Scroll to navigation

SSSD-LDAP-ATTRIBUT(5) Формати файлів та правила SSSD-LDAP-ATTRIBUT(5)

NAME

sssd-ldap-attributes - Засіб надання даних LDAP SSSD: атрибути прив'язування

ОПИС

Цю сторінку підручника присвячено опису атрибутів прив'язування засобу надання даних LDAP SSSD sssd-ldap(5). Повний опис параметрів налаштовування засобу надання даних LDAP SSSD наведено на сторінці підручника щодо sssd-ldap(5).

АТРИБУТИ КОРИСТУВАЧА

ldap_user_object_class (рядок)

Клас об’єктів запису користувача у LDAP.

Типове значення: posixAccount

ldap_user_name (рядок)

Атрибут LDAP, що відповідає назві облікового запису користувача.

Типове значення: uid (rfc2307, rfc2307bis і IPA), sAMAccountName (AD)

ldap_user_uid_number (рядок)

Атрибут LDAP, що відповідає ідентифікатору користувача.

Типове значення: uidNumber

ldap_user_gid_number (рядок)

Атрибут LDAP, що відповідає ідентифікатору основної групи користувача.

Типове значення: gidNumber

ldap_user_primary_group (рядок)

Атрибут основної групи Active Directory для встановлення відповідності ідентифікатора. Зауважте, що цей атрибут слід встановлювати вручну, лише якщо ви користуєтеся засобом надання даних “ldap” з прив'язкою до ідентифікаторів.

Типове значення: unset (LDAP), primaryGroupID (AD)

ldap_user_gecos (рядок)

Атрибут LDAP, що відповідає полю gecos користувача.

Типове значення: gecos

ldap_user_home_directory (рядок)

Атрибут LDAP, що містить назву домашнього каталогу користувача.

Типове значення: homeDirectory (LDAP та IPA), unixHomeDirectory (AD)

ldap_user_shell (рядок)

Атрибут LDAP, що містить шлях до типової командної оболонки користувача.

Типове значення: loginShell

ldap_user_uuid (рядок)

Атрибут LDAP, що містить UUID/GUID об’єкта користувача LDAP.

Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA

ldap_user_objectsid (рядок)

Атрибут LDAP, що містить objectSID об’єкта користувача LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory.

Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів.

ldap_user_modify_timestamp (рядок)

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Типове значення: modifyTimestamp

ldap_user_shadow_last_change (рядок)

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (дати останньої зміни пароля).

Типове значення: shadowLastChange

ldap_user_shadow_min (рядок)

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (мінімального віку пароля).

Типове значення: shadowMin

ldap_user_shadow_max (рядок)

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (максимального віку пароля).

Типове значення: shadowMax

ldap_user_shadow_warning (рядок)

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (проміжку попередження щодо пароля).

Типове значення: shadowWarning

ldap_user_shadow_inactive (рядок)

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (тривалості періоду невикористання пароля).

Типове значення: shadowInactive

ldap_user_shadow_expire (рядок)

У разі використання ldap_pwd_policy=shadow або ldap_account_expire_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (дати завершення строку дії пароля).

Типове значення: shadowExpire

ldap_user_krb_last_pwd_change (рядок)

Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час останньої зміни пароля у kerberos.

Типове значення: krbLastPwdChange

ldap_user_krb_password_expiration (рядок)

Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час завершення строку дії поточного пароля.

Типове значення: krbPasswordExpiration

ldap_user_ad_account_expires (рядок)

Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо строку завершення дії облікового запису.

Типове значення: accountExpires

ldap_user_ad_user_account_control (рядок)

Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо поля контрольного біта облікового запису користувача.

Типове значення: userAccountControl

ldap_ns_account_lock (рядок)

Якщо вказано ldap_account_expire_policy=rhds або еквівалентне налаштування, цей параметр визначає, заборонено чи дозволено доступ.

Типове значення: nsAccountLock

ldap_user_nds_login_disabled (рядок)

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає, дозволено чи заборонено доступ.

Типове значення: loginDisabled

ldap_user_nds_login_expiration_time (рядок)

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає дату, до якої надано доступ.

Типове значення: loginDisabled

ldap_user_nds_login_allowed_time_map (рядок)

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає годити дня тижня, коли надається доступ.

Типове значення: loginAllowedTimeMap

ldap_user_principal (рядок)

Атрибут LDAP, що містить Kerberos User Principal Name (UPN) користувача.

Типове значення: krbPrincipalName

ldap_user_extra_attrs (рядок)

Відокремлений комами список атрибутів LDAP, які SSSD має отримувати разом зі звичайним набором атрибутів запису користувача.

Список може або містити лише назви атрибутів LDAP, або відокремлені двокрапками кортежі з назви атрибута кешу SSSD та назви атрибута LDAP. Якщо вказано лише назву атрибута LDAP, атрибут зберігається до кешу буквально. Використання нетипової назви атрибута SSSD може бути потрібним середовищам, де налаштовано декілька доменів SSSD з різними схемами LDAP.

Будь ласка, зауважте, що декілька назв атрибутів зарезервовано SSSD, зокрема атрибут «name». SSSD повідомить про помилку, якщо будь-які із зарезервованих назв атрибутів використано як назву додаткового атрибута.

Приклади:

ldap_user_extra_attrs = telephoneNumber

Зберегти атрибут «telephoneNumber» з LDAP як «telephoneNumber» до кешу.

ldap_user_extra_attrs = phone:telephoneNumber

Зберегти атрибут «telephoneNumber» з LDAP як «phone» до кешу.

Типове значення: not set

ldap_user_ssh_public_key (рядок)

Атрибут LDAP, який містить відкриті ключі SSH користувача.

Типове значення: sshPublicKey

ldap_user_fullname (рядок)

Атрибут LDAP, що відповідає повному імені користувача.

Типове значення: cn

ldap_user_member_of (рядок)

Атрибут LDAP зі списком груп, у яких бере участь користувач.

Типове значення: memberOf

ldap_user_authorized_service (рядок)

Якщо access_provider=ldap і ldap_access_order=authorized_service, SSSD використовуватиме наявність атрибута authorizedService у записі користувача LDAP для визначення прав доступу.

Спочатку визначаються явні заборони (!svc). Далі SSSD шукає явні дозволи (svc) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “authorized_service”, щоб система змогла скористатися параметром ldap_user_authorized_service.

У деяких дистрибутивах (зокрема у Fedora-29+ або RHEL-8) службу PAM “systemd-user” завжди включено до процедури входу до системи. Тому при використанні керування доступом на основі даних служб варто додавати службу “systemd-user” до списку дозволених служб.

Типове значення: authorizedService

ldap_user_authorized_host (рядок)

Якщо access_provider=ldap і ldap_access_order=host, SSSD використовуватиме наявність атрибута host у записі користувача LDAP для визначення прав доступу.

Спочатку визначаються явні заборони (!host). Далі SSSD шукає явні дозволи (host) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “host”, щоб можна було скористатися параметром ldap_user_authorized_host.

Типове значення: host

ldap_user_authorized_rhost (рядок)

Якщо access_provider=ldap і ldap_access_order=rhost, SSSD використовуватиме наявність атрибута rhost у записі користувача LDAP для визначення прав доступу. Те саме стосується і процесу перевірки вузла.

Спочатку визначаються явні заборони (!rhost). Далі SSSD шукає явні дозволи (rhost) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “rhost”, щоб можна було скористатися параметром ldap_user_authorized_rhost.

Типове значення: rhost

ldap_user_certificate (рядок)

Назва атрибута LDAP, що містить сертифікат X509 користувача.

Типове значення: userCertificate;binary

ldap_user_email (рядок)

Назва атрибута LDAP, який містить адресу електронної пошти користувача.

Зауваження: якщо адреса електронної пошти користувача конфліктує із адресою електронної пошти або повним ім'ям іншого користувача, SSSD не зможе обслуговувати належним чином записи таких користувачів. Якщо з якоїсь причини у декількох користувачів має бути одна адреса електронної пошти, встановіть для цього параметра довільну назву атрибута, щоб вимкнути пошук і вхід до системи за адресою електронної пошти.

Типове значення: mail

ldap_user_passkey (string)

Name of the LDAP attribute containing the passkey mapping data of the user.

Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD)

АТРИБУТИ ГРУПИ

ldap_group_object_class (рядок)

Клас об’єктів запису групи у LDAP.

Типове значення: posixGroup

ldap_group_name (рядок)

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

Типове значення: cn (rfc2307, rfc2307bis і IPA), sAMAccountName (AD)

ldap_group_gid_number (рядок)

Атрибут LDAP, що відповідає ідентифікатору групи.

Типове значення: gidNumber

ldap_group_member (рядок)

Атрибут LDAP, у якому містяться імена учасників групи.

Типове значення: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (рядок)

Атрибут LDAP, що містить UUID/GUID об’єкта групи LDAP.

Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA

ldap_group_objectsid (рядок)

Атрибут LDAP, що містить objectSID об’єкта групи LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory.

Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів.

ldap_group_modify_timestamp (рядок)

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Типове значення: modifyTimestamp

ldap_group_type (рядок)

Атрибут LDAP, що містить ціле значення і позначає тип групи, а також, можливо, інші прапорці.

Цей атрибут у поточній версії використовується лише засобом надання даних AD для визначення, чи є група локальною групою домену і чи має бути її відфільтровано у списку надійних (довірених) доменів.

Типове значення: groupType у засобі надання даних AD, у інших засобах не встановлено

ldap_group_external_member (рядок)

Атрибут LDAP, який посилається на записи учасників групи, які визначено у зовнішньому домені. У поточній версії передбачено підтримку лише зовнішніх записів учасників IPA.

Типове значення: ipaExternalMember у засобі надання даних IPA, у інших засобах не визначено.

АТРИБУТИ МЕРЕЖЕВОЇ ГРУПИ

ldap_netgroup_object_class (рядок)

Клас об’єктів запису мережевої групи (netgroup) у LDAP.

У надавачі даних IPA має бути використано ipa_netgroup_object_class.

Типове значення: nisNetgroup

ldap_netgroup_name (рядок)

Атрибут LDAP, що відповідає назві мережевої групи (netgroup).

У надавачі даних IPA має бути використано ipa_netgroup_name.

Типове значення: cn

ldap_netgroup_member (рядок)

Атрибут LDAP, у якому містяться імена учасників мережевої групи (netgroup).

У надавачі даних IPA має бути використано ipa_netgroup_member.

Типове значення: memberNisNetgroup

ldap_netgroup_triple (рядок)

Атрибут LDAP, що містить трійки мережевої групи (вузол, користувач, домен).

Цим параметром не можна скористатися у надавачі даних IPA.

Типове значення: nisNetgroupTriple

ldap_netgroup_modify_timestamp (рядок)

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Цим параметром не можна скористатися у надавачі даних IPA.

Типове значення: modifyTimestamp

АТРИБУТИ ВУЗЛА

ldap_host_object_class (рядок)

Клас об’єктів запису вузла у LDAP.

Типове значення: ipService

ldap_host_name (рядок)

Атрибут LDAP, що відповідає назві вузла.

Типове значення: cn

ldap_host_fqdn (рядок)

Атрибут LDAP, що відповідає повній назві вузла.

Типове значення: fqdn

ldap_host_serverhostname (рядок)

Атрибут LDAP, що відповідає назві вузла.

Типове значення: serverHostname

ldap_host_member_of (рядок)

Атрибут LDAP зі списком груп, у яких бере участь вузол.

Типове значення: memberOf

ldap_host_ssh_public_key (рядок)

Атрибут LDAP, який містить відкриті ключі SSH вузла.

Типове значення: sshPublicKey

ldap_host_uuid (рядок)

Атрибут LDAP, що містить UUID/GUID об’єкта вузла LDAP.

Типове значення: not set

АТРИБУТИ СЛУЖБИ

ldap_service_object_class (рядок)

Клас об’єктів запису служби у LDAP.

Типове значення: ipService

ldap_service_name (рядок)

Атрибут LDAP, що містить назву атрибутів служби та замінників цих атрибутів.

Типове значення: cn

ldap_service_port (рядок)

Атрибут LDAP, що містить номер порту, яким керує ця служба.

Типове значення: ipServicePort

ldap_service_proto (рядок)

Атрибут LDAP, що містить протоколи, за яким може працювати ця служба.

Типове значення: ipServiceProtocol

АТРИБУТИ SUDO

ldap_sudorule_object_class (рядок)

Клас об’єктів запису правила sudo у LDAP.

Типове значення: sudoRole

ldap_sudorule_name (рядок)

Атрибут LDAP, що відповідає назві правила sudo.

Типове значення: cn

ldap_sudorule_command (рядок)

Атрибут LDAP, що відповідає назві команди.

Типове значення: sudoCommand

ldap_sudorule_host (рядок)

Атрибут LDAP, який відповідає назві вузла (або IP-адресі вузла, IP-мережі вузла, мережевій групі вузла)

Типове значення: sudoHost

ldap_sudorule_user (рядок)

Атрибут LDAP, що відповідає назві імені користувача (або UID, назві групи або назві мережевої групи користувача)

Типове значення: sudoUser

ldap_sudorule_option (рядок)

Атрибут LDAP, що відповідає параметрам sudo.

Типове значення: sudoOption

ldap_sudorule_runasuser (рядок)

Атрибут LDAP, що відповідає користувачеві, від імені якого можна виконувати команди.

Типове значення: sudoRunAsUser

ldap_sudorule_runasgroup (рядок)

Атрибут LDAP, що відповідає назві групи або GID, від імені якої можна виконувати команди.

Типове значення: sudoRunAsGroup

ldap_sudorule_notbefore (рядок)

Атрибут LDAP, що відповідає даті і часу набуття чинності правилом sudo.

Типове значення: sudoNotBefore

ldap_sudorule_notafter (рядок)

Атрибут LDAP, що відповідає даті і часу втрати чинності правилом sudo.

Типове значення: sudoNotAfter

ldap_sudorule_order (рядок)

Атрибут LDAP, що відповідає порядковому номеру правила.

Типове значення: sudoOrder

АТРИБУТИ AUTOFS

ldap_autofs_map_object_class (рядок)

Клас об’єктів запису карти автоматичного монтування у LDAP.

Типове значення: nisMap (rfc2307, autofs_provider=ad), у інших випадках automountMap

ldap_autofs_map_name (рядок)

Назва запису карти автоматичного монтування у LDAP.

Типове значення: nisMapName (rfc2307, autofs_provider=ad), у інших випадках automountMapName

ldap_autofs_entry_object_class (рядок)

Клас об'єктів автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: nisObject (rfc2307, autofs_provider=ad), у інших випадках automount

ldap_autofs_entry_key (рядок)

Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: cn (rfc2307, autofs_provider=ad), у інших випадках automountKey

ldap_autofs_entry_value (рядок)

Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: nisMapEntry (rfc2307, autofs_provider=ad), у інших випадках automountInformation

АТРИБУТИ ВУЗЛА IP

ldap_iphost_object_class (рядок)

Клас об'єктів запису iphost у LDAP.

Типове значення: ipHost

ldap_iphost_name (рядок)

Атрибут LDAP, що містить назву атрибутів IP вузла та замінників цих атрибутів.

Типове значення: cn

ldap_iphost_number (рядок)

Атрибут LDAP, який містить адресу IP вузла.

Типове значення: ipHostNumber

АТРИБУТИ МЕРЕЖІ IP

ldap_ipnetwork_object_class (рядок)

Клас об'єктів запису ipnetwork у LDAP.

Типове значення: ipNetwork

ldap_ipnetwork_name (рядок)

Атрибут LDAP, що містить назву атрибутів мережі IP та замінників цих атрибутів.

Типове значення: cn

ldap_ipnetwork_number (рядок)

Атрибут LDAP, який містить адресу мережі IP.

Типове значення: ipNetworkNumber

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)

AUTHORS

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/

04/18/2024 SSSD