Scroll to navigation

SSSD-LDAP-ATTRIBUT(5) Formatos de archivo y convenci SSSD-LDAP-ATTRIBUT(5)

NAME

sssd-ldap-attributes - SSSD LDAP Provider: Mapping Attributes

DESCRIPCION

This manual page describes the mapping attributes of SSSD LDAP provider sssd-ldap(5). Refer to the sssd-ldap(5) manual page for full details about SSSD LDAP provider configuration options.

USER ATTRIBUTES

ldap_user_object_class (cadena)

La clase de objeto de una entrada de usuario en LDAP.

Predeterminado: posixAccount

ldap_user_name (cadena)

El atributo LDAP que corresponde al nombre de inicio de sesión del usuario.

Predeterminado: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD)

ldap_user_uid_number (cadena)

El atributo LDAP que corresponde al id de usuario.

Predeterminado: uidNumber

ldap_user_gid_number (cadena)

El atributo LDAP que corresponde al id del grupo primario del usuario.

Predeterminado: gidNumber

ldap_user_primary_group (cadena)

Atributo de grupo primario Active Directory para el mapeo de ID. Advierta que este atributo debería solo ser establecido manualmente si usted está ejecutando el proveedor “ldap” con mapeo ID.

Predeterminado: no establecido (LDAP), primaryGroupID (AD)

ldap_user_gecos (cadena)

El atributo LDAP que corresponde al campo de gecos del usuario.

Predeterminado: gecos

ldap_user_home_directory (cadena)

El atributo LDAP que contiene el nombre del directorio principal del usuario.

Default: homeDirectory (LDAP and IPA), unixHomeDirectory (AD)

ldap_user_shell (cadena)

El atributo LDAP que contiene la ruta de acceso a la shell predeterminada del usuario.

Predeterminado: loginShell

ldap_user_uuid (cadena)

El atributo LDAP que contiene el UUID/GUID de un objeto de usuario LDAP.

Predeterminado: no establecido en caso general, objectGUID para AD e ipaUniqueID para IPA

ldap_user_objectsid (cadena)

El atributo LDAP que contiene el objectSID de un objeto usuario LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.

Predeterminado: objectSid para ActiveDirectory, no establecido para otros servidores.

ldap_user_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Predeterminado: modifyTimestamp

ldap_user_shadow_last_change (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (fecha del último cambio de password).

Predeterminado: shadowLastChange

ldap_user_shadow_min (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (edad mínima del password).

Predeterminado: shadowMin

ldap_user_shadow_max (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (edad máxima del password).

Predeterminado: shadowMax

ldap_user_shadow_warning (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (período de aviso de password).

Predeterminado: shadowWarning

ldap_user_shadow_inactive (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (período de inactividad de password).

Predeterminado: shadowInactive

ldap_user_shadow_expire (cadena)

Cuando se utiliza ldap_pwd_policy=shadow o ldap_account_expire_policy=shadow, este parámetro contiene el nombre de un atributo correspondiente con su shadow(5) homólogo (fecha de expiración de la cuenta).

Predeterminado: shadowExpire

ldap_user_krb_last_pwd_change (cadena)

Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora del último cambio de password en kerberos.

Predeterminado: krbLastPwdChange

ldap_user_krb_password_expiration (cadena)

Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora en la que expira el password actual.

Predeterminado: krbPasswordExpiration

ldap_user_ad_account_expires (cadena)

Cuando se utiliza ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el tiempo de expiración de la cuenta.

Predeterminado: accountExpires

ldap_user_ad_user_account_control (cadena)

Cuando se usa ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el campo bit de control de la cuenta de usuario.

Predeterminado: userAccountControl

ldap_ns_account_lock (cadena)

Cuando se usa ldap_account_expire_policy=rhds o esquivalente, este parámetro determina si el acceso está permitido o no.

Predeterminado: nsAccountLock

ldap_user_nds_login_disabled (cadena)

Cuando se usa ldap_account_expire_policy=nds, este atributo determina si el acceso está permitido o no.

Predeterminado: loginDisabled

ldap_user_nds_login_expiration_time (cadena)

Cuando se usa ldap_account_expire_policy=nds, este atributo determina hasta que fecha se concede el acceso.

Predeterminado: loginDisabled

ldap_user_nds_login_allowed_time_map (cadena)

Cuando se utiliza ldap_account_expire_policy=nds, este atributo determina la hora de un día en la semana cuando se concede el acceso.

Predeterminado: loginAllowedTimeMap

ldap_user_principal (cadena)

El atributo LDAP que contiene le Nombre Principal de Usuario Kerberos (UPN) del usuario.

Predeterminado: krbPrincipalName

ldap_user_extra_attrs (cadena)

Lista separada por comas de atributos LDAP que SSSD debería ir a buscar con el conjunto usual de atributos de usuario.

La lista puede contener bien nombres de atributo LDAP solamente o tuplas separadas por comas de de nombre de atributo SSSD en caché y nombre de atributo LDAP. En el caso de que solo sed especifique el nombre de atributo LDAP, el atributo se salva al caché literal. El uso de un nombre de atributo SSSD personal puede ser requerido por entornos que configuran varios dominios SSSD con diferentes esquemas LDAP.

Por favor advierta que varios nombres de atributos están reservados por SSSD, notablemente el atributo “name”. SSSD informaría de un error si cualquiera de los nombres de atributo reservados es usado como un nombre de atributo extra.

Ejemplos:

ldap_user_extra_attrs = telephoneNumber

Guarda el atributo “telephoneNumber” desde LDAP como “telephoneNumber” al caché.

ldap_user_extra_attrs = phone:telephoneNumber

Guarda el atributo “telephoneNumber” desde LDAP como “phone” al caché.

Predeterminado: no definido

ldap_user_ssh_public_key (cadena)

El atributo LDAP que contiene las claves públicas SSH del usuario.

Predeterminado: sshPublicKey

ldap_user_fullname (cadena)

El atributo LDAP que corresponde al nombre completo del usuario.

Predeterminado: cn

ldap_user_member_of (cadena)

El atributo LDAP que lista los afiliación a grupo de usario.

Predeterminado: memberOf

ldap_user_authorized_service (cadena)

Si access_provider=ldap y ldap_access_order=authorized_service, SSSD utilizará la presencia del atributo authorizedService en la entrada LDAP del usuario para determinar el privilegio de acceso.

Una denegación explícita (¡svc) se resuelve primero. Segundo, SSSD busca permiso explícito (svc) y finalmente permitir todo (*).

Por favor advierta que la opcion de configuración ldap_access_order debe incluir “authorized_service” con el objetivo de que la opción ldap_user_authorized_service trabaje.

Some distributions (such as Fedora-29+ or RHEL-8) always include the “systemd-user” PAM service as part of the login process. Therefore when using service-based access control, the “systemd-user” service might need to be added to the list of allowed services.

Predeterminado: iluminada

ldap_user_authorized_host (cadena)

Si access_provider=ldap y ldap_access_order=host, SSSD utilizará la presencia del atributo host en la entrada LDAP del usuario para determinar el privilegio de acceso.

Una denegación explícita (¡host) se resuelve primero. Segundo, la búsqueda SSSD para permiso explícito (host) y finalmente permitir todo (*).

Por favor advierta que la opción de configuración ldap_access_order debe incluir “host” con el objetivo de que la opción ldap_user_authorized_host.

Default: host

ldap_user_authorized_rhost (cadena)

Si access_provider=ldap y ldap_access_order=rhost, SSSD usará la presencia del atributo rhost en la entrada LDAP de usuario para determinar el privilegio de acceso. Similarmente al proceso de verificación de host.

Una denegación explícita (!rhost) se resuelve primero. Segundo, SSSD busca permisos explícitos (rhost) y finalmente allow_all (*).

Por favor advierta que la opción de configuración ldap_access_order debe incluir “rhost” con el objetivo de que la opción ldap_user_authorized_rhost trabaje.

Predeterminado: rhost

ldap_user_certificate (cadena)

Nombre del atributo LDAP que contiene el certificado X509 del usuario.

Predeterminado: userCertificate;binary

ldap_user_email (cadena)

Nombre del atributo LDAP que contiene el correo electrónico del usuario.

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

Predeterminado: mail

GROUP ATTRIBUTES

ldap_group_object_class (cadena)

La clase de objeto de una entrada de grupo LDAP.

Por defecto: posixGroup

ldap_group_name (cadena)

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

Predeterminado: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_group_gid_number (cadena)

El atributo LDAP que corresponde al id del grupo.

Predeterminado: gidNumber

ldap_group_member (cadena)

El atributo LDAP que contiene los nombres de los miembros del grupo.

Valor predeterminado: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (cadena)

El atributo LDAP que contiene el UUID/GUID de un objeto grupo LDAP.

Predeterminado: no establecido en caso general, objectGUID para AD e ipaUniqueID para IPA

ldap_group_objectsid (cadena)

El atributo LDAP que contiene el objectSID de un objeto grupo LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.

Predeterminado: objectSid para ActiveDirectory, no establecido para otros servidores.

ldap_group_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Predeterminado: modifyTimestamp

ldap_group_type (string)

El atributo LDAP que contiene un valor entero indicando el tipo del grupo y puede ser otras banderas.

Este atributo es actualmente usado por el proveedor AD para determinar si un grupo está en grupos de dominio local y ha de ser sacado de los dominios de confianza.

Predeterminado: groupType en el proveedor AD, de otro modo no establecido

ldap_group_external_member (cadena)

El atributo LDAP que referencia a los miembros de grupo que están definidos en un dominio externo. En este momento, solo se soportan los miembros externos de IPA.

Predeterminado: ipaExternalMember en el proveedor IPA, de otro modo no estabecido.

NETGROUP ATTRIBUTES

ldap_netgroup_object_class (cadena)

La clase objeto de una entrada de grupo de red en LDAP.

En proveedor IPA, ipa_netgroup_object_class, se usaría en su lugar.

Predeterminado: nisNetgroup

ldap_netgroup_name (cadena)

El atributo LDAP que corresponde al nombre de grupo de red.

Un proveedor IPA, ipa_netgroup_name sería usado en su lugar.

Predeterminado: cn

ldap_netgroup_member (cadena)

El atributo LDAP que contiene los nombres de los miembros de grupo de red.

Un proveedor IPA, ipa_netgroup_member sería usado en su lugar.

Predeterminado: memberNisNetgroup

ldap_netgroup_triple (cadena)

El atributo LDAP que contiene los (host, usuario, dominio) triples de grupo de red.

Esta opción no está disponible en el proveedor IPA.

Predeterminado: nisNetgroupTriple

ldap_netgroup_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Esta opción no está disponible en el proveedor IPA.

Predeterminado: modifyTimestamp

HOST ATTRIBUTES

ldap_host_object_class (cadena)

La clase de objeto de una entrada de host en LDAP.

Por defecto: ipService

ldap_host_name (cadena)

El atributo LDAP que corresponde al nombre de host.

Predeterminado: cn

ldap_host_fqdn (cadena)

El atributo LDAP que corresponde al nombre de dominio totalmente cualificado del host.

Predeterminado: fqdn

ldap_host_serverhostname (cadena)

El atributo LDAP que corresponde al nombre de host.

Predeterminado: serverHostname

ldap_host_member_of (cadena)

Atributo LDAP que lista los miembros del grupo del host.

Predeterminado: memberOf

ldap_host_ssh_public_key (cadena)

El atributo LDAP que contiene las claves públicas SSH del host.

Predeterminado: sshPublicKey

ldap_host_uuid (cadena)

Atributo LDAP que contiene las UUID/GUID de un objeto host LDAP.

Predeterminado: no definido

SERVICE ATTRIBUTES

ldap_service_object_class (cadena)

La clase objeto de una entrada de servicio en LDAP.

Por defecto: ipService

ldap_service_name (cadena)

El atributo LDAP que contiene el nombre de servicio de atributos y sus alias.

Predeterminado: cn

ldap_service_port (cadena)

El atributo LDAP que contiene el puerto manejado por este servicio.

Por defecto: ipServicePort

ldap_service_proto (cadena)

El atributo LDAP que contiene los protocolos entendidos por este servicio.

Por defecto: ipServiceProtocol

SUDO ATTRIBUTES

ldap_sudorule_object_class (cadena)

El objeto clase de una regla de entrada sudo en LDAP.

Por defecto: sudoRole

ldap_sudorule_name (cadena)

El atributo LDAP que corresponde a la regla nombre de sudo.

Predeterminado: cn

ldap_sudorule_command (cadena)

El atributo LDAP que corresponde al nombre de comando.

Por defecto: sudoCommand

ldap_sudorule_host (cadena)

El atributo LDAP que corresponde al nombre de host (o dirección IP del host, red IP del host o grupo de red del host)

Por defecto: sudoHost

ldap_sudorule_user (cadena)

El atributo LDAP que corresponde al nombre de usuario (o UID. nombre de grupo o grupo de red del usuario)

Por defecto: sudoUser

ldap_sudorule_option (cadena)

El atributo LDAP que corresponde a las opciones sudo.

Por defecto: sudoOption

ldap_sudorule_runasuser (cadena)

El atributo LDAP que corresponde al nombre de usuario que los comandos pueden ejecutar como.

Por defectot: sudoRunAsUser

ldap_sudorule_runasgroup (cadena)

El atributo LDAP que corresponde al nombre de grupo o GID de grupo que puede ejecutar comandos como.

Por defecto: sudoRunAsGroup

ldap_sudorule_notbefore (cadena)

El atributo LDAP que corresponde al inicio de fecha/hora para cuando la regla sudo es válida.

Por defecto: sudoNotBefore

ldap_sudorule_notafter (cadena)

El atributo LDAP que corresponde a la fecha/hora final, después de la cual la regla sudo dejará de ser válida.

Por defecto: sudoNotAfter

ldap_sudorule_order (cadena)

El atributo LDAP que corresponde al índice de ordenación de la regla.

Por defecto: sudoOrder

AUTOFS ATTRIBUTES

ldap_autofs_map_object_class (cadena)

El objeto clase de una entrada de mapa de automontaje en LDAP.

Predeterminado: nisMap (rfc2307, autofs_provider=ad), de otra manera automountMap

ldap_autofs_map_name (cadena)

El nombre de una entrada de mapa de automontaje en LDAP.

Predeterminado: nisMapName (rfc2307, autofs_provider=ad), de otra manera automountMapName

ldap_autofs_entry_object_class (cadena)

El objeto clase de una entrada de montaje automático en LDAP. La entrada normalmente corresponde a un punto de montaje.

Predeterminado: nisObject (rfc2307, autofs_provider=ad), de otra manera automount

ldap_autofs_entry_key (cadena)

La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje.

Predeterminado: cn (rfc2307, autofs_provider=ad), de otra manera automountKey

ldap_autofs_entry_value (cadena)

La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje.

Predeterminado: nisMapEntry (rfc2307, autofs_provider=ad), de otra manera automountInformation

IP HOST ATTRIBUTES

ldap_iphost_object_class (string)

The object class of an iphost entry in LDAP.

Default: ipHost

ldap_iphost_name (string)

The LDAP attribute that contains the name of the IP host attributes and their aliases.

Predeterminado: cn

ldap_iphost_number (string)

The LDAP attribute that contains the IP host address.

Default: ipHostNumber

IP NETWORK ATTRIBUTES

ldap_ipnetwork_object_class (string)

The object class of an ipnetwork entry in LDAP.

Default: ipNetwork

ldap_ipnetwork_name (string)

The LDAP attribute that contains the name of the IP network attributes and their aliases.

Predeterminado: cn

ldap_ipnetwork_number (string)

The LDAP attribute that contains the IP network address.

Default: ipNetworkNumber

VEA TAMBIEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

The SSSD upstream - https://github.com/SSSD/sssd/

10/01/2024 SSSD