SSSD.CONF(5) | Filformat och konventioner | SSSD.CONF(5) |
NAME¶
sssd.conf - konfigurationsfilen för SSSD
FILFORMAT¶
Filen har en syntax i ini-stil och består av sektioner och parametrar. En sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda parametrar:
[sektion] nyckel = värde nyckel2 = värde2,värde3
Datatyperna som används är sträng (inga citationstecken behövs) , heltal och bool (med värdena “TRUE/FALSE”).
En kommentarsrad börjar med ett nummertecken (“#”) eller ett semikolon (“;”). Kommentarer inom raden stödjs inte.
Alla sektioner kan valfritt ha en parameter description. Dess funktion är endast som en etikett för sektionen.
sssd.conf måste vara en normal fil, ägd av root och endast root får läsa från eller skriva till filen.
KONFIGURATIONSSNUTTAR FRÅN EN INCLUDE-KATALOG¶
Konfigurationsfilen sssd.conf kommer inkludiera konfigurationssnuttar från include-katalogen conf.d. Denna fuktion är tillgänglig om SSSD kompilerades med version 1.3.0 eller senare av libini.
Filer lagda i conf.d som slutar med “.conf” och inte börjar med en punkt (“.”) kommer användas tillsammans med sssd.conf för att konfigurera SSSD.
Konfigurationssnuttarna från conf.d har högre prioritet än sssd.conf och kommer åsidosätta sssd.conf när konflikter uppstår. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat på lokalen). Filer som inkluderas senare har högre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjälpa till att visualisera prioriteten (högre tals betyder högre prioritet).
Snuttfilerna behöver samma ägare och rättigheter som sssd.conf. Vilket som standard är root:root och 0600.
ALLMÄNNA FLAGGOR¶
Följande flaggor är användbara i mer än en konfigurationssektion.
Flaggor användbara i alla sektioner¶
debug_level (heltal)
Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.
In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.
Currently supported debug levels:
0, 0x0010: Fatal failures. Anything that would prevent SSSD from starting up or causes it to cease running.
1, 0x0020: Critical failures. An error that doesn't kill SSSD, but one that indicates that at least one major feature is not going to work properly.
2, 0x0040: Serious failures. An error announcing that a particular request or operation has failed.
3, 0x0080: Minor failures. These are the errors that would percolate down to cause the operation failure of 2.
4, 0x0100: Configuration settings.
5, 0x0200: Function data.
6, 0x0400: Trace messages for operation functions.
7, 0x1000: Trace messages for internal control functions.
8, 0x2000: Contents of function-internal variables that may be interesting.
9, 0x4000: Extremely low-level tracing information.
To log required bitmask debug levels, simply add their numbers together as shown in following examples:
Example: To log fatal failures, critical failures, serious failures and function data use 0x0270.
Example: To log fatal failures, configuration settings, function data, trace messages for internal control functions use 0x1310.
Note: The bitmask format of debug levels was introduced in 1.7.0.
Default: 0
debug (heltal)
debug_timestamps (bool)
Standard: true
debug_microseconds (bool)
Standard: false
Flaggor användbara i sektionerna SERVICE och DOMAIN¶
timeout (heltal)
Standard: 10
SPECIALSEKTIONER¶
Sektionen [sssd]¶
Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna hanteras av en speciell tjänst som ofta kallas “monitor”. Sektionen “[sssd]” används för att konfigurerara övervakaren såväl som andra viktiga alternativ som identitetsdomänerna.
Sektionsparametrar
config_file_version (heltal)
services
Tjänster som stödjs: nss, pam , sudo, autofs, ssh, pac, ifp
Som standard är alla tjänster avaktiverade och administratören måste aktivera de tillåtna genom att köra: ”systemctl enable sssd-@service@.socket".
reconnection_retries (heltal)
Standard: 3
domains
re_expression (sträng)
Varje domän kan ha ett eget reguljärt uttryck konfigurerat. Får några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om dessa reguljära uttryck.
full_name_format (sträng)
Följande utvidgningar stödjs:
%1$s
%2$s
%3$s
Varje domän kan ha en egen formatsträng konfigurerad. Får några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om detta alternativ.
try_inotify (boolean)
Det finns vissa situationer när det är att föredra att vi skall hoppa över att ens försöka att använda inotify. I dessa sällsynta fall skall detta alternativ sättas till ”false”
Standard: true på plattformar där inotify stödjs. False på andra plattformar.
Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify inte är tillgängligt. På dessa plattformar kommer pollning alltid användas.
krb5_rcache_dir (sträng)
Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för cachefilerna för återuppspelning.
Standard: distributionsspecifikt och anges vid byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat)
user (sträng)
Standard: inte angivet, processer kommer köra som root
default_domain_suffix (sträng)
Observera att om detta alternativ anges måste alla användare från den primära domänen använda sitt fullständigt kvalificerade namn, t.ex. användare@domän.namn, för att logga in. Att ange detta alternativ ändrar standardet på use_fully_qualified_names till True. Det är inte tillåtet att använda detta alternativ tillsammans med use_fully_qualified_names satt till False.
Standard: inte satt
override_space (sträng)
Observera att det är ett konfigurationsfel att använda ett ersättningstecken som kan användas i användar- eller gruppnamn. Om ett namn innehåller ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i allmänhet är resultatet av en uppslagning odefinierat.
Default: not set (blanka kommer inte ersättas)
certificate_verification (sträng)
no_ocsp
no_verification
ocsp_default_responder=URL
This option must be used together with ocsp_default_responder_signing_cert.
ocsp_default_responder_signing_cert=NAMN
Detta alternativ måste anges tillsammans med ocsp_default_responder.
Okända alternativ rapporteras men ignoreras.
Standard: inte satt, d.v.s begränsa inte certifikatverifieringen
disable_netlink (boolean)
Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga och kan avaktiveras genom att sätta detta alternativ till ”true”
Standard: false (netlink-förändringar detekteras)
enable_files_domain (boolean)
Standard: false
domain_resolution_order
Observera att när detta alternativ är satt är alltid utmatningsformatet för alla kommandon helt kvalificerat även när kortnamn används för indata, för alla användare utom de som hanteras av filleverantörer. Ifall administratören vill att utdata inte skall vara fullständigt kvalificerat kan alternativet full_name_format anges som visas nedan: “full_name_format=%1$s” Kom dock ihåg att under inloggningen kanoniserar inloggningsprogram ofta användarnamnet genom att anropa getpwnam(3) som, om ett kortnamn returneras för en kvalificerad inmatning (vid försök att nå en användare som finns i flera domäner) kan dirigera om inloggningsförsöket till domänen som använder kortnamn, vilket gör att denna metod absolut inte rekommenderas i fall där användarnamn kan överlappa mellan domäner.
Standard: inte satt
TJÄNSTESEKTIONER¶
Inställningar som kan användas för att konfigurera olika tjänster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, för tjänsten NSS skulle sektionen vara “[nss]”
Allmänna alternativ för tjänstekonfiguration¶
Dessa alternativ kan användas för att konfigurera alla tjänster.
reconnection_retries (heltal)
Standard: 3
fd_limit
Standard: 8192 (eller den ”hårda” gränsen i limits.conf)
client_idle_timeout
Standard: 60
offline_timeout (heltal)
offline_timeout + slumptillägg
Slumptillägget kan öka upp till 30 sekunder. Efter varje misslyckat försöka att koppla upp kalkyleras det nya intervallet om enligt följande:
nytt_intervall = gammalt_intervall⋅2 + slumptillägg
Observera att den maximala längden på varje intervall för närvarande är begränsat till en timma. Om den beräknade längden av nytt_intervall är större än en timma kommer det att tvingas tillbaka till en timma.
Standard: 60
responder_idle_timeout
Standard: 300
cache_first
Standard: false
NSS-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten Name Service Switch (NSS).
enum_cache_timeout (heltal)
Standard: 120
entry_cache_nowait_percentage (heltal)
Till exempel, om domänens entry_cache_timeout är satt till 30 s och entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering.
Giltiga värden för detta alternativ är 0-99 och representerar en procentsats av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. (0 avaktiverar denna funktion)
Standard: 50
entry_negative_timeout (heltal)
Standard: 15
local_negative_timeout (heltal)
Standard: 14400 (4 timmar)
filter_users, filter_groups (sträng)
OBS: alternativet filter_groups påverkar inte arvet av nästade gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvändarna i den senare listade.
Standard: root
filter_users_in_groups (bool)
Standard: true
override_homedir (string)
%u
%U
%d
%f
%l
%P
%o
%H
%%
Detta alternativ kan även sättas per domän.
exempel:
override_homedir = /home/%u
Default: Not set (SSSD will use the value retrieved from LDAP)
homedir_substring (string)
Default: /home
fallback_homedir (sträng)
De tillgängliga värdena för detta alternativ är samma som för override_homedir.
exempel:
fallback_homedir = /home/%u
Standard: inte satt (ingen ersättning för ej angivna hemkataloger)
override_shell (sträng)
Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP)
allowed_shells (sträng)
1. Om skalet finns i “/etc/shells” används det.
2. Om skalet finns i listan allowed_shells men inte i “/etc/shells”, använd värdet på parametern shell_fallback.
3. Om skalet inte finns i listan allowed_shells och inte i “/etc/shells” används ett nologin-skal.
Jokertecknet (*) kan användas för att tillåta godtyckligt skal.
(*) är användbart om du vill använda shell_fallback ifall den användarens skal inte finns i “/etc/shells” och att underhålla listan över alla skal i allowed_shells skulle vara för mycket overhead.
En tom sträng som skal skickas som den är till libc.
“/etc/shells” läses bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behövs ifall ett nytt skal installeras.
Standard: inte satt. Användarens skal används automatiskt.
vetoed_shells (sträng)
shell_fallback (sträng)
Standard: /bin/sh
default_shell
Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh)
get_domains_timeout (heltal)
Standard: 60
memcache_timeout (heltal)
Standard: 300
VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ påverkan på SSSDs prestanda och skall bara användas för testning.
OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.
user_attributes (sträng)
För att förenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-altenativet om det inte är satt för NSS-respondenten.
Standard: inte satt, gåtillbaka till InfoPipe-alternativet
pwfield (sträng)
Detta alternativ kan även sättas per domän.
Standard: “*” (fjärrdomäner) eller “x” (fildomänerna)
PAM-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten Pluggable Authentication Module (PAM).
offline_credentials_expiration (heltal)
Standard: 0 (ingen gräns)
offline_failed_login_attempts (heltal)
Standard: 0 (ingen gräns)
offline_failed_login_delay (heltal)
Om satt till 0 kan inte användaren autentisera om offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen.
Standard: 5
pam_verbosity (heltal)
För närvarande stödjs följande värden:
0: visa inte några meddelanden
1: visa endast viktiga meddelanden
2: visa informationsmeddelanden
3: visa alla meddelanden och felsökningsinformation
Standard: 1
pam_response_filter (heltal)
Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity gör detta alternativ att man kan filtrera ut andra sorters svar dessutom.
För närvarande dtldjs följande filter:
ENV
ENV:varnamn
ENV:varnamn:tjänst
Standard: inte satt
Example: ENV:KRB5CCNAME:sudo-i
pam_id_timeout (heltal)
En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom hantering av konto och öppning av en session. Detta alternativ styr (på per-klientprogrambasis) hur länge (i sekunder) vi kan cacha identitetsinformationen för att undvika överdrivna rundturer till identitetsleverantören.
Standard: 5
pam_pwd_expiration_warning (heltal)
Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning.
Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.
Denna inställning kan åsidosättas genom att sätta pwd_expiration_warning för en viss domän.
Standard: 0
get_domains_timeout (heltal)
Standard: 60
pam_trusted_users (sträng)
Standard: alla användare betraktas som betrodda som standard
Observera att UID 0 alltid tillåts komma åt PAM-respondenten även ifall den inte är i listan pam_trusted_users.
pam_public_domains (sträng)
Två speciella värden för alternativet pam_public_domains är definierade:
all (Ej betrodda användare tillåts komma åt alla domäner i PAM-respondenten.)
none (Ej betrodda användare tillåts inte att komma åt några domäner i PAM-respondenten.)
Standard: none
pam_account_expired_message (sträng)
Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om inte pam_verbosity är satt till 3 (visa alla meddelanden och felsökningsinformation).
exempel:
pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten.
Standard: none
pam_account_locked_message (sträng)
exempel:
pam_account_locked_message = Kontot är låst, kontakta kundtjänsten.
Standard: none
pam_cert_auth (bool)
Default: False
pam_cert_db_path (sträng)
Standard:
Denna manualsida genererades för NSS-versionen.
p11_child_timeout (heltal)
Standard: 10
pam_app_services (sträng)
Standard: inte satt
pam_p11_allowed_services (heltal)
Det är möjligt att lägga till ett annat PAM-tjänstnamn till standarduppsättninge genom att använda “+tjänstenamn” eller att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen genom att använda “-tjänstenamn”. Till exempel, för att byta ut ett standard-PAM-tjänstenamn för autentisering med smarta kort (t.ex. “login”) mot ett anpassat PAM-tjänstenamn (t.ex. “min_pam-tjänst”) skulle man använda följande konfiguration:
pam_p11_allowed_services = +min_pam-tjänst, -login
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
SUDO-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten sudo. De detaljerade instruktionerna för konfiguration av sudo(8) för att fungera med sssd(8) finns i manualsidan sssd-sudo(5).
sudo_timed (bool)
Standard: false
sudo_threshold (heltal)
Standard: 50
AUTOFS-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten autofs.
autofs_negative_timeout (heltal)
Standard: 15
Please note that the automounter only reads the master map on startup, so if any autofs-related changes are made to the sssd.conf, you typically also need to restart the automounter daemon after restarting the SSSD.
SSH-konfigurationsalternativ¶
Dessa alternativ kan användas för att konfigurera tjänsten SSH.
ssh_hash_known_hosts (bool)
Standard: true
ssh_known_hosts_timeout (heltal)
Standard: 180
ssh_use_certificate_keys (bool)
Standard: true
ca_db (sträng)
Standard:
Denna manualsida genererades för NSS-versionen.
PAC-respondentskonfigurationsalternativ¶
PAC-respondenten fungerar tillsammans med insticksmodulen för auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en underdomänsleverantör. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar domän-SID och ID-intervall för domänen klienten går med i och från betrodda domäner från den lokala domänhanteraren. Om PAC:en är avkodad och och beräknad kommer några av följande operationer att göras:
Dessa alternativ kan användas för att konfigurera PAC-respondenten.
allowed_uids (sträng)
Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten)
Observera att även om UID 0 används som standard kommer det att skrivas över av detta alternativ. Om du fortfarande vill tillåta root-användaren att komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även 0 i listan av tillåtna UID:er.
pac_lifetime (heltal)
Standard: 300
Konfigurationsalternatvi för inspelning av sessioner¶
Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, för att logga vad användaren ser och skriver när de är inloggade på en textterminal. Se även sssd-session-recording(5).
Dessa alternativ kan användas för att konfigurera inspelning av sessioner.
scope (sträng)
”none”
”some”
”all”
Standard: ”none”
users (sträng)
Default: Tomt. Matchar inte några användare.
groups (sträng)
OBSERVERA: att använda dettta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.
Standard: Tom. Matchar inga grupper.
DOMÄNSEKTIONER¶
Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, det vill säga en sektion som heter “[domain/NAMN]”
domain_type (sträng)
Tillåtna värden på detta alternativ är “posix” och “application”.
POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten.
OBSERVERA: Programdomänerna är för närvarande bara vältestade med “id_provider=ldap”.
För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet “Programdomäner”.
Standard: posix
min_id,max_id (heltal)
För användare påverkar detta gränsen för den primara GID:n. Användaren kommer inte returneras till NSS om antingen UID:n eller den primära GID:n ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som ligger i intervallet rapporteras som förväntat.
Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast när de returneras via namn eller ID.
Standard: 1 för min_id, 0 (ingen gräns) för max_id
enumerate (bool)
TRUE = Användare och grupper räknas upp
FALSE = Inga uppräkningar för denna domän
Standard: FALSE
Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och grupposter från fjärrservern.
Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD medan uppräkningen pågor. Det kan ta upp till flera minuter efter att SSSD startat upp för att helt fullborda uppräkningar. Under denna tid kommer enskilda begäranden om information att gå direkt till LDAP, fast det kan vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att spara ett stort antal poster i cachen efter att uppräkningen är klar kan också vara CPU-intensivt eftersom medlemsskap måste beräknas om. Detta kan leda till att processen “sssd_be” blir oåtkomlig eller till och med startas om av den interna vakthunden.
Medan den första uppräkningen körs kan begäranden om den fullständiga användar- eller grupplistan returnera utan resultat tills den är färdig.
Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka urkoppling av nätverk, eftersom längre tidsgränser behövs för att säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer information, se manualsidorna för den specifika id-leverantören som används.
Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i stora miljöer.
subdomain_enumerate (sträng)
all
none
Om så önskas kan en lista med en eller flera domännamn aktivera uppräkning bara för dessa betrodda domäner.
Standard: none
entry_cache_timeout (heltal)
Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast effekt för nyligen tillagda eller utgånga poster. Du skall köra verktyget sss_cache(8) för att tvinga fram en uppdatering av poster som redan har cachats.
Standard: 5400
entry_cache_user_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_group_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_netgroup_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_service_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_sudo_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_autofs_timeout (heltal)
Standard: entry_cache_timeout
entry_cache_ssh_host_timeout (heltal)
Standard: entry_cache_timeout
refresh_expired_interval (heltal)
The background refresh will process users, groups and netgroups in the cache. For users who have performed the initgroups (get group membership for user, typically ran at login) operation in the past, both the user entry and the group membership are updated.
This option is automatically inherited for all trusted domains.
Du kan överväga att sätta detta värde till ¾ ⋅ entry_cache_timeout.
Standard: 0 (avaktiverat)
cache_credentials (bool)
Användarkreditiv sparas i en SHA512-kontrollsumma, inte i klartext
Standard: FALSE
cache_credentials_minimal_first_factor_length (heltal)
Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande attacker.
Standard: 8
account_cache_expiration (heltal)
Standard: 0 (obegränsat)
pwd_expiration_warning (heltal)
Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.
Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning. Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden.
Standard: 7 (Kerberos), 0 (LDAP)
id_provider (sträng)
“proxy”: Stöd en tidigare NSS-leverantör.
“local”: SSSD:s interna leverantör för lokala användare (FÖRÅLDRAT).
“files”: FIL-leverantör. Se sssd-files(5) för mer information om hur lokala användare och grupper kan speglas in i SSSD.
“ldap”: LDAP-leverantör. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
use_fully_qualified_names (bool)
Om satt till TRUE måste alla begäranden till denna domän använda fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL som innehåller en användare ”test”, skulle getent passwd test inte hitta användaren medan getent passwd test@LOKAL skulle det.
OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på grund av deras tendens att innehålla nästlade nätgrupper utan kvalificerade namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat namn begärs.
Standard: FALSE (TRUE om default_domain_suffix används)
ignore_group_members (bool)
Om satt till TRUE begärs inte attributet gruppmedlemsskap från ldap-servern, och gruppmedlemmar retuneras inte vid behandling av gruppuppslagningsanrop, såsom getgrnam(3) eller getgrgid(3). Som en effekt skulle “getent group $groupname” returnera den begärda gruppen som om den vore tom.
Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som innehåller många medlemmar.
Standard: FALSE
auth_provider (sträng)
“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“krb5” för Kerberosautentisering. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“proxy” för att skicka vidare autentiseringen till något annat PAM-mål.
“local”: SSSD:s interna leverantör för lokala användare.
“none” avaktiverar explicit autentisering.
Standard: “id_provider” används om det är satt och kan hantera autentiseringsbegäranden.
access_provider (sträng)
“permit” tillåt alltid åtkomst. Det är den enda tillåtna åtkomstleverantören för en lokal domän.
“deny” neka alltid åtkomst.
“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“simple” åtkomstkontroll baserat på åtkomst- eller nekandelistor. Se sssd-simple(5) för mer information om att konfigurera åtkomstmodulen simple.
“krb5”: .k5login-baserad åtkomstkontroll. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“proxy” för att skicka vidare åtkomstkontroll till någon annam PAM-modul.
Standard: “permit”
chpass_provider (sträng)
“ldap” för att ändra lösenord lagrade i en LDAP-server. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“krb5” för att ändra Kerberoslösenordet. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.
“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.
“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.
“proxy” för att skicka vidare lösenordsändringar till något annat PAM-mål.
“none” tillåter uttryckligen inte lösenordsändringar..
Standard: “auth_provider” används om det är satt och kan hantera begäranden om ändring av lösenord.
sudo_provider (sträng)
“ldap” för regler lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa” samma som “ldap” men med standandardsinställningar för IPA.
“ad” samma som “ldap” men med standandardsinställningar för AD.
“none” avaktiverar explicit SUDO.
Standard: värdet på “id_provider” används om det är satt.
De detaljerade instruktionerna för att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns många konfigurationsalternativ som kan användas för att justera beteendet. Se ”ldap_sudo_*” i sssd-ldap(5).
OBSERVERA: Sudo-regler hämtas periodiskt i bakgrunden om inte sudo-leverantören uttryckligen avaktiverats. Ange sudo_provider = None för att avatkivera all sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls.
selinux_provider (sträng)
“ipa” för att läsa in selinux-inställningar från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“none” tillåter uttryckligen inte att hämta selinux-inställningar.
Standard: “id_provider” används om det är satt och kan hantera begäranden om inläsning av selinux.
subdomains_provider (sträng)
“ipa” för att läsa in en lista av underdomäner från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“ad” för att läsa in en lista av underdomäner från en Active Directory-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.
“none” tillåter uttryckligen inte att hämta underdomäner.
Standard: värdet på “id_provider” används om det är satt.
session_provider (sträng)
“ipa” för att utföra uppgifter relaterade till användarsessioner.
“none” utför inte någon sorts uppgifter relaterade till användarsessioner.
Standard: “id_provider” används om det är satt och kan iygäts sessionsrelaterade uppgifter.
OBSERVERA: För att denna funktion skall fungera som förväntat måste SSSD köra som ”root” och inte som den opriviligierade användaren.
autofs_provider (sträng)
“ldap” för att läsa mappar lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.
“ipa” för att läsa mappar lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“ad” för att läsa mappar lagrade i en AD-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.
“none” avaktiverar explicit autofs.
Standard: värdet på “id_provider” används om det är satt.
hostid_provider (sträng)
“ipa” för att läsa värdidentiteter lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.
“none” avaktiverar explicit värd-id:n.
Standard: värdet på “id_provider” används om det är satt.
re_expression (sträng)
Standard för leverantörerna AD och IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” vilket tillåter tre olika stilar av användarnamn:
Medan de första två motsvarar det allmänna standardfallet introduceras den tredje för att tillåta enkel integration av användare från Windows-domäner.
Standard: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” vilket kan översättas till ”namnet är allting fram till tecknet “@”, sedan är domänen allting efter det”
OBS: några Active Directory-grupper, typiskt de som används för MS Exchange innehåller ett “@”-tecken i namnet, vilket kolliderar med standardvärdet på re_expression för AD- och IPA-leverantörer. Överväg för att stödja dessa grupper att ändra värdet på re_expression till: “((?P<name>.+)@(?P<domain>[^@]+$))”.
full_name_format (sträng)
Följande utvidgningar stödjs:
%1$s
%2$s
%3$s
Standard: “%1$s@%2$s”.
lookup_family_order (sträng)
Värden som stödjs:
ipv4_first: Försök slå up IPv4-adresser, om det misslyckas, prova IPv6
ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser.
ipv6_first: Försök slå up IPv6-adresser, om det misslyckas, prova IPv4
ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser.
Standard: ipv4_first
dns_resolver_timeout (heltal)
Se avsnittet “RESERVER” för mer information om tjänstevalet.
Standard: 6
dns_discovery_domain (sträng)
Standard: använd domändelen av maskinens värdnamn
override_gid (heltal)
case_sensitive (sträng)
True
False
Preserving
Standard: True (False för AD-leverantören)
subdomain_inherit (sträng)
ignore_group_members
ldap_purge_cache_timeout
ldap_use_tokengroups
ldap_user_principal
ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte ldap_krb5_keytab sätts särskilt)
Exempel:
subdomain_inherit = ldap_purge_cache_timeout
Standard: none
Observera: detta alternativ fungerar endast med leverantörerna IPA och AD.
subdomain_homedir (sträng)
%F
Värdet kan åsidosättas av alternativet override_homedir.
Standard: /home/%d/%u
realmd_tags (sträng)
cached_auth_timeout (heltal)
Detta alternativs värde ärvs av alla betrodda domäner. För närvarande är det inte möjligt att ange olika värden för varje betrodd domän.
Specialvärdet 0 betyder att denna funktion är avaktiverad.
Observera att om “cached_auth_timeout” är längre än “pam_id_timeout” kan bakänden anropas för att hantera “initgroups.”
Standard: 0
auto_private_groups (sträng)
true
OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från UID-numret stödjs det inte att ha flera poster med samma UID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer över hela ID-rymden.
false
hybrid
Om användarens UID och GID är olika måste GID:t motsvara en gruppost, annars kan GID:t helt enkelt inte slås upp.
Denna funktion är användbar i miljöer som vill sluta underhålla separata gruppobjekt för användares privata grupper, men även vill behålla de befintliga användarnas privata grupper.
För underdomäner är standardvärdet False för underdomäner som använder tilldeliade POSIX ID:n och True för underdomäner som använder automatisk ID-översättning.
Värdet på auto_private_groups kan antingen anges per underdomän i en undersektion, till exempel:
[domain/forest.domain/sub.domain] auto_private_groups = false
eller globalt för alla underdomäner i huvuddomänavsnittet genom att använda alternativet subdomain_inherit:
[domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false
Giltiga alternativ för proxy-domäner.
proxy_pam_target (sträng)
Standard: inte satt som standard, du måste ta en befintlig pam-konfiguration eller skapa en ny och lägga till tjänstenamnet här.
proxy_lib_name (sträng)
proxy_fast_alias (boolean)
Standard: false
proxy_max_children (heltal)
Standard: 10
Programdomäner¶
SSSD, med sitt D-Bus-gränssnitt (se sssd-ifp(5)) är tilltalande för program som en portgång till en LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den traditionella SSSD-installationen där alla användare och grupper antingen har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, har i många fall användarna och grupperna i programstödsscenariot inga POSIX-attribut. Istället för att göra en sektion “[domain/NAMN]” kan administratören skapa en sektion “[application/NAMN]” som internt representerar en domän med typen “application” och eventuellt ärver inställningar från en traditionell SSSD-domän.
Observera att programdomänen måste fortfarande uttryckligen aktiveras i parmametern “domains” så att uppslagningsordningen mellan programdomänen och dess POSIX-syskondomän sätts korrekt.
Programdomänparametrar
inherit_from (sträng)
Standard: inte satt
Följande exempel illustrerar användningen av en programdomän. I denna uppsättning är POSIX-domänen kopplad till en LDAP-server och används av OS:et via NSS-respondenten. Dessutom,begär programdomänen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gör attributet telefon nåbart via D-Bus-gränssnittet.
[sssd] domains = progdom, posixdom [ifp] user_attributes = +telefon [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/progdom] inherit_from = posixdom ldap_user_extra_attrs = telefon:telephoneNumber
Den lokala domänsektionen¶
Denna sektion innehåller inställningar för domänen som lagrar användare och grupper i SSSD:s egna databas, det vill säga, en domän som använder id_provider=local.
Sektionsparametrar
default_shell (sträng)
Standard: /bin/bash
base_directory (sträng)
Standard: /home
create_homedir (bool)
Standard: TRUE
remove_homedir (bool)
Standard: TRUE
homedir_umask (heltal)
Standard: 077
skel_dir (sträng)
Standard: /etc/skel
mail_dir (sträng)
Standard: /var/mail
userdel_cmd (sträng)
Standard: Inget, inget kommando körs
SEKTIONEN BETRODDA DOMÄNER¶
Några alternativ som används i domänsektionen kan även användas i sektionen för betrodda domäner, det vill säga, i en sektion som heter “[domain/DOMÄNNAMN/NAMN_PÅ_BETRODD_DOMÄN]”. Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel nedan för förklaring. För närvarande stödda alternativ i sektionen för betrodda domäner är:
ldap_search_base,
ldap_user_search_base,
ldap_group_search_base,
ldap_netgroup_search_base,
ldap_service_search_base,
ldap_sasl_mech,
ad_server,
ad_backup_server,
ad_site,
use_fully_qualified_names
För fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan.
SEKTIONEN FÖR FRÅGEKONFIGURATION¶
Om en särskild fil (/var/lib/sss/pubconf/pam_preauth_available) finns kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda på vilka autentiseringsmetoder som är tillgängliga för användren som försöker logga in. Baserat på resultatet kommer pam_sss fråga användaren efter tillämpliga kreditiv.
Med det växande antalet autentiseringsmetoder och möjligheten att det finns flera olika för en enskild användare kan det hända att heurestiken som används av pam_sss för att välja fråga inte är lämplig för alla användarfall. Följande alternativ bör ge en bättre flexibilitet här.
Varje autentiseringsmetod som stödjs har sin ege konfigurationsundersektion under “[prompting/...]”. För närvarande finns det:
[prompting/password]
password_prompt
[prompting/2fa]
first_prompt
second_prompt
single_prompt
Det är möjligt att lägga till en undersektion för specifika PAM-tjänster som t.ex. “[prompting/password/sshd]” för att ändra frågorna enskild för denna tjänst.
EXEMPEL¶
1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av själva domänerna – se dokumentationen om att konfigurera domäner för fler detaljer.
[sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False
2. Följande exempel visar konfigurationen av IPA AD-förtroende i en förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera kortnamn i barndomänen skall följande konfiguration användas.
[domain/ipa.se/barn.ad.se] use_fully_qualified_names = false
SEE ALSO¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5),sssd-secrets(5),sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8),sssd-ifp(5),pam_sss(8). sss_rpcidmapd(5)sssd-systemtap(5)
AUTHORS¶
SSSD uppströms – https://pagure.io/SSSD/sssd/
01/23/2024 | SSSD |