diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
| commit | 74aa0bc6779af38018a03fd2cf4419fe85917904 (patch) | |
| tree | 9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/es | |
| parent | Initial commit. (diff) | |
| download | sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip | |
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/es')
26 files changed, 6447 insertions, 0 deletions
diff --git a/src/man/es/include/ad_modified_defaults.xml b/src/man/es/include/ad_modified_defaults.xml new file mode 100644 index 0000000..6ee0537 --- /dev/null +++ b/src/man/es/include/ad_modified_defaults.xml @@ -0,0 +1,104 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and AD provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>LDAP Provider</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@REALM (typically SHORTNAME$@REALM) + </para> + <para> + The AD provider looks for a different principal than the LDAP provider by +default, because in an Active Directory environment the principals are +divided into two groups - User Principals and Service Principals. Only User +Principal can be used to obtain a TGT and by default, computer object's +principal is constructed from its sAMAccountName and the AD realm. The +well-known host/hostname@REALM principal is a Service Principal and thus +cannot be used to get a TGT with. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>NSS configuration</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + The AD provider automatically sets "fallback_homedir = /home/%d/%u" to +provide personal home directories for users without the homeDirectory +attribute. If your AD Domain is properly populated with Posix attributes, +and you want to avoid this fallback behavior, you can explicitly set +"fallback_homedir = %o". + </para> + <para> + Note that the system typically expects a home directory in /home/%u +folder. If you decide to use a different directory structure, some other +parts of your system may need adjustments. + </para> + <para> + For example automated creation of home directories in combination with +selinux requires selinux adjustment, otherwise the home directory will be +created with wrong selinux context. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/es/include/autofs_attributes.xml b/src/man/es/include/autofs_attributes.xml new file mode 100644 index 0000000..938da2c --- /dev/null +++ b/src/man/es/include/autofs_attributes.xml @@ -0,0 +1,69 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (cadena)</term> + <listitem> + <para> + El objeto clase de una entrada de mapa de automontaje en LDAP. + </para> + <para> + Predeterminado: nisMap (rfc2307, autofs_provider=ad), de otra manera +automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (cadena)</term> + <listitem> + <para> + El nombre de una entrada de mapa de automontaje en LDAP. + </para> + <para> + Predeterminado: nisMapName (rfc2307, autofs_provider=ad), de otra manera +automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (cadena)</term> + <listitem> + <para> + El objeto clase de una entrada de montaje automático en LDAP. La entrada +normalmente corresponde a un punto de montaje. + </para> + <para> + Predeterminado: nisObject (rfc2307, autofs_provider=ad), de otra manera +automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (cadena)</term> + <listitem> + <para> + La clave de una entrada de automontaje en LDAP. La entrada corresponde +normalmente a un punto de montaje. + </para> + <para> + Predeterminado: cn (rfc2307, autofs_provider=ad), de otra manera +automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (cadena)</term> + <listitem> + <para> + La clave de una entrada de automontaje en LDAP. La entrada corresponde +normalmente a un punto de montaje. + </para> + <para> + Predeterminado: nisMapEntry (rfc2307, autofs_provider=ad), de otra manera +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/es/include/autofs_restart.xml b/src/man/es/include/autofs_restart.xml new file mode 100644 index 0000000..1bbd565 --- /dev/null +++ b/src/man/es/include/autofs_restart.xml @@ -0,0 +1,6 @@ +<para> + Por favor advierta que el automontador sólo lee el mapa maestro en el +arranque, se modo que si se hace cualquier cambio relacionado con autofs al +sssd.conf, usted normalmente también necesitará reiniciar el demonio +automontador después de reiniciar el SSSD. +</para> diff --git a/src/man/es/include/debug_levels.xml b/src/man/es/include/debug_levels.xml new file mode 100644 index 0000000..6017b42 --- /dev/null +++ b/src/man/es/include/debug_levels.xml @@ -0,0 +1,98 @@ +<listitem> + <para> + SSSD supports two representations for specifying the debug level. The +simplest is to specify a decimal value from 0-9, which represents enabling +that level and all lower-level debug messages. The more comprehensive option +is to specify a hexadecimal bitmask to enable or disable specific levels +(such as if you wish to suppress a level). + </para> + <para> + Please note that each SSSD service logs into its own log file. Also please +note that enabling <quote>debug_level</quote> in the <quote>[sssd]</quote> +section only enables debugging just for the sssd process itself, not for the +responder or provider processes. The <quote>debug_level</quote> parameter +should be added to all sections that you wish to produce debug logs from. + </para> + <para> + In addition to changing the log level in the config file using the +<quote>debug_level</quote> parameter, which is persistent, but requires SSSD +restart, it is also possible to change the debug level on the fly using the +<citerefentry> <refentrytitle>sss_debuglevel</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> tool. + </para> + <para> + Niveles de depuración actualmente soportados: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Fatal +failures. Anything that would prevent SSSD from starting up or causes it to +cease running. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Serious failures. An +error announcing that a particular request or operation has failed. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Minor failures. These +are the errors that would percolate down to cause the operation failure of +2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: Configuration settings. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Function data. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Trace messages for +operation functions. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Trace messages for +internal control functions. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Contents of +function-internal variables that may be interesting. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Extremely low-level +tracing information. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x20000</emphasis>: Performance and +statistical data, please note that due to the way requests are processed +internally the logged execution time of a request might be longer than it +actually was. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + To log required bitmask debug levels, simply add their numbers together as +shown in following examples: + </para> + <para> + <emphasis>Ejemplo</emphasis>: Para registrar fallos fatales, críticos y +serios y datos de función use 0x0270. + </para> + <para> + <emphasis>Example</emphasis>: Para registrar fallos fatales, ajustes de +configuración, datos de función, mensajes de traza para funciones de control +interno use 0x1310. + </para> + <para> + <emphasis>Note</emphasis>: The bitmask format of debug levels was introduced +in 1.7.0. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/es/include/debug_levels_tools.xml b/src/man/es/include/debug_levels_tools.xml new file mode 100644 index 0000000..2fedd2e --- /dev/null +++ b/src/man/es/include/debug_levels_tools.xml @@ -0,0 +1,78 @@ +<listitem> + <para> + SSSD supports two representations for specifying the debug level. The +simplest is to specify a decimal value from 0-9, which represents enabling +that level and all lower-level debug messages. The more comprehensive option +is to specify a hexadecimal bitmask to enable or disable specific levels +(such as if you wish to suppress a level). + </para> + <para> + Niveles de depuración actualmente soportados: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Fatal +failures. Anything that would prevent SSSD from starting up or causes it to +cease running. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Serious failures. An +error announcing that a particular request or operation has failed. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Minor failures. These +are the errors that would percolate down to cause the operation failure of +2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: Configuration settings. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Function data. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Trace messages for +operation functions. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Trace messages for +internal control functions. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Contents of +function-internal variables that may be interesting. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Extremely low-level +tracing information. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + To log required bitmask debug levels, simply add their numbers together as +shown in following examples: + </para> + <para> + <emphasis>Ejemplo</emphasis>: Para registrar fallos fatales, críticos y +serios y datos de función use 0x0270. + </para> + <para> + <emphasis>Example</emphasis>: Para registrar fallos fatales, ajustes de +configuración, datos de función, mensajes de traza para funciones de control +interno use 0x1310. + </para> + <para> + <emphasis>Note</emphasis>: The bitmask format of debug levels was introduced +in 1.7.0. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/es/include/failover.xml b/src/man/es/include/failover.xml new file mode 100644 index 0000000..f86e15d --- /dev/null +++ b/src/man/es/include/failover.xml @@ -0,0 +1,131 @@ +<refsect1 id='failover'> + <title>CONMUTACIÓN POR ERROR</title> + <para> + La función conmutación en error permite a los finales conmutar +automáticamente a un servidor diferente si el servidor actual falla. + </para> + <refsect2 id='failover_syntax'> + <title>Sintaxis de conmutación por error</title> + <para> + La lista de servidores se da como una lista separada por comas; se permite +cualquier número de espacios a los lados de la coma. Los servidores son +listados en orden de preferencia. La lista puede contener cualquier número +de servidores. + </para> + <para> + For each failover-enabled config option, two variants exist: +<emphasis>primary</emphasis> and <emphasis>backup</emphasis>. The idea is +that servers in the primary list are preferred and backup servers are only +searched if no primary servers can be reached. If a backup server is +selected, a timeout of 31 seconds is set. After this timeout SSSD will +periodically try to reconnect to one of the primary servers. If it succeeds, +it will replace the current active (backup) server. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>El mecanismo de conmutación por errorEl mecanismo de failover distingue +entre una máquina y un servicio. El punto final intenta primero resolver el +nombre de host de una máquina dada; si el intento de resolución falla, la +máquina es considerada fuera de línea. No se harán más intentos de conexión +con esta máquina para ningún otro servicio. Si el intento de resolución +tiene éxito, el punto final intenta conectar a un servicio en esa +máquina. Si el intento de conexión al servicio falla, entonces sólo se +considera fuera de línea este servicio concreto y el punto final conmutará +automáticamente sobre el siguientes servicio. La máquina se considera que +sigue en línea y se puede intentar el acceso a otros servicios.</title> + <para> + El mecanismo de conmutación por error distingue entre una máquina y un +servicio. El punto final intenta primero resolver el nombre de host de una +máquina dada; si el intento de resolución falla, la máquina es considerada +fuera de línea. No se harán más intentos de conexión con esta máquina para +ningún otro servicio. Si el intento de resolución tiene éxito, el punto +final intenta conectar a un servicio en esa máquina. Si el intento de +conexión al servicio falla, entonces sólo se considera fuera de línea este +servicio concreto y el punto final conmutará automáticamente sobre el +siguientes servicio. La máquina se considera que sigue en línea y se puede +intentar el acceso a otros servicios. + </para> + <para> + Los intentos de conexión adicionales son hechos a máquinas o servicios +marcaros como fuera de línea después de un período de tiempo especificado; +esto está codificado a fuego actualmente en 30 segundos. + </para> + <para> + Si no hay más máquinas para intentarlo, el punto final al completo conmutará +al modo fuera de línea y después intentará reconectar cada 30 segundo. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Failover time outs and tuning</title> + <para> + Resolving a server to connect to can be as simple as running a single DNS +query or can involve several steps, such as finding the correct site or +trying out multiple host names in case some of the configured servers are +not reachable. The more complex scenarios can take some time and SSSD needs +to balance between providing enough time to finish the resolution process +but on the other hand, not trying for too long before falling back to +offline mode. If the SSSD debug logs show that the server resolution is +timing out before a live server is contacted, you can consider changing the +time outs. + </para> + <para> + This section lists the available tunables. Please refer to their description +in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, manual page. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Time in milliseconds that sets how long would SSSD talk to a single DNS +server before trying next one. + </para> + <para> + Predeterminado: 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Time in seconds to tell how long would SSSD try to resolve single DNS query +(e.g. resolution of a hostname or an SRV record) before trying the next +hostname or discovery domain. + </para> + <para> + Predeterminado: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + How long would SSSD try to resolve a failover service. This service +resolution internally might include several steps, such as resolving DNS SRV +queries or locating the site. + </para> + <para> + Predeterminado: 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + For LDAP-based providers, the resolve operation is performed as part of an +LDAP connection operation. Therefore, also the +<quote>ldap_opt_timeout</quote> timeout should be set to a larger value than +<quote>dns_resolver_timeout</quote> which in turn should be set to a larger +value than <quote>dns_resolver_op_timeout</quote> which should be larger +than <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/es/include/homedir_substring.xml b/src/man/es/include/homedir_substring.xml new file mode 100644 index 0000000..d7533de --- /dev/null +++ b/src/man/es/include/homedir_substring.xml @@ -0,0 +1,17 @@ +<varlistentry> + <term>homedir_substring (string)</term> + <listitem> + <para> + The value of this option will be used in the expansion of the +<emphasis>override_homedir</emphasis> option if the template contains the +format string <emphasis>%H</emphasis>. An LDAP directory entry can directly +contain this template so that this option can be used to expand the home +directory path for each client machine (or operating system). It can be set +per-domain or globally in the [nss] section. A value specified in a domain +section will override one set in the [nss] section. + </para> + <para> + Default: /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/es/include/ipa_modified_defaults.xml b/src/man/es/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..4ad4b45 --- /dev/null +++ b/src/man/es/include/ipa_modified_defaults.xml @@ -0,0 +1,123 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and IPA provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>LDAP Provider - General</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>LDAP Provider - User options</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>LDAP Provider - Group options</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/es/include/krb5_options.xml b/src/man/es/include/krb5_options.xml new file mode 100644 index 0000000..11a1c0f --- /dev/null +++ b/src/man/es/include/krb5_options.xml @@ -0,0 +1,154 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (entero)</term> + <listitem> + <para> + Timeout in seconds after an online authentication request or change password +request is aborted. If possible, the authentication request is continued +offline. + </para> + <para> + Predeterminado: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (boolean)</term> + <listitem> + <para> + Verify with the help of krb5_keytab that the TGT obtained has not been +spoofed. The keytab is checked for entries sequentially, and the first entry +with a matching realm is used for validation. If no entry matches the realm, +the last entry in the keytab is used. This process can be used to validate +environments using cross-realm trust by placing the appropriate keytab entry +as the last entry or the only entry in the keytab file. + </para> + <para> + Default: false (IPA and AD provider: true) + </para> + <para> + Please note that the ticket validation is the first step when checking the +PAC (see 'pac_check' in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> manual page for details). If ticket validation is disabled +the PAC checks will be skipped as well. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (cadena)</term> + <listitem> + <para> + Request a renewable ticket with a total lifetime, given as an integer +immediately followed by a time unit: + </para> + <para> + <emphasis>s</emphasis> for seconds + </para> + <para> + <emphasis>m</emphasis> for minutes + </para> + <para> + <emphasis>h</emphasis> for hours + </para> + <para> + <emphasis>d</emphasis> for days. + </para> + <para> + If there is no unit given, <emphasis>s</emphasis> is assumed. + </para> + <para> + NOTE: It is not possible to mix units. To set the renewable lifetime to one +and a half hours, use '90m' instead of '1h30m'. + </para> + <para> + Por defecto: no fijado, esto es el TGT no es renovable + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (cadena)</term> + <listitem> + <para> + Request ticket with a lifetime, given as an integer immediately followed by +a time unit: + </para> + <para> + <emphasis>s</emphasis> for seconds + </para> + <para> + <emphasis>m</emphasis> for minutes + </para> + <para> + <emphasis>h</emphasis> for hours + </para> + <para> + <emphasis>d</emphasis> for days. + </para> + <para> + If there is no unit given <emphasis>s</emphasis> is assumed. + </para> + <para> + NOTE: It is not possible to mix units. To set the lifetime to one and a +half hours please use '90m' instead of '1h30m'. + </para> + <para> + Por defecto: no fijado, esto es el tiempo de vida de la entrada por defecto +configurado en el KDC. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (string)</term> + <listitem> + <para> + The time in seconds between two checks if the TGT should be renewed. TGTs +are renewed if about half of their lifetime is exceeded, given as an integer +immediately followed by a time unit: + </para> + <para> + <emphasis>s</emphasis> for seconds + </para> + <para> + <emphasis>m</emphasis> for minutes + </para> + <para> + <emphasis>h</emphasis> for hours + </para> + <para> + <emphasis>d</emphasis> for days. + </para> + <para> + If there is no unit given, <emphasis>s</emphasis> is assumed. + </para> + <para> + NOTE: It is not possible to mix units. To set the renewable lifetime to one +and a half hours, use '90m' instead of '1h30m'. + </para> + <para> + If this option is not set or is 0 the automatic renewal is disabled. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (boolean)</term> + <listitem> + <para> + Specifies if the host and user principal should be canonicalized. This +feature is available with MIT Kerberos 1.7 and later versions. + </para> + + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/es/include/ldap_id_mapping.xml b/src/man/es/include/ldap_id_mapping.xml new file mode 100644 index 0000000..4809189 --- /dev/null +++ b/src/man/es/include/ldap_id_mapping.xml @@ -0,0 +1,289 @@ +<refsect1 id='idmap'> + <title>ASIGNACIÓN DE ID</title> + <para> + La función asignación de ID permite a SSSD actuar como un cliente de Active +Directory sin requerir de administradores para extender los atributos de +usuario para soportar atributos POSIX para los identificadores de usuario y +grupo. + </para> + <para> + NOTA: Cuando asignación de ID está habilitado, los atributos uidNumber y +gidNumber son ignorados. Esto es para evitar la posibilidad de conflictos +entre los valores automáticamente asignados y los asignados manualmente. Si +usted necesita usar los valore asignados manualmente, TODOS los valores +deben ser asignados manualmente. + </para> + <para> + Please note that changing the ID mapping related configuration options will +cause user and group IDs to change. At the moment, SSSD does not support +changing IDs, so the SSSD database must be removed. Because cached passwords +are also stored in the database, removing the database should only be +performed while the authentication servers are reachable, otherwise users +might get locked out. In order to cache the password, an authentication must +be performed. It is not sufficient to use <citerefentry> +<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry> to remove the database, rather the process consists of: + <itemizedlist> + <listitem> + <para> + Making sure the remote servers are reachable + </para> + </listitem> + <listitem> + <para> + Stopping the SSSD service + </para> + </listitem> + <listitem> + <para> + Removing the database + </para> + </listitem> + <listitem> + <para> + Starting the SSSD service + </para> + </listitem> + </itemizedlist> + Moreover, as the change of IDs might necessitate the adjustment of other +system properties such as file and directory ownership, it's advisable to +plan ahead and test the ID mapping configuration thoroughly. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Algoritmo de asignación</title> + <para> + Active Directory suministra un objectSID para cada objeto usuario y grupo en +el directorio. El objectSID puede ser dividido en componente que representan +la identidad del dominio Active Directory y le identificador relativo (RID) +del objeto usuario y grupo. + </para> + <para> + El algoritmo de asignación de ID de SSSD tiene un rango de UIDs disponibles +y lo divide en secciones componente de igual tamaño – llamadas “rebanadas” +-. Cada rebanada representa el espacio disponible para un dominio Active +Directory. + </para> + <para> + Cuando se encuentra por primera vez una entrada de usuario o grupo para un +dominio concreto, SSSD asigna una de las rebanadas disponibles para ese +dominio. Con el objetivo de hacer esta asignación de rebanadas repetible +sobre diferentes máquinas clientes, seleccionamos la rebanada en base al +siguiente algoritmo: + </para> + <para> + La cadena SID pasada a través del algoritmo murmurhash3 para convertirlo en +un valor picado de 32 bit. Después tomamos los módulos de este valor con el +número total de rebanadas disponibles para recoger la rebanada. + </para> + <para> + NOTA: Es posible encontrar colisiones en el picadillo y los módulos +subsiguientes. En estas situaciones, seleccionaremos la siguiente rebanada +disponible, pero puede no ser posible reproducir los mismos conjuntos +exactos de rebanadas sobre otras máquinas (puesto que el orden en que se +encuentren desterminará sus rebanadas). En esta situación, se recomienda o +bien conmutar para usar los atributos explícitos POSIX en Active Directory +(deshabilitando la asignación de ID) o configurar un dominio por defecto +para garantizar que al menos uno sea siempre consistente. Vea +<quote>Configuración</quote> para detalles. + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Configuración</title> + <para> + Configuración mínima (en la sección <quote>[domain/DOMAINNAME]</quote>): + </para> + <para> +<programlisting> +ldap_id_mapping = True ldap_schema = ad +</programlisting> + </para> + <para> + The default configuration results in configuring 10,000 slices, each capable +of holding up to 200,000 IDs, starting from 200,000 and going up to +2,000,200,000. This should be sufficient for most deployments. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Configuración Avanzada</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (entero)</term> + <listitem> + <para> + Specifies the lower (inclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +can be used for the mapping. + </para> + <para> + NOTA: Esta opción es diferente de <quote>min_id</quote> en esta +<quote>min_id</quote> actúa para filtrar la salida de las peticiones a este +dominio, mientras esta opción controla el rango de la asignación de ID. Esto +es una sutil diferencia, pero el buen consejo general sería que +<quote>min_id</quote> fuera menor o igual que +<quote>ldap_idmap_range_min</quote> + </para> + <para> + Por defecto: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (entero)</term> + <listitem> + <para> + Specifies the upper (exclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +cannot be used for the mapping anymore, i.e. one larger than the last one +which can be used for the mapping. + </para> + <para> + NOTA: Esta opción es diferente de <quote>max_id</quote> en esta +<quote>max_id</quote> actúa para filtrar la salida de las peticiones a este +dominio, mientras esta opción controla el rango de la asignación de ID. Esto +es una sutil diferencia, pero el buen consejo general sería que +<quote>max_id</quote> fuera menor o igual que +<quote>ldap_idmap_range_max</quote> + </para> + <para> + Por defecto: 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (entero)</term> + <listitem> + <para> + Especifica el número de IDs disponibles para cada rebanada. Si el rango no +se divide de forma igual entre los valores mínimo y máximo, creará tantas +rebanadas completas como sea posible. + </para> + <para> + NOTE: The value of this option must be at least as large as the highest user +RID planned for use on the Active Directory server. User lookups and login +will fail for any user whose RID is greater than this value. + </para> + <para> + For example, if your most recently-added Active Directory user has +objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +<quote>ldap_idmap_range_size</quote> must be at least 1108 as range size is +equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1). + </para> + <para> + It is important to plan ahead for future expansion, as changing this value +will result in changing all of the ID mappings on the system, leading to +users with different local IDs than they previously had. + </para> + <para> + Por defecto: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (cadena)</term> + <listitem> + <para> + Especifica el SID de dominio del dominio por defecto. Esto garantizará que +este dominio será asignado siempre a la rebanada cero en el mapa de ID, +sobrepasando el algoritmo murmurhash descrito arriba. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (cadena)</term> + <listitem> + <para> + Especifica el nombre del dominio por defecto. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (booleano)</term> + <listitem> + <para> + Cambia el comportamiento del algoritmo de asignación de id para que se +comporte de un modo más similar al algoritmo <quote>idmap_autorid</quote> de +winbind. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + NOTA: Este algoritmo no es determinista (depende del orden en que usuario y +grupos son pedidos). Si se requiere este modo para compatibilidad con +máquinas que ejecutan winbind, se recomienda que también use la opción +<quote>ldap_idmap_default_domain_sid</quote> para garantizar que al menos un +dominio está asignado consistentemente a la rebanada cero. + </para> + <para> + Por defecto: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (integer)</term> + <listitem> + <para> + Maximal number of secondary slices that is tried when performing mapping +from UNIX id to SID. + </para> + <para> + Note: Additional secondary slices might be generated when SID is being +mapped to UNIX id and RID part of SID is out of range for secondary slices +generated so far. If value of ldap_idmap_helper_table_size is equal to 0 +then no additional secondary slices are generated. + </para> + <para> + Predeterminado: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>Well-Known SIDs</title> + <para> + SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a +special hardcoded meaning. Since the generic users and groups related to +those Well-Known SIDs have no equivalent in a Linux/UNIX environment no +POSIX IDs are available for those objects. + </para> + <para> + The SID name space is organized in authorities which can be seen as +different domains. The authorities for the Well-Known SIDs are + <itemizedlist> + <listitem><para>Null Authority</para></listitem> + <listitem><para>World Authority</para></listitem> + <listitem><para>Local Authority</para></listitem> + <listitem><para>Creator Authority</para></listitem> + <listitem><para>Mandatory Label Authority</para></listitem> + <listitem><para>Authentication Authority</para></listitem> + <listitem><para>NT Authority</para></listitem> + <listitem><para>Built-in</para></listitem> + </itemizedlist> + The capitalized version of these names are used as domain names when +returning the fully qualified name of a Well-Known SID. + </para> + <para> + Since some utilities allow to modify SID based access control information +with the help of a name instead of using the SID directly SSSD supports to +look up the SID by the name as well. To avoid collisions only the fully +qualified names can be used to look up Well-Known SIDs. As a result the +domain names <quote>NULL AUTHORITY</quote>, <quote>WORLD AUTHORITY</quote>, +<quote>LOCAL AUTHORITY</quote>, <quote>CREATOR AUTHORITY</quote>, +<quote>MANDATORY LABEL AUTHORITY</quote>, <quote>AUTHENTICATION +AUTHORITY</quote>, <quote>NT AUTHORITY</quote> and <quote>BUILTIN</quote> +should not be used as domain names in <filename>sssd.conf</filename>. + </para> + </refsect2> + +</refsect1> diff --git a/src/man/es/include/ldap_search_bases.xml b/src/man/es/include/ldap_search_bases.xml new file mode 100644 index 0000000..95a6edd --- /dev/null +++ b/src/man/es/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ +<listitem> + <para> + Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas +LDAP de este tipo de atributo. + </para> + <para> + sintaxis: <programlisting> +search_base[?scope?[filter][?search_base?scope?[filter]]*] + +</programlisting> + </para> + <para> + The scope can be one of "base", "onelevel" or "subtree". The scope functions +as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 + </para> + <para> + El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de +<quote>ldap_search_base</quote> + </para> + <para> + Predeterminado: el valor de <emphasis>ldap_search_base</emphasis> + </para> + <para> + Por favor advierta que especificar el alcance o el filtro no está soportado +para búsquedas contra un Active Directory Server que puede ceder un gran +número de resultados y disparar la extensión Range Retrieval en la +respuesta. + </para> +</listitem> diff --git a/src/man/es/include/local.xml b/src/man/es/include/local.xml new file mode 100644 index 0000000..ebbfa64 --- /dev/null +++ b/src/man/es/include/local.xml @@ -0,0 +1,17 @@ +<refsect1 id='local'> + <title>EL DOMINIO LOCAL</title> + <para> + Con el objetivo de que funcione correctamente, se debe crear un dominio con +<quote>id_provider=local</quote> y el SSSD debe estar corriendo. + </para> + <para> + El administrador puede desear usar los usuarios locales SSSD en lugar de los +usuarios tradicionales UNIX en los casos donde los grupos anidados (vea +<citerefentry> <refentrytitle>sss_groupadd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>) sean necesarios. Los usuarios +locales son también útiles para la prueba y el desarrollo del SSSD sin tener +que desplegar un servidor remoto completo. Las herramientas +<command>sss_user*</command> y <command>sss_group*</command> usan un +almacenamiento LDB local para almacenar usuarios y grupos. + </para> +</refsect1> diff --git a/src/man/es/include/override_homedir.xml b/src/man/es/include/override_homedir.xml new file mode 100644 index 0000000..8c97767 --- /dev/null +++ b/src/man/es/include/override_homedir.xml @@ -0,0 +1,78 @@ +<varlistentry> +<term>override_homedir (cadena)</term> +<listitem> + <para> + Anula el directorio home del usuario. Usted puede suministras bien un valor +absoluto o una plantilla. En la plantilla, serán sustituidas las siguientes +secuencias: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>nombre de acceso</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>número UID</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>nombre de dominio</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>nombre totalmente cualificado del usuario (user@domain)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>The first letter of the login name.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN - User Principal Name (name@REALM)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + El directorio home original recuperado del proveedor de identidad. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + The original home directory retrieved from the identity provider, but in +lower case. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + The value of configure option <emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>un literal ‘%’</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Esta opción puede ser también fijada por dominio. + </para> + <para> + ejemplo: <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + Por defecto: No fijado (SSSD usará el valor recuperado desde LDAP) + </para> + <para> + Please note, the home directory from a specific override for the user, +either locally (see +<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) or centrally managed IPA +id-overrides, has a higher precedence and will be used instead of the value +given by override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/es/include/param_help.xml b/src/man/es/include/param_help.xml new file mode 100644 index 0000000..977be27 --- /dev/null +++ b/src/man/es/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + Muestra mensaje de ayuda y sale. + </para> + </listitem> +</varlistentry> diff --git a/src/man/es/include/param_help_py.xml b/src/man/es/include/param_help_py.xml new file mode 100644 index 0000000..5256f44 --- /dev/null +++ b/src/man/es/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + Muestra mensaje de ayuda y sale. + </para> + </listitem> +</varlistentry> diff --git a/src/man/es/include/seealso.xml b/src/man/es/include/seealso.xml new file mode 100644 index 0000000..a2e645a --- /dev/null +++ b/src/man/es/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>VEA TAMBIEN</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/es/include/service_discovery.xml b/src/man/es/include/service_discovery.xml new file mode 100644 index 0000000..0c9fb55 --- /dev/null +++ b/src/man/es/include/service_discovery.xml @@ -0,0 +1,44 @@ +<refsect1 id='service_discovery'> + <title>SERVICIO DE DESCUBRIMIENTO</title> + <para> + La función servicio descubridor permite a los puntos finales encontrar +automáticamente los servidores apropiados a conectar para usar una pregunta +especial al DNS. Esta función no está soportada por los servidores de +respaldo. + </para> + <refsect2 id='configuration'> + <title>Configuración</title> + <para> + Si no se especifican servidores, el punto final usar automáticamente el +servicio descubridor para intentar encontrar un servidor. Opcionalmente, el +usuario puede elegir utilizar tanto las direcciones de servidor fijadas como +el servicio descubridor para insertar una palabra clave especial, +<quote>_srv_</quote>, en la lista de servidores. El orden de preferencia se +mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el +servicio descubridor siempre que sea posible, el volver a un servidor +específico cuando no se pueden descubrir servidores usando DNS. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>El nombre de dominio</title> + <para> + Por favor vea el parámetro <quote>dns_discovery_domain</quote> en la página +de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> para más detalles. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>El protocolo</title> + <para> + Las consultas normalmente especifican _tcp como protocolo. Las excepciones +se documentan en la descripción de la opción respectiva. + </para> + </refsect2> + <refsect2 id='reference'> + <title>Vea también</title> + <para> + Para más información sobre el mecanismo del servicio descubridor, vea el RFC +2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/es/include/upstream.xml b/src/man/es/include/upstream.xml new file mode 100644 index 0000000..2a4ad16 --- /dev/null +++ b/src/man/es/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>The SSSD upstream - +https://github.com/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/es/sss-certmap.5.xml b/src/man/es/sss-certmap.5.xml new file mode 100644 index 0000000..54a255d --- /dev/null +++ b/src/man/es/sss-certmap.5.xml @@ -0,0 +1,756 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>Reglas de Correspondencia y Asignación de Certificados SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + La página de manual describe las reglas que pueden ser usadas por SSSD y +otros componentes para corresponder con los certificados X.509 y asignarlos +a cuentas. + </para> + <para> + Cada regla tiene cuatro componentes, una <quote>priority</quote>, una +<quote>matching rule</quote>, una <quote>mapping rule</quote> y una +<quote>domain list</quote>. Todos los componentes son opcionales. Si no hay +<quote>priority</quote> se añadirá la regla con el nivel de prioridad más +bajo. La <quote>matching rule</quote> predeterminada hará coincidir los +certificados con la clave de utilización digitalSignature y la clave de +utilización extendida clientAuth. Si <quote>mapping rule</quote> está vacía +los certificados serán buscados en el atributo userCertificate como DER +codificado en binario. Si no se dan dominios solo se buscará en el dominio +local. + </para> + <para> + To allow extensions or completely different style of rule the +<quote>mapping</quote> and <quote>matching rules</quote> can contain a +prefix separated with a ':' from the main part of the rule. The prefix may +only contain upper-case ASCII letters and numbers. If the prefix is omitted +the default type will be used which is 'KRB5' for the matching rules and +'LDAP' for the mapping rules. + </para> + <para> + The 'sssctl' utility provides the 'cert-eval-rule' command to check if a +given certificate matches a matching rules and how the output of a mapping +rule would look like. + </para> + </refsect1> + + <refsect1 id='components'> + <title>COMPONENTES DE LA REGLA</title> + <refsect2 id='priority'> + <title>PRIORIDAD</title> + <para> + Las reglas son procesados por prioridad sabiendo que el número '0' (cero) +indica la prioridad más alta. Más alto en número más baja la prioridad. Un +valor desaparecido indica la prioridad más baja. Las reglas de procesamiento +se para cuando una regla coincidente y no se comprueban más reglas. + </para> + <para> + Internamente la prioridad se trata como un entero no firmado de 32 bitr, la +utilización de in valor de prioridad superior a 4294967295 causará un error. + </para> + <para> + If multiple rules have the same priority and only one of the related +matching rules applies, this rule will be chosen. If there are multiple +rules with the same priority which matches, one is chosen but which one is +undefined. To avoid this undefined behavior either use different priorities +or make the matching rules more specific e.g. by using distinct +<ISSUER> patterns. + </para> + </refsect2> + <refsect2 id='match'> + <title>REGLA DE COINCIDENCIA</title> + <para> + La regla de coincidencia se usa para seleccionar un certificado al que sería +aplicado la regla de asignación. Usa un sistema similar al usado por la +opción <quote>pkinit_cert_match</quote> de MIT Kerberos. Consiste en una +clave encerrada entre '<' y '>' ue identifica una cierta parte del +certificado y un patrón para que la regla coincida. Se pueden unir varios +pares de palabras claves con '&&' (y) o '||' (o). + </para> + <para> + Given the similarity to MIT Kerberos the type prefix for this rule is +'KRB5'. But 'KRB5' will also be the default for <quote>matching +rules</quote> so that "<SUBJECT>.*,DC=MY,DC=DOMAIN" and +"KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN" are equivalent. + </para> + <para> + Las opciones disponibles son: <variablelist> + <varlistentry> + <term><SUBJECT>regular-expression</term> + <listitem> + <para> + Con esto una parte o todo el nombre de sujeto del certificado pueden +coincidir. Para la coincidencia se usa la sintaxis Expresión Regular +Extendida POSIX, vea detalles en regex(7). + </para> + <para> + Para coincidir el nombre sujeto almacenado en el certificado en codificación +DER ASN.1 se convierte en una cadena de acuerdo a RFC 4514. Esto significa +que el componente de nombre más específico es el primero. Por favor advierta +que no todos los posibles nombres de atributo están cubiertos por RFC +4514. Los nombres incluidos son 'CN', 'L', 'ST', 'O', 'OU', 'C', 'STREET', +'DC' y 'UID'. Otros nombres de atributo pueden ser mostrados de forma +diferente sobre plataformas distintas y por herramientas diferentes. Para +evitar la confusión es mejor que no se usen estos nombres de atributos o se +cubran por una expresión regular a medida. + </para> + <para> + Ejemplo: <SUBJECT>.*,DC=MY,DC=DOMAIN + </para> + <para> + Please note that the characters "^.[$()|*+?{\" have a special meaning in +regular expressions and must be escaped with the help of the '\' character +so that they are matched as ordinary characters. + </para> + <para> + Example: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>regular-expression</term> + <listitem> + <para> + Con esto, se puede hacer coincidir una parte o el nombre completo del emisor +del certificado. Todos los comentarios para <SUBJECT> se le aplican +también. + </para> + <para> + Ejemplo: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>key-usage</term> + <listitem> + <para> + Esta opción se puede usar para especificar que valores de uso clave debe +tener el certificado. Se pueden usar los siguientes valores en una lista +separados por comas: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Un valor numérico en el rango de un entero sin signo de 32 bit se puede usar +también para cubrir casos de uso especiales. + </para> + <para> + Ejemplo: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>extended-key-usage</term> + <listitem> + <para> + Esta opción se puede usar para especificar que uso de clave extendida puede +tener el certificado. El siguiente valor se puede usar en una lista separada +por comas: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + La utilización de claves extendidas que no están listadas arriba pueden ser +especificadas con sus OID en anotación decimal con puntos. + </para> + <para> + Ejemplo: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>regular-expression</term> + <listitem> + <para> + Para ser compatible con la utilización de MIT Kerberos esta opción +coincidirá con los principios de Kerberos en PKINIT o AD NT Principal SAN +como hace <SAN:Principal>. + </para> + <para> + Ejemplo: <SAN>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>regular-expression</term> + <listitem> + <para> + Haga coincidir los principios principales de Kerberos en la SAN principal de +PKINIT o AD NT. + </para> + <para> + Example: <SAN:Principal>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>regular-expression</term> + <listitem> + <para> + Haga coincidir los principales de Kerberos de la SAN principal de AD NT. + </para> + <para> + Example: <SAN:ntPrincipalName>.*@MY.AD.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>regular-expression</term> + <listitem> + <para> + Haga coincidir los principales de Kerberos con los PKINIT SAN. + </para> + <para> + Example: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>regular-expression</term> + <listitem> + <para> + Toma el valor del componente SAN otherName dado por el de OID en anotación +decimal con puntos, lo interpreta como una cadena e intenta hacerlo +coincidir con la expresión regular. + </para> + <para> + Example: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-string</term> + <listitem> + <para> + Haga una coincidencia binaria con el blob codificado en base64 con todos los +demás componentes SAN otheName. Con esta opción es posible la coincidencia +con los componentes otherName personales con codificación especial que +podrían no ser tratados como cadenas. + </para> + <para> + Example: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del rfc822Name SAN. + </para> + <para> + Example: <SAN:rfc822Name>.*@email\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del dNSName SAN. + </para> + <para> + Example: <SAN:dNSName>.*\.my\.dns\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>base64-string</term> + <listitem> + <para> + Binario coincide con el valor del x400Address SAN. + </para> + <para> + Example: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del directoryName SAN. Los mismos comentarios dados +para <ISSUER> and <SUBJECT> se aplican aquí también. + </para> + <para> + Example: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>base64-string</term> + <listitem> + <para> + Hacer coincidir binario el valor del ediPartyName SAN. + </para> + <para> + Ejemplo: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>regular-expression</term> + <listitem> + <para> + Hacer coincidir el valor del uniformResourceIdentifier SAN. + </para> + <para> + Ejemplo: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del iPAddress SAN. + </para> + <para> + Ejemplo: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor de registeredID SAN como cadena decimal con puntos. + </para> + <para> + Ejemplo: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>REGLA DE MAPEO</title> + <para> + La regla de mapeo se usa para asociar un certificado con una o mas +cuentas. Una Smartcard con el certificado y la clave privada correspondiente +puede ser usada entonces para autenticar una de estas cuentas. + </para> + <para> + Actualmente SSSD básicamente solo soporta LDAP para buscar información de +usuario (la excepción es el proveedor proxy que no tiene relevancia +aqui). Por esto la regla de mapeo se basa en una búsqueda por filtro de +sintaxis LDAP con plantillas para añadir el contenido del certificado al +filtro. Se espra que ese filtro solo contendrá los datos específicos para el +mapeo y que la persona que llama lo incrustará en otro filtro para hacer la +búsqueda real. Debido a esto la cadena de filtro de empezar y terminar con +'('and')' respectivamente. + </para> + <para> + En general se recomienda usar atributos del certificado y añadirlos a +atributos especiales al objeto usuario LDAP. E.g. el atributo +'altSecurityIdentities' en AD o el atributo 'ipaCertMapData' para IPA se +pueden usar. + </para> + <para> + Debería preferible leer datos específicos del usuario del certificado, +e.g. una dirección de correo electrónico y buscarla en el servidor LDAP. La +razón es que los datos específicos del usuario en el LDAP podrían cambiar +por diversas razones y romper el mapeo. Por otro lado, sería difícil romper +el mapeo a propósito para un usuario específico. + </para> + <para> + The default <quote>mapping rule</quote> type is 'LDAP' which can be added as +a prefix to a rule like e.g. +'LDAP:(userCertificate;binary={cert!bin})'. There is an extension called +'LDAPU1' which offer more templates for more flexibility. To allow older +versions of this library to ignore the extension the prefix 'LDAPU1' must be +used when using the new templates in a <quote>mapping rule</quote> otherwise +the old version of this library will fail with a parsing error. The new +templates are described in section <xref linkend="map_ldapu1"/>. + </para> + <para> + La plantilla para añadir datos de certificado al filtro de búsqueda están +basados sobre cadenas formateadas en estilo Python. Consiste en una palabra +clave entre llaves con un subcomponente especificador opcional separado por +un '.' o una opción opcional de conversión/formateo separada por un '!'. Los +valores permitidos son: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla agregará el DN del emisor completo convertido en una +plantilla de acuerdo con el RFC 4514. Si se ordena X.500 (más especifico RDN +viene el último) se debería usar un opción con el prefijo '_x500'. + </para> + <para> + Las opciones de conversión que empiezan con 'ad_' usarán nombres de +atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. + </para> + <para> + Las opciones de conversión que empiezan por 'nss_' usarán nombres de +atributos como los usados por NSS. + </para> + <para> + La opción de conversión predeterminada es 'nss', i.e. los nombres de +atributo de acuerdo con la ordenación NSS y LDAP/RFC 4514. + </para> + <para> + Ejemplo: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla añadirá el sujeto completo DN convertido en una cadena de +acuerdo a RFC 4514. Si la ordenación X.500 (más específico RDN viene el +último) se usaría una opción con el prefijo '_x500'. + </para> + <para> + Las opciones de conversión que empiezan con 'ad_' usarán nombres de +atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. + </para> + <para> + Las opciones de conversión que empiezan por 'nss_' usarán nombres de +atributos como los usados por NSS. + </para> + <para> + La opción de conversión predeterminada es 'nss', i.e. los nombres de +atributo de acuerdo con la ordenación NSS y LDAP/RFC 4514. + </para> + <para> + Ejemplo: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Esta plantilla añadirá el certificado completo codificado DER como una +cadena al filtro de búsqueda. Dependiendo de la opción de conversión el +certificado binario se convierte en una secuencia hexadecimal escapada '\xx' +o base64. La secuencia hexadecimal escapada es la predeterminada y puede, +por ejemplo, ser usada con el atributo LDAP 'userCertificate;binary'. + </para> + <para> + Ejemplo: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos bien desde el SAN usado por +pkinit o del usado por AD. El componente 'short_name' representa la primera +parte del principal antes del signo '@'. + </para> + <para> + Ejemplo: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado +por pkinit. El componente 'short_name' representa la primera parte del +principal antes del signo '@'. + </para> + <para> + Ejemplo: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado +por AD. El componente 'short_name' represebta la primera parte del principal +antes del signo '@'. + </para> + <para> + Example: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +rfc822Name del SAN, normalmente una dirección de correo electrónico. El +componente 'short_name' representa la primera parte de la dirección antes +del signo '@'. + </para> + <para> + Ejemplo: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +dNSName del SAN, normalmente un nombre de host totalmente cualificado. El +componente 'short_name' representa la primera parte del nombre antes del +primer signo '.'. + </para> + <para> + Ejemplo: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +uniformResourceIdentifier del SAN. + </para> + <para> + Ejemplo: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +iPAddress del SAN. + </para> + <para> + Ejemplo: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Esta plantilla añadirá el valor que está almacenado en el componente +x400Address del SAN como secuencia hexadecimal escapada. + </para> + <para> + Ejemplo: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena DN del valor que está almacenado en el +componente directoryName del SAN. + </para> + <para> + Ejemplo: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Esta plantilla añadirá el valor que está almacenado en el componente +ediPartyName del SAN como secuencia hexadecimal escapada. + </para> + <para> + Ejemplo: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Esta plantilla añadirá la OID que está almacenada en el componente +registeredID del SAN como una cadena decimal con puntos.. + </para> + <para> + Ejemplo: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>LDAPU1 extension</title> + <para> + The following template are available when using the 'LDAPU1' extension: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + This template will add the serial number of the certificate. By default it +will be printed as a hexadecimal number with lower-case letters. + </para> + <para> + With the formatting option '!dec' the number will be printed as decimal +string. The hexadecimal output can be printed with upper-case letters +('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with +the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can +be combined so that e.g. '!hex_uc' will produce a colon-separated +hexadecimal string with upper-case letters. + </para> + <para> + Example: LDAPU1:(serial={serial_number}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + This template will add the subject key id of the certificate. By default it +will be printed as a hexadecimal number with lower-case letters. + </para> + <para> + The hexadecimal output can be printed with upper-case letters ('!hex_u'), +with a colon separating the hexadecimal bytes ('!hex_c') or with the +hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be +combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal +string with upper-case letters. + </para> + <para> + Example: LDAPU1:(ski={subject_key_id}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!DIGEST[_ucr]]}</term> + <listitem> + <para> + This template will add the hexadecimal digest/hash of the certificate where +DIGEST must be replaced with the name of a digest/hash function supported by +OpenSSL, e.g. 'sha512'. + </para> + <para> + The hexadecimal output can be printed with upper-case letters ('!sha512_u'), +with a colon separating the hexadecimal bytes ('!sha512_c') or with the +hexadecimal bytes in reverse order ('!sha512_r'). The postfix letters can be +combined so that e.g. '!sha512_uc' will produce a colon-separated +hexadecimal string with upper-case letters. + </para> + <para> + Example: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + This template will add an attribute value of a component of the subject DN, +by default the value of the most specific component. + </para> + <para> + A different component can it either selected by attribute name, +e.g. {subject_dn_component.uid} or by position, +e.g. {subject_dn_component.[2]} where positive numbers start counting from +the most specific component and negative numbers start counting from the +least specific component. Attribute name and the position can be combined as +e.g. {subject_dn_component.uid[2]} which means that the name of the second +component must be 'uid'. + </para> + <para> + Example: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + This template will add an attribute value of a component of the issuer DN, +by default the value of the most specific component. + </para> + <para> + See 'subject_dn_component' for details about the attribute name and position +specifiers. + </para> + <para> + Example: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + This template will add the SID if the corresponding extension introduced by +Microsoft with the OID 1.3.6.1.4.1.311.25.2 is available. With the '.rid' +selector only the last component, i.e. the RID, will be added. + </para> + <para> + Example: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>LISTA DE DOMINIO</title> + <para> + Si la lista de dominio no está vacía los usuarios mapeados a un certificado +dado no serán buscados solo en el dominio local sino también en los dominios +listados siempre que sean conocidos por SSSD. Los dominios no conocidos por +SSSD serán ignorados. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> diff --git a/src/man/es/sss_obfuscate.8.xml b/src/man/es/sss_obfuscate.8.xml new file mode 100644 index 0000000..db8acdf --- /dev/null +++ b/src/man/es/sss_obfuscate.8.xml @@ -0,0 +1,97 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>oscurecer un password en texto claro</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>[CONTRASEÑA]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + <command>sss_obfuscate</command> convierte una contraseña dada en un formato +no legible y la sitúa en la sección apropiada del dominio del fichero de +configuración SSSD. + </para> + <para> + La contraseña en texto claro es leída desde la entrada estándar e +introducida interactivamente. La contraseña ofuscada se pone en el parámetro +<quote>ldap_default_authtok</quote> de un dominio SSSD dado y el parámetro +<quote>ldap_default_authtok_type</quote> se fija a +<quote>obfuscated_password</quote>. Vea <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> para más detalles sobre estos parámetros. + </para> + <para> + Por favor advierta que oscurecer la contraseña <emphasis>no suministra un +beneficio real de seguridad</emphasis> y es posible para un atacante +mediante ingeniería inversa volver atrás la contraseña. Se recomienda +<emphasis>firmemente</emphasis> el uso de mejores mecanismos de +autenticación como certificados en el lado cliente o GSSAPI. + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPCIONES</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + La contraseña a oscurecer será leída desde la entrada estándar. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMINIO</replaceable> + </term> + <listitem> + <para> + El dominio SSSD en el que usar la contraseña. El nombre por defecto es +<quote>default</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> +<replaceable>ARCHIVO</replaceable> + </term> + <listitem> + <para> + Lee el fichero de configuración especificado por el parámetro posicional. + </para> + <para> + Predeterminado: <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sss_seed.8.xml b/src/man/es/sss_seed.8.xml new file mode 100644 index 0000000..76c4e67 --- /dev/null +++ b/src/man/es/sss_seed.8.xml @@ -0,0 +1,165 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>alimenta el cache SSSD con un usuario</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg choice='plain'>-D +<replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n +<replaceable>USER</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + <command>sss_seed</command> alimenta el cache SSSD con una entrada de +usuario y una contresañe temporal. Si una entrada de usuario está ya +presente en el cache SSSD la entrada se actualiza con la contraseña temporal + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPCIONES</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Suministra el nombre del dominio del que el usuario es miembro. El dominio +también se usa para recuperar información del usuario. El dominio debe estar +configurado en sssd.conf. La opción <replaceable>DOMAIN</replaceable> debe +ser suministrada. La información recuperada del dominio anula la que se ha +suministrado en las opciones. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>USER</replaceable> + </term> + <listitem> + <para> + El nombre de usuario de la entrada a ser creado o modificado en el cache. Se +debe suministrar la opción <replaceable>USER</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable> + </term> + <listitem> + <para> + Fija la UID del usuario a <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + Fija la GID del usuario a <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>COMENTARIO</replaceable> + </term> + <listitem> + <para> + Cualquier cadena de texto describiendo al usuario. Frecuentemente se usa +como el campo para el nombre completo del usuario. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>HOME_DIR</replaceable> + </term> + <listitem> + <para> + Fija el directorio home del usuario a <replaceable>HOME_DIR</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> +<replaceable>SHELL</replaceable> + </term> + <listitem> + <para> + Fija la shell de acceso del usuario a <replaceable>SHELL</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Modo interactivo de introducir información del usuario. Esta opción sólo +preguntará por la información no suministrada en las opciones o recuperada +del dominio. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>PASS_FILE</replaceable> + </term> + <listitem> + <para> + Especifica el fichero desde donde leer la contraseña del usuario (si no se +especifica se pregunta por la contraseña) + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>NOTAS</title> + <para> + La longitud de la contraseña (o el tamaño especificado con la opción -p or +--password-file) debe ser menos o igual a PASS_MAX bytes ( 64 bytes en +sistemas sin valor PASS_MAX globalmente definido). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sssd-ipa.5.xml b/src/man/es/sssd-ipa.5.xml new file mode 100644 index 0000000..e9dcc80 --- /dev/null +++ b/src/man/es/sssd-ipa.5.xml @@ -0,0 +1,878 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ipa</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ipa</refname> + <refpurpose>Proveedor SSSD IPA</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + Este página de manual describe la configuración del proveedor IPA para +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Para una referencia de sintaxis detalladas, vea la sección +<quote>FILE FORMAT</quote> de la página de manual <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea +el sitio web freeipa.org para información sobre los servidores IPA). Este +proveedor requiere que la máquina este unido al dominio IPA; la +configuración es casi enteramente auto descubierta y obtenida directamente +del servidor. + </para> + <para> + El proveedor IPA habilita a SSSD para usar el proveedor de identidad +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> y el proveedor de autenticación +<citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> con optimizaciones para entornos +IPA. El proveedor IPA acepta las mismas opciones que las usadas por los +proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no +es necesario ni recomendable establecer estas opciones. + </para> + <para> + El proveedor IPA copia primariamente las opciones por defecto tradicionales +de los proveedores ldap y krb5 con algunas excepciones, las diferencias +están listadas en la sección <quote>OPCIONES PREDETERMINADAS +MODIFICADAS</quote>. + </para> + <para> + As an access provider, the IPA provider has a minimal configuration (see +<quote>ipa_access_order</quote>) as it mainly uses HBAC (host-based access +control) rules. Please refer to freeipa.org for more information about HBAC. + </para> + <para> + Si <quote>auth_provider=ipa</quote> o <quote>access_provider=ipa</quote> +está configurado en sssd.conf id_provider se debe establecer también a +<quote>ipa</quote>. + </para> + <para> + El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los +usuario de reinos confiables contienen un PAC. Para hacer la configuración +más fácil el respondedor PAC es iniciado automáticamente si la ID del +proveedor IPA está configurada. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>OPCIONES DE CONFIGURACIÓN</title> + <para>Vea la sección <quote>DOMAIN SECTIONS</quote> de la página de manual +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> para detalles sobre la +configuración de un dominio SSSD. <variablelist> + <varlistentry> + <term>ipa_domain (cadena)</term> + <listitem> + <para> + Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra, +se usa el nombre de configuración del dominio. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server, ipa_backup_server (cadena)</term> + <listitem> + <para> + La lista separada por comas de direcciones IP o nombres de host de los +servidores IPA a los que SSSD se conectaría en orden de preferencia. Para +más información sobre conmutación en error y redundancia de servidores, vea +la sección <quote>FAILOVER</quote>. Esto es opcional si autodiscovery está +habilitado. Para más información sobre el servicio descubridor, vea la +sección <quote>SERVICE DISCOVERY</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hostname (cadena)</term> + <listitem> + <para> + Opcional. Se puede establecer sobre máquinas donde el hostname(5) no refleje +el nombre totalmente cualificado usado en el dominio IPA para identificar +este host. El nombre de host debe ser totalmente cualificado. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (booleano)</term> + <listitem> + <para> + Opcional. Esta opción le dice a SSSD que actualice automáticamente el +servidor DNS incorporado a FreeIPA con la dirección IP de este cliente. La +actualización está asegurada utilizando GSS-TSIG. La dirección IP de la +conexión IPA LDAP se usa para las actualizaciones, si no se especifica de +otra manera utilizando la opción <quote>dyndns_iface</quote>. + </para> + <para> + NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este +comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser +fijado apropiadamente en /etc/krb5.conf + </para> + <para> + AVISO: Aunque todas es posible usar la vieja opción +<emphasis>ipa_dyndns_update</emphasis>, los usuarios deberían migrar para +usar <emphasis>dyndns_update</emphasis> en su fichero de configuración. + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (entero)</term> + <listitem> + <para> + El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si +dyndns_update está a false esto no tiene efecto. Esto anula el TTL del lado +servidor si se establece por un administrador. + </para> + <para> + AVISO: Aunque todavía es posible usar la antigua opción +<emphasis>ipa_dyndns_ttl</emphasis>, los usuarios deberían migrar usando +<emphasis>dyndns_ttl</emphasis> en su fichero de configuración. + </para> + <para> + Por defecto: 1200 (segundos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (cadena)</term> + <listitem> + <para> + Opcional. Aplicable solo cuando dyndns_update está a true. Elija la interfaz +o la lista de interfaces cuyas direcciones IP serían usadas para las +actualizaciones DNS dinámicas. El valor especial <quote>*</quote> implica +que las IPs de todas las interfaces serían las usadas. + </para> + <para> + AVISO: Aunque todavía es posible usar la vieja opción +<emphasis>ipa_dyndns_iface</emphasis>, los usuarios deberían migrar usando +<emphasis>dyndns_iface</emphasis> en su fichero de configuración. + </para> + <para> + Predeterminado: Usa las direcciones IP de la interfaz que es usada para la +conexión IPA LDAP + </para> + <para> + Ejemplo: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (cadena)</term> + <listitem> + <para> + Si la utilidad nsupdate debe usar la autenticación GSS-TSIG para +actualizaciones seguras con el servidor DNS, las actualizaciones inseguras +se pueden enviar fijando esta opción a 'none'. + </para> + <para> + Predeterminado: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (string)</term> + <listitem> + <para> + Whether the nsupdate utility should use GSS-TSIG authentication for secure +PTR updates with the DNS server, insecure updates can be sent by setting +this option to 'none'. + </para> + <para> + Default: Same as dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_enable_dns_sites (booleano)</term> + <listitem> + <para> + Habilita sitios DNS - descubrimiento de servicio basado en la ubicación. + </para> + <para> + Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del +Servicio en la parte inferior de la página de manual) está habilitado, SSSD +primero intentará la localización basada en el descubrimiento usando una +consulta que contenga "_location.hostname.example.com" y después irá al +descubrimiento tradicional SRV. Si la localización basada en el +descubrimiento tiene éxito, los servidores IPA localizados con la +localización basada en el descubrimiento son tratados como servidores +primarios y los servidores IPA localizados usando el descubrimiento +tradicional SRV son usados como servidores de respaldo + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (entero)</term> + <listitem> + <para> + Con qué frecuencia el back-end debe realizar una actualización periódica de +DNS además de la actualización automática que se realiza cuando el back-end +se conecta. Esto es una posibilidad opcional y aplicable solo cuando +dyndns_update está a true. + </para> + <para> + Predeterminado: 0 (deshabilitado) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (booleano)</term> + <listitem> + <para> + Si el registro PTR debería ser explícitamente actualizado cuando se +actualizan los registros DNS del cliente. Aplicable solo cuando +dyndns_update está a true. + </para> + <para> + Esta opción debería estar a False en la mayoría de los despliegues IPA +puesto que el servidor IPA genera los registros PTR automáticamente cuando +se cambian los registros que envía. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + Predeterminado: False (deshabilitado) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (booleano)</term> + <listitem> + <para> + Si la utilidad nsupdate debería usar de manera predeterminada TCP cuando se +comunica con el servidor DNS. + </para> + <para> + Predeterminado: False (permitir a nsupdate elegir el protocolol) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (cadena)</term> + <listitem> + <para> + El servidor DNA a usar cuando se lleva a cabo una actualización DNS +update. En la mayoría de las configuraciones se recomienda dejar esta opción +sin establecer. + </para> + <para> + El establecimiento de esta opción tiene sentido en entornos donde el +servidor DNS es distinto del servidor de identidad. + </para> + <para> + Tenga en cuenta que esta opción solo se usará en un intento de recuperación +cuando el intento anterior de usar la configuración autodetectada falló. + </para> + <para> + Predeterminado: None (permitir a nsupdate elegir el servidor) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (booleano)</term> + <listitem> + <para> + La actualización DNS es llevada a cabo de manera predeterminada en dos pasos +- actualización IPv4 y después actualización IPv6. En algunos casos puede +ser deseable llevar a cabo la actualización IPv4 e IPv6 en un único paso. + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_access_order (string)</term> + <listitem> + <para> + Lista separada por coma de opciones de control de acceso. Los valores +permitidos son: + </para> + <para> + <emphasis>expire</emphasis>: use IPA's account expiration policy. + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Estas opciones son útiles si los +usuarios están interesados en que se les avise de que la contraseña está +próxima a expirar y la autenticación está basada en la utilización de un +método distinto a las contraseñas - por ejemplo claves SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Please note that 'access_provider = ipa' must be set for this feature to +work. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_search_base (cadena)</term> + <listitem> + <para> + Opcional. Usa la cadena dada como base de búsqueda de los objetos +relacionados con Desktop Profile. + </para> + <para> + Predeterminado: Utilizar DN base + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_subid"> + <term>ipa_subid_ranges_search_base (string)</term> + <listitem> + <para> + Optional. Use the given string as search base for subordinate ranges related +objects. + </para> + <para> + Default: the value of <emphasis>cn=subids,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_search_base (cadena)</term> + <listitem> + <para> + Opcional. Usa la cadena dada como base de búsqueda para los objetos HBAC +relacionados. + </para> + <para> + Predeterminado: Utilizar DN base + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_host_search_base (cadena)</term> + <listitem> + <para> + Obsoleto. Usa en su lugar ldap_host_search_base. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_selinux_search_base (cadena)Opcional. </term> + <listitem> + <para> + Opcional. Usa la cadena dada como base de búsqueda para los mapas de usuario +SELinux. + </para> + <para> + Vea <quote>ldap_search_base</quote> para información sobre la configuración +de múltiples bases de búsqueda. + </para> + <para> + Predeterminado: el valor de <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_subdomains_search_base (cadena)</term> + <listitem> + <para> + Opcional: Usa la cadena dada como base de búsqueda de dominios de confianza. + </para> + <para> + Vea <quote>ldap_search_base</quote> para información sobre la configuración +de múltiples bases de búsqueda. + </para> + <para> + Por defecto: el valor de <emphasis>cn=trusts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_master_domain_search_base (cadena)</term> + <listitem> + <para> + Opcional: Usa la cadena dada como base de búsqueda para el objeto maestro de +dominio. + </para> + <para> + Vea <quote>ldap_search_base</quote> para información sobre la configuración +de múltiples bases de búsqueda. + </para> + <para> + Por defecto: el valor de <emphasis>cn=ad,cn=etc,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_views_search_base (cadena)</term> + <listitem> + <para> + Opcional. Usa la cadena dada como base de búsqueda de contenedores de vista. + </para> + <para> + Vea <quote>ldap_search_base</quote> para información sobre la configuración +de múltiples bases de búsqueda. + </para> + <para> + Predeterminado: el valor de +<emphasis>cn=views,cn=accounts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (cadena)</term> + <listitem> + <para> + El nombre del reino Kerberos. Esto es opcional y por defecto está al valor +de <quote>ipa_domain</quote>. + </para> + <para> + El nombre del reino Kerberos tiene un significado especial en IPA – es +convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_confd_path (cadena)</term> + <listitem> + <para> + Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de +configuración de Kerberos. + </para> + <para> + Para deshabilitar la creación de fragmentos de configuración establezca el +parámetro a 'none'. + </para> + <para> + Predeterminado: no establecido (krb5.include.d subdirectorio del directorio +pubconf de SSSD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_refresh (entero)</term> + <listitem> + <para> + La cantidad de tiempo entre búsquedas de reglas Desktop Profile contra el +servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si +hay muchas solicitudes de perfiles de escritorio en un período corto. + </para> + <para> + Predeterminado: 5 (segundos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_request_interval (entero)</term> + <listitem> + <para> + La cantidad de tiempo entre búsquedas de las reglas Desktop Profile contra +el servidor IPA en el caso de que la última petición no devolvió ninguna +regla. + </para> + <para> + Predeterminado: 60 (minutos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_refresh (entero)</term> + <listitem> + <para> + La cantidad de tiempo entre vbúsquedas de las reglas HBAC contra el servidor +IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay +muchas peticiones de control de acceso hechas en un corto período. + </para> + <para> + Predeterminado: 5 (segundos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_selinux (entero)</term> + <listitem> + <para> + La cantidad de tiempo entre búsquedas de los mapas SELinux contra el +servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si +hay muchas peticiones de acceso de usuario hechas en un corto período. + </para> + <para> + Predeterminado: 5 (segundos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server_mode (booleano)</term> + <listitem> + <para> + Esta opción será establecida por el instalador IPA (ipa-server-install) +automáticamente y denota si SSSD está corriendo sobre un servidor IPA o no. + </para> + <para> + Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de +confianza directamente mientras que sobre un cliente preguntará a un +servidor IPA. + </para> + <para> + NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD +se ejecuta en un servidor IPA. + <itemizedlist> + <listitem> + <para> + La opcion <quote>ipa_server</quote> debe configurarse para que apunte al +servidor IPA mismo. Esto está establecido de manera predeterminada por el +instalador IPA de modo que no se necesitan cambios manuales. + </para> + </listitem> + <listitem> + <para> + La opción <quote>full_name_format</quote> no debe modificarse para imprimir +solo nombres cortos de los usuarios de los dominios de confianza. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ipa_automount_location (cadena)</term> + <listitem> + <para> + La localización del automontador de este cliente IPA que será usada + </para> + <para> + Por defecto: La localización llamada “default” + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect2 id='views'> + <title>VISTAS Y ANULACIONES</title> + <para> + SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y +versiones posteriores. Como todas las rutas y objectclasses son fijadas en +el lado servidor no se necesita configurar nada. Para completar, las +opciones relacionadas son listadas aquí con sus valores +predeterminados. <variablelist> + <varlistentry> + <term>ipa_view_class (cadena)</term> + <listitem> + <para> + Objectclass del contenedorde vistas. + </para> + <para> + Predeterminado: nsContainer + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_view_name (cadena)</term> + <listitem> + <para> + Nombre del atributo que contiene el nombre de la vista. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_override_object_class (cadena)</term> + <listitem> + <para> + Objectclass de los objetos anulados. + </para> + <para> + Predeterminado: ipaOverrideAnchor + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_anchor_uuid (cadena)</term> + <listitem> + <para> + Nombre del atributo que contiene la referencia al objeto original en un +dominio remoto. + </para> + <para> + Predeterminado: ipaAnchorUUID + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_user_override_object_class (cadena)</term> + <listitem> + <para> + Nombre de los objectclass para los usuarios anulados. Se usa para determinar +si el objeto anulado encontrado está relacionado con un usuario o un grupo. + </para> + <para> + Las anulaciones de usuario pueden contener atributos dados por + <itemizedlist> + <listitem> + <para>ldap_user_name</para> + </listitem> + <listitem> + <para>ldap_user_uid_number</para> + </listitem> + <listitem> + <para>ldap_user_gid_number</para> + </listitem> + <listitem> + <para>ldap_user_gecos</para> + </listitem> + <listitem> + <para>ldap_user_home_directory</para> + </listitem> + <listitem> + <para>ldap_user_shell</para> + </listitem> + <listitem> + <para>ldap_user_ssh_public_key</para> + </listitem> + </itemizedlist> + </para> + <para> + Predeterminado: ipaUserOverride + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_group_override_object_class (cadena)</term> + <listitem> + <para> + Nombre del objectclass para grupos anulados. Se usa para determinar si el +objeto anulado encontrado está relacionado con un usuario o un grupo. + </para> + <para> + Las anulaciones de grupo pueden contener atributos dados por + <itemizedlist> + <listitem> + <para>ldap_group_name</para> + </listitem> + <listitem> + <para>ldap_group_gid_number</para> + </listitem> + </itemizedlist> + </para> + <para> + Predeterminado: ipaGroupOverride + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ipa_modified_defaults.xml" /> + + <refsect1 id='subdomains_provider'> + <title>PROVEEDOR DE SUBDOMINIOS</title> + <para> + El proveedor de subdominios IPA se comporta de forma ligeramente diferente +si está configurado explícitamente o implícitamente. + </para> + <para> + Si la opción ' subdomains_provider = ipa' se encuentra en la sección de +dominio de sssd.conf, el proveedor de subdominios de IPA se configura +explícitamente, y todas las peticiones de subdominio se envían al servidor +de IPA si es necesario. + </para> + <para> + Si la opción 'subdomains_provider' no está establecida en la sección dominio +de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de +subdominios IPA está configurado implícitamente. En este caso, si una +petición de subdominio falla e indica que el servidor no soporta +subdominios, i.e. no está configurado para confianza, el proveedor de +subdominios IPA está deshabilitado. Después de una hora o después de que el +proveedor IPA esté en línea, el proveedor de subdominios está habilitado +otra vez. + </para> + </refsect1> + + <refsect1 id='trusted_domains'> + <title>CONFIGURACIÓN DE DOMINIOS DE CONFIANZA</title> + <para> + Some configuration options can also be set for a trusted domain. A trusted +domain configuration can be set using the trusted domain subsection as shown +in the example below. Alternatively, the <quote>subdomain_inherit</quote> +option can be used in the parent domain. <programlisting> +[domain/ipa.domain.com/ad.domain.com] +ad_server = dc.ad.domain.com +</programlisting> + </para> + <para> + For more details, see the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> manual page. + </para> + <para> + Se pueden ajustar diferentes opciones de configuración para un dominio de +confianza dependiendo de si usted está configurando SSSD sobre un servidor +IPA o un cliente IPA. + </para> + <refsect2 id='server_configuration'> + <title>OPCIONES AJUSTABLES EN IPA MAESTROS</title> + <para> + Se pueden establecer las siguientes opciones en una sección subdominio sobre +un IPA maestro: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_backup_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + <listitem> + <para>ldap_search_base</para> + </listitem> + <listitem> + <para>ldap_user_search_base</para> + </listitem> + <listitem> + <para>ldap_group_search_base</para> + </listitem> + <listitem> + <para>use_fully_qualified_names</para> + </listitem> + </itemizedlist> + </para> + </refsect2> + <refsect2 id='client_configuration'> + <title>OPCIONES AJUSTABLES SOBRE CLIENTES IPA</title> + <para> + Las siguientes opciones pueden ser establecidas en una sección subdominio +sobre un cliente IPA: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + </itemizedlist> + </para> + <para> + Advierta que si ambas opciones están establecidas solo se evalúa +<quote>ad_server</quote>. + </para> + <para> + Puesto que cualquier petición para una identidad de usuario o de grupo de un +dominio de confianza disparada desde un cliente IPA se resuelve por el +servidor IPA, las opciones <quote>ad_server</quote> y <quote>ad_site</quote> +solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las +direcciones resueltas desde estas listas serán escritas a ficheros +<quote>kdcinfo</quote> leídos por el complemento localizador Kerberos. Por +favor vea la página de manual <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> para mas detalles sobre el +complemento localizador Kerberos. + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>EJEMPLO</title> + <para> + El siguiente ejemplo asume que SSSD está correctamente configurado y +example.com es uno de los dominios en la sección +<replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones +específicas del proveedor ipa. + </para> + <para> +<programlisting> +[domain/example.com] +id_provider = ipa +ipa_server = ipaserver.example.com +ipa_hostname = myhost.example.com +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sssd-ldap-attributes.5.xml b/src/man/es/sssd-ldap-attributes.5.xml new file mode 100644 index 0000000..f5ffefa --- /dev/null +++ b/src/man/es/sssd-ldap-attributes.5.xml @@ -0,0 +1,1197 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap-attributes</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap-attributes</refname> + <refpurpose>SSSD LDAP Provider: Mapping Attributes</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + This manual page describes the mapping attributes of SSSD LDAP provider +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Refer to the <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> manual page for full details about SSSD LDAP provider +configuration options. + </para> + </refsect1> + + <refsect1 id='mapping-attributes'> + <title>USER ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_user_object_class (cadena)</term> + <listitem> + <para> + La clase de objeto de una entrada de usuario en LDAP. + </para> + <para> + Predeterminado: posixAccount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_name (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de inicio de sesión del usuario. + </para> + <para> + Predeterminado: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uid_number (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al id de usuario. + </para> + <para> + Predeterminado: uidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gid_number (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al id del grupo primario del usuario. + </para> + <para> + Predeterminado: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_primary_group (cadena)</term> + <listitem> + <para> + Atributo de grupo primario Active Directory para el mapeo de ID. Advierta +que este atributo debería solo ser establecido manualmente si usted está +ejecutando el proveedor <quote>ldap</quote> con mapeo ID. + </para> + <para> + Predeterminado: no establecido (LDAP), primaryGroupID (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gecos (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al campo de gecos del usuario. + </para> + <para> + Predeterminado: gecos + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_home_directory (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el nombre del directorio principal del +usuario. + </para> + <para> + Default: homeDirectory (LDAP and IPA), unixHomeDirectory (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shell (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene la ruta de acceso a la shell predeterminada +del usuario. + </para> + <para> + Predeterminado: loginShell + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uuid (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el UUID/GUID de un objeto de usuario LDAP. + </para> + <para> + Predeterminado: no establecido en caso general, objectGUID para AD e +ipaUniqueID para IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_objectsid (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el objectSID de un objeto usuario LDAP. Esto +es normalmente sólo necesario para servidores ActiveDirectory. + </para> + <para> + Predeterminado: objectSid para ActiveDirectory, no establecido para otros +servidores. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_modify_timestamp (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene la fecha y hora de la última modificación del +objeto primario. + </para> + <para> + Predeterminado: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_last_change (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre +de un atributo LDAP correspondiente a su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homologo (fecha del último cambio de password). + </para> + <para> + Predeterminado: shadowLastChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_min (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre +de un atributo LDAP correspondiente a su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homologo (edad mínima del password). + </para> + <para> + Predeterminado: shadowMin + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_max (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre +de un atributo LDAP correspondiente a su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homologo (edad máxima del password). + </para> + <para> + Predeterminado: shadowMax + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_warning (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre +de un atributo LDAP correspondiente a su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homologo (período de aviso de password). + </para> + <para> + Predeterminado: shadowWarning + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_inactive (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre +de un atributo LDAP correspondiente a su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homologo (período de inactividad de password). + </para> + <para> + Predeterminado: shadowInactive + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_expire (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=shadow o +ldap_account_expire_policy=shadow, este parámetro contiene el nombre de un +atributo correspondiente con su <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> homólogo (fecha de expiración de la cuenta). + </para> + <para> + Predeterminado: shadowExpire + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_last_pwd_change (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el +nombre de un atributo LDAP que almacena la fecha y la hora del último cambio +de password en kerberos. + </para> + <para> + Predeterminado: krbLastPwdChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_password_expiration (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el +nombre de un atributo LDAP que almacena la fecha y la hora en la que expira +el password actual. + </para> + <para> + Predeterminado: krbPasswordExpiration + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_account_expires (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_account_expire_policy=ad, este parámetro contiene el +nombre de un atributo LDAP que almacena el tiempo de expiración de la +cuenta. + </para> + <para> + Predeterminado: accountExpires + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_user_account_control (cadena)</term> + <listitem> + <para> + Cuando se usa ldap_account_expire_policy=ad, este parámetro contiene el +nombre de un atributo LDAP que almacena el campo bit de control de la cuenta +de usuario. + </para> + <para> + Predeterminado: userAccountControl + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ns_account_lock (cadena)</term> + <listitem> + <para> + Cuando se usa ldap_account_expire_policy=rhds o esquivalente, este parámetro +determina si el acceso está permitido o no. + </para> + <para> + Predeterminado: nsAccountLock + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_disabled (cadena)</term> + <listitem> + <para> + Cuando se usa ldap_account_expire_policy=nds, este atributo determina si el +acceso está permitido o no. + </para> + <para> + Predeterminado: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_expiration_time (cadena)</term> + <listitem> + <para> + Cuando se usa ldap_account_expire_policy=nds, este atributo determina hasta +que fecha se concede el acceso. + </para> + <para> + Predeterminado: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_allowed_time_map (cadena)</term> + <listitem> + <para> + Cuando se utiliza ldap_account_expire_policy=nds, este atributo determina la +hora de un día en la semana cuando se concede el acceso. + </para> + <para> + Predeterminado: loginAllowedTimeMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_principal (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene le Nombre Principal de Usuario Kerberos (UPN) +del usuario. + </para> + <para> + Predeterminado: krbPrincipalName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_extra_attrs (cadena)</term> + <listitem> + <para> + Lista separada por comas de atributos LDAP que SSSD debería ir a buscar con +el conjunto usual de atributos de usuario. + </para> + <para> + La lista puede contener bien nombres de atributo LDAP solamente o tuplas +separadas por comas de de nombre de atributo SSSD en caché y nombre de +atributo LDAP. En el caso de que solo sed especifique el nombre de atributo +LDAP, el atributo se salva al caché literal. El uso de un nombre de +atributo SSSD personal puede ser requerido por entornos que configuran +varios dominios SSSD con diferentes esquemas LDAP. + </para> + <para> + Por favor advierta que varios nombres de atributos están reservados por +SSSD, notablemente el atributo <quote>name</quote>. SSSD informaría de un +error si cualquiera de los nombres de atributo reservados es usado como un +nombre de atributo extra. + </para> + <para> + Ejemplos: + </para> + <para> + ldap_user_extra_attrs = telephoneNumber + </para> + <para> + Guarda el atributo <quote>telephoneNumber</quote> desde LDAP como +<quote>telephoneNumber</quote> al caché. + </para> + <para> + ldap_user_extra_attrs = phone:telephoneNumber + </para> + <para> + Guarda el atributo <quote>telephoneNumber</quote> desde LDAP como +<quote>phone</quote> al caché. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_user_ssh_public_key (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene las claves públicas SSH del usuario. + </para> + <para> + Predeterminado: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_fullname (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre completo del usuario. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_member_of (cadena)</term> + <listitem> + <para> + El atributo LDAP que lista los afiliación a grupo de usario. + </para> + <para> + Predeterminado: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_service (cadena)</term> + <listitem> + <para> + Si access_provider=ldap y ldap_access_order=authorized_service, SSSD +utilizará la presencia del atributo authorizedService en la entrada LDAP del +usuario para determinar el privilegio de acceso. + </para> + <para> + Una denegación explícita (¡svc) se resuelve primero. Segundo, SSSD busca +permiso explícito (svc) y finalmente permitir todo (*). + </para> + <para> + Por favor advierta que la opcion de configuración ldap_access_order +<emphasis>debe</emphasis> incluir <quote>authorized_service</quote> con el +objetivo de que la opción ldap_user_authorized_service trabaje. + </para> + <para> + Some distributions (such as Fedora-29+ or RHEL-8) always include the +<quote>systemd-user</quote> PAM service as part of the login +process. Therefore when using service-based access control, the +<quote>systemd-user</quote> service might need to be added to the list of +allowed services. + </para> + <para> + Predeterminado: iluminada + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_host (cadena)</term> + <listitem> + <para> + Si access_provider=ldap y ldap_access_order=host, SSSD utilizará la +presencia del atributo host en la entrada LDAP del usuario para determinar +el privilegio de acceso. + </para> + <para> + Una denegación explícita (¡host) se resuelve primero. Segundo, la búsqueda +SSSD para permiso explícito (host) y finalmente permitir todo (*). + </para> + <para> + Por favor advierta que la opción de configuración ldap_access_order +<emphasis>debe</emphasis> incluir <quote>host</quote> con el objetivo de que +la opción ldap_user_authorized_host. + </para> + <para> + Default: host + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_rhost (cadena)</term> + <listitem> + <para> + Si access_provider=ldap y ldap_access_order=rhost, SSSD usará la presencia +del atributo rhost en la entrada LDAP de usuario para determinar el +privilegio de acceso. Similarmente al proceso de verificación de host. + </para> + <para> + Una denegación explícita (!rhost) se resuelve primero. Segundo, SSSD busca +permisos explícitos (rhost) y finalmente allow_all (*). + </para> + <para> + Por favor advierta que la opción de configuración ldap_access_order +<emphasis>debe</emphasis> incluir <quote>rhost</quote> con el objetivo de +que la opción ldap_user_authorized_rhost trabaje. + </para> + <para> + Predeterminado: rhost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_certificate (cadena)</term> + <listitem> + <para> + Nombre del atributo LDAP que contiene el certificado X509 del usuario. + </para> + <para> + Predeterminado: userCertificate;binary + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_email (cadena)</term> + <listitem> + <para> + Nombre del atributo LDAP que contiene el correo electrónico del usuario. + </para> + <para> + Aviso: Si una dirección de correo electrónico de un usuario entra en +conflicto con una dirección de correo electrónico o el nombre totalmente +cualificado de otro usuario, SSSD no será capaz de servir adecuadamente a +esos usuarios. Si por alguna de varias razones los usuarios necesitan +compartir la misma dirección de correo electrónico establezca esta opción a +un nombre de atributo no existente con elobjetivo de deshabilitar la +búsqueda/acceso por correo electrónico. + </para> + <para> + Predeterminado: mail + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>ldap_user_passkey (string)</term> + <listitem> + <para> + Name of the LDAP attribute containing the passkey mapping data of the user. + </para> + <para> + Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='group-attributes'> + <title>GROUP ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_group_object_class (cadena)</term> + <listitem> + <para> + La clase de objeto de una entrada de grupo LDAP. + </para> + <para> + Por defecto: posixGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_name (cadena)</term> + <listitem> + <para> + The LDAP attribute that corresponds to the group name. In an environment +with nested groups, this value must be an LDAP attribute which has a unique +name for every group. This requirement includes non-POSIX groups in the tree +of nested groups. + </para> + <para> + Predeterminado: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_gid_number (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al id del grupo. + </para> + <para> + Predeterminado: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_member (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene los nombres de los miembros del grupo. + </para> + <para> + Valor predeterminado: memberuid (rfc2307) / member (rfc2307bis) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_uuid (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el UUID/GUID de un objeto grupo LDAP. + </para> + <para> + Predeterminado: no establecido en caso general, objectGUID para AD e +ipaUniqueID para IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_objectsid (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el objectSID de un objeto grupo LDAP. Esto es +normalmente sólo necesario para servidores ActiveDirectory. + </para> + <para> + Predeterminado: objectSid para ActiveDirectory, no establecido para otros +servidores. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_modify_timestamp (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene la fecha y hora de la última modificación del +objeto primario. + </para> + <para> + Predeterminado: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_type (string)</term> + <listitem> + <para> + El atributo LDAP que contiene un valor entero indicando el tipo del grupo y +puede ser otras banderas. + </para> + <para> + Este atributo es actualmente usado por el proveedor AD para determinar si un +grupo está en grupos de dominio local y ha de ser sacado de los dominios de +confianza. + </para> + <para> + Predeterminado: groupType en el proveedor AD, de otro modo no establecido + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_external_member (cadena)</term> + <listitem> + <para> + El atributo LDAP que referencia a los miembros de grupo que están definidos +en un dominio externo. En este momento, solo se soportan los miembros +externos de IPA. + </para> + <para> + Predeterminado: ipaExternalMember en el proveedor IPA, de otro modo no +estabecido. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='netgroup-attributes'> + <title>NETGROUP ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_netgroup_object_class (cadena)</term> + <listitem> + <para> + La clase objeto de una entrada de grupo de red en LDAP. + </para> + <para> + En proveedor IPA, ipa_netgroup_object_class, se usaría en su lugar. + </para> + <para> + Predeterminado: nisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_name (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de grupo de red. + </para> + <para> + Un proveedor IPA, ipa_netgroup_name sería usado en su lugar. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_member (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene los nombres de los miembros de grupo de red. + </para> + <para> + Un proveedor IPA, ipa_netgroup_member sería usado en su lugar. + </para> + <para> + Predeterminado: memberNisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_triple (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene los (host, usuario, dominio) triples de grupo +de red. + </para> + <para> + Esta opción no está disponible en el proveedor IPA. + </para> + <para> + Predeterminado: nisNetgroupTriple + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_modify_timestamp (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene la fecha y hora de la última modificación del +objeto primario. + </para> + <para> + Esta opción no está disponible en el proveedor IPA. + </para> + <para> + Predeterminado: modifyTimestamp + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='host-attributes'> + <title>HOST ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_host_object_class (cadena)</term> + <listitem> + <para> + La clase de objeto de una entrada de host en LDAP. + </para> + <para> + Por defecto: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_name (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de host. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_fqdn (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de dominio totalmente cualificado +del host. + </para> + <para> + Predeterminado: fqdn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_serverhostname (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de host. + </para> + <para> + Predeterminado: serverHostname + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_member_of (cadena)</term> + <listitem> + <para> + Atributo LDAP que lista los miembros del grupo del host. + </para> + <para> + Predeterminado: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_host_ssh_public_key (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene las claves públicas SSH del host. + </para> + <para> + Predeterminado: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_uuid (cadena)</term> + <listitem> + <para> + Atributo LDAP que contiene las UUID/GUID de un objeto host LDAP. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='service-attributes'> + <title>SERVICE ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_service_object_class (cadena)</term> + <listitem> + <para> + La clase objeto de una entrada de servicio en LDAP. + </para> + <para> + Por defecto: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_name (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el nombre de servicio de atributos y sus +alias. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_port (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene el puerto manejado por este servicio. + </para> + <para> + Por defecto: ipServicePort + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_proto (cadena)</term> + <listitem> + <para> + El atributo LDAP que contiene los protocolos entendidos por este servicio. + </para> + <para> + Por defecto: ipServiceProtocol + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-attributes'> + <title>SUDO ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_sudorule_object_class (cadena)</term> + <listitem> + <para> + El objeto clase de una regla de entrada sudo en LDAP. + </para> + <para> + Por defecto: sudoRole + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_name (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde a la regla nombre de sudo. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_command (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de comando. + </para> + <para> + Por defecto: sudoCommand + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_host (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de host (o dirección IP del host, +red IP del host o grupo de red del host) + </para> + <para> + Por defecto: sudoHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_user (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de usuario (o UID. nombre de +grupo o grupo de red del usuario) + </para> + <para> + Por defecto: sudoUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_option (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde a las opciones sudo. + </para> + <para> + Por defecto: sudoOption + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasuser (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de usuario que los comandos +pueden ejecutar como. + </para> + <para> + Por defectot: sudoRunAsUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasgroup (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al nombre de grupo o GID de grupo que puede +ejecutar comandos como. + </para> + <para> + Por defecto: sudoRunAsGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notbefore (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al inicio de fecha/hora para cuando la +regla sudo es válida. + </para> + <para> + Por defecto: sudoNotBefore + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notafter (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde a la fecha/hora final, después de la cual +la regla sudo dejará de ser válida. + </para> + <para> + Por defecto: sudoNotAfter + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_order (cadena)</term> + <listitem> + <para> + El atributo LDAP que corresponde al índice de ordenación de la regla. + </para> + <para> + Por defecto: sudoOrder + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='autofs-attributes'> + <title>AUTOFS ATTRIBUTES</title> + <para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + </refsect1> + + <refsect1 id='iphost-attributes'> + <title>IP HOST ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_iphost_object_class (string)</term> + <listitem> + <para> + The object class of an iphost entry in LDAP. + </para> + <para> + Default: ipHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_name (string)</term> + <listitem> + <para> + The LDAP attribute that contains the name of the IP host attributes and +their aliases. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_number (string)</term> + <listitem> + <para> + The LDAP attribute that contains the IP host address. + </para> + <para> + Default: ipHostNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='ipnetwork-attributes'> + <title>IP NETWORK ATTRIBUTES</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_ipnetwork_object_class (string)</term> + <listitem> + <para> + The object class of an ipnetwork entry in LDAP. + </para> + <para> + Default: ipNetwork + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_name (string)</term> + <listitem> + <para> + The LDAP attribute that contains the name of the IP network attributes and +their aliases. + </para> + <para> + Predeterminado: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_number (string)</term> + <listitem> + <para> + The LDAP attribute that contains the IP network address. + </para> + <para> + Default: ipNetworkNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sssd-ldap.5.xml b/src/man/es/sssd-ldap.5.xml new file mode 100644 index 0000000..d217939 --- /dev/null +++ b/src/man/es/sssd-ldap.5.xml @@ -0,0 +1,1780 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap</refname> + <refpurpose>Proveedor SSSD LDAP</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + Esta página de manual describe la configuración de dominios LDAP para +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Vea la sección <quote>FILE FORMAT</quote> de la página de +manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> para información detallada de la +sintáxis.</para> + <para> + Puede configurar SSSD para usar más de un dominio LDAP. + </para> + <para> + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. <command>sssd</command> <emphasis>does not</emphasis> support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to <quote>ldap_access_filter</quote> config option +for more information about using LDAP as an access provider. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>OPCIONES DE CONFIGURACIÓN</title> + <para> + Todas las opciones comunes de configuración que se aplican a los dominios +SSSD tambien se aplican a los dominios LDAP. Vea la sección <quote>DOMAIN +SECTIONS</quote> de la página de manual <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> para todos los detalles. Advierta que los atributos de mapeo +SSSD LDAP están descritos en la página de manual <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>ldap_uri, ldap_backup_uri (string)</term> + <listitem> + <para> + Especifica una lista separada por comas de URIs del servidor LDAP al que +SSSD se conectaría en orden de preferencia. Vea la sección +<quote>CONMUTACIÓN EN ERROR</quote> para más información sobre la +conmutación en error y la redundancia de servidor. Si no hay opción +especificada, se habilita el descubridor de servicio. Para más información, +vea la sección <quote>DESCUBRIDOR DE SERVICIOS</quote> + </para> + <para> + El formato de la URI debe coincidir con el formato definido en RFC 2732: + </para> + <para> + ldap[s]://<host>[:port] + </para> + <para> + Para direcciones IPv6 explícitas, <host> debe estar entre corchetes [] + </para> + <para> + ejemplo: ldap://[fc00::126:25]:389 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_uri, ldap_chpass_backup_uri (cadena)</term> + <listitem> + <para> + Especifica la lista separada por comas de URIs de los servidores LDAP a los +que SSSD se conectaría con el objetivo preferente de cambiar la contraseña +de un usuario. Vea la sección <quote>FAILOVER</quote> para más información +sobre failover y redundancia de servidor. + </para> + <para> + Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe +ser establecido. + </para> + <para> + Por defecto: vacio, esto es ldap_uri se está usando. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_search_base (cadena)</term> + <listitem> + <para> + El DN base por defecto que se usará para realizar operaciones LDAP de +usuario. + </para> + <para> + Desde SSSD 1.7.0, SSSD soporta múltiples bases de búsqueda usando la +sintaxis: + </para> + <para> + search_base[?scope?[filter][?search_base?scope?[filter]]*] + </para> + <para> + El alcance puede ser uno de “base”, “onlevel” o “subtree”. + </para> + <para> + El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Ejemplos: + </para> + <para> + ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base += dc=example,dc=com?subtree? + </para> + <para> + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + </para> + <para> + Nota: No está soportado tener múltiples bases de búsqueda que se referencien +a objetos nombrados idénticamente (por ejemplo, grupos con el mismo nombre +en dos bases de búsqueda diferentes). Esto llevara a comportamientos +impredecibles sobre máquinas cliente. + </para> + <para> + Por defecto: no se fija, se usa el valor de los atributos +defaultNamingContext o namingContexts de RootDSE del servidor LDAP +usado. Si defaultNamingContext no existe o tiene un valor vacío se usa +namingContexts. El atributo namingContexts debe tener un único valor con el +DN de la base de búsqueda del servidor LDAP para hacer este trabajo. No se +soportan múltiples valores. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_schema (cadena)</term> + <listitem> + <para> + Especifica el Tipo de Esquema en uso en el servidor LDAP +objetivo. Dependiendo del esquema seleccionado, los nombres de atributos por +defecto que se recuperan de los servidores pueden variar. La manera en que +algunos atributos son manejados puede también diferir. + </para> + <para> + Cuatro tipos de esquema son actualmente soportados: + <itemizedlist> + <listitem> + <para> + rfc2307 + </para> + </listitem> + <listitem> + <para> + rfc2307bis + </para> + </listitem> + <listitem> + <para> + IPA + </para> + </listitem> + <listitem> + <para> + AD + </para> + </listitem> + </itemizedlist> + </para> + <para> + La principal diferencia entre estos tipos de esquemas es como las +afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros +de grupos son listados por nombre en el atributo +<emphasis>memberUid</emphasis>. Con rfc2307bis e IPA, los miembros de grupo +son listados por DN y almacenados en el atributo +<emphasis>member</emphasis>. El tipo de esquema AD fija los atributos para +corresponderse con los valores Active Directory 2008r2. + </para> + <para> + Predeterminado: rfc2307 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwmodify_mode (cadena)</term> + <listitem> + <para> + Especifica la operación que se usa para modificar la contraseña de usuario. + </para> + <para> + Actualmente se soportan dos modos: + <itemizedlist> + <listitem> + <para> + exop - Operación Extendida de Modificación de Contraseña (RFC 3062) + </para> + </listitem> + <listitem> + <para> + ldap_modify - Modificación directa de userPassword (no recomendado). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Aviso: Primero, se establece una nueva conexión para verificar la contraseña +acutal uniendo con el usuario que ha pedido el cambio de contraseña. Si +tiene éxito, esta conexión se usa para el cambio de contraseña por lo tanto +el usuario debe haber escrito el atributo de acceos a userPassword. + </para> + <para> + Predeterminado: exop + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_bind_dn (cadena)</term> + <listitem> + <para> + El enlazador DN por defecto a usar para llevar a cabo operaciones LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok_type (cadena)</term> + <listitem> + <para> + El tipo de ficha de autenticación del enlazador DN por defecto. + </para> + <para> + Los dos mecanismos actualmente soportados son: + </para> + <para> + contraseña + </para> + <para> + obfuscated_password + </para> + <para> + Por defecto: contraseña + </para> + <para> + See the <citerefentry> <refentrytitle>sss_obfuscate</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> manual page for more information. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok (cadena)</term> + <listitem> + <para> + The authentication token of the default bind DN. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_force_upper_case_realm (boolean)</term> + <listitem> + <para> + Algunos servidores de directorio, por ejemplo Active Directory, pueden +entregar la parte real del UPN en minúsculas, lo que puede causar fallos de +autenticación. Fije esta opción en un valor distinto de cero si usted desea +usar mayúsculas reales. + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_refresh_timeout (entero)</term> + <listitem> + <para> + Especifica cuantos segundos SSSD tiene que esperar antes de refrescar su +escondrijo de los registros enumerados. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 300 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_purge_cache_timeout (entero)</term> + <listitem> + <para> + Determina la frecuencia de comprobación del cache para entradas inactivas +(como grupos sin miembros y usuarios que nunca han accedido) y borrarlos +para guardar espacio. + </para> + <para> + Estableciendo esta opción a cero deshabilitará la operación de limpieza del +caché. Por favor advierta que si la enumeración está habilitada, se requiere +la tarea de limpieza con el objetivo de detectar entradas borradas desde el +servidor y no pueden ser deshabilitadas. Por defecto, la tarea de limpieza +correrá cada tres horas con la enumeración habilitada. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 0 (deshabilitado) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_nesting_level (entero)</term> + <listitem> + <para> + Si ldap_schema está fijado en un formato de esquema que soporte los grupos +anidados (por ejemplo, RFC2307bis), entonces esta opción controla cuantos +niveles de anidamiento seguirá SSSD. Este opción no tiene efecto en el +esquema RFC2307. + </para> + <para> + Aviso: Esta opción especifica el nivel garantizado d grupos anidados a ser +procesados para cualquier búsqueda. Sin embargo, los grupos anidados detrás +de este límite <emphasis>pueden ser</emphasis> devueltos si las búsquedas +anteriores ya resueltas en os niveles más profundos de anidamiento. +También, las búsquedas subsiguientes para otros grupos pueden agrandar el +conjunto de resultados de la búsqueda origina si se requiere. + </para> + <para> + Si ldap_group_nesting_level está establecido a 0 no se procesan de ninguna +manera grupos anidados. Sin embargo, cuando está conectado a +Active-Directory Server 2008 y posteriores usando +<quote>id_provider=ad</quote> se recomienda además deshabilitar la +utilización de Token-Groups estableciendo ldap_use_tokengroups a false con +el objetivo de restringir el anidamiento de grupos. + </para> + <para> + Predeterminado: 2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_use_tokengroups</term> + <listitem> + <para> + Esta opción habilita o deshabilita el uso del atributo Token-Groups cuando +lleva a cabo un initgroup para usuarios de Active Directory Server 2008 y +posteriores. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: True para AD e IPA en otro caso False. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_search_base (cadena)</term> + <listitem> + <para> + Opcional. Usa la cadena dada como base de búsqueda para objetos host. + </para> + <para> + Vea <quote>ldap_search_base</quote> para información sobre la configuración +de múltiples bases de búsqueda. + </para> + <para> + Predeterminado: el valor de <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_search_base (string)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_search_base (string)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_search_timeout (entero)</term> + <listitem> + <para> + Especifica el tiempo de salida (en segundos) que la búsqueda ldap está +permitida para correr antes que de quea cancelada y los resultados +escondidos devueltos (y se entra en modo fuera de línea) + </para> + <para> + Nota: esta opción será sujeto de cambios en las futuras versiones del +SSSD. Probablemente será sustituido en algunos puntos por una serie de +tiempos de espera para tipos específicos de búsqueda. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_search_timeout (entero)</term> + <listitem> + <para> + Especifica el tiempo de espera (en segundos) en los que las búsquedas ldap +de enumeraciones de usuario y grupo están permitidas de correr antes de que +sean canceladas y devueltos los resultados escondidos (y se entra en modo +fuera de línea) + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 60 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_network_timeout (entero)</term> + <listitem> + <para> + Especifica el tiempo de salida (en segudos) después del cual <citerefentry> +<refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> +<manvolnum>2</manvolnum> </citerefentry> siguiendo un <citerefentry> +<refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry> vuelve en caso de no actividad. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_opt_timeout (entero)</term> + <listitem> + <para> + Especifica un tiempo de espera (en segundos) después del cual las llamadas a +LDAP APIs asíncronos se abortarán si no se recibe respuesta. También +controla el tiempo de espera cuando se comunica con el KDC en caso de enlace +SASL, el tiempo de espera de una operación de enlace LDAP, la operación de +cambio extendido de contraseña y las operación StartTLS. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_timeout (entero)</term> + <listitem> + <para> + Especifica un tiempo de espera (en segundos) en el que se mantendrá una +conexión a un servidor LDAP. Después de este tiempo, la conexión será +restablecida. Si su usa en paralelo con SASL/GSSAPI, se usará el valor más +temprano (este valor contra el tiempo de vida TGT). + </para> + <para> + If the connection is idle (not actively running an operation) within +<emphasis>ldap_opt_timeout</emphasis> seconds of expiration, then it will be +closed early to ensure that a new query cannot require the connection to +remain open past its expiration. This implies that connections will always +be closed immediately and will never be reused if +<emphasis>ldap_connection_expire_timeout <= ldap_opt_timout</emphasis> + </para> + <para> + This timeout can be extended of a random value specified by +<emphasis>ldap_connection_expire_offset</emphasis> + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 900 (15 minutos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_offset (integer)</term> + <listitem> + <para> + Random offset between 0 and configured value is added to +<emphasis>ldap_connection_expire_timeout</emphasis>. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 0 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_idle_timeout (integer)</term> + <listitem> + <para> + Specifies a timeout (in seconds) that an idle connection to an LDAP server +will be maintained. If the connection is idle for more than this time then +the connection will be closed. + </para> + <para> + You can disable this timeout by setting the value to 0. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 900 (15 minutos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_page_size (entero)</term> + <listitem> + <para> + Especifica el número de registros a recuperar desde una única petición +LDAP. Algunos servidores LDAP hacen cumplir un límite máximo por petición. + </para> + <para> + Predeterminado: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_paging (booleano)</term> + <listitem> + <para> + Deshabilita el control de paginación LDAP. Esta opción se debería usar si el +servidor LDAP reporta que soporta el control de paginación LDAP en sus +RootDSE pero no está habilitado o no se comporta apropiadamente. + </para> + <para> + Ejemplo: los servidores OpenLDAP con el módulo de control de paginación +instalado sobre el servidor pero no habilitado lo reportarán en el RootDSE +pero es incapaz de usarlo. + </para> + <para> + Ejemplo: 389 DS tiene un bug donde puede sólo soportar un control de +paginación a la vez en una única conexión. Sobre clientes ocupados, esto +puede ocasionar que algunas peticiones sean denegadas. + </para> + <para> + Por defecto: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_range_retrieval (booleano)</term> + <listitem> + <para> + Deshabilitar la recuperación del rango de Active Directory. + </para> + <para> + Active Directory limita el número de miembros a recuperar en una única +búsqueda usando la política MaxValRange (que está predeterminada a 1500 +miembros). Si un grupo contiene mas miembros, la replica incluiría una +extensión de rango específica AD. Esta opción deshabilita el análisis de la +extensión del rango, por eso grupos grandes aparecerán como si no tuvieran +miembros. + </para> + <para> + Por defecto: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_minssf (entero)</term> + <listitem> + <para> + Cuando se está comunicando con un servidor LDAP usando SASL, especifica el +nivel de seguridad mínimo necesario para establecer la conexión. Los valores +de esta opción son definidos por OpenLDAP. + </para> + <para> + Por defecto: Usa el sistema por defecto (normalmente especificado por +ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_maxssf (integer)</term> + <listitem> + <para> + When communicating with an LDAP server using SASL, specify the maximal +security level necessary to establish the connection. The values of this +option are defined by OpenLDAP. + </para> + <para> + Por defecto: Usa el sistema por defecto (normalmente especificado por +ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref_threshold (entero)</term> + <listitem> + <para> + Especifica el número de miembros del grupo que deben estar desaparecidos +desde el escondrijo interno con el objetivo de disparar una búsqueda +deference. Si hay menos miembros desaparecidos, se buscarán individualmente. + </para> + <para> + Puede desactivar las búsquedas de desreferencia completamente estableciendo +el valor a 0. Tenga en cuenta que hay algunas rutas de código en SSSD, como +el proveedor IPA HBAC, que solo son implementadas usando la llamada de +desreferencia, de modo que solo con la desreferencia explícitamente +deshabilitada aquellas partes usarán todavía la desreferencia si el servidor +lo soporta y auncia el control de la desreferencia en el objeto rootDSE. + </para> + <para> + Una búsqueda dereference es un medio de descargar todos los miembros del +grupo en una única llamada LDAP. Servidores diferentes LDAP pueden +implementar diferentes métodos dereference. Los servidores actualmente +soportados son 389/RHDS, OpenLDAP y Active Directory. + </para> + <para> + <emphasis>Nota:</emphasis> Si alguna de las bases de búsqueda especifica un +filtro de búsqueda, la mejora del rendimiento de la búsqueda dereference +será deshabilitado sin tener en cuenta este ajuste. + </para> + <para> + Predeterminado: 10 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ignore_unreadable_references (bool)</term> + <listitem> + <para> + Ignore unreadable LDAP entries referenced in group's member attribute. If +this parameter is set to false an error will be returned and the operation +will fail instead of just ignoring the unreadable entry. + </para> + <para> + This parameter may be useful when using the AD provider and the computer +account that sssd uses to connect to AD does not have access to a particular +entry or LDAP sub-tree for security reasons. + </para> + <para> + Por defecto: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_reqcert (cadena)</term> + <listitem> + <para> + Especifica que comprobaciones llevar a cabo sobre los certificados del +servidor en una sesión TLS, si las hay. Puede ser especificado como uno de +los siguientes valores: + </para> + <para> + <emphasis>never</emphasis> = El cliente no pedirá o comprobará ningún +certificado de servidor. + </para> + <para> + <emphasis>allow</emphasis> = Se pide el certificado del servidor. Si no se +suministra certificado, la sesión sigue normalmente. Si se suministra un +certificado malo, será ignorado y la sesión continua normalmente. + </para> + <para> + <emphasis>try</emphasis> = Se pide el certificado del servidor. Si no se +suministra certificado, la sesión continua normalmente. Si se suministra un +certificado malo, la sesión se termina inmediatamente. + </para> + <para> + <emphasis>demand</emphasis> = Se pide el certificado del servidor. Si no se +suministra certificado, o se suministra un certificado malo, la sesión se +termina inmediatamente. + </para> + <para> + <emphasis>hard</emphasis> = Igual que <quote>demand</quote> + </para> + <para> + Predeterminado: hard + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacert (cadena)</term> + <listitem> + <para> + Especifica el fichero que contiene los certificados de todas las Autoridades +de Certificación que <command>sssd</command> reconocerá. + </para> + <para> + Por defecto: use los valores por defecto OpenLDAP, normalmente en +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacertdir (cadena)</term> + <listitem> + <para> + Especifica la ruta de un directorio que contiene los certificados de las +Autoridades de Certificación en ficheros individuales separados. Normalmente +los nombres de fichero necesita ser el hash del certificado seguido por +‘.0’. si esta disponible <command>cacertdir_rehash</command> puede ser usado +para crear los nombres correctos. + </para> + <para> + Por defecto: use los valores por defecto OpenLDAP, normalmente en +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cert (cadena)</term> + <listitem> + <para> + Especifica el fichero que contiene el certificado para la clave del cliente. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_key (cadena)</term> + <listitem> + <para> + Especifica el archivo que contiene la clave del cliente. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cipher_suite (cadena)</term> + <listitem> + <para> + Especifica conjuntos de cifrado aceptable. Por lo general, es una lista +searada por dos puntos. Vea el formato en +<citerefentry><refentrytitle>ldap.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + Por defecto: use los valores por defecto OpenLDAP, normalmente en +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_use_start_tls (booleano)</term> + <listitem> + <para> + Specifies that the id_provider connection must also use <systemitem +class="protocol">tls</systemitem> to protect the channel. +<emphasis>true</emphasis> is strongly recommended for security reasons. + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_mapping (booleano)</term> + <listitem> + <para> + Especifica que SSSD intentaría mapear las IDs de usuario y grupo desde los +atributos ldap_user_objectsid y ldap_group_objectsid en lugar de apoyarse en +ldap_user_uid_number y ldap_group_gid_number. + </para> + <para> + Actualmente está función soporta sólo mapeos de objectSID de +ActiveDirectory. + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_min_id, ldap_max_id (entero)</term> + <listitem> + <para> + En contraste con el SID basado en mapeo de ID que se usa si ldap_id_mapping +está establecido a true el rango de ID permitido para ldap_user_uid_number y +ldap_group_gid_number está sin consolidar. En una configuración con +subdominios de confianza, esto podría producir colisiones de ID. Para evitar +las colisiones ldap_min_id y ldap_max_id pueden er establecidos para +restringir el rango permitido para las IDs que son leídas directamente desde +el servidor. Los subdominios pueden elegir otros rangos para asignar IDs. + </para> + <para> + Predeterminado: no establecido (ambas opciones se establecen a 0) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_mech (cadena)</term> + <listitem> + <para> + Especifica el mecanismo SASL a usar. Actualmente solo están probados y +soportados GSSAPI y GSS-SPNEGO. + </para> + <para> + Si el backend admite subdominios el valor de ldap_sasl_mech es heredado +automáticamente por los subdominios. Si se necesita un valor diferente para +un subdominio puede ser sobrescrito estabeciendo ldap_sasl_mech para este +subdominio explícitamente. Por favor vea la SECCIÓN DOMINIO DE CONFIANZA es +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> para más detalles. + </para> + <para> + Predeterminado: no definido + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_authid (cadena)</term> + <listitem> + <para> + Especifica la identificación de autorización SASL a usar. Cuando son usados +GSSAPI/GSS-SPNEGO, esto representa el principal Kerberos usado para +autenticación al directorio. Esta opción puede contener el principal +completo (por ejemplo host/myhost@EXAMPLE.COM) o solo el nombre principal +(por ejemplo host/myhost). Por defecto, el valor no está establecido y se +usan los siguientes principales: <programlisting> +hostname@REALM +netbiosname$@REALM +host/hostname@REALM +*$@REALM +host/*@REALM +host/* + </programlisting> +Si no se encuentra ninguno de ellos, se devuelve en primer principal en la +pestaña. + </para> + <para> + Por defecto: host/nombre_de_host@REALM + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_realm (string)</term> + <listitem> + <para> + Especifica el reino SASL a usar. Cuando no se especifica, esta opción se +pone por defecto al valor de krb5_realm. Si ldap_sasl_authid contiene el +reino también, esta opción se ignora. + </para> + <para> + Por defecto: el valor de krb5_realm. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_canonicalize (boolean)</term> + <listitem> + <para> + Si se fija en true, la librería LDAP llevaría a cabo una búsqueda inversa +para para canocalizar el nombre de host durante una unión SASL. + </para> + <para> + Predeterminado: false; + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_keytab (cadena)</term> + <listitem> + <para> + Especifica la pestaña a usar cuando se utiliza SASL/GSSAPI/GSS-SPNEGO. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Por defecto: Keytab del sistema, normalmente +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_init_creds (booleano)</term> + <listitem> + <para> + Especifica que id_provider debería iniciar las credenciales Kerberos (TGT). +Esta acción solo se lleva a cabo si se usa SASL y el mecanismo seleccionado +es GSSAPI o GSS-SPNEGO. + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_ticket_lifetime (entero)</term> + <listitem> + <para> + Especifica el tiempo de vida en segundos del TGT si se usa GSSAPI o +GSS-SPNEGO. + </para> + <para> + This option can be also set per subdomain or inherited via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Predeterminado: 86400 (24 horas) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_server, krb5_backup_server (cadena)</term> + <listitem> + <para> + Especifica una lista separada por comas de direcciones IP o nombres de host +de los servidores Kerberos a los cuales se conectaría SSSD en orden de +preferencia. Para más información sobre failover y redundancia de servidor, +vea la sección <quote>FAILOVER</quote>. Un número de puerto opcional +(precedido de dos puntos) puede ser añadido a las direcciones o nombres de +host. Si está vacío, el servicio descubridor está habilitado – para más +información, vea la sección <quote>SERVICE DISCOVERY</quote>. + </para> + <para> + Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, +SSSD primero busca entradas DNS que especifiquen _udop como protocolo y +regresa a _tcp si no se encuentra nada. + </para> + <para> + Este opción se llamaba <quote>krb5_kdcip</quote> en las revisiones más +tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo +que sea, los usuarios son advertidos para migrar sus ficheros de +configuración para usar <quote>krb5_server</quote> en su lugar. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (cadena)</term> + <listitem> + <para> + Especifica el REALM Kerberos (para autorización SASL/GSSAPI/GSS-SPNEGO). + </para> + <para> + Predeterminado: Predeterminados del sistema, vea +<filename>/etc/krb5.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (boolean)</term> + <listitem> + <para> + Especifica si el host principal sería estandarizado cuando se conecte a un +servidor LDAP. Esta función está disponible con MIT Kerberos >= 1.7 + </para> + + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (booleano)</term> + <listitem> + <para> + Especifica si el SSSD debe instruir a las librerías Kerberos que ámbito y +que KDCs usar. Esta opción está por defecto, si la deshabilita, necesita +configurar las librerías Kerberos usando el fichero de configuración +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Vea la página de manual <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> para más información sobre el +complemento localizador. + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwd_policy (cadena)</term> + <listitem> + <para> + Seleccione la política para evaluar la caducidad de la contraseña en el lado +del cliente. Los siguientes valores son permitidos: + </para> + <para> + <emphasis>none</emphasis> - Sin evaluación en el lado cliente. Esta opción +no puede deshabilitar las políticas de password en el lado servidor. + </para> + <para> + <emphasis>shadow</emphasis> - Use +<citerefentry><refentrytitle>shadow</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> style attributes to evaluate if the +password has expired. Please see option "ldap_chpass_update_last_change" as +well. + </para> + <para> + <emphasis>mit_kerberos</emphasis> - Usa los atributos utilizados por MIT +Kerberos para determinar si el password ha expirado. Use +chpass_provider=krb5 para actualizar estos atributos cuando se cambia el +password. + </para> + <para> + Predeterminado: none + </para> + <para> + <emphasis>Aviso</emphasis>: si está configurada una política de contraseña +en el lado del servidor siempre tiene prioridad sobre la política +establecida por esta opción. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_referrals (boolean)</term> + <listitem> + <para> + Especifica si el seguimiento de referencias automático debería ser +habilitado. + </para> + <para> + Por favor advierta que sssd sólo soporta seguimiento de referencias cuando +está compilado con OpenLDAP versión 2.4.13 o más alta. + </para> + <para> + Chasing referrals may incur a performance penalty in environments that use +them heavily, a notable example is Microsoft Active Directory. If your setup +does not in fact require the use of referrals, setting this option to false +might bring a noticeable performance improvement. Setting this option to +false is therefore recommended in case the SSSD LDAP provider is used +together with Microsoft Active Directory as a backend. Even if SSSD would be +able to follow the referral to a different AD DC no additional data would be +available. + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_dns_service_name (cadena)</term> + <listitem> + <para> + Especifica el nombre del servicio para utilizar cuando está habilitado el +servicio de descubrimiento. + </para> + <para> + Predeterminado: ldap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_dns_service_name (cadena)</term> + <listitem> + <para> + Especifica el nombre del servicio para utilizar al buscar un servidor LDAP +que permita cambios de contraseña cuando está habilitado el servicio de +descubrimiento. + </para> + <para> + Por defecto: no fijado, esto es servicio descubridor deshabilitado. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_update_last_change (booleano)</term> + <listitem> + <para> + Especifica si actualizar el atributo ldap_user_shadow_last_change con días +desde el Epoch después de una operación de cambio de contraseña. + </para> + <para> + It is recommend to set this option explicitly if "ldap_pwd_policy = shadow" +is used to let SSSD know if the LDAP server will update shadowLastChange +LDAP attribute automatically after a password change or if SSSD has to +update it. + </para> + <para> + Por defecto: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_filter (cadena)</term> + <listitem> + <para> + Si está usando access_provider = ldap y ldap_access_order = filter +(predeterminado), esta opción es obligatoria. Especifica un criterio de +filtro de búsqueda LDAP que debe cumplirse para que el usuario obtenga +acceso a este host. Si access_provider = ldap, ldap_access_order = filter y +esta opción no estñan establecidos resultará que todos los usuarios tendrán +el acceso denegado. Use access_provider = permit para cambiar este +comportamiento predeterminado. Por favor advierta que este filtro se aplica +sobre la entrada LDAP del usuario y, por lo tanto, el filtrado basado en +grupos anidados puede no funcionar (e.g. el atributo memberOf sobre entradas +AD apunta solo a los parientes directos). Si se requiere el filtrado basado +en grupos anidados, vea por favor <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Ejemplo: + </para> + <programlisting> +access_provider = ldap +ldap_access_filter = (employeeType=admin) + </programlisting> + <para> + Este ejemplo significa que el acceso a este host está restringido a los +usuarios cuyo atributo employeeType esté establecido a "admin". + </para> + <para> + El almacenamiento en caché sin conexión para esta función está limitado a +determinar si el último inicio de sesión del usuario recibió permiso de +acceso. Si obtuvieron permiso de acceso durante su último inicio de sesión, +se les seguirán otorgando acceso sin conexión y viceversa. + </para> + <para> + Predeterminado: vacío + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_account_expire_policy (cadena)</term> + <listitem> + <para> + Con esta opción pueden ser habilitados los atributos de evaluación de +control de acceso del lado cliente. + </para> + <para> + Por favor advierta que siempre se recomienda utilizar el control de acceso +del lado servidor, esto es el servidor LDAP denegaría petición de enlace con +una código de error definible aunque el password sea correcto. + </para> + <para> + Los siguientes valores están permitidos: + </para> + <para> + <emphasis>shadow</emphasis>: usa el valor de ldap_user_shadow_expire para +determinar si la cuenta ha expirado. + </para> + <para> + <emphasis>ad</emphasis>: usa el valor del campo de 32 bit +ldap_user_ad_user_account_control y permite el acceso si el segundo bit no +está fijado. Si el atributo está desaparecido se concede el acceso. También +se comprueba el tiempo de expiración de la cuenta. + </para> + <para> + <emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, +<emphasis>389ds</emphasis>: usa el valor de ldap_ns_account_lock para +comprobar si se permite el acceso o no. + </para> + <para> + <emphasis>nds</emphasis>: los valores de +ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y +ldap_user_nds_login_expiration_time se usan para comprobar si el acceso está +permitido. Si ambos atributos están desaparecidos se concede el acceso. + </para> + <para> + Por favor advierta que la opción de configuración ldap_access_order +<emphasis>debe</emphasis> incluir <quote>expire</quote> con el objetivo de +la opción ldap_account_expire_policy funcione. + </para> + <para> + Predeterminado: vacío + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_order (cadena)</term> + <listitem> + <para> + Lista separada por coma de opciones de control de acceso. Los valores +permitidos son: + </para> + <para> + <emphasis>filtro</emphasis>: utilizar ldap_access_filter + </para> + <para> + <emphasis>lockout</emphasis>: usar bloqueo de cuenta. Si se establece, esta +opción deniega el acceso en el caso de que el atributo ldap +'pwdAccountLockedTime' esté presente y tenga un valor de +'000001010000Z'. Por favor vea la opción ldap_pwdlockout_dn. Por favor +advieta que 'access_provider = ldap' debe ser establecido para que está +característica funciones. + </para> + <para> + <emphasis> Por favor tenga en cuenta que esta opción es reemplazada por la +opción <quote>ppolicy</quote> y puede ser quitada en un futuro lanzamiento. +</emphasis> + </para> + <para> + <emphasis>ppolicy</emphasis>: usar bloqueo de cuenta. Si se establece, esta +opción deniega el acceso en el caso de que el atributo ldap +'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z' o +represente cualquier momento en el pasado. El valor del atributo +'pwdAccountLockedTime' debe terminar con 'Z', que denota la zona horaria +UTC. Otras zonas horarias no se soportan actualmente y llevarán a +"access-denied" cuando los usuarios intenten acceder. Por favor vea la +opción ldap_pwdlockout_dn. Por favor advierta que 'access_provider = ldap' +debe estar establecido para que esta característica funcione. + </para> + + <para> + <emphasis>caducar</emphasis>: utilizar ldap_account_expire_policy + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Estas opciones son útiles si los +usuarios están interesados en que se les avise de que la contraseña está +próxima a expirar y la autenticación está basada en la utilización de un +método distinto a las contraseñas - por ejemplo claves SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Por favor advierta que 'access_provider = ldap' debe estar establecido para +que esta función trabaje. También 'ldap_pwd_policy' debe estar establecido +para una política de contraseña apropiada. + </para> + <para> + <emphasis>authorized_service</emphasis>: utilizar el atributo +autorizedService para determinar el acceso + </para> + <para> + <emphasis>host</emphasis>: usa el atributo host para determinar el acceso + </para> + <para> + <emphasis>rhost</emphasis>: usar el atributo rhost para determinar si el +host remoto puede acceder + </para> + <para> + Por favor advierta el campo rhost en pam es establecido por la aplicación, +es mejor comprobar que la aplicación lo envía a pam, antes de habilitar esta +opción de control de acceso + </para> + <para> + Predeterminado: filter + </para> + <para> + Tenga en cuenta que es un error de configuración si un valor es usado más de +una vez. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwdlockout_dn (cadena)</term> + <listitem> + <para> + Esta opción especifica la DN de la contraseña de entrada a la política sobre +un servidor LDAP. Tenga en cuenta que la ausencia de esta opción en +sssd.conf en caso de verificación de bloqueo de cuenta habilitada dará como +resultado el acceso denegado ya que los atributos ppolicy en el servidor +LDAP no pueden verificarse correctamente. + </para> + <para> + Ejemplo: cn=ppolicy,ou=policies,dc=example,dc=com + </para> + <para> + Predeterminado: cn=ppolicy,ou=policies,$ldap_search_base + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref (cadena)</term> + <listitem> + <para> + Especifica cómo se hace la eliminación de referencias al alias cuando se +lleva a cabo una búsqueda. Están permitidas las siguientes opciones: + </para> + <para> + <emphasis>never</emphasis>: Nunca serán eliminadas las referencias al alias. + </para> + <para> + <emphasis>searching</emphasis>: Las referencias al alias son eliminadas en +subordinadas del objeto base, pero no en localización del objeto base de la +búsqueda. + </para> + <para> + <emphasis>finding</emphasis>: Sólo se eliminarán las referencias a alias +cuando se localice el objeto base de la búsqueda. + </para> + <para> + <emphasis>always</emphasis>: Las referencias al alias se eliminarán tanto +para la búsqueda como en la localización del objeto base de la búsqueda. + </para> + <para> + Por defecto: Vacío (esto es manejado como <emphasis>nunca</emphasis> por las +librerías cliente LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_rfc2307_fallback_to_local_users (boolean)</term> + <listitem> + <para> + Permite retener los usuarios locales como miembros de un grupo LDAP para +servidores que usan el esquema RFC2307. + </para> + <para> + En algunos entornos donde se usa el esquema RFC2307, los usuarios locales +son hechos miembros de los grupos LDAP añadiendo sus nombres al atributo +memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace +esto, de modo que SSSD debería normalmente quitar los usuarios +“desparecidos” de las afiliaciones a grupos escondidas tan pronto como +nsswitch intenta ir a buscar información del usuario por medio de las +llamadas getpw*() o initgroups(). + </para> + <para> + Esta opción cae de nuevo en comprobar si los usuarios locales están +referenciados, y los almacena en caché de manera que más tarde las llamadas +initgroups() aumentará los usuarios locales con los grupos LDAP adicionales. + </para> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (entero)</term> + <listitem> + <para> + Especifica un límite superior sobre el número de entradas que son +descargadas durante una búsqueda de comodín. + </para> + <para> + En este momento solo el respondedor InfoPipe soporta búsqueda de comodín + </para> + <para> + Predeterminado: 1000 (frecuentemente el tamaño de una página) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_library_debug_level (integer)</term> + <listitem> + <para> + Switches on libldap debugging with the given level. The libldap debug +messages will be written independent of the general debug_level. + </para> + <para> + OpenLDAP uses a bitmap to enable debugging for specific components, -1 will +enable full debug output. + </para> + <para> + Default: 0 (libldap debugging disabled) + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-options' condition="with_sudo"> + <title>OPCIONES SUDO</title> + <para> + Las instrucciones detalladas para la configuración de sudo_provider están en +la página de manual <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + + <para> + <variablelist> + <varlistentry> + <term>ldap_sudo_full_refresh_interval (entero)</term> + <listitem> + <para> + Cuantos segundos esperará SSSD entre ejecutar un refresco total de las +reglas sudo (que descarga todas las reglas que están almacenadas en el +servidor). + </para> + <para> + El valor debe ser mayor que <emphasis>ldap_sudo_smart_refresh_interval +</emphasis> + </para> + <para> + You can disable full refresh by setting this option to 0. However, either +smart or full refresh must be enabled. + </para> + <para> + Por defecto: 21600 (6 horas) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_smart_refresh_interval (entero)</term> + <listitem> + <para> + Cuantos segundos tiene SSSD que esperar antes de ejecutar una actualización +inteligente de las reglas sudo (lo que descarga todas las reglas que tienen +un USN más alto que el valor más alto del servidor USN que conoce +actualmente SSSD). + </para> + <para> + Si los atributos USN no se soportan por el servidor, se usa en su lugar el +atributo modifyTimestamp. + </para> + <para> + <emphasis>Aviso:</emphasis> el valor más alto de USN puede ser actualizado +por tres tareas: 1) Por una actualización total o inteligente de sudo (si se +encuentran reglas actualizadas), 2) por la enumeración de usuarios y grupos +(si se encuentran usuarios y grupos habilitados y actualizados) y 3) +reconectando con el servidor (por defecto cada 15 minutos, vea +<emphasis>ldap_connection_expire_timeout</emphasis>). + </para> + <para> + You can disable smart refresh by setting this option to 0. However, either +smart or full refresh must be enabled. + </para> + <para> + Predeterminado: 900 (15 minutos) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_random_offset (integer)</term> + <listitem> + <para> + Random offset between 0 and configured value is added to smart and full +refresh periods each time the periodic task is scheduled. The value is in +seconds. + </para> + <para> + Note that this random offset is also applied on the first SSSD start which +delays the first sudo rules refresh. This prolongs the time when the sudo +rules are not available for use. + </para> + <para> + You can disable this offset by setting the value to 0. + </para> + <para> + Predeterminado: 0 (deshabilitado) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_use_host_filter (booleano)</term> + <listitem> + <para> + Si es true, SSSD descargará sólo las reglas que son aplicables a esta +máquina (usando las direcciones de host/red y nombres de host IPv4 o IPv6). + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_hostnames (cadena)</term> + <listitem> + <para> + Lista separada por espacios de nombres de host o nombres de dominio +totalmente cualificados que sería usada para filtrar las reglas. + </para> + <para> + Si esta opción está vacía, SSSD intentará descubrir el nombre de host y el +nombre de dominio totalmente cualificado automáticamente. + </para> + <para> + Si <emphasis>ldap_sudo_use_host_filter</emphasis> es +<emphasis>false</emphasis> esta opción no tiene efecto. + </para> + <para> + Por defecto: no especificado + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_ip (cadena)</term> + <listitem> + <para> + Lista separada por espacios de direcciones de host/red IPv4 o IPv6 que sería +usada para filtrar las reglas. + </para> + <para> + esta opción está vacía, SSSD intentará descrubrir las direcciones +automáticamente. + </para> + <para> + Si <emphasis>ldap_sudo_use_host_filter</emphasis> es +<emphasis>false</emphasis> esta opción no tiene efecto. + </para> + <para> + Por defecto: no especificado + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>sudo_include_netgroups (booleano)</term> + <listitem> + <para> + Si está a true SSSD descargará cada regla que contenga un grupo de red en el +atributo sudoHost. + </para> + <para> + Si <emphasis>ldap_sudo_use_host_filter</emphasis> es +<emphasis>false</emphasis> esta opción no tiene efecto. + </para> + <para> + Predeterminado: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_regexp (booleano)</term> + <listitem> + <para> + Si es verdad SSSD descargará cada regla que contenga un comodín en el +atributo sudoHost. + </para> + <para> + Si <emphasis>ldap_sudo_use_host_filter</emphasis> es +<emphasis>false</emphasis> esta opción no tiene efecto. + </para> + <note> + <para> + ¡Usar comodines es una operación que es muy costosa de evaluar en el lado +del servidor LDAP! + </para> + </note> + <para> + Predeterminado: false + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Esta página de manual sólo describe el atributo de nombre mapping. Para una +explicación detallada de la semántica del atributo relacionada con sudo, vea +<citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry> + </para> + </refsect1> + + <refsect1 id='autofs-options' condition="with_autofs"> + <title>OPCIONES AUTOFS</title> + <para> + Algunos de los valores por defecto para los parámetros de abajo dependen del +esquema LDAP. + </para> + <para> + <variablelist> + <varlistentry> + <term>ldap_autofs_map_master_name (cadena)</term> + <listitem> + <para> + El nombre del mapa maestro de montaje automático en LDAP. + </para> + <para> + Pfredeterminado: auto.master + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect1> + + <refsect1 id='advanced-options'> + <title>OPCIONES AVANZADAS</title> + <para> + Estas opciones están soportadas por dominios LDAP, pero deberían ser usadas +con precaución. Por favor incluyalas en su configuración si usted sabe lo +que está haciendo. <variablelist> + <varlistentry> + <term>ldap_netgroup_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_user_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_group_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + </variablelist> <variablelist> + <note> + <para> + Si la opción <quote>ldap_use_tokengroups</quote> está habilitada, las +búsquedas contra Active Directory no serán restringidas y devolverán todos +los grupos miembros, incluso sin mapeo GID. Se recomienda deshabilitar esta +función, si los nombres de grupo no están siendo visualizados correctamente. + </para> + </note> + <varlistentry condition="with_sudo"> + <term>ldap_sudo_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ldap_autofs_search_base (cadena)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>EJEMPLO</title> + <para> + El siguiente ejemplo asume que SSSS está configurado correctamente y LDAP +está fijado a uno de los dominios de la sección +<replaceable>[domains]</replaceable>. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + <refsect1 id='ldap_access_filter_example'> + <title>EJEMPLO DE FILTRO DE ACCESO LDAP</title> + <para> + El siguiente ejemplo asume que SSSD está correctamente configurado y usa +ldap_access_order=lockout. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTAS</title> + <para> + Las descripciones de algunas de las opciones de configuración en esta página +de manual están basadas en la página de manual <citerefentry> +<refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> de la distribución OpenLDAP 2.4. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sssd-simple.5.xml b/src/man/es/sssd-simple.5.xml new file mode 100644 index 0000000..0f7f025 --- /dev/null +++ b/src/man/es/sssd-simple.5.xml @@ -0,0 +1,153 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>el fichero de configuración para en proveedor de control de acceso 'simple' +de SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + Esta página de manual describe la configuración del proveedor de control de +acceso simple para <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Para una referencia detallada de +sintaxis, vea la sección <quote>FILE FORMAT</quote> de la página de manual +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + El proveedor de acceso simple otorga o deniega el acceso en base a una lista +de acceso o denegación de usuarios o grupo de nombres. Se aplican las +siguientes reglas: + <itemizedlist> + <listitem> + <para>Si todas las listas están vacías, se concede acceso</para> + </listitem> + <listitem> + <para> + Si se ha suministrado alguna lista, el orden de evaluación es +permitir,denegar. Esto significa que cualquier regla de denegación será +saltada por cualquier regla de permiso coincidente. + </para> + </listitem> + <listitem> + <para> + Si una o ambas listas de "permiso" se suministran, todos los usuarios serán +denegados a no ser que aparezcan en la lista. + </para> + </listitem> + <listitem> + <para> + Si sólo se suministran listas de "denegación", todos los usuarios obtendran +acceso a no ser que aparezcan en la lista. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>OPCIONES DE CONFIGURACIÓN</title> + <para>Vea la sección <quote>DOMAIN SECTIONS</quote> de la página de manual +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> para detalles sobre la +configuración de un dominio SSSD. <variablelist> + <varlistentry> + <term>simple_allow_users (cadena)</term> + <listitem> + <para> + Lista separada por comas de usuarios a los está permitido el acceso. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (cadena)</term> + <listitem> + <para> + Lista separada por comas de usuarios a los que explicítamente se les deniega +el acceso. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (cadena)</term> + <listitem> + <para> + Lista separada por comas de grupos que tienen permitido el acceso. Esto se +aplica sólo a los grupos dentro del dominio SSSD. Los grupos locales no +serán evaluados. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (cadena)</term> + <listitem> + <para> + Lista separada por comas de grupos a los que explicítamente se les deniega +el acceso. Esto se aplica sólo a los grupos dentro del dominio SSSD. Los +grupos locales no serán evaluados. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + No especificando valores para ninguna de las listas es equivalente a +saltarle totalmente. Tenga cuidado de esto mientras genera parámetros para +el simple proveedor usando secuencias de comandos automatizadas. + </para> + <para> + Por favor advierta que es un error de configuración si tanto, +simple_allow_users como simple_deny_user, están definidos. + </para> + </refsect1> + + <refsect1 id='example'> + <title>EJEMPLO</title> + <para> + El siguiente ejemplo asume que SSSD está correctamente configurado y +example.com es uno de los dominios en la sección +<replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones +específicas del proveedor de acceso simple. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTAS</title> + <para> + La jerarquía completa de membresía del grupo se resuelve antes de la +comprobación de acceso, así incluso los grupos anidados se pueden incluir en +las listas de acceso. Por favor tenga cuidado en que la opción +<quote>ldap_group_nesting_level</quote> puede impactar en los resultados y +deberia ser establecidad a un valor suficiente. Opción (<citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>). + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/es/sssd_krb5_locator_plugin.8.xml b/src/man/es/sssd_krb5_locator_plugin.8.xml new file mode 100644 index 0000000..3c88aaf --- /dev/null +++ b/src/man/es/sssd_krb5_locator_plugin.8.xml @@ -0,0 +1,108 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_locator_plugin</refname> + <refpurpose>Complemento localizador Kerberos</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + El complemento localizador Kerberos +<command>sssd_krb5_locator_plugin</command> es usado por libkrb5 para +encontrar KDCs en un reino Kerberos dado. SSSD proporciona dicho complemento +para guiar a todos los clientes Kerberos es un sistema a un único KDC. En +general, no debería importar con qué KDC está hablando un proceso de +cliente. Pero hay casos, e.g. después de un cambio de contraseña, donde no +todos los KDCs etán en el mismo estado porque los nuevos datos tienen que +ser replicados primero. Para evitar fallos de autenticación inesperados y +quizás bloqueos de cuentas sería bueno hablar con un único KDC todo lo que +sea posible. + </para> + <para> + libkrb5 buscará el complemento localizador en el subdirectorio libkrb5 del +directorio de complementos Kerberos, vea más detalles en plugin_base_dir en +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. El complemento solo se puede +deshabilitar borrando el fichero del complemento. No hay opción en a +configuración de Kerberos para deshabilitarlo. Pero la variable de entorno +SSSD_KRB5_LOCATOR_DISABLE puede ser usada para deshabilitar el complemento +en comandos individuales. Alternativamente la opción SSSD +krb5_use_kdcinfo=False puede ser usada para no generar los datos necesarios +para el complemento. Con esto, todavía se llama al complemento, pero no +proporcionará datos a la persona que llama para que libkrb5 pueda recurrir a +otros métodos definidos en krb5.conf. + </para> + <para> + El complemento lee la información sobre los KDCs de un reino dado desde un +fichero llamado <filename>kdcinfo.REALM</filename>. El fichero debería +contener uno o más nombres de DNS o direcciones IP ya sea en anotación +decimal con puntos IPv4 o en anotación hexadecimal IPv6. Su puede añadir un +número de puerto adicional al final separado con dos puntos, la dirección +IPv6 tiene que estar encerrada entre corchetes en este caso como es +usual. Las entradas válidas son: + <itemizedlist> + <listitem><para>kdc.example.com</para></listitem> + <listitem><para>kdc.example.com:321</para></listitem> + <listitem><para>1.2.3.4</para></listitem> + <listitem><para>5.6.7.8:99</para></listitem> + <listitem><para>2001:db8:85a3::8a2e:370:7334</para></listitem> + <listitem><para>[2001:db8:85a3::8a2e:370:7334]:321</para></listitem> + </itemizedlist> + Krb5 auth-provider de SSSD que es utilizado por IPA y los proveedores AD que +también agrega la dirección del actual KDC o controlador de dominio SSSD se +utiliza para este fichero. + </para> + <para> + En entornos con KDCs de solo lectura y lectura-escritura donde los clientes +esperan usar las instancias solo lectura para las operaciones generales y +solo KDC de lectura-escritura para cambio de configuración como cambios de +contraseña se utiliza <filename>kpasswdinfo.REALM</filename> también para +identificar KDCs de lectura-escritura. Si existe este fichero para el reino +dado el contenido será usado por el complemento para contestar las +peticiones de un servidor kpasswd o kadmin opara el maestro específico KDC +MIT Kerberos. Si la dirección contiene un número de puerto el puerto +predeterminado KDC 88 será usado para los posteriores. + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTAS</title> + <para> + No todas las implementaciones Kerberos soportan el uso de plugins. Si +<command>sssd_krb5_locator_plugin</command> no está disponible en su sistema +usted tiene que editar /etc/krb5.conf para reflejar sus ajustes Kerberos. + </para> + <para> + Si la variable de entorno SSSD_KRB5_LOCATOR_DEBUR está fijada a cualquier +valor los mensajes de depuración se enviarán a stderr. + </para> + <para> + Si la variable de entorno SSSD_KRB5_LOCATOR_DISABLE está establecida a +cualquier valor el complemento es deshabilitado y y devolverá +KRB5_PLUGIN_NO_HANDLE al llamante. + </para> + <para> + Si la variable de entorno SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES etá +establecida a cualquier valor el complemento intentará resolver todos los +nombres DNS en el fichero kdcinfo. Por defecto el complemento devuelve +KRB5_PLUGIN_NO_HANDLE al llamante inmediatamente en el primer fallo +resolviendo DNS. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |