| SSSD-LDAP(5) | Formatos de archivo y convenci | SSSD-LDAP(5) |
NAME¶
sssd-ldap - SSSD LDAP provider
DESCRIPCION¶
Esta página de manual describe la configuración de dominios LDAP para sssd(8). Vea la sección “FILE FORMAT” de la página de manual sssd.conf(5) para información detallada de la sintáxis.
Puede configurar SSSD para usar más de un dominio LDAP.
El punto final de LDAP soporta proveedores de id, auth, acceso y chpass. Si usted desea autenticarse contra un servidor LDAP se requiere bien TLS/SSL o LDAPS. sssd no soporta autenticación sobre un canal no esncriptado. Si el servidor LDAP se usa sólo como un proveedor de identidad, no se necesita un canal encriptado. Por favor vea la opción de configuración “ldap_access_filter” para más información sobre la utilización de LDAP como proveedor de acceso.
OPCIONES DE CONFIGURACIÓN¶
Todas las opciones de configuración comunes que se aplican a los dominios SSSD también se aplican a los dominios LDAP. Vea la sección “DOMAIN SECTIONS” de la página de manual sssd.conf(5) para detalles completos.
ldap_uri, ldap_backup_uri (string)
El formato de la URI debe coincidir con el formato definido en RFC 2732:
ldap[s]://<host>[:port]
Para direcciones IPv6 explícitas, <host> debe estar entre corchetes []
ejemplo: ldap://[fc00::126:25]:389
ldap_chpass_uri, ldap_chpass_backup_uri (cadena)
Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe ser establecido.
Por defecto: vacio, esto es ldap_uri se está usando.
ldap_search_base (cadena)
Desde SSSD 1.7.0, SSSD soporta múltiples bases de búsqueda usando la sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
El alcance puede ser uno de “base”, “onlevel” o “subtree”.
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Ejemplos:
ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base = dc=example,dc=com?subtree?
ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?
Nota: No está soportado tener múltiples bases de búsqueda que se referencien a objetos nombrados idénticamente (por ejemplo, grupos con el mismo nombre en dos bases de búsqueda diferentes). Esto llevara a comportamientos impredecibles sobre máquinas cliente.
Por defecto: no se fija, se usa el valor de los atributos defaultNamingContext o namingContexts de RootDSE del servidor LDAP usado. Si defaultNamingContext no existe o tiene un valor vacío se usa namingContexts. El atributo namingContexts debe tener un único valor con el DN de la base de búsqueda del servidor LDAP para hacer este trabajo. No se soportan múltiples valores.
ldap_schema (cadena)
Cuatro tipos de esquema son actualmente soportados:
La principal diferencia entre estos tipos de esquemas es como las afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros de grupos son listados por nombre en el atributo memberUid. Con rfc2307bis e IPA, los miembros de grupo son listados por DN y almacenados en el atributo member. El tipo de esquema AD fija los atributos para corresponderse con los valores Active Directory 2008r2.
Predeterminado: rfc2307
ldap_default_bind_dn (cadena)
ldap_default_authtok_type (cadena)
Los dos mecanismos actualmente soportados son:
contraseña
obfuscated_password
Por defecto: contraseña
ldap_default_authtok (cadena)
ldap_user_object_class (cadena)
Predeterminado: posixAccount
ldap_user_name (cadena)
Predeterminado: uid
ldap_user_uid_number (cadena)
Predeterminado: uidNumber
ldap_user_gid_number (cadena)
Predeterminado: gidNumber
ldap_user_gecos (cadena)
Predeterminado: gecos
ldap_user_home_directory (cadena)
Predeterminado: homeDirectory
ldap_user_shell (cadena)
Predeterminado: loginShell
ldap_user_uuid (string)
Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA
ldap_user_objectsid (cadena)
Default: objectSid for ActiveDirectory, not set for other servers.
ldap_user_modify_timestamp (cadena)
Predeterminado: modifyTimestamp
ldap_user_shadow_last_change (cadena)
Predeterminado: shadowLastChange
ldap_user_shadow_min (cadena)
Predeterminado: shadowMin
ldap_user_shadow_max (cadena)
Predeterminado: shadowMax
ldap_user_shadow_warning (cadena)
Predeterminado: shadowWarning
ldap_user_shadow_inactive (cadena)
Predeterminado: shadowInactive
ldap_user_shadow_expire (cadena)
Predeterminado: shadowExpire
ldap_user_krb_last_pwd_change (cadena)
Predeterminado: krbLastPwdChange
ldap_user_krb_password_expiration (cadena)
Predeterminado: krbPasswordExpiration
ldap_user_ad_account_expires (cadena)
Predeterminado: accountExpires
ldap_user_ad_user_account_control (cadena)
Predeterminado: userAccountControl
ldap_ns_account_lock (cadena)
Predeterminado: nsAccountLock
ldap_user_nds_login_disabled (cadena)
Predeterminado: loginDisabled
ldap_user_nds_login_expiration_time (cadena)
Predeterminado: loginDisabled
ldap_user_nds_login_allowed_time_map (cadena)
Predeterminado: loginAllowedTimeMap
ldap_user_principal (cadena)
Predeterminado: krbPrincipalName
ldap_user_extra_attrs (string)
The list can either contain LDAP attribute names only, or colon-separated tuples of SSSD cache attribute name and LDAP attribute name. In case only LDAP attribute name is specified, the attribute is saved to the cache verbatim. Using a custom SSSD attribute name might be required by environments that configure several SSSD domains with different LDAP schemas.
Please note that several attribute names are reserved by SSSD, notably the “name” attribute. SSSD would report an error if any of the reserved attribute names is used as an extra attribute name.
Ejemplos:
ldap_user_extra_attrs = telephoneNumber
Save the “telephoneNumber” attribute from LDAP as “telephoneNumber” to the cache.
ldap_user_extra_attrs = phone:telephoneNumber
Save the “telephoneNumber” attribute from LDAP as “phone” to the cache.
Predeterminado: no definido
ldap_user_ssh_public_key (cadena)
Default: sshPublicKey
ldap_force_upper_case_realm (boolean)
Predeterminado: false
ldap_enumeration_refresh_timeout (entero)
Predeterminado: 300
ldap_purge_cache_timeout (entero)
Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can´t be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.
Default: 0 (disabled)
ldap_user_fullname (cadena)
Predeterminado: cn
ldap_user_member_of (cadena)
Predeterminado: memberOf
ldap_user_authorized_service (cadena)
Una denegación explícita (¡svc) se resuelve primero. Segundo, SSSD busca permiso explícito (svc) y finalmente permitir todo (*).
Please note that the ldap_access_order configuration option must include “authorized_service” in order for the ldap_user_authorized_service option to work.
Predeterminado: iluminada
ldap_user_authorized_host (cadena)
Una denegación explícita (¡host) se resuelve primero. Segundo, la búsqueda SSSD para permiso explícito (host) y finalmente permitir todo (*).
Please note that the ldap_access_order configuration option must include “host” in order for the ldap_user_authorized_host option to work.
Default: host
ldap_user_certificate (string)
Default: no set in the general case, userCertificate;binary for IPA
ldap_group_object_class (cadena)
Por defecto: posixGroup
ldap_group_name (cadena)
Predeterminado: cn
ldap_group_gid_number (cadena)
Predeterminado: gidNumber
ldap_group_member (cadena)
Valor predeterminado: memberuid (rfc2307) / member (rfc2307bis)
ldap_group_uuid (string)
Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA
ldap_group_objectsid (cadena)
Default: objectSid for ActiveDirectory, not set for other servers.
ldap_group_modify_timestamp (cadena)
Predeterminado: modifyTimestamp
ldap_group_type (integer)
This attribute is currently only used by the AD provider to determine if a group is a domain local groups and has to be filtered out for trusted domains.
Default: groupType in the AD provider, othewise not set
ldap_group_nesting_level (entero)
Note: This option specifies the guaranteed level of nested groups to be processed for any lookup. However, nested groups beyond this limit may be returned if previous lookups already resolved the deeper nesting levels. Also, subsequent lookups for other groups may enlarge the result set for original lookup if re-queried.
If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using “id_provider=ad” it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.
Predeterminado: 2
ldap_groups_use_matching_rule_in_chain
En los casos más comunes, es mejor dejar esta opción deshabilitada. Generalmente sólo suministra un incremento de rendimiento en anidamientos muy complejos.
Si esta opción está habilitada, SSSD la usará si detecta que el servidor la soporta durante la conexión inicial. De modo que “True” aquí significa esencialmente “auto-detect”.
Nota: Esta función se sabe que actualmente trabajo sólo con Active Directory 2008 R1 y posteriores. Vea MSDN(TM) documentation[1] para más detalles.
Por defecto: False
ldap_initgroups_use_matching_rule_in_chain
Si esta opción está habilitada, SSSD la usará si detecta que el servidor la soporta durante la conexión inicial. De modo que “True” aquí significa esencialmente “auto-detect”.
Nota: Esta función se sabe que actualmente trabajo sólo con Active Directory 2008 R1 y posteriores. Vea MSDN(TM) documentation[1] para más detalles.
Por defecto: False
ldap_use_tokengroups
Default: True for AD and IPA otherwise False.
ldap_netgroup_object_class (cadena)
En proveedor IPA, ipa_netgroup_object_class, se usaría en su lugar.
Predeterminado: nisNetgroup
ldap_netgroup_name (cadena)
Un proveedor IPA, ipa_netgroup_name sería usado en su lugar.
Predeterminado: cn
ldap_netgroup_member (cadena)
Un proveedor IPA, ipa_netgroup_member sería usado en su lugar.
Predeterminado: memberNisNetgroup
ldap_netgroup_triple (cadena)
Esta opción no está disponible en el proveedor IPA.
Predeterminado: nisNetgroupTriple
ldap_netgroup_modify_timestamp (cadena)
Esta opción no está disponible en el proveedor IPA.
Predeterminado: modifyTimestamp
ldap_service_object_class (cadena)
Por defecto: ipService
ldap_service_name (cadena)
Predeterminado: cn
ldap_service_port (cadena)
Por defecto: ipServicePort
ldap_service_proto (cadena)
Por defecto: ipServiceProtocol
ldap_service_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
ldap_search_timeout (entero)
Nota: esta opción será sujeto de cambios en las futuras versiones del SSSD. Probablemente será sustituido en algunos puntos por una serie de tiempos de espera para tipos específicos de búsqueda.
Predeterminado: 6
ldap_enumeration_search_timeout (entero)
Predeterminado: 60
ldap_network_timeout (entero)
Predeterminado: 6
ldap_opt_timeout (entero)
Predeterminado: 6
ldap_connection_expire_timeout (entero)
Predeterminado: 900 (15 minutos)
ldap_page_size (entero)
Predeterminado: 1000
ldap_disable_paging (booleano)
Ejemplo: los servidores OpenLDAP con el módulo de control de paginación instalado sobre el servidor pero no habilitado lo reportarán en el RootDSE pero es incapaz de usarlo.
Ejemplo: 389 DS tiene un bug donde puede sólo soportar un control de paginación a la vez en una única conexión. Sobre clientes ocupados, esto puede ocasionar que algunas peticiones sean denegadas.
Por defecto: False
ldap_disable_range_retrieval (boolean)
Active Directory limits the number of members to be retrieved in a single lookup using the MaxValRange policy (which defaults to 1500 members). If a group contains more members, the reply would include an AD-specific range extension. This option disables parsing of the range extension, therefore large groups will appear as having no members.
Por defecto: False
ldap_sasl_minssf (entero)
Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf)
ldap_deref_threshold (entero)
Usted puede quitar las búsquedas dereference completamente fijando el valor a 0.
Una búsqueda dereference es un medio de descargar todos los miembros del grupo en una única llamada LDAP. Servidores diferentes LDAP pueden implementar diferentes métodos dereference. Los servidores actualmente soportados son 389/RHDS, OpenLDAP y Active Directory.
Nota: Si alguna de las bases de búsqueda especifica un filtro de búsqueda, la mejora del rendimiento de la búsqueda dereference será deshabilitado sin tener en cuenta este ajuste.
Predeterminado: 10
ldap_tls_reqcert (cadena)
never = El cliente no pedirá o comprobará ningún certificado de servidor.
allow = Se pide el certificado del servidor. Si no se suministra certificado, la sesión sigue normalmente. Si se suministra un certificado malo, será ignorado y la sesión continua normalmente.
try = Se pide el certificado del servidor. Si no se suministra certificado, la sesión continua normalmente. Si se suministra un certificado malo, la sesión se termina inmediatamente.
demand = Se pide el certificado del servidor. Si no se suministra certificado, o se suministra un certificado malo, la sesión se termina inmediatamente.
hard = Igual que “demand”
Predeterminado: hard
ldap_tls_cacert (cadena)
Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf
ldap_tls_cacertdir (cadena)
Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf
ldap_tls_cert (cadena)
Predeterminado: no definido
ldap_tls_key (cadena)
Predeterminado: no definido
ldap_tls_cipher_suite (cadena)
Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf
ldap_id_use_start_tls (booleano)
Predeterminado: false
ldap_id_mapping (booleano)
Actualmente está función soporta sólo mapeos de objectSID de ActiveDirectory.
Predeterminado: false
ldap_min_id, ldap_max_id (interger)
Default: not set (both options are set to 0)
ldap_sasl_mech (cadena)
Predeterminado: no definido
ldap_sasl_authid (cadena)
Por defecto: host/nombre_de_host@REALM
ldap_sasl_realm (string)
Por defecto: el valor de krb5_realm.
ldap_sasl_canonicalize (boolean)
Predeterminado: false;
ldap_krb5_keytab (cadena)
Por defecto: Keytab del sistema, normalmente /etc/krb5.keytab
ldap_krb5_init_creds (booleano)
Predeterminado: true
ldap_krb5_ticket_lifetime (entero)
Predeterminado: 86400 (24 horas)
krb5_server, krb5_backup_server (cadena)
Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, SSSD primero busca entradas DNS que especifiquen _udop como protocolo y regresa a _tcp si no se encuentra nada.
Este opción se llamaba “krb5_kdcip” en las revisiones más tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo que sea, los usuarios son advertidos para migrar sus ficheros de configuración para usar “krb5_server” en su lugar.
krb5_realm (cadena)
Predeterminado: Predeterminados del sistema, vea /etc/krb5.conf
krb5_canonicalize (boolean)
Predeterminado: false
krb5_use_kdcinfo (boolean)
See the sssd_krb5_locator_plugin(8) manual page for more information on the locator plugin.
Predeterminado: true
ldap_pwd_policy (cadena)
none - Sin evaluación en el lado cliente. Esta opción no puede deshabilitar las políticas de password en el lado servidor.
shadow - Usa los atributos de estilo shadow(5) para evaluar si la contraseña ha expirado.
mit_kerberos - Usa los atributos utilizados por MIT Kerberos para determinar si el password ha expirado. Use chpass_provider=krb5 para actualizar estos atributos cuando se cambia el password.
Predeterminado: none
Note: if a password policy is configured on server side, it always takes precedence over policy set with this option.
ldap_referrals (boolean)
Por favor advierta que sssd sólo soporta seguimiento de referencias cuando está compilado con OpenLDAP versión 2.4.13 o más alta.
Al perseguir referencia se puede incurrir en una penalización de rendimiento en entornos que lo usen pesadamente, un ejemplo notable es Microsoft Active Directory. Si su ajuste no requieren de hecho el uso de referencias, fijar esta opción a false le llevará a una notable mejora de rendimiento.
Predeterminado: true
ldap_dns_service_name (cadena)
Predeterminado: ldap
ldap_chpass_dns_service_name (cadena)
Por defecto: no fijado, esto es servicio descubridor deshabilitado.
ldap_chpass_update_last_change (booleano)
Por defecto: False
ldap_access_filter (cadena)
Ejemplo:
access_provider = ldap ldap_access_filter = (employeeType=admin)
This example means that access to this host is restricted to users whose employeeType attribute is set to "admin".
El escondrijo fuera de línea para esta característica está limitado a determinar si el último login en línea del usuario alcanzó permiso de acceso. Si les fue concedido acceso durante su último login, continuará obteniendo acceso mientras esté fuera de línea y viceversa.
Predeterminado: vacío
ldap_account_expire_policy (cadena)
Por favor advierta que siempre se recomienda utilizar el control de acceso del lado servidor, esto es el servidor LDAP denegaría petición de enlace con una código de error definible aunque el password sea correcto.
Los siguientes valores están permitidos:
shadow: usa el valor de ldap_user_shadow_expire para determinar si la cuenta ha expirado.
ad: usa el valor del campo de 32 bit ldap_user_ad_user_account_control y permite el acceso si el segundo bit no está fijado. Si el atributo está desaparecido se concede el acceso. También se comprueba el tiempo de expiración de la cuenta.
rhds, ipa, 389ds: usa el valor de ldap_ns_account_lock para comprobar si se permite el acceso o no.
nds: los valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y ldap_user_nds_login_expiration_time se usan para comprobar si el acceso está permitido. Si ambos atributos están desaparecidos se concede el acceso. Este es una función experimental, por favor utilice http://fedorahosted.org/sssd para reportar cualquier cuestión.
Please note that the ldap_access_order configuration option must include “expire” in order for the ldap_account_expire_policy option to work.
Predeterminado: vacío
ldap_access_order (cadena)
filtro: utilizar ldap_access_filter
lockout: use account locking. If set, this option denies access in case that ldap attribute ´pwdAccountLockedTime´ is present and has value of ´000001010000Z´. Please see the option ldap_pwdlockout_dn. Please note that ´access_provider = ldap´ must be set for this feature to work.
Please note that this option is superseded by the “ppolicy” option and might be removed in a future release.
ppolicy: use account locking. If set, this option denies access in case that ldap attribute ´pwdAccountLockedTime´ is present and has value of ´000001010000Z´ or represents any time in the past. The value of the ´pwdAccountLockedTime´ attribute must end with ´Z´, which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that ´access_provider = ldap´ must be set for this feature to work.
caducar: utilizar ldap_account_expire_policy
pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.
The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.
Note If user password is expired no explicit message is prompted by SSSD.
Please note that ´access_provider = ldap´ must be set for this feature to work. Also ´ldap_pwd_policy´ must be set to an appropriate password policy.
authorized_service: utilizar el atributo autorizedService para determinar el acceso
host: usa el atributo host para determinar el acceso
Predeterminado: filter
Tenga en cuenta que es un error de configuración si un valor es usado más de una vez.
ldap_pwdlockout_dn (string)
Example: cn=ppolicy,ou=policies,dc=example,dc=com
Default: cn=ppolicy,ou=policies,$ldap_search_base
ldap_deref (cadena)
never: Nunca serán eliminadas las referencias al alias.
searching: Las referencias al alias son eliminadas en subordinadas del objeto base, pero no en localización del objeto base de la búsqueda.
finding: Sólo se eliminarán las referencias a alias cuando se localice el objeto base de la búsqueda.
always: Las referencias al alias se eliminarán tanto para la búsqueda como en la localización del objeto base de la búsqueda.
Por defecto: Vacío (esto es manejado como nunca por las librerías cliente LDAP)
ldap_rfc2307_fallback_to_local_users (boolean)
En algunos entornos donde se usa el esquema RFC2307, los usuarios locales son hechos miembros de los grupos LDAP añadiendo sus nombres al atributo memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace esto, de modo que SSSD debería normalmente quitar los usuarios “desparecidos” de las afiliaciones a grupos escondidas tan pronto como nsswitch intenta ir a buscar información del usuario por medio de las llamadas getpw*() o initgroups().
Esta opción cae de nuevo en comprobar si los usuarios locales están referenciados, y los almacena en caché de manera que más tarde las llamadas initgroups() aumentará los usuarios locales con los grupos LDAP adicionales.
Predeterminado: false
wildcart_limit (integer)
At the moment, only the InfoPipe responder supports wildcard lookups.
Default: 1000 (often the size of one page)
OPCIONES SUDO¶
The detailed instructions for configuration of sudo_provider are in the manual page sssd-sudo(5).
ldap_sudorule_object_class (cadena)
Por defecto: sudoRole
ldap_sudorule_name (cadena)
Predeterminado: cn
ldap_sudorule_command (cadena)
Por defecto: sudoCommand
ldap_sudorule_host (cadena)
Por defecto: sudoHost
ldap_sudorule_user (cadena)
Por defecto: sudoUser
ldap_sudorule_option (cadena)
Por defecto: sudoOption
ldap_sudorule_runasuser (cadena)
Por defectot: sudoRunAsUser
ldap_sudorule_runasgroup (cadena)
Por defecto: sudoRunAsGroup
ldap_sudorule_notbefore (cadena)
Por defecto: sudoNotBefore
ldap_sudorule_notafter (cadena)
Por defecto: sudoNotAfter
ldap_sudorule_order (cadena)
Por defecto: sudoOrder
ldap_sudo_full_refresh_interval (entero)
El valor debe ser mayor que ldap_sudo_smart_refresh_interval
Por defecto: 21600 (6 horas)
ldap_sudo_smart_refresh_interval (entero)
Si los atributos USN no se soportan por el servidor, se usa en su lugar el atributo modifyTimestamp.
Predeterminado: 900 (15 minutos)
ldap_sudo_use_host_filter (booleano)
Predeterminado: true
ldap_sudo_hostnames (cadena)
Si esta opción está vacía, SSSD intentará descubrir el nombre de host y el nombre de dominio totalmente cualificado automáticamente.
Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.
Por defecto: no especificado
ldap_sudo_ip (cadena)
esta opción está vacía, SSSD intentará descrubrir las direcciones automáticamente.
Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.
Por defecto: no especificado
sudo_include_netgroups (booleano)
Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.
Predeterminado: true
ldap_sudo_include_regexp (booleano)
Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.
Predeterminado: true
Esta página de manual sólo describe el atributo de nombre mapping. Para una explicación detallada de la semántica del atributo relacionada con sudo, vea sudoers.ldap(5)
OPCIONES AUTOFS¶
Some of the defaults for the parameters below are dependent on the LDAP schema.
ldap_autofs_map_master_name (string)
Default: auto.master
ldap_autofs_map_object_class (cadena)
Por defecto: automountMap
ldap_autofs_map_name (cadena)
Default: ou (rfc2307), automountMapName (rfc2307bis, ipa, ad)
ldap_autofs_entry_object_class (cadena)
Default: automount
ldap_autofs_entry_key (cadena)
Default: cn (rfc2307), automountKey (rfc2307bis, ipa, ad)
ldap_autofs_entry_value (cadena)
Por defecto: automountInformation
Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.
OPCIONES AVANZADAS¶
These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.
ldap_netgroup_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
ldap_user_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
ldap_group_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
Note
If the option “ldap_use_tokengroups” is enabled. The searches against Active Directory will not be restricted and return all groups memberships, even with no gid mapping. It is recommended to disable this feature, if group names are not being displayed correctly.
ldap_sudo_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
ldap_autofs_search_base (cadena)
sintaxis:
search_base[?scope?[filter][?search_base?scope?[filter]]*]
The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511
El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt
Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”
Predeterminado: el valor de ldap_search_base
Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.
CONMUTACIÓN POR ERROR¶
La función conmutación en error permite a los finales conmutar automáticamente a un servidor diferente si el servidor actual falla.
Sintaxis de conmutación por error¶
La lista de servidores se da como una lista separada por comas; se permite cualquier número de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier número de servidores.
For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server.
El mecanismo de conmutación por errorEl mecanismo de failover distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.¶
El mecanismo de conmutación por error distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.
Los intentos de conexión adicionales son hechos a máquinas o servicios marcaros como fuera de línea después de un período de tiempo especificado; esto está codificado a fuego actualmente en 30 segundos.
Si no hay más máquinas para intentarlo, el punto final al completo conmutará al modo fuera de línea y después intentará reconectar cada 30 segundo.
SERVICIO DE DESCUBRIMIENTO¶
La función servicio descubridor permite a los puntos finales encontrar automáticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta función no está soportada por los servidores de respaldo.
Configuración¶
Si no se especifican servidores, el punto final usar automáticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, “_srv_”, en la lista de servidores. El orden de preferencia se mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor específico cuando no se pueden descubrir servidores usando DNS.
El nombre de dominio¶
Por favor vea el parámetro “dns_discovery_domain” en la página de manual sssd.conf(5) para más detalles.
El protocolo¶
Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripción de la opción respectiva.
Vea también¶
Para más información sobre el mecanismo del servicio descubridor, vea el RFC 2782.
ASIGNACIÓN DE ID¶
La función asignación de ID permite a SSSD actuar como un cliente de Active Directory sin requerir de administradores para extender los atributos de usuario para soportar atributos POSIX para los identificadores de usuario y grupo.
NOTA: Cuando asignación de ID está habilitado, los atributos uidNumber y gidNumber son ignorados. Esto es para evitar la posibilidad de conflictos entre los valores automáticamente asignados y los asignados manualmente. Si usted necesita usar los valore asignados manualmente, TODOS los valores deben ser asignados manualmente.
Please note that changing the ID mapping related configuration options will cause user and group IDs to change. At the moment, SSSD does not support changing IDs, so the SSSD database must be removed. Because cached passwords are also stored in the database, removing the database should only be performed while the authentication servers are reachable, otherwise users might get locked out. In order to cache the password, an authentication must be performed. It is not sufficient to use sss_cache(8) to remove the database, rather the process consists of:
Moreover, as the change of IDs might necessitate the adjustment of other system properties such as file and directory ownership, it´s advisable to plan ahead and test the ID mapping configuration thoroughly.
Algoritmo de asignación¶
Active Directory suministra un objectSID para cada objeto usuario y grupo en el directorio. El objectSID puede ser dividido en componente que representan la identidad del dominio Active Directory y le identificador relativo (RID) del objeto usuario y grupo.
El algoritmo de asignación de ID de SSSD tiene un rango de UIDs disponibles y lo divide en secciones componente de igual tamaño – llamadas “rebanadas” -. Cada rebanada representa el espacio disponible para un dominio Active Directory.
Cuando se encuentra por primera vez una entrada de usuario o grupo para un dominio concreto, SSSD asigna una de las rebanadas disponibles para ese dominio. Con el objetivo de hacer esta asignación de rebanadas repetible sobre diferentes máquinas clientes, seleccionamos la rebanada en base al siguiente algoritmo:
La cadena SID pasada a través del algoritmo murmurhash3 para convertirlo en un valor picado de 32 bit. Después tomamos los módulos de este valor con el número total de rebanadas disponibles para recoger la rebanada.
NOTA: Es posible encontrar colisiones en el picadillo y los módulos subsiguientes. En estas situaciones, seleccionaremos la siguiente rebanada disponible, pero puede no ser posible reproducir los mismos conjuntos exactos de rebanadas sobre otras máquinas (puesto que el orden en que se encuentren desterminará sus rebanadas). En esta situación, se recomienda o bien conmutar para usar los atributos explícitos POSIX en Active Directory (deshabilitando la asignación de ID) o configurar un dominio por defecto para garantizar que al menos uno sea siempre consistente. Vea “Configuración” para detalles.
Configuración¶
Configuración mínima (en la sección “[domain/DOMAINNAME]”):
ldap_id_mapping = True ldap_schema = ad
La configuración por defecto resulta en la configuración de 10.000 rebanadas, cada una capaz de sostener 200.000 IDs empezando por 10.001 y yendo hasta 2.000.100.000. Esto debería ser suficiente para la mayoría de los despliegues.
Configuración Avanzada
ldap_idmap_range_min (entero)
NOTA: Esta opción es diferente de “min_id” en esta “min_id” actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que “min_id” fuera menor o igual que “ldap_idmap_range_min”
Por defecto: 200000
ldap_idmap_range_max (entero)
NOTA: Esta opción es diferente de “max_id” en esta “max_id” actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que “max_id” fuera menor o igual que “ldap_idmap_range_max”
Por defecto: 2000200000
ldap_idmap_range_size (entero)
NOTE: The value of this option must be at least as large as the highest user RID planned for use on the Active Directory server. User lookups and login will fail for any user whose RID is greater than this value.
For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, “ldap_idmap_range_size” must be at least 1107.
It is important to plan ahead for future expansion, as changing this value will result in changing all of the ID mappings on the system, leading to users with different local IDs than they previously had.
Por defecto: 200000
ldap_idmap_default_domain_sid (cadena)
Predeterminado: no definido
ldap_idmap_default_domain (cadena)
Predeterminado: no definido
ldap_idmap_autorid_compat (booleano)
Cuando esta opción está configurada, los dominios serán asignados empezando con la rebanada cero e incrementándose de uno en uno con cada dominio adicional.
NOTA: Este algoritmo no es determinista (depende del orden en que usuario y grupos son pedidos). Si se requiere este modo para compatibilidad con máquinas que ejecutan winbind, se recomienda que también use la opción “ldap_idmap_default_domain_sid” para garantizar que al menos un dominio está asignado consistentemente a la rebanada cero.
Por defecto: False
Well-Known SIDs¶
SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a special hardcoded meaning. Since the generic users and groups related to those Well-Known SIDs have no equivalent in a Linux/UNIX environment no POSIX IDs are available for those objects.
The SID name space is organized in authorities which can be seen as different domains. The authorities for the Well-Known SIDs are
The capitalized version of these names are used as domain names when returning the fully qualified name of a Well-Known SID.
Since some utilities allow to modify SID based access control information with the help of a name instead of using the SID directly SSSD supports to look up the SID by the name as well. To avoid collisions only the fully qualified names can be used to look up Well-Known SIDs. As a result the domain names “NULL AUTHORITY”, “WORLD AUTHORITY”, “ LOCAL AUTHORITY”, “CREATOR AUTHORITY”, “NT AUTHORITY” and “BUILTIN” should not be used as domain names in sssd.conf.
EJEMPLO¶
El siguiente ejemplo asume que SSSS está configurado correctamente y LDAP está fijado a uno de los dominios de la sección [domains].
[domain/LDAP] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true
LDAP ACCESS FILTER EXAMPLE¶
The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.
[domain/LDAP] id_provider = ldap auth_provider = ldap access_provider = ldap ldap_access_order = lockout ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true
NOTAS¶
Las descripciones de algunas de las opciones de configuración en esta página de manual están basadas en la página de manual ldap.conf(5) de la distribución OpenLDAP 2.4.
VEA TAMBIEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
The SSSD upstream - http://fedorahosted.org/sssd
NOTES¶
- 1.
- MSDN(TM) documentation
| 01/16/2019 | SSSD |