SSSD-IPA(5) | Formatos de archivo y convenci | SSSD-IPA(5) |
NAME¶
sssd-ipa - Proveedor SSSD IPA
DESCRIPCION¶
Este página de manual describe la configuración del proveedor IPA para sssd(8). Para una referencia de sintaxis detalladas, vea la sección “FILE FORMAT” de la página de manual sssd.conf(5).
El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea el sitio web freeipa.org para información sobre los servidores IPA). Este proveedor requiere que la máquina este unido al dominio IPA; la configuración es casi enteramente auto descubierta y obtenida directamente del servidor.
El proveedor IPA habilita a SSSD para usar el proveedor de identidad sssd-ldap(5) y el proveedor de autenticación sssd-krb5(5) con optimizaciones para entornos IPA. El proveedor IPA acepta las mismas opciones que las usadas por los proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones.
El proveedor IPA copia primariamente las opciones por defecto tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias están listadas en la sección “OPCIONES PREDETERMINADAS MODIFICADAS”.
As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.
Si “auth_provider=ipa” o “access_provider=ipa” está configurado en sssd.conf id_provider se debe establecer también a “ipa”.
El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los usuario de reinos confiables contienen un PAC. Para hacer la configuración más fácil el respondedor PAC es iniciado automáticamente si la ID del proveedor IPA está configurada.
OPCIONES DE CONFIGURACIÓN¶
Vea la sección “DOMAIN SECTIONS” de la página de manual sssd.conf(5) para detalles sobre la configuración de un dominio SSSD.
ipa_domain (cadena)
ipa_server, ipa_backup_server (cadena)
ipa_hostname (cadena)
dyndns_update (booleano)
NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser fijado apropiadamente en /etc/krb5.conf
AVISO: Aunque todas es posible usar la vieja opción ipa_dyndns_update, los usuarios deberían migrar para usar dyndns_update en su fichero de configuración.
Predeterminado: false
dyndns_ttl (entero)
AVISO: Aunque todavía es posible usar la antigua opción ipa_dyndns_ttl, los usuarios deberían migrar usando dyndns_ttl en su fichero de configuración.
Por defecto: 1200 (segundos)
dyndns_iface (cadena)
AVISO: Aunque todavía es posible usar la vieja opción ipa_dyndns_iface, los usuarios deberían migrar usando dyndns_iface en su fichero de configuración.
Predeterminado: Usa las direcciones IP de la interfaz que es usada para la conexión IPA LDAP
Ejemplo: dyndns_iface = em1, vnet1, vnet2
dyndns_auth (cadena)
Predeterminado: GSS-TSIG
dyndns_auth_ptr (string)
Default: Same as dyndns_auth
ipa_enable_dns_sites (booleano)
Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del Servicio en la parte inferior de la página de manual) está habilitado, SSSD primero intentará la localización basada en el descubrimiento usando una consulta que contenga "_location.hostname.example.com" y después irá al descubrimiento tradicional SRV. Si la localización basada en el descubrimiento tiene éxito, los servidores IPA localizados con la localización basada en el descubrimiento son tratados como servidores primarios y los servidores IPA localizados usando el descubrimiento tradicional SRV son usados como servidores de respaldo
Predeterminado: false
dyndns_refresh_interval (entero)
Predeterminado: 0 (deshabilitado)
dyndns_update_ptr (booleano)
Esta opción debería estar a False en la mayoría de los despliegues IPA puesto que el servidor IPA genera los registros PTR automáticamente cuando se cambian los registros que envía.
Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.
Predeterminado: False (deshabilitado)
dyndns_force_tcp (booleano)
Predeterminado: False (permitir a nsupdate elegir el protocolol)
dyndns_server (cadena)
El establecimiento de esta opción tiene sentido en entornos donde el servidor DNS es distinto del servidor de identidad.
Tenga en cuenta que esta opción solo se usará en un intento de recuperación cuando el intento anterior de usar la configuración autodetectada falló.
Predeterminado: None (permitir a nsupdate elegir el servidor)
dyndns_update_per_family (booleano)
Predeterminado: true
ipa_access_order (string)
expire: use IPA's account expiration policy.
pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH.
The difference between these options is the action taken if user password is expired:
Please note that 'access_provider = ipa' must be set for this feature to work.
ipa_deskprofile_search_base (cadena)
Predeterminado: Utilizar DN base
ipa_hbac_search_base (cadena)
Predeterminado: Utilizar DN base
ipa_host_search_base (cadena)
ipa_selinux_search_base (cadena)Opcional.
Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.
Predeterminado: el valor de ldap_search_base
ipa_subdomains_search_base (cadena)
Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.
Por defecto: el valor de cn=trusts,%basedn
ipa_master_domain_search_base (cadena)
Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.
Por defecto: el valor de cn=ad,cn=etc,%basedn
ipa_views_search_base (cadena)
Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.
Predeterminado: el valor de cn=views,cn=accounts,%basedn
krb5_realm (cadena)
El nombre del reino Kerberos tiene un significado especial en IPA – es convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP.
krb5_confd_path (cadena)
Para deshabilitar la creación de fragmentos de configuración establezca el parámetro a 'none'.
Predeterminado: no establecido (krb5.include.d subdirectorio del directorio pubconf de SSSD)
ipa_deskprofile_refresh (entero)
Predeterminado: 5 (segundos)
ipa_deskprofile_request_interval (entero)
Predeterminado: 60 (minutos)
ipa_hbac_refresh (entero)
Predeterminado: 5 (segundos)
ipa_hbac_selinux (entero)
Predeterminado: 5 (segundos)
ipa_server_mode (booleano)
Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de confianza directamente mientras que sobre un cliente preguntará a un servidor IPA.
NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD se ejecuta en un servidor IPA.
Predeterminado: false
ipa_automount_location (cadena)
Por defecto: La localización llamada “default”
Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.
VISTAS Y ANULACIONES¶
SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y versiones posteriores. Como todas las rutas y objectclasses son fijadas en el lado servidor no se necesita configurar nada. Para completar, las opciones relacionadas son listadas aquí con sus valores predeterminados.
ipa_view_class (cadena)
Predeterminado: nsContainer
ipa_view_name (cadena)
Predeterminado: cn
ipa_override_object_class (cadena)
Predeterminado: ipaOverrideAnchor
ipa_anchor_uuid (cadena)
Predeterminado: ipaAnchorUUID
ipa_user_override_object_class (cadena)
Las anulaciones de usuario pueden contener atributos dados por
Predeterminado: ipaUserOverride
ipa_group_override_object_class (cadena)
Las anulaciones de grupo pueden contener atributos dados por
Predeterminado: ipaGroupOverride
MODIFIED DEFAULT OPTIONS¶
Certain option defaults do not match their respective backend provider defaults, these option names and IPA provider-specific defaults are listed below:
KRB5 Provider¶
LDAP Provider - General¶
LDAP Provider - User options¶
LDAP Provider - Group options¶
PROVEEDOR DE SUBDOMINIOS¶
El proveedor de subdominios IPA se comporta de forma ligeramente diferente si está configurado explícitamente o implícitamente.
Si la opción ' subdomains_provider = ipa' se encuentra en la sección de dominio de sssd.conf, el proveedor de subdominios de IPA se configura explícitamente, y todas las peticiones de subdominio se envían al servidor de IPA si es necesario.
Si la opción 'subdomains_provider' no está establecida en la sección dominio de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de subdominios IPA está configurado implícitamente. En este caso, si una petición de subdominio falla e indica que el servidor no soporta subdominios, i.e. no está configurado para confianza, el proveedor de subdominios IPA está deshabilitado. Después de una hora o después de que el proveedor IPA esté en línea, el proveedor de subdominios está habilitado otra vez.
CONFIGURACIÓN DE DOMINIOS DE CONFIANZA¶
Some configuration options can also be set for a trusted domain. A trusted domain configuration can be set using the trusted domain subsection as shown in the example below. Alternatively, the “subdomain_inherit” option can be used in the parent domain.
[domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com
For more details, see the sssd.conf(5) manual page.
Se pueden ajustar diferentes opciones de configuración para un dominio de confianza dependiendo de si usted está configurando SSSD sobre un servidor IPA o un cliente IPA.
OPCIONES AJUSTABLES EN IPA MAESTROS¶
Se pueden establecer las siguientes opciones en una sección subdominio sobre un IPA maestro:
OPCIONES AJUSTABLES SOBRE CLIENTES IPA¶
Las siguientes opciones pueden ser establecidas en una sección subdominio sobre un cliente IPA:
Advierta que si ambas opciones están establecidas solo se evalúa “ad_server”.
Puesto que cualquier petición para una identidad de usuario o de grupo de un dominio de confianza disparada desde un cliente IPA se resuelve por el servidor IPA, las opciones “ad_server” y “ad_site” solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las direcciones resueltas desde estas listas serán escritas a ficheros “kdcinfo” leídos por el complemento localizador Kerberos. Por favor vea la página de manual sssd_krb5_locator_plugin(8) para mas detalles sobre el complemento localizador Kerberos.
CONMUTACIÓN POR ERROR¶
La función conmutación en error permite a los finales conmutar automáticamente a un servidor diferente si el servidor actual falla.
Sintaxis de conmutación por error¶
La lista de servidores se da como una lista separada por comas; se permite cualquier número de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier número de servidores.
For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server.
El mecanismo de conmutación por errorEl mecanismo de failover distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.¶
El mecanismo de conmutación por error distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.
Los intentos de conexión adicionales son hechos a máquinas o servicios marcaros como fuera de línea después de un período de tiempo especificado; esto está codificado a fuego actualmente en 30 segundos.
Si no hay más máquinas para intentarlo, el punto final al completo conmutará al modo fuera de línea y después intentará reconectar cada 30 segundo.
Failover time outs and tuning¶
Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.
This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.
dns_resolver_server_timeout
Predeterminado: 1000
dns_resolver_op_timeout
Predeterminado: 3
dns_resolver_timeout
Predeterminado: 6
For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout” which should be larger than “dns_resolver_server_timeout”.
SERVICIO DE DESCUBRIMIENTO¶
La función servicio descubridor permite a los puntos finales encontrar automáticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta función no está soportada por los servidores de respaldo.
Configuración¶
Si no se especifican servidores, el punto final usar automáticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, “_srv_”, en la lista de servidores. El orden de preferencia se mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor específico cuando no se pueden descubrir servidores usando DNS.
El nombre de dominio¶
Por favor vea el parámetro “dns_discovery_domain” en la página de manual sssd.conf(5) para más detalles.
El protocolo¶
Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripción de la opción respectiva.
Vea también¶
Para más información sobre el mecanismo del servicio descubridor, vea el RFC 2782.
EJEMPLO¶
El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección [sssd]. Este ejemplo muestra sólo las opciones específicas del proveedor ipa.
[domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com
VEA TAMBIEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
The SSSD upstream - https://github.com/SSSD/sssd/
05/24/2024 | SSSD |