Last Change: 2018-09-07, 16:50
powered by manpag.es
sssd.conf − файл налаштування SSSD
Файл складено з використанням синтаксичний конструкцій у стилі ini, він складається з розділів і окремих записів параметрів. Розділ починається з рядка назви розділу у квадратних дужках і продовжується до початку нового розділу. Приклад розділу з параметрами, які мають єдине і декілька значень:
[розділ]
ключ = значення
ключ2 = значення2,значення3
Типами даних є рядок (без символів лапок), ціле число і булеве значення (можливі два значення — “TRUE” і “FALSE”).
Рядок коментаря починається з символу решітки (“#”) або крапки з комою (“;”). Підтримки вбудованих коментарів не передбачено.
Для всіх розділів передбачено додатковий параметр description. Його призначено лише для позначення розділу.
sssd.conf має бути звичайним файлом, власником якого є користувач root. Права на читання та запис до цього файла повинен мати лише користувач root.
Розділ [sssd]
Окремі функції у SSSD виконуються особливими службами SSSD, які запускаються і зупиняються разом SSSD. Ці служби керуються окремою службою, яку часто називають «монітором». Розділ “[sssd]” використовується для налаштування монітора та деяких інших важливих параметрів, зокрема доменів профілів.
Параметри розділу
config_file_version (ціле число)
Визначає версію синтаксичних конструкцій файла налаштування. Для версій SSSD 0.6.0 та пізніших слід використовувати версію 2.
services
Список служб, записи якого відокремлено комами, які слід запускати у разі запуску sssd.
Підтримувані служби: nss, pam , sudo , autofs , ssh
reconnection_retries (ціле число)
Кількість повторних спроб встановлення зв’язку зі службами або їх перезапуску у разі аварійного завершення роботи інструменту надання даних до визнання подальших спроб безнадійними.
Типове значення: 3
domains
A domain is a database containing user information. SSSD can use more domains at the same time, but at least one must be configured or SSSD won't start. This parameter described the list of domains in the order you want them to be queried.
re_expression (рядок)
Типовий формальний вираз, який описує спосіб поділу рядка з іменем користувача і доменом на його частини.
Для кожного з доменів можна налаштувати окремий формальний вираз. Для деяких з засобів надання ідентифікаторів передбачено типові формальні вирази. Докладніше про ці формальні вирази можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ.
full_name_format (рядок)
The default printf(3)−compatible format that describes how to translate a (name, domain) tuple into a fully qualified name.
Для кожного з доменів можна налаштувати окремий рядок формату. Докладніше про ці рядки можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ.
try_inotify (булеве значення)
SSSD спостерігає за станом resolv.conf для визначення моменту, коли слід оновити дані вбудованого інструменту визначення DNS. Типово, з цією метою використовується inotify. У разі неможливості використання inotify, виконуватиметься опитування resolv.conf кожні п’ять секунд.
Зрідка бажано не вдаватися навіть до спроб скористатися inotify. У цих рідкісних випадках слід встановити для цього параметра значення «false».
Типове значення: «true» на платформах, де підтримується inotify. «false» на інших платформах.
Зауваження: цей параметр ні на що не вплине на платформах, де inotify недоступний. На цих платформах завжди використовуватиметься безпосереднє опитування файла.
krb5_rcache_dir (рядок)
Каталог у файловій системі, де SSSD має зберігати файли кешу відтворення Kerberos.
Цей параметр приймає особливе значення __LIBKRB5_DEFAULTS__, за допомогою якого можна наказати SSSD надати змогу libkrb5 визначити відповідну адресу для кешу відтворення.
Типове значення: визначається дистрибутивом та вказується під час збирання. (__LIBKRB5_DEFAULTS__, якщо не вказано)
default_domain_suffix (рядок)
Цей рядок буде використано як типову назву домену для всіх назв без компонента назви домену. Основним призначенням використання цього рядка є середовища, де основний домен призначено для керування правилами вузлів та всіма користувачами, розташованими на надійному (довіреному) домені. За допомогою цього параметра користувачі можуть входити до системи за допомогою лише імені користувача без додавання до нього назви домену.
Будь ласка, зауважте, що якщо цей параметр встановлено, всім користувачам основного домену доведеться використовувати повні імена користувачів, тобто користувач@назва.домену, для входу до системи.
Типове значення: not set
У цьому розділі описано параметри, якими можна скористатися для налаштування різноманітних служб. Ці параметри має бути зібрано у розділах з назвами [$NAME]. Наприклад, параметри служби NSS зібрано у розділі “[nss]”
Загальні параметри налаштування служб
Цими параметрами можна скористатися для налаштування будь−яких служб.
debug_level (ціле число)
Бітова маска, яка визначає рівні діагностики, дані яких буде показано. 0x0010 — типове і найменше можливе значення. 0xFFF0 — найдокладніший режим. Визначення цього параметра має пріоритет над визначенням у файлі налаштувань.
Рівні діагностики, передбачені у поточній версії:
0x0010: критичні помилки з аварійним завершенням роботи. Всі помилки, які не дають SSSD змоги розпочати або продовжувати роботу.
0x0020: критичні помилки. Помилки, які не призводять до аварійного завершення роботи SSSD, але означають, що одна з основних можливостей не працює належним чином.
0x0040: серйозні помилки. Повідомлення про такі помилки означають, що не вдалося виконати певний запит або дію.
0x0080: незначні помилки. Це помилки які можуть призвести до помилок під час виконання дій.
0x0100: параметри налаштування.
0x0200: дані функцій.
0x0400: повідомлення трасування для функцій дій.
0x1000: повідомлення трасування для функцій внутрішнього трасування.
0x2000: вміст внутрішніх змінних функцій, який може бути цікавим.
0x4000: дані трасування найнижчого рівня.
Щоб до журналу було записано дані потрібних рівнів діагностики, просто додайте відповідні числа, як це показано у наведених нижче прикладах:
Example: щоб до журналу було записано дані щодо критичних помилок з аварійним завершенням роботи, критичних помилок, серйозних помилок та дані функцій, скористайтеся рівнем діагностики 0x0270.
Приклад: щоб до журналу було записано критичні помилки з аварійним завершенням роботи, параметри налаштування, дані функцій та повідомлення трасування для функцій внутрішнього керування, скористайтеся рівнем 0x1310.
Зауваження: цей новий формат визначення рівнів діагностики впроваджено у версії 1.7.0. Визначення у форматах попередніх версій (числа від 0 до 10) сумісні сз поточною версією, але вважаються застарілими.
debug_timestamps (булеве значення)
Додати часову позначку до діагностичних повідомлень.
Типове значення: true
debug_microseconds (булеве значення)
Додати значення мікросекунд до часової позначки у діагностичних повідомленнях
Типове значення: false
timeout (ціле число)
Проміжок у секундах між циклами роботи цієї служби. Використовується для перевірки працездатності процесу та його змоги відповідати на запити.
Типове значення: 10
reconnection_retries (ціле число)
Кількість повторних спроб встановлення зв’язку зі службами або їх перезапуску у разі аварійного завершення роботи інструменту надання даних до визнання подальших спроб безнадійними.
Типове значення: 3
fd_limit
За допомогою цього параметра можна визначити максимальну кількість дескрипторів файлів, які одночасно може бути відкрито цим процесом SSSD. У системах, де SSSD надано можливості CAP_SYS_RESOURCE, цей параметр використовуватиметься незалежно від інших параметрів системи. У системах без цієї можливості, кількість дескрипторів визначатиметься найменшим зі значень цього параметра і обмеженням "hard" у limits.conf.
Типове значення: 8192 (або обмеження у limits.conf "hard")
client_idle_timeout
За допомогою цього параметра можна визначити кількість секунд, протягом яких клієнтська частина SSSD може утримувати дескриптор файла без здійснення за його допомогою обміну даними. Таке обмеження потрібне для того, щоб уникнути вичерпання ресурсів системи.
Типове значення: 60
force_timeout (ціле число)
Якщо служба не відповідає на перевірки луна−імпульсом (пінгом) (див. параметр “timeout”), система спочатку надсилає сигнал SIGTERM, яким наказує службі завершити роботу у штатному режимі. Якщо служба не завершить роботу протягом часу, визначено параметром “force_timeout” у секундах, монітор примусово завершить роботу служби надсиланням сигналу SIGKILL.
Типове значення: 60
Параметри налаштування NSS
Цими параметрами можна скористатися для налаштування служби Name Service Switch (NSS або перемикання служби визначення назв).
enum_cache_timeout (ціле число)
Тривалість зберігання переліків (запитів щодо даних всіх користувачів) у кеші nss_sss у секундах
Типове значення: 120
entry_cache_nowait_percentage (ціле число)
Можна встановити кеш записів для автоматичного оновлення записів у фоновому режимі, якщо запит щодо них надходить у визначений у відсотках від entry_cache_timeout для домену період часу.
Наприклад, якщо entry_cache_timeout домену встановлено у значення 30s, а entry_cache_nowait_percentage — у значення 50 (у відсотках), записи, які надійдуть за 15 секунд після останнього оновлення кешу, буде повернуто одразу, але SSSD оновить власний кеш, отже наступні запити очікуватимуть на розблокування після оновлення кешу.
Коректними значеннями цього параметра є 0−99. Ці значення відповідають відсоткам entry_cache_timeout для кожного з доменів. З міркувань покращення швидкодії це відсоткове значення ніколи не зменшуватиме час очікування nowait до значення, меншого за 10 секунд. Визначення значення 0 вимкне цю можливість.
Типове значення: 50
entry_negative_timeout (ціле число)
Визначає кількість секунд, протягом яких nss_sss має кешувати негативні результати пошуку у кеші (тобто запити щодо некоректних записів у базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки.
Типове значення: 15
filter_users, filter_groups (рядок)
Виключити певних користувачів зі списку отримання даних з бази даних NSS sss. Таке виключення може бути корисним для облікових записів керування системою. Цей параметр також можна встановлювати для кожного з доменів окремо або включити до нього імена користувачів повністю для обмеження списку користувачами лише з певного домену.
Типове значення: root
filter_users_in_groups (булеве значення)
Якщо ви хочете, щоб фільтровані користувачі залишалися учасниками груп, встановіть для цього параметра значення «false».
Типове значення: true
override_homedir (рядок)
Перевизначити домашній каталог користувача. Ви можете вказати абсолютне значення або шаблон. У шаблоні можна використовувати такі замінники:
%u
ім'я користувача
%U
номер UID
%d
назва домену
%f
ім’я користувача повністю (користувач@домен)
%o
Початкова домашня тека, отримана від служби профілів.
%%
символ відсотків («%»)
Значення цього параметра можна встановлювати для кожного з доменів окремо.
приклад:
override_homedir = /home/%u
Типове значення: не встановлено (SSSD використовуватиме значення, отримане від LDAP)
fallback_homedir (рядок)
Встановити типовий шаблон назви домашнього каталогу користувача, якщо цей каталог не вказано явним чином засобом надання даних домену.
Можливі варіанти значень для цього параметра збігаються з варіантами значень для параметра override_homedir.
приклад:
override_homedir = /home/%u
Типове значення: не встановлено (без замін для невстановлених домашніх каталогів)
override_shell (рядок)
Перевизначити оболонку реєстрації для всіх користувачів. Цей параметр можна вказати на загальному рівні у розділі [nss] або для кожного з доменів окремо.
Типове значення: не встановлено (SSSD використовуватиме значення, отримане від LDAP)
allowed_shells (рядок)
Обмежити перелік можливих командних оболонок користувачів вказаними. Порядок визначення оболонки є таким:
1. Якщо оболонку вказано у “/etc/shells”, її буде використано.
2. Якщо оболонку вказано у списку allowed_shells, але її немає у списку “/etc/shells”, буде використано значення параметра shell_fallback.
3. Якщо оболонку не вказано у списку allowed_shells і її немає у списку “/etc/shells”, буде використано оболонку nologin.
Порожній рядок оболонки буде передано без обробки до libc.
Читання “/etc/shells” виконується лише під час запуску SSSD, тобто у разі встановлення нової оболонки слід перезапустити SSSD.
Типове значення: не встановлено. Автоматично використовується оболонка користувача.
vetoed_shells (рядок)
Замінити всі записи цих оболонок на shell_fallback
shell_fallback (рядок)
Типова оболонка, яку слід використовувати, якщо дозволеної оболонки у системі не встановлено.
Типове значення: /bin/sh
default_shell
Типова командна оболонка, яку слід використовувати, якщо засобом надання даних не повернуто даних оболонки під час пошуку. Якщо буде використано цей параметр, він матиме пріоритет над будь−якими іншими параметрами визначення командної оболонки. Його можна визначити або у розділі [nss] або для окремого домену.
Типове значення: не встановлено (повернути NULL, якщо оболонку не встановлено і покластися на libc у визначенні потрібного програмі значення, зазвичай /bin/sh)
get_domains_timeout (ціле число)
Визначає час у секундах, протягом якого список піддоменів вважатиметься чинним.
Типове значення: 60
memcache_timeout (ціле число)
Визначає час у секундах, протягом якого список піддоменів вважатиметься чинним.
Типове значення: 300
Параметри налаштування PAM
Цими параметрами можна скористатися для налаштування служби Pluggable Authentication Module (PAM або блокового модуля розпізнавання).
offline_credentials_expiration (ціле число)
У разі неможливості встановлення з’єднання з сервером розпізнавання визначає тривалість зберігання кешованих входів (у днях з часу останнього успішного входу до системи).
Типове значення: 0 (без обмежень)
offline_failed_login_attempts (ціле число)
У разі неможливості встановлення з’єднання з сервером розпізнавання визначає дозволену кількість спроб входу з визначенням помилкового пароля.
Типове значення: 0 (без обмежень)
offline_failed_login_delay (ціле число)
Час у хвилинах, який має пройти між досягненням значення offline_failed_login_attempts і повторним вмиканням можливості входу до системи.
Якщо встановлено значення 0, користувач не зможе пройти розпізнавання у автономному режимі, якщо буде досягнуто значення offline_failed_login_attempts. Лише успішне розпізнавання може знову увімкнути можливість автономного розпізнавання.
Типове значення: 5
pam_verbosity (ціле число)
Керує типами повідомлень, які буде показано користувачеві під час розпізнавання. Чим більшим є значення, тим більше повідомлень буде показано.
У поточній версії sssd передбачено підтримку таких значень:
0: не показувати жодних повідомлень
1: показувати лише важливі повідомлення
2: показувати всі інформаційні повідомлення
3: показувати всі повідомлення та діагностичні дані
Типове значення: 1
pam_id_timeout (ціле число)
Для кожного з запитів PAM під час роботи SSSD система SSSD зробить спробу негайно оновити кешовані дані щодо профілю користувача з метою переконатися, що розпізнавання виконується на основі найсвіжіших даних.
Повний обмін даними сеансу PAM може включати декілька запитів PAM, зокрема для керування обліковими записами та відкриття сеансів. За допомогою цього параметра можна керувати (для окремих клієнтів−програм) тривалістю (у секундах) кешування даних профілю з метою уникнути повторних викликів засобу надання даних профілів.
Типове значення: 5
pam_pwd_expiration_warning (ціле число)
Показати попередження за вказану кількість днів перед завершенням дії пароля.
Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати попередження.
Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто якщо з сервера обробки надійде попередження щодо завершення строку дії, його буде автоматично показано.
Цей параметр може бути перевизначено встановленням параметра pwd_expiration_warning для окремого домену.
Типове значення: 0
get_domains_timeout (ціле число)
Визначає час у секундах, протягом якого список піддоменів вважатиметься чинним.
Типове значення: 60
Параметри налаштування SUDO
Цими параметрами можна скористатися для налаштування служби sudo.
sudo_timed (булеве значення)
Визначає, чи слід обробляти атрибути sudoNotBefore і sudoNotAfter, призначені для визначення часових обмежень для записів sudoers.
Типове значення: false
Параметри налаштування AUTOFS
Цими параметрами можна скористатися для налаштування служби autofs.
autofs_negative_timeout (ціле число)
Визначає кількість секунд, протягом яких відповідач autofs має кешувати негативні результати пошуку у кеші (тобто запити щодо некоректних записів у базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки.
Типове значення: 15
Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту лише під час запуску, отже якщо до ssd.conf внесено будь−які пов’язані з autofs зміни, типово слід перезапустити фонову службу автоматичного монтування після перезапуску SSSD.
Параметри налаштувань SSH
Цими параметрами можна скористатися для налаштування служби SSH.
ssh_hash_known_hosts (булеве значення)
Чи слід хешувати назви та адреси вузлів у керованому файлі known_hosts.
Типове значення: true
ssh_known_hosts_timeout (ціле число)
Кількість секунд, протягом яких запису вузла зберігатиметься у керованому файлі known_hosts після надсилання запиту щодо ключів вузла.
Типове значення: 180
Ці параметри налаштування може бути вказано у розділі налаштування домену, тобто у розділі з назвою “[domain/НАЗВА]”
min_id,max_id (ціле значення)
Обмеження UID і GID для домену. Якщо у домені міститься запис, що не відповідає цим обмеженням, його буде проігноровано.
Для користувачів зміна цього параметра вплине на основне обмеження GID. Запис користувача не буде повернуто до NSS, якщо UID або основний GID не належать вказаному діапазону. Записи користувачів, які не є учасниками основної групи і належать діапазону, буде виведено у звичайному режимі.
Ці обмеження на ідентифікатори стосуються і збереження записів до кешу, не лише повернення записів за назвою або ідентифікатором.
Типові значення: 1 для min_id, 0 (без обмежень) для max_id
enumerate (булеве значення)
Визначає, чи можна нумерувати домен. Цей параметр може мати одне з таких значень:
TRUE = користувачі і групи нумеруються
FALSE = не використовувати нумерацію для цього домену
Типове значення: FALSE
Зауваження: вмикання нумерації помірно знизить швидкодію SSSD на час виконання нумерації. Нумерація може тривати до декількох хвилин після запуску SSSD. Протягом виконання нумерації окремі запити щодо даних буде надіслано безпосередньо до LDAP, хоча і з уповільненням через навантаження системи виконанням нумерації. Збереження великої кількості записів до кешу після завершення нумерації може також значно навантажити процесор, оскільки повторне визначення параметрів участі також іноді є складним завданням.
Під час першого виконання нумерації запити щодо повних списків користувачів та груп можуть не повертати жодних результатів, аж доки нумерацію не буде завершено.
Крім того, вмикання нумерації може збільшити час, потрібний для виявлення того, що мережеве з’єднання розірвано, оскільки потрібне буде збільшення часу очікування для забезпечення успішного завершення пошуків нумерації. Щоб отримати додаткову інформацію, зверніться до сторінок довідника (man) відповідного використаного засобу обробки ідентифікаторів (id_provider).
З вказаних вище причин не рекомендуємо вам вмикати нумерацію, особливо у об’ємних середовищах.
force_timeout (ціле число)
Якщо служба не відповідає на перевірки луна−імпульсом (пінгом) (див. параметр “timeout”), система спочатку надсилає сигнал SIGTERM, яким наказує службі завершити роботу у штатному режимі. Якщо служба не завершить роботу протягом часу, визначено параметром “force_timeout” у секундах, монітор примусово завершить роботу служби надсиланням сигналу SIGKILL.
Типове значення: 60
entry_cache_timeout (ціле число)
Кількість секунд, протягом яких nss_sss вважатиме записи чинними, перш ніж надсилати повторний запит до сервера
Типове значення: 5400
entry_cache_user_timeout (ціле число)
Кількість секунд, протягом яких nss_sss вважатиме записи користувачів чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
entry_cache_group_timeout (ціле число)
Кількість секунд, протягом яких nss_sss вважатиме записи груп чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
entry_cache_netgroup_timeout (ціле число)
Кількість секунд, протягом яких nss_sss вважатиме записи мережевих груп чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
entry_cache_service_timeout (ціле число)
Кількість секунд, протягом яких nss_sss вважатиме записи служб чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
entry_cache_sudo_timeout (ціле число)
Кількість секунд, протягом яких sudo вважатиме правила чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
entry_cache_autofs_timeout (ціле число)
Кількість секунд, протягом яких служба autofs вважатиме карти автомонтування чинними, перш ніж надсилати повторний запит до сервера
Типове значення: entry_cache_timeout
refresh_expired_interval (ціле число)
Визначає кількість секунд, протягом яких SSSD має очікувати до оновлення застаріших записів. У поточній версії передбачено підтримку оновлення лише застарілих записів мережевих груп.
Варто визначити для цього параметра значення 3/4 * entry_cache_timeout.
Типове значення: 0 (вимкнено)
cache_credentials (булеве значення)
Визначає, чи слід також кешувати реєстраційні дані користувача у локальному кеші LDB
Реєстраційні дані користувача зберігаються у форматі хешу SHA512, а не у форматі звичайного тексту
Типове значення: FALSE
account_cache_expiration (ціле число)
Кількість днів, протягом яких записи залишатимуться у кеші після успішного входу до системи до вилучення під час спорожнення кешу. 0 — не вилучати записи. Значення цього параметра має бути більшим або рівним значенню offline_credentials_expiration.
Типове значення: 0 (без обмежень)
pwd_expiration_warning (ціле число)
Показати попередження за вказану кількість днів перед завершенням дії пароля.
Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто якщо з сервера обробки надійде попередження щодо завершення строку дії, його буде автоматично показано.
Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати попередження. Крім того для цього сервера може бути вказано службу надання даних розпізнавання.
Типове значення: 7 (Kerberos), 0 (LDAP)
id_provider (рядок)
Засіб надання даних ідентифікації, який використовується для цього домену. Серед підтримуваних засобів такі:
proxy: Support a legacy NSS provider
“local”: вбудований засіб SSSD для локальних користувачів
“ldap”: засіб LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до sssd-ldap(5).
“ipa”: засіб FreeIPA та керування профілями Red Hat Enterprise. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“ad”: засіб Active Directory. Докладніші відомості щодо налаштовування Active Directory викладено у довіднику з sssd-ad(5).
use_fully_qualified_names (булеве значення)
Використовувати ім’я та домен повністю (у форматі, визначеному full_name_format домену) як ім’я користувача у системі, що повідомляється NSS.
Якщо встановлено значення TRUE, всі запити до цього домену мають використовувати повні назви. Наприклад, якщо використано домен LOCAL, який містить запис користувача «test» user, getent passwd test не покаже користувача, а getent passwd test@LOCAL покаже.
Типове значення: FALSE
ignore_group_members (булеве значення)
Не повертати записи учасників груп для пошуків груп.
Якщо встановлено значення TRUE, сервер LDAP не запитуватиме дані щодо атрибутів участі у групах, а списки учасників груп не повертаються під час обробки запитів щодо пошуку груп.
Типове значення: FALSE
auth_provider (рядок)
Служба розпізнавання, яку використано для цього домену. Серед підтримуваних служб розпізнавання:
“ldap” — вбудоване розпізнавання LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з sssd-ldap(5).
“krb5” — вбудоване розпізнавання Kerberos. Докладніші відомості щодо налаштовування Kerberos викладено у довіднику з sssd-krb5().
“ipa”: засіб FreeIPA та керування профілями Red Hat Enterprise. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“ad”: засіб Active Directory. Докладніші відомості щодо налаштовування Active Directory викладено у довіднику з sssd-ad(5).
“proxy” — трансльоване розпізнавання у іншій системі PAM.
“none” — вимкнути розпізнавання повністю.
Типове значення: буде використано “id_provider”, якщо цей спосіб встановлено і можлива обробка запитів щодо розпізнавання.
access_provider (рядок)
Програма керування доступом для домену. Передбачено дві вбудованих програми керування доступом (окрім всіх встановлених додаткових серверів). Вбудованими програмами є:
“permit” дозволяти доступ завжди. Єдиний дозволений засіб доступу для локального домену.
“deny” — завжди забороняти доступ.
“ldap” — вбудоване розпізнавання LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з sssd-ldap(5).
“ipa”: засіб FreeIPA та керування профілями Red Hat Enterprise. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“ad”: засіб Active Directory. Докладніші відомості щодо налаштовування Active Directory викладено у довіднику з sssd-ad(5).
“simple” — керування доступом на основі списків дозволу або заборони. Докладніші відомості щодо налаштовування модуля доступу simple можна знайти у довідці до sssd-simple(5).
Типове значення: “permit”
chpass_provider (рядок)
Система, яка має обробляти дії зі зміни паролів для домену. Передбачено підтримку таких систем зміни паролів:
“ldap” — змінити пароль, що зберігається на сервері LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з sssd-ldap(5).
“krb5” — змінити пароль Kerberos. Докладніші відомості щодо налаштовування Kerberos викладено у довіднику з sssd-krb5().
“ipa”: засіб FreeIPA та керування профілями Red Hat Enterprise. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“ad”: засіб Active Directory. Докладніші відомості щодо налаштовування Active Directory викладено у довіднику з sssd-ad(5).
“proxy” — трансльована зміна пароля у іншій системі PAM.
“none” — явно вимкнути можливість зміни пароля.
Типове значення: використовується «auth_provider», якщо встановлено значення цього параметра і якщо система здатна обробляти запити щодо паролів.
sudo_provider (рядок)
Служба SUDO, яку використано для цього домену. Серед підтримуваних служб SUDO:
“ldap” для правил, що зберігаються у LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до sssd-ldap(5).
“none” явним чином вимикає SUDO.
Типове значення: використовується значення “id_provider”, якщо його встановлено.
selinux_provider (рядок)
Засіб, який має відповідати за завантаження параметрів SELinux. Зауважте, що цей засіб буде викликано одразу після завершення роботи служби надання доступу. Передбачено підтримку таких засобів надання даних SELinux:
“ipa” для завантаження параметрів selinux з сервера IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa(5).
“none” явним чином забороняє отримання даних щодо параметрів SELinux.
Типове значення: буде використано “id_provider”, якщо цей спосіб встановлено і можлива обробка запитів щодо завантаження SELinux.
subdomains_provider (рядок)
Засіб надання даних, який має обробляти отримання даних піддоменів. Це значення має завжди збігатися зі значенням id_provider. Передбачено підтримку таких засобів надання даних піддоменів:
“ipa” для завантаження списку піддоменів з сервера IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa(5).
“none” забороняє ячним чином отримання даних піддоменів.
Типове значення: використовується значення “id_provider”, якщо його встановлено.
autofs_provider (рядок)
Служба autofs, яку використано для цього домену. Серед підтримуваних служб autofs:
“ldap” — завантажити карти, що зберігаються у LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до sssd-ldap(5).
“ipa” — завантажити карти, що зберігається на сервері IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“none” вимикає autofs повністю.
Типове значення: використовується значення “id_provider”, якщо його встановлено.
hostid_provider (рядок)
Засіб надання даних, який використовується для отримання даних щодо профілю вузла. Серед підтримуваних засобів надання hostid:
“ipa” — завантажити профіль системи, що зберігається на сервері IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з sssd-ipa().
“none” вимикає hostid повністю.
Типове значення: використовується значення “id_provider”, якщо його встановлено.
re_expression (рядок)
Regular expression for this domain that describes how to parse the string containing user name and domain into these components.
Типовий для засобів надання AD і IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” За його допомогою можна визначати три різні стилі запису імен користувачів:
• користувач
• користувач@назва.домену
• домен\користувач
Перші два стилі відповідають загальним типовим стилям, а третій введено для того, щоб полегшити інтеграцію користувачів з доменів Windows.
Типове значення: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)”, можна висловити так: іменем користувача є все до символу «@», назвою домену — все після цього символу.
Будь ласка, зауважте: підтримку неунікальних назв підшаблонів передбачено не для всіх платформ (наприклад, нею не можна скористатися у RHEL5 і SLES10). Підтримкою неунікальних назв підшаблонів можна скористатися лише на платформах з версією libpcre 7.
Додаткове зауваження: у застарілих версіях libpcre передбачено підтримку лише синтаксичних конструкцій Python (?P<name>) для позначення підшаблонів.
full_name_format (рядок)
A printf(3)−compatible format that describes how to translate a (name, domain) tuple for this domain into a fully qualified name.
Типове значення: “%1$s@%2$s”.
lookup_family_order (рядок)
Надає можливість вибрати бажане сімейство адрес, яке слід використовувати під час виконання пошуків у DNS.
Передбачено підтримку таких значень:
ipv4_first: спробувати визначити адресу у форматі IPv4, у разі невдачі спробувати формат IPv6
ipv4_only: намагатися визначити назви вузлів лише у форматі адрес IPv4.
ipv6_first: спробувати визначити адресу у форматі IPv6, у разі невдачі спробувати формат IPv4
ipv6_only: намагатися визначити назви вузлів лише у форматі адрес IPv6.
Типове значення: ipv4_first
dns_resolver_timeout (ціле число)
Визначає кількість часу (у секундах) очікування відповіді від засобу визначення адрес DNS, перш ніж засіб буде визначено недоступним. Якщо час очікування буде перевищено, домен продовжуватиме роботу у автономному режимі.
Типове значення: 6
dns_discovery_domain (рядок)
Якщо у модулі обробки використовується визначення служб, вказує доменну частину запиту визначення служб DNS.
Типова поведінка: використовувати назву домену з назви вузла комп’ютера.
override_gid (ціле число)
Замірити значення основного GID на вказане.
case_sensitive (булеве значення)
Враховувати регістр записів імен користувачів та назв груп. У поточній версії підтримку передбачено лише для локальних надавачів даних.
Типове значення: True
proxy_fast_alias (булеве значення)
Під час пошуку запису користувача чи групи за назвою у системі надання даних переадресації виконується вторинний пошук за ідентифікатором з метою визначення «канонічної» форми назви, якщо результат знайдено за альтернативною назвою (псевдонімом). Встановлення для цього параметра значення «true» призведе до того, що SSSD виконуватиме пошук ідентифікатора у кеші, щоб пришвидшити надання результатів.
Типове значення: false
subdomain_homedir (рядок)
Use this homedir as default value for all subdomains within this domain. See override_homedir for info about possible values.
Це значення може бути перевизначено параметром override_homedir.
Типове значення: /home/%d/%u
Параметри, які є чинними для доменів проксі.
proxy_pam_target (рядок)
Комп’ютер, для якого виконує проксі−сервер PAM.
Типове значення: типово не встановлено, вам слід скористатися вже створеними налаштуваннями pam або створити нові і тут додати назву служби.
proxy_lib_name (рядок)
Назва бібліотеки NSS для використання у доменах з проксі−серверами. Функції NSS шукаються у бібліотеці у форматі _nss_$(назва_бібліотеки)_$(функція), наприклад _nss_files_getpwent.
Розділ локального домену
У цьому розділі містяться параметри для домену, який зберігає записи користувачів і груп у вбудованій базі даних SSSD, тобто домену, який використовує id_provider=local.
Параметри розділу
default_shell (рядок)
Типова оболонка для записів користувачів, створених за допомогою інструментів простору користувачів SSSD.
Типове значення: /bin/bash
base_directory (рядок)
Інструменти додають ім’я користувача до base_directory і використовують отриману адресу як адресу домашнього каталогу.
Типове значення: /home
create_homedir (булеве значення)
Визначає, чи слід типово створювати домашній каталог для нових користувачів. Може бути перевизначено з командного рядка.
Типове значення: TRUE
remove_homedir (булівське значення)
Визначає, чи слід вилучати домашній каталог для вилучених записів користувачів. Може бути перевизначено з командного рядка.
Типове значення: TRUE
homedir_umask (ціле число)
Використовується sss_useradd(8) для визначення типових прав доступу до щойно створеного домашнього каталогу.
Типове значення: 077
skel_dir (рядок)
Каркасний каталог, який містить файли і каталоги, які буде скопійовано до домашнього каталогу користувача, коли такий домашній каталог створюється командою sss_useradd(8)
Типове значення: /etc/skel
mail_dir (рядок)
Каталог буфера пошти. Цей каталог потрібен для обробки поштової скриньки, якщо відповідний обліковий запис користувача змінено або вилучено. Якщо каталог не вказано, буде використано типове значення.
Типове значення: /var/mail
userdel_cmd (рядок)
Команда, яку буде виконано після вилучення запису користувача. Команді, як перший і єдиний параметр, передається ім’я користувача, запис якого вилучається. Код виконання, повернутий програмою не обробляється.
Типове значення: None, не виконувати жодних команд
Нижче наведено приклад типових налаштувань SSSD. Налаштування самого домену не наведено, — щоб дізнатися більше про неї, ознайомтеся з документацією щодо налаштовування доменів.
[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sss_cache(8), sss_debuglevel(8), sss_groupadd(8), sss_groupdel(8), sss_groupshow(8), sss_groupmod(8), sss_useradd(8), sss_userdel(8), sss_usermod(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knowhostsproxy(8), pam_sss(8).
Основна гілка розробки SSSD — http://fedorahosted.org/sssd