma-separated, such as “enable:passkey, enable:smartcard”
Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt.
The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey).
[domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only
It is expected that the “files” provider ignores the local_auth_policy option and supports Smartcard authentication by default.
Default: match
auto_private_groups (sträng)
true
OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från AID-numret stödjs det inte att ha flera poster med samma AID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer över hela ID-rymden.
false
hybrid
Om användarens AID och GID är olika måste GID:t motsvara en gruppost, annars kan GID:t helt enkelt inte slås upp.
Denna funktion är användbar i miljöer som vill sluta underhålla separata gruppobjekt för användares privata grupper, men även vill behålla de befintliga användarnas privata grupper.
För underdomäner är standardvärdet False för underdomäner som använder tilldelade POSIX ID:n och True för underdomäner som använder automatisk ID-översättning.
Värdet på auto_private_groups kan antingen anges per underdomän i en undersektion, till exempel:
[domain/forest.domain/sub.domain] auto_private_groups = false
eller globalt för alla underdomäner i huvuddomänavsnittet genom att använda alternativet subdomain_inherit:
[domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false
Giltiga alternativ för proxy-domäner.
proxy_pam_target (sträng)
Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option.
proxy_lib_name (sträng)
proxy_resolver_lib_name (sträng)
proxy_fast_alias (boolean)
Standard: false
proxy_max_children (heltal)
Standard: 10
Programdomäner¶
SSSD, med sitt D-Bus-gränssnitt (se sssd-ifp(5)) är tilltalande för program som en portgång till en LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den traditionella SSSD-installationen där alla användare och grupper antingen har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, har i många fall användarna och grupperna i programstödsscenariot inga POSIX-attribut. Istället för att göra en sektion “[domain/NAMN]” kan administratören skapa en sektion “[application/NAMN]” som internt representerar en domän med typen “application” och eventuellt ärver inställningar från en traditionell SSSD-domän.
Observera att programdomänen fortfarande uttryckligen måste aktiveras i parametern “domains” så att uppslagningsordningen mellan programdomänen och dess POSIX-syskondomän sätts korrekt.
Programdomänparametrar
inherit_from (sträng)
Standard: inte satt
Följande exempel illustrerar användningen av en programdomän. I denna uppsättning är POSIX-domänen kopplad till en LDAP-server och används av OS:et via NSS-respondenten. Dessutom begär programdomänen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gör attributet telefon nåbart via D-Bus-gränssnittet.
[sssd] domains = progdom, posixdom [ifp] user_attributes = +telefon [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/progdom] inherit_from = posixdom ldap_user_extra_attrs = telefon:telephoneNumber
SEKTIONEN BETRODDA DOMÄNER¶
Några alternativ som används i domänsektionen kan även användas i sektionen för betrodda domäner, det vill säga, i en sektion som heter “[domain/DOMÄNNAMN/NAMN_PÅ_BETRODD_DOMÄN]”. Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel nedan för förklaring. För närvarande stödda alternativ i sektionen för betrodda domäner är:
ldap_search_base,
ldap_user_search_base,
ldap_group_search_base,
ldap_netgroup_search_base,
ldap_service_search_base,
ldap_sasl_mech,
ad_server,
ad_backup_server,
ad_site,
use_fully_qualified_names
pam_gssapi_services
pam_gssapi_check_upn
För fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan.
CERTIFIKATSMAPPNINGSSEKTION¶
För att tillåta autentisering med smartkort och certifikat måste SSSD kunna översätta certifikat till användare. Detta kan göras genom att lägga till det fullständiga certifikatet till användarens LDAP-objekt eller till en lokal ersättning. Medan det krävs att man använder det fullständiga certifikatet för att använda funktionen smartkortsautentisering i SSH (se sss_ssh_authorizedkeys(8) för detaljer) kan det vara besvärligt eller kanske inte ens möjligt att använda detta i det allmänna fallet när lokala tjänster använder PAM för autentisering.
För att göra översättningen mer flexibel lades översättnings- och matchningsregler till till SSSD (se sss-certmap(5) för detaljer).
En översättnings- och matchningsregel kan läggas till till SSSD-konfigurationen i en egen sektion för sig själv med ett namn som “[certmap/DOMÄNNAMN/REGELNAMN]”. I denna sektion är följande alternativ tillåtna:
matchrule (sträng)
Standard: KRB5:<EKU>clientAuth, d.v.s. endast certifikat som har Extended Key Usage “clientAuth”
maprule (sträng)
Standard:
domains (sträng)
Standard: den konfigurerade domänen i sssd.conf
priority (heltal)
Standard: den lägsta prioriteten
För att göra konfigurationen enkel och reducera mängden konfigurationsalternativ har leverantören “files” några speciella egenskaper:
SEKTIONEN FÖR FRÅGEKONFIGURATION¶
Om en särskild fil (/var/lib/sss/pubconf/pam_preauth_available) finns kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda på vilka autentiseringsmetoder som är tillgängliga för användaren som försöker logga in. Baserat på resultatet kommer pam_sss fråga användaren efter tillämpliga kreditiv.
Med det växande antalet autentiseringsmetoder och möjligheten att det finns flera olika för en enskild användare kan det hända att heuristiken som används av pam_sss för att välja fråga inte är lämplig för alla användarfall. Följande alternativ bör ge en bättre flexibilitet här.
Each supported authentication method has its own configuration subsection under “[prompting/...]”. Currently there are:
[prompting/password]
password_prompt
[prompting/2fa]
first_prompt
second_prompt
single_prompt
Om den andra faktorn är frivillig och det skall vara möjligt att logga in antingen edast med lösenordet eller med båda faktorerna måste tvåstegsförfrågan användas.
[prompting/passkey]
interactive
interactive_prompt
touch
touch_prompt
Det är möjligt att lägga till en undersektion för specifika PAM-tjänster som t.ex. “[prompting/password/sshd]” för att ändra frågorna enskilt för denna tjänst.
EXEMPEL¶
1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av själva domänerna – se dokumentationen om att konfigurera domäner för fler detaljer.
[sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False
2. Följande exempel visar konfigurationen av IPA AD-förtroende i en förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera kortnamn i barndomänen skall följande konfiguration användas.
[domain/ipa.se/barn.ad.se] use_fully_qualified_names = false
3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain “my.domain” and additionally for the subdomains “your.domain” and uses the full certificate in the search filter.
[certmap/my.domain/rule_name] matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ maprule = (userCertificate;binary={cert!bin}) domains = my.domain, your.domain priority = 10
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
SSSD uppströms – https://github.com/SSSD/sssd/
04/18/2024 | SSSD |