SSSD.CONF(5) | Formatos de archivo y convenci | SSSD.CONF(5) |
NAME¶
sssd.conf - El archivo de configuración de SSSD
FORMATO DE ARCHIVO¶
El archivo posee una sintaxis de tipo ini consistente de secciones y parámetros. Una sección comienza con el nombre de dicha sección colocado entre corchetes, y continua hasta que comienza la próxima sección. Este es un ejemplo de una sección con parámetros de valores simples y múltiples:
[section] key = value key2 = value2,value3
Los tipos de datos utilizados son cadenas (no es necesario ingresarlos entre comillas), enteros o booleanos (cuyos valores son “TRUE/FALSE”).
Una línea de comentario empieza con una almohadilla (“#”) o un punto y coma (“;”). Los comentarios en línea no están soportados.
Todas las secciones pueden tener un parámetro opcional de descripción. Su función es solo la de servir como etiqueta a tal sección.
sssd.conf debe ser un archivo regular, cuyo dueño sea el usuario root, y sólo este usuario podrá tener permisos de lectura y escritura sobre él.
FRAGMENTOS DE CONFIGURACIÓN DESDE EL DIRECTORIO INCLUDE¶
El fichero de configuración sssd.conf incluirá fragmenteo de configuración usando el directorio include conf.d. Esta característica está disponible si SSSD fue compilado con libini versión 1.3.0 o posterior.
Cualquier fichero situado en conf.d que termine en “.conf” y no empiece con un punto (“.”) será usado junto con sssd.conf para configurar SSSD.
Los fragmentos de configuración de conf.d tienen mayor prioridad que los de sssd.conf y anularán sssd.conf cuando ocurran conflictos. Si varios fragmentos están presentes en conf.d serán incluidos en orden alfabético (en base a la localización). Los ficheros incluidos más tarde tienen prioridad mas alta. Prefijos numéricos (01_snippet.conf, 02_snippet.conf etc.) pueden ayudar a visualizar la prioridad (números mas altos significan prioridad más alta).
Los ficheros fragmentos requieren los mismos propietarios y permisos que sssd.conf. Que son por defecto root:root y 0600.
OPCIONES GENERALES¶
Las siguientes opciones son útiles en más de una de las secciones de configuración.
Opciones utilizables en todas las secciones¶
debug_level (entero)
Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.
In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.
Niveles de depuración actualmente soportados:
0, 0x0010: Fatal failures. Anything that would prevent SSSD from starting up or causes it to cease running.
1, 0x0020: Critical failures. An error that doesn't kill SSSD, but one that indicates that at least one major feature is not going to work properly.
2, 0x0040: Serious failures. An error announcing that a particular request or operation has failed.
3, 0x0080: Minor failures. These are the errors that would percolate down to cause the operation failure of 2.
4, 0x0100: Configuration settings.
5, 0x0200: Function data.
6, 0x0400: Trace messages for operation functions.
7, 0x1000: Trace messages for internal control functions.
8, 0x2000: Contents of function-internal variables that may be interesting.
9, 0x4000: Extremely low-level tracing information.
To log required bitmask debug levels, simply add their numbers together as shown in following examples:
Ejemplo: Para registrar fallos fatales, críticos y serios y datos de función use 0x0270.
Example: Para registrar fallos fatales, ajustes de configuración, datos de función, mensajes de traza para funciones de control interno use 0x1310.
Note: The bitmask format of debug levels was introduced in 1.7.0.
Default: 0
debug (entero)
debug_timestamps (bool)
Predeterminado: true
debug_microseconds (bool)
Predeterminado: false
Opciones utilizables en las secciones SERVICIO y DOMINIO¶
timeout (entero)
Predeterminado: 10
SECCIONES ESPECIALES¶
La sección [sssd]¶
Trozos individuales de funcionalidad SSSD son suministrados por servicios especiales SSSD que se inician y parar junto a SSSD. Los servicios son gestionados por un servicio especial frecuentemente llamado “monitor”. La sección “[sssd]” se usa para configurar el monitor así como algunas otras opciones importantes como la identidad de dominios.
Parámetros de sección
config_file_version (entero)
servicios
Servicios soportados: nss, pam , sudo, autofs, ssh, pac, ifp
Por defecto, todos los servicios están deshabilitados y el administrador debe habilitar aquellos que permita que se usen para ejecución: "systemctl enable sssd-@service@.socket".
reconnection_retries (entero)
Predeterminado: 3
dominios
re_expression (cadena)
Cada dominio puede tener una expresión regular individual configurada. Para algunos proveedores de ID hay también expresiones regulares por defecto. Vea las SECCIONES DOMINIO para mas información sobre estas expresiones regulares.
full_name_format (cadena)
Son soportadas las siguientes expresiones:
%1$s
%2$s
%3$s
Cada dominio puede tener una cadena de formato individual configurar. Vea SECCIONES DOMINIO para más información sobre esta opción.
try_inotify (boolean)
Existen algunas pocas situaciones en donde lo preferible es evitar el uso de inotify. En estas raras excepciones, la opción debería ser definida en 'false'
Predeterminado: 'true' en plataformas donde inotify tenga soporte. 'False' en el resto de las plataformas.
Nota: esta opción no tendrá efecto en plataformas donde inotify no se encuenytre disponible. En estas plataformas, la consulta (polling) será utilizada siempre.
krb5_rcache_dir (cadena)
Esta opción acepta un valor especial __LIBKRB5_DEFAULTS__ que instruirá a SSSD para dejar a libkrb5 decidir la localización apropiada del escondrijo de respuesta.
Por defecto: Distribución específica y especificado en la acumulación de tiempo. (si no se configura __LIBKRB5_DEFAULTS__)
usuario (cadena)
Por defecto: no ajustado, los procesos correrán como root
default_domain_suffix (cadena)
Por favor advierta que si se ajusta esta opción todos los usuarios del domino primario tiene que usar su nombre totalmente cualificado, e.g. user@domain.name, para acceder. Fijando esta opción cambia el predeterminado de use_fully_qualified_names a True. No está permitido usar esta opción unto con use_fully_qualified_names fijado a False.
Predeterminado: no definido
override_space (cadena)
Por favor advierta que es un error de configuración usar un carácter de reemplazo que pueda ser usado en los nombres de grupo o usuario. Si un nombre contiene el carácter de reemplazo SSSD intentará devolver un nombre no modificado pero en general el resultado de la búsqueda es indefinido.
Por defecto: no ajustado (los espacios no serán reemplazados)
certificate_verification (cadena)
no_ocsp
no_verification
ocsp_default_responder=URL
This option must be used together with ocsp_default_responder_signing_cert.
ocsp_default_responder_signing_cert=NAME
Esta opción debe ser usada junto con ocsp_default_responder.
Se informa de las opciones desconocidas pero son ignoradas.
Por defecto: no fijado, i.e. no restringe la verificación de certificado
disable_netlink (boolean)
Los cambios en el estado de SSSD causados por eventos en enlace de red pueden ser no deseados y pueden ser deshabilitados ajustando esta opción a 'true'
Predeterminado: false (se detectan los cambio de enlace de red)
enable_files_domain (boolean)
Predeterminado: false
domain_resolution_order
Por favor, advierta que cuando se fija esta opción el formato de salida de todos los comandos es siempre plenamente cualificado aunque se usen los nombre cortos para la entrada, para todos los usuarios excepto los gestionados por el proveedro de ficheros. En caso de que el administrador desee la salida no plenamente cualificada se debe usar los opción full_name_format como se muestra abajo: “full_name_format=%1$s” Sin embargo, tenga en cuenta que durante el acceso, las aplicaciones de acceso con frecuencia canonicalizan el nombre de usuario llamando a getpwnam(3) que, si se devuelve un nombre corto para una entrada cualificada (mientras que intenta alcanzar un usuario que existe en múltiples dominios) debe re-enturar el intento de acceso hacia el dominio que usa nombres cortos, haciendo este rodeo totalmente no recomendado en los casos donde los nombres de usuarios se deben compartir entre dominios.
Por defecto: No definido
SECCIONES DE SERVICIOS¶
Los ajustes que pueden ser utilizados para configurar diferentes servicios se describe en esta sección. Ellos deben residir en la sección [$NAME], por ejemplo, para el servicio NSS, la sección sería “[nss]”
Opciones de configuración de servicios generales¶
Estas opciones pueden usarse para configurar cualquier servicio.
reconnection_retries (entero)
Predeterminado: 3
fd_limit
Por defecto: 8192 (o limite “hard” en limits.conf)
client_idle_timeout
Predeterminado: 60
offline_timeout (entero)
offline_timeout + random_offset
El desplazamiento aleatorio puede ser incrementado a 30 segundos. Después de cada intento fracasado de ir a línea, el nuevo intervalo se re-calcula de la siguiente forma:
new_interval = old_interval*2 + random_offset
Advierta que la longitud máxima de cada intervalo está limitada actualmente a una hora. Si la longitud calculada de new_interval es mayor de una hora se forzará a una hora.
Predeterminado: 60
responder_idle_timeout
Predeterminado: 300
cache_first
Predeterminado: false
Opciones de configuración de NSS¶
Estas opciones pueden ser usadas para configurar el servicio Name Service Switch (NSS).
enum_cache_timeout (entero)
Predeterminado: 120
entry_cache_nowait_percentage (entero)
Por ejemplo, si entry_cache_timeout del dominio está fijado a 30 y entry_cache_nowait_percentage está fijado a 50 (por ciento), las entradas que vengan después de 15 segundos pasado el último cache serán devueltas inmediatamente, pero SSSD irá y actualizará el cache por el mismo, de modo que las futuras peticiones no necesitarán bloquearse a la espera de una actualización del cache.
Los valores válidos para esta opción son 0-99 y representan un porcentaje de entry_cache_timeout para cada dominio. Por razones de rendimiento, este porcentaje nunca reducirá el tiempo de salida de no espera a menos de 10 segundos. (0 deshabilita esta función).
Predeterminado: 50
entry_negative_timeout (entero)
Predeterminado: 15
local_negative_timeout (integer)
Por defecto: 14400 (4 horas)
filter_users, filter_groups (cadena)
AVISO: La opción filter_groups no afecta a la herencia de miembros de grupos anidados, puesto que el filtrado sucede después de que hayan sido propagados para volver por medio de NSS. E.g. un grupo que tenga un miembro del grupo filtrado mantendrá los usuarios miembros del listado posterior.
Predeterminado: root
filter_users_in_groups (bool)
Predeterminado: true
override_homedir (cadena)
%u
%U
%d
%f
%l
%P
%o
%H
%%
Esta opción puede ser también fijada por dominio.
ejemplo:
override_homedir = /home/%u
Por defecto: No fijado (SSSD usará el valor recuperado desde LDAP)
homedir_substring (string)
Default: /home
fallback_homedir (cadena)
Los valores disponibles para esta opción son los mismos que para override_homedir.
ejemplo:
fallback_homedir = /home/%u
Por defecto: no fijado (sin sustitución para los directorios home no fijados)
override_shell (cadena)
Por defecto: no fijado (SSSD usará el valor recuperado desde LDAP)
allowed_shells (cadena)
1. Si el shell está presente en “/etc/shells”, se usa.
2. Si el shell está en la lista allowed_shells pero no en “/etc/shells”, usa el valor del parámetro shell_fallback.
3. Si el shell no está en la lista allowed_shells y tampoco en “/etc/shells”, se usará un shell de no acceso.
Se puede usar el comodín (*) para permitir cualquier shell.
(*) es útil si usted desea usar shell_fallback en caso de que el shell del usuario no esté en “/etc/shells” y las lista que mantiene todos los shells permitidos en allowed_shells estuviera llena.
Una cadena vacía para el shell se pasa como-es a libc.
“/etc/shells” es de sólo lectura en el inicio SSSD, lo que significa que se requiere el reinicio del SSSD en el caso de que se instale una nueva shell.
Por defecto: No fijado. La shell del usuario se usa automáticamente.
vetoed_shells (cadena)
shell_fallback (cadena)
Predeterminado: /bin/sh
default_shell
Por defecto: no fijado (Devuelve NULL si no se ha especificado una shell y confía en libc para sustituir algo sensible cuando sea necesario, normalmente /bin/sh)
get_domains_timeout (entero)
Predeterminado: 60
memcache_timeout (entero)
Predeterminado: 300
PRECAUCIÓN: Deshabilitar la memoria cache puede llevar a un impacto negativo significativo sobre el rendimiento de SSSD y debería ser usado solo para pruebas.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
user_attributes (string)
Para hacer mas fácil la configuración el contestador NSS comprobará la opción InfoPipe si no está fijada para el contestador NSS.
Por defecto: no ajustada, retroceder a opción InfoPipe
pwfield (cadena)
Esta opción puede ser también fijada por dominio.
Por defecto: “*” (dominios remotos) o “x” (los ficheros de dominio)
Opciones de configuración PAM¶
Estas opciones pueden ser usadas para configurar el servicio Pluggable Authentication Module (PAM)
offline_credentials_expiration (entero)
Predeterminado: 0 (Sin límite)
offline_failed_login_attempts (entero)
Predeterminado: 0 (Sin límite)
offline_failed_login_delay (entero)
Si se fija en 0 el usuario no puede autenticarse fuerta de línea si se ha alcanzado offline_failed_login_attempts. Sólo una autenticación en línea con éxito puede habilitar otra vez la autenticación fuera de línea.
Predeterminado: 5
pam_verbosity (entero)
Actualmente sssd soporta los siguientes valores:
0: no mostrar ningún mensaje
1: mostrar sólo mensajes importantes
2: mostrar mensajes informativos
3: mostrar todos los mensajes e información de depuración
Predeterminado: 1
pam_response_filter (entero)
Como los mensajes ya pueden ser controlados con la ayuda de la opción pam_verbosity esta opción permite filtrar otra clase de respuestas también.
Actualmente se soportan los siguientes filtros:
ENV
ENV:var_name
ENV:var_name:service
Predeterminado: no definido
Ejemplo: ENV:KRB5CCNAME:sudo-i
pam_id_timeout (entero)
Una conversación PAM completa puede llevar a cabo múltiples peticiones PAM, como gestión de cuenta y apertura de sesión. Esta opción controla (sobre una base de por cliente-aplicación) cuanto (en segundos) podemos esconder la información de identidad para evitar excesivos viajes de ida y vuelata al proveedor de identidad.
Predeterminado: 5
pam_pwd_expiration_warning (entero)
Por favor advierta que el servidor de punto final tiene que suministrar información sobre el tiempo de expiración de la contraseña. Si esta información desaparece, sssd no podrá mostrar un aviso.
Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.
Este ajuste puede ser anulado por el ajuste pwd_expiration_warning para un dominio concreto.
Predeterminado: 0
get_domains_timeout (entero)
Predeterminado: 60
pam_trusted_users (cadena)
Por defecto: Todos los usuarios se consideran de confianza por defecto
Por favor advierta que la UID 0 siempre permite el acceso al contestador PAM aunque no está en la la lista pam_trusted_users.
pam_public_domains (cadena)
Hay definidos dos valores especiales para la opción pam_public_domains:
all (Los usuarios de no confianza están permitidos para acceder a todos los dominios en el contestador PAM.)
none (Los usuarios de no confianza no tienen permitido acceder a los dominios PAM en el contestador.)
Predeterminado: none
pam_account_expired_message (cadena)
Nota: Por favor tenga cuidado que este mensaje solo se imprime por el servicio SSH a no ser que pam_verbosity esté fijado a 3 (mostrar todos los mensajes e información de depuración).
ejemplo:
pam_account_expired_message = Cuenta expirada, por favor contacte con la mesa de ayuda.
Predeterminado: none
pam_account_locked_message (cadena)
ejemplo:
pam_account_locked_message = Cuenta bloqueada, por favor contacte con la mesa de ayuda.
Predeterminado: none
pam_cert_auth (booleano)
Por defecto: False
pam_cert_db_path (cadena)
Predeterminado:
Esta página de manual fue generada para la versión NSS.
p11_child_timeout (entero)
Predeterminado: 10
pam_app_services (cadena)
Por defecto: No definido
pam_p11_allowed_services (entero)
Es posible añadir otro nombre de servicio PAM al conjunto predeterminado usando “+service_name” o quitar explícitamente nombre de servicio PAM de los predeterminados usando “-service_name”. Por ejemplo, con el objetivo de reemplazar un nombre de servicio PAM por autenticación con Smartcards (e.g. “login”) con un nombre de servicio PAM personalizado (e.g. “my_pam_service”), debería usar la siguiente configuración:
pam_p11_allowed_services = +my_pam_service, -login
Predeterminado: el conjunto predeterminado de nombres de servicio PAM incluye:
SUDO opciones de configuración¶
Se pueden usar estas opciones para configurar el servicio sudo. Las instrucciones detalladas para la configuración de sudo(8) para trabajar con sssd(8) están en la página de manual sssd-sudo(5).
sudo_timed (booleano)
Predeterminado: false
sudo_threshold (entero)
Predeterminado: 50
Opciones de configuración AUTOFS¶
Estas opciones pueden ser usadas para configurar el servicio autofs.
autofs_negative_timeout (entero)
Predeterminado: 15
Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.
Opciones de configuración SSH¶
Estas opciones se pueden usar para configurar el servicio SSH.
ssh_hash_known_hosts (booleano)
Predeterminado: true
ssh_known_hosts_timeout (entero)
Por defecto: 180
ssh_use_certificate_keys (booleano)
Predeterminado: true
ca_db (cadena)
Predeterminado:
Esta página de manual fue generada para la versión NSS.
Opciones de configuración del respondedor PAC¶
El contestador PAC trabaja junto con el plugin de autorización de datos para MIT Kerberos sssd_pac_plugin.so y un proveedor de sub dominios. El plugin envía los datos PAC durante la autenticación GSSAPI al contestador PAC. El proveedor de sub dominio recoge el SID de dominio y los rangos de ID del dominio al que el cliente se ha unido y de los dominios remotos de confianza desde el controlador local de dominio. Si el PAC es decodificado y evaluado se hacen algunas de las siguientes operaciones:
Estas opciones pueden ser usadas para configurar el respondedor PAC.
allowed_uids (cadena)
Por defecto: 0 (sólo el usuario root tiene permitido el acceso al respondedor PAC)
Por favor advierta que aunque la UID 0 se usa por defecto será anulada con esta opción. Si usted deses todavía permitir al usuario root acceder al respondedor PAC, que sería el caso típico, usted tiene que añadir 0 a la lista de UIDs permitidas también.
pac_lifetime (entero)
Predeterminado: 300
Opciones de configuración de la grabación de sesión¶
Trabajos de grabación de sesión en conjunto con tlog-rec-session(8), una parte del paquete tlog, para registrar lo que los usuarios ven y el tipo cuando ellos lo registran en un terminal de texto. Vea también sssd-session-recording(5).
Se pueden usar estas opciones para configurar la grabación de sesión.
scope (cadena)
"none"
"some"
"all"
Predeterminado: "none"
users (cadena)
Predeterminado: Vacío. No hay usuarios coincidentes.
groups (cadena)
AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un costo considerable de rendimiento, puesto que cada petición sin caché para un usuario requiere a recuperación y el emparejado de los grupos a los que pertenece el usuario.
Predeterminado: Vacío. No empareja grupos.
SECCIONES DE DOMINIO¶
Estas opciones de configuración pueden estar presentes en la sección configuración de dominio, esto es, en una sección llamada “[domain/NAME]”
domain_type (cadena)
Los valores permitidos para esta opción son “posix” y “application”.
Los dominios POSIX son alcanzables por todos los servicios. Los dominios aplicación son solo alcanzables desde el contestador InfoPipe (vea sssd-ifp(5)) y el contestador PAM.
AVISO: LOs dominios aplicación actualmente están bien probados solamente con “id_provider=ldap”.
Para una manera fácil de configurar dominios no POSIX, vea la sección “Dominios aplicación”.
Predeterminado: posix
min_id, max_id (entero)
Para usuarios, esto afecta al límite primario GID. El usuario no será devuelto a NSS si bien la UID o el GID primario está fuera de rango. Para los miembros de grupos no primarios, aquellos que estén en rango serán reportados como en espera.
Estos límites de ID afectan aunque se guarden entrada en la caché, no solo devolviéndolas por nombre o ID.
Predeterminado: 1 para min_id, 0 (sin límite) para max_id
enumerar (bool)
TRUE = Usuarios y grupos son enumerados
FALSE = Sin enumeraciones para este dominio
Predeterminado: FALSE
Enumerar un dominio requiere que SSSD descargue y almacene TODAS las entradas de usuario y grupo del servidor remoto.
Aviso: Habilitar la enumeración tiene un impacto moderado en el rendimiento sobre SSSD mientras está corriendo la enumeración. Puede llevar varios minutos después de que SSSD inicie una enumeración completa total. Durante este tiempo, las peticiones individuales de información irán directamente a LDAP, piense que puede ser lento, debido al pesado procesamiento de la enumeración. El guardar gran número de entradas en la caché después de una enumeración completa puede ser también intensiva para la CPU puesto que la membresía debe ser vuelta a computar. Esto puede llevar a que el proceso “sssd_be” no responda o que sea reiniciado por el perro guardián interno.
Mientras está corriendo la primera enumeración, peticiones para el usuario completo o listas de grupo pueden no devolver resultados hasta que se completen.
Adicionalmente, la habilitación de la enumeración puede incrementar el tiempo necesario para detectar la desconexión de red, tanto como los tiempos de espera necesarios para asegurar que las búsquedas de enumeración se han completado. Para más información vea las páginas de manual para el específico id_provider en uso.
Por las razones citadas arriba, no se recomienda habilitar la enumeración, especialmente en entornos grandes.
subdomain_enumerate (cadena)
all
none
Opcionalmente, una lista de uno o más nombres de dominio puede habilitar la enumeración solo para estos dominios de confianza.
Predeterminado: none
entry_cache_timeout (entero)
Los sellos de tiempo de expiración de caché son almacenados somo atributos de los objetos individuales en caché. Por lo tanto, el cambio del tiempo de expiración de la caché solo tendrá efecto para las entradas más nuevas o expiradas. Debería ejecutar la herramienta sss_cache(8) con el objetivo de forzar el refresco de las entradas que ya están en la caché.
Predeterminado: 5400
entry_cache_user_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_group_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_netgroup_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_service_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_sudo_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_autofs_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_ssh_host_timeout (entero)
Por defecto: entry_cache_timeout
refresh_expired_interval (entero)
The background refresh will process users, groups and netgroups in the cache. For users who have performed the initgroups (get group membership for user, typically ran at login) operation in the past, both the user entry and the group membership are updated.
This option is automatically inherited for all trusted domains.
Usted puede considerar ajustar este valor a 3/4 * entry_cache_timeout.
Predeterminado: 0 (deshabilitado)
cache_credentials (bool)
Las credenciales de usuario son almacenadas en un hash SHA512, no en texto plano
Predeterminado: FALSE
cache_credentials_minimal_first_factor_length (entero)
Esto evitaría que los PINs cortos de un esquema de PIN basado en 2FA se guarden en caché lo que les haría objetivos fáciles de ataques de fuerza bruta.
Predeterminado: 8
account_cache_expiration (entero)
Predeterminado: 0 (ilimitado)
pwd_expiration_warning (entero)
Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.
Por favor advierta que el servidor de backend tiene que suministrar información sobre la hora expiración de la contraseña. Si esta información está desaparecida, sssd no puede mostrar un aviso. También se tiene que configurar un proveedor de autorización para el backend.
Por defecto: 7 (Kerberos), 0 (LDAP)
id_provider (cadena)
“proxy”: Soporta un proveedor NSS heredado.
“local”: Proveedor SSSD interno para usuarios locales (OBSOLETO).
“files”: Proveedor de FICHEROS. Vea sssd-files(5) para más información sobre como hacer espejo de usuarios y grupos locales en SSSD.
“ldap”: Proveedor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
use_fully_qualified_names (bool)
Si es TRUE, todas las peticiones a este dominio deben usar nombres totalmente cualificados. Por ejemplo, si se usa en el dominio LOCAL que contiene un usuario “test”, getent passwd test no encontraría al usuario mientras que getent passwd test@LOCAL lo haría.
AVISO: Esta opción no tiene efecto sobre búsquedas de grupo de red debido a su tendencia a incluir grupos de red anidados sin nombres cualificados. Para grupos de red, se buscará en todos los dominios cuando se pida un no no cualificado.
Predeterminado: FALSE (TRUE si se usa default_domain_suffix)
ignore_group_members (bool)
Si se fija a TRUE, no se pide el atributo de membresía de grupo al servidor ldap y los miembros no son devueltos cuando se procesan llamadas de búsqueda, como getgrnam(3) o getgrgid(3). Como efecto, “getent group $groupname” debería devolver el grupo pedido como si estuviera vacío.
Habilitar esta opción puede también hacer acceso a las comprobaciones de proveedor ara membresía de grupo significativamente más rápidas, especialmente para grupos que contienen muchos miembros.
Predeterminado: FALSE
auth_provider (cadena)
“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“krb5” para autenticación Kerberos. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“proxy” para la reinstalación de la autenticación a algún otro objetivo PAM.
“local”: Proveedor interno SSSD para usuarios locales
“none” deshabilita la autenticación explícitamente.
Por defecto: “id_provider” se usa si se ha fijado y puede manejar las peticiones de autenticación.
access_provider (cadena)
“permit” siempre permite el acceso. Es el proveedor de acceso sólo permitido para un dominio local.
“deny” siempre niega el acceso.
“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“simple” control de acceso basado en listas de acceso o denegación. Vea sssd-simple(5) para más información sobre la configuración del módulo de acceso sencillo.
“krb5”: .k5login basado en control de acceso. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.
“proxy” para transmitir control de acceso a otro módulo PAM.
Predeterminado: “permit”
chpass_provider (cadena)
“ldap” para cambiar una contraseña almacenada en un servidor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“krb5” para cambiar una contraseña Kerberos. Vea sssd-krb5(5) para más información sobre configurar Kerberos.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“proxy” para la reinstalación de cambios de password en algunos otros objetivos PAM.
“none” deniega explícitamente los cambios en la contraseña.
Por defecto: “auth_provider” se utiliza si se ha fijado y se puede manejar las peticiones de cambio de password.
sudo_provider (cadena)
“ldap” para reglas almacenadas en LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“ipa” lo mismo que “ldap” pero con ajustes predeterminados IPA.
“ad” lo mismo que “ldap” pero con ajustes predeterminados AD.
“none”deshabilita SUDO explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
Las instrucciones detalladas para la configuración de sudo_provider están el la página de manual sssd-sudo(5). Hay muchas opciones de configuración que se puden usar para ajustar el comportamiento. Vea por favor "ldap_sudo_*" en sssd-ldap(5).
AVISO: Las reglas sudo son periódicamente descargadas en segundo plano a no ser que proveedor sudo esté explícitamente deshabilitado. Ajuste sudo_provider = None para deshabilitatr toda la actividad relacionada con sudo en SSSD si usted no desea usar sudo cn SSSD mas.
selinux_provider (cadena)
“ipa” para cargar ajustes selinux desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“none” deshabilita ir a buscar los ajustes selinux explícitamente.
Por defecto: “id_provider” se usa si está fijado y puede manejar las peticiones de carga selinux.
subdomains_provider (cadena)
“ipa” para cargar una lista de subdominios desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“ad” para descargar una lista de subdominios desde un servidor Active Directory. Vea sssd-ad(5) para más información sobre la configuración del proveedor AD.
“none” deshabilita el buscador de subdominios explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
session_provider (cadena)
“ipa” para permitir llevar a cabo tareas relacionadas con la sesión de usuario.
“none” no lleva a cabo ninguna tarea relacionada con la sesión de usuario.
Predeterminado: “id_provider” se usa si está ajustado y puede llevar a cabo tareas relacionadas con la sesión de usuario.
AVISO: Con el objetivo de tener esta característica trabajando como se espera SSSD se debe correr como "root" y o como usuario sin privilegios.
autofs_provider (cadena)
“ldap” para cargar mapas almacenados en LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“ipa” para cargar mapas almacenados en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“ad” para cargar mapas almacenados en un servidor AD. Vea sssd-ad(5) para más información sobre como configurar un proveedor AD.
“none” deshabilita autofs explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
hostid_provider (cadena)
“ipa” para cargar la identidad del equipo almacenada en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“none” deshabilita hostid explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
re_expression (cadena)
Por defecto para el proveedor AD e IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” que permite tres estilos diferentes de nombres de usuario:
Mientras los primeros dos corresponden al valor por defecto general el tercero se introduce para permitir una fácil integración de usuarios desde dominios Windows.
Predeterminado: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” que traduce al "todo lo que hay hasta el signo “@” es el nombre, el dominio es el resto detrás de este signo"
AVISO: Algunos grupos Active Directory, normalmente aquellos que se usan por MS Exchange contienen un signo “@” en el nombre, lo que choca con el valor predeterminado de re_expressionpara los proveedores AD e IPA. Para soportar estos grupos, considere cambiar el valor de re_expression a: “((?P<name>.+)@(?P<domain>[^@]+$))”.
full_name_format (cadena)
Son soportadas las siguientes expresiones:
%1$s
%2$s
%3$s
Predeterminado: “%1$s@%2$s”.
lookup_family_order (cadena)
Valores soportados:
ipv4_first: Intenta buscar dirección IPv4, si falla, intenta IPv6
ipv4_only: Sólo intenta resolver nombres de host a direccones IPv4.
ipv6_first: Intenta buscar dirección IPv6, si falla, intenta IPv4
ipv6_only: Sólo intenta resolver nombres de host a direccones IPv6.
Predeterminado: ipv4_first
dns_resolver_timeout (entero)
Por favor vea la sección “RECUPERACIÓN DE FALLOS” para más información sobre la resolución del servicio.
Predeterminado: 6
dns_discovery_domain (cadena)
Predeterminado: Utilizar la parte del dominio del nombre de host del equipo
override_gid (entero)
case_sensitive (cadena)
True
False
Preserving
Predeterminado: True (False para proveedor AD)
subdomain_inherit (cadena)
ignore_group_members
ldap_purge_cache_timeout
ldap_use_tokengroups
ldap_user_principal
ldap_krb5_keytab (se deberá usar el valor de krb5_keytab si no se ha fijado explícitamente ldap_krb5_keytab)
Ejemplo:
subdomain_inherit = ldap_purge_cache_timeout
Predeterminado: none
Aviso: Esta opción solo trabaja con el proveedor IPA y AD.
subdomain_homedir (cadena)
%F
Este valor puede ser anulado por la opción override_homedir.
Por defecto: /home/%d/%u
realmd_tags (cadena)
cached_auth_timeout (entero)
Este valor de opción es heredado por todos los dominios de confianza. En este momento no es posible establecer un valor diferente por dominio de confianza.
El valor especial 0 implica que esta función está deshabilitada.
Por favor advierta que si “cached_auth_timeout” es mayor que “pam_id_timeout” el otro extremo podría ser llamado para gestionar “initgroups.”
Predeterminado: 0
auto_private_groups (cadena)
true
AVISO: Puesto que el número GID y el grupo privado de usuario se infieren de número UID, no está soportado tener múltiples entrada con los mismos UID o GID con esta opción. En otras palabras, habilitando esta opción se fuerza la unicidad den el espacio de ID.
false
hybrid
Si el UID y el GID de un usuario son diferentes, el GID debe corresponder a una entrada de grupo, de otro modo el GID simplemente no se puede resolver.
Esta característica es útil para entornos que desean parar manteniendo un grupo separado de objetos grupos para el usuario de grupos privados, pero también desea retener los grupos privados existentes del usuario.
Para subdominios el valor por defecto es False par subdominios que usan POSIX IDs asignados y True para subdominios que usan mapeo de ID automático.
El valor de auto_private_groups puede bien ser establecido por subdominios en una subsección, por ejemplo:
[domain/forest.domain/sub.domain] auto_private_groups = false
o globalmente para todos los subdominios en la sección principal dominio usando la opción subdomain_inherit:
[domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false
Opciones válidas para dominios proxy.
proxy_pam_target (cadena)
Por defecto: no se fija por defecto, usted tiene que coger una configuración pam existente o crear una nueva y añadir el nombre de servicio aquí.
proxy_lib_name (cadena)
proxy_fast_alias (booleano)
Predeterminado: false
proxy_max_children (entero)
Predeterminado: 10
Dominios de aplicaciones¶
SSSD, con su interfaz D-Bus (see sssd-ifp(5)) es atractivo para las aplicaciones como puerta de entrada a un directorio LDAP donde se almacenan usuarios y grupos. Sin embargo, de modo distinto al tradicional despliegue SSSD donde todos los usuarios y grupos bien tienen atributos POSIX o esos atributos se pueden inferir desde los Windows SIDs, en muchos casos los usuarios y grupos en el escenario de soporte de la aplicación no tienen atributos POSIX. En lugar de establecer una sección “[domain/NAME]”, el administrador puede configurar una sección “[application/NAME]” que internamente represente un dominio con un tipo “application” que opcionalmente herede ajustes de un dominio SSSD tradicional.
Por favor advierta que el dominio de aplicación debe aún ser habilitado explícitamente en el parámetros “domains” de modo que la orden de búsqueda entre el dominio de aplicación y su dominio POSIX hermano está establecido correctamente.
Parámetros de dominio de aplicación
inherit_from (cadena)
Por defecto: No definido
El siguiente ejemplo ilustra el uso de un dominio de aplicación. En este ajuste, el dominio POSIX está conectado a un servidor LDAP y se usa por el SO a través de un contestador NSS. Además, el dominio de aplicación también pide el atributo telephoneNumber, lo almacena como el atributo phone en la cache y hace al atributo phone alcanzable a través del interfaz D-Bus.
[sssd] domains = appdom, posixdom [ifp] user_attributes = +phone [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/appdom] inherit_from = posixdom ldap_user_extra_attrs = phone:telephoneNumber
La sección de dominio local¶
Esta sección contiene la configuración para dominio que almacena los usuarios y grupos en la base de datos SSSD nativa, es decir, un dominio que utiliza id_provider=local.
Parámetros de sección
default_shell (cadena)
Predeterminado: /bin/bash
base_directory (cadena)
Predeterminado: /home
create_homedir (bool)
Predeterminado: TRUE
remove_homedir (bool)
Predeterminado: TRUE
homedir_umask (entero)
Predeterminado: 077
skel_dir (cadena)
Predeterminado: /etc/skel
mail_dir (cadena)
Predeterminado: /var/mail
userdel_cmd (cadena)
Predeterminado: None, no se ejecuta comando
SECCIÓN DE DOMINIO DE CONFIANZA¶
Algunas opciones usadas en la sección dominio puede ser usadas también en la sección dominio de confianza, esto es, en una sección llamada“[domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]”. Donde DOMAIN_NAME es el dominio base real. Por favor vea los ejemplos de abajo para una explicación. Actualmente las opciones soportadas en la sección de dominio de confianza son:
ldap_search_base,
ldap_user_search_base,
ldap_group_search_base,
ldap_netgroup_search_base,
ldap_service_search_base,
ldap_sasl_mech,
ad_server,
ad_backup_server,
ad_site,
use_fully_qualified_names
Para más detalles sobre estas opciones vea su descripción individual en la página de manual.
SECCIÓN DE CONFIGURACIÓN INICIAL¶
Si existe un fichero especial(/var/lib/sss/pubconf/pam_preauth_available) el módulo PAM de SSSD pam_sss le pedirá a SSSD que descubra que métodos de autenticación están disponibles para el usuario que intenta iniciar sesión. En base a los resultados pam_sss pedirá al usuario las credenciales apropiadas.
Con el creciente número de métodos de autenticación kyh la posibilidad de que haya múltiples para un solo usuario la heurística usada por pam_sss podría no ser adecuada para todos los casos de uso. Las siguientes opciones suministrarían una mejor flexibilidad aquí.
Cada método de autenticación soportado tiene su propia subsección de configuración bajo “[prompting/...]”. Actualmente hay:
[prompting/password]
password_prompt
[prompting/2fa]
first_prompt
second_prompt
single_prompt
Es posible añadir una subsección para srvicios PAM especificos como e.g. “[prompting/password/sshd]” para cambio individual de la consulta para este servicio.
EJEMPLOS¶
1. El siguiente ejemplo muestra una configuración SSSD típica.No describe la configuración de los dominios en si mismos - vea la documentación sobre configuración de dominios para mas detalles.
[sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False
2. El siguiente ejemplo muestra la configuración de confianza IPA AD el bosque AD consta de dos dominios en una estructura padre-hijo. Supone que el dominio IPA (ipa.com) tiene confianza con el dominio AD (ad.com). ad.com tiene dominio hijo (child.ad.com). Para habilitar nombres cortos en el dominio hijo se debería usar la siguiente configuración.
[domain/ipa.com/child.ad.com] use_fully_qualified_names = false
VEA TAMBIEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)
AUTHORS¶
The SSSD upstream - https://pagure.io/SSSD/sssd/
01/23/2024 | SSSD |