Класс объектов записи пользователя в LDAP.

По умолчанию: posixAccount

Атрибут LDAP, соответствующий имени пользователя для входа.

По умолчанию: uid (rfc2307, rfc2307bis и IPA), sAMAccountName (AD)

Атрибут LDAP, соответствующий идентификатору пользователя.

По умолчанию: uidNumber

Атрибут LDAP, соответствующий идентификатору основной группы пользователя.

По умолчанию: gidNumber

Атрибут основной группы Active Directory для сопоставления ID. Обратите внимание, что этот атрибут следует устанавливать только вручную, если запущен поставщик “ldap” с сопоставлением ID.

По умолчанию: не задано (LDAP), primaryGroupID (AD)

Атрибут LDAP, соответствующий полю gecos пользователя.

По умолчанию: gecos

Атрибут LDAP, который содержит имя домашнего каталога пользователя.

По умолчанию: homeDirectory (LDAP и IPA), unixHomeDirectory (AD)

Атрибут LDAP, который содержит путь к стандартной оболочке пользователя.

По умолчанию: loginShell

Атрибут LDAP, который содержит UUID/GUID объекта пользователя LDAP.

По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA

Атрибут LDAP, который содержит objectSID объекта пользователя LDAP. Обычно требуется только для серверов Active Directory.

По умолчанию: objectSid для Active Directory, не задано для других серверов.

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

По умолчанию: modifyTimestamp

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (дата последней смены пароля).

По умолчанию: shadowLastChange

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (минимальный срок действия пароля).

По умолчанию: shadowMin

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (максимальный срок действия пароля).

По умолчанию: shadowMax

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (срок предупреждения о пароле).

По умолчанию: shadowWarning

Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (срок неактивности пароля).

По умолчанию: shadowInactive

Если используется ldap_pwd_policy=shadow или ldap_account_expire_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow(5) (дата истечения срока действия учётной записи).

По умолчанию: shadowExpire

Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время последней смены пароля в kerberos.

По умолчанию: krbLastPwdChange

Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время истечения срока действия текущего пароля.

По умолчанию: krbPasswordExpiration

Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего время истечения срока действия учётной записи.

По умолчанию: accountExpires

Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего битовое поле управления учётной записью пользователя.

По умолчанию: userAccountControl

Если используется ldap_account_expire_policy=rhds или эквивалент, этот параметр определяет, разрешён ли доступ.

По умолчанию: nsAccountLock

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, разрешён ли доступ.

По умолчанию: loginDisabled

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, до какой даты предоставляется доступ.

По умолчанию: loginDisabled

Если используется ldap_account_expire_policy=nds, этот атрибут определяет, в какие часы дней недели предоставляется доступ.

По умолчанию: loginAllowedTimeMap

Атрибут LDAP, который содержит имя участника-пользователя Kerberos (UPN) пользователя.

По умолчанию: krbPrincipalName

Разделённый запятыми список атрибутов LDAP, которые SSSD получит вместе с обычным набором атрибутов пользователя.

Список может содержать либо только имена атрибутов LDAP, либо разделённые двоеточиями кортежи с именем атрибута кэша SSSD и именем атрибута LDAP. Если указано только имя атрибута LDAP, атрибут сохраняется в кэш буквально. В средах, где настроено несколько доменов SSSD с разными схемами LDAP, может быть необходимо использование пользовательского имени атрибута SSSD.

Обратите внимание, что несколько имён атрибутов зарезервировано SSSD (в частности, атрибут “name”). SSSD сообщит об ошибке, если какие-либо из них будут использованы в качестве имени дополнительного атрибута.

Примеры:

ldap_user_extra_attrs = telephoneNumber

Сохранить атрибут “telephoneNumber” из LDAP в кэш как “telephoneNumber”.

ldap_user_extra_attrs = phone:telephoneNumber

Сохранить атрибут “telephoneNumber” из LDAP в кэш как “phone”.

По умолчанию: не задано

Атрибут LDAP, который содержит открытые ключи SSH пользователя.

По умолчанию: sshPublicKey

Атрибут LDAP, соответствующий полному имени пользователя.

По умолчанию: cn

Атрибут LDAP со списком групп, участником которых является пользователь.

По умолчанию: memberOf

Если access_provider=ldap и ldap_access_order=authorized_service, SSSD будет использовать наличие атрибута authorizedService в записи пользователя LDAP для определения привилегий доступа.

Сначала определяются явные запреты (!svc). Затем SSSD выполняет поиск явных разрешений (svc), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “authorized_service”, чтобы можно было использовать параметр ldap_user_authorized_service.

В некоторых дистрибутивах (например, Fedora-29+ или RHEL-8) служба PAM “systemd-user” всегда является частью процесса входа в систему. Следовательно, когда используется управление доступом на основе данных служб, следует добавить службу “systemd-user” в список разрешённых служб.

По умолчанию: authorizedService

Если access_provider=ldap и ldap_access_order=host, SSSD будет использовать наличие атрибута host в записи пользователя LDAP для определения привилегий доступа.

Сначала определяются явные запреты (!host). Затем SSSD выполняет поиск явных разрешений (host), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “host”, чтобы можно было использовать параметр ldap_user_authorized_host.

По умолчанию: host

Если access_provider=ldap и ldap_access_order=rhost, SSSD будет использовать наличие атрибута rhost в записи пользователя LDAP для определения привилегий доступа. Аналогично процессу проверки узла.

Сначала определяются явные запреты (!rhost). Затем SSSD выполняет поиск явных разрешений (rhost), а после этого — поиск общих разрешений, allow_all (*).

Обратите внимание, что параметр конфигурации ldap_access_order должен включать “rhost”, чтобы можно было использовать параметр ldap_user_authorized_rhost.

По умолчанию: rhost

Имя атрибута LDAP, содержащего сертификат X509 пользователя.

По умолчанию: userCertificate;binary

Имя атрибута LDAP, который содержит адрес электронной почты пользователя.

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

По умолчанию: mail

Класс объектов записи группы в LDAP.

По умолчанию: posixGroup

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

По умолчанию: cn (rfc2307, rfc2307bis и IPA), sAMAccountName (AD)

Атрибут LDAP, соответствующий идентификатору группы.

По умолчанию: gidNumber

Атрибут LDAP, который содержит имена участников группы.

По умолчанию: memberuid (rfc2307) / member (rfc2307bis)

Атрибут LDAP, который содержит UUID/GUID объекта группы LDAP.

По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA

Атрибут LDAP, который содержит objectSID объекта группы LDAP. Обычно требуется только для серверов Active Directory.

По умолчанию: objectSid для Active Directory, не задано для других серверов.

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

По умолчанию: modifyTimestamp

Атрибут LDAP, который содержит целое значение, обозначающее тип группы, и, возможно, другие флаги.

Этот атрибут в настоящее время используется только поставщиком данных AD для определения того, является ли группа группой, локальной в домене, и должна ли быть отфильтрована для доверенных доменов.

По умолчанию: groupType для поставщика данных AD, в ином случае не задано

Атрибут LDAP, который ссылается на участников группы, которые определены во внешнем домене. В настоящее время поддерживаются только внешние участники IPA.

По умолчанию: ipaExternalMember для поставщика данных IPA, в ином случае не задано.

Класс объектов записи сетевой группы в LDAP.

В поставщике данных IPA следует использовать ipa_netgroup_object_class.

По умолчанию: nisNetgroup

Атрибут LDAP, соответствующий имени сетевой группы.

В поставщике данных IPA следует использовать ipa_netgroup_name.

По умолчанию: cn

Атрибут LDAP, который содержит имена участников сетевой группы.

В поставщике данных IPA следует использовать ipa_netgroup_member.

По умолчанию: memberNisNetgroup

Атрибут LDAP, который содержит тройки (узел, пользователь, домен) сетевых групп.

Этот параметр недоступен в поставщике данных IPA.

По умолчанию: nisNetgroupTriple

Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта.

Этот параметр недоступен в поставщике данных IPA.

По умолчанию: modifyTimestamp

Класс объектов записи узла в LDAP.

По умолчанию: ipService

Атрибут LDAP, соответствующий имени узла.

По умолчанию: cn

Атрибут LDAP, соответствующий полному доменному имени узла.

По умолчанию: fqdn

Атрибут LDAP, соответствующий имени узла.

По умолчанию: serverHostname

Атрибут LDAP со списком групп, участником которых является узел.

По умолчанию: memberOf

Атрибут LDAP, который содержит открытые ключи SSH узла.

По умолчанию: sshPublicKey

Атрибут LDAP, который содержит UUID/GUID объекта узла LDAP.

По умолчанию: не задано

Класс объектов записи службы в LDAP.

По умолчанию: ipService

Атрибут LDAP, который содержит имя атрибутов службы и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит порт, управляемый этой службой.

По умолчанию: ipServicePort

Атрибут LDAP, который содержит протоколы, поддерживаемые этой службой.

По умолчанию: ipServiceProtocol

Класс объектов записи правила sudo в LDAP.

По умолчанию: sudoRole

Атрибут LDAP, соответствующий имени правила sudo.

По умолчанию: cn

Атрибут LDAP, соответствующий имени команды.

По умолчанию: sudoCommand

Атрибут LDAP, соответствующий имени узла (или IP-адресу узла, IP-сети узла или сетевой группе узла)

По умолчанию: sudoHost

Атрибут LDAP, соответствующий имени пользователя (или UID, имени группы или сетевой группе пользователя)

По умолчанию: sudoUser

Атрибут LDAP, соответствующий параметрам SUDO.

По умолчанию: sudoOption

Атрибут LDAP, соответствующий имени пользователя, от имени которого могут выполняться команды.

По умолчанию: sudoRunAsUser

Атрибут LDAP, соответствующий имени группы или GID группы, от имени которой могут выполняться команды.

По умолчанию: sudoRunAsGroup

Атрибут LDAP, соответствующий дате и времени начала действия правила SUDO.

По умолчанию: sudoNotBefore

Атрибут LDAP, соответствующий дате и времени истечения срока действия правила sudo.

По умолчанию: sudoNotAfter

Атрибут LDAP, соответствующий порядковому номеру правила.

По умолчанию: sudoOrder

Класс объектов записи карты автоматического монтирования в LDAP.

По умолчанию: nisMap (rfc2307, autofs_provider=ad), в ином случае — automountMap

Имя записи карты автоматического монтирования в LDAP.

По умолчанию: nisMapName (rfc2307, autofs_provider=ad), в ином случае — automountMapName

Класс объектов записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: nisObject (rfc2307, autofs_provider=ad), в ином случае — automount

Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: cn (rfc2307, autofs_provider=ad), в ином случае — automountKey

Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует точке монтирования.

По умолчанию: nisMapEntry (rfc2307, autofs_provider=ad), в ином случае — automountInformation

Класс объектов записи IP-узла в LDAP.

По умолчанию: ipHost

Атрибут LDAP, который содержит имя атрибутов IP-узла и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит адрес IP-узла.

По умолчанию: ipHostNumber

Класс объектов записи IP-сети в LDAP.

По умолчанию: ipNetwork

Атрибут LDAP, который содержит имя атрибутов IP-сети и их псевдонимы.

По умолчанию: cn

Атрибут LDAP, который содержит адрес IP-сети.

По умолчанию: ipNetworkNumber