2. EL 8
  3. sssd-ldap
  4. sssd-ldap-attributes(5)

Scroll to navigation

SSSD-LDAP-ATTRIBUT(5) Filformat och konventioner SSSD-LDAP-ATTRIBUT(5)

NAME

sssd-ldap-attributes - SSSD LDAP-leverantör: Avbildningsattribut

BESKRIVNING

Denna manualsida beskriver avbildningsattributen till SSSD LDAP-leverantören sssd-ldap(5). Se manualsidan sssd-ldap(5) för fullständiga detaljer om SSSD LDAP-leverantörens konfigurationsflaggor.

ANVÄNDARATTRIBUT

ldap_user_object_class (sträng)

Objektklassen hos en användarpost i LDAP.

Standard: posixAccount

ldap_user_name (sträng)

LDAP-attributet som motsvarar användarens inloggningsnamn.

Standard: uid (rfc2307, rfc2307bis och IPA), sAMAccountName (AD)

ldap_user_uid_number (sträng)

LDAP-attributet som motsvarar användarens id.

Standard: uidNumber

ldap_user_gid_number (sträng)

LDAP-attributet som motsvarar användarens primära grupp-id.

Standard: gidNumber

ldap_user_primary_group (sträng)

Active Directorys primära gruppattribut för ID-mappning. Observera att detta attribut skall bara sättas manuellt om du kör “ldap”-leverantören med ID-mappning.

Standard: ej satt (LDAP), primaryGroupID (AD)

ldap_user_gecos (sträng)

LDAP-attributet som motsvarar användarens gecos-fält.

Standard: gecos

ldap_user_home_directory (sträng)

LDAP-attributet som innehåller namnet på användarens hemkatalog.

Standard: homeDirectory (LDAP och IPA), unixHomeDirectory (AD)

ldap_user_shell (sträng)

LDAP-attributet som innehåller sökvägen till användarens standardskal.

Standard: loginShell

ldap_user_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-användarobjekt.

Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA

ldap_user_objectsid (sträng)

LDAP-attributet som innehåller objectSID för ett LDAP-användarobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar.

Standard: objectSid för Active Directory, inte satt för andra servrar.

ldap_user_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Standard: modifyTimestamp

ldap_user_shadow_last_change (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (tidpunkt för senaste lösenordsändring).

Standard: shadowLastChange

ldap_user_shadow_min (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (minsta lösenordsålder).

Standard: shadowMin

ldap_user_shadow_max (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (största lösenordsålder).

Standard: shadowMax

ldap_user_shadow_warning (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (varningsperiod för lösenord).

Standard: shadowWarning

ldap_user_shadow_inactive (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (inaktivitetsperiod för lösenord).

Standard: shadowInactive

ldap_user_shadow_expire (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (tid då kontot går ut).

Standard: shadowExpire

ldap_user_krb_last_pwd_change (sträng)

När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid för senaste lösenordsändring i kerberos.

Standard: krbLastPwdChange

ldap_user_krb_password_expiration (sträng)

När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid när det nuvarande lösenordet går ut.

Standard: krbPasswordExpiration

ldap_user_ad_account_expires (sträng)

När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar tidpunkten när kontot går ut.

Standard: accountExpires

ldap_user_ad_user_account_control (sträng)

När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar användarkontots styrbitfält.

Standard: userAccountControl

ldap_ns_account_lock (sträng)

När ldap_account_expire_policy=rhds eller likvärdigt används avgör denna parameter om åtkomst skall tillåtas eller inte.

Standard: nsAccountLock

ldap_user_nds_login_disabled (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut om åtkomst skall tillåtas eller inte.

Standard: loginDisabled

ldap_user_nds_login_expiration_time (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut till vilket datum åtkomst tillåts.

Standard: loginDisabled

ldap_user_nds_login_allowed_time_map (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut vilka timmar på dagen i en vecka åtkomst tillåts.

Standard: loginAllowedTimeMap

ldap_user_principal (sträng)

LDAP-attributet som innehåller användarens användarhuvudmansnamn i Kerberos (UPN).

Standard: krbPrincipalName

ldap_user_extra_attrs (sträng)

Kommaseparerad lista av LDAP-attribut som SSSD skall hämta tillsammans med den vanliga uppsättningen av användarattribut.

Listan kan antingen innehålla endast LDAP-attributnamn, eller kolonseparerade tupler av SSSD-cacheattribut och LDAP-attributnamn. Ifall endast LDAP-attributnamn anges sparas attributet i cachen ordagrant. Att använda ett anpassat SSSD-attributnamn kan vara nödvändigt i miljöer som konfigurerar flera SSSD-domäner med olika LDAP-scheman.

Observera att flera attributnamn är reserverade av SSSD, speciellt attributet “name”. SSSD rapporterar ett fel om något av de reserverade attributnamnen används som ett extra attributnamn.

Exempel:

ldap_user_extra_attrs = telephoneNumber

Spara attributet “telephoneNumber” från LDAP som “telephoneNumber” i cachen.

ldap_user_extra_attrs = phone:telephoneNumber

Spara attributet “telephoneNumber” från LDAP som “phone” i cachen.

Standard: inte satt

ldap_user_ssh_public_key (sträng)

LDAP-attributet som innehåller användarens publika SSH-nycklar.

Standard: sshPublicKey

ldap_user_fullname (sträng)

LDAP-attributet som motsvarar användarens fullständiga namn.

Standard: cn

ldap_user_member_of (sträng)

LDAP-attributet som räknar upp användarens gruppmedlemskap.

Standard: memberOf

ldap_user_authorized_service (sträng)

Om access_provider=ldap och ldap_access_order=authorized_service kommer SSSD använda förekomsten av attributet authorizedService i användarens LDAP-post för att avgöra åtkomstprivilegier.

Ett explicit nekande (!svc) avgörs först. Därefter söker SSSD efter explicit tillåtelse (svc) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “authorized_service” för att alternativet ldap_user_authorized_service skall fungera.

Några distributioner (såsom Fedora-29+ eller RHEL-8) inkluderar alltid PAM-tjänsten “systemd-user” som en del av inloggningsprocessen. Därför kan när tjänstebaserad åtkomstkontroll används tjänsten “systemd-user” behöva läggas till till listan av tillåtna tjänster.

Standard: authorizedService

ldap_user_authorized_host (sträng)

Om access_provider=ldap och ldap_access_order=host kommer SSSD använda förekomsten av attributet host i användarens LDAP-post för att avgöra åtkomstprivilegier.

Ett explicit nekande (!host) avgörs först. Därefter söker SSSD efter explicit tillåtelse (host) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “host” för att alternativet ldap_user_authorized_host skall fungera.

Standard: host

ldap_user_authorized_rhost (sträng)

Om access_provider=ldap och ldap_access_order=rhost kommer SSSD använda förekomsten av attributet rhost i användarens LDAP-post för att avgöra åtkomstprivilegier. Liknande värdverifieringsprocessen.

Ett explicit nekande (!rhost) avgörs först. Därefter söker SSSD efter explicit tillåtelse (rhost) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “rhost” för att alternativet ldap_user_authorized_rhost skall fungera.

Standard: rhost

ldap_user_certificate (sträng)

Namnet på LDAP-attributet som innehåller användarens X509-certifikat.

Standard: userCertificate;binary

ldap_user_email (sträng)

Namnet på LDAP-attributet som innehåller användarens e-postadress.

Observera: om en e-postadress för användaren står i konflikt med en e-postadress eller fullt kvalificerat namn för en annan användare, då kommer SSSD inte kunna serva dessa användare ordentligt. Om flera användare av något skäl behöver dela samma e-postadress, sätt då detta attributnamn till ett som inte finns för att avaktivera uppslagning/inloggning av användare via e-post.

Standard: mail

GRUPPATTRIBUT

ldap_group_object_class (sträng)

Objektklassen hos en gruppost i LDAP.

Standard: posixGroup

ldap_group_name (sträng)

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

Standard: cn (rfc2307, rfc2307bis och IPA), sAMAccountName (AD)

ldap_group_gid_number (sträng)

LDAP-attributet som motsvarar gruppens id.

Standard: gidNumber

ldap_group_member (sträng)

LDAP-attributet som innehåller namnen på gruppens medlemmar.

Standard: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-gruppobjekt.

Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA

ldap_group_objectsid (sträng)

LDAP-attributet som innehåller objectSID för ett LDAP-gruppobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar.

Standard: objectSid för Active Directory, inte satt för andra servrar.

ldap_group_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Standard: modifyTimestamp

ldap_group_type (sträng)

LDAP-attributet som innehåller ett heltalsvärde som indikerar grupptypen och kanske andra flaggor.

Detta attribut används för närvarande bara av AD-leverantören för att avgöra om en grupp är en domänlokal grupp och behöver filtreras bort för betrodda domäner.

Standard: groupType i AD-leverantören, inte satt annars

ldap_group_external_member (sträng)

LDAP-attributet som refererar gruppmedlemmar som är definierade i en extern domän. För närvarande stödjs endast IPA:s externa medlemmar.

Standard: ipaExternalMember i IPA-leverantören, inte satt annars.

NÄTGRUPPSATTRIBUT

ldap_netgroup_object_class (sträng)

Objektklassen hos en nätgruppspost i LDAP.

I IPA-leverantören skall ipa_netgroup_object_class användas istället.

Standard: nisNetgroup

ldap_netgroup_name (sträng)

LDAP-attributet som motsvarar nätgruppnamnet.

I IPA-leverantören skall ipa_netgroup_name användas istället.

Standard: cn

ldap_netgroup_member (sträng)

LDAP-attributet som innehåller namnen på nätgruppens medlemmar.

I IPA-leverantören skall ipa_netgroup_member användas istället.

Standard: memberNisNetgroup

ldap_netgroup_triple (sträng)

LDAP-attributet som innehåller nätgrupptrippeln (värd, användare, domän).

Detta alternativ är inte tillgängligt i IPA-leverantören.

Standard: nisNetgroupTriple

ldap_netgroup_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Detta alternativ är inte tillgängligt i IPA-leverantören.

Standard: modifyTimestamp

VÄRDATTRIBUT

ldap_host_object_class (sträng)

Objektklassen hos en värdpost i LDAP.

Standard: ipService

ldap_host_name (sträng)

LDAP-attributet som motsvarar värdens namn.

Standard: cn

ldap_host_fqdn (sträng)

LDAP-attributet som motsvarar värdens fullständigt kvalificerade domännamn.

Standard: fqdn

ldap_host_serverhostname (sträng)

LDAP-attributet som motsvarar värdens namn.

Standard: serverHostname

ldap_host_member_of (sträng)

LDAP-attributet som räknar upp värdens gruppmedlemskap.

Standard: memberOf

ldap_host_ssh_public_key (sträng)

LDAP-attributet som innehåller värdens publika SSH-nycklar.

Standard: sshPublicKey

ldap_host_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-värdobjekt.

Standard: inte satt

TJÄNSTEATTRIBUT

ldap_service_object_class (sträng)

Objektklassen hos en servicepost i LDAP.

Standard: ipService

ldap_service_name (sträng)

LDAP-attributet som innehåller namnet på tjänsteattribut och deras alias.

Standard: cn

ldap_service_port (sträng)

LDAP-attributet som innehåller porten som hanteras av denna tjänst.

Standard: ipServicePort

ldap_service_proto (sträng)

LDAP-attributet som innehåller protokollen som denna tjänst förstår.

Standard: ipServiceProtocol

SUDO-ATTRIBUT

ldap_sudorule_object_class (sträng)

Objektklassen hos en sudo-regelpost i LDAP.

Standard: sudoRole

ldap_sudorule_name (sträng)

LDAP-attributet som motsvarar sudo-regelnamnet.

Standard: cn

ldap_sudorule_command (sträng)

LDAP-attributet som motsvarar kommandonamnet.

Standard: sudoCommand

ldap_sudorule_host (sträng)

LDAP-attributet som motsvarar värdnamnet (eller värdens IP-adress, värdens IP-nätverk eller värdens nätgrupp)

Standard: sudoHost

ldap_sudorule_user (sträng)

LDAP-attributet som motsvarar användarnamnet (eller AID, gruppnamnet eller användarens nätgrupp)

Standard: sudoUser

ldap_sudorule_option (sträng)

LDAP-attributet som motsvarar sudo-alternativen.

Standard: sudoOption

ldap_sudorule_runasuser (sträng)

LDAP-attributet som motsvarar användarnamnet som kommandon får köras som.

Standard: sudoRunAsUser

ldap_sudorule_runasgroup (sträng)

LDAP-attributet som motsvarar gruppnamnet eller grupp-GID:t som kommandon får köras som.

Standard: sudoRunAsGroup

ldap_sudorule_notbefore (sträng)

LDAP-attributet som motsvarar startdagen/-tiden då sudo-regeln är giltig.

Standard: sudoNotBefore

ldap_sudorule_notafter (sträng)

LDAP-attributet som motsvarar utgångsdagen/-tiden då sudo-regeln inte längre är giltig.

Standard: sudoNotAfter

ldap_sudorule_order (sträng)

LDAP-attributet som motsvarar ordningsindexet för regeln.

Standard: sudoOrder

AUTOFS-ATTRIBUT

ldap_autofs_map_object_class (sträng)

Objektklassen hos en automatmonteringskartepost i LDAP.

Standard: nisMap (rfc2307, autofs_provider=ad), annars automountMap

ldap_autofs_map_name (sträng)

Namnet på en automatmonteringskartepost i LDAP.

Standard: nisMapName (rfc2307, autofs_provider=ad), annars automountMapName

ldap_autofs_entry_object_class (sträng)

Objektklassen hos en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: nisObject (rfc2307, autofs_provider=ad), annars automount

ldap_autofs_entry_key (sträng)

Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: cn (rfc2307, autofs_provider=ad), annars automountKey

ldap_autofs_entry_value (sträng)

Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: nisMapEntry (rfc2307, autofs_provider=ad), annars automountInformation

IP-VÄRDATTRIBUT

ldap_iphost_object_class (sträng)

Objektklassen för en iphost-post i LDAP.

Standard: ipHost

ldap_iphost_name (sträng)

LDAP-attributet som innehåller namnet på IP-värdattributen och deras alias.

Standard: cn

ldap_iphost_number (sträng)

LDAP-attributet som innehåller IP-värdadressen.

Standard: ipHostNumber

IP-NÄTVERKSATTRIBUT

ldap_ipnetwork_object_class (sträng)

Objektklassen för en ipnetwork-post i LDAP.

Standard: ipNetwork

ldap_ipnetwork_name (sträng)

LDAP-attributet som innehåller namnet på IP-nätverksattributen och deras alias.

Standard: cn

ldap_ipnetwork_number (sträng)

LDAP-attributet som innehåller IP-nätverksadressen.

Standard: ipNetworkNumber

SE ÄVEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

05/24/2024 SSSD