1. Manuals
  2. Tumbleweed
  3. sssd
  4. sssd-simple(5)

Scroll to navigation

SSSD-SIMPLE(5) Форматы файлов и рекомендации SSSD-SIMPLE(5)

NAME

sssd-simple - файл конфигурации для «простого» поставщика управления доступом SSSD

ОПИСАНИЕ

На этой справочной странице представлено описание настройки простого поставщика управления доступом для sssd(8). Подробные сведения о синтаксисе доступны в разделе “ФОРМАТ ФАЙЛА” справочной страницы sssd.conf(5).

Простой поставщик доступа предоставляет или запрещает доступ на основании разрешающего или запрещающего списка имён пользователей или групп.

Группы из других доменов, настроенные в sssd.conf, даже если там также используется простой провайдер доступа, а также группы, управляемые вне SSSD, не оцениваются.

Применяются следующие правила:

•Не рекомендуется оставлять этот параметр пустым, это может привести к ошибкам. Если вы хотите разрешить доступ всем пользователям, не указывайте ни `simple_allow_users`, ни `simple_allow_groups`.

•Если предоставлен какой-либо список, используется порядок вычисления: allow → deny. Это означает, что любое соответствующее заданным условиям правило запрета будет превалировать над любым соответствующим заданным условиям правилом допуска.

•Если предоставлен один или оба списка «allow», всем пользователям, которых нет хотя бы в одном из этих списков (условие ИЛИ), доступ будет запрещен.

•Если предоставлен один или оба списка «deny», всем пользователям, которых нет хотя бы в одном из этих списков (условие ИЛИ), будет предоставлен доступ.

ПАРАМЕТРЫ КОНФИГУРАЦИИ

Сведения о конфигурации домена SSSD доступны в разделе “РАЗДЕЛЫ ДОМЕНА” справочной страницы sssd.conf(5).

simple_allow_users (строка)

Разделенный запятыми список пользователей, которым разрешен вход в систему. Если указан этот параметр, всем другим пользователям доступ будет запрещён, если только они не являются членами групп, перечисленных в `simple_allow_groups`.

simple_deny_users (строка)

Разделенный запятыми список пользователей, которым явно запрещён доступ. Если указан этот параметр, этим пользователям доступ будет запрещён независимо от того, появляются ли они в`simple_allow_users` или `simple_allow_groups`.

Применяется логика ИЛИ: пользователю будет отказано в доступе, если он указан в `simple_deny_users` или является членом группы в `simple_deny_groups`.

simple_allow_groups (строка)

Разделенный запятыми список групп, которым разрешен вход в систему. Если указан этот параметр, всем другим пользователям доступ будет запрещён, если только они явно не указаны в `simple_allow_users`.

Применяется логика ИЛИ: пользователь может войти в систему, если он указан в `simple_allow_users` или если он является участником группы `simple_allow_groups`.

Применимо только к группам внутри этого домена SSSD. Локальные группы не обрабатываются.

simple_deny_groups (строка)

Разделённый запятыми список групп, пользователям которых явно запрещён доступ. Применимо только к группам внутри этого домена SSSD. Локальные группы не обрабатываются.

Применяется логика ИЛИ: пользователю будет отказано в доступе, если он указан в `simple_deny_users` или является участником любой группы в `simple_deny_groups`.

Применимо только к группам внутри этого домена SSSD. Локальные группы не обрабатываются.

Если не указывать никаких значений для какого-либо из списков, считается, что параметр не определён. Помните об этом при создании параметров простого поставщика с помощью автоматизированных сценариев.

ПРИМЕР

В следующем примере предполагается, что конфигурация SSSD корректна и что example.com — один из доменов в разделе [sssd]. В примере показаны только параметры, специфичные для простого поставщика доступа.

[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2
simple_deny_users = user3, user4
simple_allow_groups = allowed_group1
simple_deny_groups = denied_group1

ПРИМЕЧАНИЯ

Перед проверкой прав доступа разрешается вся иерархия участия в группах, следовательно, в списки доступа могут быть включены даже вложенные группы. Обратите внимание, что параметр “ldap_group_nesting_level” может повлиять на результаты, поэтому следует установить для него достаточное значение. См. sssd-ldap(5).

СМ. ТАКЖЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

01/15/2026 SSSD