Das Format der URI muss dem in RFC 2732 definierten Format entsprechen:

ldap[s]://<Rechner>[:Port]

Wenn Sie explizit IPv6-Adressen verwenden möchten, muss <Rechner> in eckigen Klammern [] stehen.

Beispiel: ldap://[fc00::126:25]:389

Um die Dienstsuche zu aktivieren, muss »ldap_chpass_dns_service_name« gesetzt sein.

Voreinstellung: leer, d.h., dass »ldap_uri« benutzt wird

Beginnend mit SSSD 1.7.0 unterstützt SSSD mehrere Suchgrundlagen mittels der Syntax:

search_base[?Gültigkeitsbereich?[Filter][?search_base?Gültigkeitsbereich?[Filter]]*]

Der Gültigkeitsbereich kann entweder »base«, »onelevel« oder »subtree« sein.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele:

ldap_search_base = dc=example,dc=com (dies entspricht) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=Beispiel,dc=com?Unterverzeichnis?(host=Dieser_Rechner)?dc=example.com?Unterverzeichnis?

Hinweis: Mehrere Suchgrundlagen, die sich auf Objekte mit gleichem Namen beziehen, werden nicht unterstützt (zum Beispiel Gruppen mit demselben Namen in zwei unterschiedlichen Suchgrundlagen). Dies wird zu unvorhersehbarem Verhalten auf Client-Rechnern führen.

Voreinstellung: Falls nicht gesetzt, wird der Wert der Attribute »defaultNamingContext« oder »namingContexts« vom RootDSE des LDAP-Servers benutzt. Falls »defaultNamingContext« nicht existiert oder ihr Wert leer ist, wird »namingContexts« verwendet. Das Attribut »namingContexts« muss einen einzelnen Wert mit dem Domain-Namen der Suchgrundlage des LDAP-Servers haben, damit dies funktioniert. Mehrere Werte werden nicht unterstützt.

Derzeit werden vier Schematypen unterstützt:

Der Hauptunterschied zwischen diesen Schematypen besteht darin, wie Gruppenmitgliedschaften auf dem Server aufgezeichnet werden. Mit »rfc2307« werden Gruppenmitglieder nach Namen im Attribut memberUid aufgeführt. Mit »rfc2307bis« bis »IPA« werden die Gruppenmitglieder nach Domain-Namen aufgeführt und im Attribut member gespeichert. Der Schematyp »AD« setzt die Attribute passend zu den Werten von Active Directory 2008r2.

Voreinstellung: rfc2307

Two modes are currently supported:

Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.

Default: exop

Die beiden derzeit unterstützten Mechanismen sind:

password

obfuscated_password

Voreinstellung: password

Voreinstellung: posixAccount

Default: uid (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

Voreinstellung: uidNumber

Voreinstellung: gidNumber

Default: unset (LDAP), primaryGroupID (AD)

Voreinstellung: gecos

Voreinstellung: homeDirectory

Voreinstellung: loginShell

Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA

Default: objectSid for ActiveDirectory, not set for other servers.

Voreinstellung: modifyTimestamp

Voreinstellung: shadowLastChange

Voreinstellung: shadowMin

Voreinstellung: shadowMax

Voreinstellung: shadowWarning

Voreinstellung: shadowInactive

Voreinstellung: shadowExpire

Voreinstellung: krbLastPwdChange

Voreinstellung: krbPasswordExpiration

Voreinstellung: accountExpires

Voreinstellung: userAccountControl

Voreinstellung: nsAccountLock

Voreinstellung: loginDisabled

Voreinstellung: loginDisabled

Voreinstellung: loginAllowedTimeMap

Voreinstellung: krbPrincipalName

Die Liste kann entweder nur Namen von LDAP-Attributen enthalten, oder durch Doppelpunkte getrennte Tupel aus Attributnamen des SSSD-Zwischenspeichers und Namen von LDAP-Attributen. Wenn nur die Namen von LDAP-Attributen angegeben werden, wird das Attribut unverändert im Zwischenspeicher gespeichert. Die Verwendung eines benutzerdefinierten SSSD-Attributnamens kann in Umgebungen notwendig sein, in denen mehrere SSSD-Domains mit unterschiedlichen LDAP-Schemata eingerichtet sind.

Bitte beachten Sie, dass diverse Attributnamen durch SSSD reserviert sind, beispielsweise das Attribut “name”. SSSD würde einen Fehler melden, falls eines der reservierten Attribute als zusätzlicher Attributname verwendet wird.

Beispiele:

ldap_user_extra_attrs = telephoneNumber

Speichert das Attribut “telephoneNumber” von LDAP als “telephoneNumber” im Zwischenspeicher.

ldap_user_extra_attrs = phone:telephoneNumber

Speichert das Attribut “telephoneNumber” von LDAP als “phone” im Zwischenspeicher.

Voreinstellung: nicht gesetzt

Default: sshPublicKey

Voreinstellung: »false«

Voreinstellung: 300

Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.

Voreinstellung: 0 (deaktiviert)

Voreinstellung: cn

Voreinstellung: memberOf

Ein explizites Verweigern (»!svc«) wird zuerst aufgelöst. Als Zweites sucht SSSD eine explizite Erlaubnis (»svc«) und zuletzt nach »allow_all« (*).

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »authorized_service« enthalten muss, damit die Option »ldap_user_authorized_service« funktioniert.

Voreinstellung: authorizedService

Ein explizites Verweigern (»!host«) wird zuerst aufgelöst. Als Zweites sucht SSSD eine explizite Erlaubnis (»host«) und zuletzt nach »allow_all« (*).

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »host« enthalten muss, damit die Option »ldap_user_authorized_host« funktioniert.

Voreinstellung: host

An explicit deny (!rhost) is resolved first. Second, SSSD searches for explicit allow (rhost) and finally for allow_all (*).

Please note that the ldap_access_order configuration option must include “rhost” in order for the ldap_user_authorized_rhost option to work.

Default: rhost

Default: userCertificate;binary

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

Default: mail

Voreinstellung: posixGroup

Default: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

Voreinstellung: gidNumber

Voreinstellung: memberuid (rfc2307) / member (rfc2307bis)

Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA

Default: objectSid for ActiveDirectory, not set for other servers.

Voreinstellung: modifyTimestamp

Dieses Attribut wird derzeit nur vom AD-Anbieter verwendet, um zu ermitteln, ob eine Gruppe eine lokale Domain-Gruppe ist und aus den vertrauenswürdigen Domains herausgefiltert werden sollte.

Default: groupType in the AD provider, otherwise not set

Default: ipaExternalMember in the IPA provider, otherwise unset.

Hinweis: Diese Option gibt die garantierte Tiefe verschachtelter Gruppen an, die bei Suchvorgängen verarbeitet werden soll. Dennoch können auch tiefer verschachtelte Gruppen einbezogen werden, falls bei früheren Suchvorgängen die tieferen Ebenen bereits einmal berücksichtigt wurden. Außerdem können folgende Suchvorgänge für andere Gruppen die Ergebnisse des ursprünglichen Suchvorgangs vergrößern, wenn die Suche erneut erfolgt.

If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using “id_provider=ad” it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.

Voreinstellung: 2

In most common cases, it is best to leave this option disabled. It generally only provides a performance increase on very complex nestings.

If this option is enabled, SSSD will use it if it detects that the server supports it during initial connection. So "True" here essentially means "auto-detect".

Note: This feature is currently known to work only with Active Directory 2008 R1 and later. See MSDN(TM) documentation[1] for more details.

Voreinstellung: False

If this option is enabled, SSSD will use it if it detects that the server supports it during initial connection. So "True" here essentially means "auto-detect".

Note: This feature is currently known to work only with Active Directory 2008 R1 and later. See MSDN(TM) documentation[1] for more details.

Voreinstellung: False

Default: True for AD and IPA otherwise False.

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_object_class« benutzt werden.

Voreinstellung: nisNetgroup

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_name« benutzt werden.

Voreinstellung: cn

Beim IPA-Anbieter sollte stattdessen »ipa_netgroup_member« benutzt werden.

Voreinstellung: memberNisNetgroup

Diese Option ist für IPA-Anbieter nicht verfügbar.

Voreinstellung: nisNetgroupTriple

Diese Option ist für IPA-Anbieter nicht verfügbar.

Voreinstellung: modifyTimestamp

Voreinstellung: ipService

Voreinstellung: cn

Default: fqdn

Default: serverHostname

Voreinstellung: memberOf

Informationen über das Konfigurieren mehrerer Suchgrundlagen finden Sie unter »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Default: sshPublicKey

Voreinstellung: nicht gesetzt

Voreinstellung: ipService

Voreinstellung: cn

Voreinstellung: ipServicePort

Voreinstellung: ipServiceProtocol

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

Hinweis: Diese Option ist in zukünftigen Versionen von SSSD Gegenstand von Änderungen. Sie wird wahrscheinlich an einigen Stellen durch Serien von Zeitüberschreitungspunkten für spezielle Nachschlagetypen ersetzt.

Voreinstellung: 6

Voreinstellung: 60

Voreinstellung: 6

Voreinstellung: 6

Voreinstellung: 900 (15 Minuten)

Voreinstellung: 1000

Beispiel: OpenLDAP-Server, bei denen das Seitenadressierungssteuerungsmodul installiert, aber nicht aktiviert ist, werden es im RootDSE melden, sind aber nicht in der Lage, es zu benutzen.

Beispiel: 389 DS hat einen Fehler, durch den es gleichzeitig nur eine einzige Seitenadressierungssteuerung für eine einzelne Verbindung benutzen kann. Bei ausgelasteten Clients kann dies dazu führen, dass manche Anfragen abgelehnt werden.

Voreinstellung: False

Active Directory begrenzt die Anzahl der Mitglieder, die in einem einzigen Nachschlagen mittels der MaxValRange-Richtlinie empfangen werden können (die Voreinstellung sind 1.500 Mitglieder). Falls eine Gruppe mehr Mitglieder enthält, wird die Antwort eine AD-spezifische Bereichserweiterung enthalten. Diese Option deaktiviert das Auswerten der Bereichserweiterung, daher wird es so aussehen, als ob große Gruppen keine Mitglieder hätten.

Voreinstellung: False

Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.

Dereferenzierendes Nachschlagen ist ein Mittel, um alle Gruppenmitglieder in einem einzigen LDAP-Aufruf abzuholen. Verschiedene LDAP-Server können unterschiedliche Methoden zum Dereferenzieren implementieren. Die derzeit unterstützten Server sind 389/RHDS, OpenLDAP und Active Directory.

Hinweis: Falls eine der Suchgrundlagen einen Suchfilter angibt, wird die Verbesserung der Leistung beim dereferenzierenden Nachschlagen ohne Rücksicht auf die Einstellung deaktiviert.

Voreinstellung: 10

never = Der Client wird kein Server-Zertifikat prüfen oder anfordern.

allow = Das Server-Zertifikat wird angefordert. Falls kein Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird es ignoriert und die Sitzung fährt normal fort.

try = Das Server-Zertifikat wird angefordert. Falls das Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

demand = Das Server-Zertifikat wird angefordert. Falls kein oder ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

hard = entspricht »demand«

Voreinstellung: hard

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

Voreinstellung: nicht gesetzt

Voreinstellung: nicht gesetzt

Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

Voreinstellung: »false«

Derzeit unterstützt diese Funktionalität nur das Abbilden von Active-Directory-ObjectSIDs.

Voreinstellung: »false«

Voreinstellung: nicht gesetzt (beide Optionen sind auf 0 gesetzt)

If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in sssd.conf(5) for details.

Voreinstellung: nicht gesetzt

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*


                            

If none of them are found, the first principal in keytab is returned.

Voreinstellung Rechner/MeinRechner@BEREICH

Voreinstellung: der Wert von »krb5_realm«

Voreinstellung: false;

Voreinstellung: Keytab des Systems, normalerweise /etc/krb5.keytab

Voreinstellung: »true«

Voreinstellung: 86400 (24 Stunden)

Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf _tcp aus.

Diese Option hieß in früheren Veröffentlichungen von SSSD »krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von »krb5_server« zu migrieren.

Voreinstellung: Systemvoreinstellungen, siehe /etc/krb5.conf

Voreinstellung: »false«

Weitere Informationen über die Locator-Erweiterung finden Sie auf der Handbuchseite sssd_krb5_locator_plugin(8).

Voreinstellung: »true«

none – keine Client-seitige Abschätzung. Diese Option kann keine Server-seitigen Passwortregelwerke deaktivieren.

shadow – benutzt Attribute im Stil von shadow(5), um abzuschätzen, ob das Passwort erloschen ist.

mit_kerberos – verwendet die von MIT Kerberos benutzten Attribute, um zu bestimmen, ob das Passwort erloschen ist. Verwenden Sie »chpass_provider=krb5«, um diese Attribute zu aktualisieren, wenn das Passwort geändert wurde.

Voreinstellung: none

Hinweis: Falls serverseitig eine Passwortregel konfiguriert ist, hat diese stets Vorrang vor der mit dieser Option festgelegten Regel.

Bitte beachten Sie, dass SSSD nur Verweisverfolgung unterstützt, falls es mit OpenLDAP Version 2.4.13 oder höher kompiliert wurde.

Verweisverfolgungen können in Umgebungen, die ausgiebig von ihnen Gebrauch machen, einen Leistungsnachteil erleiden, ein beachtenswertes Beispiel ist Microsoft Active Directory. Falls ihre Installation Verweisverfolgungen nicht tatsächlich benötigt, könnte diese Option auf »false« zu setzen eine merkliche Leistungsverbesserung bringen.

Voreinstellung: »true«

Voreinstellung: ldap

Voreinstellung: nicht gesetzt, d.h. Dienstsuche ist deaktiviert

Voreinstellung: False

Beispiel:

access_provider = ldap
ldap_access_filter = (employeeType=admin)


                        

In diesem Beispiel wird der Zugriff auf diesen Host auf jene Benutzer beschränkt, deren employeeType-Attribut auf »admin« gesetzt ist.

Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.

Voreinstellung: leer

Bitte beachten Sie, dass die Server-seitige Zugriffssteuerung generell empfohlen wird, d.h. der LDAP-Server sollte die Bind-Abfrage sogar dann mit einem geeigneten Fehlercode zurückweisen, wenn das Passwort korrekt ist.

Die folgenden Werte sind erlaubt:

shadow: verwendet den Wert von »ldap_user_shadow_expire«, um zu bestimmen, ob das Konto abgelaufen ist.

ad: verwendet den Wert des 32-Bit-Felds »ldap_user_ad_user_account_control« und ermöglicht den Zugriff, falls das zweite Bit nicht gesetzt ist. Falls das Attribut fehlt, wird Zugriff gewährt. Außerdem wird die Ablaufzeit des Kontos geprüft.

rhds, ipa, 389ds: verwenden den Wert von »ldap_ns_account_lock«, um zu prüfen, ob Zugriff erlaubt wird oder nicht.

nds: Die Werte von »ldap_user_nds_login_allowed_time_map«, »ldap_user_nds_login_disabled« und »ldap_user_nds_login_expiration_time« werden benutzt, um zu überprüfen, ob Zugriff gewährt wird. Falls diese Attribute fehlen, wird Zugriff erteilt. This is an experimental feature, please use https://pagure.io/SSSD/sssd/ to report any issues.

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »expire« enthalten muss, damit die Option »ldap_account_expire_policy« funktioniert.

Voreinstellung: leer

filter: verwendet »ldap_access_filter«.

lockout: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

Please note that this option is superseded by the “ppolicy” option and might be removed in a future release.

ppolicy: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

expire: verwendet »ldap_account_expire_policy«.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.

The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.

Note If user password is expired no explicit message is prompted by SSSD.

Please note that 'access_provider = ldap' must be set for this feature to work. Also 'ldap_pwd_policy' must be set to an appropriate password policy.

authorized_service: verwendet das Attribut »authorizedService«, um zu bestimmen, ob Zugriff gewährt wird.

host: verwendet das Attribut »host«, um zu bestimmen, ob Zugriff gewährt wird.

rhost: use the rhost attribute to determine whether remote host can access

Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option

Voreinstellung: filter

Bitte beachten Sie, dass es ein Konfigurationsfehler ist, falls ein Wert mehr als einmal benutzt wird.

Example: cn=ppolicy,ou=policies,dc=example,dc=com

Default: cn=ppolicy,ou=policies,$ldap_search_base

never: Alias werden nie dereferenziert.

searching: Alias werden auf Unterebenen des Basisobjekts dereferenziert, nicht jedoch beim Orten des Basisobjekts der Suche.

finding: Alias werden nur beim Orten des Basisobjekts der Suche dereferenziert.

always: Alias werden sowohl bei der Suche als auch beim Orten des Basisobjekts der Suche dereferenziert.

Voreinstellung: leer (Dies wird durch LDAP-Client-Bibliotheken wie never gehandhabt.)

In einigen Umgebungen, in denen das Schema RFC2307 verwendet wird, werden lokale Benutzer zu Mitgliedern einer LDAP-Gruppe gemacht, indem ihre Namen dem Attribut »memberUid« hinzugefügt werden. Die eigene Stimmigkeit der Domain wird dabei kompromittiert, daher würde SSSD normalerweise »fehlende« Anwender aus den zwischengespeicherten Gruppenmitgliedschaften entfernen, sobald Nsswitch versucht, Informationen über den Anwender durch Aufrufen von getpw*() oder initgroups() abzurufen.

Diese Option greift auf das Prüfen zurück, ob auf lokale Benutzer Bezug genommen wird und speichert sie, so dass spätere Aufrufe von »initgroups() die lokalen Benutzer um zusätzliche LDAP-Gruppen erweitert werden.

Voreinstellung: »false«

At the moment, only the InfoPipe responder supports wildcard lookups.

Default: 1000 (often the size of one page)

Voreinstellung: sudoRole

Voreinstellung: cn

Voreinstellung: sudoCommand

Voreinstellung: sudoHost

Voreinstellung: sudoUser

Voreinstellung: sudoOption

Voreinstellung: sudoRunAsUser

Voreinstellung: sudoRunAsGroup

Voreinstellung: sudoNotBefore

Voreinstellung: sudoNotAfter

Voreinstellung: sudoOrder

Der Wert muss größer als ldap_sudo_smart_refresh_interval sein.

Voreinstellung: 21600 (6 Stunden)

Falls vom Server keine USN-Attribute unterstützt werden, wird stattdessen das Attribut »modifyTimestamp« benutzt.

Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).

Voreinstellung: 900 (15 Minuten)

Voreinstellung: »true«

Falls diese Option leer ist, wird SSSD versuchen, den Rechnernamen und den voll qualifizierten Domain-Namen automatisch herauszufinden.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

Falls diese Option leer ist, wird SSSD versuchen, die Adressen automatisch herauszufinden.

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: »true«

Falls ldap_sudo_use_host_filterfalse ist, hat diese Option keine Auswirkungen.

Voreinstellung: »true«

Voreinstellung: auto.master

Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap

Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName

Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount

Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey

Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

If the option “ldap_use_tokengroups” is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true