SSSD-IPA(5) | Формати файлів та правила | SSSD-IPA(5) |
NAME¶
sssd-ipa - Модуль надання даних IPA SSSD
ОПИС¶
На цій сторінці довідника описано налаштування засобу керування доступом IPA для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf(5).
Інструмент надання даних IPA — модуль, який використовується для встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує включення комп’ютера до домену IPA. Налаштування майже повністю автоматизовано, дані для нього отримуються безпосередньо з сервера.
Засіб надання даних IPA уможливлює для SSSD використання засобу надання даних профілів sssd-ldap(5) та засобу надання даних розпізнавання sssd-krb5(5) з оптимізацією для середовищ IPA. Засіб надання даних IPA приймає ті самі параметри, які використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими виключеннями. Втім, встановлювати ці параметри не обов'язково і не рекомендовано.
Засіб надання даних IPA в основному копіює типові параметри традиційних засобів надання даних ldap і krb5 із деякими виключенням. Відмінності наведено у розділі “ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ”.
As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.
Якщо у sssd.conf вказано “auth_provider=ipa” або “access_provider=ipa”, для id_provider також має бути вказано “ipa”.
Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки Kerberos користувачів з довірених областей містять PAC. Для полегшення налаштовування відповідач PAC запускається автоматично, якщо налаштовано інструмент надання даних ідентифікаторів IPA.
ПАРАМЕТРИ НАЛАШТУВАННЯ¶
Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf(5), щоб дізнатися більше про налаштування домену SSSD.
ipa_domain (рядок)
ipa_server, ipa_backup_server (рядок)
ipa_hostname (рядок)
dyndns_update (булеве значення)
ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у цьому режимі типову область дії Kerberos має бути належним чином визначено у /etc/krb5.conf
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_update, користувачам слід переходити на нову назву, dyndns_update, у файлі налаштувань.
Типове значення: false
dyndns_ttl (ціле число)
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_ttl, користувачам слід переходити на нову назву, dyndns_ttl, у файлі налаштувань.
Типове значення: 1200 (секунд)
dyndns_iface (рядок)
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_iface, користувачам слід переходити на нову назву, dyndns_iface, у файлі налаштувань.
Типове значення: використовувати IP-адреси інтерфейсу, який використовується для з’єднання LDAP IPA
Приклад: dyndns_iface = em1, vnet1, vnet2
dyndns_auth (рядок)
Типове значення: GSS-TSIG
dyndns_auth_ptr (рядок)
Типове значення: те саме, що і dyndns_auth
ipa_enable_dns_sites (булеве значення)
Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку спробує визначення на основі адрес за допомогою запиту, що містить "_location.hostname.example.com", а потім повертається до традиційного визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, виявлені на основі визначення за адресою, вважатимуться основним серверами, а сервери IPA, виявлені за допомогою традиційного визначення SRV, вважатимуться резервними серверами.
Типове значення: false
dyndns_refresh_interval (ціле число)
Типове значення: 0 (вимкнено)
dyndns_update_ptr (булеве значення)
Значенням цього параметра у більшості розгорнутих систем IPA має бути False, оскільки сервер IPA створює записи PTR автоматично після зміни у записах переспрямовування.
Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.
Типове значення: False (вимкнено)
dyndns_force_tcp (булеве значення)
Типове значення: False (надати змогу nsupdate вибирати протокол)
dyndns_server (рядок)
Встановлення значення для цього параметра потрібне для середовищ, де сервер DNS відрізняється від сервера профілів.
Будь ласка, зауважте, що цей параметр буде використано лише для резервних спроб, якщо попередні спроби із використанням автовиявлення завершаться невдало.
Типове значення: немає (надати nsupdate змогу вибирати сервер)
dyndns_update_per_family (булеве значення)
Типове значення: true
ipa_access_order (string)
expire: use IPA's account expiration policy.
pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Ці параметри корисні, якщо користувачам потрібні попередження щодо скорого завершення строку дії пароля, і у випадках, коли розпізнавання засновано на відмінних від паролів методах, наприклад на ключах SSH.
The difference between these options is the action taken if user password is expired:
Please note that 'access_provider = ipa' must be set for this feature to work.
ipa_deskprofile_search_base (рядок)
Типове значення: використання базової назви домену
ipa_hbac_search_base (рядок)
Типове значення: використання базової назви домену
ipa_host_search_base (рядок)
ipa_selinux_search_base (рядок)
Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.
Типове значення: значення ldap_search_base
ipa_subdomains_search_base (рядок)
Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.
Типове значення: значення cn=trusts,%basedn
ipa_master_domain_search_base (рядок)
Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.
Типове значення: значення виразу cn=ad,cn=etc,%basedn
ipa_views_search_base (рядок)
Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.
Типове значення: значення cn=views,cn=accounts,%basedn
krb5_realm (рядок)
Назва області дії Kerberos має особливе значення у IPA: цю назву буде перетворено у основний DN для виконання дій LDAP.
krb5_confd_path (рядок)
Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра значення «none».
Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf SSSD)
ipa_deskprofile_refresh (ціле число)
Типове значення: 5 (секунд)
ipa_deskprofile_request_interval (ціле число)
Типове значення: 60 (хвилин)
ipa_hbac_refresh (ціле число)
Типове значення: 5 (секунд)
ipa_hbac_selinux (ціле число)
Типове значення: 5 (секунд)
ipa_server_mode (булеве значення)
На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA.
Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD працює на сервері IPA.
Типове значення: false
ipa_automount_location (рядок)
Типове значення: адреса з назвою "default"
Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту лише під час запуску, отже якщо до ssd.conf внесено будь-які пов’язані з autofs зміни, типово слід перезапустити фонову службу автоматичного монтування після перезапуску SSSD.
ПЕРЕГЛЯДИ і ПЕРЕВИЗНАЧЕННЯ¶
SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA 4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для повноти, усі відповідні параметри наведено у списку разом з їхніми типовими значеннями.
ipa_view_class (рядок)
Типове значення: nsContainer
ipa_view_name (рядок)
Типове значення: cn
ipa_override_object_class (рядок)
Типове значення: ipaOverrideAnchor
ipa_anchor_uuid (рядок)
Типове значення: ipaAnchorUUID
ipa_user_override_object_class (рядок)
Перевизначення користувачів можуть містити атрибути, задані
Типове значення: ipaUserOverride
ipa_group_override_object_class (рядок)
Перевизначення груп можуть містити атрибути, задані
Типове значення: ipaGroupOverride
ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ¶
Деякі типові значення параметрів не збігаються із типовими значеннями параметрів засобу надання даних. Із назвами відповідних параметрів та специфічні для засобу надання даних IPA значення цих параметрів можна ознайомитися за допомогою наведеного нижче списку:
Модуль надання даних KRB5¶
Модуль надання даних LDAP — Загальне¶
Модуль надання даних LDAP — Параметри користувачів¶
Модуль надання даних LDAP — Параметри груп¶
СЛУЖБА ПІДДОМЕНІВ¶
Поведінка інструмента надання даних піддоменів IPA залежить від того, у який спосіб його налаштовано: явний чи неявний.
Якщо у розділі домену sssd.conf буде знайдено запис параметра «subdomains_provider = ipa», інструмент надання даних піддоменів IPA налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, якщо це потрібно.
Якщо у розділі домену sssdconf не встановлено параметр «subdomains_provider», але встановлено параметр «id_provider = ipa», інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або відкриється доступ до інструмента надання даних IPA, інструмент надання даних піддоменів буде знову увімкнено.
НАЛАШТОВУВАННЯ ДОВІРЕНИХ ДОМЕНІВ¶
Крім того, деякі параметри налаштування може бути встановлено для довіреного домену. Налаштування довіреного домену можна встановити за допомогою підрозділу довіреного домену, як це показано у наведеному нижче прикладі. Крім того, можна скористатися параметром “subdomain_inherit” у батьківському домені.
[domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com
Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо sssd.conf(5).
Перелік параметрів налаштовування для довіреного домену залежить від того, як ви налаштували SSSD на сервері IPA або клієнт IPA.
ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА ОСНОВНИХ СЕРВЕРАХ IPA¶
У розділі піддомену на основному сервері IPA можна вказати такі параметри:
ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА КЛІЄНТАХ IPA¶
У розділі піддомену на клієнті IPA можна вказати такі параметри:
Зауважте, що якщо встановлено обидва параметри, буде враховано лише “ad_server”.
Оскільки будь-який запит щодо ідентифікації користувача або групи від довіреного домену, який започатковано клієнтом IPA, обробляється сервером IPA, параметри “ad_server” і “ad_site” впливають лише на те, який з DC AD виконуватиме процедуру розпізнавання. Зокрема, адреси, які визначено за цими списками, буде записано до файлів “kdcinfo”, читання яких виконуватиметься додатком пошуку Kerberos. Будь ласка, зверніться до сторінки підручника щодо sssd_krb5_locator_plugin(8), щоб дізнатися більше про додаток пошуку Kerberos.
РЕЗЕРВ¶
Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з’єднання з поточним сервером зазнає невдачі.
Синтаксичні конструкції визначення резервного сервера¶
Список записів серверів, відокремлених комами. Між комами можна використовувати довільну кількість пробілів. Порядок у списку визначає пріоритет. У списку може бути будь-яка кількість записів серверів.
Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти: основний і резервний. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з’єднання з основними серверами. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний.
Механізм визначення резервного сервера¶
Механізмом резервного використання розрізняються окремі комп’ютери і служби. Спочатку модуль намагається визначити назву вузла вказаного комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься від’єднаним від мережі. Подальших спроб встановити з’єднання з цим комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати визначення, модуль зробити спробу встановити з’єднання зі службою на визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з мережею, можливі подальші спроби використання інших служб.
Подальші спроби встановлення з’єднання з комп’ютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам.
Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд.
Час очікування на перемикання на резервний ресурс та точне налаштовування¶
Для визначення сервера для з'єднання достатньо одного запиту DNS або декількох кроків, зокрема визначення відповідного сайта або спроба використати декілька назв вузлів у випадку, якщо якісь із налаштованих серверів недоступні. Складніші сценарії можуть потребувати додаткового часу, а SSSD треба збалансувати надання достатнього часу для завершення процесу визначення і використання притомного часу на виконання цього запиту перед переходом до автономного режиму. Якщо діагностичний журнал SSSD показує, що під час визначення сервера перевищено час очікування на з'єднання із працездатним сервером, варто змінити значення параметрів часу очікування.
У цьому розділі наведено списки доступних для коригування параметрів. Будь ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника sssd.conf(5).
dns_resolver_server_timeout
Типове значення: 1000
dns_resolver_op_timeout
Типове значення: 3
dns_resolver_timeout
Типове значення: 6
Для заснованих на LDAP постачальників даних дія з визначення виконується як частина дії зі встановлення з'єднання із LDAP. Тому слід також встановити для часу очікування “ldap_opt_timeout” значення, яке перевищуватиме значення “dns_resolver_timeout”, яке також має перевищувати значення “dns_resolver_op_timeout”, яке має перевищувати значення “dns_resolver_server_timeout”.
ПОШУК СЛУЖБ¶
За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з’єднання на основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки цієї можливості для резервних серверів не передбачено.
Налаштування¶
Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб. Для цього слід вставити особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера.
Назва домену¶
З докладнішими відомостями щодо параметра «dns_discovery_domain» можна ознайомитися на сторінці підручника (man) sssd.conf(5).
Протокол¶
Запитами зазвичай визначається протокол _tcp. Виключення документовано у описі відповідного параметра.
Також прочитайте¶
Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782.
ПРИКЛАД¶
У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example.com є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише параметри доступу, специфічні для засобу ipa.
[domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com
ТАКОЖ ПЕРЕГЛЯНЬТЕ¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)
AUTHORS¶
Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
10/01/2024 | SSSD |