summaryrefslogtreecommitdiffstats
path: root/src/man/ru/sssd-ad.5.xml
diff options
context:
space:
mode:
authorDaniel Baumann <daniel.baumann@progress-linux.org>2024-04-19 05:31:45 +0000
committerDaniel Baumann <daniel.baumann@progress-linux.org>2024-04-19 05:31:45 +0000
commit74aa0bc6779af38018a03fd2cf4419fe85917904 (patch)
tree9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/ru/sssd-ad.5.xml
parentInitial commit. (diff)
downloadsssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz
sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/ru/sssd-ad.5.xml')
-rw-r--r--src/man/ru/sssd-ad.5.xml1331
1 files changed, 1331 insertions, 0 deletions
diff --git a/src/man/ru/sssd-ad.5.xml b/src/man/ru/sssd-ad.5.xml
new file mode 100644
index 0000000..c03ef64
--- /dev/null
+++ b/src/man/ru/sssd-ad.5.xml
@@ -0,0 +1,1331 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
+"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
+<reference>
+<title>Справка по SSSD</title>
+<refentry>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
+
+ <refmeta>
+ <refentrytitle>sssd-ad</refentrytitle>
+ <manvolnum>5</manvolnum>
+ <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo>
+ </refmeta>
+
+ <refnamediv id='name'>
+ <refname>sssd-ad</refname>
+ <refpurpose>Поставщик Active Directory SSSD</refpurpose>
+ </refnamediv>
+
+ <refsect1 id='description'>
+ <title>ОПИСАНИЕ</title>
+ <para>
+ На этой справочной странице представлено описание настройки поставщика
+данных AD для <citerefentry> <refentrytitle>sssd</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе
+доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы
+<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ Поставщик данных AD — это внутренний сервер, который используется для
+подключения к серверу Active Directory. Для работы этого поставщика
+необходимо, чтобы компьютер был присоединён к домену AD и чтобы была
+доступна таблица ключей. Обмен данными с внутренним сервером выполняется по
+каналу с шифрованием GSSAPI. С поставщиком данных AD не следует использовать
+параметры SSL/TLS, поскольку использование Kerberos будет иметь приоритет
+над ними.
+ </para>
+ <para>
+ Поставщик данных AD поддерживает подключение к Active Directory 2008 R2 или
+выше. Работа с предшествующими версиями возможна, но не поддерживается.
+ </para>
+ <para>
+ Поставщик данных AD может использоваться для получения данных пользователей
+и проверки подлинности пользователей из доверенных доменов. В настоящее
+время распознаются только домены, находящиеся в одном и том же лесу. Кроме
+того, серверы из доверенных доменов всегда обнаруживаются автоматически.
+ </para>
+ <para>
+ Поставщик данных AD позволяет SSSD использовать поставщика данных
+идентификации <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> и поставщика данных проверки
+подлинности <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> с оптимизацией для сред Active
+Directory. Поставщик данных AD принимает те же параметры, которые
+используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми
+исключениями. Но установка этих параметров не является ни необходимой, ни
+рекомендуемой.
+ </para>
+ <para>
+ Поставщик данных AD в основном копирует стандартные параметры традиционных
+поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий
+доступен в разделе <quote>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</quote>.
+ </para>
+ <para>
+ Поставщик данных AD также может использоваться в качестве поставщика данных
+управления доступом, chpass, sudo и autofs. Конфигурация поставщика доступа
+на стороне клиента не требуется.
+ </para>
+ <para>
+ Если в sssd.conf указано <quote>auth_provider=ad</quote> или
+<quote>access_provider=ad</quote>, параметр id_provider тоже необходимо
+установить в значение <quote>ad</quote>.
+ </para>
+ <para>
+ По умолчанию поставщик данных AD сопоставляет значения UID и GID из
+параметра objectSID в Active Directory. Подробные сведения об этом доступны
+в разделе <quote>СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ</quote> ниже. Если требуется
+отключить сопоставление идентификаторов и полагаться на атрибуты POSIX,
+определённые в Active Directory, следует указать <programlisting>
+ldap_id_mapping = False
+ </programlisting> Если должны быть использованы атрибуты POSIX,
+в целях повышения производительности рекомендуется также реплицировать эти
+атрибуты в глобальный каталог. Если атрибуты POSIX реплицируются, SSSD
+попытается найти домен по числовому идентификатору из запроса с помощью
+глобального каталога и выполнит поиск в этом домене. Если же атрибуты POSIX
+не реплицируются в глобальный каталог, SSSD придётся последовательно
+выполнить поиск во всех доменах в лесу. Обратите внимание, что для ускорения
+поиска без доменов также может быть полезным использование параметра
+<quote>cache_first</quote>. Учтите, что если в глобальном каталоге
+присутствует только подмножество атрибутов POSIX, из порта LDAP не будет
+выполняться чтение нереплицированных атрибутов.
+ </para>
+ <para>
+ Регистр записей пользователей, групп и других сущностей, обслуживаемых SSSD,
+никогда не учитывается поставщиком данных AD в целях обеспечения
+совместимости с реализацией LDAP Active Directory.
+ </para>
+ <para>
+ SSSD разрешает только группы безопасности Active Directory. Дополнительные
+сведения о типах групп AD см. в разделе <ulink
+url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups">
+Группы безопасности Active Directory</ulink>
+ </para>
+ <para>
+ SSSD отфильтровывает локальные для домена группы от удалённых доменов в лесу
+AD. По умолчанию группы будут отфильтрованы (например, при следовании по
+иерархии вложенных групп в удалённых доменах), так не являются
+действительными в локальном домене. Это сделано для обеспечения
+согласованности с назначением групп и участия в них Active Directory,
+которое можно увидеть в PAC билете Kerberos пользователя, выданного Active
+Directory.
+ </para>
+ </refsect1>
+
+ <refsect1 id='configuration-options'>
+ <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title>
+ <para>Сведения о конфигурации домена SSSD доступны в разделе <quote>РАЗДЕЛЫ
+ДОМЕНА</quote> справочной страницы <citerefentry>
+<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>. <variablelist>
+ <varlistentry>
+ <term>ad_domain (строка)</term>
+ <listitem>
+ <para>
+ Позволяет указать имя домена Active Directory. Это необязательно. Если имя
+не указано, используется имя домена в конфигурации.
+ </para>
+ <para>
+ Для корректной работы этот параметр следует указывать в формате записи
+полной версии имени домена Active Directory в нижнем регистре.
+ </para>
+ <para>
+ Краткое имя домена (также называется именем NetBIOS или плоским именем)
+автоматически определяется SSSD.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enabled_domains (строка)</term>
+ <listitem>
+ <para>
+ A comma-separated list of enabled Active Directory domains. If provided,
+SSSD will ignore any domains not listed in this option. If left unset, all
+discovered domains from the AD forest will be available.
+ </para>
+ <para>
+ During the discovery of the domains SSSD will filter out some domains where
+flags or attributes indicate that they do not belong to the local forest or
+are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
+listed domains.
+ </para>
+ <para>
+ Для корректной работы этот параметр должен быть указан полностью в нижнем
+регистре и как полное доменное имя домена Active Directory. Например:
+<programlisting>
+ad_enabled_domains = sales.example.com, eng.example.com
+ </programlisting>
+ </para>
+ <para>
+ Краткое имя домена (также называется именем NetBIOS или плоским именем)
+будет автоматически определено SSSD.
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_server, ad_backup_server (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён узлов серверов AD, к которым SSSD следует
+подключаться в порядке приоритета. Дополнительные сведения об отработке
+отказа и избыточности сервера доступны в разделе <quote>ОТРАБОТКА
+ОТКАЗА</quote>.
+ </para>
+ <para>
+ Этот параметр является необязательным, если включено автоматическое
+обнаружение служб. Дополнительные сведения об обнаружении служб доступны в
+разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>.
+ </para>
+ <para>
+ Примечание: доверенные домены всегда автоматически обнаруживают серверы,
+даже если в параметре ad_server явно определён основной сервер.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_hostname (строка)</term>
+ <listitem>
+ <para>
+ Необязательный параметр. На компьютерах, где hostname(5) не содержит полное
+имя, sssd будет пытаться расширить краткое имя. Если это невозможно или если
+следует использовать именно краткое имя, необходимо явно указать этот
+параметр.
+ </para>
+ <para>
+ Это поле используется для определения используемого участника-узла в таблице
+ключей и выполнения динамических обновлений DNS. Его значение должно
+соответствовать имени узла, для которого была выпущена таблица ключей.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enable_dns_sites (логическое значение)</term>
+ <listitem>
+ <para>
+ Включить сайты DNS — обнаружение служб по расположению.
+ </para>
+ <para>
+ Если этот параметр установлен в значение «true» и включено обнаружение служб
+(смотрите абзац об обнаружении служб в нижней части справочной страницы),
+SSSD сначала попытается обнаружить сервер Active Directory, к которому
+следует подключиться, с помощью возможности обнаружения сайтов Active
+Directory, а затем, если сайт AD не удастся найти, будет использовать записи
+SRV DNS. Конфигурация SRV DNS, включая домен обнаружения, используется также
+и при обнаружении сайтов.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_access_filter (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр позволяет указать фильтр управления доступом LDAP, условиям
+которого должен соответствовать пользователь для получения доступа. Обратите
+внимание, что этот параметр будет работать только в том случае, если
+параметр <quote>access_provider</quote> явно установлен в значение
+<quote>ad</quote>.
+ </para>
+ <para>
+ Этот параметр также поддерживает указание разных фильтров для отдельных
+доменов или лесов. Такой расширенный фильтр имеет следующий формат:
+<quote>KEYWORD:NAME:FILTER</quote>. Ключевым словом может быть
+<quote>DOM</quote> или <quote>FOREST</quote>, а также оно может
+отсутствовать.
+ </para>
+ <para>
+ Если в качестве ключевого слова используется <quote>DOM</quote> или если
+ключевое слово не указано, <quote>NAME</quote> указывает домен или поддомен,
+к которому применяется фильтр. Если в качестве ключевого слова используется
+<quote>FOREST</quote>, фильтр применяется ко всем доменам из леса,
+указанного значением <quote>NAME</quote>.
+ </para>
+ <para>
+ Несколько фильтров можно разделить с помощью символа <quote>?</quote>,
+аналогично работе баз поиска.
+ </para>
+ <para>
+ Поиск участия во вложенных группах выполняется с помощью специального OID
+<quote>:1.2.840.113556.1.4.1941:</quote> в дополнение к полной
+синтаксической конструкции DOM:domain.example.org:, чтобы средство обработки
+не пыталось интерпретировать символы двоеточия, связанные с OID. Без
+использования этого OID разрешение участия во вложенных группах не будет
+выполняться. Пример использования приводится ниже, а дополнительные сведения
+о OID доступны <ulink
+url="https://msdn.microsoft.com/en-us/library/cc223367.aspx">в разделе
+технической спецификации Active Directory MS, посвящённом расширениям
+LDAP</ulink>
+ </para>
+ <para>
+ Всегда используется совпадение с наивысшим уровнем соответствия. Например,
+если с помощью параметра задан фильтр для домена, участником которого
+является пользователь, и глобальный фильтр, будет применяться фильтр для
+домена. Если имеется несколько совпадений с одинаковым уровнем соответствия,
+будет использоваться первое из них.
+ </para>
+ <para>
+ Примеры:
+ </para>
+ <programlisting>
+# применить фильтр только для домена с именем dom1:
+dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
+
+# применить фильтр только для домена с именем dom2:
+DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
+
+# применить фильтр только для леса с именем EXAMPLE.COM:
+FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
+
+# применить фильтр для участника вложенной группы в dom1:
+DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
+ </programlisting>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_site (строка)</term>
+ <listitem>
+ <para>
+ Позволяет указать сайт AD, к которому клиенту следует попытаться
+подключиться. Если этот параметр не указан, обнаружение сайта AD будет
+выполнено автоматически.
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enable_gc (логическое значение)</term>
+ <listitem>
+ <para>
+ По умолчанию SSSD сначала подключается к глобальному каталогу для получения
+данных пользователей из доверенных доменов, а порт LDAP используется для
+получения данных об участии в группах или в качестве резервного
+способа. Если этот параметр отключён, SSSD будет подключаться только к порту
+LDAP текущего сервера AD.
+ </para>
+ <para>
+ Обратите внимание, что отключение глобального каталога не отключает
+получение данных пользователей из доверенных доменов. SSSD просто будет
+подключаться к порту LDAP доверенных доменов. Тем не менее, для разрешения
+данных о междоменном участии в группах необходимо использовать глобальный
+каталог.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_access_control (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр позволяет указать режим работы функциональной возможности
+управления доступом на основе GPO: отключённый, принудительный или
+разрешительный. Обратите внимание, что для работы этого параметра необходимо
+явно установить параметр <quote>access_provider</quote> в значение
+<quote>ad</quote>.
+ </para>
+ <para>
+ Функциональная возможность управления доступом на основе GPO использует
+параметры политики GPO для определения того, разрешён ли конкретному
+пользователю вход на узел. Дополнительные сведения о поддерживаемых
+параметрах политики доступны в описании параметров
+<quote>ad_gpo_map</quote>.
+ </para>
+ <para>
+ Обратите внимание, что текущая версия SSSD не поддерживает встроенные группы
+Active Directory. Встроенные группы (например, Administrators с SID
+S-1-5-32-544) в правилах управления доступом GPO будут проигнорированы
+SSSD. Подробные сведения доступны в системе отслеживания ошибок:
+https://github.com/SSSD/sssd/issues/5063 .
+ </para>
+ <para>
+ Перед осуществлением управления доступом SSSD применяет к GPO фильтр
+безопасности групповой политики. Для входа каждого пользователя проверяется
+применимость GPO, связанных с узлом. Чтобы GPO применялся к пользователю,
+пользователь или хотя бы одна из групп, участником которых он является,
+должна обладать следующими правами GPO:
+ <itemizedlist>
+ <listitem>
+ <para>
+ Read: пользователь или одна из его групп должна обладать правом чтения
+свойств GPO (RIGHT_DS_READ_PROPERTY)
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ Apply Group Policy: пользователю или хотя бы одной из его групп должно быть
+разрешено применять GPO (RIGHT_DS_CONTROL_ACCESS).
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ По умолчанию в GPO присутствует группа Authenticated Users. Она обладает как
+правом доступа Read, так и правом доступа Apply Group Policy. Так как
+проверка подлинности пользователя должна успешно завершиться до того, как
+будет применён фильтр безопасности и начато управление доступом на основе
+GPO, этот пользователю всегда будет обладать правами группы Authenticated
+Users GPO.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если в качестве режим работы выбран принудительный режим,
+возможно, что пользователям, которым был ранее разрешён доступ для входа,
+теперь будет отказано в доступе для входа (согласно параметрам политики
+GPO). Чтобы облегчить переход на новую систему, для администраторов
+предусмотрен разрешительный режим: правила управления доступом не
+применяются в принудительном порядке. Программа просто проверяет
+соответствие этим правилам и выводит в системный журнал сообщение в случае
+отказа в доступе. Просмотрев этот журнал, администраторы смогут внести
+необходимые изменения, а затем включить принудительный режим. Для ведения
+журнала управления доступом на основе GPO необходимо включить уровень
+отладки «трассировка функций» (см. справочную страницу <citerefentry>
+<refentrytitle>sssctl</refentrytitle> <manvolnum>8</manvolnum>
+</citerefentry>).
+ </para>
+ <para>
+ Для этого параметра поддерживаются три значения:
+ <itemizedlist>
+ <listitem>
+ <para>
+ disabled: не осуществляется ни проверка соответствия правилам управления
+доступом на основе GPO, ни их принудительное применение.
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ enforcing: осуществляется проверка соответствия правилам управления доступом
+на основе GPO и их принудительное применение.
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ permissive: осуществляется проверка соответствия правилам управления
+доступом на основе GPO, но не их принудительное применение. Вместо этого
+создаётся сообщение системного журнала, означающее, что пользователю было бы
+отказано в доступе, если бы в качестве значения этого параметра был задан
+принудительный режим.
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para condition="gpo_default_permissive">
+ По умолчанию: permissive
+ </para>
+ <para condition="gpo_default_enforcing">
+ По умолчанию: enforcing
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_implicit_deny (логическое значение)</term>
+ <listitem>
+ <para>
+ Обычно пользователям разрешается доступ, если применимые GPO не
+найдены. Когда этот параметр установлен в значение «True», пользователям
+будет разрешён доступ только в том случае, если это явно разрешено правилом
+GPO. В ином случае пользователям будет отказано в доступе. Это можно сделать
+для усиления защиты, но следует использовать этот параметр с осторожностью:
+возможен отказ в доступе даже тем пользователям, которые состоят во
+встроенной группе Administrators, если к ним не применяются правила GPO.
+ </para>
+
+ <para>
+ По умолчанию: false
+ </para>
+
+ <para>
+ В следующих двух таблицах показано, когда пользователю будет разрешён или
+запрещён доступ на основе прав разрешения или запрета входа, которые
+определены на стороне сервера, и установленного значения
+ad_gpo_implicit_deny.
+ </para>
+ <informaltable frame='all'>
+ <tgroup cols='3'>
+ <colspec colname='c1' align='center'/>
+ <colspec colname='c2' align='center'/>
+ <colspec colname='c3' align='center'/>
+ <thead>
+ <row><entry namest='c1' nameend='c3' align='center'>
+ ad_gpo_implicit_deny = False (по умолчанию)</entry></row>
+ <row><entry>правила разрешения</entry><entry>правила запрета</entry>
+ <entry>результат</entry></row>
+ </thead>
+ <tbody>
+ <row><entry>отсутствуют</entry><entry>отсутствуют</entry>
+ <entry><para>доступ разрешён всем пользователям</para>
+ </entry></row>
+ <row><entry>отсутствуют</entry><entry>присутствуют</entry>
+ <entry><para>доступ разрешён только пользователям, отсутствующим в правилах запрета</para></entry></row>
+ <row><entry>присутствуют</entry><entry>отсутствуют</entry>
+ <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row>
+ <row><entry>присутствуют</entry><entry>присутствуют</entry>
+ <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и
+отсутствующим в правилах запрета</para></entry></row>
+ </tbody></tgroup></informaltable>
+
+ <informaltable frame='all'>
+ <tgroup cols='3'>
+ <colspec colname='c1' align='center'/>
+ <colspec colname='c2' align='center'/>
+ <colspec colname='c3' align='center'/>
+ <thead>
+ <row><entry namest='c1' nameend='c3' align='center'>
+ ad_gpo_implicit_deny = True</entry></row>
+ <row><entry>правила разрешения</entry><entry>правила запрета</entry>
+ <entry>результат</entry></row>
+ </thead>
+ <tbody>
+ <row><entry>отсутствуют</entry><entry>отсутствуют</entry>
+ <entry><para>доступ запрещён всем пользователям</para>
+ </entry></row>
+ <row><entry>отсутствуют</entry><entry>присутствуют</entry>
+ <entry><para>доступ запрещён всем пользователям</para>
+ </entry></row>
+ <row><entry>присутствуют</entry><entry>отсутствуют</entry>
+ <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row>
+ <row><entry>присутствуют</entry><entry>присутствуют</entry>
+ <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и
+отсутствующим в правилах запрета</para></entry></row>
+ </tbody></tgroup></informaltable>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_ignore_unreadable (логическое значение)</term>
+ <listitem>
+ <para>
+ Обычно пользователям запрещён доступ, когда некоторые контейнеры групповой
+политики (объекта AD) соответствующих объектов групповой политики недоступны
+для чтения SSSD. Этот параметр позволяет игнорировать контейнеры групповой
+политики, а также связанные с ними политики, если их атрибуты в контейнерах
+групповой политики недоступны для чтения SSSD.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+
+
+ <varlistentry>
+ <term>ad_gpo_cache_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Временной интервал между сеансами поиска файлов политики GPO на сервере
+AD. Это сократит задержки и нагрузку на сервер AD, когда за короткое время
+поступает много запросов на управление доступом.
+ </para>
+ <para>
+ По умолчанию: 5 (секунд)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_interactive (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых проверка
+соответствия правилам управления доступом на основе GPO осуществляется на
+основе параметров политики InteractiveLogonRight и
+DenyInteractiveLogonRight. Обрабатываются только те GPO, на доступ к которым
+у пользователя есть права Read и Apply Group Policy (смотрите описание
+параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
+содержит параметр запрета интерактивного входа для пользователя или одной из
+его групп, пользователю будет отказано в локальном доступе. Если ни в одном
+из обработанных GPO нет определённого права интерактивного входа,
+пользователю будет разрешён локальный доступ. Если хотя бы один обработанный
+GPO содержит параметры права интерактивного входа, пользователю будет
+разрешён только локальный доступ, если он или хотя бы одна из его групп
+являются частью параметров политики.
+ </para>
+ <para>
+ Примечание: в редакторе управления групповыми политиками это значение
+называется «Разрешить локальный вход» («Allow log on locally») и «Запретить
+локальный вход» («Deny log on locally»).
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для этого права входа (например,
+<quote>login</quote>) на пользовательское имя службы PAM (например,
+<quote>my_pam_service</quote>), необходимо использовать следующую
+конфигурацию: <programlisting>
+ad_gpo_map_interactive = +my_pam_service, -login
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ login
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su-l
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-fingerprint
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-password
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-smartcard
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ kdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ lightdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ lxdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sddm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ unity
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ xdm
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_remote_interactive (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых проверка
+соответствия правилам управления доступом на основе GPO осуществляется на
+основе параметров политики RemoteInteractiveLogonRight и
+DenyRemoteInteractiveLogonRight. Обрабатываются только те GPO, на доступ к
+которым у пользователя есть права Read и Apply Group Policy (смотрите
+описание параметра <quote>ad_gpo_access_control</quote>). Если обработанный
+GPO содержит параметр запрета удалённого входа для пользователя или одной из
+его групп, пользователю будет отказано в удалённом интерактивном
+доступе. Если ни в одном из обработанных GPO нет определённого права
+удалённого интерактивного входа, пользователю будет разрешён удалённый
+доступ. Если хотя бы один обработанный GPO содержит параметры права
+удалённого интерактивного входа, пользователю будет разрешён только
+удалённый доступ, если он или хотя бы одна из его групп являются частью
+параметров политики.
+ </para>
+ <para>
+ Примечание: в редакторе управления групповыми политиками это значение
+называется «Разрешить вход через службы удалённых рабочих столов» («Allow
+log on through Remote Desktop Services») и «Запретить вход через службы
+удалённых рабочих столов» («Deny log on through Remote Desktop Services»).
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для этого права входа (например,
+<quote>sshd</quote>) на пользовательское имя службы PAM (например,
+<quote>my_pam_service</quote>), необходимо использовать следующую
+конфигурацию: <programlisting>
+ad_gpo_map_remote_interactive = +my_pam_service, -sshd
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ sshd
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ cockpit
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_network (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых проверка
+соответствия правилам управления доступом на основе GPO осуществляется на
+основе параметров политики NetworkLogonRight и
+DenyNetworkLogonRight. Обрабатываются только те GPO, на доступ к которым у
+пользователя есть права Read и Apply Group Policy (смотрите описание
+параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
+содержит параметр запрета входа в сеть для пользователя или одной из его
+групп, пользователю будет отказано в доступе для входа в сеть. Если ни в
+одном из обработанных GPO нет определённого права входа в сеть, пользователю
+будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
+параметры права входа в сеть, пользователю будет разрешён только доступ для
+входа, если он или хотя бы одна из его групп являются частью параметров
+политики.
+ </para>
+ <para>
+ Примечание: в редакторе управления групповыми политиками это значение
+называется «Разрешить доступ к компьютеру из сети» («Access this computer
+from the network») и «Запретить доступ к компьютеру из сети» («Deny access
+to this computer from the network»).
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для этого права входа (например,
+<quote>ftp</quote>) на пользовательское имя службы PAM (например,
+<quote>my_pam_service</quote>), необходимо использовать следующую
+конфигурацию: <programlisting>
+ad_gpo_map_network = +my_pam_service, -ftp
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ ftp
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ samba
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_batch (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых проверка
+соответствия правилам управления доступом на основе GPO осуществляется на
+основе параметров политики BatchLogonRight и
+DenyBatchLogonRight. Обрабатываются только те GPO, на доступ к которым у
+пользователя есть права Read и Apply Group Policy (смотрите описание
+параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
+содержит параметр запрета пакетного входа для пользователя или одной из его
+групп, пользователю будет отказано в доступе для пакетного входа. Если ни в
+одном из обработанных GPO нет определённого права пакетного входа,
+пользователю будет разрешён доступ для входа. Если хотя бы один обработанный
+GPO содержит параметры права пакетного входа, пользователю будет разрешён
+только доступ для входа, если он или хотя бы одна из его групп являются
+частью параметров политики.
+ </para>
+ <para>
+ Примечание: в редакторе управления групповыми политиками это значение
+называется «Разрешить вход в качестве пакетного задания» («Allow log on as a
+batch job») и «Запретить вход в качестве пакетного задания» («Deny log on as
+a batch job»).
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для этого права входа (например,
+<quote>crond</quote>) на пользовательское имя службы PAM (например,
+<quote>my_pam_service</quote>), необходимо использовать следующую
+конфигурацию: <programlisting>
+ad_gpo_map_batch = +my_pam_service, -crond
+ </programlisting>
+ </para>
+ <para>Примечание: имя службы cron может различаться в зависимости от используемого
+дистрибутива Linux.</para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ crond
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_service (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых проверка
+соответствия правилам управления доступом на основе GPO осуществляется на
+основе параметров политики ServiceLogonRight и
+DenyServiceLogonRight. Обрабатываются только те GPO, на доступ к которым у
+пользователя есть права Read и Apply Group Policy (смотрите описание
+параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
+содержит параметр запрета входа службы для пользователя или одной из его
+групп, пользователю будет отказано в доступе для входа службы. Если ни в
+одном из обработанных GPO нет определённого права входа службы, пользователю
+будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
+параметры права входа службы, пользователю будет разрешён только доступ для
+входа, если он или хотя бы одна из его групп являются частью параметров
+политики.
+ </para>
+ <para>
+ Примечание: в редакторе управления групповыми политиками это значение
+называется «Разрешить вход в качестве службы» («Allow log on as a service»)
+и «Запретить вход в качестве службы» («Deny log on as a service»).
+ </para>
+ <para>
+ Можно добавить имя службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Так как стандартный набор является пустым, из
+него невозможно удалить имя службы PAM. Например, чтобы добавить
+пользовательское имя службы PAM (например, <quote>my_pam_service</quote>),
+необходимо использовать следующую конфигурацию: <programlisting>
+ad_gpo_map_service = +my_pam_service
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_permit (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, которым всегда предоставляется
+доступ на основе GPO, независимо от прав входа GPO.
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для безусловно разрешённого доступа
+(например, <quote>sudo</quote>) на пользовательское имя службы PAM
+(например, <quote>my_pam_service</quote>), необходимо использовать следующую
+конфигурацию: <programlisting>
+ad_gpo_map_permit = +my_pam_service, -sudo
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ polkit-1
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo-i
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ systemd-user
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_deny (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, которым всегда запрещается
+доступ на основе GPO, независимо от прав входа GPO.
+ </para>
+ <para>
+ Можно добавить имя службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Так как стандартный набор является пустым, из
+него невозможно удалить имя службы PAM. Например, чтобы добавить
+пользовательское имя службы PAM (например, <quote>my_pam_service</quote>),
+необходимо использовать следующую конфигурацию: <programlisting>
+ad_gpo_map_deny = +my_pam_service
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_default_right (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр определяет, как обрабатываются правила управления доступом для
+имён служб PAM, которые явно не указаны в одном из параметров
+ad_gpo_map_*. Этот параметр можно установить двумя разными
+способами. Первый: с помощью этого параметра можно задать использование
+стандартного права входа. Например, установка этого параметра в значение
+«interactive» означает, что несопоставленные имена служб PAM будут
+обрабатываться на основе параметров политики InteractiveLogonRight и
+DenyInteractiveLogonRight. Второй: с помощью этого параметра можно указать
+всегда разрешать или всегда запрещать доступ для несопоставленных имён служб
+PAM.
+ </para>
+ <para>
+ Для этого параметра поддерживаются следующие значения:
+ <itemizedlist>
+ <listitem>
+ <para>
+ interactive
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ remote_interactive
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ network
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ batch
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ service
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ permit
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ deny
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ По умолчанию: deny
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_maximum_machine_account_password_age (целое число)</term>
+ <listitem>
+ <para>
+ SSSD будет раз в день проверять, не превышен ли указанный возраст (в днях)
+пароля учётной записи компьютера, и в случае превышения попытается обновить
+его. Значение «0» отключает попытку обновления.
+ </para>
+ <para>
+ По умолчанию: 30 дней
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_machine_account_password_renewal_opts (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр следует использовать только для тестирования задания по
+обновлению пароля учётной записи компьютера. Параметр ожидает 2 целых числа,
+разделённых двоеточием («:»). Первое целое число определяет интервал (в
+секундах) между последовательными запусками задания. Второе целое число
+указывает начальный тайм-аут (в секундах) перед первым запуском задания
+после перезапуска.
+ </para>
+ <para>
+ По умолчанию: 86400:750 (24 часа и 15 минут)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_update_samba_machine_account_password (логическое значение)</term>
+ <listitem>
+ <para>
+ Если этот параметр включён, когда SSSD обновляет пароль учётной записи
+компьютера, он обновляется также в базе данных Samba. Это позволяет
+предотвратить устаревание копии пароля учётной записи компьютера в Samba,
+когда программа настроена на использование AD для проверки подлинности.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_use_ldaps (логическое значение)</term>
+ <listitem>
+ <para>
+ По умолчанию SSSD использует простой порт LDAP 389 и порт глобального
+каталога 3628. Если этот параметр установлен в значение «True», SSSD будет
+использовать порт LDAPS 636 и порт глобального каталога 3629 с защитой
+LDAPS. Так как AD не разрешает использование нескольких слоёв шифрования для
+одного подключения и всё ещё требуется использовать SASL/GSSAPI или
+SASL/GSS-SPNEGO для проверки подлинности, свойство безопасности SASL maxssf
+для таких подключений будет установлено в значение «0» (ноль).
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_allow_remote_domain_local_groups (логическое значение)</term>
+ <listitem>
+ <para>
+ Если этот параметр установлен в значение <quote>true</quote>, SSSD не будет
+отфильтровывать группы, локальные в домене, в удалённых доменах в лесу
+AD. По умолчанию они отфильтровываются (например, при следовании по иерархии
+вложенных групп в удалённых доменах), так не являются действительными в
+локальном домене. Этот параметр был добавлен для обеспечения совместимости с
+другими решениями, которые делают пользователей и группы AD доступными на
+клиенте Linux.
+ </para>
+ <para>
+ Обратите внимание, что установка этого параметра в значение
+<quote>true</quote> идёт вразрез со смыслом локальной группы домена в Active
+Directory и <emphasis>ДОЛЖНА ВЫПОЛНЯТЬСЯ ТОЛЬКО ДЛЯ ОБЛЕГЧЕНИЯ ПЕРЕХОДА С
+ДРУГИХ РЕШЕНИЙ</emphasis>. Хотя эта группа существует и пользователь может
+быть её участником, смысл состоит в том, что группа должна использоваться
+только в том домене, где она определена, и ни в каких других. Так как
+существует только один тип групп POSIX, единственный способ добиться этого
+на стороне Linux — игнорировать эти группы. Active Directory делает то же
+самое: в PAC билета Kerberos для локальной службы и в запросах tokenGroups
+тоже отсутствуют удалённые группы, локальные в домене.
+ </para>
+ <para>
+ Учитывая вышесказанное, при установке этого параметра в значение
+<quote>true</quote> необходимо отключить запрос tokenGroups путём установки
+параметра <quote>ldap_use_tokengroups</quote> в значение
+<quote>false</quote> для получения согласованных данных об участии
+пользователей в группах. Кроме того, также следует отключить поиск в
+глобальном каталоге путём установки параметра <quote>ad_enable_gc</quote> в
+значение <quote>false</quote>. И, наконец, может потребоваться изменить
+значение параметра <quote>ldap_group_nesting_level</quote>, если удалённые
+группы, локальные в домене, могут быть найдены только на более глубоком
+уровне вложенности.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update (логическое значение)</term>
+ <listitem>
+ <para>
+ Необязательный параметр. Этот параметр указывает SSSD автоматически
+обновлять на сервере DNS Active Directory IP-адрес клиента. Защита
+обновления обеспечивается с помощью GSS-TSIG. Соответственно, администратору
+Active Directory требуется только разрешить защищённые обновления для зоны
+DNS. Для обновления будет использован IP-адрес LDAP-соединения AD, если с
+помощью параметра <quote>dyndns_iface</quote> не указано иное.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы
+в этом режиме необходимо надлежащим образом задать стандартную область
+Kerberos в /etc/krb5.conf
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_ttl (целое число)</term>
+ <listitem>
+ <para>
+ Значение TTL, которое применяется при обновлении записи DNS клиента. Если
+параметр dyndns_update установлен в значение «false», этот параметр ни на
+что не влияет. Если администратором установлено значение TTL на стороне
+сервера, оно будет переопределено этим параметром.
+ </para>
+ <para>
+ По умолчанию: 3600 (секунд)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_iface (строка)</term>
+ <listitem>
+ <para>
+ Необязательный параметр. Применимо только тогда, когда параметр
+dyndns_update установлен в значение «true». Выберите интерфейс или список
+интерфейсов, IP-адреса которых должны использоваться для динамических
+обновлений DNS. Специальное значение <quote>*</quote> подразумевает, что
+следует использовать IP-адреса всех интерфейсов.
+ </para>
+ <para>
+ По умолчанию: использовать IP-адреса интерфейса, который используется для
+подключения LDAP AD
+ </para>
+ <para>
+ Пример: dyndns_iface = em1, vnet1, vnet2
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_refresh_interval (целое число)</term>
+ <listitem>
+ <para>
+ Как часто внутреннему серверу следует выполнять периодическое обновление DNS
+в дополнение к автоматическому обновлению, которое выполняется при переходе
+внутреннего сервера в сетевой режим. Этот параметр является необязательным и
+применяется только тогда, когда параметр dyndns_update установлен в значение
+«true». Обратите внимание, что наименьшее допустимое значение составляет 60
+секунд: если будет указано меньшее значение, параметр примет наименьшее
+допустимое значение (60 секунд).
+ </para>
+ <para>
+ По умолчанию: 86400 (24 часа)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update_ptr (логическое значение)</term>
+ <listitem>
+ <para>
+ Следует ли также явно обновлять запись PTR при обновлении записей DNS
+клиента. Применимо только тогда, когда параметр dyndns_update установлен в
+значение «true».
+ </para>
+ <para>
+ Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not
+apply for PTR record updates. Those updates are always sent separately.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_force_tcp (логическое значение)</term>
+ <listitem>
+ <para>
+ Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными
+с сервером DNS.
+ </para>
+ <para>
+ По умолчанию: false (разрешить nsupdate выбрать протокол)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_auth (строка)</term>
+ <listitem>
+ <para>
+ Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
+защищённых обновлений сервера DNS. Незащищённые отправления можно
+отправлять, установив этот параметр в значение «none».
+ </para>
+ <para>
+ По умолчанию: GSS-TSIG
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_auth_ptr (строка)</term>
+ <listitem>
+ <para>
+ Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
+защищённых обновлений PTR сервера DNS. Незащищённые отправления можно
+отправлять, установив этот параметр в значение «none».
+ </para>
+ <para>
+ По умолчанию: то же, что и dyndns_auth
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_server (строка)</term>
+ <listitem>
+ <para>
+ Сервер DNS, который следует использовать для выполнения обновления DNS. В
+большинстве конфигураций рекомендуется не устанавливать значение для этого
+параметра.
+ </para>
+ <para>
+ Установка этого параметра имеет смысл для сред, в которых сервер DNS
+отличается от сервера данных идентификации.
+ </para>
+ <para>
+ Обратите внимание, что этот параметр используется только для резервной
+попытки, которая выполняется тогда, когда предыдущая попытка с
+использованием автоматически определённых параметров завершилась неудачей.
+ </para>
+ <para>
+ По умолчанию: none (разрешить nsupdate выбрать сервер)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update_per_family (логическое значение)</term>
+ <listitem>
+ <para>
+ По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а
+затем обновление IPv4. В некоторых случаях может быть желательно выполнить
+обновление IPv4 и IPv6 за один шаг.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
+
+ <varlistentry>
+ <term>krb5_confd_path (строка)</term>
+ <listitem>
+ <para>
+ Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты
+конфигурации Kerberos.
+ </para>
+ <para>
+ Чтобы отключить создание фрагментов конфигурации, установите этот параметр в
+значение «none».
+ </para>
+ <para>
+ По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD)
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </refsect1>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" />
+
+ <refsect1 id='example'>
+ <title>ПРИМЕР</title>
+ <para>
+ В следующем примере предполагается, что конфигурация SSSD корректна и что
+example.com — один из доменов в разделе <replaceable>[sssd]</replaceable>. В
+примере показаны только параметры, относящиеся к поставщику данных AD.
+ </para>
+ <para>
+<programlisting>
+[domain/EXAMPLE]
+id_provider = ad
+auth_provider = ad
+access_provider = ad
+chpass_provider = ad
+
+ad_server = dc1.example.com
+ad_hostname = client.example.com
+ad_domain = example.com
+</programlisting>
+ </para>
+ </refsect1>
+
+ <refsect1 id='notes'>
+ <title>ПРИМЕЧАНИЯ</title>
+ <para>
+ Поставщик данных управления доступом AD проверяет, не истёк ли срок действия
+учётной записи. Работает так же, как и следующая конфигурация поставщика
+данных LDAP: <programlisting>
+access_provider = ldap
+ldap_access_order = expire
+ldap_account_expire_policy = ad
+</programlisting>
+ </para>
+ <para>
+ Тем не менее, если поставщик данных управления доступом <quote>ad</quote> не
+настроен явным образом, поставщиком доступа по умолчанию является
+<quote>permit</quote>. Обратите внимание, что при настройке поставщика
+доступа, отличного <quote>ad</quote>, потребуется вручную указать все
+параметры подключения, такие как URI LDAP и параметры шифрования.
+ </para>
+ <para>
+ Когда поставщик данных autofs установлен в значение <quote>ad</quote>,
+используется схема сопоставления атрибутов RFC2307 (nisMap, nisObject, ...),
+так как эти атрибуты включены в стандартную схему Active Directory.
+ </para>
+ <para>
+ </para>
+ </refsect1>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
+
+</refentry>
+</reference>
generated by cgit v1.2.3 (git 2.39.1) at 2025-02-01 07:47:34 +0000