2. EL 6 ELS
  3. sssd-common
  4. sssd.conf(5)

Scroll to navigation

SSSD.CONF(5) Dateiformate und Konventionen SSSD.CONF(5)

NAME

sssd.conf - die Konfigurationsdatei für SSSD

DATEIFORMAT

Die Datei hat eine Syntax im Ini-Stil. Sie besteht aus Abschnitten und Parametern. Ein Abschnitt beginnt mit dem Namen des Abschnitts in eckigen Klammern und dauert bis zum Anfang des nächsten Abschnitts. Ein Beispiel eines Abschnitts mit Parametern, die einzelne und mehrere Werte haben:

[section]
key = value
key2 = value2,value3

Die benutzten Datentypen sind Zeichenkette (keine Anführungszeichen nötig), Ganzzahl und Boolesch (mit den Werten »TRUE« und »FALSE«).

Eine Kommentarzeile beginnt mit einem Rautenzeichen (»#«) oder einem Strichpunkt (»;«). Kommentare innerhalb von Zeilen werden nicht unterstützt.

Alle Abschnitte können einen optionalen Parameter Beschreibung haben. Er dient nur als Beschriftung eines Abschnitts.

sssd.conf muss eine normale Datei sein, die Root gehört und die nur von Root gelesen oder geschrieben werden darf.

ALLGEMEINE OPTIONEN

Die folgenden Optionen sind in mehreren Konfigurationsabschnitten verfügbar.

In allen Abschnitten verfügbare Optionen

debug_level (Ganzzahl)

SSSD unterstützt zwei Darstellungsmodi für die Angabe der Debug-Stufe. Die einfachste ist die Angabe eines Dezimalwerts von 0 bis 9, welche die Aktivierung der Meldungen der entsprechenden Stufe und aller niederer Stufen bewirkt. Eine umfassendere Option ist die Angabe einer hexadezimalen Bitmaske, um spezifische Stufen zu aktivieren oder zu deaktivieren (wenn Sie beispielsweise eine Stufe unterdrücken wollen).

Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.

In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.

derzeit unterstützte Debug-Stufen:

0, 0x0010: Schwerwiegende Fehler. Alles was SSSD am Start hindern oder es beenden könnte.

1, 0x0020: Kritische Fehler. Dies sind Fehler, die SSSD nicht gewaltsam beenden, aber mindestens eine Hauptfunktion nicht sauber arbeitet.

2, 0x0040: Ernsthafte Fehler. Dies sind Fehler, bei denen eine bestimmte Anfrage oder Operation fehlgeschlagen ist.

3, 0x0080: Kleinere Fehler. Dies sind Fehler, die von geringerer Bedeutung als die fehlgeschlagenen Operationen in der Stufe 2 sind.

4, 0x0100: Konfigurationseinstellungen.

5, 0x0200: Funktionsdaten.

6, 0x0400: Meldungen aus der Verfolgung von Operationsfunktionen.

7, 0x1000: Meldungen aus der Verfolgung interner Kontrollfunktionen.

8, 0x2000: Inhalte funktionsinterner Variablen, die von Interesse sein könnten.

9, 0x4000: Verfolgungsmeldungen extrem niederster Ebene.

Um die Debug-Stufen nach Bitmaske zu protokollieren, fügen Sie deren Nummern hinzu, wie in den folgenden Beispielen gezeigt:

Beispiel: Um fatale, kritische, schwerwiegende Fehler und Funktionsdaten zu protokollieren, benutzen Sie 0x0270.

Beispiel: Um fatale Fehler, Konfigurationseinstellungen, Funktionsdaten und Verfolgungsnachrichten für interne Steuerfunktionen zu protokollieren, benutzen Sie 0x1310.

Hinweis: Das Bitmasken-Format der Debug-Level wurde in 1.7.0 eingeführt.

Voreinstellung: 0

debug_timestamps (Boolesch)

Add a timestamp to the debug messages. If journald is enabled for SSSD debug logging this option is ignored.

Voreinstellung: »true«

debug_microseconds (Boolesch)

Add microseconds to the timestamp in debug messages. If journald is enabled for SSSD debug logging this option is ignored.

Voreinstellung: »false«

In den Abschnitten SERVICE und DOMAIN verwendbare Optionen

timeout (Ganzzahl)

Zeitüberschreitung in Sekunden zwischen Herzschlägen dieses Dienstes. Dies dient dazu, sicherzustellen, dass ein Prozess läuft und in der Lage ist, Anfragen zu beantworten.

Voreinstellung: 10

BESONDERE ABSCHNITTE

Der Abschnitt [sssd]

Individuelle Teile der SSSD-Funktionalität werden durch spezielle SSSD-Dienste bereitgestellt, die zusammen mit SSSD gestartet und gestoppt werden. Die Dienste werden durch einen speziellen Dienst, oft »Monitor« genannt, verwaltet. Der Abschnitt »[sssd]« wird sowohl zum Konfigurieren des Monitors als auch einiger anderer wichtiger Optionen wie den »Identity Domains« verwendet.

Abschnittsparameter

config_file_version (Ganzzahl)

gibt die Syntax der Konfigurationsdatei an. SSSD 0.6.0 und neuer benutzen Version 2.

Dienste

Durch Kommata getrennte Liste der Dienste, die beim Start von SSSD selbst gestartet werden.

Unterstützte Dienste sind: nss, pam , sudo , autofs , ssh , pac , ifp

reconnection_retries (Ganzzahl)

Anzahl der Versuche, die ein Dienst unternehmen sollte, um sich erneut zu verbinden, bevor er aufgibt, falls ein Datenanbieter abgestürzt ist oder neu startet.

Voreinstellung: 3

Domains

A domain is a database containing user information. SSSD can use more domains at the same time, but at least one must be configured or SSSD won´t start. This parameter described the list of domains in the order you want them to be queried. A domain name should only consist of alphanumeric ASCII characters, dashes, dots and underscores.

re_expression (Zeichenkette)

voreingestellter regulärer Ausdruck, der beschreibt, in welche Bestandteile die Zeichenkette mit Benutzernamen und Domain bei der Auswertung zerlegt werden sollen.

Für jede Domain kann ein individueller regulärer Ausdruck konfiguriert werden. Für einige ID-Anbieter gibt es auch voreingestellte reguläre Ausdrücke. Weitere Informationen über diese regulären Ausdrücke finden Sie unter DOMAIN-ABSCHNITTE.

full_name_format (Zeichenkette)

ein mit printf(3) kompatibles Format, das beschreibt, wie ein voll qualifizierter Name aus den Bestandteilen Benutzername und Domain-Name zusammengestellt wird.

Die folgenden Erweiterungen werden unterstützt:

%1$s

Benutzername

%2$s

Domain-Name, wie er durch die SSSD-Konfigurationsdatei angegeben wird

%3$s

flacher Name der Domain; meist für Active-Directory-Domains nützlich, sowohl direkt konfiguriert als auch über IPA-Trust

Für jede Domain kann eine individuelle Formatzeichenkette konfiguriert werden. Weitere Informationen über diese Option finden Sie unter DOMAIN-ABSCHNITTE.

try_inotify (Boolesch)

SSSD überwacht den Status der »resolv.conf«, um festzustellen, wann es seinen internen DNS-Resolver aktualisieren muss. Standardmäßig werden wir versuchen, dafür Inotify zu benutzen. Falls Inotify nicht benutzt werden kann, werden wir darauf zurückgreifen, alle fünf Sekunden »resolv.conf« abzufragen.

Es gibt ein paar begrenzte Situationen, in denen wir den Versuch, Inotify zu benutzen, vorzugsweise überspringen sollten. In diesen seltenen Fällen sollte diese Option auf »false« gesetzt werden.

Voreinstellung: »true« auf Plattformen, auf denen Inotify unterstützt wird, »false« auf anderen Plattformen.

Hinweis: Diese Option wird auf Plattformen, auf denen Inotify nicht verfügbar ist, keine Auswirkungen haben.

krb5_rcache_dir (Zeichenkette)

Verzeichnis auf dem Dateisystem, auf dem SSSD Dateien des Kerberos-Replay-Zwischenspeichers speichern sollte.

Diese Option akzeptiert einen besonderen Wert, __LIBKRB5_DEFAULTS__, der SSSD anweisen wird, Libkrb5 die Entscheidung zu überlassen, wo der geeignete Ort für den Replay-Zwischenspeicher ist.

Voreinstellung: ahängig von der Distribution und zur Bauzeit angegeben (__LIBKRB5_DEFAULTS__, falls nicht konfiguriert)

user (string)

The user to drop the privileges to where appropriate to avoid running as the root user.

Default: not set, process will run as root

default_domain_suffix (Zeichenkette)

Diese Zeichenkette wird als Standard-Domain-Name für alle Namen ohne einen Domain-Namensbestandteil benutzt. Hauptsächlich wird dies in Umgebungen benutzt, in denen die primäre Domain zur Verwaltung von Rechnerrichtlinien gedacht ist und sich alle Anwender in einer vertrauenswürdigen Domain befinden. Die Option ermöglicht diesen Anwendern die Anmeldung allein mit ihrem Benutzernamen ohne auch eine Domain anzugeben.

Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False.

Voreinstellung: nicht gesetzt

override_space (string)

This parameter will replace spaces (space bar) with the given character for user and group names. e.g. (_). User name "john doe" will be "john_doe" This feature was added to help compatibility with shell scripts that have difficulty handling spaces, due to the default field separator in the shell.

Please note it is a configuration error to use a replacement character that might be used in user or group names. If a name contains the replacement character SSSD tries to return the unmodified name but in general the result of a lookup is undefined.

Default: not set (spaces will not be replaced)

certificate_verification (string)

With this parameter the certificate verification can be tuned with a comma separated list of options. Supported options are:

no_ocsp

Disables Online Certificate Status Protocol (OCSP) checks. This might be needed if the OCSP servers defined in the certificate are not reachable from the client.

Unknown options are reported but ignored.

Default: not set, i.e. do not restrict certificate vertification

DIENSTABSCHNITTE

Dieser Abschnitt beschreibt Einstellungen, die zum Konfigurieren mehrerer unterschiedlicher Dienste benutzt werden. Sie sollten im Abschnitt [$NAME] liegen, für den Dienst NSS wäre der Abschnitt zum Beispiel “[nss]”.

Allgemeine Optionen zum Konfigurieren von Diensten

Diese Optionen können zur Konfiguration jedes Dienstes benutzt werden.

reconnection_retries (Ganzzahl)

Anzahl der Versuche, die ein Dienst unternehmen sollte, um sich erneut zu verbinden, bevor er aufgibt, falls ein Datenanbieter abgestürzt ist oder neu startet.

Voreinstellung: 3

fd_limit

Diese Option gibt die maximale Anzahl von Dateideskriptoren an, die gleichzeitig durch diesen SSSD-Prozess geöffnet sein können. Auf Systemen, auf denen SSSD die Fähigkeit CAP_SYS_RESOURCE gewährt wird, wird dies eine absolute Einstellung sein. Auf Systemen ohne diese Fähigkeit wird der resultierende Wert der niedrigere Wert hiervon oder der der »harten« Begrenzung in der »limit.conf« sein.

Voreinstellung: 8192 (oder die »harte« Begrenzung der »limit.conf«)

client_idle_timeout

Diese Option gibt die Anzahl der Sekunden an, während der ein Client eines SSSD-Prozesses einen Dateideskriptor behalten kann, ohne damit zu kommunizieren. Dieser Wert wird begrenzt, um zu verhindern, dass Ressourcen des Systems blockiert werden.

Voreinstellung: 60

force_timeout (Ganzzahl)

Falls ein Dienst nicht auf Ping-Prüfungen antwortet (siehe die Option »timeout«), wird ihm zuerst das Signal SIGTERM gesendet, das ihn anweist anstandslos zu enden. Falls der Dienst sich nicht nach »force_timeout« Sekunden beendet, wird der Monitor sein Beenden durch Senden des Signals SIGKILL erzwingen.

Voreinstellung: 60

offline_timeout (Ganzzahl)

When SSSD switches to offline mode the amount of time before it tries to go back online will increase based upon the time spent disconnected. This value is in seconds and calculated by the following:

offline_timeout + random_offset

The random offset can increment up to 30 seconds. After each unsuccessful attempt to go online, the new interval is recalculated by the following:

new_interval = old_interval*2 + random_offset

Note that the maximum length of each interval is currently limited to one hour. If the calculated length of new_interval is greater than an hour, it will be forced to one hour.

Voreinstellung: 60

subdomain_inherit (string)

Specifies a list of configuration parameters that should be inherited by a subdomain. Please note that only selected parameters can be inherited. Currently the following options can be inherited:

ignore_group_members

ldap_purge_cache_timeout

ldap_use_tokengroups

ldap_user_principal

Example:

subdomain_inherit = ldap_purge_cache_timeout

Voreinstellung: none

NSS-Konfigurationsoptionen

Diese Optionen können zum Konfigurieren des »Name Service Switch« (NSS) benutzt werden

enum_cache_timeout (Ganzzahl)

Wieviele Sekunden soll »nss_sss« Aufzählungen (Abfragen von Informationen über alle Nutzer) zwischenspeichern?

Voreinstellung: 120

entry_cache_nowait_percentage (Ganzzahl)

Der Eintragszwischenspeicher kann auf automatisch im Hintergrund aktualisierte Einträge gestellt werden, falls sie jenseits eines Prozentsatzes des Wertes »entry_cache_timeout« für die Domain abgefragt werden.

Falls zum Beispiel die Zeitüberschreitung für den Eintragszwischenspeicher der Domain auf 30s und »entry_cache_nowait_percentage« auf 50 Prozent gesetzt wurde, werden Einträge, die in den letzten 15 Sekunden nach der letzen Zwischenspeicheraktualisierung hereinkamen, sofort zurückgegeben, SSSD wird aber den Zwischenspeicher selbst aktualisieren, so dass zukünftige Abfragen nicht blockiert werden müssen, um auf eine Zwischenspeicheraktualisierung zu warten.

Gültige Werte für diese Option sind 0-99. Sie geben die Prozentzahl des »entry_cache_timeout« für jede Domain an. Aus Leistungsgründen wird diese Prozentzahl die »nowait«-Zeitüberschreitung nie auf weniger als zehn Sekunden senken. (0 schaltet diese Funktionalität aus.)

Voreinstellung: 50

entry_negative_timeout (Ganzzahl)

gibt an, für wie viele Sekunden lang »nss_sss« negative Zwischenspeichertreffer zwischenspeichern soll (das heißt, Abfragen ungültiger Datenbankeinträge, wie solche, die nicht existieren), bevor das Backend erneut gefragt wird).

Voreinstellung: 15

filter_users, filter_groups (Zeichenkette)

schließt bestimmte Nutzer von der Abfrage aus der SSS-NSS-Datenbank aus, was insbesondere für Systemkonten nützlich ist. Diese Option kann auch pro Domain gesetzt werden oder voll qualifizierte Namen enthalten, um nur Nutzer von einer bestimmten Domain herauszufiltern.

Voreinstellung: root

filter_users_in_groups (Boolesch)

Falls Sie möchten, dass gefilterte Nutzer weiterhin Gruppenmitglieder sind, setzen Sie diese Option auf »false«.

Voreinstellung: »true«

override_homedir (Zeichenkette)

setzt das Home-Verzeichnis des Benutzers außer Kraft. Sie können entweder einen absoluten Wert oder eine Schablone bereitstellen. In der Schablone werden die folgenden Sequenzen ersetzt:

%u

Anmeldename

%U

UID-Nummer

%d

Domain-Name

%f

voll qualifizierter Benutzername (Benutzer@Domain)

%P

UPN - User Principal Name (name@REALM)

%o

das Original-Home-Verzeichnis, das vom Identitätsanbieter geholt wurde

%H

Der Wert der Konfigurationsoption homedir_substring.

%%

ein buchstäbliches »%«

Diese Option kann auch pro Domain gesetzt werden.

Beispiel:

override_homedir = /home/%u

Voreinstellung: nicht gesetzt (SSSD wird den von LDAP geholten Wert benutzen)

homedir_substring (Zeichenkette)

Der Wert dieser Option wird als Auflösung der Option override_homedir verwendet, falls die Vorlage die Formatzeichenkette %H enthält. Ein LDAP-Verzeichniseintrag kann diese Schablone direkt enthalten, so dass diese Option zum Auflösen des Pfades zum Home-Verzeichnis für jeden Client-Rechner (oder Betriebssystem) verwendet werden kann. Sie kann pro-Domain oder global im Abschnitt [nss] gesetzt werden. Ein im Domain-Abschnitt angegebener Wert setzt jenen im [nss]-Abschnitt außer Kraft.

Voreinstellung: /home

fallback_homedir (Zeichenkette)

setzt eine Standardschablone für das Home-Verzeichnis eines Nutzers, falls es nicht explizit durch den Datenanbieter der Domain angegeben wurde.

Die für diese Option verfügbaren Werte sind dieselben wie für »override_homedir«.

Beispiel:

fallback_homedir = /home/%u

Voreinstellung: nicht gesetzt (kein Ersetzen nicht gesetzter Home-Verzeichnisse)

override_shell (Zeichenkette)

Setzt die Anmeldeshell für alle Benutzer außer Kraft. Diese Option genießt Vorrecht vor allen anderen Shell-Optionen, falls sie Wirkung zeigt und kann entweder im Abschnitt [nss] oder für jede Domain gesetzt werden.

Voreinstellung: nicht gesetzt (SSSD wird den von LDAP erhaltenen Wert benutzen)

allowed_shells (Zeichenkette)

beschränkt die Shell des Nutzers auf eine der aufgeführten Werte. Die Reihenfolge der Auswertung ist:

1. Falls die Shell in »/etc/shells« vorhanden ist, wird sie benutzt.

2. Falls die Shell in der Liste »allowed_shells«, aber nicht in »/etc/shells« steht, wird der Wert des Parameters »shell_fallback« verwendet.

3. Falls die Shell weder in der Liste »allowed_shells« noch in »/etc/shells« steht, wird eine Nicht-Login-Shell benutzt.

The wildcard (*) can be used to allow any shell.

The (*) is useful if you want to use shell_fallback in case that user´s shell is not in “/etc/shells” and maintaining list of all allowed shells in allowed_shells would be to much overhead.

Eine leere Zeichenkette als Shell wird, so wie sie ist, an Libc übergeben.

»/etc/shells« wird nur beim Start von SSSD gelesen. Das bedeutet, dass im Fall einer neu installierten Shell ein Neustart von SSSD nötig ist.

Voreinstellung: nicht gesetzt. Die Benutzer-Shell wird automatisch verwendet.

vetoed_shells (Zeichenkette)

ersetzt jedwede Instanz dieser Shells durch die aus »shell_fallback«.

shell_fallback (Zeichenkette)

Die Standard-Shell, die benutzt werden soll, falls eine erlaubte Shell nicht auf dem Rechner installiert ist.

Voreinstellung: /bin/sh

default_shell

Die zu verwendende Vorgabeshell, falls der Anbieter während des Suchvorgangs nichts zurückgibt. Diese Option kann entweder im Abschnitt [nss] oder für jede Domain gesetzt werden.

Voreinstellung: nicht gesetzt (Falls keine Shell angegeben wurde, wird NULL zurückgegeben und darauf vertraut, dass Libc es, wenn nötig, durch etwas Vernünftiges, üblicherweise /bin/sh, ersetzt.)

get_domains_timeout (Ganzzahl)

gibt die Zeit in Sekunden an, während der die Liste der Subdomains als gültig erachtet wird.

Voreinstellung: 60

memcache_timeout (Ganzzahl)

Specifies time in seconds for which records in the in-memory cache will be valid.

Voreinstellung: 300

NOTE: If the environment variable SSS_NSS_USE_MEMCACHE is set to "NO", client applications will not use the fast in-memory cache.

user_attributes (Zeichenkette)

Some of the additional NSS responder requests can return more attributes than just the POSIX ones defined by the NSS interface. The list of attributes is controlled by this option. It is handled the same way as the “user_attributes” option of the InfoPipe responder (see sssd-ifp(5) for details) but with no default values.

To make configuration more easy the NSS responder will check the InfoPipe option if it is not set for the NSS responder.

Default: not set, fallback to InfoPipe option

PAM-Konfigurationsoptionen

Diese Optionen können benutzt werden, um den Dienst »Pluggable Authentication Module« (PAM) einzurichten.

offline_credentials_expiration (Ganzzahl)

Wie lange sollen zwischengespeicherte Anmeldungen erlaubt werden, falls der Authentifizierungsanbieter offline ist (in Tagen seit der letzten erfolgreichen Anmeldung)?

Voreinstellung: 0 (unbegrenzt)

offline_failed_login_attempts (Ganzzahl)

Wieviele fehlgeschlagene Anmeldeversuche sind erlaubt, falls der Authentifizierungsanbieter offline ist?

Voreinstellung: 0 (unbegrenzt)

offline_failed_login_delay (Ganzzahl)

die Zeit in Minuten, die nach dem Erreichen von »offline_failed_login_attempts« vergehen muss, bevor ein neuer Anmeldeversuch möglich ist.

Falls dies auf 0 gesetzt ist, kann der Benutzer sich nicht offline authentifizieren, wenn »offline_failed_login_attempts« erreicht wurde. Nur eine erfolgreiche Online-Authentifizierung kann die Offline-Authentifizierung reaktivieren.

Voreinstellung: 5

pam_verbosity (Ganzzahl)

steuert, welche Arten von Nachrichten während der Benutzerauthentifizierung angezeigt werden. Je höher die Zahl, desto mehr Nachrichten werden angezeigt.

Derzeit unterstützt SSSD folgende Werte:

0: keine Nachricht anzeigen

1: nur wichtige Nachrichten anzeigen

2: nur informative Nachrichten anzeigen

3: alle Nachrichten und Debug-Informationen anzeigen

Voreinstellung: 1

pam_id_timeout (Ganzzahl)

Für alle PAM-Anfragen, während SSSD online ist, wird SSSD versuchen, sofort die zwischengespeicherten Identitätsinformationen für den Benutzer zu aktualisieren. Dadurch wird sichergestellt, dass die Authentifizierung mit den neusten Informationen erfolgt.

Eine vollständige PAM-Konversation kann mehrere PAM-Abfragen durchführen, wie die Kontenverwaltung und das Öffnen von Sitzungen. Diese Option steuert (auf Basis von Client-Anwendungen) wie lange (in Sekunden) die Identitätsinformationen zwischengespeichert werden können, um übermäßig viele Abfragen der Identitätsanbieter zu vermeiden.

Voreinstellung: 5

pam_pwd_expiration_warning (Ganzzahl)

zeigt N Tage vor Ablauf des Passworts eine Warnung an.

Bitte beachten Sie, dass der Backend-Server Informationen über die Ablaufzeit des Passworts bereitstellen muss. Fehlt diese Information, kann SSSD keine Warnung anzeigen.

Falls dies auf Null gesetzt ist, wird dieser Filter nicht angewendet, d.h., falls die Ablaufwarnung vom Backend-Server empfangen wurde, wird sie automatisch angezeigt.

Diese Einstellung kann durch Setzen von pwd_expiration_warning für eine bestimmte Domain außer Kraft gesetzt werden.

Voreinstellung: 0

get_domains_timeout (Ganzzahl)

gibt die Zeit in Sekunden an, während der die Liste der Subdomains als gültig erachtet wird.

Voreinstellung: 60

pam_trusted_users (string)

Specifies the comma-separated list of UID values or user names that are allowed to access the PAM responder. User names are resolved to UIDs at startup.

Default: all (All users are allowed to access the PAM responder)

Please note that UID 0 is always allowed to access the PAM responder even in case it is not in the pam_trusted_users list.

pam_public_domains (string)

Specifies the comma-separated list of domain names that are accessible even to untrusted users.

Two special values for pam_public_domains option are defined:

all (Untrusted users are allowed to access all domains in PAM responder.)

none (Untrusted users are not allowed to access any domains PAM in responder.)

Voreinstellung: none

pam_account_expired_message (string)

If user is authenticating using SSH keys and account is expired then by default ´Permission denied´ is output. This output will be changed to content of this variable if it is set.

Beispiel:

pam_account_expired_message = Account expired, please call help desk.

Voreinstellung: none

p11_child_timeout (integer)

How many seconds will pam_sss wait for p11_child to finish.

Voreinstellung: 10

Sudo-Konfigurationsoptionen

Diese Optionen können zur Konfiguration des Sudo-Dienstes verwendet werden. Detaillierte Informationen zur Konfiguration von sudo(8) zur Verwendung mit sssd(8) finden Sie in der Handbuchseite zu sssd-sudo(5).

sudo_timed (Boolesch)

bestimmt, ob die Attribute »sudoNotBefore« und »sudoNotAfter«, die zeitabhängige »sudoers«-Einträge implementieren, ausgewertet werden oder nicht.

Voreinstellung: »false«

AUTOFS-Konfigurationsoptionen

Diese Optionen können zum Konfigurieren des Dienstes »autofs« benutzt werden.

autofs_negative_timeout (Ganzzahl)

gibt an, wie viele Sekunden der Autofs-Responder negative Treffer zwischenspeichert (das bedeutet, Abfragen ungültiger Abbildeinträge, wie nicht existierende), bevor das Backend erneut befragt wird.

Voreinstellung: 15

Bitte beachten Sie, dass der Automounter beim Start nur die Master-Abbildung liest. Daher müssen Sie normalerweise, falls irgendwelche zu Autofs gehörigen Änderungen in der »sssd.conf« vorgenommen wurden, den Automounter-Daemon nach dem SSSD-Neustart ebenfalls neu starten.

SSH-Konfigurationsoptionen

Diese Optionen können zum Konfigurieren des SSH-Dienstes benutzt werden.

ssh_hash_known_hosts (Boolesch)

bestimmt, ob Rechnernamen und Adressen in der verwalteten Datei »known_hosts« zusammengemischt werden oder nicht.

Voreinstellung: »true«

ssh_known_hosts_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang ein Rechner in der verwalteten Datei »known_hosts« behalten wird, bevor seine Rechnerschlüssel abgefragt werden.

Voreinstellung: 180

ca_db (string)

Path to a storage of trusted CA certificates. The option is used to validate user certificates before deriving public ssh keys from them.

Default: /etc/pki/nssdb

PAC-Responder-Konfigurationsoptionen

Der PAC-Responder arbeitet mit der Autorisierungsdatenerweiterung für »sssd_pac_plugin.so« von MIT Kerberos und einem Subdomain-Anbieter. Die Erweiterung sendet die PAC-Daten während einer GSSAPI-Authentifizierung an den PAC-Responder. Der Subdomain-Anbieter sammelt die SID- und ID-Bereiche der Domain, zu der der Client gehört, und die fernen vertrauenswürdigen Domains vom lokalen Domain-Controller. Falls der PAC entschlüsselt und ausgewertet wurde, werden einige der folgenden Transaktionen durchgeführt:

•Falls der ferne Benutzer nicht im Zwischenspeicher existiert, wird er erstellt. Die UID wird mithilfe der SID bestimmt, vertrauenswürdige Domains werden UPGs und GID denselben Wert wie die UID haben. Das Home-Verzeichnis wird auf Basis des Parameters »subdomain_homedir« gesetzt. Die Shell wird standardmäßig leer sein, d.h. die Voreinstellungen des Systems werden benutzt, können jedoch mit dem Parameter »default_shell« überschrieben werden.

•Falls es Gruppen-SIDs von Domains gibt, die SSSD kennt, wird der Benutzer zu diesen Gruppen hinzugefügt.

Diese Optionen können zur Konfiguration des PAC-Responders verwendet werden.

allowed_uids (Zeichenkette)

gibt die durch Kommata getrennte Liste von UID-Werten oder Benutzernamen an, denen der Zugriff auf den PAC-Responder erlaubt ist. Benutzernamen werden beim Starten zu UIDs aufgelöst.

Voreinstellung: 0 (Nur dem Benutzer Root ist der Zugriff auf den PAC-Responder gestattet.)

Bitte beachten Sie, dass, obwohl die UID 0 als Voreinstellung benutzt wird, diese Option sie überschriebt. Falls Sie weiterhin dem Benutzer Root Zugriff auf den PAC-Responder gewähren möchten, was der Normalfall ist, müssen Sie der Liste der erlaubten UIDs auch die 0 hinzufügen.

DOMAIN-ABSCHNITTE

Diese Konfigurationsoptionen können in einem Abschnitt einer Domain-Konfiguration vorhanden sein, das heißt, in einem Abschnitt namens “[domain/NAME]”

min_id,max_id (Ganzzahl)

UID- und GID-Beschränkungen für die Domain. Falls eine Domain einen Eintrag enthält, der jenseits dieser Beschränkungen liegt, wird er ignoriert.

Dies beeinflusst die Haupt-GID-Beschränkung für Benutzer. Der Benutzer wird nicht an NSS zurückgegeben, falls entweder die UID oder die Haupt-GID außerhalb des Bereichs liegt. Bei Mitgliedschaften in Nichthauptgruppen werden jene, die im Bereich liegen, wie erwartet gemeldet.

Diese ID-Beschränkungen beeinflussen sogar das Speichern von Einträgen in den Zwischenspeicher und nicht nur ihre Rückgabe über Name oder ID.

Voreinstellung: 1 für »min_id«, 0 (keine Beschränkung) für »max_id«

enumerate (Boolesch)

bestimmt, ob eine Domain aufgezählt werden kann. Dieser Parameter kann einen der folgenden Werte haben:

TRUE = Benutzer und Gruppen werden aufgezählt.

FALSE = keine Aufzählungen für diese Domain

Voreinstellung: FALSE

Hinweis: Aktivieren der Aufzählung hat mäßige Auswirkungen auf die Leistung von SSSD, während die Aufzählung läuft. Das Vervollständigen der Aufzählungen kann nach dem Start von SSSD mehrere Minuten dauern. Während dieser Zeit werden individuelle Abfragen von Informationen direkt an LDAP gehen, obwohl es aufgrund des Aufzählungsprozesses möglicherweise langsam ist. Speichern einer großen Menge von Einträgen in den Zwischenspeicher, nachdem die Aufzählung vollständig ist, kann ebenfalls CPU-lastig sein, da die Mitgliedschaften neu berechnet werden müssen.

Während die erste Aufzählung läuft, geben Anfragen nach vollständigen Benutzer- oder Gruppenlisten möglicherweise bis zur Fertigstellung keine Ergebnisse zurück.

Darüber hinaus kann das Aktivieren der Aufzählung dazu führen, dass Netzwerkausfälle erst später entdeckt werden. Dies kommt daher, dass längere Zeitüberschreitungen vonnöten sind, um sicherzustellen, dass das Nachschlagen von Aufzählungen vollständig erfolgreich war. Weitere Informationen finden Sie in den Handbuchseiten für den jeweils aktuell benutzten »id_provider«.

Aus den oben genannten Gründen wird das Aktivieren von Aufzählungen, insbesondere in großen Umgebungen, nicht empfohlen.

subdomain_enumerate (Zeichenkette)

Legt fest, ob eventuell automatisch erkannte vertrauenswürdige Domains aufgezählt werden sollen. Folgende Werte werden unterstützt:

all

Alle entdeckten vertrauenswürdigen Domains werden aufgezählt.

none

Keine der entdeckten vertrauenswürdigen Domains wird aufgezählt.

Optional wird eine Liste aus einer oder mehreren Domain-Namen die Aufzählung für genau diese vertrauenswürdigen Domains aktivieren.

Voreinstellung: none

force_timeout (Ganzzahl)

Falls ein Dienst nicht auf Ping-Prüfungen antwortet (siehe die Option »timeout«), wird ihm zuerst das Signal SIGTERM gesendet, das ihn anweist anstandslos zu enden. Falls der Dienst sich nicht nach »force_timeout« Sekunden beendet, wird der Monitor sein Beenden durch Senden des Signals SIGKILL erzwingen.

Voreinstellung: 60

entry_cache_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang »nss_sss« Einträge als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Die Ablaufzeitstempel werden als Attribute individueller Objekte im Zwischenspeicher gespeichert. Daher zeigt die Änderung der Ablaufzeiten im Zwischenspeicher nur Wirkung bei neu hinzugefügten oder abgelaufenen Einträgen. Sie sollten sss_cache(8) ausführen, um die Aktualisierung von Einträgen zu erzwingen, die bereits zwischengespeichert wurden.

Voreinstellung: 5400

entry_cache_user_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang »nss_sss« Benutzereinträge als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_group_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang »nss_sss« Gruppeneinträge als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_netgroup_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang »nss_sss« Netzgruppeneinträge als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_service_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang »nss_sss« Diensteinträge als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_sudo_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang Sudo Regeln als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_autofs_timeout (Ganzzahl)

bestimmt, wie viele Sekunden lang der Dienst »autofs« Abbilder des Automounters als gültig betrachten soll, bevor das Backend erneut abgefragt wird.

Voreinstellung: entry_cache_timeout

entry_cache_ssh_host_timeout (integer)

How many seconds to keep a host ssh key after refresh. IE how long to cache the host key for.

Voreinstellung: entry_cache_timeout

refresh_expired_interval (Ganzzahl)

Legt die Anzahl der Sekunden fest, die SSSD warten soll, bevor eine neuer Prozess der Aktualisierung im Hintergrund ausgelöst wird, bei dem alle abgelaufenen oder beinahe abgelaufenen Daten aktualisiert werden.

The background refresh will process users, groups and netgroups in the cache.

Sie können in Betracht ziehen, diesen Wert auf 3/4 * entry_cache_timeout zu setzen.

Voreinstellung: 0 (deaktiviert)

cache_credentials (Boolesch)

bestimmt, ob auch Benutzerberechtigungen im lokalen LDB-Zwischenspeicher zwischengespeichert werden.

Benutzerberechtigungen werden in einem SHA512-Hash, nicht im Klartext gespeichert.

Voreinstellung: FALSE

cache_credentials_minimal_first_factor_length (int)

If 2-Factor-Authentication (2FA) is used and credentials should be saved this value determines the minimal length the first authentication factor (long term password) must have to be saved as SHA512 hash into the cache.

This should avoid that the short PINs of a PIN based 2FA scheme are saved in the cache which would make them easy targets for brute-force attacks.

Default: 8

account_cache_expiration (Ganzzahl)

Anzahl der Tage, während der Einträge nach einer erfolgreichen Anmeldung im Zwischenspeicher bleiben, bevor sie im Laufe der Zwischenspeicherbereinigung entfernt werden. 0 bedeutet, für immer aufbewahren. Der Wert dieses Parameters muss größer oder gleich »offline_credentials_expiration« sein.

Voreinstellung: 0 (unbegrenzt)

pwd_expiration_warning (Ganzzahl)

zeigt N Tage vor Ablauf des Passworts eine Warnung an.

Falls dies auf Null gesetzt ist, wird dieser Filter nicht angewendet, d.h., falls die Ablaufwarnung vom Backend-Server empfangen wurde, wird sie automatisch angezeigt.

Bitte beachten Sie, dass der Backend-Server Informationen über die Ablaufzeit des Passworts bereitstellen muss. Fehlt diese Information, kann SSSD keine Warnung anzeigen. Außerdem muss für das Backend ein Authentifizierungsanbieter konfiguriert werden.

Voreinstellung: 7 (Kerberos), 0 (LDAP)

id_provider (Zeichenkette)

der für die Domain benutzte Authentifizierungsanbieter. Folgende ID-Anbieter werden unterstützt:

»proxy«: unterstützt einen veralteten NSS-Anbieter.

»local«: SSSDs interner Anbieter für lokale Benutzer

»ldap«: LDAP-Anbieter: Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

»ipa«: Anbieter von FreeIPA und Red Hat Enterprise Identity Management. Weitere Informationen über die Konfiguration von FreeIPA finden Sie unter sssd-ipa(5).

»ad«: Active-Directory-Anbieter: Weitere Informationen über die Konfiguration von Active Directory finden Sie unter sssd-ad(5).

use_fully_qualified_names (Boolesch)

benutzt den vollständigen Namen und die Domain (wie sie durch das »full_name_format« der Domain formatiert wurde) als Anmeldenamen des Benutzers, der an NSS gemeldet wird.

Ist dies auf TRUE gesetzt, müssen Anfragen an diese Domain voll qualifizierte Namen benutzen. Falls zum Beispiel getent passwd test in der Domain LOCAL benutzt wird, die einen Benutzer »test« enthält, würde der Benutzer nicht gefunden, getent passwd test@LOCAL würde ihn hingegen finden.

ACHTUNG: Diese Option ist bei Netzgruppen-Suchanfragen wirkungslos, da diese dazu tendieren, verschachtelte Netzgruppen ohne voll qualifizierte Namen einzubeziehen. Bei Netzgruppen werden alle Domains durchsucht, wenn ein nicht voll qualifizierter Name angefragt wird.

Default: FALSE (TRUE if default_domain_suffix is used)

ignore_group_members (Boolesch)

gibt beim Nachschlagen der Gruppe nicht die Gruppenmitglieder zurück.

If set to TRUE, the group membership attribute is not requested from the ldap server, and group members are not returned when processing group lookup calls, such as getgrnam(3) or getgrgid(3). As an effect, “getent group $groupname” would return the requested group as if it was empty.

Enabling this option can also make access provider checks for group membership significantly faster, especially for groups containing many members.

Voreinstellung: FALSE

auth_provider (Zeichenkette)

der für diese Domain benutzte Authentifizierungsanbieter. Folgende Authentifizierungsanbieter werden unterstützt:

»ldap« für native LDAP-Authentifizierung. Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

»krb5« für Kerberos-Authentifizierung. Weitere Informationen über die Konfiguration von Kerberos finden Sie unter sssd-krb5(5).

»ipa«: Anbieter von FreeIPA und Red Hat Enterprise Identity Management. Weitere Informationen über die Konfiguration von FreeIPA finden Sie unter sssd-ipa(5).

»ad«: Active-Directory-Anbieter: Weitere Informationen über die Konfiguration von Active Directory finden Sie unter sssd-ad(5).

»proxy« zur Weitergabe der Authentifizierung an irgendein anderes PAM-Ziel

»local«: SSSDs interner Anbieter für lokale Benutzer

»none« deaktiviert explizit die Authentifizierung.

Voreinstellung: »id_provider« wird, falls es gesetzt ist, benutzt und kann mit Authentifizierungsanfragen umgehen.

access_provider (Zeichenkette)

der für diese Domain benutzte Zugriffssteuerungsanbieter. Es gibt zwei integrierte Zugriffsanbieter (zusätzlich zu denen, die in den installierten Backends enthalten sind). Interne Spezialanbieter sind:

»permit« gibt immer Zugriff. Es ist der einzige erlaubte Zugriffsanbieter für eine lokale Domain.

»deny« verweigert dem Zugriff immer.

»ldap« für native LDAP-Authentifizierung. Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

»ipa«: Anbieter von FreeIPA und Red Hat Enterprise Identity Management. Weitere Informationen über die Konfiguration von FreeIPA finden Sie unter sssd-ipa(5).

»ad«: Active-Directory-Anbieter: Weitere Informationen über die Konfiguration von Active Directory finden Sie unter sssd-ad(5).

»simple«: Zugriffssteuerung basierend auf Zugriffs- oder Verweigerungslisten. Weitere Informationen über die Konfiguration des einfachen Zugriffsmoduls finden sie unter sssd-simple(5).

Voreinstellung: »permit«

chpass_provider (Zeichenkette)

der Anbieter, der Passwortänderungsaktionen für die Domain handhaben soll. Folgende Anbieter von Passwortänderungen werden unterstützt:

»ldap« zum Ändern eines auf einem LDAP-Server gespeicherten Passworts. Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

»krb5« zum Ändern des Kerberos-Passworts. Weitere Informationen über die Konfiguration von Kerberos finden Sie unter sssd-krb5(5).

»ipa«: Anbieter von FreeIPA und Red Hat Enterprise Identity Management. Weitere Informationen über die Konfiguration von FreeIPA finden Sie unter sssd-ipa(5).

»ad«: Active-Directory-Anbieter: Weitere Informationen über die Konfiguration von Active Directory finden Sie unter sssd-ad(5).

»proxy« zur Weitergabe der Passwortänderung an irgendein anderes PAM-Ziel

»none« verbietet explizit Passwortänderungen.

Voreinstellung: »auth_provider« wird, falls es gesetzt ist, benutzt und kann mit Passwortänderungsanfragen umgehen.

sudo_provider (Zeichenkette)

der für diese Domain benutzte Sudo-Anbieter. Folgende Sudo-Anbieter werden unterstützt:

»ldap« für die in LDAP gespeicherten Regeln. Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

“ipa” ist gleichbedeutend mit “ldap”, aber mit den Vorgabeeinstellungen für IPA.

“ad” ist gleichbedeutend mit “ldap”, aber mit den Vorgabeeinstellungen für AD.

»none« deaktiviert explizit Sudo.

Voreinstellung: Falls gesetzt, wird der Wert von »id_provider« benutzt.

Detaillierte Informationen zur Konfiguration von sudo_provider finden Sie in der Handbuchseite zu sssd-sudo(5). Es gibt zahlreiche verwendbare Konfigurationsoptionen, mit denen das Verhalten angepasst werden kann. Siehe »ldap_sudo_*« in sssd-ldap(5).

selinux_provider (Zeichenkette)

der Anbieter, der das Laden der SELinux-Einstellungen handhaben soll. Beachten Sie, dass dieser Anbieter direkt aufgerufen wird, nachdem sich der Zugriffsanbieter beendet hat. Folgende SELinux-Anbieter werden unterstützt:

»ipa«, um SELinux-Einstellungen von einem IPA-Server zu laden. Weitere Informationen über die Konfiguration von FreeIPA finden Sie unter sssd-ipa(5).

»none« verbietet explizit das Abholen von SELinux-Einstellungen.

Voreinstellung: Falls gesetzt, wird der Wert von »id_provider« benutzt. Er kann SELinux-Ladeanfragen handhaben.

subdomains_provider (Zeichenkette)

der Anbieter, der das Abholen von Subdomains handhaben soll. Dieser Wert sollte immer derselbe sein wie »id_provider«. Folgende Subdomain-Anbieter werden unterstützt:

»ipa«, um eine Liste mit Subdomains von einem IPA-Server zu laden. Weitere Informationen über die Konfiguration von IPA finden Sie unter sssd-ipa(5).

“ad” to load a list of subdomains from an Active Directory server. See sssd-ad(5) for more information on configuring the AD provider.

»none« deaktiviert explizit das Abholen von Subdomains.

Voreinstellung: Falls gesetzt, wird der Wert von »id_provider« benutzt.

autofs_provider (Zeichenkette)

der für diese Domain benutzte Anbieter von »autofs«. Folgende Anbieter von »autofs« werden unterstützt:

»ldap«, um in LDAP gespeicherte Abbilder zu laden. Weitere Informationen über die Konfiguration von LDAP finden Sie unter sssd-ldap(5).

»ipa«, um auf einem IPA-Server gespeicherte Abbilder zu laden. Weitere Informationen über die Konfiguration von IPA finden Sie unter sssd-ipa(5).

“ad” to load maps stored in an AD server. See sssd-ad(5) for more information on configuring the AD provider.

»none« deaktiviert explizit »autofs«.

Voreinstellung: Falls gesetzt, wird der Wert von »id_provider« benutzt.

hostid_provider (Zeichenkette)

der Anbieter, der zum Abfragen der Rechneridentitätsinformationen benutzt wird. Folgende Anbieter von »hostid« werden unterstützt:

»ipa«, um die auf einem IPA-Server gespeicherte Rechneridentität zu laden. Weitere Informationen über die Konfiguration von IPA finden Sie unter sssd-ipa(5).

»none« deaktiviert explizit »hostid«.

Voreinstellung: Falls gesetzt, wird der Wert von »id_provider« benutzt.

re_expression (Zeichenkette)

regulärer Ausdruck, der beschreibt, in welche Bestandteile die Zeichenkette mit Benutzernamen und Domain bei der Auswertung zerlegt werden soll. Die »Domain« kann entweder dem Domain-Namen der SSSD-Konfiguration oder im Fall vertrauenswürdiger IPA-Subdomains und Active-Directory-Domains dem flachen (NetBIOS-) Namen der Domain entsprechen.

Voreinstellung für den AD- oder IPA-Anbieter: »(((?P<Domain>[^\\]+)\\(?P<Name>.+$))|((?P<Name>[^@]+)@(?P<Domain>.+$))|(^(?P<Name>[^@\\]+)$))«

•Benutzername

•Benutzername@Domain.Name

•Domain\Benutzername
Während die ersten beiden der allgemeinen Voreinstellung entsprechen, wurde die dritte eingeführt, um eine einfache Eingliederung von Benutzern aus Windows-Domains zu ermöglichen.

Voreinstellung: »(?P<Name>[^@]+)@?(?P<Domain>[^@]*$)«, was bedeutet »der Name ist alles bis zum »@«-Zeichen, die Domain alles danach«

BITTE BEACHTEN SIE: Die Unterstützung für nicht eindeutig benannte Musterteile ist nicht auf allen Plattformen (z.B. RHEL5 und SLES10) vorhanden. Nur Plattformen mit Libpcre Version 7 oder höher können nicht eindeutig benannte Musterteile unterstützen.

BITTE BEACHTEN SIE AUCH: Ältere Versionen von Libpcre unterstützen für Beschriftungsmusterteile nur die Python-Syntax (?P<Name>).

full_name_format (Zeichenkette)

ein mit printf(3) kompatibles Format, das beschreibt, wie ein voll qualifizierter Name aus den Bestandteilen Benutzername und Domain-Name zusammengestellt wird.

Die folgenden Erweiterungen werden unterstützt:

%1$s

Benutzername

%2$s

Domain-Name, wie er durch die SSSD-Konfigurationsdatei angegeben wird

%3$s

flacher Name der Domain; meist für Active-Directory-Domains nützlich, sowohl direkt konfiguriert als auch über IPA-Trust

Voreinstellung: »%1$s@%2$s«

lookup_family_order (Zeichenkette)

ermöglicht es, die bei DNS-Abfragen zu bevorzugende Adressfamilie zu wählen.

unterstützte Werte:

ipv4_first: versucht die IPv4- und, falls dies fehlschlägt, die IPv6-Adresse nachzuschlagen

ipv4_only: versucht, nur Rechnernamen zu IPv4-Adressen aufzulösen

ipv6_first: versucht die IPv6- und, falls dies fehlschlägt, die IPv4-Adresse nachzuschlagen

ipv6_only: versucht, nur Rechnernamen zu IPv6-Adressen aufzulösen

Voreinstellung: ipv4_first

dns_resolver_timeout (Ganzzahl)

definiert die Zeit (in Sekunden), die auf eine Antwort vom DNS-Resolver gewartet werden soll, bevor davon ausgegangen wird, dass er nicht erreichbar ist. Falls diese Zeitüberschreitung auftritt, wird die Domain weiterhin im Offline-Modus arbeiten.

Voreinstellung: 6

dns_discovery_domain (Zeichenkette)

Falls die Dienstsuche im Backend benutzt wird, gibt dies den Domain-Teil der DNS-Dienstabfrage an.

Voreinstellung: Der Domain-Teil des Rechnernamens wird benutzt.

override_gid (Ganzzahl)

überschreibt die Haupt-GID mit der angegebenen.

case_sensitive (string)

Treat user and group names as case sensitive. At the moment, this option is not supported in the local provider. Possible option values are:

True

Case sensitive. This value is invalid for AD provider.

False

Case insensitive.

Preserving

Same as False (case insensitive), but does not lowercase names in the result of NSS operations. Note that name aliases (and in case of services also protocol names) are still lowercased in the output.

Default: True (False for AD provider)

proxy_fast_alias (Boolesch)

Wenn ein Benutzer oder eine Gruppe anhand des Namen im Anbieter »proxy« nachgeschlagen wird, wird zusätzlich auch die ID aufgelöst. So wird der Name für den Fall, dass er ein Alias ist, in eine »kanonische« Form gebracht. Diese Option auf »True« zu setzen würde SSSD aus Leistungsgründen dazu veranlassen, die ID im Zwischenspeicher nachzuschlagen.

Voreinstellung: »false«

subdomain_homedir (Zeichenkette)

Dieses Home-Verzeichnis wird als Vorgabewert für alle Subdomains innerhalb dieser Domain im IPA-AD-Trust verwendet. In override_homedir finden Sie Informationen zu möglichen Werten. Außerdem kann die nachfolgende Expansion nur mit subdomain_homedir verwendet werden.

%F

flacher (NetBIOS-) Name einer Subdomain

Der Wert kann mit der Option override_homedir überschrieben werden.

Voreinstellung: /home/%d/%u

realmd_tags (Zeichenkette)

verschiedene vom Konfigurationsdienst »realmd« für diese Domain gespeicherte Kennzeichnungen

cached_auth_timeout (int)

Specifies time in seconds since last successful online authentication for which user will be authenticated using cached credentials while SSSD is in the online mode.

Special value 0 implies that this feature is disabled.

Please note that if “cached_auth_timeout” is longer than “pam_id_timeout” then the back end could be called to handle “initgroups.”

Voreinstellung: 0

gültige Optionen für Proxy-Domains.

proxy_pam_target (Zeichenkette)

das Proxy-Ziel, an das PAM weiterleitet

Voreinstellung: standardmäßig nicht gesetzt, Sie müssen eine bestehende PAM-Konfiguration nehmen oder eine neue erstellen und hier den Dienstnamen hinzufügen.

proxy_lib_name (Zeichenkette)

der Name der NSS-Bibliothek, der für die Proxy-Domains benutzt werden soll. Die in der NSS-Funktionen gesuchten Funktionen haben die Form »_nss_$(libName)_$(function)«, zum Beispiel »_nss_files_getpwent«.

Der Abschnitt lokale Domain

Dieser Abschnitt enthält Einstellungen für Domains, die Benutzer und Gruppen ein einer nativen SSSD-Datenbank speichern, das heißt eine Domain, die ID_Anbieter=lokal benutzt.

Abschnittsparameter

default_shell (Zeichenkette)

die Standard-Shell für Anwender, die mit den SSSD-Werkzeugen für den Benutzerbereich erstellt wurde.

Voreinstellung: /bin/bash

base_directory (Zeichenkette)

Die Werkzeuge hängen den Anmeldenamen an das Basisverzeichnis und benutzen dies als Home-Verzeichnis.

Voreinstellung: /home

create_homedir (Boolesch)

gibt an, ob standardmäßig ein Home-Verzeichnis für neue Benutzer erstellt werden soll; kann auf der Befehlszeile überschrieben werden

Voreinstellung: TRUE

remove_homedir (Boolesch)

gibt an, ob das Home-Verzeichnis für gelöschte Benutzer standardmäßig entfernt werden soll; kann auf der Befehlszeile überschrieben werden

Voreinstellung: TRUE

homedir_umask (Ganzzahl)

wird von sss_useradd(8) benutzt, um die Standardzugriffsrechte für ein neu erstelltes Home-Verzeichnis anzugeben.

Voreinstellung: 077

skel_dir (Zeichenkette)

die Verzeichnisvorlage, die Dateien und Verzeichnisse enthält, die in das Home-Verzeichnis des Benutzers kopiert werden, wenn das Home-Verzeichnis durch sss_useradd(8) erstellt wird

Voreinstellung: /etc/skel

mail_dir (Zeichenkette)

das Spool-Verzeichnis für E-Mails. Dies wird benötigt, um die Mailbox zu manipulieren, wenn das zugehörige Benutzerkonto verändert oder gelöscht wurde. Ist dies nicht angegeben wird ein Standardwert verwendet.

Voreinstellung: /var/mail

userdel_cmd (Zeichenkette)

der Befehl, der nach dem Entfernen eines Benutzers ausgeführt wird. Dem Befehl wird als erster und einziger Parameter der Benutzername des Anwenders übergeben, der entfernt wird. Der Rückgabewert des Befehls wird nicht berücksichtigt.

Voreinstellung: keine, es wird kein Befehl ausgeführt

BEISPIEL

Das folgende Beispiel zeigt eine typische SSSD-Konfiguration. Sie beschreibt nicht die Konfiguration der Domains selbst – weitere Einzelheiten finden Sie in der Dokumentation zum Konfigurieren von Domains.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

SIEHE AUCH

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Die SSSD-Originalautoren – http://fedorahosted.org/sssd

01/16/2019 SSSD