1. Manuals
  2. Tumbleweed
  3. sssd
  4. sssd-simple(5)

Scroll to navigation

SSSD-SIMPLE(5) Формати файлів та правила SSSD-SIMPLE(5)

NAME

sssd-simple - файл налаштувань інструмента керування доступом «simple» SSSD

ОПИС

На цій сторінці довідника описано налаштування простого засобу керування доступом для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника sssd.conf(5).

Простий засіб керування доступом надає або забороняє доступ на основі списку допуску або заборони, складеного за назвами облікових записів користувачів та групами.

Групи з інших доменів, налаштованих у sssd.conf, навіть якщо там також використовується простий надавач доступу, а групи, керовані поза SSSD, не обробляються.

Буде застосовано такі правила:

•Не рекомендуємо лишати цей параметр порожнім, це може спричинити помилки. Якщо ви хочете дозволити доступ усім користувачам, не вказуйте ні `simple_allow_users`, ні `simple_allow_groups`.

•Якщо вказано будь-який зі списків, обробка виконуватиметься за послідовністю «допуск, потім заборона» (allow → deny). Це означає, що будь-яке з правил заборони матиме пріоритет над будь-яким правилом допуску.

•Якщо буде вказано один або обидва списки допуску («allow»), всім користувачам, яких немає хоча б в одному з цих списків (поєднання «АБО»), доступ буде заборонено.

•Якщо буде вказано лише списки заборони («deny»), всім користувачам, яких немає хоча б в одному з цих списків (поєднання «АБО»), доступ буде надано.

ПАРАМЕТРИ НАЛАШТУВАННЯ

Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf(5), щоб дізнатися більше про налаштування домену SSSD.

simple_allow_users (рядок)

Список розділених комами записів користувачів, яким дозволено входити до системи. Якщо цей параметр вказано, усім іншим користувачам буде заборонено входити в систему, якщо вони не є учасниками груп, перелічених у `simple_allow_groups`.

simple_deny_users (рядок)

Список відокремлених комами користувачів, яким явно заборонено доступ. Якщо вказано цей параметр, цим користувачам буде заборонено доступ незалежно від того, чи мітяться вони у `simple_allow_users` чи `simple_allow_groups`.

Застосовується логіка АБО: користувачеві буде відмовлено в доступі, якщо він є у списку `simple_deny_users` або якщо він є учасником групи з `simple_deny_groups`.

simple_allow_groups (рядок)

Список відокремлених комами груп, яким дозволено входити до системи. Якщо вказано цей параметр, всім іншим користувачам буде заборонено вхід, якщо вони явно не перелічені в `simple_allow_users`.

Застосовується логіка АБО: користувач може увійти, якщо його запис є у `simple_allow_users` або якщо він є учасником групи з `simple_allow_groups`.

Стосується лише груп у межах цього домену SSSD. Локальні групи не обробляються.

simple_deny_groups (рядок)

Відокремлений комами список груп, користувачам яких явно заборонено доступ. Стосується лише груп у межах цього домену SSSD. Локальні групи не обробляються.

Застосовується логіка АБО: користувачеві буде відмовлено в доступі, якщо він є у списку `simple_deny_users` або якщо він є учасником будь-якої групи з `simple_deny_groups`.

Стосується лише груп у межах цього домену SSSD. Локальні групи не обробляються.

Якщо не вказувати значень для жодного зі списків, вважатиметься, що параметр не визначено. Пам’ятайте про це, якщо захочете створити параметри для простого надавача автоматизованими скриптами.

ПРИКЛАД

У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example.com є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише параметри, специфічні для простого засобу доступу.

[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2
simple_deny_users = user3, user4
simple_allow_groups = allowed_group1
simple_deny_groups = denied_group1

ЗАУВАЖЕННЯ

Повна обробка ієрархії участі у групах виконується до перевірки прав доступу, отже, до списку груп доступу може бути включено навіть вкладені групи. Будь ласка, зауважте, що на результати може вплинути значення параметра «ldap_group_nesting_level». Вам слід встановити для нього достатнє значення. Див. sssd-ldap(5).

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/

05/05/2026 SSSD