table of contents
SSSD.CONF(5) | Formatos de archivo y convenci | SSSD.CONF(5) |
NAME¶
sssd.conf - El archivo de configuración de SSSD
FORMATO DE ARCHIVO¶
El archivo posee una sintaxis de tipo ini consistente de secciones y parámetros. Una sección comienza con el nombre de dicha sección colocado entre corchetes, y continua hasta que comienza la próxima sección. Este es un ejemplo de una sección con parámetros de valores simples y múltiples:
[section] key = value key2 = value2,value3
Los tipos de datos utilizados son cadenas (no es necesario ingresarlos entre comillas), enteros o booleanos (cuyos valores son “TRUE/FALSE”).
Una línea de comentario empieza con una almohadilla (“#”) o un punto y coma (“;”). Los comentarios en línea no están soportados.
Todas las secciones pueden tener un parámetro opcional de descripción. Su función es solo la de servir como etiqueta a tal sección.
sssd.conf debe ser un archivo regular, cuyo dueño sea el usuario root, y sólo este usuario podrá tener permisos de lectura y escritura sobre él.
FRAGMENTOS DE CONFIGURACIÓN DESDE EL DIRECTORIO INCLUDE¶
El fichero de configuración sssd.conf incluirá fragmenteo de configuración usando el directorio include conf.d. Esta característica está disponible si SSSD fue compilado con libini versión 1.3.0 o posterior.
Cualquier fichero situado en conf.d que termine en “.conf” y no empiece con un punto (“.”) será usado junto con sssd.conf para configurar SSSD.
Los fragmentos de configuración de conf.d tienen mayor prioridad que los de sssd.conf y anularán sssd.conf cuando ocurran conflictos. Si varios fragmentos están presentes en conf.d serán incluidos en orden alfabético (en base a la localización). Los ficheros incluidos más tarde tienen prioridad mas alta. Prefijos numéricos (01_snippet.conf, 02_snippet.conf etc.) pueden ayudar a visualizar la prioridad (números mas altos significan prioridad más alta).
Los ficheros fragmentos requieren los mismos propietarios y permisos que sssd.conf. Que son por defecto root:root y 0600.
OPCIONES GENERALES¶
Las siguientes opciones son útiles en más de una de las secciones de configuración.
Opciones utilizables en todas las secciones¶
debug_level (entero)
Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.
In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.
Niveles de depuración actualmente soportados:
0, 0x0010: Fatal failures. Anything that would prevent SSSD from starting up or causes it to cease running.
1, 0x0020: Critical failures. An error that doesn't kill SSSD, but one that indicates that at least one major feature is not going to work properly.
2, 0x0040: Serious failures. An error announcing that a particular request or operation has failed.
3, 0x0080: Minor failures. These are the errors that would percolate down to cause the operation failure of 2.
4, 0x0100: Configuration settings.
5, 0x0200: Function data.
6, 0x0400: Trace messages for operation functions.
7, 0x1000: Trace messages for internal control functions.
8, 0x2000: Contents of function-internal variables that may be interesting.
9, 0x4000: Extremely low-level tracing information.
9, 0x20000: Performance and statistical data, please note that due to the way requests are processed internally the logged execution time of a request might be longer than it actually was.
10, 0x10000: Even more low-level libldb tracing information. Almost never really required.
To log required bitmask debug levels, simply add their numbers together as shown in following examples:
Ejemplo: Para registrar fallos fatales, críticos y serios y datos de función use 0x0270.
Example: Para registrar fallos fatales, ajustes de configuración, datos de función, mensajes de traza para funciones de control interno use 0x1310.
Note: The bitmask format of debug levels was introduced in 1.7.0.
Default: 0x0070 (i.e. fatal, critical and serious failures; corresponds to setting 2 in decimal notation)
debug (entero)
debug_timestamps (bool)
Predeterminado: true
debug_microseconds (bool)
Predeterminado: false
debug_backtrace_enabled (bool)
En caso de que SSSD esté corriendo en debug_level menor de 9, todo se registra en un bufer temporal en la memoria y se descarga en un archivo de registro cualquier error incluyendo `min(0x0040, debug_level)` (i.e. si debug_level se fija explícitamente a 0 o 1 estos niveles de error disparará una traza, de lo contrario hasta 2).
La característica sólo se soporta para `logger == files` (i.e. la configuración no tiene efecto para otro tipo de registros).
Predeterminado: true
Opciones utilizables en las secciones SERVICIO y DOMINIO¶
timeout (entero)
Predeterminado: 10
SECCIONES ESPECIALES¶
La sección [sssd]¶
Trozos individuales de funcionalidad SSSD son suministrados por servicios especiales SSSD que se inician y parar junto a SSSD. Los servicios son gestionados por un servicio especial frecuentemente llamado “monitor”. La sección “[sssd]” se usa para configurar el monitor así como algunas otras opciones importantes como la identidad de dominios.
Parámetros de sección
config_file_version (entero)
servicios
Servicios soportados: nss, pam , sudo , autofs , ssh , pac , ifp
Por defecto, todos los servicios están deshabilitados y el administrador debe habilitar aquellos que permita que se usen para ejecución: "systemctl enable sssd-@service@.socket".
reconnection_retries (entero)
Predeterminado: 3
dominios
re_expression (cadena)
Cada dominio puede tener una expresión regular individual configurada. Para algunos proveedores de ID hay también expresiones regulares por defecto. Vea las SECCIONES DOMINIO para mas información sobre estas expresiones regulares.
full_name_format (cadena)
Son soportadas las siguientes expresiones:
%1$s
%2$s
%3$s
Cada dominio puede tener una cadena de formato individual configurada. Vea SECCIONES DOMINIO para más información sobre esta opción.
monitor_resolv_conf (booleano)
Predeterminado: true
try_inotify (boolean)
Existen algunas pocas situaciones en donde lo preferible es evitar el uso de inotify. En estas raras excepciones, la opción debería ser definida en 'false'
Predeterminado: 'true' en plataformas donde inotify tenga soporte. 'False' en el resto de las plataformas.
Nota: esta opción no tendrá efecto en plataformas donde inotify no se encuenytre disponible. En estas plataformas, la consulta (polling) será utilizada siempre.
krb5_rcache_dir (cadena)
Esta opción acepta un valor especial __LIBKRB5_DEFAULTS__ que instruirá a SSSD para dejar a libkrb5 decidir la localización apropiada del escondrijo de respuesta.
Por defecto: Distribución específica y especificado en la acumulación de tiempo. (si no se configura __LIBKRB5_DEFAULTS__)
usuario (cadena)
Por defecto: no ajustado, los procesos correrán como root
default_domain_suffix (cadena)
Por favor advierta que si esta opción está establecida todos los usuarios del dominio primario tienen que usar su nombre totalmente cualificado, e.g. user@domain.name, para acceder. El establecimiento de esta opción cambia el comportamiento predeterminado de use_fully_qualified_names a True. No está permitido el uso de esta opción junto con use_fully_qualified_names establecido a False. Una excepción de esta regla son los dominios con “id_provider=files” que siempre intentan igualar el comportamiento de nss_files y por lo tanto su salida es no cualificada aún cuando se use la opción default_domain_suffix.
Predeterminado: no definido
override_space (cadena)
Por favor advierta que es un error de configuración usar un carácter de reemplazo que pueda ser usado en los nombres de grupo o usuario. Si un nombre contiene el carácter de reemplazo SSSD intentará devolver un nombre no modificado pero en general el resultado de la búsqueda es indefinido.
Por defecto: no ajustado (los espacios no serán reemplazados)
certificate_verification (cadena)
no_ocsp
soft_ocsp
ocsp_dgst
Predeterminado: sha1 (para permitir la compatibilidad con el contestador que cumple el RFC50190)
no_verification
partial_chain
ocsp_default_responder=URL
ocsp_default_responder_signing_cert=NAME
crl_file=/PATH/TO/CRL/FILE
soft_crl
Se informa de las opciones desconocidas pero son ignoradas.
Por defecto: no fijado, i.e. no restringe la verificación de certificado
disable_netlink (boolean)
Los cambios en el estado de SSSD causados por eventos en enlace de red pueden ser no deseados y pueden ser deshabilitados ajustando esta opción a 'true'
Predeterminado: false (se detectan los cambio de enlace de red)
enable_files_domain (boolean)
Predeterminado: false
domain_resolution_order
Por favor, advierta que cuando se fija esta opción el formato de salida de todos los comandos es siempre plenamente cualificado aunque se usen los nombre cortos para la entrada, para todos los usuarios excepto los gestionados por el proveedro de ficheros. En caso de que el administrador desee la salida no plenamente cualificada se debe usar los opción full_name_format como se muestra abajo: “full_name_format=%1$s” Sin embargo, tenga en cuenta que durante el acceso, las aplicaciones de acceso con frecuencia canonicalizan el nombre de usuario llamando a getpwnam(3) que, si se devuelve un nombre corto para una entrada cualificada (mientras que intenta alcanzar un usuario que existe en múltiples dominios) debe re-enturar el intento de acceso hacia el dominio que usa nombres cortos, haciendo este rodeo totalmente no recomendado en los casos donde los nombres de usuarios se deben compartir entre dominios.
Por defecto: No definido
implicit_pac_responder (boolean)
Predeterminado: true
core_dumpable (boolean)
Predeterminado: true
SECCIONES DE SERVICIOS¶
Los ajustes que pueden ser utilizados para configurar diferentes servicios se describe en esta sección. Ellos deben residir en la sección [$NAME], por ejemplo, para el servicio NSS, la sección sería “[nss]”
Opciones de configuración de servicios generales¶
Estas opciones pueden usarse para configurar cualquier servicio.
reconnection_retries (entero)
Predeterminado: 3
fd_limit
Por defecto: 8192 (o limite “hard” en limits.conf)
client_idle_timeout
Predeterminado: 60, KCM: 300
offline_timeout (entero)
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]
El valor predeterminado de offline_timeout es 60. El valor predeterminado de offline_timeout_max es 3600. El valor predeterminado de offline_timeout_random_offset es 30. El resultado final es la cantidad de segundos antes del próximo reintento.
Note that the maximum length of each interval is defined by offline_timeout_max (apart of random part).
Predeterminado: 60
offline_timeout_max (integer)
A value of 0 disables the incrementing behaviour.
The value of this parameter should be set in correlation to offline_timeout parameter value.
With offline_timeout set to 60 (default value) there is no point in setting offlinet_timeout_max to less than 120 as it will saturate instantly. General rule here should be to set offline_timeout_max to at least 4 times offline_timeout.
Although a value between 0 and offline_timeout may be specified, it has the effect of overriding the offline_timeout value so is of little use.
Default: 3600
offline_timeout_random_offset (integer)
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]
This parameter controls the value of the random offset used for the above equation. Final random_offset value will be random number in range:
[0 - offline_timeout_random_offset]
A value of 0 disables the random offset addition.
Default: 30
responder_idle_timeout
Predeterminado: 300
cache_first
Predeterminado: false
Opciones de configuración de NSS¶
Estas opciones pueden ser usadas para configurar el servicio Name Service Switch (NSS).
enum_cache_timeout (entero)
Predeterminado: 120
entry_cache_nowait_percentage (entero)
Por ejemplo, si entry_cache_timeout del dominio está fijado a 30 y entry_cache_nowait_percentage está fijado a 50 (por ciento), las entradas que vengan después de 15 segundos pasado el último cache serán devueltas inmediatamente, pero SSSD irá y actualizará el cache por el mismo, de modo que las futuras peticiones no necesitarán bloquearse a la espera de una actualización del cache.
Los valores válidos para esta opción son 0-99 y representan un porcentaje de entry_cache_timeout para cada dominio. Por razones de rendimiento, este porcentaje nunca reducirá el tiempo de salida de no espera a menos de 10 segundos. (0 deshabilita esta función).
Predeterminado: 50
entry_negative_timeout (entero)
Predeterminado: 15
local_negative_timeout (integer)
Por defecto: 14400 (4 horas)
filter_users, filter_groups (cadena)
AVISO: La opción filter_groups no afecta a la herencia de miembros de grupos anidados, puesto que el filtrado sucede después de que hayan sido propagados para volver por medio de NSS. E.g. un grupo que tenga un miembro del grupo filtrado mantendrá los usuarios miembros del listado posterior.
Predeterminado: root
filter_users_in_groups (bool)
Predeterminado: true
override_homedir (cadena)
%u
%U
%d
%f
%l
%P
%o
%h
%H
%%
Esta opción puede ser también fijada por dominio.
ejemplo:
override_homedir = /home/%u
Por defecto: No fijado (SSSD usará el valor recuperado desde LDAP)
Please note, the home directory from a specific override for the user, either locally (see sss_override(8)) or centrally managed IPA id-overrides, has a higher precedence and will be used instead of the value given by override_homedir.
homedir_substring (string)
Default: /home
fallback_homedir (cadena)
Los valores disponibles para esta opción son los mismos que para override_homedir.
ejemplo:
fallback_homedir = /home/%u
Por defecto: no fijado (sin sustitución para los directorios home no fijados)
override_shell (cadena)
Por defecto: no fijado (SSSD usará el valor recuperado desde LDAP)
allowed_shells (cadena)
1. Si el shell está presente en “/etc/shells”, se usa.
2. Si el shell está en la lista allowed_shells pero no en “/etc/shells”, usa el valor del parámetro shell_fallback.
3. Si el shell no está en la lista allowed_shells y tampoco en “/etc/shells”, se usará un shell de no acceso.
Se puede usar el comodín (*) para permitir cualquier shell.
(*) es útil si usted desea usar shell_fallback en caso de que el shell del usuario no esté en “/etc/shells” y las lista que mantiene todos los shells permitidos en allowed_shells estuviera llena.
Una cadena vacía para el shell se pasa como-es a libc.
“/etc/shells” es de sólo lectura en el inicio SSSD, lo que significa que se requiere el reinicio del SSSD en el caso de que se instale una nueva shell.
Por defecto: No fijado. La shell del usuario se usa automáticamente.
vetoed_shells (cadena)
shell_fallback (cadena)
Predeterminado: /bin/sh
default_shell
Por defecto: no fijado (Devuelve NULL si no se ha especificado una shell y confía en libc para sustituir algo sensible cuando sea necesario, normalmente /bin/sh)
get_domains_timeout (entero)
Predeterminado: 60
memcache_timeout (integer)
Predeterminado: 300
PRECAUCIÓN: Deshabilitar la memoria cache puede llevar a un impacto negativo significativo sobre el rendimiento de SSSD y debería ser usado solo para pruebas.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
memcache_size_passwd (integer)
Predeterminado: 8
WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
memcache_size_group (integer)
Predeterminado: 6
WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
memcache_size_initgroups (integer)
Predeterminado: 10
WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
memcache_size_sid (integer)
Predeterminado: 6
WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.
AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.
user_attributes (string)
Para hacer mas fácil la configuración el contestador NSS comprobará la opción InfoPipe si no está fijada para el contestador NSS.
Por defecto: no ajustada, retroceder a opción InfoPipe
pwfield (cadena)
Default: “*”
Note: This option can also be set per-domain which overwrites the value in [nss] section.
Default: “not set” (remote domains), “x” (the files domain), “x” (proxy domain with nss_files and sssd-shadowutils target)
Opciones de configuración PAM¶
Estas opciones pueden ser usadas para configurar el servicio Pluggable Authentication Module (PAM)
offline_credentials_expiration (entero)
Predeterminado: 0 (Sin límite)
offline_failed_login_attempts (entero)
Predeterminado: 0 (Sin límite)
offline_failed_login_delay (entero)
Si se fija en 0 el usuario no puede autenticarse fuerta de línea si se ha alcanzado offline_failed_login_attempts. Sólo una autenticación en línea con éxito puede habilitar otra vez la autenticación fuera de línea.
Predeterminado: 5
pam_verbosity (entero)
Actualmente sssd soporta los siguientes valores:
0: no mostrar ningún mensaje
1: mostrar sólo mensajes importantes
2: mostrar mensajes informativos
3: mostrar todos los mensajes e información de depuración
Predeterminado: 1
pam_response_filter (string)
Como los mensajes ya pueden ser controlados con la ayuda de la opción pam_verbosity esta opción permite filtrar otra clase de respuestas también.
Actualmente se soportan los siguientes filtros:
ENV
ENV:var_name
ENV:var_name:service
The list of strings can either be the list of filters which would set this list of filters and overwrite the defaults. Or each element of the list can be prefixed by a '+' or '-' character which would add the filter to the existing default or remove it from the defaults, respectively. Please note that either all list elements must have a '+' or '-' prefix or none. It is considered as an error to mix both styles.
Default: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i
Example: -ENV:KRB5CCNAME:sudo-i will remove the filter from the default list
pam_id_timeout (entero)
Una conversación PAM completa puede llevar a cabo múltiples peticiones PAM, como gestión de cuenta y apertura de sesión. Esta opción controla (sobre una base de por cliente-aplicación) cuanto (en segundos) podemos esconder la información de identidad para evitar excesivos viajes de ida y vuelata al proveedor de identidad.
Predeterminado: 5
pam_pwd_expiration_warning (entero)
Por favor advierta que el servidor de punto final tiene que suministrar información sobre el tiempo de expiración de la contraseña. Si esta información desaparece, sssd no podrá mostrar un aviso.
Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.
Este ajuste puede ser anulado por el ajuste pwd_expiration_warning para un dominio concreto.
Predeterminado: 0
get_domains_timeout (entero)
Predeterminado: 60
pam_trusted_users (cadena)
Por defecto: Todos los usuarios se consideran de confianza por defecto
Por favor advierta que la UID 0 siempre permite el acceso al contestador PAM aunque no está en la la lista pam_trusted_users.
pam_public_domains (cadena)
Hay definidos dos valores especiales para la opción pam_public_domains:
all (Los usuarios de no confianza están permitidos para acceder a todos los dominios en el contestador PAM.)
none (Los usuarios de no confianza no tienen permitido acceder a los dominios PAM en el contestador.)
Predeterminado: none
pam_account_expired_message (cadena)
Nota: Por favor tenga cuidado que este mensaje solo se imprime por el servicio SSH a no ser que pam_verbosity esté fijado a 3 (mostrar todos los mensajes e información de depuración).
ejemplo:
pam_account_expired_message = Cuenta expirada, por favor contacte con la mesa de ayuda.
Predeterminado: none
pam_account_locked_message (cadena)
ejemplo:
pam_account_locked_message = Cuenta bloqueada, por favor contacte con la mesa de ayuda.
Predeterminado: none
pam_cert_auth (booleano)
Por defecto: False
pam_cert_db_path (cadena)
Predeterminado:
pam_cert_verification (string)
ejemplo:
pam_cert_verification = partial_chain
Default: not set, i.e. use default “certificate_verification” option defined in “[sssd]” section.
p11_child_timeout (entero)
Predeterminado: 10
pam_app_services (cadena)
Por defecto: No definido
pam_p11_allowed_services (entero)
Es posible añadir otro nombre de servicio PAM al conjunto predeterminado usando “+service_name” o quitar explícitamente nombre de servicio PAM de los predeterminados usando “-service_name”. Por ejemplo, con el objetivo de reemplazar un nombre de servicio PAM por autenticación con Smartcards (e.g. “login”) con un nombre de servicio PAM personalizado (e.g. “my_pam_service”), debería usar la siguiente configuración:
pam_p11_allowed_services = +my_pam_service, -login
Predeterminado: el conjunto predeterminado de nombres de servicio PAM incluye:
p11_wait_for_card_timeout (entero)
Predeterminado: 60
p11_uri (cadena)
Ejemplo:
p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader
o
p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2
Para encontrar la URI adecuada compruebe por favor la salida de depuración de p11_child. Como alternativa la utilidad GnuTLS 'p11tool' con e.g. '--list-all' mostrará PKCS#11 URIs también.
Predeterminado: none
pam_initgroups_scheme
always
no_session
never
Default: no_session
pam_gssapi_services
To disable GSSAPI authentication, set this option to “-” (dash).
Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.
Ejemplo:
pam_gssapi_services = sudo, sudo-i
Default: - (GSSAPI authentication is disabled)
pam_gssapi_check_upn
If False, every user that is able to obtained required service ticket will be authenticated.
Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.
Predeterminado: True
pam_gssapi_indicators_map
Each element of the list can be either an authentication indicator name or a pair “service:indicator”. Indicators not prefixed with the PAM service name will be required to access any PAM service configured to be used with pam_gssapi_services. A resulting list of indicators per PAM service is then checked against indicators in the Kerberos ticket during authentication by pam_sss_gss.so. Any indicator from the ticket that matches the resulting list of indicators for the PAM service would grant access. If none of the indicators in the list match, access will be denied. If the resulting list of indicators for the PAM service is empty, the check will not prevent the access.
To disable GSSAPI authentication indicator check, set this option to “-” (dash). To disable the check for a specific PAM service, add “service:-”.
Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.
Following authentication indicators are supported by IPA Kerberos deployments:
Example: to require access to SUDO services only for users which obtained their Kerberos tickets with a X.509 certificate pre-authentication (PKINIT), set
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
Default: not set (use of authentication indicators is not required)
SUDO opciones de configuración¶
Se pueden usar estas opciones para configurar el servicio sudo. Las instrucciones detalladas para la configuración de sudo(8) para trabajar con sssd(8) están en la página de manual sssd-sudo(5).
sudo_timed (booleano)
Predeterminado: false
sudo_threshold (entero)
Predeterminado: 50
Opciones de configuración AUTOFS¶
Estas opciones pueden ser usadas para configurar el servicio autofs.
autofs_negative_timeout (entero)
Predeterminado: 15
Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.
Opciones de configuración SSH¶
Estas opciones se pueden usar para configurar el servicio SSH.
ssh_hash_known_hosts (booleano)
Predeterminado: false
ssh_known_hosts_timeout (entero)
Por defecto: 180
ssh_use_certificate_keys (booleano)
Predeterminado: true
ssh_use_certificate_matching_rules (cadena)
There are two special key words 'all_rules' and 'no_rules' which will enable all or no rules, respectively. The latter means that no certificates will be filtered out and ssh keys will be generated from all valid certificates.
If no rules are configured using 'all_rules' will enable a default rule which enables all certificates suitable for client authentication. This is the same behavior as for the PAM responder if certificate authentication is enabled.
A non-existing rule name is considered an error. If as a result no rule is selected all certificates will be ignored.
Default: not set, equivalent to 'all_rules', all found rules or the default rule are used
ca_db (cadena)
Predeterminado:
Opciones de configuración del respondedor PAC¶
El contestador PAC trabaja junto con el plugin de autorización de datos para MIT Kerberos sssd_pac_plugin.so y un proveedor de sub dominios. El plugin envía los datos PAC durante la autenticación GSSAPI al contestador PAC. El proveedor de sub dominio recoge el SID de dominio y los rangos de ID del dominio al que el cliente se ha unido y de los dominios remotos de confianza desde el controlador local de dominio. Si el PAC es decodificado y evaluado se hacen algunas de las siguientes operaciones:
Estas opciones pueden ser usadas para configurar el respondedor PAC.
allowed_uids (cadena)
Por defecto: 0 (sólo el usuario root tiene permitido el acceso al respondedor PAC)
Por favor advierta que aunque la UID 0 se usa por defecto será anulada con esta opción. Si usted deses todavía permitir al usuario root acceder al respondedor PAC, que sería el caso típico, usted tiene que añadir 0 a la lista de UIDs permitidas también.
pac_lifetime (entero)
Predeterminado: 300
pac_check (string)
The following options can be used alone or in a comma-separated list:
no_check
pac_present
check_upn
check_upn_allow_missing
Currently this option is set by default to avoid regressions in such environments. A log message will be added to the system log and SSSD's debug log in case a UPN is found in the PAC but not in SSSD's cache. To avoid this log message it would be best to evaluate if the 'ldap_user_principal' option can be removed. If this is not possible, removing 'check_upn' will skip the test and avoid the log message.
upn_dns_info_present
check_upn_dns_info_ex
upn_dns_info_ex_present
Default: no_check (AD and IPA provider 'check_upn, check_upn_allow_missing, check_upn_dns_info_ex')
Opciones de configuración de la grabación de sesión¶
Trabajos de grabación de sesión en conjunto con tlog-rec-session(8), una parte del paquete tlog, para registrar lo que los usuarios ven y el tipo cuando ellos lo registran en un terminal de texto. Vea también sssd-session-recording(5).
Se pueden usar estas opciones para configurar la grabación de sesión.
scope (cadena)
"none"
"some"
"all"
Predeterminado: "none"
users (cadena)
Predeterminado: Vacío. No hay usuarios coincidentes.
groups (cadena)
AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un costo considerable de rendimiento, puesto que cada petición sin caché para un usuario requiere a recuperación y el emparejado de los grupos a los que pertenece el usuario.
Predeterminado: Vacío. No empareja grupos.
exclude_users (string)
Default: Empty. No users excluded.
exclude_groups (string)
AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un costo considerable de rendimiento, puesto que cada petición sin caché para un usuario requiere a recuperación y el emparejado de los grupos a los que pertenece el usuario.
Default: Empty. No groups excluded.
SECCIONES DE DOMINIO¶
Estas opciones de configuración pueden estar presentes en la sección configuración de dominio, esto es, en una sección llamada “[domain/NAME]”
enabled
domain_type (cadena)
Los valores permitidos para esta opción son “posix” y “application”.
Los dominios POSIX son alcanzables por todos los servicios. Los dominios aplicación son solo alcanzables desde el contestador InfoPipe (vea sssd-ifp(5)) y el contestador PAM.
AVISO: LOs dominios aplicación actualmente están bien probados solamente con “id_provider=ldap”.
Para una manera fácil de configurar dominios no POSIX, vea la sección “Dominios aplicación”.
Predeterminado: posix
min_id, max_id (entero)
Para usuarios, esto afecta al límite primario GID. El usuario no será devuelto a NSS si bien la UID o el GID primario está fuera de rango. Para los miembros de grupos no primarios, aquellos que estén en rango serán reportados como en espera.
Estos límites de ID afectan aunque se guarden entrada en la caché, no solo devolviéndolas por nombre o ID.
Predeterminado: 1 para min_id, 0 (sin límite) para max_id
enumerar (bool)
TRUE = Usuarios y grupos son enumerados
FALSE = Sin enumeraciones para este dominio
Predeterminado: FALSE
Enumerar un dominio requiere que SSSD descargue y almacene TODAS las entradas de usuario y grupo del servidor remoto.
Aviso: Habilitar la enumeración tiene un impacto moderado en el rendimiento sobre SSSD mientras está corriendo la enumeración. Puede llevar varios minutos después de que SSSD inicie una enumeración completa total. Durante este tiempo, las peticiones individuales de información irán directamente a LDAP, piense que puede ser lento, debido al pesado procesamiento de la enumeración. El guardar gran número de entradas en la caché después de una enumeración completa puede ser también intensiva para la CPU puesto que la membresía debe ser vuelta a computar. Esto puede llevar a que el proceso “sssd_be” no responda o que sea reiniciado por el perro guardián interno.
Mientras está corriendo la primera enumeración, peticiones para el usuario completo o listas de grupo pueden no devolver resultados hasta que se completen.
Adicionalmente, la habilitación de la enumeración puede incrementar el tiempo necesario para detectar la desconexión de red, tanto como los tiempos de espera necesarios para asegurar que las búsquedas de enumeración se han completado. Para más información vea las páginas de manual para el específico id_provider en uso.
Por las razones citadas arriba, no se recomienda habilitar la enumeración, especialmente en entornos grandes.
subdomain_enumerate (cadena)
all
none
Opcionalmente, una lista de uno o más nombres de dominio puede habilitar la enumeración solo para estos dominios de confianza.
Predeterminado: none
entry_cache_timeout (entero)
Los sellos de tiempo de expiración de caché son almacenados somo atributos de los objetos individuales en caché. Por lo tanto, el cambio del tiempo de expiración de la caché solo tendrá efecto para las entradas más nuevas o expiradas. Debería ejecutar la herramienta sss_cache(8) con el objetivo de forzar el refresco de las entradas que ya están en la caché.
Predeterminado: 5400
entry_cache_user_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_group_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_netgroup_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_service_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_resolver_timeout (integer)
Por defecto: entry_cache_timeout
entry_cache_sudo_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_autofs_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_ssh_host_timeout (entero)
Por defecto: entry_cache_timeout
entry_cache_computer_timeout (integer)
Por defecto: entry_cache_timeout
refresh_expired_interval (entero)
El refresco en segundo plano procesará usuarios, grupos y netgroups en el cache. Para usuarios que han llevado a cabo el anteriormente initgroups (obtener la membresía de grupo para el usuario, normalmente ejecutando login), tanto la entrada usuario y la membresia de grupo son actualizados.
Esta opción se hereda automáticamente para todos los dominios de confianza.
Usted puede considerar ajustar este valor a 3/4 * entry_cache_timeout.
Cache entry will be refreshed by background task when 2/3 of cache timeout has already passed. If there are existing cached entries, the background task will refer to their original cache timeout values instead of current configuration value. This may lead to a situation in which background refresh task appears to not be working. This is done by design to improve offline mode operation and reuse of existing valid cache entries. To make this change instant the user may want to manually invalidate existing cache.
Predeterminado: 0 (deshabilitado)
cache_credentials (bool)
Las credenciales de usuario son almacenadas en un hash SHA512, no en texto plano
Predeterminado: FALSE
cache_credentials_minimal_first_factor_length (entero)
Esto evitaría que los PINs cortos de un esquema de PIN basado en 2FA se guarden en caché lo que les haría objetivos fáciles de ataques de fuerza bruta.
Predeterminado: 8
account_cache_expiration (entero)
Predeterminado: 0 (ilimitado)
pwd_expiration_warning (entero)
Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.
Por favor advierta que el servidor de backend tiene que suministrar información sobre la hora expiración de la contraseña. Si esta información está desaparecida, sssd no puede mostrar un aviso. También se tiene que configurar un proveedor de autorización para el backend.
Por defecto: 7 (Kerberos), 0 (LDAP)
id_provider (cadena)
“proxy”: Soporta un proveedor NSS heredado.
“files”: Proveedor de FICHEROS. Vea sssd-files(5) para más información sobre como hacer espejo de usuarios y grupos locales en SSSD.
“ldap”: Proveedor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
use_fully_qualified_names (bool)
Si es TRUE, todas las peticiones a este dominio deben usar nombres totalmente cualificados. Por ejemplo, si se usa en el dominio LOCAL que contiene un usuario “test”, getent passwd test no encontraría al usuario mientras que getent passwd test@LOCAL lo haría.
AVISO: Esta opción no tiene efecto sobre búsquedas de grupo de red debido a su tendencia a incluir grupos de red anidados sin nombres cualificados. Para grupos de red, se buscará en todos los dominios cuando se pida un no no cualificado.
Default: FALSE (TRUE for trusted domain/sub-domains or if default_domain_suffix is used)
ignore_group_members (bool)
Si se fija a TRUE, no se pide el atributo de membresía de grupo al servidor ldap y los miembros no son devueltos cuando se procesan llamadas de búsqueda, como getgrnam(3) o getgrgid(3). Como efecto, “getent group $groupname” debería devolver el grupo pedido como si estuviera vacío.
Habilitar esta opción puede también hacer acceso a las comprobaciones de proveedor ara membresía de grupo significativamente más rápidas, especialmente para grupos que contienen muchos miembros.
This option can be also set per subdomain or inherited via subdomain_inherit.
Predeterminado: FALSE
auth_provider (cadena)
“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“krb5” para autenticación Kerberos. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“proxy” para la reinstalación de la autenticación a algún otro objetivo PAM.
“none” deshabilita la autenticación explícitamente.
Por defecto: “id_provider” se usa si se ha fijado y puede manejar las peticiones de autenticación.
access_provider (cadena)
“permit” siempre permite el acceso. Es el proveedor de acceso sólo permitido para un dominio local.
“deny” siempre niega el acceso.
“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“simple” control de acceso basado en listas de acceso o denegación. Vea sssd-simple(5) para más información sobre la configuración del módulo de acceso sencillo.
“krb5”: .k5login basado en control de acceso. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.
“proxy” para transmitir control de acceso a otro módulo PAM.
Predeterminado: “permit”
chpass_provider (cadena)
“ldap” para cambiar una contraseña almacenada en un servidor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“krb5” para cambiar una contraseña Kerberos. Vea sssd-krb5(5) para más información sobre configurar Kerberos.
“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.
“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.
“proxy” para la reinstalación de cambios de password en algunos otros objetivos PAM.
“none” deniega explícitamente los cambios en la contraseña.
Por defecto: “auth_provider” se utiliza si se ha fijado y se puede manejar las peticiones de cambio de password.
sudo_provider (cadena)
“ldap” para reglas almacenadas en LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.
“ipa” lo mismo que “ldap” pero con ajustes predeterminados IPA.
“ad” lo mismo que “ldap” pero con ajustes predeterminados AD.
“none”deshabilita SUDO explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
Las instrucciones detalladas para la configuración de sudo_provider están el la página de manual sssd-sudo(5). Hay muchas opciones de configuración que se puden usar para ajustar el comportamiento. Vea por favor "ldap_sudo_*" en sssd-ldap(5).
AVISO: Las reglas sudo son periódicamente descargadas en segundo plano a no ser que proveedor sudo esté explícitamente deshabilitado. Ajuste sudo_provider = None para deshabilitatr toda la actividad relacionada con sudo en SSSD si usted no desea usar sudo cn SSSD mas.
selinux_provider (cadena)
“ipa” para cargar ajustes selinux desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“none” deshabilita ir a buscar los ajustes selinux explícitamente.
Por defecto: “id_provider” se usa si está fijado y puede manejar las peticiones de carga selinux.
subdomains_provider (cadena)
“ipa” para cargar una lista de subdominios desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“ad” para descargar una lista de subdominios desde un servidor Active Directory. Vea sssd-ad(5) para más información sobre la configuración del proveedor AD.
“none” deshabilita el buscador de subdominios explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
session_provider (cadena)
“ipa” para permitir llevar a cabo tareas relacionadas con la sesión de usuario.
“none” no lleva a cabo ninguna tarea relacionada con la sesión de usuario.
Predeterminado: “id_provider” se usa si está ajustado y puede llevar a cabo tareas relacionadas con la sesión de usuario.
AVISO: Con el objetivo de tener esta característica trabajando como se espera SSSD se debe correr como "root" y o como usuario sin privilegios.
autofs_provider (cadena)
“ldap” para cargar mapas almacenados en LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.
“ipa” para cargar mapas almacenados en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“ad” para cargar mapas almacenados en un servidor AD. Vea sssd-ad(5) para más información sobre como configurar un proveedor AD.
“none” deshabilita autofs explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
hostid_provider (cadena)
“ipa” para cargar la identidad del equipo almacenada en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.
“none” deshabilita hostid explícitamente.
Por defecto: el valor de “id_provider” se usa si está fijado.
resolver_provider (string)
“proxy” to forward lookups to another NSS library. See “proxy_resolver_lib_name”
“ldap” to fetch hosts and networks stored in LDAP. See sssd-ldap(5) for more information on configuring LDAP.
“ad” to fetch hosts and networks stored in AD. See sssd-ad(5) for more information on configuring the AD provider.
“none” disallows fetching hosts and networks explicitly.
Por defecto: el valor de “id_provider” se usa si está fijado.
re_expression (cadena)
Default for the AD and IPA provider: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>.+)@(?P<domain>[^@]+$))|(^(?P<name>[^@\\]+)$))” which allows three different styles for user names:
Mientras los primeros dos corresponden al valor por defecto general el tercero se introduce para permitir una fácil integración de usuarios desde dominios Windows.
Predeterminado: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” que traduce al "todo lo que hay hasta el signo “@” es el nombre, el dominio es el resto detrás de este signo"
full_name_format (cadena)
Son soportadas las siguientes expresiones:
%1$s
%2$s
%3$s
Predeterminado: “%1$s@%2$s”.
lookup_family_order (cadena)
Valores soportados:
ipv4_first: Intenta buscar dirección IPv4, si falla, intenta IPv6
ipv4_only: Sólo intenta resolver nombres de host a direccones IPv4.
ipv6_first: Intenta buscar dirección IPv6, si falla, intenta IPv4
ipv6_only: Sólo intenta resolver nombres de host a direccones IPv6.
Predeterminado: ipv4_first
dns_resolver_server_timeout (integer)
The AD provider will use this option for the CLDAP ping timeouts as well.
Por favor vea la sección “RECUPERACIÓN DE FALLOS” para más información sobre la resolución del servicio.
Predeterminado: 1000
dns_resolver_op_timeout (integer)
Por favor vea la sección “RECUPERACIÓN DE FALLOS” para más información sobre la resolución del servicio.
Predeterminado: 3
dns_resolver_timeout (entero)
Por favor vea la sección “RECUPERACIÓN DE FALLOS” para más información sobre la resolución del servicio.
Predeterminado: 6
dns_resolver_use_search_list (bool)
If fully qualified domain names (or _srv_) are used in the SSSD configuration, setting this option to FALSE can prevent unnecessary DNS lookups in such environments.
Predeterminado: TRUE
dns_discovery_domain (cadena)
Predeterminado: Utilizar la parte del dominio del nombre de host del equipo
override_gid (entero)
case_sensitive (cadena)
True
False
Preserving
If you want to set this value for trusted domain with IPA provider, you need to set it on both the client and SSSD on the server.
This option can be also set per subdomain or inherited via subdomain_inherit.
Predeterminado: True (False para proveedor AD)
subdomain_inherit (cadena)
ldap_search_timeout
ldap_network_timeout
ldap_opt_timeout
ldap_offline_timeout
ldap_enumeration_refresh_timeout
ldap_enumeration_refresh_offset
ldap_purge_cache_timeout
ldap_purge_cache_offset
ldap_krb5_keytab (se deberá usar el valor de krb5_keytab si no se ha fijado explícitamente ldap_krb5_keytab)
ldap_krb5_ticket_lifetime
ldap_enumeration_search_timeout
ldap_connection_expire_timeout
ldap_connection_expire_offset
ldap_connection_idle_timeout
ldap_use_tokengroups
ldap_user_principal
ignore_group_members
auto_private_groups
case_sensitive
Ejemplo:
subdomain_inherit = ldap_purge_cache_timeout
Predeterminado: none
Aviso: Esta opción solo trabaja con el proveedor IPA y AD.
subdomain_homedir (cadena)
%F
Este valor puede ser anulado por la opción override_homedir.
Por defecto: /home/%d/%u
realmd_tags (cadena)
cached_auth_timeout (entero)
Este valor de opción es heredado por todos los dominios de confianza. En este momento no es posible establecer un valor diferente por dominio de confianza.
El valor especial 0 implica que esta función está deshabilitada.
Por favor advierta que si “cached_auth_timeout” es mayor que “pam_id_timeout” el otro extremo podría ser llamado para gestionar “initgroups.”
Predeterminado: 0
auto_private_groups (cadena)
true
AVISO: Puesto que el número GID y el grupo privado de usuario se infieren de número UID, no está soportado tener múltiples entrada con los mismos UID o GID con esta opción. En otras palabras, habilitando esta opción se fuerza la unicidad den el espacio de ID.
false
hybrid
Si el UID y el GID de un usuario son diferentes, el GID debe corresponder a una entrada de grupo, de otro modo el GID simplemente no se puede resolver.
Esta característica es útil para entornos que desean parar manteniendo un grupo separado de objetos grupos para el usuario de grupos privados, pero también desea retener los grupos privados existentes del usuario.
Para subdominios el valor por defecto es False par subdominios que usan POSIX IDs asignados y True para subdominios que usan mapeo de ID automático.
El valor de auto_private_groups puede bien ser establecido por subdominios en una subsección, por ejemplo:
[domain/forest.domain/sub.domain] auto_private_groups = false
o globalmente para todos los subdominios en la sección principal dominio usando la opción subdomain_inherit:
[domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false
Opciones válidas para dominios proxy.
proxy_pam_target (cadena)
Por defecto: no se fija por defecto, usted tiene que coger una configuración pam existente o crear una nueva y añadir el nombre de servicio aquí.
proxy_lib_name (cadena)
proxy_resolver_lib_name (string)
proxy_fast_alias (booleano)
Predeterminado: false
proxy_max_children (entero)
Predeterminado: 10
Dominios de aplicaciones¶
SSSD, con su interfaz D-Bus (see sssd-ifp(5)) es atractivo para las aplicaciones como puerta de entrada a un directorio LDAP donde se almacenan usuarios y grupos. Sin embargo, de modo distinto al tradicional despliegue SSSD donde todos los usuarios y grupos bien tienen atributos POSIX o esos atributos se pueden inferir desde los Windows SIDs, en muchos casos los usuarios y grupos en el escenario de soporte de la aplicación no tienen atributos POSIX. En lugar de establecer una sección “[domain/NAME]”, el administrador puede configurar una sección “[application/NAME]” que internamente represente un dominio con un tipo “application” que opcionalmente herede ajustes de un dominio SSSD tradicional.
Por favor advierta que el dominio de aplicación debe aún ser habilitado explícitamente en el parámetros “domains” de modo que la orden de búsqueda entre el dominio de aplicación y su dominio POSIX hermano está establecido correctamente.
Parámetros de dominio de aplicación
inherit_from (cadena)
Por defecto: No definido
El siguiente ejemplo ilustra el uso de un dominio de aplicación. En este ajuste, el dominio POSIX está conectado a un servidor LDAP y se usa por el SO a través de un contestador NSS. Además, el dominio de aplicación también pide el atributo telephoneNumber, lo almacena como el atributo phone en la cache y hace al atributo phone alcanzable a través del interfaz D-Bus.
[sssd] domains = appdom, posixdom [ifp] user_attributes = +phone [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/appdom] inherit_from = posixdom ldap_user_extra_attrs = phone:telephoneNumber
SECCIÓN DE DOMINIO DE CONFIANZA¶
Algunas opciones usadas en la sección dominio puede ser usadas también en la sección dominio de confianza, esto es, en una sección llamada“[domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]”. Donde DOMAIN_NAME es el dominio base real. Por favor vea los ejemplos de abajo para una explicación. Actualmente las opciones soportadas en la sección de dominio de confianza son:
ldap_search_base,
ldap_user_search_base,
ldap_group_search_base,
ldap_netgroup_search_base,
ldap_service_search_base,
ldap_sasl_mech,
ad_server,
ad_backup_server,
ad_site,
use_fully_qualified_names
pam_gssapi_services
pam_gssapi_check_upn
Para más detalles sobre estas opciones vea su descripción individual en la página de manual.
SECCIÓN DE MAPEO DEL CERTIFICADO¶
Para permitir la autenticación con Smartcards y certificados SSSD debe ser capaz de mapear los certificados con los usuarios. Esto puede ser hecho añadiendo el certificado completo al objeto LDAP del usuario o a una anulación local. Mientras requierir el uso del certificado completo para usar la característica autenticación Smartcard de SSH (ver sss_ssh_authorizedkeys(8) para más detalles) puede ser engorroso o no siempre posible de hacer esto en el caso general donde los servicios locales usan autenticación PAM.
Para hacer que la asignación sea más flexible, se agregaron reglas de asignación y coincidencia a SSSD (ver más detalles en sss-certmap(5)).
Un regla de mapeo y coincidencia puede ser añadida a la configuración SSSD en una sección en si misma con un nombre como “[certmap/DOMAIN_NAME/RULE_NAME]”. En esta sección están permitidas las siguientes opciones:
matchrule (cadena)
Predeterminado: KRB5:<EKU>clientAuth, i.e. solo los certificados que tengan Extended Key Usage “clientAuth”
maprule (cadena)
Predeterminado:
domains (cadena)
Predetermiado: el dominio configurado en sssd.conf
priority (entero)
Predeterminado: la prioridad más baja
Para hacer la configuración sencilla y reducir la cantidad de opciones de configuración el proveedor de “ficheros” tiene algunas propiedades especiales:
SECCIÓN DE CONFIGURACIÓN INICIAL¶
Si existe un fichero especial(/var/lib/sss/pubconf/pam_preauth_available) el módulo PAM de SSSD pam_sss le pedirá a SSSD que descubra que métodos de autenticación están disponibles para el usuario que intenta iniciar sesión. En base a los resultados pam_sss pedirá al usuario las credenciales apropiadas.
Con el creciente número de métodos de autenticación y la la posibilidad de que haya múltiples para un único usuario la heurística usada por pam_sss para seleccionar la solicitud podría no ser adecuada para todos los casos. Las siguientes opciones deberían suministrar una mejor flexibilidad aquí.
Cada método de autenticación soportado tiene su propia subsección de configuración bajo “[prompting/...]”. Actualmente hay:
[prompting/password]
password_prompt
[prompting/2fa]
first_prompt
second_prompt
single_prompt
If the second factor is optional and it should be possible to log in either only with the password or with both factors two-step prompting has to be used.
Es posible añadir una subsección para servicios PAM específicos, e.g. “[prompting/password/sshd]” para el cambio individual de la pregunta para este servicio.
EJEMPLOS¶
1. El siguiente ejemplo muestra una configuración SSSD típica.No describe la configuración de los dominios en si mismos - vea la documentación sobre configuración de dominios para mas detalles.
[sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False
2. El siguiente ejemplo muestra la configuración de confianza IPA AD el bosque AD consta de dos dominios en una estructura padre-hijo. Supone que el dominio IPA (ipa.com) tiene confianza con el dominio AD (ad.com). ad.com tiene dominio hijo (child.ad.com). Para habilitar nombres cortos en el dominio hijo se debería usar la siguiente configuración.
[domain/ipa.com/child.ad.com] use_fully_qualified_names = false
3. El siguiente ejemplo muestra la configuración para dos reglas de mapeo de certificado. La primera es válida para el dominio configurado “my.domain” y adicionalmente para los subdominios “your.domain” y usa el certificado completo en el filtro de búsqueda. El segundo ejemplo es válido para el dominio “files” donde se asume que el proveedor de ficheros se usa por este dominio y contiene la regla de coincidencia para el usuario local “myname”.
[certmap/my.domain/rule_name] matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ maprule = (userCertificate;binary={cert!bin}) domains = my.domain, your.domain priority = 10 [certmap/files/myname] matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$<SUBJECT>^CN=User.Name,DC=MY,DC=DOMAIN$
VEA TAMBIEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
The SSSD upstream - https://github.com/SSSD/sssd/
04/11/2023 | SSSD |