Scroll to navigation

SSSD.CONF(5) Форматы файлов и рекомендации SSSD.CONF(5)

NAME

sssd.conf - файл конфигурации SSSD

ФОРМАТ ФАЙЛА

В файле используются синтаксические конструкции в стиле ini, он состоит из разделов и параметров. Раздел начинается с имени раздела в квадратных скобках и продолжается до начала нового раздела. Пример раздела с параметрами, которые имеют одно или несколько значений:

[section]
key = value
key2 = value2,value3

Используемые типы данных: строка (кавычки не требуются), целое число и логическое значение (возможны два значения: “TRUE” или “FALSE”).

Строка комментария начинается со знака «решётка» (“#”) или точки с запятой (“;”). Поддержка встроенных комментариев не предусмотрена.

Для всех разделов предусмотрен необязательный параметр description. Он предназначен только для обозначения раздела.

sssd.conf должен быть обычным файлом, владельцем которого является пользователь root. Права на чтение этого файла или запись в него должен иметь только пользователь root.

ФРАГМЕНТЫ КОНФИГУРАЦИИ ИЗ КАТАЛОГА ВКЛЮЧЕНИЯ

В файл конфигурации sssd.conf будут включены фрагменты конфигурации из каталога conf.d. Эта возможность доступна, если сборка SSSD была выполнена с библиотекой libini версии 1.3.0 или более поздней.

Любой находящийся в каталоге conf.d файл, имя которого заканчивается расширением “.conf” и не начинается с точки (“.”), будет использоваться для настройки SSSD вместе с файлом sssd.conf.

Фрагменты конфигурации из каталога conf.d имеют более высокий приоритет, чем файл sssd.conf. В случае возникновения конфликтов они переопределят параметры, заданные в файле sssd.conf. Если в каталоге conf.d присутствуют несколько фрагментов, их включение выполняется в алфавитном порядке (на основе локали). Чем позже включён файл, тем выше его приоритет. Числовые префиксы (01_snippet.conf, 02_snippet.conf и так далее) могут помочь визуализировать приоритет (чем больше число, тем выше приоритет).

Файлы фрагментов должны иметь того же владельца и те же права доступа, что и файл sssd.conf. По умолчанию: root:root и 0600.

ОБЩИЕ ПАРАМЕТРЫ

Следующие параметры используются в нескольких разделах конфигурации.

Параметры, используемые во всех разделах

debug_level (целое число)

В SSSD предусмотрены два представления для указания уровня отладки. Более простое представление позволяет указать десятичное значение в диапазоне от 0 до 9, которое будет включать соответствующий уровень и все более низкие уровни сообщений отладки. Более сложное представление позволяет указать шестнадцатеричную битовую маску для включения или отключения (подавления) отдельных уровней.

Обратите внимание, что каждая служба SSSD ведёт журнал в своём собственном файле. Также следует учитывать, что включение параметра “debug_level” в разделе “[sssd]” включает отладку только для самого процесса sssd, а не для процессов ответчика или поставщика данных. Параметр “debug_level” следует добавить во все разделы, для которых требуется создать журналы отладки.

Уровень отладки можно изменить не только с помощью параметра “debug_level” в файле конфигурации (этот параметр является постоянным, но требует перезапуска SSSD), но и «на лету», с помощью инструмента sss_debuglevel(8).

В настоящее время поддерживаются следующие уровни отладки:

0, 0x0010: фатальные ошибки. Всё, что не позволяет выполнить запуск SSSD или вызывает прекращение работы сервиса.

1, 0x0020: критические ошибки. Ошибка, которая не прекращает работу SSSD, но означает, что как минимум одна важная функциональная возможность не будет работать надлежащим образом.

2, 0x0040: серьёзные ошибки. Ошибка, которая сообщает о завершении неудачей определённого запроса или действия.

3, 0x0080: незначительные ошибки. Это ошибки, которые могут стать причиной ошибок 2-го уровня (ошибок при выполнении действий).

4, 0x0100: параметры конфигурации.

5, 0x0200: данные функций.

6, 0x0400: сообщения трассировки для функций действий.

7, 0x1000: сообщения трассировки для функций внутреннего управления.

8, 0x2000: содержимое внутренних переменных функций, которое может представлять интерес.

9, 0x4000: информация трассировки крайне низкого уровня.

9, 0x20000: быстродействие и статистические данные. Пожалуйста, обратите внимание, что из-за способа обработки запросов на внутреннем уровне, записанное в журнал время выполнения запроса может быть больше, чем оно было на самом деле.

10, 0x10000: информация трассировки libldb ещё более низкого уровня. Практически никогда не требуется.

Чтобы выполнять ведение журнала для необходимых уровней отладки, указанных в представлении битовых масок, просто сложите их номера, как показано в следующих примерах:

Пример: используйте 0x0270, чтобы вести журнал данных фатальных ошибок, критических ошибок, серьёзных ошибок и данных функций.

Пример: используйте 0x1310, чтобы вести журнал данных фатальных ошибок, параметров конфигурации, данных функций, сообщений трассировки для функций внутреннего управления.

Примечание: формат битовых масок уровней отладки был введён в версии 1.7.0.

По умолчанию: 0x0070 (то есть фатальные, критические и серьёзные ошибки; соответствует указанию значения «2» в десятичной записи)

debug (целое число)

В SSSD 1.14 и более поздних версиях для параметра debug_level из соображений удобства предусмотрен псевдоним debug. Если указаны оба параметра, будет использовано значение debug_level.

debug_timestamps (логическое значение)

Добавить к сообщениям отладки отметку времени. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться.

По умолчанию: true

debug_microseconds (логическое значение)

Добавить микросекунды в отметку времени в сообщениях отладки. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться.

По умолчанию: false

debug_backtrace_enabled (логическое значение)

Включить обратную трассировку отладки.

Если SSSD работает со значением debug_level, которое меньше 9, весь журнал работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала при возникновении любой ошибки до уровня `min(0x0040, debug_level)` включительно (если для параметра debug_level явно указано значение 0 или 1, только ошибки соответствующих уровней вызовут обратную трассировку; в ином случае — до 2).

Возможность поддерживается только для `logger == files` (параметр не влияет на другие типы журнала).

По умолчанию: true

Параметры, используемые в разделах SERVICE и DOMAIN

timeout (целое число)

Тайм-аут в секундах между пакетами пульса этой службы. Используется, чтобы убедиться в том, что процесс работает и может отвечать на запросы. Обратите внимание: после трёх пропущенных пакетов пульса процесс самостоятельно завершит свою работу.

По умолчанию: 10

ОСОБЫЕ РАЗДЕЛЫ

Раздел [sssd]

Отдельные функциональные возможности SSSD обеспечиваются специальными службами SSSD, которые запускаются и останавливаются вместе с SSSD. Эти службы находятся под управлением специальной службы, которую часто называют “монитором”. Настройка монитора и некоторых других важных параметров (например, доменов идентификации) выполняется в разделе “[sssd]”.

Параметры раздела

config_file_version (целое число)

Обозначает версию синтаксических конструкций файла конфигурации. Для SSSD 0.6.0 и более поздних версий используется версия 2.

services

Разделённый запятыми список служб, которые запускаются вместе с sssd. Список служб является необязательным на платформах, которые поддерживают systemd, так как эти службы при необходимости будут активированы с помощью сокета или D-Bus.

Поддерживаемые службы: nss, pam , sudo , autofs , ssh , pac , ifp

По умолчанию все службы отключены. Администратор должен включить разрешённые для использования службы с помощью следующей команды: «systemctl enable sssd-@service@.socket».

reconnection_retries (целое число)

Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных

По умолчанию: 3

domains

Домен — это база данных, содержащая сведения о пользователях. SSSD поддерживает использование сразу нескольких доменов, но необходимо настроить как минимум один — иначе запуск SSSD не будет выполнен. С помощью этого параметра можно указать список доменов в том порядке, в котором к ним следует отправлять запросы. Рекомендуется использовать в именах доменов только буквенно-цифровые символы ASCII, дефисы, точки и знаки подчёркивания. Символ «/» использовать нельзя.

re_expression (строка)

Регулярное выражение по умолчанию, которое задаёт способ обработки строки, содержащей имя пользователя и домен, для выделения этих частей.

Для каждого домена можно настроить отдельное регулярное выражение. Для некоторых поставщиков ID также предусмотрены регулярные выражения по умолчанию. Более подробные сведения об этих регулярных выражениях доступны в разделе справки «РАЗДЕЛЫ ДОМЕНА».

full_name_format (строка)

Совместимый с printf(3) формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена.

Поддерживаются следующие расширения:

%1$s

имя пользователя

%2$s

имя домена, указанное в файле конфигурации SSSD.

%3$s

плоское имя домена. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA.

Для каждого домена можно настроить отдельную строку формата. Более подробные сведения об этом параметре доступны в разделе справки «РАЗДЕЛЫ ДОМЕНОВ».

monitor_resolv_conf (логическое значение)

Управляет тем, следует ли SSSD отслеживать состояние resolv.conf для определения момента, когда требуется обновить данные встроенного сопоставителя DNS.

По умолчанию: true

try_inotify (логическое значение)

По умолчанию SSSD будет пытаться использовать inotify для отслеживания изменений файлов конфигурации. Если невозможно использовать inotify, вместо этого снова будет выполняться опрос каждые пять секунд.

В некоторых редких ситуациях не следует даже пытаться использовать inotify. В таких случаях в этот параметр следует установить значение «false»

По умолчанию: true на платформах, которые поддерживают inotify. False на других платформах.

Примечание: этот параметр ни на что не влияет на тех платформах, где недоступна подсистема inotify. На этих платформах всегда будет использоваться опрос.

krb5_rcache_dir (строка)

Каталог файловой системы, в котором SSSD следует сохранять файлы кэша повтора Kerberos.

Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша повтора.

По умолчанию: зависит от дистрибутива и указывается при сборке. (__LIBKRB5_DEFAULTS__, если не настроено)

default_domain_suffix (строка)

Эта строка будет использоваться как стандартное имя домена для всех имён без компонента имени домена. В основном, этот параметр применяется в средах, где основной домен предназначен для управления политиками узлов и все пользователи находятся в доверенном домене. Параметр позволяет этим пользователям входить в систему, предоставляя только своё имя пользователя и не указывая имя домена.

Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False.

По умолчанию: не задано

override_space (строка)

С помощью этого параметра пробелы (клавиша «пробел») в именах пользователей и групп можно заменить указанным символом, например «_». Имя пользователя "john doe" превратится в "john_doe". Эта возможность была добавлена для обеспечения совместимости со сценариями оболочки, у которых возникают проблемы при обработке пробелов из-за того, что в оболочке пробел является стандартным разделителем полей.

Обратите внимание, что использование заменяющего символа, который может использоваться в именах пользователей или групп, является ошибкой конфигурации. Если имя содержит заменяющий символ, SSSD выполнит попытку вернуть неизменённое имя, но в целом результат поиска будет не определён.

По умолчанию: не задано (пробелы не будут заменены)

certificate_verification (строка)

При установке этого параметра проверку сертификатов можно настроить с помощью разделённого запятыми списка параметров. Поддерживаемые параметры:

no_ocsp

Отключает проверки OCSP. Это может потребоваться, если указанные в сертификате серверы OCSP недоступны со стороны клиента.

soft_ocsp

Если соединение с ответчиком OCSP невозможно установить, проверка OCSP будет пропущена. Этот параметр следует использовать для того, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя связаться с ответчиком OCSP.

ocsp_dgst

Функция вычисления контрольной суммы (хэша), используемая для создания ID сертификата для запроса OCSP. Допустимые значения:

•sha1

•sha256

•sha384

•sha512

По умолчанию: sha1 (для обеспечения совместимости с ответчиком, соответствующим стандарту RFC5019)

no_verification

Полностью отключает проверку. Этот параметр следует использовать только для тестирования.

partial_chain

Разрешить признать проверку успешной даже в том случае, если не удаётся построить полную цепочку до самоподписанного якоря доверия, при условии, что возможно построить цепочку до доверенного сертификата, который может быть не самоподписанным.

ocsp_default_responder=URL

Задаёт стандартный ответчик OCSP, который следует использовать вместо ответчика, указанного в сертификате. URL необходимо заменить URL-адресом стандартного ответчика OCSP, например: http://example.com:80/ocsp.

ocsp_default_responder_signing_cert=NAME

В настоящее время этот параметр игнорируется. Все необходимые сертификаты должны быть доступны в файле PEM, указанном параметром pam_cert_db_path.

crl_file=/ПУТЬ/К/ФАЙЛУ/CRL

Использовать список отзыва сертификатов (CRL) из указанного файла при проверке этого сертификата. CRL должен быть указан в формате PEM. Подробнее: crl(1ssl).

soft_crl

Если срок действия списка отзыва сертификатов (CRL) истёк, игнорировать проверки CRL для соответствующих сертификатов. Этот параметр следует использовать, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя обновить CRL.

Неизвестные параметры передаются, но игнорируются.

По умолчанию: не задано, то есть не ограничивать проверку сертификатов

disable_netlink (логическое значение)

SSSD подключается к интерфейсу netlink для отслеживания изменений в маршрутах,адресах, ссылках и вызова определённых действий.

Изменения состояния SSSD, вызванные событиями netlink, могут быть нежелательными. Чтобы их отключить, установите этот параметр в значение «true»

По умолчанию: false (изменения netlink обнаруживаются)

domain_resolution_order

Разделённый запятыми список доменов и поддоменов, который указывает порядок поиска. В список не требуется включать все возможные домены, так как поиск отсутствующих доменов будет выполняться на основе порядка, в котором они представлены в параметре конфигурации “domains”. Поиск поддоменов, которые не указаны в параметре “lookup_order”, будет выполняться в случайном порядке для каждого родительского домена.

Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input . In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: “full_name_format=%1$s” However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam(3) which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains.

По умолчанию: не задано

implicit_pac_responder (логическое значение)

Ответчик PAC включается автоматически для поставщиков IPA и AD для оценки и проверки PAC. Если его необходимо отключить, установите для этого параметра значение «false».

По умолчанию: true

core_dumpable (логическое значение)

Этот параметр можно использовать для общей защиты системы: установка значения «false» запрещает создание дампов памяти для всех процессов SSSD, чтобы избежать утечки паролей в открытом виде. Дополнительные сведения доступны на справочной странице prctl:PR_SET_DUMPABLE.

По умолчанию: true

РАЗДЕЛЫ СЛУЖБ

В этом разделе приводится описание параметров, которые можно использовать для настройки различных служб. Они должны находится в разделах с именами [$NAME]. Например, для службы NSS это будет раздел “[nss]”

Общие параметры настройки служб

Эти параметры можно использовать для настройки любых служб.

reconnection_retries (целое число)

Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных

По умолчанию: 3

fd_limit

Этот параметр задаёт максимальное количество файловых дескрипторов, которые может одновременно открыть этот процесс SSSD. В системах, где у SSSD имеется возможность CAP_SYS_RESOURCE, этот параметр будет использоваться независимо от других параметров системы. В системах без такой возможности количество дескрипторов будет определяться наименьшим значением этого параметра или ограничением «hard» в limits.conf.

По умолчанию: 8192 (или ограничение «hard» в limits.conf)

client_idle_timeout

Этот параметр задаёт количество секунд, в течение которого клиент процесса SSSD может удерживать файловый дескриптор без передачи данных. Это значение ограничено в целях предотвращения исчерпания ресурсов системы. Оно не может быть меньше 10 секунд. Если указано меньшее значение, оно будет исправлено на 10 секунд.

По умолчанию: 60, KCM: 300

offline_timeout (целое число)

Когда SSSD переключается в автономный режим, количество времени до выполнения попытки вернуться в сеть будет увеличиваться в соответствии со временем, проведённым без подключения. По умолчанию SSSD использует приращение для расчёта задержки между повторными попытками. Поэтому время ожидания для конкретной попытки будет больше, чем для предыдущих. После каждой неудачной попытки вернуться в сеть интервал будет пересчитываться по следующей формуле:

new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]

Стандартное значение offline_timeout составляет 60. Стандартное значение offline_timeout_max — 3600. Стандартное значение offline_timeout_random_offset — 30. Конечный результат представляет собой количество секунд до следующей попытки.

Обратите внимание, что максимальная длительность каждого интервала задана параметром offline_timeout_max (кроме случайной части).

По умолчанию: 60

offline_timeout_max (целое число)

Управляет тем, насколько можно увеличить время между попытками вернуться в сеть после неудачных попыток восстановления подключения.

Значение «0» отключает использование приращения.

Значение этого параметра следует устанавливать с учётом значения параметра offline_timeout.

Если параметр offline_timeout установлен в значение «60» (значение по умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение меньше 120, поскольку первый же шаг увеличения приведёт к его превышению. Общее правило таково: значение offline_timeout_max должно по крайней мере в 4 раза превышать значение offline_timeout.

Несмотря на то, что возможно указать значение от 0 до offline_timeout, результатом этого станет переопределение значения offline_timeout, что не имеет практического смысла.

По умолчанию: 3600

offline_timeout_random_offset (целое число)

Когда сервис SSSD находится в автономном режиме, он продолжает обращаться к внутренним серверам через заданные промежутки времени:

new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]

Этот параметр управляет значением случайной задержки, которое используется для приведённого выше уравнения. Итоговым значением random_offset будет случайное число, принадлежащее диапазону:

[0 - offline_timeout_random_offset]

Значение «0» отключает добавление случайной задержки.

По умолчанию: 30

responder_idle_timeout

Этот параметр задаёт количество секунд, в течение которого процесс ответчика SSSD может работать без использования. Это значение ограничено в целях предотвращения исчерпания ресурсов системы. Минимально допустимое значение: 60 секунд. Установка этого параметра в значение «0» (ноль) означает, что для ответчика не устанавливается тайм-аут. Этот параметр используется только в том случае, если сервис SSSD собран с поддержкой systemd и если службы активируются с помощью сокетов или D-Bus.

По умолчанию: 300

cache_first

Этот параметр определяет, следует ли ответчику опрашивать все кэши перед опросом поставщиков данных.

По умолчанию: true

Параметры настройки NSS

Эти параметры можно использовать для настройки службы диспетчера службы имён (NSS).

enum_cache_timeout (целое число)

Длительность хранения перечислений (запросов информации обо всех пользователях) в кэше nss_sss в секундах

По умолчанию: 120

entry_cache_nowait_percentage (целое число)

Можно настроить кэш записей на автоматическое обновление записей в фоновом режиме, если запрос о них поступает в срок, определённый в процентах от значения entry_cache_timeout для домена.

Например, если параметр entry_cache_timeout домена установлен в значение «30s» (секунд), а параметр entry_cache_nowait_percentage установлен в значение «50» (процентов), записи, которые поступят через 15 секунд после последнего обновления кэша, будут возвращены сразу, но SSSD выполнит обновление кэша, поэтому будущим запросам не потребуется блокировка в ожидании обновления кэша.

Корректные значения этого параметра находятся в диапазоне 0-99 и представляют собой значение в процентах от entry_cache_timeout для каждого домена. Чтобы сохранить производительность, это значение никогда не уменьшает тайм-аут nowait так, что он становится меньше 10 секунд. Установка значения «0» отключает эту возможность.

По умолчанию: 50

entry_negative_timeout (целое число)

Означает количество секунд, в течение которого в кэше nss_sss будут храниться неудачные обращения к кэшу (запросы некорректных записей базы данных, например, несуществующих) перед повторным запросом к внутреннему серверу.

По умолчанию: 15

local_negative_timeout (целое число)

Означает количество секунд, в течение которого в негативном кэше nss_sss будут храниться локальные пользователи и группы перед попыткой повторного поиска на внутреннем сервере. Установка значения «0» отключает эту возможность.

По умолчанию: 14400 (4 часа)

filter_users, filter_groups (строка)

Исключить определённых пользователей или группы из списка получения данных из базы данных NSS sss. Эта возможность особенно полезна для системных учётных записей. Этот параметр также можно задать для каждого домена отдельно или включить в него полные имена, чтобы выполнить фильтрацию только пользователей из конкретного домена или по именам участников-пользователей (UPN).

ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников вложенных групп, так как фильтрация выполняется после их распространения для возврата с помощью NSS. Например, в списке участников группы, вложенная группа которой была отфильтрована, останутся пользователи из этой отфильтрованной вложенной группы.

По умолчанию: root

filter_users_in_groups (логическое значение)

Если отфильтрованные пользователи должны оставаться участниками групп, установите этот параметр в значение «false».

По умолчанию: true

override_homedir (строка)

Переопределить домашний каталог пользователя. Можно указать либо абсолютное значение, либо шаблон. В шаблоне заменяются следующие последовательности:

%u

имя для входа

%U

номер UID

%d

имя домена

%f

полное имя пользователя (user@domain)

%l

Первая буква имени для входа.

%P

UPN — имя участника-пользователя (name@REALM)

%o

Исходный домашний каталог, полученный от поставщика данных идентификации.

%h

Исходный домашний каталог, полученный от поставщика данных идентификации, но в нижнем регистре.

%H

Значение параметра конфигурации homedir_substring.

%%

литерал «%»

Этот параметр также можно задать для каждого домена отдельно.

пример:

override_homedir = /home/%u

По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)

Обратите внимание, что домашний каталог из конкретного переопределения для пользователя, локально (см. sss_override(8)) или централизованно управляемых переопределений идентификаторов IPA, обладает более высоким приоритетом и будет использоваться вместо значения, указанного с помощью override_homedir.

homedir_substring (строка)

Значение этого параметра будет использоваться в расширении параметра override_homedir, если шаблон содержит строку формата %H. Запись каталога LDAP может непосредственно содержать этот шаблон, поэтому этот параметр можно использовать для расширения пути домашнего каталога для каждого клиентского компьютера (или операционной системы). Его можно задать для отдельного домена или глобально в разделе [nss]. Значение, указанное в разделе домена, переопределит то значение, которое задано в разделе [nss].

По умолчанию: /home

fallback_homedir (строка)

Установить стандартный шаблон для домашнего каталога пользователя, если он явно не указан поставщиком данных домена.

Допустимые значения этого параметра совпадают с допустимыми значениями параметра override_homedir.

пример:

fallback_homedir = /home/%u

По умолчанию: не задано (без замен для незаданных домашних каталогов)

override_shell (строка)

Переопределить командную оболочку входа для всех пользователей. Этот параметр имеет приоритет над любыми другими параметрами оболочки, когда действует. Его возможно установить либо в разделе [nss], либо для каждого домена отдельно.

По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)

allowed_shells (строка)

Ограничить оболочку пользователя одним из указанных в списке значений. Порядок вычисления:

1. Если оболочка присутствует в файле “/etc/shells”, будет использована она.

2. Если оболочка присутствует в списке allowed_shells, но не в файле “/etc/shells”, использовать значение параметра shell_fallback.

3. Если оболочка отсутствует в списке allowed_shells и файле “/etc/shells”, будет использована оболочка, которая не требует входа.

Чтобы разрешить использование любой оболочки, можно использовать подстановочный знак (*).

Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда оболочка пользователя отсутствует в файле “/etc/shells”, а ведение списка всех разрешённых оболочек в allowed_shells было бы излишним.

Пустая строка оболочки передаётся libc «как есть».

Чтение файла “/etc/shells” выполняется только при запуске SSSD. Следовательно, в случае установки новой оболочки потребуется перезапуск SSSD.

По умолчанию: не задано. Автоматически используется оболочка пользователя.

vetoed_shells (строка)

Заменять все экземпляры этих оболочек на shell_fallback

shell_fallback (строка)

Оболочка по умолчанию, которую следует использовать, если разрешённая оболочка не установлена на компьютере.

По умолчанию: /bin/sh

default_shell

Оболочка по умолчанию, которую следует использовать, если поставщик не вернул оболочку при поиске. Этот параметр можно указать как глобальный в разделе [nss] или для каждого домена отдельно.

По умолчанию: не задано (вернуть NULL, если оболочка не указана, и положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh)

get_domains_timeout (целое число)

Указывает время в секундах, в течение которого список поддоменов считается действительным.

По умолчанию: 60

memcache_timeout (целое число)

Указывает время в секундах, в течение которого записи кэша в памяти будут оставаться действительными. Установка этого параметра в значение «0» отключит кэш в памяти.

По умолчанию: 300

ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное воздействие на производительность SSSD. Этот параметр следует использовать только для тестирования.

ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.

memcache_size_passwd (целое число)

Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов passwd. Установка размера в значение «0» отключит кэш в памяти для запросов passwd.

По умолчанию: 8

ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.

ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.

memcache_size_group (целое число)

Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов group. Установка размера в значение «0» отключит кэш в памяти для запросов group.

По умолчанию: 6

ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.

ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.

memcache_size_initgroups (целое число)

Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов групп инициализации. Установка размера в значение «0» отключит кэш в памяти для запросов групп инициализации.

По умолчанию: 10

ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.

ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.

memcache_size_sid (целое число)

Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для связанных с SID запросов. В настоящее время кэширование в быстрой памяти предусмотрено только для запросов SID-по-ID и ID-по-SID. Установка размера в значение «0» отключит кэш SID в памяти.

По умолчанию: 6

ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD.

ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти.

user_attributes (строка)

Некоторые из дополнительных запросов ответчика NSS могут возвращать больше атрибутов, чем просто атрибуты POSIX, определённые интерфейсом NSS. Этот параметр управляет списком атрибутов. Обработка выполняется тем же способом, что и для параметра “user_attributes” ответчика InfoPipe (см. sssd-ifp(5)), но без стандартных значений.

Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан ли он для ответчика NSS.

По умолчанию: не задано, использовать параметр InfoPipe

pwfield (строка)

Значение, которое операции NSS, возвращающие пользователей или группы, вернут для поля “password”.

По умолчанию: “*”

Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [nss].

Default: “not set” (remote domains), “x” (proxy domain with nss_files and sssd-shadowutils target)

Параметры настройки PAM

Эти параметры можно использовать для настройки службы подключаемых модулей проверки подлинности (PAM).

offline_credentials_expiration (целое число)

Определяет как долго следует разрешать вход по кэшированным данным, если поставщик данных для аутентификации находится в автономном режиме (в днях с момента последнего успешного входа).

По умолчанию: 0 (без ограничений)

offline_failed_login_attempts (целое число)

Если поставщик данных для проверки подлинности находится в автономном режиме, сколько следует допускать неудачных попыток входа.

По умолчанию: 0 (без ограничений)

offline_failed_login_delay (целое число)

Время в минутах, которое должно пройти после достижения значения offline_failed_login_attempts, прежде чем станет возможной новая попытка входа.

Если задано значение «0», пользователь не сможет пройти проверку подлинности в автономном режиме после достижения значения offline_failed_login_attempts. Для того, чтобы проверка подлинности в автономном режиме снова стала возможной, необходимо успешно пройти проверку подлинности в сетевом режиме.

По умолчанию: 5

pam_verbosity (целое число)

Управляет тем, какие сообщения будут показаны пользователю во время проверки подлинности. Чем больше число, тем больше сообщений будет показано.

В настоящее время sssd поддерживает следующие значения:

0: не показывать никаких сообщений

1: показывать только важные сообщения

2: показывать информационные сообщения

3: показывать все сообщения и отладочную информацию

По умолчанию: 1

pam_response_filter (строка)

Разделённый запятыми список строк, который позволяет удалять (фильтровать) данные, отправленные ответчиком PAM модулю PAM pam_sss. Ответы, которые отправляются pam_sss, могут быть разного вида (например, сообщения, которые показываются пользователю, или переменные среды, которые должны быть установлены pam_sss).

Сообщениями можно управлять с помощью параметра pam_verbosity, а этот параметр позволяет отфильтровать также и другие типы ответов.

В настоящее время поддерживаются следующие фильтры:

ENV

Не отправлять никаким службам никакие переменные среды.

ENV:var_name

Не отправлять переменную среды var_name никаким службам.

ENV:var_name:service

Не отправлять переменную среды var_name указанной службе.

Список строк может представлять собой список фильтров, который установит эти фильтры, перезаписав стандартные значения. Либо каждый элемент списка может предваряться символом «+» или «-», что, соответственно, добавит этот фильтр к существующим стандартным фильтрам или удалит его из стандартных фильтров. Обратите внимание, что следует либо использовать префикс «+» или «-» для всех элементов списка, либо не использовать его вообще. Использование префикса только для части элементов списка считается ошибкой.

По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i

Пример: -ENV:KRB5CCNAME:sudo-i удалит фильтр из списка стандартных

pam_id_timeout (целое число)

При любом запросе PAM, поступающем во время работы SSSD в сети, SSSD выполняет попытку незамедлительно обновить кэшированные данные идентификации пользователя, чтобы при проверке подлинности использовались самые последние данные.

Полный обмен данными PAM может включать несколько запросов PAM (в частности, для управления учётными записями и открытия сеансов). Этот параметр управляет (для каждого клиента-приложения отдельно) длительностью (в секундах) кэширования данных идентификации, позволяющего избежать повторных обменов данными с поставщиком данных идентификации.

По умолчанию: 5

pam_pwd_expiration_warning (целое число)

Показать предупреждение за N дней до истечения срока действия пароля.

Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение.

Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически.

Этот параметр можно переопределить, установив pwd_expiration_warning для конкретного домена.

По умолчанию: 0

get_domains_timeout (целое число)

Указывает время в секундах, в течение которого список поддоменов считается действительным.

По умолчанию: 60

pam_trusted_users (строка)

Разделённый запятыми список значений UID или имён пользователей, которым разрешено выполнять обмен данными PAM с доверенными доменами. Пользователям, которые отсутствуют в этом списке, разрешён доступ только к доменам, отмеченным как общедоступные с помощью параметра “pam_public_domains”. Имена пользователей разрешаются в UID при запуске.

По умолчанию: все пользователи считаются доверенными по умолчанию

Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже если этот идентификатор пользователя отсутствует в списке pam_trusted_users.

pam_public_domains (строка)

Разделённый запятыми список имён доменов, которые доступны даже для недоверенных пользователей.

Для параметра pam_public_domains определены два специальных значения:

all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике PAM)

none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике PAM)

По умолчанию: none

pam_account_expired_message (строка)

Позволяет задать пользовательское сообщение об истечении срока действия, которое заменит стандартное сообщение «Доступ запрещён».

Примечание: следует учитывать, что для службы SSH сообщение будет показано только при условии, что параметр pam_verbosity установлен в значение «3» (показывать все сообщения и отладочную информацию).

пример:

pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки.

По умолчанию: none

pam_account_locked_message (строка)

Позволяет задать пользовательское сообщение о блокировке, которое заменит стандартное сообщение «Доступ запрещён».

пример:

pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки.

По умолчанию: none

pam_cert_auth (логическое значение)

Включить проверку подлинности на основе сертификата или смарт-карты. Так как для этого требуется дополнительный обмен данными со смарт-картой, который задержит процесс проверки подлинности, по умолчанию этот параметр отключён.

По умолчанию: false

pam_cert_db_path (строка)

Путь к базе данных сертификатов.

По умолчанию:

•/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами CA в формате PEM)

pam_cert_verification (строка)

Этот параметр позволяет выполнить тонкую настройку проверки сертификатов PAM с помощью разделённого запятыми списка параметров. Эти параметры переопределяют значение “certificate_verification” в разделе “[sssd]”. Поддерживаются те же параметры, что и для “certificate_verification”.

пример:

pam_cert_verification = partial_chain

По умолчанию: не задано, то есть следует использовать стандартный параметр “certificate_verification”, указанный в разделе “[sssd]”.

p11_child_timeout (целое число)

Разрешённое количество секунд, в течение которого pam_sss ожидает завершения работы p11_child.

По умолчанию: 10

pam_app_services (строка)

Указывает, каким службам PAM разрешено устанавливать соединение с доменами типа “application”

По умолчанию: не задано

pam_p11_allowed_services (string)

Разделённый запятыми список имён служб PAM, для которых будет разрешено использовать смарт-карты.

Можно добавить имя ещё одной службы PAM в стандартный набор с помощью “+service_name”. Также можно явно удалить имя службы PAM из стандартного набора с помощью “-service_name”. Например, чтобы заменить стандартное имя службы PAM для проверки подлинности с помощью смарт-карт (например, “login”) на пользовательское имя службы PAM (например, “my_pam_service”), необходимо использовать следующую конфигурацию:

pam_p11_allowed_services = +my_pam_service, -login

По умолчанию: стандартный набор имён служб PAM включает:

•login

•su

•su-l

•gdm-smartcard

•gdm-password

•kdm

•sudo

•sudo-i

•gnome-screensaver

p11_wait_for_card_timeout (целое число)

Когда требуется проверка подлинности по смарт-карте, этот параметр определяет, в течение какого количества секунд (в дополнение к значению p11_child_timeout) ответчик PAM должен ожидать вставки смарт-карты.

По умолчанию: 60

p11_uri (строка)

URI PKCS#11 (подробное описание доступно в RFC-7512) для ограничения перечня устройств с проверкой подлинности по смарт-карте. По умолчанию p11_child SSSD выполняет поиск слота PKCS#11 (устройства чтения) с установленным флагом «removable» и затем чтение сертификатов со вставленного маркера из первого найденного слота. Если подключено несколько устройств чтения, с помощью p11_uri можно указать p11_child использовать конкретное устройство чтения.

Пример:

p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader

или

p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2

Чтобы найти подходящий URI, проверьте отладочный вывод p11_child. Либо можно использовать утилиту «p11tool» GnuTLS, например, с параметром «--list-all»: это тоже позволит просмотреть URI PKCS#11.

По умолчанию: none

pam_initgroups_scheme

Ответчик PAM может принудительно запустить поиск в сети для получения данных об участии в группах того пользователя, который пытается войти в систему. Этот параметр управляет тем, когда это следует делать, и имеет следующие допустимые значения:

always

Всегда выполнять поиск в сети (обратите внимание, что параметр pam_id_timeout всё равно применяется)

no_session

Выполнять поиск в сети только при отсутствии активного сеанса пользователя, то есть тогда, когда пользователь не находится в системе

never

Никогда не выполнять поиск в сети принудительно, использовать данные из кэша до тех пор, пока они не устареют

По умолчанию: no_session

pam_gssapi_services

Разделённый запятыми список служб PAM, которым разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so.

Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот параметр в значение “-” (дефис).

Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.

Пример:

pam_gssapi_services = sudo, sudo-i

По умолчанию: - (проверка подлинности с помощью GSSAPI отключена)

pam_gssapi_check_upn

Если значение «True», SSSD будет требоваться наличие привязки участника-пользователя Kerberos, который успешно прошёл проверку подлинности с помощью GSSAPI, к пользователю, проверка подлинности которого выполняется. Если такой привязки нет, проверка подлинности завершится ошибкой.

Если значение «False», проверка подлинности будет выполняться для всех пользователей, получивших необходимый билет службы.

Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.

По умолчанию: true

pam_gssapi_indicators_map

Разделённый запятыми список индикаторов проверки подлинности, которые должны присутствовать в билете Kerberos для получения доступа к службе PAM, которой разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so.

Каждый элемент списка может быть либо именем индикатора проверки подлинности, либо парой “service:indicator”. Индикаторы, которые не предваряются именем службы PAM, будут требоваться для доступа к любой службе PAM, настроенной на использование с pam_gssapi_services. Итоговый список индикаторов для отдельной службы PAM затем проверяется на соответствие индикаторам в билете Kerberos во время проверки подлинности с помощью pam_sss_gss.so. Доступ будет предоставлен, если в билете будет найден индикатор, совпадающий с индикатором из итогового списка индикаторов для соответствующей службы PAM. Доступ будет запрещён, если в списке не обнаружатся совпадающие индикаторы. Если итоговый список индикаторов для службы PAM пуст, проверка не закроет доступ.

Чтобы отключить проверку индикаторов для проверки подлинности с помощью GSSAPI, установите этот параметр в значение “-” (дефис). Чтобы отключить проверку индикаторов для определённой службы PAM, добавьте “service:-”.

Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена.

В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих индикаторов проверки подлинности:

•pkinit — предварительная проверка подлинности с помощью сертификатов X.509, которые хранятся в файлах или на смарт-картах.

•hardened — предварительная проверка подлинности SPAKE или любая предварительная проверка подлинности, помещённая в канал FAST.

•radius — предварительная проверка подлинности с помощью сервера RADIUS.

•otp — предварительная проверка подлинности с помощью встроенной двухфакторной аутентификации (2FA или одноразовый пароль, OTP) в IPA.

•idp -- предварительная аутентификация с использованием внешнего поставщика удостоверений.

Пример: чтобы доступ к службам SUDO предоставлялся только пользователям, которые получили свои билеты Kerberos с предварительной проверкой подлинности сертификата X.509 (PKINIT), укажите

pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit

По умолчанию: не задано (использование индикаторов проверки подлинности не требуется)

Параметры настройки SUDO

Эти параметры можно использовать для настройки службы sudo. Подробные инструкции по настройке sudo(8) для работы с sssd(8) доступны на справочной странице sssd-sudo(5).

sudo_timed (логическое значение)

Следует ли обрабатывать атрибуты sudoNotBefore и sudoNotAfter, предназначенные для определения временных ограничений для записей sudoers.

По умолчанию: false

sudo_threshold (целое число)

Максимальное количество устаревших правил, которые можно обновить за один раз. Если количество устаревших правил меньше заданного порогового значения, эти правила обновляются с помощью механизма “обновления правил”. Если пороговое значение превышено, будет использоваться механизм “полного обновления”. Это пороговое значение также применяется к поискам команд и групп команд sudo IPA.

По умолчанию: 50

Параметры настройки AUTOFS

Эти параметры можно использовать для настройки службы autofs.

autofs_negative_timeout (целое число)

Означает количество секунд, в течение которого в кэше ответчика autofs будут храниться неудачные обращения к кэшу (запросы некорректных записей карты, например, несуществующих) перед повторным запросом к внутреннему серверу.

По умолчанию: 15

Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких-либо изменений, связанных с autofs, в файл sssd.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD.

Параметры настройки SSH

Эти параметры можно использовать для настройки службы SSH.

ssh_hash_known_hosts (логическое значение)

Следует ли хэшировать имена и адреса узлов в управляемом файле known_hosts.

По умолчанию: false

ssh_known_hosts_timeout (целое число)

Разрешённое количество секунд, в течение которого узел хранится в управляемом файле known_hosts после запроса ключей этого узла.

По умолчанию: 180

ssh_use_certificate_keys (логическое значение)

Если задано значение «true», команда sss_ssh_authorizedkeys вернёт ключи SSH, производные от открытого ключа сертификатов X.509, которые также хранятся в записи пользователя. Подробнее: sss_ssh_authorizedkeys(1).

По умолчанию: true

ssh_use_certificate_matching_rules (строка)

По умолчанию ответчик SSH использует все доступные правила сопоставления сертификатов для фильтрации сертификатов, поэтому ключи SSH будут создаваться на основе только тех сертификатов, для которых было установлено соответствие. Этот параметр позволяет ограничить используемые правила разделённым запятыми списком имён правил привязки и сопоставления. Все другие правила будут игнорироваться.

Два особых ключевых слова «all_rules» и «no_rules» позволяют, соответственно, включить все правила или не включать их вообще. Последнее означает, что фильтрация сертификатов не будет выполняться; следовательно, ключи SSH будут создаваться на основе всех действительных сертификатов.

Если не настроено никаких правил, использование «all_rules» приведёт к включению стандартного правила, которое разрешает использовать все сертификаты, подходящие для проверки подлинности клиента. Это поведение соответствует поведению ответчика PAM в том случае, когда включена проверка подлинности сертификатов.

Несуществующее имя правила считается ошибкой. Если в результате не будет выбрано ни одного правила, все сертификаты будут проигнорированы.

По умолчанию: не задано, равнозначно «all_rules», используются все найденные правила или правило по умолчанию

ca_db (строка)

Путь к хранилищу доверенных сертификатов CA. Параметр используется для проверки сертификатов пользователей перед получением из них открытых ключей SSH.

По умолчанию:

•/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами CA в формате PEM)

Параметры настройки ответчика PAC

Ответчик PAC работает совместно с модулем данных проверки подлинности sssd_pac_plugin.so для MIT Kerberos и поставщиком данных поддоменов. Этот модуль отправляет данные PAC ответчику PAC во время проверки подлинности с помощью GSSAPI. Поставщик данных поддоменов собирает данные по диапазонам SID и ID домена, к которому присоединён клиент, а также удалённых доверенных доменов с локального контроллера доменов. Если PAC расшифровывается и обрабатывается, выполняются некоторые из следующих операций:

•Если запись удалённого пользователя отсутствует в кэше, она будет создана. UID определяется с помощью SID, у доверенных доменов будут UPG, а GID будет иметь то же значение, что и UID. Домашний каталог устанавливается на основе значения параметра subdomain_homedir. По умолчанию значение оболочки будет пустым, то есть будут использованы стандартные параметры системы, но их можно переопределить с помощью параметра default_shell.

•Если имеются SID групп из известных SSSD доменов, пользователь будет добавлен в эти группы.

Эти параметры можно использовать для настройки ответчика PAC.

allowed_uids (строка)

Разделённый запятыми список значений UID или имён пользователей, которым разрешён доступ к ответчику PAC. Имена пользователей разрешаются в UID при запуске.

По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root)

Обратите внимание: несмотря на то, что в качестве стандартного значения используется UID 0, оно будет перезаписано этим параметром. Если всё равно требуется разрешить пользователю root доступ к ответчику PAC (типичный случай), будет необходимо добавить запись «0» в список UID, которым разрешён доступ.

pac_lifetime (целое число)

Время жизни записи PAC (в секундах). Пока запись PAC действительна, данные PAC можно использовать для определения участия пользователя в группах.

По умолчанию: 300

pac_check (строка)

Если настроено, применить дополнительные проверки к PAC билету Kerberos, доступному в доменах Active Directory и FreeIPA. Обратите внимание, что для проверки PAC должна быть включена проверка билетов Kerberos, то есть для параметра krb5_validate должно быть установлено значение «True», которое является значением по умолчанию для поставщиков данных IPA и AD. Если для параметра krb5_validate установлено значение «False», проверка PAC будет пропущена.

Следующие параметры можно использовать отдельно или в виде разделённого запятыми списка:

no_check

PAC не должен присутствовать, и даже если он имеется, никакие дополнительные проверки выполняться не будут.

pac_present

PAC должен присутствовать в билете службы, который SSSD запрашивает с помощью TGT пользователя. Если PAC недоступен, аутентификация завершится ошибкой.

check_upn

Если PAC присутствует, проверить, что информация об основном имени пользователя (UPN) верна.

check_upn_allow_missing

Этот параметр следует использовать вместе с 'check_upn' и он обрабатывает случай, когда для UPN установлено значение на стороне сервера, но не читается SSSD. Типичным примером является домен FreeIPA, в котором для 'ldap_user_principal' установлено название не существующего атрибута. Обычно это делалось для обхода проблем при обработке корпоративных регистрационных записей. Но это исправлено довольно давно, и FreeIPA может обрабатывать корпоративные регистрационные записи, поэтому больше нет необходимости устанавливать 'ldap_user_principal'.

В настоящее время этот параметр установлен по умолчанию, чтобы избежать регрессии в подобных средах. В системный журнал и журнал отладки SSSD будет добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD. Чтобы избежать появления такого сообщения, проверьте, можно ли удалить параметр 'ldap_user_principal'. Если это невозможно, удаление 'check_upn' приведет к пропуску проверки и сообщение не появится в журнале.

upn_dns_info_present

PAC должен содержать буфер UPN-DNS-INFO, неявным образом устанавливает 'check_upn'.

check_upn_dns_info_ex

Если PAC присутствует и доступно расширение буфера UPN-DNS-INFO, проверить, согласованы ли данные в расширении.

upn_dns_info_ex_present

PAC должен содержать расширение буфера UPN-DNS-INFO, неявным образом устанавливает 'check_upn_dns_info_ex', 'upn_dns_info_present' и 'check_upn'.

По умолчанию: no_check (для поставщиков AD и IPA — 'check_upn, check_upn_allow_missing, check_upn_dns_info_ex')

Параметры настройки записи сеансов

Запись сеансов работает совместно с tlog-rec-session(8), частью пакета tlog, обеспечивая ведение журнала данных, которые пользователи видят и вводят после входа на текстовый терминал. См. также sssd-session-recording(5).

Эти параметры можно использовать для настройки записи сеансов.

scope (строка)

Одна из следующих строк, которые определяют область записи сеанса:

«none»

Пользователи не записываются.

«some»

Записываются пользователи и группы, указанные с помощью параметров users и groups.

«all»

Записываются все пользователи.

По умолчанию: «none»

users (строка)

Разделённый запятыми список пользователей, для которых включена запись сеансов. Соответствие списку устанавливается по именам пользователей, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее.

По умолчанию: пусто. Не соответствует ни одному пользователю.

groups (строка)

Разделённый запятыми список групп, для участников которых включена запись сеансов. Соответствие списку устанавливается по именам групп, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее.

ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является.

По умолчанию: пусто. Не соответствует ни одной группе.

exclude_users (строка)

Разделённый запятыми список пользователей, которые исключаются из записи; применимо только при «scope=all».

По умолчанию: пусто. Не исключается ни один пользователь.

exclude_groups (строка)

Разделённый запятыми список групп, участники которых исключаются из записи; применимо только при «scope=all».

ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является.

По умолчанию: пусто. Не исключается ни одна группа.

РАЗДЕЛЫ ДОМЕНА

Эти параметры конфигурации могут присутствовать в разделе конфигурации домена, то есть в разделе с именем “[domain/NAME]”

enabled

Явно включить или отключить домен. Если “true”, домен всегда “включён”. Если “false”, домен всегда “отключён”. Если значение параметра не задано, домен будет включён только в том случае, если он находится в списке, указанном с помощью параметра domains в разделе “[sssd]”.

domain_type (строка)

Указывает, предназначен ли домен для использования клиентами, поддерживающими POSIX (например, NSS), или приложениями, которым не требуется наличие или создание данных POSIX. Интерфейсам и утилитам операционной системы доступны только объекты из доменов POSIX.

Допустимые значение этого параметра: “posix” и “application”.

Домены POSIX доступны для всех служб. Домены приложений доступны только для ответчика InfoPipe (см. sssd-ifp(5)) и ответчика PAM.

ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений с “id_provider=ldap”.

Описание простого способа настройки доменов не-POSIX доступно в разделе “Домены приложений”.

По умолчанию: posix

min_id,max_id (целое число)

Пределы диапазона UID и GID для домена. Если домен содержит запись, находящуюся вне указанного диапазона, она будет проигнорирована.

Что касается записей пользователей, этот параметр ограничивает диапазон основного GID. Запись пользователя не будет возвращена в NSS, если UID или основной GID находится за пределами диапазона. Находящиеся в пределах диапазона записи пользователей, которые не являются участниками основной группы, будут выведены в обычном режиме.

Эти пределы диапазона идентификаторов влияют даже на сохранение записей в кэш, а не только на их возврат по имени или идентификатору.

По умолчанию: 1 для min_id, 0 (без ограничений) для max_id

enumerate (логическое значение)

Определяет, можно ли выполнить перечисление для домена, то есть может ли домен вывести перечень всех содержащихся в нём пользователей и групп. Обратите внимание, что перечисление не требуется включать для просмотра вторичных групп. Этот параметр может иметь одно из следующих значений:

TRUE = пользователи и группы перечисляются

FALSE = для этого домена не выполняется перечисление

По умолчанию: FALSE

Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и сохранить ВСЕ записи пользователей и групп с удалённого сервера.

Примечание: если включить перечисление, во время его выполнения производительность SSSD умеренно снижается. Перечисление может занять до нескольких минут после запуска SSSD. В это время отдельные запросы информации отправляются непосредственно в LDAP, хотя это может выполняться медленно из-за ресурсоёмкой обработки перечисления. Сохранение большого количества записей в кэш после завершения перечисления также может давать интенсивную вычислительную нагрузку на центральный процессор, так как данные об участии в группах требуется вычислить заново. Это может привести к тому, что процесс “sssd_be” перестанет отвечать или даже будет перезапущен внутренним сторожевым таймером.

Когда выполняется первое перечисление, запросы полных списков пользователей или групп могут не вернуть результатов до момента завершения перечисления.

Более того, включение перечисления может увеличить время, необходимое для обнаружения отсутствия подключения к сети, так как для успешного выполнения поисков перечисления требуются более длительные тайм-ауты. Дополнительные сведения доступны на man-страницах конкретного используемого поставщика идентификаторов (id_provider).

По вышеуказанным причинам не рекомендуется включать перечисление, особенно в средах большого размера.

subdomain_enumerate (строка)

Следует ли выполнять перечисление для каких-либо автоматически обнаруженных доверенных доменов. Поддерживаемые значения:

all

Выполнить перечисление для всех обнаруженных доверенных доменов

none

Не выполнять перечисление для обнаруженных доверенных доменов

При необходимости можно указать список из одного или нескольких имён доверенных доменов, чтобы включить перечисление только для них.

По умолчанию: none

entry_cache_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи действительными, прежде чем снова обратиться к внутреннему серверу

Отметки времени устаревания записей кэша хранятся как атрибуты отдельных объектов в кэше. Следовательно, изменение тайм-аута кэша повлияет только на новые добавленные или устаревшие записи. Следует запустить инструмент sss_cache(8) для принудительного обновления записей, которые уже были кэшированы.

По умолчанию: 5400

entry_cache_user_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи пользователей действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_group_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи групп действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_netgroup_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи сетевых групп действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_service_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи служб действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_resolver_timeout (целое число)

Количество секунд, в течение которого nss_sss следует считать записи узлов и сетей действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_sudo_timeout (целое число)

Количество секунд, в течение которого sudo следует считать правила действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_autofs_timeout (целое число)

Количество секунд, в течение которого службе autofs следует считать карты автоматического монтирования действительными, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

entry_cache_ssh_host_timeout (целое число)

Количество секунд, в течение которого ключ SSH узла хранится после обновления. Иными словами, параметр определяет длительность хранения ключа узла в кэше.

По умолчанию: entry_cache_timeout

entry_cache_computer_timeout (целое число)

Количество секунд, в течение которого следует хранить запись локального компьютера, прежде чем снова обратиться к внутреннему серверу

По умолчанию: entry_cache_timeout

refresh_expired_interval (целое число)

Указывает время ожидания SSSD (в секундах) перед активацией задания фонового обновления всех устаревших или почти устаревших записей.

При фоновом обновлении обрабатываются содержащиеся в кэше записи пользователей, групп и сетевых групп. Обновление как записи пользователя, так и участия в группах выполняется для тех пользователей, для которых ранее выполнялись действия по инициализации групп (получение данных об участии пользователя в группах, обычно выполняется при запуске).

Этот параметр автоматически наследуется для всех доверенных доменов.

Рекомендуется установить это значение равным 3/4 * entry_cache_timeout.

Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени ожидания устаревания кэша. Если в кэше уже есть записи, фоновое задание будет использовать значения времени ожидания устаревания исходных записей, а не текущее значение конфигурации. Может возникнуть ситуация, в которой будет казаться, что фоновое задание по обновлению записей не работает. Это сделано специально для усовершенствования работы в автономном режиме и повторного использования имеющихся корректных записей в кэше. Чтобы мгновенно выполнить изменение, пользователю следует вручную объявить недействительность существующего кэша.

По умолчанию: 0 (отключено)

cache_credentials (логическое значение)

Determines if user credentials are also cached in the local LDB cache. The cached credentials refer to passwords, which includes the first (long term) factor of two-factor authentication, not other authentication mechanisms. Passkey and Smartcard authentications are expected to work offline as long as a successful online authentication is recorded in the cache without additional configuration.

Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack.

По умолчанию: FALSE

cache_credentials_minimal_first_factor_length (целое число)

Если используется двухфакторная проверка подлинности (2FA) и следует сохранить учётные данные, это значение определяет минимальную длину первого фактора проверки подлинности (долговременного пароля), который должен быть сохранён в формате контрольной суммы SHA512 в кэше.

Таким образом удаётся предотвратить ситуацию, когда короткие PIN-коды основанной на PIN-кодах схемы 2FA хранятся в кэше и становятся лёгкой мишенью для атак методом подбора.

По умолчанию: 8

account_cache_expiration (целое число)

Количество дней, в течение которого записи хранятся в кэше после последнего успешного входа, прежде чем будут удалены при очистке кэша. Значение «0» означает, что записи будут храниться вечно. Значение этого параметра должно быть больше или равно значению offline_credentials_expiration.

По умолчанию: 0 (без ограничений)

pwd_expiration_warning (целое число)

Показать предупреждение за N дней до истечения срока действия пароля.

Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически.

Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение. Кроме того, для этого сервера следует настроить поставщика данных проверки подлинности.

По умолчанию: 7 (Kerberos), 0 (LDAP)

id_provider (строка)

Поставщик данных идентификации, который используется для домена. Поддерживаемые поставщики ID:

“proxy”: поддержка устаревшего поставщика NSS.

“ldap”: поставщик данных LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).

use_fully_qualified_names (логическое значение)

Использовать полные имя и домен (в формате, заданном full_name_format домена) в качестве имени для входа пользователя, которое сообщается NSS.

Если задано значение «TRUE», во всех запросах к домену должны использоваться полные имена. Например, если этот параметр используется в домене LOCAL, содержащем пользователя «test», с помощью команды getent passwd test его не удастся найти, а с помощью команды getent passwd test@LOCAL получится это сделать.

ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они зачастую включают вложенные сетевые группы без полных имён. Для сетевых групп выполняется поиск во всех доменах, когда запрашивается неполное имя.

По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае использования default_domain_suffix)

ignore_group_members (логическое значение)

Не возвращать участников групп для поиска групп.

Если установлено значение «TRUE», атрибут участия в группах не запрашивается с сервера LDAP, а списки участников групп не возвращаются при обработке вызовов поиска групп, таких как getgrnam(3) или getgrgid(3). Как следствие, “getent group $groupname” вернёт запрошенную группу так, как будто она пуста.

Включение этого параметра также может значительно ускорить проверки участия в группах у поставщика доступа (особенно для групп, содержащих большое количество участников).

Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit.

По умолчанию: FALSE

auth_provider (строка)

Поставщик данных для проверки подлинности, который используется для домена. Поддерживаемые поставщики данных для проверки подлинности:

“ldap” — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“krb5” — использовать проверку подлинности Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).

“proxy” — передать проверку подлинности какой-либо другой цели PAM.

“none” — явно отключить проверку подлинности.

По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает обработку запросов проверки подлинности.

access_provider (строка)

Поставщик управления доступом, который используется для домена. Существуют два встроенных поставщика доступа (в дополнение к тем поставщикам, которые включены в установленные внутренние серверы). Внутренние особые поставщики:

“permit” — всегда разрешать доступ. Это единственный поставщик разрешённого доступа для локального домена.

“deny” — всегда отказывать в доступе.

“ldap” — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).

“simple” — управление доступом на основе разрешающего или запрещающего списка. Дополнительные сведения о настройке модуля доступа simple: sssd-simple(5).

“krb5” — управление доступом на основе .k5login. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).

“proxy” — передать управление доступом другому модулю PAM.

По умолчанию: “permit”

chpass_provider (строка)

Поставщик данных, который должен обрабатывать операции смены пароля для домена. Поддерживаемые поставщики данных смены пароля:

“ldap” — сменить пароль, который хранится на сервере LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“krb5” — сменить пароль Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5(5).

“ipa”: FreeIPA and Red Hat Identity Management provider. See sssd-ipa(5) for more information on configuring FreeIPA.

“ad”: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad(5).

“proxy” — передать смену пароля какой-либо другой цели PAM.

“none” — явно запретить смену пароля.

По умолчанию: использовать “auth_provider”, если этот параметр задан и поддерживает обработку запросов смены пароля.

sudo_provider (строка)

Поставщик данных SUDO, который используется для домена. Поддерживаемые поставщики данных SUDO:

“ldap” — для правил, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“ipa” — то же, что и “ldap”, но со стандартными параметрами IPA.

“ad” — то же, что и “ldap”, но со стандартными параметрами AD.

“none” — явно отключить SUDO.

По умолчанию: использовать значение “id_provider”, если этот параметр задан.

Подробные инструкции по настройке sudo_provider доступны на справочной странице sssd-sudo(5). Предусмотрено много параметров, которыми можно воспользоваться для настройки поведения программы. Подробное описание доступно в разделах «ldap_sudo_*» sssd-ldap(5).

ПРИМЕЧАНИЕ: загрузка правил sudo периодически выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был явно отключён). Укажите sudo_provider = None для отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не планируется использовать sudo.

selinux_provider (строка)

Поставщик данных, который должен обрабатывать загрузку параметров SELinux. Обратите внимание, что этот поставщик будет вызываться сразу после окончания работы поставщика доступа. Поддерживаемые поставщики данных SELinux:

“ipa” — загрузить параметры SELinux с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).

“none” — явно отключает получение параметров SELinux.

По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает обработку запросов загрузки параметров SELinux.

subdomains_provider (строка)

Поставщик данных, который должен обрабатывать получение данных поддоменов. Это значение всегда должно совпадать со значением id_provider. Поддерживаемые поставщики данных поддоменов:

“ipa” — загрузить список поддоменов с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).

“ad” — загрузить список поддоменов с сервера Active Directory. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).

“none” — явно отключает получение данных поддоменов.

По умолчанию: использовать значение “id_provider”, если этот параметр задан.

session_provider (строка)

Поставщик данных, который настраивает задания, связанные с сеансами пользователей, и управляет ими. В настоящее время предоставляется только одно задание, связанное с сеансами пользователей: интеграция с Fleet Commander (работает только c IPA). Поддерживаемые поставщики данных сеансов:

“ipa” — разрешить выполнение заданий, связанных с сеансами пользователей.

“none” — не выполнять никакие задания, связанные с сеансами пользователей.

По умолчанию: использовать “id_provider”, если этот параметр задан и поддерживает выполнение заданий, связанных с сеансами.

ПРИМЕЧАНИЕ: чтобы эта возможность работала должным образом, SSSD необходимо запускать от имени пользователя root, а не от имени пользователя без привилегий.

autofs_provider (строка)

Поставщик данных autofs, который используется для домена. Поддерживаемые поставщики данных autofs:

“ldap” — загрузить карты, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“ipa” — загрузить карты, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).

“ad” — загрузить карты, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).

“none” — явно отключить autofs.

По умолчанию: использовать значение “id_provider”, если этот параметр задан.

hostid_provider (строка)

Поставщик данных, который используется для получения данных идентификации узла. Поддерживаемые поставщики hostid:

“ipa” — загрузить данные идентификации узла, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa(5).

“none” — явно отключить hostid.

По умолчанию: использовать значение “id_provider”, если этот параметр задан.

resolver_provider (строка)

Поставщик данных, который должен обрабатывать поиск узлов и сетей. Поддерживаемые поставщики данных сопоставления:

“proxy” — перенаправлять поисковые запросы другой библиотеке NSS. См. “proxy_resolver_lib_name”

“ldap” — получить записи узлов и сетей, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap(5).

“ad” — получить записи узлов и сетей, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad(5).

“none” — явно отключает получение записей узлов и сетей.

По умолчанию: использовать значение “id_provider”, если этот параметр задан.

re_expression (строка)

Регулярное выражение для этого домена, которое описывает, как получить из строки, содержащей имя пользователя и домен, эти компоненты. «domain» может соответствовать либо имени домена в конфигурации SSSD, либо (в случае поддоменов доверия IPA и доменов Active Directory) плоскому (NetBIOS) имени домена.

Default: “^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$” which allows two different styles for user names:

•username

•username@domain.name

Default for the AD and IPA provider: “^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$” which allows three different styles for user names:

•username

•username@domain.name

•domain\username

Первые два стиля соответствуют общим стандартным стилям, а третий введён для обеспечения простой интеграции пользователей из доменов Windows.

The default re_expression uses the “@” character as a separator between the name and the domain. As a result of this setting the default does not accept the “@” character in short names (as it is allowed in Windows group names). If a user wishes to use short names with “@” they must create their own re_expression.

full_name_format (строка)

Совместимый с printf(3) формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена.

Поддерживаются следующие расширения:

%1$s

имя пользователя

%2$s

имя домена, указанное в файле конфигурации SSSD.

%3$s

плоское имя домена. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA.

По умолчанию: “%1$s@%2$s”.

lookup_family_order (строка)

Предоставляет возможность выбрать предпочитаемое семейство адресов, которое следует использовать при выполнении запросов DNS.

Поддерживаемые значения:

ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти адрес IPv6

ipv4_only: пытаться разрешать имена узлов только в адреса IPv4.

ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти адрес IPv4

ipv6_only: пытаться разрешать имена узлов только в адреса IPv6.

По умолчанию: ipv4_first

dns_resolver_server_timeout (целое число)

Определяет количество времени (в миллисекундах), в течение которого SSSD будет пытаться обменяться данными с сервером DNS перед переходом к следующему.

Поставщик данных AD также будет использовать этот параметр для ограничения времени проверки связи CLDAP.

Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.

По умолчанию: 1000

dns_resolver_op_timeout (целое число)

Определяет количество времени (в секундах), в течение которого будет ожидаться разрешение одного запроса DNS (например, разрешение имени узла или записи SRV) перед попыткой перехода к следующему имени узла или поиску следующего DNS.

Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.

По умолчанию: 3

dns_resolver_timeout (целое число)

Определяет количество времени (в секундах), в течение которого будет ожидаться ответ от внутренней службы отказоустойчивости, прежде служба будет считаться недоступной. Если это время ожидания истекло, домен продолжит работу в автономном режиме.

Более подробные сведения о разрешении служб доступны в разделе “ОБРАБОТКА ОТКАЗА”.

По умолчанию: 6

dns_resolver_use_search_list (логическое значение)

Обычно сопоставитель DNS выполняет поиск в списке доменов, указанных в директиве «search» в файле resolv.conf. Это может привести к задержкам в средах с неправильно настроенным DNS.

Если в конфигурации SSSD используются полные доменные имена (или _srv_), установка для этого параметра значения FALSE может предотвратить ненужные запросы DNS в таких средах.

По умолчанию: TRUE

dns_discovery_domain (строка)

Если на внутреннем сервере используется обнаружение служб, указывает доменную часть запроса обнаружения служб DNS.

По умолчанию: использовать доменную часть имени узла компьютера

failover_primary_timeout (integer)

When no primary server is currently available, SSSD fail overs to a backup server. This option defines the amount of time (in seconds) to wait before SSSD tries to reconnect to a primary server again.

Note: The minimum value is 31.

Default: 31

override_gid (целое число)

Переопределить значение основного GID указанным значением.

case_sensitive (строка)

Учитывать регистр символов в именах пользователей и групп. Возможные значения:

True

С учётом регистра. Это значение не является корректным для поставщика данных AD.

False

Без учёта регистра.

Preserving

То же, что «False» (без учёта регистра), но не переводит в нижний регистр имена в результатах операций NSS. Обратите внимание, что псевдонимы (а в случае служб также и имена протоколов) всё равно будут переведены в нижний регистр в выведенных данных.

Если требуется установить это значение для доверенного домена с поставщиком данных IPA, необходимо установить его как на стороне клиента, так и для SSSD на сервере.

Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit.

По умолчанию: True (False для поставщика данных AD)

subdomain_inherit (строка)

Позволяет указать список параметров конфигурации, которые должны наследоваться поддоменом. Обратите внимание, что наследоваться могут не все параметры. В настоящее время поддерживается наследование следующих параметров:

ldap_search_timeout

ldap_network_timeout

ldap_opt_timeout

ldap_offline_timeout

ldap_enumeration_refresh_timeout

ldap_enumeration_refresh_offset

ldap_purge_cache_timeout

ldap_purge_cache_offset

ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр ldap_krb5_keytab не задан явно)

ldap_krb5_ticket_lifetime

ldap_enumeration_search_timeout

ldap_connection_expire_timeout

ldap_connection_expire_offset

ldap_connection_idle_timeout

ldap_use_tokengroups

ldap_user_principal

ignore_group_members

auto_private_groups

case_sensitive

Пример:

subdomain_inherit = ldap_purge_cache_timeout

По умолчанию: none

Примечание: этот параметр работает только для поставщиков данных IPA и AD.

subdomain_homedir (строка)

Использовать этот домашний каталог как значение по умолчанию для всех поддоменов в пределах доверия AD IPA. Сведения о возможных значениях доступны в описании параметра override_homedir. В дополнение к этому, приведённое ниже расширение можно использовать только с subdomain_homedir.

%F

плоское (NetBIOS) имя поддомена.

Это значение может быть переопределено параметром override_homedir.

По умолчанию: /home/%d/%u

realmd_tags (строка)

Различные метки, сохранённые службой настройки realmd для этого домена.

cached_auth_timeout (целое число)

Указывает время в секундах с момента последней успешной проверки подлинности в сетевом режиме, в течение которого пользователь будет распознан с помощью кэшированных учётных данных, когда SSSD находится в сетевом режиме. Если учётные данные некорректны, SSSD будет использовать проверку подлинности в сетевом режиме.

Значение этого параметра наследуется всеми доверенными доменами. В настоящее время невозможно устанавливать для отдельных доверенных доменов другие значения.

Специальное значение «0» подразумевает, что эта возможность отключена.

Обратите внимание: если “cached_auth_timeout” превышает “pam_id_timeout”, то может быть вызван внутренний сервер для обработки “initgroups.”

По умолчанию: 0

local_auth_policy (string)

Local authentication methods policy. Some backends (i.e. LDAP, proxy provider) only support a password based authentication, while others can handle PKINIT based Smartcard authentication (AD, IPA), two-factor authentication (IPA), or other methods against a central instance. By default in such cases authentication is only performed with the methods supported by the backend. With this option additional methods can be enabled which are evaluated and checked locally.

There are three possible values for this option: match, only, enable. “match” is used to match offline and online states for Kerberos methods. “only” ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, “enable:passkey”, only enables passkey for local authentication. Multiple enable values should be comma-separated, such as “enable:passkey, enable:smartcard”

The following table shows which authentication methods, if configured properly, are currently enabled or disabled for each backend, with the default local_auth_policy: “match”

local_auth_policy = match (default)
  Passkey Smartcard
IPA enabled enabled
AD disabled enabled
LDAP disabled disabled

Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt.

The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey).

[domain/shadowutils]
id_provider = proxy
proxy_lib_name = files
auth_provider = none
local_auth_policy = only

Default: match

auto_private_groups (строка)

Этот параметр принимает одно из трёх допустимых значений:

true

Без проверки условий создавать закрытую группу пользователя на основе номера UID пользователя. Номер GID в этом случае игнорируется.

ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от номера UID, при использовании этого параметра не предусмотрена поддержка нескольких записей с одинаковым номером UID или GID. Иными словами, включение этого параметра принудительно устанавливает уникальность записей в пространстве идентификаторов.

false

Всегда использовать основной номер GID пользователя. Номер GID должен ссылаться на объект группы в базе данных LDAP.

hybrid

Основная группа автоматически генерируется для записей пользователей, номера UID и GID которых имеют одно и то же значение, и при этом номер GID не соответствует реальному объекту группы в LDAP. Если значения совпадают, но основной GID в записи пользователя также используется объектом группы, основной GID этого пользователя разрешается в этот объект группы.

Если UID и GID пользователя отличаются, GID должен соответствовать записи группы; в ином случае GID просто будет невозможно разрешить.

Эта возможность полезна для сред, где требуется прекратить поддерживать отдельные объекты групп для закрытых групп пользователей, но в то же время сохранить существующие закрытые группы пользователей.

В случае поддоменов, «False» является значением по умолчанию для поддоменов, которые используют назначенные идентификаторы POSIX, а «True» — для поддоменов, которые используют автоматическое сопоставление идентификаторов.

Значение auto_private_groups можно установить либо на уровне отдельных поддоменов в подразделе, например:

[domain/forest.domain/sub.domain]
auto_private_groups = false

, либо на глобальном уровне для всех поддоменов в разделе основного домена с помощью параметра subdomain_inherit:

[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false

Параметры, которые являются действительными для доменов прокси.

proxy_pam_target (строка)

Цель, которой пересылает данные прокси PAM.

Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option.

proxy_lib_name (строка)

Имя библиотеки NSS, которую следует использовать в доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_files_getpwent.

proxy_resolver_lib_name (строка)

Имя библиотеки NSS, которую следует использовать для поиска узлов и сетей в доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_dns_gethostbyname2_r.

proxy_fast_alias (логическое значение)

Когда на поставщике данных прокси выполняется поиск пользователя или группы по имени, выполнять второй поиск по идентификатору для перевода имени в каноническую форму в случае, если запрашиваемое имя было псевдонимом. При установке этого параметра в значение «true» SSSD будет выполнять поиск идентификатора в кэше в целях ускорения предоставления результатов.

По умолчанию: false

proxy_max_children (целое число)

Этот параметр задаёт количество предварительно ответвлённых дочерних прокси. Он полезен в средах SSSD с высокой нагрузкой, в которых у sssd могут закончиться доступные дочерние слоты, что может вызывать проблемы из-за постановки запросов в очередь.

По умолчанию: 10

Домены приложений

SSSD, с его интерфейсом D-Bus (см. sssd-ifp(5)), обращается к программам как шлюз в каталог LDAP, где хранятся данные пользователей и групп. Впрочем, в отличие от традиционного формата работы SSSD, где все пользователи и группы имеют либо атрибуты POSIX, либо атрибуты, производные от SID Windows, во многих случаях пользователи и группы в сценарии поддержки приложений не имеют атрибутов POSIX. Вместо установки раздела “[domain/NAME]” администратор может установить раздел “[application/NAME]”, который на внутреннем уровне представляет собой домен с типом “application”, который может наследовать параметры традиционного домена SSSD.

Обратите внимание: домен приложений всё равно должен быть явно включён с помощью параметра “domains”; это позволит корректно задать порядок поиска для домена приложений и его родственного домена POSIX.

Параметры доменов приложений

inherit_from (строка)

Домен типа POSIX SSSD, от которого домен приложений наследует все параметры. Домен приложений также может добавить свои собственные параметры к параметрам приложений для расширения или переопределения параметров “родственного” домена.

По умолчанию: не задано

В следующем примере показано использование домена приложений. В этой конфигурации домен POSIX подключён к серверу LDAP и используется ОС с помощью ответчика NSS. Кроме того, домен приложений также запрашивает атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает атрибут phone доступным через интерфейс D-Bus.

[sssd]
domains = appdom, posixdom
[ifp]
user_attributes = +phone
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/appdom]
inherit_from = posixdom
ldap_user_extra_attrs = phone:telephoneNumber

РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ

Некоторые параметры, которые используются в разделе домена, также могут использоваться в разделе доверенного домена, то есть разделе с именем “[domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]”. DOMAIN_NAME — это фактический базовый домен, к которому выполнено присоединение. Объяснение приводится в примерах ниже. В настоящее время для раздела доверенного домена поддерживаются следующие параметры:

ldap_search_base,

ldap_user_search_base,

ldap_group_search_base,

ldap_netgroup_search_base,

ldap_service_search_base,

ldap_sasl_mech,

ad_server,

ad_backup_server,

ad_site,

use_fully_qualified_names

pam_gssapi_services

pam_gssapi_check_upn

Дополнительные сведения об этих параметрах доступны в их описаниях на справочной странице.

РАЗДЕЛ СОПОСТАВЛЕНИЯ СЕРТИФИКАТОВ

Чтобы сделать возможной проверку подлинности по смарт-картам и сертификатам, SSSD необходима возможность сопоставления сертификатов пользователям. Это можно сделать путём добавления полного сертификата к объекту LDAP пользователя или к локальному переопределению. В то время как использование полного сертификата необходимо для использования функции проверки подлинности по смарт-картам SSH (см. sss_ssh_authorizedkeys(8)), это может быть затруднительно или даже невозможно в общем случае, когда локальные службы используют PAM для проверки подлинности.

Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила привязки и сопоставления (см. sss-certmap(5)).

Правило привязки и сопоставления можно добавить в конфигурацию SSSD как отдельный раздел с именем наподобие “[certmap/DOMAIN_NAME/RULE_NAME]”. В этом разделе допустимы следующие параметры:

matchrule (строка)

Будут обрабатываться только те сертификаты со смарт-карты, которые соответствуют этому правилу. Все остальные будут игнорироваться.

По умолчанию: KRB5:<EKU>clientAuth, то есть только те сертификаты, в которых Extended Key Usage (расширенное использование ключа) равно “clientAuth”

maprule (строка)

Определяет способ поиска пользователя для указанного сертификата.

По умолчанию:

•LDAP:(userCertificate;binary={cert!bin}) для поставщиков данных на основе LDAP, таких как “ldap”, “AD” или “ipa”.

domains (строка)

Разделённый запятыми список имён доменов, к которым должно применяться правило. По умолчанию правило действительно только в домене, настроенном в sssd.conf. Если поставщик данных поддерживает поддомены, с помощью этого параметра можно добавить правило также и в поддомены.

По умолчанию: настроенный домен в sssd.conf

priority (целое число)

Беззнаковое целое значение, которое определяет приоритет правила. Чем больше число, тем ниже приоритет. “0” означает самый высокий приоритет, а “4294967295” — самый низкий.

По умолчанию: самый низкий приоритет

РАЗДЕЛ НАСТРОЙКИ ЗАПРОСОВ

Если специальный файл (/var/lib/sss/pubconf/pam_preauth_available) существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать, какие способы проверки подлинности доступны для пользователя, который пытается выполнить вход. В зависимости от полученного ответа pam_sss запросит у пользователя соответствующие учётные данные.

Так как количество способов проверки подлинности растёт и есть вероятность, что для одного пользователя их имеется несколько, эвристика, которая используется pam_sss для выбора запроса, подходит не для всех случаев. Следующие параметры обеспечивают более гибкую настройку.

Each supported authentication method has its own configuration subsection under “[prompting/...]”. Currently there are:

[prompting/password]

допустимые параметры настройки запроса пароля:

password_prompt

изменить строку запроса пароля

[prompting/2fa]

допустимые параметры настройки запроса двухфакторной проверки подлинности:

first_prompt

изменить строку запроса первого фактора

second_prompt

изменить строку запроса второго фактора

single_prompt

логическое значение, если «True», будет выполнен только один запрос с использованием значения first_prompt. Ожидается, что оба фактора будет введены как одна строка. Обратите внимание, что здесь необходимо ввести оба фактора, даже если второй фактор является необязательным.

Если второй фактор является необязательным и должно быть возможно выполнить вход, указав либо только пароль, либо оба фактора, следует использовать двухэтапный запрос.

Возможно добавить подраздел для определённых служб PAM, например “[prompting/password/sshd]”; это позволяет изменить запрос конкретно для этой службы.

ПРИМЕРЫ

1. В следующем примере показана типичная конфигурация SSSD. Описание конфигурации самих доменов не приводится — оно доступно в соответствующей документации.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

2. В следующем примере показана конфигурация доверия AD IPA, где лес AD состоит из двух доменов структуры «родитель — потомок». Предположим, что домен IPA (ipa.com) имеет отношения доверия с доменом AD (ad.com). У ad.com есть дочерний домен (child.ad.com). Чтобы включить краткие имена в дочернем домене, следует использовать следующую конфигурацию.

[domain/ipa.com/child.ad.com]
use_fully_qualified_names = false

3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain “my.domain” and additionally for the subdomains “your.domain” and uses the full certificate in the search filter.

[certmap/my.domain/rule_name]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$
maprule = (userCertificate;binary={cert!bin})
domains = my.domain, your.domain
priority = 10

СМ. ТАКЖЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

10/01/2024 SSSD