SSSD-IPA(5) | Форматы файлов и рекомендации | SSSD-IPA(5) |
NAME¶
sssd-ipa - Поставщик данных IPA SSSD
ОПИСАНИЕ¶
На этой справочной странице представлено описание настройки поставщика данных IPA для sssd(8). Подробные сведения о синтаксисе доступны в разделе “ФОРМАТ ФАЙЛА” справочной страницы sssd.conf(5).
Поставщик данных IPA — это внутренний сервер, который используется для подключения к серверу IPA. (Сведения о серверах IPA доступны на веб-сайте freeipa.org.) Для работы этого поставщика требуется, чтобы компьютер был присоединён к домену IPA; настройка почти полностью автоматизирована, получение её данных выполняется непосредственно с сервера.
Поставщик данных IPA позволяет SSSD использовать поставщика данных идентификации sssd-ldap(5) и поставщика данных проверки подлинности sssd-krb5(5) с оптимизацией для сред IPA. Поставщик данных IPA принимает те же параметры, которые используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми исключениями. Но установка этих параметров не является ни необходимой, ни рекомендуемой.
Поставщик данных IPA в основном копирует стандартные параметры традиционных поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий доступен в разделе “ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ”.
As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.
Если в sssd.conf указано “auth_provider=ipa” или “access_provider=ipa”, параметр id_provider тоже необходимо установить в значение “ipa”.
Поставщик данных IPA будет использовать ответчик PAC, если билеты Kerberos пользователей из доверенных областей содержат PAC. Для упрощения настройки запуск ответчика PAC выполняется автоматически, если настроен поставщик идентификаторов IPA.
ПАРАМЕТРЫ КОНФИГУРАЦИИ¶
Сведения о конфигурации домена SSSD доступны в разделе “РАЗДЕЛЫ ДОМЕНА” справочной страницы sssd.conf(5).
ipa_domain (строка)
ipa_server, ipa_backup_server (строка)
ipa_hostname (строка)
dyndns_update (логическое значение)
ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы в этом режиме необходимо надлежащим образом задать стандартную область Kerberos в /etc/krb5.conf
ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_update, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_update, в файле конфигурации.
По умолчанию: false
dyndns_ttl (целое число)
ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_ttl, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_ttl, в файле конфигурации.
По умолчанию: 1200 (секунд)
dyndns_iface (строка)
ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_iface, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_iface, в файле конфигурации.
По умолчанию: использовать IP-адреса интерфейса, который используется для подключения LDAP IPA
Пример: dyndns_iface = em1, vnet1, vnet2
dyndns_auth (строка)
По умолчанию: GSS-TSIG
dyndns_auth_ptr (строка)
По умолчанию: то же, что и dyndns_auth
ipa_enable_dns_sites (логическое значение)
Если параметр установлен в значение «true» и включено обнаружение служб (смотрите абзац об обнаружении служб в нижней части справочной страницы), SSSD сначала будет пробовать выполнить обнаружение на основе расположения с помощью запроса, который содержит «_location.hostname.example.com», а затем перейдёт к традиционному обнаружению SRV. Если обнаружение на основе расположения будет выполнено успешно, серверы IPA, обнаруженные с помощью обнаружения на основе расположения, будут считаться основными, а серверы IPA, обнаруженные с помощью традиционного обнаружения SRV, будут использоваться в качестве резервных
По умолчанию: false
dyndns_refresh_interval (целое число)
По умолчанию: 0 (отключено)
dyndns_update_ptr (логическое значение)
Этот параметр должен быть установлен в значение «False» в большинстве развёрнутых систем IPA, так как сервер IPA генерирует записи PTR автоматически при смене записей перенаправления.
Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.
По умолчанию: false (отключено)
dyndns_force_tcp (логическое значение)
По умолчанию: false (разрешить nsupdate выбрать протокол)
dyndns_server (строка)
Установка этого параметра имеет смысл для сред, в которых сервер DNS отличается от сервера данных идентификации.
Обратите внимание, что этот параметр используется только для резервной попытки, которая выполняется тогда, когда предыдущая попытка с использованием автоматически определённых параметров завершилась неудачей.
По умолчанию: none (разрешить nsupdate выбрать сервер)
dyndns_update_per_family (логическое значение)
По умолчанию: true
ipa_access_order (string)
expire: use IPA's account expiration policy.
pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: эти параметры полезны, если пользователям нужно предупреждение о том, что срок действия пароля истекает, и для проверки подлинности используются не пароли, а, например, ключи SSH.
The difference between these options is the action taken if user password is expired:
Please note that 'access_provider = ipa' must be set for this feature to work.
ipa_deskprofile_search_base (строка)
По умолчанию: использовать base DN
ipa_hbac_search_base (строка)
По умолчанию: использовать base DN
ipa_host_search_base (строка)
ipa_selinux_search_base (строка)
Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.
По умолчанию: значение ldap_search_base
ipa_subdomains_search_base (строка)
Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.
По умолчанию: значение cn=trusts,%basedn
ipa_master_domain_search_base (строка)
Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.
По умолчанию: значение cn=ad,cn=etc,%basedn
ipa_views_search_base (строка)
Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.
По умолчанию: значение cn=views,cn=accounts,%basedn
krb5_realm (строка)
Имя области Kerberos имеет особое значение в IPA — оно преобразуется в base DN, которое следует использовать для выполнения действий LDAP.
krb5_confd_path (строка)
Чтобы отключить создание фрагментов конфигурации, установите этот параметр в значение «none».
По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD)
ipa_deskprofile_refresh (целое число)
По умолчанию: 5 (секунд)
ipa_deskprofile_request_interval (целое число)
По умолчанию: 60 (минут)
ipa_hbac_refresh (целое число)
По умолчанию: 5 (секунд)
ipa_hbac_selinux (целое число)
По умолчанию: 5 (секунд)
ipa_server_mode (логическое значение)
На сервере IPA SSSD выполняет поиск пользователей и групп из доверенных доменов напрямую, но на клиенте SSSD отправит запрос серверу IPA.
ПРИМЕЧАНИЕ: необходимо соблюсти несколько условий, если SSSD работает на сервере IPA.
По умолчанию: false
ipa_automount_location (строка)
По умолчанию: расположение с именем «default»
Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких-либо изменений, связанных с autofs, в файл sssd.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD.
ПРЕДСТАВЛЕНИЯ И ПЕРЕОПРЕДЕЛЕНИЯ¶
SSSD может обрабатывать представления и переопределения, которые предоставляет FreeIPA версии 4.1 и выше. Так как все пути и классы объектов зафиксированы на стороне сервера, в целом нет необходимости в дополнительной настройке. Для полноты картины далее перечислены соответствующие параметры и их стандартные значения.
ipa_view_class (строка)
По умолчанию: nsContainer
ipa_view_name (строка)
По умолчанию: cn
ipa_override_object_class (строка)
По умолчанию: ipaOverrideAnchor
ipa_anchor_uuid (строка)
По умолчанию: ipaAnchorUUID
ipa_user_override_object_class (строка)
Переопределения пользователя могут содержать атрибуты, указанные с помощью
По умолчанию: ipaUserOverride
ipa_group_override_object_class (строка)
Переопределения группы могут содержать атрибуты, указанные с помощью
По умолчанию: ipaGroupOverride
ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ¶
Некоторые стандартные значения параметров не соответствуют стандартным значениям параметров соответствующего внутреннего поставщика данных. Имена этих параметров и специфичные для поставщика данных IPA стандартные значения параметров перечислены ниже:
Поставщик данных KRB5¶
Поставщик данных LDAP — Общие параметры¶
Поставщик данных LDAP — Параметры пользователей¶
Поставщик данных LDAP — Параметры групп¶
ПОСТАВЩИК ДАННЫХ ПОДДОМЕНОВ¶
В зависимости от того, настроен ли поставщик данных поддоменов IPA явным или неявным образом, его поведение будет немного отличаться.
Если в разделе домена sssd.conf найден параметр «subdomains_provider = ipa», поставщик данных поддоменов IPA настроен в явном виде, и при необходимости все запросы поддоменов отправляются серверу IPA.
Если в разделе домена sssd.conf не задан параметр «subdomains_provider», но имеется параметр «id_provider = ipa», поставщик данных поддоменов IPA настроен в неявном виде. В этом случае, если происходит ошибка запроса к поддомену, которая указывает на то, что сервер не поддерживает поддомены, то есть на нём не настроены отношения доверия, поставщик данных поддоменов IPA будет отключён. Через час или после того, как поставщик данных IPA выходит в сеть, поставщик данных поддоменов включается снова.
КОНФИГУРАЦИЯ ДОВЕРЕННЫХ ДОМЕНОВ¶
Для доверенного домена также можно задать некоторые параметры конфигурации. Настройку доверенного домена можно выполнить с помощью подраздела доверенного домена, как показано в примере ниже. Либо можно воспользоваться параметром “subdomain_inherit” в родительском домене.
[domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com
Дополнительные сведения доступны на справочной странице sssd.conf(5).
Для доверенного домена можно выполнить тонкую настройку различных параметров конфигурации в соответствии с тем, где настраивается SSSD: на сервере IPA или на клиенте IPA.
ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА ОСНОВНЫХ СЕРВЕРАХ IPA¶
В разделе поддомена на основном сервере IPA можно настроить следующие параметры:
ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА КЛИЕНТАХ IPA¶
В разделе поддомена на клиенте IPA можно настроить следующие параметры:
Обратите внимание: если заданы оба параметра, учитывается только “ad_server”.
Так как любой запрос идентификационных данных пользователя или группы из доверенного домена, который активирован клиентом IPA, разрешается сервером IPA, параметры “ad_server” и “ad_site” влияют только на то, на каком контроллере домена AD DC будет выполняться проверка подлинности. В частности, полученные из этих списков адреса будут записаны в файлы “kdcinfo”, чтение которых выполняет модуль локатора Kerberos. Дополнительные сведения о модуле локатора Kerberos доступны на справочной страницеsssd_krb5_locator_plugin(8).
ОТРАБОТКА ОТКАЗА¶
Функция обработки отказа позволяет внутренним серверам автоматически переключаться на другой сервер в случае сбоя текущего сервера.
Синтаксис обработки отказа¶
Список серверов разделяется запятыми; рядом с запятыми допускается любое количество пробелов. Серверы перечислены в порядке приоритета. Список может содержать любое количество серверов.
Для каждого параметра конфигурации с поддержкой отработки отказа существуют два варианта: основной (primary) и резервный (backup). Смысл в том, что приоритет получают серверы из списка основных, а поиск резервных серверов выполняется только в том случае, если не удалось связаться с основными серверами. Если выбран резервный сервер, устанавливается 31-секундный тайм-аут. По его истечении SSSD будет периодически пытаться восстановить подключение к одному из основных серверов. Если попытка будет успешной, текущий активный (резервный) сервер будет заменён на основной.
Механизм отработки отказа¶
Механизм отработки отказа различает компьютеры и службы. Внутренний сервер сначала пытается разрешить имя узла указанного компьютера; если попытка разрешения завершается неудачей, компьютер считается работающим в автономном режиме. Дальнейшие попытки подключиться к этому компьютеру для доступа к другим службам не выполняются. Если попытка разрешения успешна, внутренний сервер пытается подключиться к службе на этом компьютере. Если попытка подключения к службе завершается неудачей, работающей в автономном режиме будет считаться только эта служба, и внутренний сервер автоматически переключится на следующую службу. Компьютер продолжает считаться находящимся в сети, возможны дальнейшие попытки подключения к другим службам на нём.
Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как работающие в автономном режиме, выполняются по истечении определённого периода времени; в настоящее время это значения является жёстко заданным и составляет 30 секунд.
Если список компьютеров исчерпан, внутренний сервер целиком переключается на автономный режим и затем пытается восстановить подключение каждые 30 секунд.
Тайм-ауты и тонкая настройка отработки отказа¶
Разрешение имени сервера, к которому следует подключиться, может быть выполнено как за один запрос DNS, так и за несколько шагов, например, при поиске корректного сайта или переборе нескольких имён узлов, если некоторые из настроенных серверов недоступны. Для более сложных сценариев требуется больше времени, и SSSD требуется соблюсти баланс между предоставлением достаточного количества времени для завершения процесса разрешения и не слишком долгим ожиданием перед переходом в автономный режим. Если в журнале отладки SSSD есть данные о том, что время на разрешение сервера истекло до обращения к реальному серверу, рекомендуется изменить значения тайм-аутов.
В этом разделе перечислены доступные настраиваемые параметры. Их описание содержится на справочной странице sssd.conf(5).
dns_resolver_server_timeout
По умолчанию: 1000
dns_resolver_op_timeout
По умолчанию: 3
dns_resolver_timeout
По умолчанию: 6
Для поставщиков данных на основе LDAP операция разрешения выполняется как часть операции установления LDAP-соединения. Следовательно, тайм-аут “ldap_opt_timeout” также следует установить в большее значение, чем “dns_resolver_timeout”, который, в свою очередь, следует установить в большее значение, чем “dns_resolver_op_timeout”, который должен быть больше “dns_resolver_server_timeout”.
ОБНАРУЖЕНИЕ СЛУЖБ¶
Функция обнаружения служб позволяет внутренним серверам автоматически находить серверы, к которым следует подключиться, с помощью специального запроса DNS. Эта возможность не поддерживается для резервных серверов.
Конфигурация¶
Если серверы не указаны, внутренний сервер будет автоматически использовать обнаружение служб, чтобы попытаться найти сервер. Пользователь может (необязательно) задать использование сразу и фиксированных адресов серверов, и обнаружения служб, вставив в список серверов специальное ключевое слово “_srv_”. Обработка выполняется в порядке приоритета. Эта возможность полезна, например, если пользователь предпочитает использовать обнаружение служб всегда, когда это возможно, и подключаться к определённому серверу только в тех случаях, когда серверы не удалось обнаружить с помощью DNS.
Имя домена¶
Дополнительные сведения доступны в описании параметра “dns_discovery_domain” на справочной странице sssd.conf(5).
Протокол¶
В запросах обычно указан протокол _tcp. Исключения задокументированы в описаниях соответствующих параметров.
См. также¶
Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782.
ПРИМЕР¶
В следующем примере предполагается, что конфигурация SSSD корректна и что example.com — один из доменов в разделе [sssd]. В примере показаны только параметры, относящиеся к поставщику данных IPA.
[domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com
СМ. ТАКЖЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/
10/01/2024 | SSSD |