2. EL 8
  3. sssd-common
  4. sssd.conf(5)

Scroll to navigation

SSSD.CONF(5) Filformat och konventioner SSSD.CONF(5)

NAME

sssd.conf - konfigurationsfilen för SSSD

FILFORMAT

Filen har en syntax i ini-stil och består av sektioner och parametrar. En sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda parametrar:

[sektion]
nyckel = värde
nyckel2 = värde2,värde3

Datatyperna som används är sträng (inga citationstecken behövs), heltal och bool (med värdena “TRUE/FALSE”).

En kommentarsrad börjar med ett nummertecken (“#”) eller ett semikolon (“;”). Kommentarer inom raden stödjs inte.

Alla sektioner kan valfritt ha en parameter description. Dess funktion är endast som en etikett för sektionen.

sssd.conf måste vara en normal fil, ägd av root och endast root får läsa från eller skriva till filen.

KONFIGURATIONSSNUTTAR FRÅN EN INCLUDE-KATALOG

Konfigurationsfilen sssd.conf kommer inkludera konfigurationssnuttar från include-katalogen conf.d. Denna funktion är tillgänglig om SSSD kompilerades med version 1.3.0 eller senare av libini.

Filer lagda i conf.d som slutar med “.conf” och inte börjar med en punkt (“.”) kommer användas tillsammans med sssd.conf för att konfigurera SSSD.

Konfigurationssnuttarna från conf.d har högre prioritet än sssd.conf och kommer åsidosätta sssd.conf när konflikter uppstår. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat på lokalen). Filer som inkluderas senare har högre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjälpa till att visualisera prioriteten (högre tals betyder högre prioritet).

Snuttfilerna behöver samma ägare och rättigheter som sssd.conf. Vilket som standard är root:root och 0600.

ALLMÄNNA FLAGGOR

Följande flaggor är användbara i mer än en konfigurationssektion.

Flaggor användbara i alla sektioner

debug_level (heltal)

SSSD stödjer två representationer för att ange felsökningsnivå. Det enklaste är att ange ett decimalt värde från 0-9 som representerar aktivering av den nivån och alla lägre nivåer av felsökningsmeddelanden. Det mer fullständiga alternativet är att ange en hexadecimal bitmask för att aktivera eller avaktivera specifika nivåer (såsom om du önskar undertrycka en nivå).

Observera att varje SSSD-tjänst loggar till sin egen loggfil. Observera också att aktivering av “debug_level” i avsnittet “[sssd]” bara aktiverar felsökning just för själva sssd-processen, inte för respondent- eller leverantörsprocesser. Parametern “debug_level” skall läggas till i alla sektioner som man vill producera felsökningsloggar ifrån.

Utöver att ändra loggnivån i konfigurationsfilen med parametern “debug_level”, som är bestående, men kräver omstart av SSSD, är det även möjligt att ändra felsökningsnivån i farten med verktyget sss_debuglevel(8).

Felsökningsnivåer som för närvarande stödjs:

0, 0x0010: Ödesdigra fel. Allt som skulle hindra SSSD från att starta upp eller får den att sluta köra.

1, 0x0020: Kritiska fel. Ett fel som inte dödar SSSD, men ett som indikerar att åtminstone en viktig funktion inte kommer fungera korrekt.

2, 0x0040: Allvarliga fel. Ett fel som rapporterar att en viss begäran eller operation har misslyckats.

3, 0x0080: Smärre fel. Detta är fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2.

4, 0x0100: Konfigurationsinställningar.

5, 0x0200: Funktionsdata.

6, 0x0400: Spårmeddelanden för åtgärdsfunktioner.

7, 0x1000: Spårmeddelanden för interna styrfunktioner.

8, 0x2000: Innehållet i interna variabler som kan vara intressant.

9, 0x4000: Spårningsinformation på extremt låg nivå.

9,0x20000: Prestanda och statistiska data, observera att på grund av hur förfrågningar behandlas internt kan den loggade exekveringstiden för en förfrågan vara längre än den faktiskt var.

10, 0x10000: Ännu mer lågnivå spårningsinformation om libldb. Det behövs nästan aldrig.

För att logga begärda bitmaskfelsökningsnivåer, lägg helt enkelt ihop deras tal som visas i följande exempel:

Exempel: För att logga ödesdigra fel, kritiska fel, allvarliga fel och funktionsdata, använd 0x0270.

Exempel: För att logga ödesdigra fel, konfigurationsinställningar, funktionsdata och spårmeddelanden för interna styrfunktioner, använd 0x1310.

Observera: bitmaskformatet för felsökningsnivåer introducerades i 1.7.0.

Standard: 0x0070 (d.v.s. ödesdigra, kritiska och allvarliga fel; motsvarar inställningen 2 i decimal notation)

debug (heltal)

SSSD 1.14 och senare inkluderar också aliaset debug för debug_level som en bekvämlighetsfiness. Om båda anges kommer värdet pådebug_level användas.

debug_timestamps (bool)

Lägg till en tidsstämpel till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning ignoreras denna flagga.

Standard: true

debug_microseconds (bool)

Lägg till mikrosekunder till tidsstämpeln till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning ignoreras denna flagga.

Standard: false

debug_backtrace_enabled (bool)

Aktivera felsökningsspårning.

Ifall SSSD körs med debug_level mindre än 9 loggas allting till en ringbuffert i minnet och skrivs till en loggfil när nägot fel upp till och inklusive ”min(0x0040, debug_level)” (d.v.s. om debug_level uttryckligen är satt till 0 eller 1 kommer endast dessa felnivåer att orsaka en spårning, annars upp till 2).

Funktionen stödjs endast för ”logger == files” (d.v.s. att sätta denna har ingen effekt för andra loggningstyper).

Standard: true

Flaggor användbara i sektionerna SERVICE och DOMAIN

timeout (heltal)

Tidsgräns i sekunder mellan hjärtslag för denna tjänst. Detta används för att säkerställa att processen lever och kan svara på begäranden. Observera att efter tre missade hjärtslag kommer processen avsluta sig själv.

Standard: 10

SPECIALSEKTIONER

Sektionen [sssd]

Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna hanteras av en speciell tjänst som ofta kallas “monitor”. Sektionen “[sssd]” används för att konfigurera övervakaren såväl som andra viktiga alternativ som identitetsdomänerna.

Sektionsparametrar

config_file_version (heltal)

Indikerar vilken syntaxen är i konfigurationsfilen. SSSD 0.6.0 och senare använder version 2.

services

Kommaseparerad lista av tjänster som startas när sssd själv startas. Tjänstelistan är frivillig på plattformar där systemd stödjs, eftersom de antingen kommer vara uttags- eller D-Bus-aktiverade vid behov.

Tjänster som stödjs: nss, pam , sudo , autofs , ssh , pac , ifp

Som standard är alla tjänster avaktiverade och administratören måste aktivera de tillåtna genom att köra: ”systemctl enable sssd-@service@.socket".

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörskrasch eller -omstart innan de ger upp

Standard: 3

domains

En domän är en databas som innehåller användarinformation. SSSD kan använda flera domäner på samma gång, men åtminstone en måste vara konfigurerad, annars kommer inte SSSD starta. Denna parameter beskriver listan av domäner i den ordning du vill att de skall tillfrågas. Ett domännamn rekommenderas endast att bestå av alfanumeriska ASCII-tecken, bindestreck, punkter och understrykningstecken. Tecknet ”/” är förbjudet.

re_expression (sträng)

Reguljärt standarduttryck som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter.

Varje domän kan ha ett eget reguljärt uttryck konfigurerat. För några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om dessa reguljära uttryck.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Varje domän kan ha en egen formatsträng konfigurerad. Se DOMÄNSEKTIONER för mer information om detta alternativ.

monitor_resolv_conf (boolean)

Styr om SSSD skall övervaka tillståndet för resolv.conf för att identifiera när den behöver uppdatera sin interna DNS-uppslagare.

Standard: true

try_inotify (boolean)

Som standard kommer SSSD försöka använda inotify för att övervaka ändringar av konfigurationsfiler och kommer gå tillbaka till att polla var femte sekund om inotify inte kan användas.

Det finns vissa situationer när det är att föredra att vi skall hoppa över att ens försöka att använda inotify. I dessa sällsynta fall skall detta alternativ sättas till ”false”

Standard: true på plattformar där inotify stödjs. False på andra plattformar.

Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify inte är tillgängligt. På dessa plattformar kommer pollning alltid användas.

krb5_rcache_dir (sträng)

Katalog i filsystemet där SSSD skall spara Kerberos-cachefiler för återuppspelning.

Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för cachefilerna för återuppspelning.

Standard: distributionsspecifikt och anges vid byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat)

user (sträng)

The user to drop the privileges to where appropriate to avoid running as the root user. Currently the only supported value is 'sssd'.

This option does not work when running socket-activated services, as the user set up to run the processes is set up during compilation time. The way to override the systemd unit files is by creating the appropriate files in /etc/systemd/system/. Keep in mind that any change in the socket user, group or permissions may result in a non-usable SSSD. The same may occur in case of changes of the user running the NSS responder.

Standard: inte angivet, processer kommer köra som root

default_domain_suffix (sträng)

Strängen kommer användas som ett standardnamn för domänen för alla namn utan en domännamnsdel. Det huvudsakliga användningsfallet är miljöer där primärdomänen är avsedd för hantering av värdpolicyer och alla användare är placerade i en betrodd domän. Alternativet låter dessa användare att logga in med bara sitt användarnamn utan att dessutom ange ett domännamn.

Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False. One exception from this rule are domains with “id_provider=files” that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used.

Standard: inte satt

override_space (sträng)

Denna parameter kommer ersätta blanksteg (mellanslag) med det angivna tecknet i användar- och gruppnamn, t.ex. (_). Användarnamnet "sven svensson" blir "sven_svensson" Denna funktion lades till för att hjälpa till med kompatibiliteten med skalskript som har svårigheter att hantera blanka, på grund av att det är standardfältseparatorn i skalet.

Observera att det är ett konfigurationsfel att använda ett ersättningstecken som kan användas i användar- eller gruppnamn. Om ett namn innehåller ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i allmänhet är resultatet av en uppslagning odefinierat.

Standard: inte satt (blanka kommer inte ersättas)

certificate_verification (sträng)

Med denna parameter kan verifieringen av certifikatet justeras med en kommaseparerad lista av alternativ. Alternativ som stödjs är

no_ocsp

Avaktiverar kontroller enligt Online Certificate Status Protocol (OCSP). Detta kan behövas om OCSP-servrarna som definieras i certifikatet inte är nåbara från klienten.

soft_ocsp

Om en anslutning inte kan etableras till en OCSP-respondent hoppas OCSP-kontrollen över. Denna flagga skall användas för att tillåta autentisering när systemet är frånkopplat och OCSP-respondenten inte kan nås.

ocsp_dgst

Kontrollsumme- (hash-)funktion som används för att skapa certifikats-ID för OCSP-begäran. Tillåtna värden är:

•sha1

•sha256

•sha384

•sha512

Standard: sha1 (för att tillåta kompatibilitet med respondenter som följer RFC5019)

no_verification

Avaktiverar helt verifiering. Detta alternativ skall endast användas för testning.

partial_chain

Tillåt verifikationen att lyckas även om en fullständig kedja inte kan byggas till ett självsignerat förtroendeankare, förutsatt att det är möjligt att konstruera en kedja till ett betrott certifikat som inte behöver vara självsignerat.

ocsp_default_responder=URL

Anger standard-OCSP-respondent som skall användas istället för den som nämns i certifikatet. URL:en måste ersättas med URL:en till standard-OCSP-respondenten t.ex. http://example.com:80/ocsp.

ocsp_default_responder_signing_cert=NAMN

Detta alternativ ignoreras för närvarande. Alla nödvändiga certifikat måste vara tillgängliga i PEM-filen som anges av pam_cert_db_path.

crl_file=/SÖKVÄG/TILL/CRL/FIL

Använd certifikatåterkallelselistan (Certificate Revocation List, CRL) från den givna filen under verifikationen av certifikatet. CRL:en måste ges i PEM-format, se crl(1ssl) för detaljer.

soft_crl

Om en certifikatåterkalleleselista (CRL) gått ut, ignorera CRL-kontroller för de relaterade certifikaten. Denna flagga skall användas för att tillåta autentisering när systemet är frånkopplat och CRL:en inte kan förnyas.

Okända alternativ rapporteras men ignoreras.

Standard: inte satt, d.v.s begränsa inte certifikatverifieringen

disable_netlink (boolean)

SSSD-hakar in i netlink-gränssnittet för att övervaka förändringar av rutter, adresser, länkar och utlösa vissa åtgärder.

Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga och kan avaktiveras genom att sätta detta alternativ till ”true”

Standard: false (netlink-förändringar detekteras)

enable_files_domain (boolean)

När detta alternativ är aktiverat skjuter SSSD in en implicit domän med “id_provider=files” före några explicit konfigurerade domäner.

Standard: false

domain_resolution_order

Kommaseparerad lista av domäner och underdomäner som representerar ordningen av uppslagningar skall följa. Listan behöver inte innehålla alla möjliga domäner eftersom de saknade domänerna kommer slås upp baserat på ordningen de presenteras i konfigurationsalternativet “domains”. Underdomäner som inte är listade som en del av “lookup_order” kommer slås upp i en slumpvis ordning för varje föräldradomän.

Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input , for all users but the ones managed by the files provider. In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: “full_name_format=%1$s” However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam(3) which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains.

Standard: inte satt

implicit_pac_responder (boolean)

PAC-respondenten aktiveras automatiskt för IPA- och AD-leverantörerna för att utvärdera och kontrollera PAC:en. Om den måste avaktiveras sätt detta alternativ till ”false”.

Standard: true

core_dumpable (boolean)

Detta alternativ kan användas för allmän förstärkning: att sätta det till ”false” förbjuder kärndumpar för alla SSSD-processer för att undvika att klartextlösenord läcker. Se manualsidan prctl:PR_SET_DUMPABLE för detaljer.

Standard: true

TJÄNSTESEKTIONER

Inställningar som kan användas för att konfigurera olika tjänster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, för tjänsten NSS skulle sektionen vara “[nss]”

Allmänna alternativ för tjänstekonfiguration

Dessa alternativ kan användas för att konfigurera alla tjänster.

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörskrasch eller -omstart innan de ger upp

Standard: 3

fd_limit

Detta alternativ anger det maximala antalet filbeskrivare som kan öppnas på en gång av denna SSSD-process. På system där SSSD ges förmågan CAP_SYS_RESOURCE kommer detta vara en absolut inställning. På system utan denna förmåga kommer det resulterande värdet vara det lägre av detta värde och den ”hårda” gränsen i limits.conf.

Standard: 8192 (eller den ”hårda” gränsen i limits.conf)

client_idle_timeout

Detta alternativ anger antalet sekunder som en klient till en SSSD-process kan hålla fast i en filbeskrivare utan att kommunicera över den. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Tidsgränsen kan inte vara kortare än 10 sekunder. Om ett lägre värde konfigureras kommer det att justeras till 10 sekunder.

Standard: 60, KCM: 300

offline_timeout (heltal)

När SSSD byter till frånkopplat läge, kommer tiden före den försöker gå tillbaka till uppkopplat läge öka baserat på tiden tillbringad frånkopplad. Som standard använder SSSD ett inkrementellt beteende för att beräkna fördröjningen mellan återförsök. Så, väntetiden för ett givet återförsök kommer vara längre än väntetiden för det föregående. Efter varje misslyckat försök att bli uppkopplat beräknas det nya intervallet om enligt följande:

ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + slumpvärde[0...offline_timeout_random_offset]

Standardvärdet för offline_timeout är 60. Standardvärdet på offline_timeout_max är 3600. Standardvärdet på offline_timeout_random_offset är 30. Slutresultatet är antalet sekunder före nästa omförsök.

Observera att den maximala längde på varje intervall definieras av offline_timeout_max (förutom slumpdelen).

Standard: 60

offline_timeout_max (heltal)

Styr med hur mycket tiden mellan försök att ansluta kan ökas efter ett misslyckat försök att koppla upp.

Ett värde på 0 avaktiverar det ökande beteendet.

Värdet på denna parameter skall sättas i korrelation med parametervärdet offline_timeout.

Med offline_timout satt till 60 (standardvärdet) är det ingen poäng i att sätta ofline_timeout_max till mindre än 120 eftersom det kommer mättas omedelbart. En allmän regel här bör vara att sätta offline_timeout_max till åtminstone 4 gånger offline_timeout.

Även om ett värde mellan 0 och offline_timeout kan anges har det effekten att åsidosätta värdet offline_timeout så det är inte så användbart.

Standard: 3600

offline_timeout_random_offset (heltal)

När SSSD är i frånkopplat läge fortsätter den att prova bakändesservrar med angivna tidsintervall:

ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + slumpvärde[0...offline_timeout_random_offset]

Denna parameter styr värdet på den slumpvisa förskjutningen som används i ovanstående ekvation. Det slutliga random_offset-värdet kommer vara ett slumptal i intervallet:

[0 – offline_timeout_random_offset]

Ett värde på 0 avaktiverar tillägget av en slumpfördröjning.

Standard: 30

responder_idle_timeout

Detta alternativ anger antalet sekunder som en SSSD-respondentprocess kan vara uppe utan att användas. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Det minsta acceptabla värdet för detta alternativ är 60 sekunder. Att sätta detta alternativ till 0 (noll) betyder att ingen tidsgräns kommer att sättas av respondenten. Detta alternativ har bara effekt när SSSD är byggt med stöd för systemd och när tjänster är antingen uttags- eller D-Bus-aktiverade.

Standard: 300

cache_first

Detta alternativ anger huruvida respondenten skall fråga alla cachar före den frågar dataleverantörerna.

Standard: false

NSS-konfigurationsalternativ

Dessa alternativ kan användas för att konfigurera tjänsten Name Service Switch (NSS).

enum_cache_timeout (heltal)

Hur många sekunder skall nss_sss cacha uppräkningar (begäranden för information om alla användare)

Standard: 120

entry_cache_nowait_percentage (heltal)

Cachen över poster kan ställas in att automatiskt uppdatera poster i bakgrunden om de begärs utöver en procentsats av värdet entry_cache_timeout för domänen.

Till exempel, om domänens entry_cache_timeout är satt till 30 s och entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering.

Giltiga värden för detta alternativ är 0-99 och representerar en procentsats av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. (0 avaktiverar denna funktion)

Standard: 50

entry_negative_timeout (heltal)

Anger hur många sekunder nss_sss cachar negativa cacheträffar (det vill säga, frågor om ogiltiga databasposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

local_negative_timeout (heltal)

Anger hur många sekunder nss_sss skall hålla lokala användare och grupper i en negativ cache före den försöker slå upp dem i bakänden igen. Att ställa in alternativet till 0 avaktiverar denna funktion.

Standard: 14400 (4 timmar)

filter_users, filter_groups (sträng)

Uteslut vissa användare eller grupper från att hämtas från sss NSS-databasen. Detta är särskilt användbart för systemkonton. Detta alternativ kan också anges per domän eller inkludera fullständigt kvalificerade namn för att filtrera endast användare från den angivna domänen eller efter ett användarhuvudmansnamn (UPN).

OBS: alternativet filter_groups påverkar inte arvet av nästade gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvändarna i den senare listade.

Standard: root

filter_users_in_groups (bool)

Om du vill att filtrerade användare fortfarande skall vara gruppmedlemmar sätt då detta alternativ till false.

Standard: true

override_homedir (sträng)

Åsidosätt användarens hemkatalog. Du kan antingen ge ett absolut värde eller en mall. I mallen ersätts följande sekvenser:

%u

inloggningsnamn

%U

AID-nummer

%d

domännamn

%f

fullständigt kvalificerat användarnamn (användare@domän)

%l

Första bokstaven i inloggningsnamnet.

%P

UPN – Användarens Huvudmansnamn (namn@RIKE)

%o

Den ursprungliga hemkatalogen som hämtades från identitetsleverantören.

%h

Den ursprungliga hemkatalogen som hämtades från identitetsleverantören, men i gemener.

%H

Värdet på konfigurationsalternativet homedir_substring.

%%

ett bokstavligt ”%”

Detta alternativ kan även sättas per domän.

exempel:

override_homedir = /home/%u

Standard: Inte satt (SSSD kommer använda värdet som hämtas från LDAP)

Observera att hemkatalog från ett specifikt åsidosättande för användaren, antingen lokalt (se sss_override(8)) eller centralt hanterat IPA-id-åsidosättande, har en högre precedens och kommer användas istället för värdet gom ges av override_homedir.

homedir_substring (sträng)

Värdet på detta alternativ kommer användas i expansionen av alternativet override_homedir om mallen innehåller formatsträngen %H. En LDAP-katalogpost kan innehålla denna mall direkt så att detta alternativ kan användas för att expandera sökvägen till hemkatalogen för varje klientmaskin (eller operativsystem). Den kan sättas per domän eller globalt i avsnittet [nss]. Ett värde som anges i ett domänavsnitt kommer åsidosätta ett som är satt i avsnittet [nss].

Standard: /home

fallback_homedir (sträng)

Ange en standardmall för en användares hemkatalog om ingen uttryckligen anges av domänens dataleverantör.

De tillgängliga värdena för detta alternativ är samma som för override_homedir.

exempel:

fallback_homedir = /home/%u

Standard: inte satt (ingen ersättning för ej angivna hemkataloger)

override_shell (sträng)

Åsidosätt inloggningsskalet för alla användare. Detta alternativ går före alla andra skalalternativ om det har effekt och kan sättas antingen i sektionen [nss] eller per domän.

Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP)

allowed_shells (sträng)

Begränsa användarskal till ett av de listade värdena. Beräkningsordningen är:

1. Om skalet finns i “/etc/shells” används det.

2. Om skalet finns i listan allowed_shells men inte i “/etc/shells”, använd värdet på parametern shell_fallback.

3. Om skalet inte finns i listan allowed_shells och inte i “/etc/shells” används ett nologin-skal.

Jokertecknet (*) kan användas för att tillåta godtyckligt skal.

(*) är användbart om du vill använda shell_fallback ifall den användarens skal inte finns i “/etc/shells” och att underhålla listan över alla skal i allowed_shells skulle vara för mycket overhead.

En tom sträng som skal skickas som den är till libc.

“/etc/shells” läses bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behövs ifall ett nytt skal installeras.

Standard: inte satt. Användarens skal används automatiskt.

vetoed_shells (sträng)

Ersätt alla instanser av dessa skal med shell_fallback

shell_fallback (sträng)

Standardskalet att använda om ett tillåtet skal inte är installerat på maskinen.

Standard: /bin/sh

default_shell

Standardskalet att använda om leverantören inte returnerar något under uppslagningen. Detta alternativ kan anges globalt i sektionen [nss] eller per domän.

Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh)

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

memcache_timeout (heltal)

Anger tiden i sekunder under vilken poster i minnescachen kommer vara giltiga. Att sätta detta alternativ till noll kommer avaktivera cachen i minnet.

Standard: 300

VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ påverkan på SSSD:s prestanda och skall bara användas för testning.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_passwd (heltal)

Storlek (i megabyte) på datatabellen som allokeras inuti en snabb i-minnes-cache för lösenordsbegäranden. Att sätta storleken till 0 kommer avaktivera lösenords-cachen i minnet.

Standard: 8

VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_group (heltal)

Storlek (i megabyte) på datatabellen som allokeras inuti en snabb i-minnes-cache för gruppbegäranden. Att sätta storleken till 0 kommer avaktivera grupp-cachen i minnet.

Standard: 6

VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_initgroups (heltal)

Storlek (i megabyte) på datatabellen som allokeras inuti en snabb i-minnes-cache för initgruppbegäranden. Att sätta storleken till 0 kommer avaktivera initgrupp-cachen i minnet.

Standard: 10

VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_sid (integer)

Storlek (i megabyte) på datatabellen som allokeras inuti en snabb i-minnes-cache för SID-realterade begäranden. Endast SID-via-ID- och ID-via-SID-begäranden sparas för närvarande i den snabba cachen i minnet. Att sätta storleken till 0 kommer avaktivera SID-cachen i minnet.

Standard: 6

VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant negativ påverkan på SSSD:s prestanda.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

user_attributes (sträng)

Några av de ytterligare NSS-respondentbegäranden kan returnera fler attribut än bara de som definieras av POSIX via NSS-gränssnittet. Listan av attribut styrs av detta alternativ. Det hanteras på samma sätt som alternativet “user_attributes” för InfoPipe-respondenten (se sssd-ifp(5) för detaljer) men utan standardvärden.

För att förenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-alternativet om det inte är satt för NSS-respondenten.

Standard: inte satt, gå tillbaka till InfoPipe-alternativet

pwfield (sträng)

Värdet som NSS-operationer som returnerar användare eller grupper kommer att returnera i fältet “password”.

Standard: “*”

Observera: detta alternativ kan även sättas per domän vilket åsidosätter värdet i [nss]-sektionen.

Default: “not set” (remote domains), “x” (the files domain), “x” (proxy domain with nss_files and sssd-shadowutils target)

PAM-konfigurationsalternativ

Dessa alternativ kan användas för att konfigurera tjänsten Pluggable Authentication Module (PAM).

offline_credentials_expiration (heltal)

Om autentiseringsleverantören inte är ansluten, hur länge skall vi tillåta cachade inloggningar (i dagar efter den senaste lyckade uppkopplade inloggningen).

Standard: 0 (ingen gräns)

offline_failed_login_attempts (heltal)

Om autentiseringsleverantören inte är ansluten, hur många misslyckade inloggningsförsök är tillåtna.

Standard: 0 (ingen gräns)

offline_failed_login_delay (heltal)

Tiden i minuter som måste förflyta efter att offline_failed_login_attempts har nåtts före ett nytt inloggningsförsök är möjligt.

Om satt till 0 kan inte användaren autentisera om offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen.

Standard: 5

pam_verbosity (heltal)

Styr vilken sorts meddelanden som visas för användaren under autentisering. Ju högre tal desto fler meddelanden visas.

För närvarande stödjs följande värden:

0: visa inte några meddelanden

1: visa endast viktiga meddelanden

2: visa informationsmeddelanden

3: visa alla meddelanden och felsökningsinformation

Standard: 1

pam_response_filter (sträng)

En kommaseparerad lista av strängar som möjliggör att ta bort (filtrera) data skickat av PAM-respondenten till pam_sss-PAM-modulen. Det finns olika sorters svar skickade till pam_sss, t.ex. meddelanden som visas för användaren eller miljövariabler som skall sättas av pam_sss.

Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity gör detta alternativ att man kan filtrera ut andra sorters svar dessutom.

För närvarande stödjs följande filter:

ENV

Skicka inte några miljövariabler till någon tjänst.

ENV:varnamn

Skicka inte miljövariabeln varnamn till någon tjänst.

ENV:varnamn:tjänst

Skicka inte miljövariabeln varnamn till tjänst.

Listan av strängar kan antingen vara listan av filter vilka skulle sätta denna lista av filter och åsidosätta standardvärdet. Eller så kan varje element i listan ha ett tecken ”+” eller ”-” som prefix vilket skulle lägga till filtret till det befintliga standardvärdet respektive ta bort det från standardvärdet. Observera att antingen måste alla listelement ha ett ”+” eller ”-” eller inget av dem. Det ses som ett fel att blanda båda sätten.

Standard: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i

Exempel: -ENV:KRB5CCNAME:sudo-i kommer ta bort det filtret från standardlistan

pam_id_timeout (heltal)

För alla PAM-begäranden när SSSD är uppkopplat kommer SSSD försöka att omedelbart uppdatera cachad identitetsinformation för användaren för att se till att autentisering sker med den senaste informationen.

En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom hantering av konto och öppning av en session. Detta alternativ styr (på per-klientprogrambasis) hur länge (i sekunder) vi kan cacha identitetsinformationen för att undvika överdrivna rundturer till identitetsleverantören.

Standard: 5

pam_pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Denna inställning kan åsidosättas genom att sätta pwd_expiration_warning för en viss domän.

Standard: 0

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

pam_trusted_users (sträng)

Anger den kommaseparerade listan av AID-värden eller användarnamn som tillåts köra PAM-konverteringar mot betrodda domäner. Användare som inte är inkluderade i denna lista kan endast komma åt domäner som är markerade som publika med “pam_public_domains”. Användarnamn slås upp till UID vid uppstart.

Standard: alla användare betraktas som betrodda som standard

Observera att AID 0 alltid tillåts komma åt PAM-respondenten även ifall den inte är i listan pam_trusted_users.

pam_public_domains (sträng)

Anger den kommaseparerade listan över domännamn som är åtkomliga även för ej betrodda användare.

Två speciella värden för alternativet pam_public_domains är definierade:

all (Ej betrodda användare tillåts komma åt alla domäner i PAM-respondenten.)

none (Ej betrodda användare tillåts inte att komma åt några domäner i PAM-respondenten.)

Standard: none

pam_account_expired_message (sträng)

Gör att det går att ange ett anpassat utgångsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om inte pam_verbosity är satt till 3 (visa alla meddelanden och felsökningsinformation).

exempel:

pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten.

Standard: none

pam_account_locked_message (sträng)

Gör att det går att ange ett anpassat utlåsningsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

exempel:

pam_account_locked_message = Kontot är låst, kontakta kundtjänsten.

Standard: none

pam_cert_auth (bool)

Aktivera certifikatbaserad smartkortsautentisering. Eftersom detta förutsätter ytterligare kommunikation med smartkortet vilket kommer fördröja autentiseringsprocessen är detta alternativ avaktiverat som standard.

Standard: False

pam_cert_db_path (sträng)

Sökvägen till certifikatdatabasen.

Standard:

•/etc/sssd/pki/sssd_auth_ca_db.pem (sökväg till en fil med betrodda CA-certifikat i PEM-format)

pam_cert_verification (sträng)

Med denna parameter kan verifieringen av PAM-certifikatet justeras med en kommaseparerad lista av alternativ som åsidosätter värdet på “certificate_verification” i sektionen “[sssd]”. Flaggor som stödjs är samma som för “certificate_verification”.

exempel:

pam_cert_verification = partial_chain

Standard: inte satt, d.v.s. använd standardvärdet “certificate_verification” definierat i sektionen “[sssd]”.

p11_child_timeout (heltal)

Hur många sekunder pam_sss kommer vänta på p11_child att avsluta.

Standard: 10

pam_app_services (sträng)

Vilken PAM-tjänster tillåts att kontakta domäner av typen “application”

Standard: inte satt

pam_p11_allowed_services (heltal)

En kommaseparerad lista av PAM-tjänstenamn för vilka det kommer vara tillåtet att använda smarta kort.

Det är möjligt att lägga till ett annat PAM-tjänstenamn till standarduppsättningen genom att använda “+tjänstenamn” eller att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen genom att använda “-tjänstenamn”. Till exempel, för att byta ut ett standard-PAM-tjänstenamn för autentisering med smarta kort (t.ex. “login”) mot ett anpassat PAM-tjänstenamn (t.ex. “min_pam-tjänst”) skulle man använda följande konfiguration:

pam_p11_allowed_services = +min_pam-tjänst, -login

Standard: standarduppsättningen av PAM-tjänstenamn innefattar:

•login

•su

•su-l

•gdm-smartcard

•gdm-password

•kdm

•sudo

•sudo-i

•gnome-screensaver

p11_wait_for_card_timeout (heltal)

Om smartkortsautentisering krävs hur många extra sekunder utöver p11_child_timeout PAM-respondenten skall vänta på att ett smartkort sätts in.

Standard: 60

p11_uri (sträng)

PKCS#11 URI (se RFC-7512 för detaljer) som kan användas för att begränsa urvalet av enheter som används för smartkortsautentisering. Som standard kommer SSSD:s p11_child söka efter ett PKCS#11-fack (läsare) där flaggan ”removable” är satt och läsa certifikaten från det insatta elementet från det första facket som hittas. Om flera läsare är anslutna kan p11_uri användas för att säga till p11_child att använda en specifik läsare.

Exempel:

p11_uri = pkcs11:slot-description=Min%20smartkortsläsare

eller

p11_uri = pkcs11:library-description=OpenSC%20smartkortsramverk;slot-id=2

För att hitta en lämplig URI, kontrollera felsökningsutdata från p11_child. Som ett alternativ kommer GnuTLS-verktyget ”p11tool” med t.ex. ”--list-all” visa även PKCS#11 URI:er.

Standard: none

pam_initgroups_scheme

PAM-respondenten kan framtvinga en uppkopplad uppslagning för att ta fram de aktuella gruppmedlemskapen för användaren som försöker logga in. Denna flagga styr när detta skall göras och följande värden är tillåtna:

always

Gör alltid en uppkopplad uppslagning, observera att pam_id_timeout fortfarande gäller

no_session

Gör bara en uppkopplad uppslagning om det inte finns någon aktiv session för användaren, d.v.s. om användaren inte är inloggad för närvarande

never

Gör aldrig uppkopplade uppslagningar, använd data från cachen så länge de inte har gått ut

Standard: no_session

pam_gssapi_services

Kommaseparerad lista över PAM-tjänster som tillåts att försöka med GSSAPI-autentisering med modulen pam_sss_gss.so.

För att avaktivera GSSAPI-autentisering, sätt denna lista till “-” (streck).

Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.

Exempel:

pam_gssapi_services = sudo, sudo-i

Standard: - (GSSAPI-autentisering är avaktiverat)

pam_gssapi_check_upn

Om sant kommer SSSD kräva att det Kerberos användarhuvudmansnamn som lyckats autentisera via GSSAPI kan associeras med användaren som autentiseras. Autentisering kommer misslyckas om kontrollen misslyckas.

Om falskt kommer varje användare som kan få den begärda biljetten att autentiseras.

Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.

Standard: True

pam_gssapi_indicators_map

Kommaseparerad lista över autentiseringsindikatorer som måste finnas i en Kerberos-biljett för att komma åt en PAM-tjänst som får prova GSSAPI-autentisering med modulen pam_sss_gss.so.

Varje element i listan kan antingen vara ett autentiseringsindikatornamn eller ett par “tjänst:indikator”. Indikatorer som inte har PAM-tjänsten som prefix kommer krävas för att komma åt någon PAM-tjänst alls som är konfigurerad att användas med pam_gssapi_services. En resulterande lista över indikatorer per PAM-tjänst kontrolleras sedan mot indikatorer i Kerberos-biljetten under autentisering via pam_sss_gss.so. Om någon indikator från biljetten matchar den resulterande listan av indikatorer för PAM-tjänsten så ges åtkomst. Om ingen av indikatorerna i listan matchar, kommer åtkomst nekas. Om den resulterande listan av indikatorer för PAM-tjänsten är tom kommer kontrollen inte att förhindra åtkomsten.

För att avaktivera indikatorkontrollen med GSSAPI-autentisering, sätt denna flagga till “-” (streck). För att avaktivera kontrollen för en specifik PAM-tjänst, lägg till “tjänst:-”.

Observera: denna flagga kan även sättas per domän vilket skriver över värdet i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver över värdet i domänsektionen.

Följande autentiseringsindikatorer stödjs av IPA-Kerberosinstallationer:

•pkinit — förautentisering med X.509-certifikat — oavsett om de lagrats i filer eller på smarta kort.

•hardened — SPAKE-förautentisering eller godtycklig förautentisering inslagen i en FAST-kanal.

•radius — förautentisering med hjälp av en RADIUS-server.

•otp — förautentisering med användning av integrerad tvåfaktorautentisering (2FA eller engångslösenord, OTP) i IPA.

•idp — förautentisering med extern identitetsleverantör.

Exempel: för att begära åtkomst till SUDO-tjänster endast för användare som fick sina Kerberos-biljetter med förautentisering med ett X.509-certifikat (PKINIT), sätt

pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit

Standard: inte satt (användning av autentiseringsindikatorer krävs inte)

SUDO-konfigurationsalternativ

Dessa alternativ kan användas för att konfigurera tjänsten sudo. De detaljerade instruktionerna för konfiguration av sudo(8) för att fungera med sssd(8) finns i manualsidan sssd-sudo(5).

sudo_timed (bool)

Huruvida attributen sudoNotBefore och sudoNotAfter som implementerar tidsberoende sudoers-poster skall evalueras eller inte.

Standard: false

sudo_threshold (heltal)

Maximalt antal utgångna regler som kan uppdateras på en gång. Om antalet utgångna regler är under gränsen uppdateras dessa regler med mekanismen “regeluppdatering”. Om gränsen överskrids triggas en “fullständig uppdatering” av sudo-regler istället. Detta gränsvärde gäller även IPA-sudo-kommandon och kommandogruppsökningar.

Standard: 50

AUTOFS-konfigurationsalternativ

Dessa alternativ kan användas för att konfigurera tjänsten autofs.

autofs_negative_timeout (heltal)

Anger hur många sekunder autofs-respondenten cachar negativa cacheträffar (det vill säga, frågor om ogiltiga mappningsposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

Observera att automounter:n bara läser master-kartan vid uppstart, så om några autofs-relaterade ändringar görs av sssd.conf behöver du normalt även starta om automounter-demonen efter att ha startat om SSSD.

SSH-konfigurationsalternativ

Dessa alternativ kan användas för att konfigurera tjänsten SSH.

ssh_hash_known_hosts (bool)

Huruvida värdnamn och adresser i den hanterade filen known_hosts skall göras till kontrollsummor eller inte.

Standard: false

ssh_known_hosts_timeout (heltal)

Hur många sekunder en värd behålls i den hanterade filen known_hosts efter att dess värdnycklar begärdes.

Standard: 180

ssh_use_certificate_keys (bool)

Om satt till true kommer sss_ssh_authorizedkeys returnera ssh-nycklar härledda från den publika nyckeln i X.509-certifikat även lagrade i användarposten. Se sss_ssh_authorizedkeys(1) för detaljer.

Standard: true

ssh_use_certificate_matching_rules (sträng)

Som standard kommer ssh-respondenten använda alla tillgängliga certifikatmatchningsregler för att filtrera certifikaten så att ssh-nycklar bara härleds från de matchande. Med denna flagga kan de använda reglerna begränsas med en kommaseparerad lista av avbildningar och matchande regelnamn. Alla andra regler kommer ignoreras.

Det finns två speciella nyckelord ”all_rules” och ”no_rules” som kommer aktivera alla respektive inga regler. Det senare betyder att inga certifikat kommer filtreras ut och att ssh-nycklar kommer genereras från alla giltiga certifikat.

Om inga regler är konfigurerade kommer att använda ”all_rules” aktivera en standardregel som aktiverar alla certifikat som passar klientautentiseringen. Detta är samma beteende som för PAM-respondenten om certifikatautentisering är aktiverat.

Ett namn på en regel som inte finns anses som ett fel. Om som ett resultat ingen regel blir vald kommer alla certifikat ignoreras.

Standard: inte satt, likvärdigt med ”all_rules”, alla regler som finns eller standardregeln används

ca_db (sträng)

Sökväg till lagring av betrodda CA-certifikat. Alternativet används för att validera användarcertifikat före publika ssh-nycklar härleds från dem.

Standard:

•/etc/sssd/pki/sssd_auth_ca_db.pem (sökväg till en fil med betrodda CA-certifikat i PEM-format)

PAC-respondentskonfigurationsalternativ

PAC-respondenten fungerar tillsammans med insticksmodulen för auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en underdomänsleverantör. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar domän-SID och ID-intervall för domänen klienten går med i och från betrodda domäner från den lokala domänhanteraren. Om PAC:en är avkodad och beräknad kommer några av följande operationer att göras:

•Om fjärranvändaren inte finns i cachen skapas den. AID:t avgörs med hjälp av SID:t, betrodda domäner kommer ha UPG:er och GID:t kommer ha samma värde som AID:t. Hemkatalogen är satt baserat på parametern subdomain_homedir. Skalet kommer vara tomt som standard, d.v.s. systemstandarden används, men kan skrivas över med parametern default_shell.

•Om det finns SID:er av grupper från domäner sssd känner till kommer användaren läggas till i dessa grupper.

Dessa alternativ kan användas för att konfigurera PAC-respondenten.

allowed_uids (sträng)

Anger den kommaseparerade listan av AID-värden eller användarnamn som tillåts använda PAC-respondenten. Användarnamn slås upp till AID:er vid uppstart.

Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten)

Observera att även om AID 0 används som standard kommer det att skrivas över av detta alternativ. Om du fortfarande vill tillåta root-användaren att komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även 0 i listan av tillåtna AID:er.

pac_lifetime (heltal)

Livslängd på PAC-posterna i sekunder. Så länge som PAC:en är giltig kan PAC-datan användas för att avgöra gruppmedlemskap för en användare.

Standard: 300

pac_check (sträng)

Använd ytterligare kontroller på PAC:en i Kerberosbiljetten som är tillgängliga i Active Directory och FreeIPA-domäner, om konfigurerat. Observera att validering av Kerberosbiljetten måste aktiveras för att kunna kontrollera PAC:en, d.v.s. alternativet krb5_validate måste vara satt till ”True” vilket är standardvärdet för leverantörerna IPA och AD. Om krb5_validate är satt till ”False” kommer PAC-kontrollerna hoppas över.

Följande alternativ kan användas ensamma eller i en kommaseparerad lista:

no_check

PAC:en får inte finnas och även om den finns kommer inga ytterligare kontroller att göras.

pac_present

PAC:en måste finnas i tjänstebiljetten som SSSD kommer begära med hjälp av användarens TGT. Om PAC:en inte är tillgänglig kommer autentiseringen att misslyckas.

check_upn

Om PAC:en finns kontrollera om informationen om användarens huvudmannanamn (UPN) är konsistent.

check_upn_allow_missing

Detta alternativ skall användas tillsammans med ”check_upn” och haterar fallet då en UPN är satt på serversidan men inte läses av SSSD. Det typiska exemplet är en FreeIPA-domän där ”ldap_user_principal” är satt till ett attributnamn som inte finns. Detta gjordes typiskt för att gå runt problem i hanteringen av företagshuvudmän. Men detta är rättat sedan ganska lång tid tillbaka och FreeIPA kan hantera företagshuvudmän utan problem och det finns inte längre någon anledning att sätta ”ldap_user_principal”.

För närvarande är detta alternativ satt som standard för att undvika regressioner i sådana miljöer. Ett loggmeddelande kommer läggas till i systemloggen och SSSD:s felsökningslogg ifall en UPN finns i PAC:en men inte i SSSD:s cache. För att undvika detta loggmeddelande vore det bäst att avgöra om alternativet ”ldap_user_principal” kan tas bort. Om detta inte är möjligt kommer att ta bort ”check_upn” hoppa över testen och undvika loggmeddelandet.

upn_dns_info_present

PAC:en måste innehålla bufferten UPN-DNS-INFO, implicerar ”check_upn”.

check_upn_dns_info_ex

Om PAC:en finns och utökningen till bufferten UPN-DNS-INFO är tillgänglig kontrollera om informationen i utökningen är konsistent.

upn_dns_info_ex_present

PAC:en måste innehålla utökningen av bufferten UPN-DNS-INFO, implicerar ”check_upn_dns_info_ex”, ”upn_dns_info_present” och ”check_upn”.

Standard: no_check (AD- och IPA-leverantörerna ”check_upn, check_upn_allow_missing, check_upn_dns_info_ex”)

Konfigurationsalternativ för inspelning av sessioner

Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, för att logga vad användaren ser och skriver när de är inloggade på en textterminal. Se även sssd-session-recording(5).

Dessa alternativ kan användas för att konfigurera inspelning av sessioner.

scope (sträng)

En av följande strängar anger utsträckningen för inspelning av sessioner:

”none”

Inga användare spelas in.

”some”

Användare/grupper angivna i alternativen users och groups spelas in.

”all”

Alla användare spelas in.

Standard: ”none”

users (sträng)

En kommaseparerad lista över användare vilka skall ha inspelning av sessioner aktiverat. Matchar användarnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

Standard: Tomt. Matchar inte några användare.

groups (sträng)

En kommaseparerad lista över gruppmedlemmar vilka skall ha inspelning av sessioner aktiverat. Matchar gruppnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.

Standard: Tom. Matchar inga grupper.

exclude_users (sträng)

En kommaseparerad lista av användare att undanta från inspelning, endast tillämpligt med ”scope=all”.

Standard: Tomt. Inga användare uteslutna.

exclude_groups (sträng)

En kommaseparerad lista av grupper vars medlemmar skall undantas från inspelning. Endast tillämpligt med ”scope=all”.

OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.

Standard: Tom. Inga grupper uteslutna.

DOMÄNSEKTIONER

Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, det vill säga en sektion som heter “[domain/NAMN]”

aktiverat

Aktivera eller avaktivera uttryckligen domänen. Om “true” är domänen alltid “aktiverad”. Om “false” är domänen alltid “avaktiverad”. Om denna flagga inte är satt är domänen aktiverad endast om den är listad i domänflaggan i sektionen “[sssd]”.

domain_type (sträng)

Anger huruvida domänen är avsedd att användas av POSIX-kunniga klienter såsom Name Service Switch eller av program som inte behöver att POSIX-data finns eller genereras. Endast objekt från POSIX-domäner är tillgängliga för operativsystemets gränssnitt och verktyg.

Tillåtna värden på detta alternativ är “posix” och “application”.

POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten.

OBSERVERA: Programdomänerna är för närvarande bara vältestade med “id_provider=ldap”.

För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet “Programdomäner”.

Standard: posix

min_id,max_id (heltal)

AID- och GID-gränser för domänen. Om en domän innehåller en post som ligger utanför dessa gränser ignoreras den.

För användare påverkar detta gränsen för det primära GID:t. Användaren kommer inte returneras till NSS om antingen AID:t eller det primära GID:t ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som ligger i intervallet rapporteras som förväntat.

Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast när de returneras via namn eller ID.

Standard: 1 för min_id, 0 (ingen gräns) för max_id

enumerate (bool)

Bestämmer om en domän kan räknas upp, det vill säga, huruvida domänen kan lista alla användare och grupper den innehåller. Observera att det inte är nödvändigt att aktivera uppräkning för att sekundära grupper skall visas. Denna parameter kan ha ett av följande värden:

TRUE = Användare och grupper räknas upp

FALSE = Inga uppräkningar för denna domän

Standard: FALSE

Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och grupposter från fjärrservern.

Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD medan uppräkningen pågår. Det kan ta upp till flera minuter efter att SSSD startat upp för att helt fullborda uppräkningar. Under denna tid kommer enskilda begäranden om information att gå direkt till LDAP, fast det kan vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att spara ett stort antal poster i cachen efter att uppräkningen är klar kan också vara CPU-intensivt eftersom medlemskap måste beräknas om. Detta kan leda till att processen “sssd_be” blir oåtkomlig eller till och med startas om av den interna vakthunden.

Medan den första uppräkningen körs kan begäranden om den fullständiga användar- eller grupplistan returnera utan resultat tills den är färdig.

Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka urkoppling av nätverk, eftersom längre tidsgränser behövs för att säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer information, se manualsidorna för den specifika id-leverantören som används.

Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i stora miljöer.

subdomain_enumerate (sträng)

Huruvida några av de automatiskt upptäckta betrodda domänerna skall räknas upp. De värden som stödjs är

all

Alla upptäckta betrodda domäner kommer räknas upp

none

Inga upptäckta betrodda domäner kommer räknas upp

Om så önskas kan en lista med en eller flera domännamn aktivera uppräkning bara för dessa betrodda domäner.

Standard: none

entry_cache_timeout (heltal)

Hur många sekunder nss_sss skall anse poster giltiga före den frågar bakänden igen

Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast effekt för nyligen tillagda eller utgångna poster. Du skall köra verktyget sss_cache(8) för att tvinga fram en uppdatering av poster som redan har cachats.

Standard: 5400

entry_cache_user_timeout (heltal)

Hur många sekunder nss_sss skall anse användarposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_group_timeout (heltal)

Hur många sekunder nss_sss skall anse grupposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_netgroup_timeout (heltal)

Hur många sekunder nss_sss skall anse nätgruppsposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_service_timeout (heltal)

Hur många sekunder nss_sss skall anse tjänsteposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_resolver_timeout (heltal)

Hur många sekunder nss_sss skall anse värd- och nätgruppsposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_sudo_timeout (heltal)

Hur många sekunder sudo skall anse regler giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_autofs_timeout (heltal)

Hur många sekunder tjänsten autofs skall anse automatmonteringskartor giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_ssh_host_timeout (heltal)

Hur många sekunder en värds ssh-nyckel behålls efter en uppdatering. D.v.s. hur länge värdnyckeln skall cachas.

Standard: entry_cache_timeout

entry_cache_computer_timeout (heltal)

Hur många sekunder som den lokala datorns post sparas före bakänden frågas igen

Standard: entry_cache_timeout

refresh_expired_interval (heltal)

Anger hur många sekunder SSSD måste vänta före en uppdateringsuppgift startas i bakgrunden som kommer uppdatera alla utgångna eller nästan utgångna poster.

Bakgrundsuppdateringen kommer behandla användare, grupper och nätgrupper i cachen. För användare som har utfört operationen initgroups (hämta gruppmedlemskap för en användare, normalt kört vid inloggning) tidigare uppdateras både användarposten och gruppmedlemskapet.

Denna flagga ärvs automatiskt för alla betrodda domäner.

Du kan överväga att sätta detta värde till ¾ ⋅ entry_cache_timeout.

Cacheposter kommer uppdateras av ett bakgrundsjobb när ⅔ av cachetidsgränsen redan har gått. Om det finns cachade poster kommer bakgrundsjobbet referera till deras urpsprungliga cachetidsgränsvärden istället för det aktuella konfiguartionsvärdet. Detta kan leda till en situation där bakgrundsuppdateringsjobbet förefaller inte fungera. Detta är gjort med avsikt för att förbättra funktionen i frånkopplat läge och återanvändning av giltiga cacheposter. För att göra denna ändring omedelbart kan användaren vilja manuellt invalidera den befintliga cachen.

Standard: 0 (avaktiverat)

cache_credentials (bool)

Determines if user credentials are also cached in the local LDB cache. The cached credentials refer to passwords, which includes the first (long term) factor of two-factor authentication, not other authentication mechanisms. Passkey and Smartcard authentications are expected to work offline as long as a successful online authentication is recorded in the cache without additional configuration.

Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack.

Standard: FALSE

cache_credentials_minimal_first_factor_length (heltal)

Om 2-faktorautentisering (2FA) används och kreditiv skall sparas avgör detta värde den minsta längden den första autentiseringsfaktorn (långvarigt lösenord) måste ha för att sparas som en SHA512-kontrollsumma i cachen.

Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande attacker.

Standard: 8

account_cache_expiration (heltal)

Antal dagar poster sparas i cachen efter den senaste lyckade inloggningen före de tas bort under en rensning av cachen. 0 betyder behåll för alltid. Värdet på denna parameter måste vara större än eller lika med offline_credentials_expiration.

Standard: 0 (obegränsat)

pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning. Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden.

Standard: 7 (Kerberos), 0 (LDAP)

id_provider (sträng)

Identifikationsleverantören som används för domänen. ID-leverantörer som stödjs är:

“proxy”: Stöd en tidigare NSS-leverantör.

“files”: FIL-leverantör. Se sssd-files(5) för mer information om hur lokala användare och grupper kan speglas in i SSSD.

“ldap”: LDAP-leverantör. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

use_fully_qualified_names (bool)

Använd det fullständiga namnet och domänen (formaterat med domänens full_name_format) som användarens inloggningsnamn rapporterat till NSS.

Om satt till TRUE måste alla begäranden till denna domän använda fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL som innehåller en användare ”test”, skulle getent passwd test inte hitta användaren medan getent passwd test@LOKAL skulle det.

OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på grund av deras tendens att innehålla nästade nätgrupper utan kvalificerade namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat namn begärs.

Standard: FALSE (TRUE för betrodda domäner/underdomäner eller om default_domain_suffix används)

ignore_group_members (bool)

Returnera inte gruppmedlemmar för gruppuppslagningar.

Om satt till TRUE begärs inte attributet gruppmedlemskap från ldap-servern, och gruppmedlemmar returneras inte vid behandling av gruppuppslagningsanrop, såsom getgrnam(3) eller getgrgid(3). Som en effekt skulle “getent group $groupname” returnera den begärda gruppen som om den vore tom.

Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som innehåller många medlemmar.

Detta alternativ kan även sättas per underdomän eller ärvt via subdomain_inherit.

Standard: FALSE

auth_provider (sträng)

Autentiseringsleverantören som används för domänen. Leverantörer som stödjs är:

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för Kerberosautentisering. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare autentiseringen till något annat PAM-mål.

“none” avaktiverar explicit autentisering.

Standard: “id_provider” används om det är satt och kan hantera autentiseringsbegäranden.

access_provider (sträng)

Leverantören av åtkomstkontroll för domänen. Det finns två inbyggda åtkomstleverantörer (utöver alla inkluderade i installerade bakändar). Interna specialleverantörer är:

“permit” tillåt alltid åtkomst. Det är den enda tillåtna åtkomstleverantören för en lokal domän.

“deny” neka alltid åtkomst.

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“simple” åtkomstkontroll baserat på åtkomst- eller nekandelistor. Se sssd-simple(5) för mer information om att konfigurera åtkomstmodulen simple.

“krb5”: .k5login-baserad åtkomstkontroll. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“proxy” för att skicka vidare åtkomstkontroll till någon annan PAM-modul.

Standard: “permit”

chpass_provider (sträng)

Leverantören som skall hantera lösenordsändringar för domänen. Leverantörer av lösenordsändring som stödjs är:

“ldap” för att ändra lösenord lagrade i en LDAP-server. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för att ändra Kerberoslösenordet. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare lösenordsändringar till något annat PAM-mål.

“none” tillåter uttryckligen inte lösenordsändringar.

Standard: “auth_provider” används om det är satt och kan hantera begäranden om ändring av lösenord.

sudo_provider (sträng)

SUDO-leverantören som används för domänen. SUDO-leverantörer som stödjs är:

“ldap” för regler lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” samma som “ldap” men med standardsinställningar för IPA.

“ad” samma som “ldap” men med standardsinställningar för AD.

“none” avaktiverar explicit SUDO.

Standard: värdet på “id_provider” används om det är satt.

De detaljerade instruktionerna för att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns många konfigurationsalternativ som kan användas för att justera beteendet. Se ”ldap_sudo_*” i sssd-ldap(5).

OBSERVERA: Sudo-regler hämtas periodiskt i bakgrunden om inte sudo-leverantören uttryckligen avaktiverats. Ange sudo_provider = None för att avaktivera all sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls.

selinux_provider (sträng)

Leverantören som skall hantera inläsning av selinux-inställningar. Observera att denna leverantör kommer anropas direkt efter att åtkomstleverantören avslutar. Selinux-leverantörer som stödjs är:

“ipa” för att läsa in selinux-inställningar från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” tillåter uttryckligen inte att hämta selinux-inställningar.

Standard: “id_provider” används om det är satt och kan hantera begäranden om inläsning av selinux.

subdomains_provider (sträng)

Leverantören som skall hantera hämtandet av underdomäner. Detta värde skall alltid vara samma som id_provider. Underdomänsleverantörer som stödjs är:

“ipa” för att läsa in en lista av underdomäner från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa in en lista av underdomäner från en Active Directory-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” tillåter uttryckligen inte att hämta underdomäner.

Standard: värdet på “id_provider” används om det är satt.

session_provider (sträng)

Leverantören som konfigurerar och hanterar uppgifter relaterade till användarsessioner. De enda användarsessionsuppgifter som för närvarande tillhandahålls är integration med Fleet Commander, vilket fungerar endast med IPA. Sessionsleverantörer som stödjs är:

“ipa” för att utföra uppgifter relaterade till användarsessioner.

“none” utför inte någon sorts uppgifter relaterade till användarsessioner.

Standard: “id_provider” används om det är satt och kan utföra sessionsrelaterade uppgifter.

OBSERVERA: För att denna funktion skall fungera som förväntat måste SSSD köra som ”root” och inte som den oprivilegierade användaren.

autofs_provider (sträng)

Autofs-leverantören som används för domänen. Autofs-leverantörer som stödjs är:

“ldap” för att läsa mappar lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” för att läsa mappar lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa mappar lagrade i en AD-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” avaktiverar explicit autofs.

Standard: värdet på “id_provider” används om det är satt.

hostid_provider (sträng)

Leverantören som används för att hämta värdidentitetsinformation. Värd-id-leverantörer som stödjs är:

“ipa” för att läsa värdidentiteter lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” avaktiverar explicit värd-id:n.

Standard: värdet på “id_provider” används om det är satt.

resolver_provider (sträng)

Leverantören som skall hantera värd- och nätverksuppslagningar. Uppslagsleverantörer som stödjs är:

“proxy” för att vidarebefordra uppslagningar till ett annat NSS-bibliotek. Se “proxy_resolver_lib_name”

“ldap” för att hämta värdar och nätverk lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ldap” för att hämta värdar och nätverk lagrade i AD. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” tillåter uttryckligen inte att hämta värdar och nätverk.

Standard: värdet på “id_provider” används om det är satt.

re_expression (sträng)

Reguljärt uttryck för denna domän som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter. Domänen kan matcha antingen domännamnet i SSSD-konfigurationen eller, i fallet med betrodda underdomäner i IPA och Active Directory-domäner, det platta (NetBIOS) namnet på domänen.

Default: “^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$” which allows two different styles for user names:

•användarnamn

•användarnamn@domän.namn

Default for the AD and IPA provider: “^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$” which allows three different styles for user names:

•användarnamn

•användarnamn@domän.namn

•domän\användarnamn

Medan de första två motsvarar det allmänna standardfallet introduceras den tredje för att tillåta enkel integration av användare från Windows-domäner.

The default re_expression uses the “@” character as a separator between the name and the domain. As a result of this setting the default does not accept the “@” character in short names (as it is allowed in Windows group names). If a user wishes to use short names with “@” they must create their own re_expression.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Standard: “%1$s@%2$s”.

lookup_family_order (sträng)

Ger möjligheten att välja föredragen adressfamilj att använda vid DNS-uppslagningar.

Värden som stödjs:

ipv4_first: Försök slå upp IPv4-adresser, om det misslyckas, prova IPv6

ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser.

ipv6_first: Försök slå upp IPv6-adresser, om det misslyckas, prova IPv4

ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser.

Standard: ipv4_first

dns_resolver_server_timeout (heltal)

Definierar mängden tid (i millisekunder) SSSD skall försöka att tala med en DNS-server före den provar nästa DNS-server.

AD-leverantören kommer även att använda detta alternativ för CLDAP-pingtidsgränsen.

Se avsnittet “RESERVER” för mer information om tjänstevalet.

Standard: 1000

dns_resolver_op_timeout (heltal)

Definierar mängden tid (i sekunder) att vänta på att slå upp en viss DNS-fråga (t.ex. uppslagning av ett värdnamn eller en SRV-post) före den provar nästa värdnamn eller DNS-upptäckt.

Se avsnittet “RESERVER” för mer information om tjänstevalet.

Standard: 3

dns_resolver_timeout (heltal)

Definierar tiden (i sekunder) att vänta på ett svar från den interna reservtjänsten före man antar att tjänsten inte kan nås. Om denna tidsgräns nås kommer domänen fortsätta att fungera i frånkopplat läge.

Se avsnittet “RESERVER” för mer information om tjänstevalet.

Standard: 6

dns_resolver_use_search_list (bool)

Normalt söker DNS-uppslagaren domänlistan som är definierad i direktivet ”search” från filen resolv.conf. Detta kan leda till fördröjningar i miljöer med felaktigt konfigurerad DNS.

Om fullständigt kvalificerade domännamn (eller _srv_) används i SSSD-konfigurationen kan att sätta detta alternativ till FALSE förhindra onödiga DNS-uppslagningar i sådana miljöer.

Standard: TRUE

dns_discovery_domain (sträng)

Om tjänsteupptäckt används i bakänden anger domändelen av tjänstens DNS-fråga om tjänsteupptäckt.

Standard: använd domändelen av maskinens värdnamn

override_gid (heltal)

Ersätt det primära GID-värdet med det angivna.

case_sensitive (sträng)

Behandla användar- och gruppnamn som skiftlägeskänsliga. De tillgängliga värdena på alternativen är:

True

Skiftlägeskänsligt. Detta värde är inte giltigt för AD-leverantörer.

False

Skiftlägesokänsligt.

Preserving

Samma som False (skiftlägesokänsligt), men skiftar inte ner namn i resultaten från NSS-operationer. Observera att namnalias (och i fallet med tjänster även protokollnamn) fortfarande skiftas ner i utdata.

Om du vill sätta detta värde för en betrodd domän med IPA-leverantör behöver du sätta det på både klienten och SSSD på servern.

Detta alternativ kan även sättas per underdomän eller ärvt via subdomain_inherit.

Standard: True (False för AD-leverantören)

subdomain_inherit (sträng)

Anger en lista av konfigurationsparametrar som skall ärvas av underdomänen. Observera att endast valda parametrar kan ärvas. För närvarande kan följande alternativ ärvas:

ldap_search_timeout

ldap_network_timeout

ldap_opt_timeout

ldap_offline_timeout

ldap_enumeration_refresh_timeout

ldap_enumeration_refresh_offset

ldap_purge_cache_timeout

ldap_purge_cache_offset

ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte ldap_krb5_keytab sätts särskilt)

ldap_krb5_ticket_lifetime

ldap_enumeration_search_timeout

ldap_connection_expire_timeout

ldap_connection_expire_offset

ldap_connection_idle_timeout

ldap_use_tokengroups

ldap_user_principal

ignore_group_members

auto_private_groups

case_sensitive

Exempel:

subdomain_inherit = ldap_purge_cache_timeout

Standard: none

Observera: detta alternativ fungerar endast med leverantörerna IPA och AD.

subdomain_homedir (sträng)

Använd denna hemkatalog som standardvärde för alla underdomäner inom denna domän i IPA AD-förtroende. Se override_homedir för information om möjliga värden. Utöver dessa kan expansionen nedan endast användas med subdomain_homedir.

%F

platt (NetBIOS) namn på en underdomän.

Värdet kan åsidosättas av alternativet override_homedir.

Standard: /home/%d/%u

realmd_tags (sträng)

Diverse taggar lagrade av realmd-konfigurationstjänsten för denna domän.

cached_auth_timeout (heltal)

Anger tiden i sekunder sedan senaste lyckade uppkopplade autentisering under vilka användaren kommer autentiseras med cachade kreditiv medan SSSD är i uppkopplat läge. Om kreditiven är felaktiga faller SSSD tillbaka till uppkopplad autentisering.

Detta alternativs värde ärvs av alla betrodda domäner. För närvarande är det inte möjligt att ange olika värden för varje betrodd domän.

Specialvärdet 0 betyder att denna funktion är avaktiverad.

Observera att om “cached_auth_timeout” är längre än “pam_id_timeout” kan bakänden anropas för att hantera “initgroups.”

Standard: 0

local_auth_policy (string)

Local authentication methods policy. Some backends (i.e. LDAP, proxy provider) only support a password based authentication, while others can handle PKINIT based Smartcard authentication (AD, IPA), two-factor authentication (IPA), or other methods against a central instance. By default in such cases authentication is only performed with the methods supported by the backend.

There are three possible values for this option: match, only, enable. “match” is used to match offline and online states for Kerberos methods. “only” ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, “enable:passkey”, only enables passkey for local authentication. Multiple enable values should be comma-separated, such as “enable:passkey, enable:smartcard”

Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt.

The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey).

[domain/shadowutils]
id_provider = proxy
proxy_lib_name = files
auth_provider = none
local_auth_policy = only

It is expected that the “files” provider ignores the local_auth_policy option and supports Smartcard authentication by default.

Default: match

auto_private_groups (sträng)

Detta alternativ tar något av tre tillgängliga värden:

true

Skapa användares privata grupp ovillkorligt från användarens AID-nummer. GID-numret ignoreras i detta läge.

OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från AID-numret stödjs det inte att ha flera poster med samma AID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer över hela ID-rymden.

false

Använd alltid användarens primära GID-nummer. GID-numret måste referera till ett gruppobjekt i LDAP-databasen.

hybrid

En primär grupp autogenereras för användarposter vars AID- och GID-nummer har samma värde och GID-numret på samma gång inte motsvarar ett verkligt gruppobjekt i LDAP. Om värdena är samma, men det primära GID:t i användarposten även används av ett gruppobjekt slås användarens primära GID upp till det gruppobjektet.

Om användarens AID och GID är olika måste GID:t motsvara en gruppost, annars kan GID:t helt enkelt inte slås upp.

Denna funktion är användbar i miljöer som vill sluta underhålla separata gruppobjekt för användares privata grupper, men även vill behålla de befintliga användarnas privata grupper.

För underdomäner är standardvärdet False för underdomäner som använder tilldelade POSIX ID:n och True för underdomäner som använder automatisk ID-översättning.

Värdet på auto_private_groups kan antingen anges per underdomän i en undersektion, till exempel:

[domain/forest.domain/sub.domain]
auto_private_groups = false

eller globalt för alla underdomäner i huvuddomänavsnittet genom att använda alternativet subdomain_inherit:

[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false

Giltiga alternativ för proxy-domäner.

proxy_pam_target (sträng)

Proxymålet PAM är en proxy för.

Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option.

proxy_lib_name (sträng)

Namnet på NSS-biblioteket att använda i proxy-domäner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_files_getpwent.

proxy_resolver_lib_name (sträng)

Namnet på NSS-biblioteket att använda för uppslagning av värdar och nätverk i proxy-domäner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_dns_gethostbyname2_r.

proxy_fast_alias (boolean)

När en användare eller grupp slås upp efter namn i proxy-leverantören görs en andra uppslagning efter ID för att "kanonisera" namnet i händelse det begärda namnet var ett alias. Att sätta detta alternativ till sant skulle få SSSD att utföra ID-uppslagningen från cachen av prestandaskäl.

Standard: false

proxy_max_children (heltal)

Detta alternativ anger antalet i förhand avgrenade proxy-barn. Det är användbart för SSSD-miljöer med hög last där sssd kan få slut på tillgängliga barnfack, vilket skulle orsaka problem på grund av att begäranden skulle köas upp.

Standard: 10

Programdomäner

SSSD, med sitt D-Bus-gränssnitt (se sssd-ifp(5)) är tilltalande för program som en portgång till en LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den traditionella SSSD-installationen där alla användare och grupper antingen har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, har i många fall användarna och grupperna i programstödsscenariot inga POSIX-attribut. Istället för att göra en sektion “[domain/NAMN]” kan administratören skapa en sektion “[application/NAMN]” som internt representerar en domän med typen “application” och eventuellt ärver inställningar från en traditionell SSSD-domän.

Observera att programdomänen fortfarande uttryckligen måste aktiveras i parametern “domains” så att uppslagningsordningen mellan programdomänen och dess POSIX-syskondomän sätts korrekt.

Programdomänparametrar

inherit_from (sträng)

Den SSSD-domän av POSIX-typ som programdomänen ärver alla inställningar ifrån. Programdomänen kan dessutom lägga till sina egna inställningar till programinställningarna som kompletterar eller åsidosätter “syskon”domänens inställningar.

Standard: inte satt

Följande exempel illustrerar användningen av en programdomän. I denna uppsättning är POSIX-domänen kopplad till en LDAP-server och används av OS:et via NSS-respondenten. Dessutom begär programdomänen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gör attributet telefon nåbart via D-Bus-gränssnittet.

[sssd]
domains = progdom, posixdom
[ifp]
user_attributes = +telefon
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/progdom]
inherit_from = posixdom
ldap_user_extra_attrs = telefon:telephoneNumber

SEKTIONEN BETRODDA DOMÄNER

Några alternativ som används i domänsektionen kan även användas i sektionen för betrodda domäner, det vill säga, i en sektion som heter “[domain/DOMÄNNAMN/NAMN_PÅ_BETRODD_DOMÄN]”. Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel nedan för förklaring. För närvarande stödda alternativ i sektionen för betrodda domäner är:

ldap_search_base,

ldap_user_search_base,

ldap_group_search_base,

ldap_netgroup_search_base,

ldap_service_search_base,

ldap_sasl_mech,

ad_server,

ad_backup_server,

ad_site,

use_fully_qualified_names

pam_gssapi_services

pam_gssapi_check_upn

För fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan.

CERTIFIKATSMAPPNINGSSEKTION

För att tillåta autentisering med smartkort och certifikat måste SSSD kunna översätta certifikat till användare. Detta kan göras genom att lägga till det fullständiga certifikatet till användarens LDAP-objekt eller till en lokal ersättning. Medan det krävs att man använder det fullständiga certifikatet för att använda funktionen smartkortsautentisering i SSH (se sss_ssh_authorizedkeys(8) för detaljer) kan det vara besvärligt eller kanske inte ens möjligt att använda detta i det allmänna fallet när lokala tjänster använder PAM för autentisering.

För att göra översättningen mer flexibel lades översättnings- och matchningsregler till till SSSD (se sss-certmap(5) för detaljer).

En översättnings- och matchningsregel kan läggas till till SSSD-konfigurationen i en egen sektion för sig själv med ett namn som “[certmap/DOMÄNNAMN/REGELNAMN]”. I denna sektion är följande alternativ tillåtna:

matchrule (sträng)

Endast certifikat från smartkort som matchar denna regel kommer bearbetas, alla andra ignoreras.

Standard: KRB5:<EKU>clientAuth, d.v.s. endast certifikat som har Extended Key Usage “clientAuth”

maprule (sträng)

Definierar hur användaren hittas för ett givet certifikat.

Standard:

•LDAP:(userCertificate;binary={cert!bin}) för LDAP-baserade leverantörer som “ldap”, “AD” eller “ipa”.

•REGELNAMNet för leverantören “files” som försöker hitta en användare med samma namn.

domains (sträng)

Kommaseparerad lista av domännamn regeln skall användas på. Som standard är endast en regel giltig i domänen där den är konfigurerad i sssd.conf. Om leverantören stödjer underdomäner kan detta alternativ användas för att lägga till regeln till underdomäner också.

Standard: den konfigurerade domänen i sssd.conf

priority (heltal)

Teckenlöst heltalsvärde som definierar prioriteten för regeln. Ju högre talet är desto lägre är prioriteten. “0” står för den högsta prioriteten medan “4294967295” är den lägsta.

Standard: den lägsta prioriteten

För att göra konfigurationen enkel och reducera mängden konfigurationsalternativ har leverantören “files” några speciella egenskaper:

•om maprule inte är satt antas namnet REGELNAMN vara namnet på den matchande användaren

•om en maprule används måste både ett ensamt användarnamn eller en mall som “{subject_rfc822_name.short_name}” vara i krullparenteser som t.ex. “(username)” eller “({subject_rfc822_name.short_name})”

•alternativet “domains” ignoreras

SEKTIONEN FÖR FRÅGEKONFIGURATION

Om en särskild fil (/var/lib/sss/pubconf/pam_preauth_available) finns kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda på vilka autentiseringsmetoder som är tillgängliga för användaren som försöker logga in. Baserat på resultatet kommer pam_sss fråga användaren efter tillämpliga kreditiv.

Med det växande antalet autentiseringsmetoder och möjligheten att det finns flera olika för en enskild användare kan det hända att heuristiken som används av pam_sss för att välja fråga inte är lämplig för alla användarfall. Följande alternativ bör ge en bättre flexibilitet här.

Each supported authentication method has its own configuration subsection under “[prompting/...]”. Currently there are:

[prompting/password]

för att konfigurera lösenordsfråga är de tillåtna alternativen:

password_prompt

för att ändra strängen i lösenordsfrågan

[prompting/2fa]

för att konfigurera efterfrågan av tvåfaktorautentisering är de tillåtna flaggorna:

first_prompt

för att ändra strängen som frågar efter den första faktorn

second_prompt

för att ändra strängen som frågar efter den andra faktorn

single_prompt

booleskt värde, om True kommer det bara vara en fråga som använder värdet på first_prompt där det förväntas att båda faktorerna matas in som en enda sträng. Observera att båda faktorerna måste anges här, även om den andra faktorn är frivillig.

Om den andra faktorn är frivillig och det skall vara möjligt att logga in antingen edast med lösenordet eller med båda faktorerna måste tvåstegsförfrågan användas.

Det är möjligt att lägga till en undersektion för specifika PAM-tjänster som t.ex. “[prompting/password/sshd]” för att ändra frågorna enskilt för denna tjänst.

EXEMPEL

1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av själva domänerna – se dokumentationen om att konfigurera domäner för fler detaljer.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

2. Följande exempel visar konfigurationen av IPA AD-förtroende i en förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera kortnamn i barndomänen skall följande konfiguration användas.

[domain/ipa.se/barn.ad.se]
use_fully_qualified_names = false

3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain “my.domain” and additionally for the subdomains “your.domain” and uses the full certificate in the search filter.

[certmap/my.domain/rule_name]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$
maprule = (userCertificate;binary={cert!bin})
domains = my.domain, your.domain
priority = 10

SE ÄVEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

05/24/2024 SSSD