SSSD.CONF(5) | Форматы файлов и рекомендации | SSSD.CONF(5) |
NAME¶
sssd.conf - файл конфигурации SSSD
ФОРМАТ ФАЙЛА¶
В файле используются синтаксические конструкции в стиле ini, он состоит из разделов и параметров. Раздел начинается с имени раздела в квадратных скобках и продолжается до начала нового раздела. Пример раздела с параметрами, которые имеют одно или несколько значений:
[section] key = value key2 = value2,value3
Используемые типы данных: строка (кавычки не требуются), целое число и логическое значение (возможны два значения: “TRUE” или “FALSE”).
Строка комментария начинается со знака «решётка» (“#”) или точки с запятой (“;”). Поддержка встроенных комментариев не предусмотрена.
Для всех разделов предусмотрен необязательный параметр description. Он предназначен только для обозначения раздела.
sssd.conf должен быть обычным файлом, владельцем которого является пользователь root. Права на чтение этого файла или запись в него должен иметь только пользователь root.
ФРАГМЕНТЫ КОНФИГУРАЦИИ ИЗ КАТАЛОГА ВКЛЮЧЕНИЯ¶
В файл конфигурации sssd.conf будут включены фрагменты конфигурации из каталога conf.d. Эта возможность доступна, если сборка SSSD была выполнена с библиотекой libini версии 1.3.0 или более поздней.
Любой находящийся в каталоге conf.d файл, имя которого заканчивается расширением “.conf” и не начинается с точки (“.”), будет использоваться для настройки SSSD вместе с файлом sssd.conf.
Фрагменты конфигурации из каталога conf.d имеют более высокий приоритет, чем файл sssd.conf. В случае возникновения конфликтов они переопределят параметры, заданные в файле sssd.conf. Если в каталоге conf.d присутствуют несколько фрагментов, их включение выполняется в алфавитном порядке (на основе локали). Чем позже включён файл, тем выше его приоритет. Числовые префиксы (01_snippet.conf, 02_snippet.conf и так далее) могут помочь визуализировать приоритет (чем больше число, тем выше приоритет).
Файлы фрагментов должны иметь того же владельца и те же права доступа, что и файл sssd.conf. По умолчанию: root:root и 0600.
ОБЩИЕ ПАРАМЕТРЫ¶
Следующие параметры используются в нескольких разделах конфигурации.
Параметры, используемые во всех разделах¶
debug_level (целое число)
Обратите внимание, что каждая служба SSSD ведёт журнал в своём собственном файле. Также следует учитывать, что включение параметра “debug_level” в разделе “[sssd]” включает отладку только для самого процесса sssd, а не для процессов ответчика или поставщика данных. Параметр “debug_level” следует добавить во все разделы, для которых требуется создать журналы отладки.
Уровень отладки можно изменить не только с помощью параметра “debug_level” в файле конфигурации (этот параметр является постоянным, но требует перезапуска SSSD), но и «на лету», с помощью инструмента sss_debuglevel(8).
В настоящее время поддерживаются следующие уровни отладки:
0, 0x0010: фатальные ошибки. Всё, что не позволяет выполнить запуск SSSD или вызывает прекращение работы сервиса.
1, 0x0020: критические ошибки. Ошибка, которая не прекращает работу SSSD, но означает, что как минимум одна важная функциональная возможность не будет работать надлежащим образом.
2, 0x0040: серьёзные ошибки. Ошибка, которая сообщает о завершении неудачей определённого запроса или действия.
3, 0x0080: незначительные ошибки. Это ошибки, которые могут стать причиной ошибок 2-го уровня (ошибок при выполнении действий).
4, 0x0100: параметры конфигурации.
5, 0x0200: данные функций.
6, 0x0400: сообщения трассировки для функций действий.
7, 0x1000: сообщения трассировки для функций внутреннего управления.
8, 0x2000: содержимое внутренних переменных функций, которое может представлять интерес.
9, 0x4000: информация трассировки крайне низкого уровня.
9, 0x20000: быстродействие и статистические данные. Пожалуйста, обратите внимание, что из-за способа обработки запросов на внутреннем уровне, записанное в журнал время выполнения запроса может быть больше, чем оно было на самом деле.
10, 0x10000: информация трассировки libldb ещё более низкого уровня. Практически никогда не требуется.
Чтобы выполнять ведение журнала для необходимых уровней отладки, указанных в представлении битовых масок, просто сложите их номера, как показано в следующих примерах:
Пример: используйте 0x0270, чтобы вести журнал данных фатальных ошибок, критических ошибок, серьёзных ошибок и данных функций.
Пример: используйте 0x1310, чтобы вести журнал данных фатальных ошибок, параметров конфигурации, данных функций, сообщений трассировки для функций внутреннего управления.
Примечание: формат битовых масок уровней отладки был введён в версии 1.7.0.
По умолчанию: 0x0070 (то есть фатальные, критические и серьёзные ошибки; соответствует указанию значения «2» в десятичной записи)
debug (целое число)
debug_timestamps (логическое значение)
По умолчанию: true
debug_microseconds (логическое значение)
По умолчанию: false
debug_backtrace_enabled (логическое значение)
Если SSSD работает со значением debug_level, которое меньше 9, весь журнал работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала при возникновении любой ошибки до уровня `min(0x0040, debug_level)` включительно (если для параметра debug_level явно указано значение 0 или 1, только ошибки соответствующих уровней вызовут обратную трассировку; в ином случае — до 2).
Возможность поддерживается только для `logger == files` (параметр не влияет на другие типы журнала).
По умолчанию: true
Параметры, используемые в разделах SERVICE и DOMAIN¶
timeout (целое число)
По умолчанию: 10
ОСОБЫЕ РАЗДЕЛЫ¶
Раздел [sssd]¶
Отдельные функциональные возможности SSSD обеспечиваются специальными службами SSSD, которые запускаются и останавливаются вместе с SSSD. Эти службы находятся под управлением специальной службы, которую часто называют “монитором”. Настройка монитора и некоторых других важных параметров (например, доменов идентификации) выполняется в разделе “[sssd]”.
Параметры раздела
config_file_version (целое число)
services
Поддерживаемые службы: nss, pam , sudo , autofs , ssh , pac , ifp
По умолчанию все службы отключены. Администратор должен включить разрешённые для использования службы с помощью следующей команды: «systemctl enable sssd-@service@.socket».
reconnection_retries (целое число)
По умолчанию: 3
domains
re_expression (строка)
Для каждого домена можно настроить отдельное регулярное выражение. Для некоторых поставщиков ID также предусмотрены регулярные выражения по умолчанию. Более подробные сведения об этих регулярных выражениях доступны в разделе справки «РАЗДЕЛЫ ДОМЕНА».
full_name_format (строка)
Поддерживаются следующие расширения:
%1$s
%2$s
%3$s
Для каждого домена можно настроить отдельную строку формата. Более подробные сведения об этом параметре доступны в разделе справки «РАЗДЕЛЫ ДОМЕНОВ».
monitor_resolv_conf (логическое значение)
По умолчанию: true
try_inotify (логическое значение)
В некоторых редких ситуациях не следует даже пытаться использовать inotify. В таких случаях в этот параметр следует установить значение «false»
По умолчанию: true на платформах, которые поддерживают inotify. False на других платформах.
Примечание: этот параметр ни на что не влияет на тех платформах, где недоступна подсистема inotify. На этих платформах всегда будет использоваться опрос.
krb5_rcache_dir (строка)
Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша повтора.
По умолчанию: зависит от дистрибутива и указывается при сборке. (__LIBKRB5_DEFAULTS__, если не настроено)
user (строка)
This option does not work when running socket-activated services, as the user set up to run the processes is set up during compilation time. The way to override the systemd unit files is by creating the appropriate files in /etc/systemd/system/. Keep in mind that any change in the socket user, group or permissions may result in a non-usable SSSD. The same may occur in case of changes of the user running the NSS responder.
По умолчанию: не задано, процесс будет запущен от имени пользователя root
default_domain_suffix (строка)
Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False. One exception from this rule are domains with “id_provider=files” that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used.
По умолчанию: не задано
override_space (строка)
Обратите внимание, что использование заменяющего символа, который может использоваться в именах пользователей или групп, является ошибкой конфигурации. Если имя содержит заменяющий символ, SSSD выполнит попытку вернуть неизменённое имя, но в целом результат поиска будет не определён.
По умолчанию: не задано (пробелы не будут заменены)
certificate_verification (строка)
no_ocsp
soft_ocsp
ocsp_dgst
По умолчанию: sha1 (для обеспечения совместимости с ответчиком, соответствующим стандарту RFC5019)
no_verification
partial_chain
ocsp_default_responder=URL
ocsp_default_responder_signing_cert=NAME
crl_file=/ПУТЬ/К/ФАЙЛУ/CRL
soft_crl
Неизвестные параметры передаются, но игнорируются.
По умолчанию: не задано, то есть не ограничивать проверку сертификатов
disable_netlink (логическое значение)
Изменения состояния SSSD, вызванные событиями netlink, могут быть нежелательными. Чтобы их отключить, установите этот параметр в значение «true»
По умолчанию: false (изменения netlink обнаруживаются)
enable_files_domain (логическое значение)
По умолчанию: false
domain_resolution_order
Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input , for all users but the ones managed by the files provider. In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: “full_name_format=%1$s” However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam(3) which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains.
По умолчанию: не задано
implicit_pac_responder (логическое значение)
По умолчанию: true
core_dumpable (логическое значение)
По умолчанию: true
РАЗДЕЛЫ СЛУЖБ¶
В этом разделе приводится описание параметров, которые можно использовать для настройки различных служб. Они должны находится в разделах с именами [$NAME]. Например, для службы NSS это будет раздел “[nss]”
Общие параметры настройки служб¶
Эти параметры можно использовать для настройки любых служб.
reconnection_retries (целое число)
По умолчанию: 3
fd_limit
По умолчанию: 8192 (или ограничение «hard» в limits.conf)
client_idle_timeout
По умолчанию: 60, KCM: 300
offline_timeout (целое число)
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]
Стандартное значение offline_timeout составляет 60. Стандартное значение offline_timeout_max — 3600. Стандартное значение offline_timeout_random_offset — 30. Конечный результат представляет собой количество секунд до следующей попытки.
Обратите внимание, что максимальная длительность каждого интервала задана параметром offline_timeout_max (кроме случайной части).
По умолчанию: 60
offline_timeout_max (целое число)
Значение «0» отключает использование приращения.
Значение этого параметра следует устанавливать с учётом значения параметра offline_timeout.
Если параметр offline_timeout установлен в значение «60» (значение по умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение меньше 120, поскольку первый же шаг увеличения приведёт к его превышению. Общее правило таково: значение offline_timeout_max должно по крайней мере в 4 раза превышать значение offline_timeout.
Несмотря на то, что возможно указать значение от 0 до offline_timeout, результатом этого станет переопределение значения offline_timeout, что не имеет практического смысла.
По умолчанию: 3600
offline_timeout_random_offset (целое число)
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]
Этот параметр управляет значением случайной задержки, которое используется для приведённого выше уравнения. Итоговым значением random_offset будет случайное число, принадлежащее диапазону:
[0 - offline_timeout_random_offset]
Значение «0» отключает добавление случайной задержки.
По умолчанию: 30
responder_idle_timeout
По умолчанию: 300
cache_first
По умолчанию: false
Параметры настройки NSS¶
Эти параметры можно использовать для настройки службы диспетчера службы имён (NSS).
enum_cache_timeout (целое число)
По умолчанию: 120
entry_cache_nowait_percentage (целое число)
Например, если параметр entry_cache_timeout домена установлен в значение «30s» (секунд), а параметр entry_cache_nowait_percentage установлен в значение «50» (процентов), записи, которые поступят через 15 секунд после последнего обновления кэша, будут возвращены сразу, но SSSD выполнит обновление кэша, поэтому будущим запросам не потребуется блокировка в ожидании обновления кэша.
Корректные значения этого параметра находятся в диапазоне 0-99 и представляют собой значение в процентах от entry_cache_timeout для каждого домена. Чтобы сохранить производительность, это значение никогда не уменьшает тайм-аут nowait так, что он становится меньше 10 секунд. Установка значения «0» отключает эту возможность.
По умолчанию: 50
entry_negative_timeout (целое число)
По умолчанию: 15
local_negative_timeout (целое число)
По умолчанию: 14400 (4 часа)
filter_users, filter_groups (строка)
ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников вложенных групп, так как фильтрация выполняется после их распространения для возврата с помощью NSS. Например, в списке участников группы, вложенная группа которой была отфильтрована, останутся пользователи из этой отфильтрованной вложенной группы.
По умолчанию: root
filter_users_in_groups (логическое значение)
По умолчанию: true
override_homedir (строка)
%u
%U
%d
%f
%l
%P
%o
%h
%H
%%
Этот параметр также можно задать для каждого домена отдельно.
пример:
override_homedir = /home/%u
По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)
Обратите внимание, что домашний каталог из конкретного переопределения для пользователя, локально (см. sss_override(8)) или централизованно управляемых переопределений идентификаторов IPA, обладает более высоким приоритетом и будет использоваться вместо значения, указанного с помощью override_homedir.
homedir_substring (строка)
По умолчанию: /home
fallback_homedir (строка)
Допустимые значения этого параметра совпадают с допустимыми значениями параметра override_homedir.
пример:
fallback_homedir = /home/%u
По умолчанию: не задано (без замен для незаданных домашних каталогов)
override_shell (строка)
По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)
allowed_shells (строка)
1. Если оболочка присутствует в файле “/etc/shells”, будет использована она.
2. Если оболочка присутствует в списке allowed_shells, но не в файле “/etc/shells”, использовать значение параметра shell_fallback.
3. Если оболочка отсутствует в списке allowed_shells и файле “/etc/shells”, будет использована оболочка, которая не требует входа.
Чтобы разрешить использование любой оболочки, можно использовать подстановочный знак (*).
Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда оболочка пользователя отсутствует в файле “/etc/shells”, а ведение списка всех разрешённых оболочек в allowed_shells было бы излишним.
Пустая строка оболочки передаётся libc «как есть».
Чтение файла “/etc/shells” выполняется только при запуске SSSD. Следовательно, в случае установки новой оболочки потребуется перезапуск SSSD.
По умолчанию: не задано. Автоматически используется оболочка пользователя.
vetoed_shells (строка)
shell_fallback (строка)
По умолчанию: /bin/sh
default_shell
По умолчанию: не задано (вернуть NULL, если оболочка не указана, и положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh)
get_domains_timeout (целое число)
По умолчанию: 60
memcache_timeout (целое число)
По умолчанию: 300
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное воздействие на производительность SSSD. Этот параметр следует использовать только для тестирования.
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.
memcache_size_passwd (целое число)
По умолчанию: 8
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.
memcache_size_group (целое число)
По умолчанию: 6
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.
memcache_size_initgroups (целое число)
По умолчанию: 10
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.
memcache_size_sid (целое число)
По умолчанию: 6
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.
user_attributes (строка)
Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан ли он для ответчика NSS.
По умолчанию: не задано, использовать параметр InfoPipe
pwfield (строка)
По умолчанию: “*”
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [nss].
Default: “not set” (remote domains), “x” (the files domain), “x” (proxy domain with nss_files and sssd-shadowutils target)
Параметры настройки PAM¶
Эти параметры можно использовать для настройки службы подключаемых модулей проверки подлинности (PAM).
offline_credentials_expiration (целое число)
По умолчанию: 0 (без ограничений)
offline_failed_login_attempts (целое число)
По умолчанию: 0 (без ограничений)
offline_failed_login_delay (целое число)
Если задано значение «0», пользователь не сможет пройти проверку подлинности в автономном режиме после достижения значения offline_failed_login_attempts. Для того, чтобы проверка подлинности в автономном режиме снова стала возможной, необходимо успешно пройти проверку подлинности в сетевом режиме.
По умолчанию: 5
pam_verbosity (целое число)
В настоящее время sssd поддерживает следующие значения:
0: не показывать никаких сообщений
1: показывать только важные сообщения
2: показывать информационные сообщения
3: показывать все сообщения и отладочную информацию
По умолчанию: 1
pam_response_filter (строка)
Сообщениями можно управлять с помощью параметра pam_verbosity, а этот параметр позволяет отфильтровать также и другие типы ответов.
В настоящее время поддерживаются следующие фильтры:
ENV
ENV:var_name
ENV:var_name:service
Список строк может представлять собой список фильтров, который установит эти фильтры, перезаписав стандартные значения. Либо каждый элемент списка может предваряться символом «+» или «-», что, соответственно, добавит этот фильтр к существующим стандартным фильтрам или удалит его из стандартных фильтров. Обратите внимание, что следует либо использовать префикс «+» или «-» для всех элементов списка, либо не использовать его вообще. Использование префикса только для части элементов списка считается ошибкой.
По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i
Пример: -ENV:KRB5CCNAME:sudo-i удалит фильтр из списка стандартных
pam_id_timeout (целое число)
Полный обмен данными PAM может включать несколько запросов PAM (в частности, для управления учётными записями и открытия сеансов). Этот параметр управляет (для каждого клиента-приложения отдельно) длительностью (в секундах) кэширования данных идентификации, позволяющего избежать повторных обменов данными с поставщиком данных идентификации.
По умолчанию: 5
pam_pwd_expiration_warning (целое число)
Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение.
Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически.
Этот параметр можно переопределить, установив pwd_expiration_warning для конкретного домена.
По умолчанию: 0
get_domains_timeout (целое число)
По умолчанию: 60
pam_trusted_users (строка)
По умолчанию: все пользователи считаются доверенными по умолчанию
Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже если этот идентификатор пользователя отсутствует в списке pam_trusted_users.
pam_public_domains (строка)
Для параметра pam_public_domains определены два специальных значения:
all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике PAM)
none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике PAM)
По умолчанию: none
pam_account_expired_message (строка)
Примечание: следует учитывать, что для службы SSH сообщение будет показано только при условии, что параметр pam_verbosity установлен в значение «3» (показывать все сообщения и отладочную информацию).
пример:
pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки.
По умолчанию: none
pam_account_locked_message (строка)
пример:
pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки.
По умолчанию: none
pam_cert_auth (логическое значение)
По умолчанию: false
pam_cert_db_path (строка)
По умолчанию:
pam_cert_verification (строка)
пример:
pam_cert_verification = partial_chain
По умолчанию: не задано, то есть следует использовать стандартный параметр “certificate_verification”, указанный в разделе “[sssd]”.
p11_child_timeout (целое число)
По умолчанию: 10
pam_app_services (строка)
По умолчанию: не задано
pam_p11_allowed_services (целое число)
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью “+service_name”. Также можно явно удалить имя службы PAM из стандартного набора с помощью “-service_name”. Например, чтобы заменить стандартное имя службы PAM для проверки подлинности с помощью смарт-карт (например, “login”) на пользовательское имя службы PAM (например, “my_pam_service”), необходимо использовать следующую конфигурацию:
pam_p11_allowed_services = +my_pam_service, -login
По умолчанию: стандартный набор имён служб PAM включает:
p11_wait_for_card_timeout (целое число)
По умолчанию: 60
p11_uri (строка)
Пример:
p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader
или
p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2
Чтобы найти подходящий URI, проверьте отладочный вывод p11_child. Либо можно использовать утилиту «p11tool» GnuTLS, например, с параметром «--list-all»: это тоже позволит просмотреть URI PKCS#11.
По умолчанию: none
pam_initgroups_scheme
always
no_session
never
По умолчанию: no_session
pam_gssapi_services
Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот параметр в значение “-” (дефис).
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.
Пример:
pam_gssapi_services = sudo, sudo-i
По умолчанию: - (проверка подлинности с помощью GSSAPI отключена)
pam_gssapi_check_upn
Если значение «False», проверка подлинности будет выполняться для всех пользователей, получивших необходимый билет службы.
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.
По умолчанию: true
pam_gssapi_indicators_map
Каждый элемент списка может быть либо именем индикатора проверки подлинности, либо парой “service:indicator”. Индикаторы, которые не предваряются именем службы PAM, будут требоваться для доступа к любой службе PAM, настроенной на использование с pam_gssapi_services. Итоговый список индикаторов для отдельной службы PAM затем проверяется на соответствие индикаторам в билете Kerberos во время проверки подлинности с помощью pam_sss_gss.so. Доступ будет предоставлен, если в билете будет найден индикатор, совпадающий с индикатором из итогового списка индикаторов для соответствующей службы PAM. Доступ будет запрещён, если в списке не обнаружатся совпадающие индикаторы. Если итоговый список индикаторов для службы PAM пуст, проверка не закроет доступ.
Чтобы отключить проверку индикаторов для проверки подлинности с помощью GSSAPI, установите этот параметр в значение “-” (дефис). Чтобы отключить проверку индикаторов для определённой службы PAM, добавьте “service:-”.
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.
В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих индикаторов проверки подлинности:
Пример: чтобы доступ к службам SUDO предоставлялся только пользователям, которые получили свои билеты Kerberos с предварительной проверкой подлинности сертификата X.509 (PKINIT), укажите
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
По умолчанию: не задано (использование индикаторов проверки подлинности не требуется)
Параметры настройки SUDO¶
Эти параметры можно использовать для настройки службы sudo. Подробные инструкции по настройке sudo(8) для работы с sssd(8) доступны на справочной странице sssd-sudo(5).
sudo_timed (логическое значение)
По умолчанию: false
sudo_threshold (целое число)
По умолчанию: 50
Параметры настройки AUTOFS¶
Эти параметры можно использовать для настройки службы autofs.
autofs_negative_timeout (целое число)
По умолчанию: 15
Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких-либо изменений, связанных с autofs, в файл sssd.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD.
Параметры настройки SSH¶
Эти параметры можно использовать для настройки службы SSH.
ssh_hash_known_hosts (логическое значение)
По умолчанию: false
ssh_known_hosts_timeout (целое число)
По умолчанию: 180
ssh_use_certificate_keys (логическое значение)
По умолчанию: true
ssh_use_certificate_matching_rules (строка)
Два особых ключевых слова «all_rules» и «no_rules» позволяют, соответственно, включить все правила или не включать их вообще. Последнее означает, что фильтрация сертификатов не будет выполняться; следовательно, ключи SSH будут создаваться на основе всех действительных сертификатов.
Если не настроено никаких правил, использование «all_rules» приведёт к включению стандартного правила, которое разрешает использовать все сертификаты, подходящие для проверки подлинности клиента. Это поведение соответствует поведению ответчика PAM в том случае, когда включена проверка подлинности сертификатов.
Несуществующее имя правила считается ошибкой. Если в результате не будет выбрано ни одного правила, все сертификаты будут проигнорированы.
По умолчанию: не задано, равнозначно «all_rules», используются все найденные правила или правило по умолчанию
ca_db (строка)
По умолчанию:
Параметры настройки ответчика PAC¶
Ответчик PAC работает совместно с модулем данных проверки подлинности sssd_pac_plugin.so для MIT Kerberos и поставщиком данных поддоменов. Этот модуль отправляет данные PAC ответчику PAC во время проверки подлинности с помощью GSSAPI. Поставщик данных поддоменов собирает данные по диапазонам SID и ID домена, к которому присоединён клиент, а также удалённых доверенных доменов с локального контроллера доменов. Если PAC расшифровывается и обрабатывается, выполняются некоторые из следующих операций:
Эти параметры можно использовать для настройки ответчика PAC.
allowed_uids (строка)
По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root)
Обратите внимание: несмотря на то, что в качестве стандартного значения используется UID 0, оно будет перезаписано этим параметром. Если всё равно требуется разрешить пользователю root доступ к ответчику PAC (типичный случай), будет необходимо добавить запись «0» в список UID, которым разрешён доступ.
pac_lifetime (целое число)
По умолчанию: 300
pac_check (строка)
Следующие параметры можно использовать отдельно или в виде разделённого запятыми списка:
no_check
pac_present
check_upn
check_upn_allow_missing
В настоящее время этот параметр установлен по умолчанию, чтобы избежать регрессии в подобных средах. В системный журнал и журнал отладки SSSD будет добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD. Чтобы избежать появления такого сообщения, проверьте, можно ли удалить параметр 'ldap_user_principal'. Если это невозможно, удаление 'check_upn' приведет к пропуску проверки и сообщение не появится в журнале.
upn_dns_info_present
check_upn_dns_info_ex
upn_dns_info_ex_present
По умолчанию: no_check (для поставщиков AD и IPA — 'check_upn, check_upn_allow_missing, check_upn_dns_info_ex')
Параметры настройки записи сеансов¶
Запись сеансов работает совместно с tlog-rec-session(8), частью пакета tlog, обеспечивая ведение журнала данных, которые пользователи видят и вводят после входа на текстовый терминал. См. также sssd-session-recording(5).
Эти параметры можно использовать для настройки записи сеансов.
scope (строка)
«none»
«some»
«all»
По умолчанию: «none»
users (строка)
По умолчанию: пусто. Не соответствует ни одному пользователю.
groups (строка)
ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является.
По умолчанию: пусто. Не соответствует ни одной группе.
exclude_users (строка)
По умолчанию: пусто. Не исключается ни один пользователь.
exclude_groups (строка)
ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является.
По умолчанию: пусто. Не исключается ни одна группа.
РАЗДЕЛЫ ДОМЕНА¶
Эти параметры конфигурации могут присутствовать в разделе конфигурации домена, то есть в разделе с именем “[domain/NAME]”
enabled
domain_type (строка)
Допустимые значение этого параметра: “posix” и “application”.
Домены POSIX доступны для всех служб. Домены приложений доступны только для ответчика InfoPipe (см. sssd-ifp(5)) и ответчика PAM.
ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений с “id_provider=ldap”.
Описание простого способа настройки доменов не-POSIX доступно в разделе “Домены приложений”.
По умолчанию: posix
min_id,max_id (целое число)
Что касается записей пользователей, этот параметр ограничивает диапазон основного GID. Запись пользователя не будет возвращена в NSS, если UID или основной GID находится за пределами диапазона. Находящиеся в пределах диапазона записи пользователей, которые не являются участниками основной группы, будут выведены в обычном режиме.
Эти пределы диапазона идентификаторов влияют даже на сохранение записей в кэш, а не только на их возврат по имени или идентификатору.
По умолчанию: 1 для min_id, 0 (без ограничений) для max_id
enumerate (логическое значение)
TRUE = пользователи и группы перечисляются
FALSE = для этого домена не выполняется перечисление
По умолчанию: FALSE
Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и сохранить ВСЕ записи пользователей и групп с удалённого сервера.
Примечание: если включить перечисление, во время его выполнения производительность SSSD умеренно снижается. Перечисление может занять до нескольких минут после запуска SSSD. В это время отдельные запросы информации отправляются непосредственно в LDAP, хотя это может выполняться медленно из-за ресурсоёмкой обработки перечисления. Сохранение большого количества записей в кэш после завершения перечисления также может давать интенсивную вычислительную нагрузку на центральный процессор, так как данные об участии в группах требуется вычислить заново. Это может привести к тому, что процесс “sssd_be” перестанет отвечать или даже будет перезапущен внутренним сторожевым таймером.
Когда выполняется первое перечисление, запросы полных списков пользователей или групп могут не вернуть результатов до момента завершения перечисления.
Более того, включение перечисления может увеличить время, необходимое для обнаружения отсутствия подключения к сети, так как для успешного выполнения поисков перечисления требуются более длительные тайм-ауты. Дополнительные сведения доступны на man-страницах конкретного используемого поставщика идентификаторов (id_provider).
По вышеуказанным причинам не рекомендуется включать перечисление, особенно в средах большого размера.
subdomain_enumerate (строка)
all
none
При необходимости можно указать список из одного или нескольких имён доверенных доменов, чтобы включить перечисление только для них.
По умолчанию: none
entry_cache_timeout (целое число)
Отметки времени устаревания записей кэша хранятся как атрибуты отдельных объектов в кэше. Следовательно, изменение тайм-аута кэша повлияет только на новые добавленные или устаревшие записи. Следует запустить инструмент sss_cache(8) для принудительного обновления записей, которые уже были кэшированы.
По умолчанию: 5400
entry_cache_user_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_group_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_netgroup_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_service_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_resolver_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_sudo_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_autofs_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_ssh_host_timeout (целое число)
По умолчанию: entry_cache_timeout
entry_cache_computer_timeout (целое число)
По умолчанию: entry_cache_timeout
refresh_expired_interval (целое число)
При фоновом обновлении обрабатываются содержащиеся в кэше записи пользователей, групп и сетевых групп. Обновление как записи пользователя, так и участия в группах выполняется для тех пользователей, для которых ранее выполнялись действия по инициализации групп (получение данных об участии пользователя в группах, обычно выполняется при запуске).
Этот параметр автоматически наследуется для всех доверенных доменов.
Рекомендуется установить это значение равным 3/4 * entry_cache_timeout.
Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени ожидания устаревания кэша. Если в кэше уже есть записи, фоновое задание будет использовать значения времени ожидания устаревания исходных записей, а не текущее значение конфигурации. Может возникнуть ситуация, в которой будет казаться, что фоновое задание по обновлению записей не работает. Это сделано специально для усовершенствования работы в автономном режиме и повторного использования имеющихся корректных записей в кэше. Чтобы мгновенно выполнить изменение, пользователю следует вручную объявить недействительность существующего кэша.
По умолчанию: 0 (отключено)
cache_credentials (логическое значение)
Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack.
По умолчанию: FALSE
cache_credentials_minimal_first_factor_length (целое число)
Таким образом удаётся предотвратить ситуацию, когда короткие PIN-коды основанной на PIN-кодах схемы 2FA хранятся в кэше и становятся лёгкой мишенью для атак методом подбора.
По умолчанию: 8
account_cache_expiration (целое число)
По умолчанию: 0 (без ограничений)
pwd_expiration_warning (целое число)
Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически.
Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение. Кроме того, для этого сервера следует настроить поставщика данных проверки подлинности.
По умолчанию: 7 (Kerberos), 0 (LDAP)
id_provider (строка)
“proxy”: поддержка устаревшего поставщика NSS.
“files”: поставщик данных ФАЙЛОВ. Дополнительные сведения о зеркалировании локальных пользователей и групп в SSSD: sssd-files(5).
“ldap”: поставщик данных LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).
use_fully_qualified_names (логическое значение)
Если задано значение «TRUE», во всех запросах к домену должны использоваться полные имена. Например, если этот параметр используется в домене LOCAL, содержащем пользователя «test», с помощью команды getent passwd test его не удастся найти, а с помощью команды getent passwd test@LOCAL получится это сделать.
ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они зачастую включают вложенные сетевые группы без полных имён. Для сетевых групп выполняется поиск во всех доменах, когда запрашивается неполное имя.
По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае использования default_domain_suffix)
ignore_group_members (логическое значение)
Если установлено значение «TRUE», атрибут участия в группах не запрашивается с сервера LDAP, а списки участников групп не возвращаются при обработке вызовов поиска групп, таких как getgrnam(3) или getgrgid(3). Как следствие, “getent group $groupname” вернёт запрошенную группу так, как будто она пуста.
Включение этого параметра также может значительно ускорить проверки участия в группах у поставщика доступа (особенно для групп, содержащих большое количество участников).
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit.
По умолчанию: FALSE
auth_provider (строка)
“ldap” — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“krb5” — использовать проверку подлинности Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).
“proxy” — передать проверку подлинности какой-либо другой цели PAM.
“none” — явно отключить проверку подлинности.
По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает обработку запросов проверки подлинности.
access_provider (строка)
“permit” — всегда разрешать доступ. Это единственный поставщик разрешённого доступа для локального домена.
“deny” — всегда отказывать в доступе.
“ldap” — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).
“simple” — управление доступом на основе разрешающего или запрещающего списка. Дополнительные сведения о настройке модуля доступа simple: sssd-simple(5).
“krb5” — управление доступом на основе .k5login. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).
“proxy” — передать управление доступом другому модулю PAM.
По умолчанию: “permit”
chpass_provider (строка)
“ldap” — сменить пароль, который хранится на сервере LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“krb5” — сменить пароль Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).
“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.
“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).
“proxy” — передать смену пароля какой-либо другой цели PAM.
“none” — явно запретить смену пароля.
По умолчанию: использовать “auth_provider”, если этот параметр задан и поддерживает обработку запросов смены пароля.
sudo_provider (строка)
“ldap” — для правил, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“ipa” — то же, что и “ldap”, но со стандартными параметрами IPA.
“ad” — то же, что и “ldap”, но со стандартными параметрами AD.
“none” — явно отключить SUDO.
По умолчанию: использовать значение “id_provider”, если этот параметр задан.
Подробные инструкции по настройке sudo_provider доступны на справочной странице sssd-sudo(5). Предусмотрено много параметров, которыми можно воспользоваться для настройки поведения программы. Подробное описание доступно в разделах «ldap_sudo_*» sssd-ldap(5).
ПРИМЕЧАНИЕ: загрузка правил sudo периодически выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был явно отключён). Укажите sudo_provider = None для отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не планируется использовать sudo.
selinux_provider (строка)
“ipa” — загрузить параметры SELinux с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).
“none” — явно отключает получение параметров SELinux.
По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает обработку запросов загрузки параметров SELinux.
subdomains_provider (строка)
“ipa” — загрузить список поддоменов с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).
“ad” — загрузить список поддоменов с сервера Active Directory. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).
“none” — явно отключает получение данных поддоменов.
По умолчанию: использовать значение “id_provider”, если этот параметр задан.
session_provider (строка)
“ipa” — разрешить выполнение заданий, связанных с сеансами пользователей.
“none” — не выполнять никакие задания, связанные с сеансами пользователей.
По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает выполнение заданий, связанных с сеансами.
ПРИМЕЧАНИЕ: чтобы эта возможность работала должным образом, SSSD необходимо запускать от имени пользователя root, а не от имени пользователя без привилегий.
autofs_provider (строка)
“ldap” — загрузить карты, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“ipa” — загрузить карты, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).
“ad” — загрузить карты, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).
“none” — явно отключить autofs.
По умолчанию: использовать значение “id_provider”, если этот параметр задан.
hostid_provider (строка)
“ipa” — загрузить данные идентификации узла, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).
“none” — явно отключить hostid.
По умолчанию: использовать значение “id_provider”, если этот параметр задан.
resolver_provider (строка)
“proxy” — перенаправлять поисковые запросы другой библиотеке NSS. См. “proxy_resolver_lib_name”
“ldap” — получить записи узлов и сетей, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).
“ad” — получить записи узлов и сетей, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).
“none” — явно отключает получение записей узлов и сетей.
По умолчанию: использовать значение “id_provider”, если этот параметр задан.
re_expression (строка)
Default: “^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$” which allows two different styles for user names:
Default for the AD and IPA provider: “^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$” which allows three different styles for user names:
Первые два стиля соответствуют общим стандартным стилям, а третий введён для обеспечения простой интеграции пользователей из доменов Windows.
The default re_expression uses the “@” character as a separator between the name and the domain. As a result of this setting the default does not accept the “@” character in short names (as it is allowed in Windows group names). If a user wishes to use short names with “@” they must create their own re_expression.
full_name_format (строка)
Поддерживаются следующие расширения:
%1$s
%2$s
%3$s
По умолчанию: “%1$s@%2$s”.
lookup_family_order (строка)
Поддерживаемые значения:
ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти адрес IPv6
ipv4_only: пытаться разрешать имена узлов только в адреса IPv4.
ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти адрес IPv4
ipv6_only: пытаться разрешать имена узлов только в адреса IPv6.
По умолчанию: ipv4_first
dns_resolver_server_timeout (целое число)
Поставщик данных AD также будет использовать этот параметр для ограничения времени проверки связи CLDAP.
Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.
По умолчанию: 1000
dns_resolver_op_timeout (целое число)
Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.
По умолчанию: 3
dns_resolver_timeout (целое число)
Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.
По умолчанию: 6
dns_resolver_use_search_list (логическое значение)
Если в конфигурации SSSD используются полные доменные имена (или _srv_), установка для этого параметра значения FALSE может предотвратить ненужные запросы DNS в таких средах.
По умолчанию: TRUE
dns_discovery_domain (строка)
По умолчанию: использовать доменную часть имени узла компьютера
override_gid (целое число)
case_sensitive (строка)
True
False
Preserving
Если требуется установить это значение для доверенного домена с поставщиком данных IPA, необходимо установить его как на стороне клиента, так и для SSSD на сервере.
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit.
По умолчанию: True (False для поставщика данных AD)
subdomain_inherit (строка)
ldap_search_timeout
ldap_network_timeout
ldap_opt_timeout
ldap_offline_timeout
ldap_enumeration_refresh_timeout
ldap_enumeration_refresh_offset
ldap_purge_cache_timeout
ldap_purge_cache_offset
ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр ldap_krb5_keytab не задан явно)
ldap_krb5_ticket_lifetime
ldap_enumeration_search_timeout
ldap_connection_expire_timeout
ldap_connection_expire_offset
ldap_connection_idle_timeout
ldap_use_tokengroups
ldap_user_principal
ignore_group_members
auto_private_groups
case_sensitive
Пример:
subdomain_inherit = ldap_purge_cache_timeout
По умолчанию: none
Примечание: этот параметр работает только для поставщиков данных IPA и AD.
subdomain_homedir (строка)
%F
Это значение может быть переопределено параметром override_homedir.
По умолчанию: /home/%d/%u
realmd_tags (строка)
cached_auth_timeout (целое число)
Значение этого параметра наследуется всеми доверенными доменами. В настоящее время невозможно устанавливать для отдельных доверенных доменов другие значения.
Специальное значение «0» подразумевает, что эта возможность отключена.
Обратите внимание: если “cached_auth_timeout” превышает “pam_id_timeout”, то может быть вызван внутренний сервер для обработки “initgroups.”
По умолчанию: 0
local_auth_policy (string)
There are three possible values for this option: match, only, enable. “match” is used to match offline and online states for Kerberos methods. “only” ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, “enable:passkey”, only enables passkey for local authentication. Multiple enable values should be comma-separated, such as “enable:passkey, enable:smartcard”
Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt.
The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey).
[domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only
It is expected that the “files” provider ignores the local_auth_policy option and supports Smartcard authentication by default.
Default: match
auto_private_groups (строка)
true
ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от номера UID, при использовании этого параметра не предусмотрена поддержка нескольких записей с одинаковым номером UID или GID. Иными словами, включение этого параметра принудительно устанавливает уникальность записей в пространстве идентификаторов.
false
hybrid
Если UID и GID пользователя отличаются, GID должен соответствовать записи группы; в ином случае GID просто будет невозможно разрешить.
Эта возможность полезна для сред, где требуется прекратить поддерживать отдельные объекты групп для закрытых групп пользователей, но в то же время сохранить существующие закрытые группы пользователей.
В случае поддоменов, «False» является значением по умолчанию для поддоменов, которые используют назначенные идентификаторы POSIX, а «True» — для поддоменов, которые используют автоматическое сопоставление идентификаторов.
Значение auto_private_groups можно установить либо на уровне отдельных поддоменов в подразделе, например:
[domain/forest.domain/sub.domain] auto_private_groups = false
, либо на глобальном уровне для всех поддоменов в разделе основного домена с помощью параметра subdomain_inherit:
[domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false
Параметры, которые являются действительными для доменов прокси.
proxy_pam_target (строка)
Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option.
proxy_lib_name (строка)
proxy_resolver_lib_name (строка)
proxy_fast_alias (логическое значение)
По умолчанию: false
proxy_max_children (целое число)
По умолчанию: 10
Домены приложений¶
SSSD, с его интерфейсом D-Bus (см. sssd-ifp(5)), обращается к программам как шлюз в каталог LDAP, где хранятся данные пользователей и групп. Впрочем, в отличие от традиционного формата работы SSSD, где все пользователи и группы имеют либо атрибуты POSIX, либо атрибуты, производные от SID Windows, во многих случаях пользователи и группы в сценарии поддержки приложений не имеют атрибутов POSIX. Вместо установки раздела “[domain/NAME]” администратор может установить раздел “[application/NAME]”, который на внутреннем уровне представляет собой домен с типом “application”, который может наследовать параметры традиционного домена SSSD.
Обратите внимание: домен приложений всё равно должен быть явно включён с помощью параметра “domains”; это позволит корректно задать порядок поиска для домена приложений и его родственного домена POSIX.
Параметры доменов приложений
inherit_from (строка)
По умолчанию: не задано
В следующем примере показано использование домена приложений. В этой конфигурации домен POSIX подключён к серверу LDAP и используется ОС с помощью ответчика NSS. Кроме того, домен приложений также запрашивает атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает атрибут phone доступным через интерфейс D-Bus.
[sssd] domains = appdom, posixdom [ifp] user_attributes = +phone [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/appdom] inherit_from = posixdom ldap_user_extra_attrs = phone:telephoneNumber
РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ¶
Некоторые параметры, которые используются в разделе домена, также могут использоваться в разделе доверенного домена, то есть разделе с именем “[domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]”. DOMAIN_NAME — это фактический базовый домен, к которому выполнено присоединение. Объяснение приводится в примерах ниже. В настоящее время для раздела доверенного домена поддерживаются следующие параметры:
ldap_search_base,
ldap_user_search_base,
ldap_group_search_base,
ldap_netgroup_search_base,
ldap_service_search_base,
ldap_sasl_mech,
ad_server,
ad_backup_server,
ad_site,
use_fully_qualified_names
pam_gssapi_services
pam_gssapi_check_upn
Дополнительные сведения об этих параметрах доступны в их описаниях на справочной странице.
РАЗДЕЛ СОПОСТАВЛЕНИЯ СЕРТИФИКАТОВ¶
Чтобы сделать возможной проверку подлинности по смарт-картам и сертификатам, SSSD необходима возможность сопоставления сертификатов пользователям. Это можно сделать путём добавления полного сертификата к объекту LDAP пользователя или к локальному переопределению. В то время как использование полного сертификата необходимо для использования функции проверки подлинности по смарт-картам SSH (см. sss_ssh_authorizedkeys(8)), это может быть затруднительно или даже невозможно в общем случае, когда локальные службы используют PAM для проверки подлинности.
Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила привязки и сопоставления (см. sss-certmap(5)).
Правило привязки и сопоставления можно добавить в конфигурацию SSSD как отдельный раздел с именем наподобие “[certmap/DOMAIN_NAME/RULE_NAME]”. В этом разделе допустимы следующие параметры:
matchrule (строка)
По умолчанию: KRB5:<EKU>clientAuth, то есть только те сертификаты, в которых Extended Key Usage (расширенное использование ключа) равно “clientAuth”
maprule (строка)
По умолчанию:
domains (строка)
По умолчанию: настроенный домен в sssd.conf
priority (целое число)
По умолчанию: самый низкий приоритет
Чтобы упростить настройку и уменьшить количество её параметров, для поставщика данных “files” предусмотрены некоторые особые свойства:
РАЗДЕЛ НАСТРОЙКИ ЗАПРОСОВ¶
Если специальный файл (/var/lib/sss/pubconf/pam_preauth_available) существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать, какие способы проверки подлинности доступны для пользователя, который пытается выполнить вход. В зависимости от полученного ответа pam_sss запросит у пользователя соответствующие учётные данные.
Так как количество способов проверки подлинности растёт и есть вероятность, что для одного пользователя их имеется несколько, эвристика, которая используется pam_sss для выбора запроса, подходит не для всех случаев. Следующие параметры обеспечивают более гибкую настройку.
Each supported authentication method has its own configuration subsection under “[prompting/...]”. Currently there are:
[prompting/password]
password_prompt
[prompting/2fa]
first_prompt
second_prompt
single_prompt
Если второй фактор является необязательным и должно быть возможно выполнить вход, указав либо только пароль, либо оба фактора, следует использовать двухэтапный запрос.
Возможно добавить подраздел для определённых служб PAM, например “[prompting/password/sshd]”; это позволяет изменить запрос конкретно для этой службы.
ПРИМЕРЫ¶
1. В следующем примере показана типичная конфигурация SSSD. Описание конфигурации самих доменов не приводится — оно доступно в соответствующей документации.
[sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False
2. В следующем примере показана конфигурация доверия AD IPA, где лес AD состоит из двух доменов структуры «родитель — потомок». Предположим, что домен IPA (ipa.com) имеет отношения доверия с доменом AD (ad.com). У ad.com есть дочерний домен (child.ad.com). Чтобы включить краткие имена в дочернем домене, следует использовать следующую конфигурацию.
[domain/ipa.com/child.ad.com] use_fully_qualified_names = false
3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain “my.domain” and additionally for the subdomains “your.domain” and uses the full certificate in the search filter.
[certmap/my.domain/rule_name] matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ maprule = (userCertificate;binary={cert!bin}) domains = my.domain, your.domain priority = 10
СМ. ТАКЖЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/
05/24/2024 | SSSD |