2. EL 6 ELS
  3. sssd-common
  4. sssd.conf(5)

Scroll to navigation

SSSD.CONF(5) Formats de fichier et conventi SSSD.CONF(5)

NAME

sssd.conf - Le fichier de configuration pour SSSD

FORMAT DE FICHIER

Ce fichier utilise la syntaxe de style « .ini » et est constituée de sections et de paramètres. Une section commence par le nom de la section entre crochets et continue jusqu´à la section suivante. Un exemple de section avec des paramètres mono et multi-valués :

[section]
key = value
key2 = value2,value3

Les types de données utilisées sont des chaînes (pas de guillemets nécessaires), des entiers et des booléens (ayant pour valeur “TRUE/FALSE”).

Un commentaire de ligne commence par un octothorpe (“#”) ou un point-virgule (“;”). Les commentaires au sein d´une ligne ne sont pas pris en charge.

Toutes les sections peuvent avoir un paramètre facultatif de description. Sa fonction ne sert qu´à nommer la section.

sssd.conf doit être un fichier normal, appartenant à root, et seul root doit pouvoir écrire et lire ce fichier.

OPTIONS GÉNÉRALES

Les options qui suivent peuvent être utilisées dans plus d´une section de configuration.

Options utilisables dans toutes les sections

debug_level (entier)

SSSD supports two representations for specifying the debug level. The simplest is to specify a decimal value from 0-9, which represents enabling that level and all lower-level debug messages. The more comprehensive option is to specify a hexadecimal bitmask to enable or disable specific levels (such as if you wish to suppress a level).

Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.

In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.

Niveaux de débogage actuellement pris en charge :

0, 0x0010 : défaillances fatales. Tout ce qui empêcherait SSSD de démarrer ou provoquerait son arrêt.

1, 0x0020 : échecs critiques. Une erreur qui ne tue pas SSSD, mais qui indique qu´au moins une caractéristique majeure ne pourra pas fonctionner correctement.

2, 0x0040 : défaillances graves. Une erreur qui annonce qu´une requête particulière ou une opération a échoué.

3, 0x0080 : erreurs mineures. Ce sont les erreurs qui seraient susceptibles d´empirer pour provoquer l´erreur en 2.

4, 0x0100 : paramètres de configuration.

5, 0x0200 : données de fonctionnement.

6, 0x0400 : traçage des fonctions opérationnelles.

7, 0x1000 : traçage des fonctions de contrôles internes.

8, 0x2000 : contenu des variables internes de fonctions pouvent être intéressantes.

9, 0x4000 : informations de traçage de bas niveau.

To log required bitmask debug levels, simply add their numbers together as shown in following examples:

Exemple : pour suivre erreurs fatales, critiques, graves et les données de fonction, utiliser 0x0270.

Exemple : pour consigner les erreurs fatales, les paramètres de configuration, les données de fonction, les messages de trace pour les fonctions de contrôle interne, utiliser 0x1310.

Note : le format des niveaux de débogage a été introduit dans la version 1.7.0.

Par défaut : 0

debug_timestamps (booléen)

Ajoute un horodatage aux messages de débogage. Si journald est activé pour la journalisation de débogage de SSSD, cette option sera ignorée.

Par défaut : true

debug_microseconds (booléen)

Ajouter les microsecondes à l´horodatage dans les messages de débogage. Si journald est activé pour la journalisation de débogage de SSSD, cette option sera ignorée.

Par défaut : false

Options utilisables dans les sections SERVICE et DOMAIN

timeout (entier)

Délai d´attente entre deux requêtes pour ce domaine. Ceci est utilisé pour s´assurer que le processus est toujours actif et capable de répondre.

Par défaut : 10

SECTIONS SPÉCIALES

La section [sssd]

Les fonctionnalités propres à SSSD sont fournies par des services spécifiques SSSD, qui sont démarrés et arrêtés en même temps que SSSD. Les services sont gérés par un service spécifique souvent appelé le “moniteur”. La section “[sssd]” est utilisée pour configurer le moniteur ainsi que certaines options importantes comme l´identité des domaines.

Paramètres de sections

config_file_version (entier)

Indique la syntaxe du fichier de configuration. Pour SSSD 0.6.0 ou supérieure utiliser la version 2.

services

Liste des services séparés par des virgules qui sont démarrés quand sssd se lance.

Les services pris en charge : nss, pam , sudo ,autofs , ssh , pac , ifp

reconnection_retries (entier)

Nombre d´essais de reconnection ou de redémarrage que les services doivent effectuer dans le cas d´un plantage du fournisseur de données avant d´abandonner

Par défaut : 3

domaines

Un domaine est une base de données contenant les informations utilisateurs. SSSD peut utiliser plusieurs domaines en même temps, au moins un doit être configuré ou SSSD ne démarrera pas. Ce paramètre décrit la liste des domaines dans l´ordre où ils doivent être requêtés. Un nom de domaine ne doit comprendre que des caractères ASCII alphanumériques, des tirets, des points et caractères soulignés.

re_expression (chaîne)

L´expression régulière par défaut qui décrit la manière d´analyser la chaîne contenant le nom d´utilisateur et de domaine dans ces composants.

Chaque domaine peut avoir une expression régulière individuelle configurée. Pour certains fournisseurs ID, il y a aussi des expressions régulières par défaut. Voir les SECTIONS DOMAINE pour plus d´informations sur ces expressions régulières.

full_name_format (chaîne)

Un format compatible avecprintf(3) décrivant comment composer un domaine pleinement qualifé à partir des noms d´utilisateur et de domaine.

Les expansions suivantes sont prises en charge :

%1$s

nom d´utilisateur

%2$s

nom de domaine tel qu´indiqué dans le fichier de configuration de SSSD.

%3$s

nom de domaine à plat. Utilisable principalement pour les domaines Active Directory, configurés directement ou découverts via les relations d´approbation IPA.

Chaque domaine peut avoir une chaîne de format individuelle configurée. Voir les SECTIONS DOMAINE pour plus d´informations sur cette option.

try_inotify (booléen)

SSSD gère l´état de resolv.conf pour identifier les besoins de mise à jour des résolutions DNS internes. Par défaut, l´utilisation de inotify sera tentée, et reviendra à une interrogation de resolv.conf toutes les cinq secondes si inotify échoue.

Il existe quelques cas spécifiques où l´utilisation de inotify n´est pas conseillée. Dans ces rares cas, cette option devrait être définie à « false »

Par défaut : true sur les plates-formes où inotify est pris en charge. False sur les autres plates-formes.

Note : cette option n´aura aucun effet sur les plateformes où inotify n´est pas disponible. Sur celles-ci, l´interrogation régulière sera toujours utilisée.

krb5_rcache_dir (chaîne)

Répertoire du système de fichiers où SSSD doit stocker les fichiers de cache de rejeu Kerberos.

Cette option accepte une valeur spéciale __LIBKRB5_DEFAULTS__ qui indiquera à SSSD de laisser libkrb5 décider l´emplacement approprié pour le cache de relecture.

Par défaut : paramètre spécifique à la distribution et spécifié au moment de la construction du logiciel. (__LIBKRB5_DEFAULTS__ si non configuré)

user (chaîne)

L´utilisation vers lequel abandonner les privilèges pour éviter de fonctionner en tant que l´utilisateur root.

Par défaut : non défini, le processus tourne en tant que root

default_domain_suffix (string)

Cette chaîne servira comme nom de domaine par défaut pour tous les noms sans composant de nom de domaine. Les principaux cas d´utilisation sont les environnements où le domaine principal va permettre de gérer les politiques de systèmes ainsi que tous les utilisateur provenant d´un domaine approuvé. L´option permet à ces utilisateurs de se connecter sans fournir un nom de domaine.

Noter que, si cette option est définie, tous les utilisateurs du domaine principal doivent utiliser leur nom pleinement qualifié, par exemple user@domain.name, pour se connecter. L´utilisation de cette option modifie la valeur par défaut de use_fully_qualified_names à True. Il n´est pas possible ni autorisé d´utiliser cette option avec l´option use_fully_qualified_names à False.

Par défaut : non défini

override_space (chaîne)

This parameter will replace spaces (space bar) with the given character for user and group names. e.g. (_). User name "john doe" will be "john_doe" This feature was added to help compatibility with shell scripts that have difficulty handling spaces, due to the default field separator in the shell.

Please note it is a configuration error to use a replacement character that might be used in user or group names. If a name contains the replacement character SSSD tries to return the unmodified name but in general the result of a lookup is undefined.

Par défaut : non défini (les espaces ne seront pas remplacées)

certificate_verification (string)

With this parameter the certificate verification can be tuned with a comma separated list of options. Supported options are:

no_ocsp

Disables Online Certificate Status Protocol (OCSP) checks. This might be needed if the OCSP servers defined in the certificate are not reachable from the client.

Unknown options are reported but ignored.

Default: not set, i.e. do not restrict certificate vertification

SECTIONS DE SERVICES

Les options utilisables pour configurer les différents services sont décrites dans cette section. Ils doivent être situés dans la section [$NAME], par exemple pour le service NSS, la section doit être “[nss]”

Options générales de configuration de service

Ces options peuvent être utilisées pour configurer les services.

reconnection_retries (entier)

Nombre d´essais de reconnection ou de redémarrage que les services doivent effectuer dans le cas d´un plantage du fournisseur de données avant d´abandonner

Par défaut : 3

fd_limit

Cette option spécifie le nombre maximal de descripteurs de fichiers qui peuvent être ouverts en même temps par ce processus SSSD. Sur les systèmes où SSSD se voit accorder la capacité CAP_SYS_RESOURCE, ce sera une limite absolue. Sur les systèmes sans cette capacité, la valeur résultante sera la valeur inférieure ou la limite « hard » de limits.conf.

Par défault : 8192 (ou la limite « hard » de limits.conf)

client_idle_timeout

Cette option spécifie la durée en secondes pendant laquelle un client d´un processus SSSD peut maintenir un descripteur de fichier ouvert sans communiquer avec. Cette valeur est limitée afin d´éviter l´épuisement des ressources sur le système.

Par défaut : 60

force_timeout (integer)

Si un service ne répond pas aux vérifications par ping (Cf. l´option “timeout”), le signal SIGTERM est d´abord envoyé de façon à l´arrêter proprement. Si le service ne se termine pas après “force_timeout” secondes, le moniteur sera arrêté violemment à l´aide d´un signal SIGKILL.

Par défaut : 60

offline_timeout (entier)

When SSSD switches to offline mode the amount of time before it tries to go back online will increase based upon the time spent disconnected. This value is in seconds and calculated by the following:

offline_timeout + random_offset

The random offset can increment up to 30 seconds. After each unsuccessful attempt to go online, the new interval is recalculated by the following:

new_interval = old_interval*2 + random_offset

Note that the maximum length of each interval is currently limited to one hour. If the calculated length of new_interval is greater than an hour, it will be forced to one hour.

Par défaut : 60

subdomain_inherit (chaîne)

Specifies a list of configuration parameters that should be inherited by a subdomain. Please note that only selected parameters can be inherited. Currently the following options can be inherited:

ignore_group_members

ldap_purge_cache_timeout

ldap_use_tokengroups

ldap_user_principal

Exemple :

subdomain_inherit = ldap_purge_cache_timeout

Par défaut : aucun

Options de configuration NSS

Ces options peuvent être utilisées pour configurer le service Name Service Switch (NSS).

enum_cache_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit mettre en cache les énumérations (requêtes sur les informations de tous les utilisateurs)

Par défaut : 120

entry_cache_nowait_percentage (entier)

La valeur du cache peut être définie pour mettre à jour automatiquement les entrées en arrière plan si la requête ne dépasse pas un pourcentage de la valeur de entry_cache_timeout pour le domaine.

Par exemple, si la valeur entry_cache_timeout du domaine est à 30 secondes et que entry_cache_nowait_percentage est à 50 (%), les entrées qui veulent mettre à jour le cache après 15 secondes seront renvoyées immédiatement, mais SSSD continuera et mettra à jour le cache de lui-même. Ainsi, les prochaines requêtes ne seront pas bloquées en attendant une mise à jour du cache.

Les valeurs autorisées pour cette option vont de 0 à 99 et représentent un pourcentage de la valeur entry_cache_timeout pour chaque domaine. Pour des raisons de performance, ce pourcentage ne réduira jamais le délai d´attente de non réponse à moins de 10 secondes (0 pour désactiver l´option).

Par défaut : 50

entry_negative_timeout (entier)

Spécifie le temps, en secondes, pendant lequel nss_sss doit mettre en cache les résultats négatifs du cache (c´est-à-dire les requêtes pour les bases de données invalides, comme celles qui n´existent pas) avant de faire à nouveau appel au moteur.

Par défaut : 15

filter_users, filter_groups (chaîne)

Exclue certains utilisateurs de la recherche à partir de la base de données sss NSS. Ceci est particulièrement utile pour les comptes système. Cette option peut aussi être définie pour chaque domaine ou inclure des noms de domaines pleinement qualifiés pour filtrer seulement les utilisateurs d´un certain domaine.

Par défaut : root

filter_users_in_groups (booléen)

Mettre cette option à « false » si les utilisateurs filtrés doivent rester membres de groupes.

Par défaut : true

override_homedir (chaîne)

Réécrit le répertoire personnel de l´utilisateur. Il est possible de fournir une valeur absolue ou un patron. Dans le cas d´un patron, les séquences suivantes sont substituées :.PP %u
identifiant de connexion

%U

numéro d´UID

%d

nom de domaine

%f

nom d´utilisateur pleinement qualifié (utilisateur@domaine)

%P

UPN - Nom de principal d´utilisateur (User principal name, nom@ROYAUME)

%o

Le répertoire utilisateur original provenant du fournisseur d´identité.

%H

La valeur de l´option de configuration homedir_substring.

%%

un « % » littéral

Cette option peut aussi être définie pour chaque domaine.

exemple :

override_homedir = /home/%u

Par défaut : Indéfini (SSSD utilisera la valeur récupérée de LDAP)

homedir_substring (chaîne)

The value of this option will be used in the expansion of the override_homedir option if the template contains the format string %H. An LDAP directory entry can directly contain this template so that this option can be used to expand the home directory path for each client machine (or operating system). It can be set per-domain or globally in the [nss] section. A value specified in a domain section will override one set in the [nss] section.

Par défaut : /home

fallback_homedir (string)

Définir un modèle par défaut pour un répertoire utilisateur si aucun n´est explicitement spécifié par le fournisseur de données du domaine.

Les valeurs disponibles pour cette option sont les mêmes que pour override_homedir.

exemple :

fallback_homedir = /home/%u

Par défaut : non défini (aucune substitution pour les répertoires d´accueil non définis)

override_shell (string)

Écrase l´interpréteur de commande à utiliser pour tous les utilisateurs. Cette option prend le pas sur toutes les autres options d´interpréteur de commande si elle est en action, et peut être indiquée au choix soit dans la section [nss], soit par domaine.

Par défaut : indéfini (SSSD utilisera la valeur récupérée de LDAP)

allowed_shells (chaîne)

Restreindre l´interpréteur de commandes de l´utilisateur à l´une des valeurs indiquées. L´ordre d´évaluation est :

1. Si l´interpréteur de commandes est présent dans “/etc/shells”, il est utilisé.

2. Si l´interpréteur de commandes est dans la liste « allowed_shells » mais n´est pas dans “/etc/shells”, la valeur de repli de « shell_fallback » sera utilisée.

3. Si l´interpréteur de commandes n´est ni dans la liste « allowed_shells » ni dans “/etc/shells”, une connexion sans shell est utilisée.

The wildcard (*) can be used to allow any shell.

The (*) is useful if you want to use shell_fallback in case that user´s shell is not in “/etc/shells” and maintaining list of all allowed shells in allowed_shells would be to much overhead.

Une chaîne vide pour l´interpréteur de commandes est passée telle quelle est à la libc.

Le fichier “/etc/shells” n´est lu qu´au démarrage de SSSD. Un redémarrage de SSSD est nécessaire si un nouvel interpréteur de commandes est installé.

Par défaut : non défini. L´interpréteur de commandes de l´utilisateur est utilisé automatiquement.

vetoed_shells (chaîne)

Remplace toutes les occurences de ces interpréteurs de commandes par l´interpréteur de commandes par défaut

shell_fallback (chaîne)

L´interpréteur de commandes par défaut à utiliser si un interpréteur de commandes autorisé n´est pas installé sur la machine.

Par défaut : /bin/sh

default_shell

L´interpréteur de commande par défaut à utiliser si le fournisseur n´en renvoie pas un lors de la recherche. Cette option peut être indiquée au choix soit dans la section [nss], soit par domaine.

Par défaut : non défini (retourne NULL si aucun shell n´est spécifié et s´appuyer sur la libc pour remplacer par quelque chose de sensé lorsque nécessaire, habituellement /bin/sh)

get_domains_timeout (int)

Spécifie la durée en secondes pendant laquelle la liste de sous-domaines est jugée valide.

Par défaut : 60

memcache_timeout (int)

Specifies time in seconds for which records in the in-memory cache will be valid.

Par défaut : 300

NOTE: If the environment variable SSS_NSS_USE_MEMCACHE is set to "NO", client applications will not use the fast in-memory cache.

user_attributes (chaîne)

Some of the additional NSS responder requests can return more attributes than just the POSIX ones defined by the NSS interface. The list of attributes is controlled by this option. It is handled the same way as the “user_attributes” option of the InfoPipe responder (see sssd-ifp(5) for details) but with no default values.

To make configuration more easy the NSS responder will check the InfoPipe option if it is not set for the NSS responder.

Par défaut : non défini, repli sur l´option InfoPipe

Options de configuration de PAM

Ces options permettent de configurer le service Pluggable Authentication Module (PAM).

offline_credentials_expiration (entier)

Si le fournisseur d´authentification est déconnecté, combien de temps autoriser les connexions à partir du cache (en jours depuis la dernière connexion réussie).

Par défaut : 0 (pas de limite)

offline_failed_login_attempts (entier)

Si le fournisseur d´authentification est déconnecté, combien de connexions échouées sont autorisées.

Par défaut : 0 (pas de limite)

offline_failed_login_delay (entier)

Le temps en minutes à attendre après avoir atteint offline_failed_login_attempts avant qu´une nouvelle tentative de connexion soit possible.

Si la valeur est à 0, l´utilisateur ne peut s´authentifier en mode déconnecté si offline_failed_login_attempts est atteint. Seulement une connexion réussie en ligne peut réactiver l´authentification.

Par défaut : 5

pam_verbosity (entier)

Contrôle le type de messages affichés à l´utilisateur pendant le processus d´authentification. Plus le nombre est grand, plus le nombre de messages affichés sera important.

Actuellement sssd supporte les valeurs suivantes :

0 : ne pas afficher de message

1 : afficher seulement les messages importants

2 : afficher les messages d´information

3 : afficher tous les messages et informations de débogage

Par défaut : 1

pam_id_timeout (entier)

Lors de chaque requête PAM quand SSSD est en mode connecté, SSSD tentera de mettre à jour immédiatement les informations d´identité mises en cache pour l´utilisateur de manière à s´assurer que l´authentification se fasse avec les dernières informations.

Une conversation PAM complète peut effectuer plusieurs requêtes PAM, comme la gestion de compte et l´ouverture de session. Cette option contrôle (par client et par application) la durée (en secondes) de mise en cache des informations d´identité afin d´éviter de nombreux aller-retour avec le fournisseur d´identité.

Par défaut : 5

pam_pwd_expiration_warning (entier)

Afficher une alerte N jours avant l´expiration du mot de passe.

Noter que le moteur du service doit fournir des informations à propos du délai d´expiration du mot de passe. Si cette information est manquante, sssd ne peut afficher de message d´alerte.

Si la valeur est zéro, ce filtre n´est pas appliqué, c´est-à-dire que si l´avertissement d´expiration est reçu de la part du moteur du serveur, il sera automatiquement affiché.

Ce paramètre peut être surchargé par le paramètre pwd_expiration_warning pour un domaine particulier.

Par défaut : 0

get_domains_timeout (int)

Spécifie la durée en secondes pendant laquelle la liste de sous-domaines est jugée valide.

Par défaut : 60

pam_trusted_users (chaîne)

Specifies the comma-separated list of UID values or user names that are allowed to access the PAM responder. User names are resolved to UIDs at startup.

Par défaut : all (tous les utilisateurs peuvent accéder au répondeur PAM)

Please note that UID 0 is always allowed to access the PAM responder even in case it is not in the pam_trusted_users list.

pam_public_domains (chaîne)

Specifies the comma-separated list of domain names that are accessible even to untrusted users.

Deux valeurs spéciales pour l´option pam_public_domains sont définies :

all (tous les utilisateurs non dignes de confiance sont autorisés à accéder à tous les domaines PAM dans le répondeur.)

none (les utilisateurs non dignes de confiance, Untrusted, ne sont pas autorisés à accéder à un des domaines PAM dans le répondeur.)

Par défaut : aucun

pam_account_expired_message (chaîne)

If user is authenticating using SSH keys and account is expired then by default ´Permission denied´ is output. This output will be changed to content of this variable if it is set.

exemple :

pam_account_expired_message = Account a expiré, merci de contacter votre assistance.

Par défaut : aucun

p11_child_timeout (integer)

How many seconds will pam_sss wait for p11_child to finish.

Par défaut : 10

Options de configuration de SUDO

Ces options peuvent être utilisées pour configurer le service sudo. Les directives de configuration de sudo(8) dans sssd(8) sont détaillées dans la page de manuel sssd-sudo(5).

sudo_timed (booléen)

Évaluation ou non des attributs sudoNotBefore et sudoNotAfter qui utilisent les entrées sudoers sensibles au temps.

Par défaut : false

Options de configuration AUTOFS

Ces options peuvent être utilisées pour configurer le service autofs.

autofs_negative_timeout (entier)

Spécifie le délai en secondes pendant lequel le répondeur autofs stocke les réponses négatives (autrement dit, les requêtes pour les entrées de mappage non valide, comme celles qui n´existent pas) avant de demander à nouveau au moteur.

Par défaut : 15

Veuillez noter que l´automounter ne lit que la carte maîtresse au démarrage. Ainsi, si des modifications liées à autofs sont apportées à sssd.conf, vous devrez généralement redémarrer le démon automounter après le redémarrage de SSSD

Options de configuration SSH

Les options suivantes peuvent être utilisées pour configurer le service SSH.

ssh_hash_known_hosts (bool)

Condenser ou non les noms de systèmes et adresses du fichier known_hosts

Par défaut : true

ssh_known_hosts_timeout (integer)

La durée en secondes pendant laquelle conserver un système dans le fichier known_hosts géré après que ses clés de système ont été demandés.

Par défaut : 180

ca_db (string)

Path to a storage of trusted CA certificates. The option is used to validate user certificates before deriving public ssh keys from them.

Default: /etc/pki/nssdb

Options de configuration du répondeur PAC

Le répondeur PAC fonctionne avec le greffon de données d´autorisation pour sssd_pac_plugin.so MIT Kerberos et un fournisseur de sous-domaine. Le greffon envoie les données PAC au cours d´une authentification GSSAPI au répondeur PAC. Le fournisseur de sous-domaine recueille le SID du domaine et les plages d´ID du domaine auquel le client est lié au et des domaines approuvés distants du contrôleur de domaine local. Si les données PAC sont décodées et évaluées, les opérations suivantes sont effectuées :

•Si l´utilisateur distant n´existe pas dans le cache, il est créé. L´uid est calculé en fonction du SID, les domaines de confiance auront des groupes d´utilisateurs privés, et le gid aura la même valeur que l´uid. Le répertoire utilisateur est défini en fonction du paramètre subdomain_homedir. Le shell sera vide par défaut, permettant l´utilisation de la valeur par défaut du système, mais peut être remplacé par le paramètre default_shell.

•S´il y a des SID de groupes des domaines connus de sssd, l´utilisateur sera ajouté à ces groupes.

Les options suivantes peuvent être utilisées pour configurer le répondeur PAC.

allowed_uids (string)

Spécifie la liste séparée par des virgules des UID ou noms d´utilisateurs qui sont autorisés à accéder au répondeur PAC. Les noms d´utilisateurs seront résolus en UID au démarrage.

Par défaut : 0 (seul l´utilisateur root est autorisé à accéder au répondeur PAC)

Noter que bien que l´UID 0 est utilisé par défaut, il sera remplacé par cette option. Si vous voulez continuer à permettre à l´utilisateur root à accéder au répondeur PAC, ce qui serait un cas habituel, vous devez ajouter 0 à la liste des UID d´utilisateurs autorisés.

SECTIONS DOMAINES

Ces options de configuration peuvent être présentes dans la section de configuration du domaine, c´est-à-dire dans la section nommée “[domain/NAME]”

min_id,max_id (entier)

Limites UID et GID pour le domaine. Si un domaine contient une entrée en dehors de ces limites, elle est ignorée.

Pour les utilisateurs, cela affecte la limite des GID primaires. L´utilisateur ne sera pas renvoyé vers NSS si l´UID ou le GID primaire sont en dehors de la plage. Pour l´appartenance à un groupe non primaire, ceux qui sont dans la plage seront rapportés comme prévu.

Ces limites d´identifiants affecte aussi les mises en cache des entrées, et pas seulement leur recherche par nom ou identifiant.

Default: 1 for min_id, 0 (no limit) for max_id

enumerate (booléen)

Détermine si un domaine peut être énuméré. Ce paramètre peut avoir une des valeurs suivantes :

TRUE = utilisateurs et groupes sont énumérés

FALSE = aucune énumération pour ce domaine

Par défaut : FALSE

Note : activer l´énumération a un impact modéré sur les performances de SSSD lorsque l´énumération est en cours. Plusieurs minutes peuvent être nécessaires après le démarrage de SSSD pour terminer l´énumération complète. Pendant ce temps, les requêtes individuelles pour des informations iront directement vers LDAP, bien que plus lent et ce à cause de la charge importante liée au processus d´énumération. Le fait de mettre un grand nombre d´entrées en cache lorsque l´énumération est terminée peut être également intensif pour le CPU, car les appartenances aux groupes doivent être recalculées.

Lorsque la première énumération est en cours, les requêtes pour des listes utilisateurs ou de groupes peuvent retourner des résultats vides avant que l´énumération ne se termine.

De plus, activer l´énumération peut augmenter le temps nécessaire pour détecter la déconnexion d´un réseau, puisque des délais d´attente supérieurs sont nécessaires pour s´assurer que les requêtes d´énumération se terminent avec succès. Pour plus d´informations, se référer au manuel pour le fournisseur d´identité spécifique utilisé.

Pour les raisons citées plus haut, l´activation de l´énumération est déconseillée, surtout dans les environnements de grande taille.

subdomain_enumerate (chaîne)

Les domaines approuvés auto-détectés doivent-ils être énumérés ? Les valeurs prises en charge sont :

all

Tous les domaines approuvés découverts seront énumérés

none

Aucun domaine approuvé découvert ne sera énuméré

De manière facultative, une liste d´un ou plusieurs noms de domaines peut activer l´énumération pour ces seuls domaines.

Par défaut : aucun

force_timeout (integer)

Si un service ne répond pas aux vérifications par ping (Cf. l´option “timeout”), le signal SIGTERM est d´abord envoyé de façon à l´arrêter proprement. Si le service ne se termine pas après “force_timeout” secondes, le moniteur sera arrêté violemment à l´aide d´un signal SIGKILL.

Par défaut : 60

entry_cache_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit considérer les entrées comme valides avant de les redemander au moteur

Les horodatages d´expiration de cache sont stockés en tant qu´attributs des objets individuels dans le cache. Il en découle que la modification du délai d´expiration du cache ne sera pris en compte que pour les entrées qui y sont nouvellement ajoutées, ou pour celles qui ont expiré. Vous devriez utiliser l´outil sss_cache(8) de manière à forcer un rafraîchissement des entrées qui sont déjà en cache.

Par défaut : 5400

entry_cache_user_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit considérer les entrées d´utilisateurs comme valides avant de les redemander au moteur.

Par défaut : entry_cache_timeout

entry_cache_group_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit considérer les entrées de groupes comme valides avant de les redemander au moteur.

Par défaut : entry_cache_timeout

entry_cache_netgroup_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit considérer les entrées de netgroup comme valides avant de les redemander au moteur.

Par défaut : entry_cache_timeout

entry_cache_service_timeout (entier)

La durée en secondes pendant laquelle nss_sss doit considérer les entrées de service valides avant de les redemander au moteur

Par défaut : entry_cache_timeout

entry_cache_sudo_timeout (integer)

La durée en secondes pendant laquelle sudo doit considérer les règles comme valides avant de les redemander au moteur

Par défaut : entry_cache_timeout

entry_cache_autofs_timeout (integer)

La durée en secondes pendant laquelle le service autofs doit considérer les cartes d´automontage comme valides avant de les redemander au moteur

Par défaut : entry_cache_timeout

entry_cache_ssh_host_timeout (entier)

La durée en secondes pendant laquelle conserver une clé ssh d´hôte après rafraichissement. I.e. combien de temps mettre la clé en cache.

Par défaut : entry_cache_timeout

refresh_expired_interval (entier)

Indique la durée en secondes pendant laquelle SSSD doit attendre avant de déclencher une tâche en arrière-plan qui rafraichira tous les enregistrements expirés ou sur le point de l´être.

The background refresh will process users, groups and netgroups in the cache.

Il est envisageable de configurer cette valeur à 3/4 * entry_cache_timeout.

Par défaut : 0 (désactivé)

cache_credentials (booléen)

Détermine si les données d´identification de l´utilisateur sont aussi mis en cache dans le cache LDB local

Les informations d´identification utilisateur sont stockées dans une table de hachage SHA512, et non en texte brut

Par défaut : FALSE

cache_credentials_minimal_first_factor_length (int)

If 2-Factor-Authentication (2FA) is used and credentials should be saved this value determines the minimal length the first authentication factor (long term password) must have to be saved as SHA512 hash into the cache.

This should avoid that the short PINs of a PIN based 2FA scheme are saved in the cache which would make them easy targets for brute-force attacks.

Par défaut : 8

account_cache_expiration (entier)

Durée en jours pendant laquelle les entrées sont stockées dans le cache après la dernière connexion réussie, avant d´être enlevées lors du nettoyage du cache. 0 signifie qu´elles sont conservées indéfiniment. La valeur de ce paramètre doit être supérieur ou égal à offline_credentials_expiration.

Par défaut : 0 (illimité)

pwd_expiration_warning (integer)

Afficher une alerte N jours avant l´expiration du mot de passe.

Si la valeur est zéro, ce filtre n´est pas appliqué, c´est-à-dire que si l´avertissement d´expiration est reçu de la part du moteur du serveur, il sera automatiquement affiché.

Veuillez noter que le moteur du service doit fournir des informations à propos du délai d´expiration du mot de passe. Si cette information est manquante, sssd ne peut afficher de message d´alerte. De plus, un fournisseur oauth doit être configuré pour le moteur.

Par défaut : 7 (Kerberos), 0 (LDAP)

id_provider (chaîne)

Le fournisseur d´identification utilisé pour le domaine. Les fournisseurs d´identification pris en charge sont :

“proxy” : prise en charge de l´ancien fournisseur NSS

“local” : Fournisseur interne SSSD pour les utilisateurs locaux

“ldap” : fournisseur LDAP. Cf. sssd-ldap(5) pour plus d´informations sur la configuration de LDAP.

“ipa” : fournisseur FreeIPA et Red Hat Enterprise Identity Management. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de FreeIPA.

“ad” : fournisseur Active Directory. Cf. sssd-ad(5) pour plus d´informations sur la configuration d´Active Directory.

use_fully_qualified_names (booléen)

Utiliser le nom complet et le domaine (comme formaté par le paramètre full_name_format du domaine) comme nom de connexion de l´utilisateur communiqué à NSS.

Si défini à TRUE, toutes les requêtes pour ce domaine doivent utiliser des noms pleinement qualifiés. Par exemple, pour un utilisateur « test » dans un domaine LOCAL, getent passwd test ne trouvera pas l´utilisateur avant que getent passwd test@LOCAL ne le trouve.

NOTE : Cette option n´a pas d´effet sur les recherches de netgroups, du fait de leur tendance à inclure des groupes imbriqués sans noms qualifiés. Pour les netgroups, la recherche se fera dans tous les domaines lorsqu´un nom non qualifié sera demandé.

Par défaut : false (true si default_domain_suffix est utilisée)

ignore_group_members (booléen)

Ne pas envoyer les membres des groupes sur les recherches de groupes.

If set to TRUE, the group membership attribute is not requested from the ldap server, and group members are not returned when processing group lookup calls, such as getgrnam(3) or getgrgid(3). As an effect, “getent group $groupname” would return the requested group as if it was empty.

Enabling this option can also make access provider checks for group membership significantly faster, especially for groups containing many members.

Par défaut : FALSE

auth_provider (chaîne)

Le fournisseur d´authentification utilisé pour le domaine. Les fournisseurs pris en charge sont :

“ldap” pour une authentification LDAP native. Cf. sssd-ldap(5) pour plus d´informations sur la configuration de LDAP.

“krb5” pour une authentification Kerberos. Cf. sssd-krb5(5) pour plus d´informations sur la configuration de Kerberos.

“ipa” : fournisseur FreeIPA et Red Hat Enterprise Identity Management. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de FreeIPA.

“ad” : fournisseur Active Directory. Cf. sssd-ad(5) pour plus d´informations sur la configuration d´Active Directory.

“proxy” pour relayer l´authentification vers d´autres cibles PAM.

“local” : Fournisseur interne SSSD pour les utilisateurs locaux

“none” désactive l´authentification explicitement.

Par défaut : “id_provider” est utilisé s´il est défini et peut gérer les requêtes d´authentification.

access_provider (chaîne)

Le fournisseur de contrôle d´accès utilisé pour le domaine. Il y a deux fournisseurs d´accès natifs (en plus de ceux disponibles dans les moteurs installés). Les fournisseurs internes spécifiques sont :

“permit” toujours autoriser l´accès. C´est le seul fournisseur d´accès autorisé pour un domaine local.

“deny” toujours refuser les accès.

“ldap” pour une authentification LDAP native. Cf. sssd-ldap(5) pour plus d´informations sur la configuration de LDAP.

“ipa” : fournisseur FreeIPA et Red Hat Enterprise Identity Management. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de FreeIPA.

“ad” : fournisseur Active Directory. Cf. sssd-ad(5) pour plus d´informations sur la configuration d´Active Directory.

Contrôle d´accès “simple” basé sur des listes d´autorisations ou de refus d´accès. Cf. sssd-simple(5) pour plus d´informations sur la configuration du module d´accès simple.

Par défaut : “permit”

chpass_provider (chaîne)

Le fournisseur qui doit gérer le changement des mots de passe pour le domaine. Les fournisseurs pris en charge sont :

“ldap” pour modifier un mot de passe stocké sur un serveur LDAP. Cf. sssd-ldap(5) pour plus d´informations sur la configuration LDAP.

“krb5” pour changer le mot de passe Kerberos. Cf. sssd-krb5(5) pour plus d´informations sur la configuration de Kerberos.

“ipa” : fournisseur FreeIPA et Red Hat Enterprise Identity Management. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de FreeIPA.

“ad” : fournisseur Active Directory. Cf. sssd-ad(5) pour plus d´informations sur la configuration d´Active Directory.

“proxy” pour relayer le changement de mot de passe vers une autre cible PAM.

“none” pour désactiver explicitement le changement de mot de passe.

Par défaut : “auth_provider” est utilisé si il est défini et peut gérer les changements de mot de passe.

sudo_provider (chaîne)

Le fournisseur SUDO, utilisé pour le domaine. Les fournisseurs SUDO pris en charge sont :

“ldap” pour les règles stockés dans LDAP. Voir sssd-ldap(5) pour plus d´informations sur la configuration de LDAP.

“ipa” identiqué à “ldap” mais avec les paramètres par défaut pour IPA.

“ipa” identiqué à “ldap” mais avec les paramètres par défaut pour AD.

“none” désactive explicitement SUDO.

Par défaut : La valeur de “id_provider” est utilisée si elle est définie.

The detailed instructions for configuration of sudo_provider are in the manual page sssd-sudo(5). There are many configuration options that can be used to adjust the behavior. Please refer to "ldap_sudo_*" in sssd-ldap(5).

selinux_provider (string)

Le fournisseur qui doit gérer le chargement des paramètres de selinux. Remarque : ce fournisseur sera appelé juste après la fin de l´appel au fournisseur d´accès. Les fournisseurs selinux pris en charge sont :

“ipa” pour charger les paramètres selinux depuis un serveur IPA. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de IPA.

“none” n´autorise pas la récupération explicite des paramètres selinux.

Par défaut : “id_provider” est utilisé s´il est défini et peut gérer le chargement selinux

subdomains_provider (string)

Le fournisseur doit être capable de gérer la récupération des sous-domaines. Cette valeur doit être toujours identique à id_provider. Les fournisseurs de sous-domaine pris en charge sont :

“ipa” pour charger une liste de sous-domaines depuis un serveur IPA. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de IPA.

“ad” to load a list of subdomains from an Active Directory server. See sssd-ad(5) for more information on configuring the AD provider.

“none” désactive la récupération explicite des sous-domaines.

Par défaut : La valeur de “id_provider” est utilisée si elle est définie.

autofs_provider (string)

Le fournisseur autofs utilisé pour le domaine. Les fournisseurs autofs pris en charge sont :

“ldap” pour charger les cartes stockées dans LDAP. Cf. sssd-ldap(5) pour plus d´informations sur la configuration de LDAP.

“ipa” pour charger les cartes stockées sur un serveur IPA. Cf. sssd-ipa(5) pour plus d´information sur la configuration de IPA.

“ad” to load maps stored in an AD server. See sssd-ad(5) for more information on configuring the AD provider.

“none” désactive explicitement autofs.

Par défaut : La valeur de “id_provider” est utilisée si elle est définie.

hostid_provider (string)

Le fournisseur utilisé pour récupérer les informations d´identité des systèmes. Les fournisseurs de hostid pris en charge sont :

“ipa” pour charge l´identité du système stockée sur un serveur IPA. Cf. sssd-ipa(5) pour plus d´informations sur la configuration de IPA.

“none” désactive explicitement hostid.

Par défaut : La valeur de “id_provider” est utilisée si elle est définie.

re_expression (chaîne)

L´expression rationnelle pour ce domaine qui décrit comment analyser la chaîne contenant le nom d´utilisateur et domaine et en extraire ces composants. Le « domaine » peut correspondre à soit au nom de domaine de la configuration SSSD, ou, dans le cas de relations d´approbations avec des sous-domaines IPA ou des domaines Active Directory, le nom plat (NetBIOS) du domaine.

Valeur par défaut pour les fournisseurs AD et IPA : “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” qui utilisent trois styles différents pour les noms d´utilisateurs :

•username

•username@domain.name

•domain\username
Bien que les deux premiers correspondent à la valeur par défaut en général le troisième est introduit pour permettre une intégration facile des utilisateurs de domaines Windows.

Par défaut : “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” qui se traduit par « peu importe le nom jusqu´au “@”, peu importe le domaine après »

REMARQUE : la prise en charge de sous-motifs nommés multiples n´est pas disponible sur certaines plates-formes (par exemple, RHEL5 et SLES10). Seules les plates-formes avec libpcre version 7 ou supérieure peuvent prendre en charge les sous-motifs nommés multiples.

REMARQUE ADDITIONNELLE : les anciennes versions de libpcre ne supportent que la syntaxe Python (?P<name>) pour nommer les sous-motifs.

full_name_format (chaîne)

Un format compatible avecprintf(3) décrivant comment composer un domaine pleinement qualifé à partir des noms d´utilisateur et de domaine.

Les expansions suivantes sont prises en charge :

%1$s

nom d´utilisateur

%2$s

nom de domaine tel qu´indiqué dans le fichier de configuration de SSSD.

%3$s

nom de domaine à plat. Utilisable principalement pour les domaines Active Directory, configurés directement ou découverts via les relations d´approbation IPA.

Par défaut : “%1$s@%2$s”.

lookup_family_order (chaîne)

Fournit la possibilité de sélectionner la famille d´adresse préférée à utiliser pour effectuer les requêtes DNS.

Valeurs prises en charge :

ipv4_first : essayer de chercher une adresse IPv4, et en cas d´échec, essayer IPv6.

ipv4_only : ne tenter de résoudre les noms de systèmes qu´en adresses IPv4.

ipv6_first : essayer de chercher une adresse IPv6, et en cas d´échec, tenter IPv4.

ipv6_only : ne tenter de résoudre les noms de systèmes qu´en adresses IPv6.

Par défaut : ipv4_first

dns_resolver_timeout (entier)

Délai (en secondes) d´attente de la réponse du résolveur DNS avant de considérer qu´il est injoignable. Si ce délai maximum est atteint, le domaine continuera à opérer en mode déconnecté.

Par défaut : 6

dns_discovery_domain (chaîne)

Si la découverte de services est utilisé par le moteur, spécifie la partie du domaine faisant partie de la requête DNS de découverte de services.

Par défaut : utiliser la partie du domaine qui est dans le nom de système de la machine.

override_gid (entier)

Redéfinit le GID primaire avec la valeur spécifiée.

case_sensitive (chaîne)

Treat user and group names as case sensitive. At the moment, this option is not supported in the local provider. Possible option values are:

True

Case sensitive. This value is invalid for AD provider.

False

Insensible à la casse.

Preserving

Comme False (insensible à la casse), mais ne convertit pas les noms en minuscules lors des opérations NSS. Notez que les alias de noms (et dans le cas des services les noms de protocoles) sont toujours en minuscule dans la sortie.

Par défaut : true (false pour le fournisseur AD)

proxy_fast_alias (boolean)

Quand un utilisateur ou un groupe est recherché par son nom dans le fournisseur proxy, une deuxième recherche par ID est effectuée pour récupérer le nom canonique, dans le cas où le nom demandé serait un alias. Cette option positionnée à true active la recherche par l´ID dans le cache afin d´améliorer les performances.

Par défaut : false

subdomain_homedir (string)

Utiliser ce répertoire utilisateur comme valeur par défaut pour tous les sous-domaines dans cette relation d´approbation Active Directory. Voir override_homedir pour des informations sur les valeurs possibles. En plus de celles-ci, le remplacement ci-dessous ne peut être utilisé qu´avec subdomain_homedir.

%F

nom plat (NetBIOS) d´un sous-domaine.

La valeur peut être surchargée par l´option override_homedir.

Par défaut : /home/%d/%u

realmd_tags (chaîne)

Étiquettes diverses stockées par le service de configuration de realmd pour ce domaine.

cached_auth_timeout (int)

Specifies time in seconds since last successful online authentication for which user will be authenticated using cached credentials while SSSD is in the online mode.

Special value 0 implies that this feature is disabled.

Please note that if “cached_auth_timeout” is longer than “pam_id_timeout” then the back end could be called to handle “initgroups.”

Par défaut : 0

Options valides pour les domaines proxy.

proxy_pam_target (chaîne)

Le proxy cible duquel PAM devient mandataire.

Par défaut : non défini, il faut utiliser une configuration de pam existante ou en créer une nouvelle et ajouter le nom de service ici.

proxy_lib_name (chaîne)

Le nom de la bibliothèque NSS à utiliser dans les domaines proxy. Les recherches de fonctions NSS dans la bibliothèque sont sous la forme _nss_$(libName)_$(function), par exemple _nss_files_getpwent.

La section du domaine local

Cette section contient les paramètres pour le domaine qui stocke les utilisateurs et les groupes dans la base de données native SSSD, c´est-à-dire un domaine qui utilise id_provider=local.

Paramètres de sections

default_shell (chaîne)

L´interpréteur de commandes par défaut pour les utilisateurs créés avec les outils en espace utilisateur SSSD.

Par défaut : /bin/bash

base_directory (chaîne)

Les outils ajoutent le nom d´utilisateur à base_directory et l´utilisent comme dossier personnel.

Par défaut : /home

create_homedir (booléen)

Indique si un dossier personnel doit être créé par défaut pour les nouveaux utilisateurs. Peut être outrepassé par la ligne de commande.

Par défaut : TRUE

remove_homedir (booléen)

Indiquer si un dossier personnel doit par défaut être supprimé à la suppression des utilisateurs. Peut être outrepassé par la ligne de commande.

Par défaut : TRUE

homedir_umask (entier)

Utilisé par sss_useradd(8) pour spécifier les permissions par défaut sur un répertoire personnel nouvellement créé.

Par défaut : 077

skel_dir (chaîne)

Le répertoire squelette contenant les fichiers et répertoires à copier dans le répertoire personnel de l´utilisateur une fois ce répertoire créé par sss_useradd(8)

Par défaut : /etc/skel

mail_dir (chaîne)

Le répertoire de gestion des e-mails. Nécessaire pour manipuler les boîtes e-mail quand les comptes utilisateurs sont modifiés ou supprimés. Si non précisé, la valeur par défaut est utilisée.

Par défaut : /var/mail

userdel_cmd (chaîne)

La commande qui est exécutée quand un utilisateur est supprimé. La commande a comme seul argument le nom de l´utilisateur qui doit être supprimé. Le code en retour de la commande n´est pas pris en compte.

Par défaut : None, aucune commande lancée

EXEMPLE

L´exemple suivant montre une configuration SSSD classique. Il ne décrit pas la configuration des domaines. Se référer à la documentation sur la configuration des domaines pour plus de détails.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

VOIR AUSSI

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Le projet SSSD - http://fedorahosted.org/sssd

01/16/2019 SSSD