diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
| commit | 74aa0bc6779af38018a03fd2cf4419fe85917904 (patch) | |
| tree | 9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/ru | |
| parent | Initial commit. (diff) | |
| download | sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip | |
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/ru')
47 files changed, 15980 insertions, 0 deletions
diff --git a/src/man/ru/idmap_sss.8.xml b/src/man/ru/idmap_sss.8.xml new file mode 100644 index 0000000..7808252 --- /dev/null +++ b/src/man/ru/idmap_sss.8.xml @@ -0,0 +1,77 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>idmap_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>idmap_sss</refname> + <refpurpose>Внутренний сервер idmap_sss SSSD для Winbind</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + Модуль idmap_sss предоставляет способ вызова SSSD для сопоставления UID/GID +и SID. В этом случае не нужна база данных, потому что сопоставление +выполняет SSSD. + </para> + </refsect1> + + <refsect1> + <title>ПАРАМЕТРЫ IDMAP</title> + + <variablelist> + <varlistentry> + <term>range = low - high</term> + <listitem><para> + Определяет доступный совпадающий диапазон UID и GID, для которого является +полномочным внутренний сервер. + </para></listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>ПРИМЕРЫ</title> + <para> + В этом примере показано, как настроить idmap_sss в качестве модуля +сопоставления по умолчанию. + </para> + + <programlisting format="linespecific"> +[global] +security = ads +workgroup = <AD-DOMAIN-SHORTNAME> + +idmap config <AD-DOMAIN-SHORTNAME> : backend = sss +idmap config <AD-DOMAIN-SHORTNAME> : range = 200000-2147483647 + +idmap config * : backend = tdb +idmap config * : range = 100000-199999 + </programlisting> + + <para> + Замените <AD-DOMAIN-SHORTNAME> на имя NetBIOS домена AD. Если следует +использовать несколько доменов AD, для каждого из них необходимо указать +строку <literal>idmap config</literal> с <literal>backend = sss</literal> и +строку с подходящим <literal>range</literal>. + </para> + <para> + Так как для Winbind требуется внутренний сервер по умолчанию, который +доступен для записи, а idmap_sss доступен только для чтения, в примере в +качестве значения по умолчанию указано <literal>backend = tdb</literal>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/include/ad_modified_defaults.xml b/src/man/ru/include/ad_modified_defaults.xml new file mode 100644 index 0000000..be4decf --- /dev/null +++ b/src/man/ru/include/ad_modified_defaults.xml @@ -0,0 +1,106 @@ +<refsect1 id='modified-default-options'> + <title>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</title> + <para> + Некоторые стандартные значения параметров не соответствуют стандартным +значениям параметров соответствующего внутреннего поставщика данных. Имена +этих параметров и специфичные для поставщика данных AD стандартные значения +параметров перечислены ниже: + </para> + <refsect2 id='krb5_modifications'> + <title>Поставщик данных KRB5</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>Поставщик данных LDAP</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@REALM (обычно SHORTNAME$@REALM) + </para> + <para> + Поставщик данных AD по умолчанию выполняет поиск других записей участников, +чем поставщик LDAP, потому что в окружении Active Directory участники +делятся на две группы: участники-пользователи и участники-службы. Для +получения TGT может использоваться только запись участника-пользователя, и +по умолчанию записи участников — объектов компьютеров создаются из их +sAMAccountName и области AD. Известный участник host/hostname@REALM является +участником-службой и, следовательно, не может использоваться для получения +TGT. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>Настройка NSS</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + Поставщик данных AD автоматически устанавливает «fallback_homedir = +/home/%d/%u», чтобы предоставить личные домашние каталоги для пользователей +без атрибута homeDirectory. Если домен AD надлежащим образом заполнен +атрибутами POSIX и требуется предотвратить такое поведение в качестве +резервного, можно явно указать «fallback_homedir = %o». + </para> + <para> + Обратите внимание: система обычно ожидает, что домашний каталог будет в +папке /home/%u. Если принято решение использовать другую структуру каталога, +может потребоваться настроить некоторые другие части системы. + </para> + <para> + Например, автоматическое создание домашних каталогов в сочетании с SELinux +потребует настройки параметров SELinux; в ином случае домашний каталог будет +создан с неверным контекстом SELinux. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/ru/include/autofs_attributes.xml b/src/man/ru/include/autofs_attributes.xml new file mode 100644 index 0000000..e46246f --- /dev/null +++ b/src/man/ru/include/autofs_attributes.xml @@ -0,0 +1,68 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи карты автоматического монтирования в LDAP. + </para> + <para> + По умолчанию: nisMap (rfc2307, autofs_provider=ad), в ином случае — +automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (строка)</term> + <listitem> + <para> + Имя записи карты автоматического монтирования в LDAP. + </para> + <para> + По умолчанию: nisMapName (rfc2307, autofs_provider=ad), в ином случае — +automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи автоматического монтирования в LDAP. Запись обычно +соответствует точке монтирования. + </para> + <para> + По умолчанию: nisObject (rfc2307, autofs_provider=ad), в ином случае — +automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (строка)</term> + <listitem> + <para> + Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует +точке монтирования. + </para> + <para> + По умолчанию: cn (rfc2307, autofs_provider=ad), в ином случае — automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (строка)</term> + <listitem> + <para> + Ключ записи автоматического монтирования в LDAP. Запись обычно соответствует +точке монтирования. + </para> + <para> + По умолчанию: nisMapEntry (rfc2307, autofs_provider=ad), в ином случае — +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/ru/include/autofs_restart.xml b/src/man/ru/include/autofs_restart.xml new file mode 100644 index 0000000..5530feb --- /dev/null +++ b/src/man/ru/include/autofs_restart.xml @@ -0,0 +1,7 @@ +<para> + Следует учитывать, что средство автоматического монтирования выполняет +чтение основной карты только при запуске, поэтому в случае внесения +каких-либо изменений, связанных с autofs, в файл sssd.conf, обычно также +потребуется перезапустить внутреннюю службу автоматического монтирования +после перезапуска SSSD. +</para> diff --git a/src/man/ru/include/debug_levels.xml b/src/man/ru/include/debug_levels.xml new file mode 100644 index 0000000..6450863 --- /dev/null +++ b/src/man/ru/include/debug_levels.xml @@ -0,0 +1,104 @@ +<listitem> + <para> + В SSSD предусмотрены два представления для указания уровня отладки. Более +простое представление позволяет указать десятичное значение в диапазоне от 0 +до 9, которое будет включать соответствующий уровень и все более низкие +уровни сообщений отладки. Более сложное представление позволяет указать +шестнадцатеричную битовую маску для включения или отключения (подавления) +отдельных уровней. + </para> + <para> + Обратите внимание, что каждая служба SSSD ведёт журнал в своём собственном +файле. Также следует учитывать, что включение параметра +<quote>debug_level</quote> в разделе <quote>[sssd]</quote> включает отладку +только для самого процесса sssd, а не для процессов ответчика или поставщика +данных. Параметр <quote>debug_level</quote> следует добавить во все разделы, +для которых требуется создать журналы отладки. + </para> + <para> + Уровень отладки можно изменить не только с помощью параметра +<quote>debug_level</quote> в файле конфигурации (этот параметр является +постоянным, но требует перезапуска SSSD), но и «на лету», с помощью +инструмента <citerefentry> <refentrytitle>sss_debuglevel</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + В настоящее время поддерживаются следующие уровни отладки: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: фатальные ошибки. Всё, +что не позволяет выполнить запуск SSSD или вызывает прекращение работы +сервиса. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: критические +ошибки. Ошибка, которая не прекращает работу SSSD, но означает, что как +минимум одна важная функциональная возможность не будет работать надлежащим +образом. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: серьёзные +ошибки. Ошибка, которая сообщает о завершении неудачей определённого запроса +или действия. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: незначительные +ошибки. Это ошибки, которые могут стать причиной ошибок 2-го уровня (ошибок +при выполнении действий). + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: параметры конфигурации. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: данные функций. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: сообщения трассировки +для функций действий. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: сообщения трассировки +для функций внутреннего управления. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: содержимое внутренних +переменных функций, которое может представлять интерес. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: информация трассировки +крайне низкого уровня. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x20000</emphasis>: быстродействие и +статистические данные. Пожалуйста, обратите внимание, что из-за способа +обработки запросов на внутреннем уровне, записанное в журнал время +выполнения запроса может быть больше, чем оно было на самом деле. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: информация +трассировки libldb ещё более низкого уровня. Практически никогда не +требуется. + </para> + <para> + Чтобы выполнять ведение журнала для необходимых уровней отладки, указанных в +представлении битовых масок, просто сложите их номера, как показано в +следующих примерах: + </para> + <para> + <emphasis>Пример</emphasis>: используйте 0x0270, чтобы вести журнал данных +фатальных ошибок, критических ошибок, серьёзных ошибок и данных функций. + </para> + <para> + <emphasis>Пример</emphasis>: используйте 0x1310, чтобы вести журнал данных +фатальных ошибок, параметров конфигурации, данных функций, сообщений +трассировки для функций внутреннего управления. + </para> + <para> + <emphasis>Примечание</emphasis>: формат битовых масок уровней отладки был +введён в версии 1.7.0. + </para> + <para> + <emphasis>По умолчанию</emphasis>: 0x0070 (то есть фатальные, критические и +серьёзные ошибки; соответствует указанию значения «2» в десятичной записи) + </para> +</listitem> diff --git a/src/man/ru/include/debug_levels_tools.xml b/src/man/ru/include/debug_levels_tools.xml new file mode 100644 index 0000000..20957cc --- /dev/null +++ b/src/man/ru/include/debug_levels_tools.xml @@ -0,0 +1,83 @@ +<listitem> + <para> + В SSSD предусмотрены два представления для указания уровня отладки. Более +простое представление позволяет указать десятичное значение в диапазоне от 0 +до 9, которое будет включать соответствующий уровень и все более низкие +уровни сообщений отладки. Более сложное представление позволяет указать +шестнадцатеричную битовую маску для включения или отключения (подавления) +отдельных уровней. + </para> + <para> + В настоящее время поддерживаются следующие уровни отладки: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: фатальные ошибки. Всё, +что не позволяет выполнить запуск SSSD или вызывает прекращение работы +сервиса. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: критические +ошибки. Ошибка, которая не прекращает работу SSSD, но означает, что как +минимум одна важная функциональная возможность не будет работать надлежащим +образом. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: серьёзные +ошибки. Ошибка, которая сообщает о завершении неудачей определённого запроса +или действия. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: незначительные +ошибки. Это ошибки, которые могут стать причиной ошибок 2-го уровня (ошибок +при выполнении действий). + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: параметры конфигурации. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: данные функций. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: сообщения трассировки +для функций действий. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: сообщения трассировки +для функций внутреннего управления. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: содержимое внутренних +переменных функций, которое может представлять интерес. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: информация трассировки +крайне низкого уровня. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: информация +трассировки libldb ещё более низкого уровня. Практически никогда не +требуется. + </para> + <para> + Чтобы выполнять ведение журнала для необходимых уровней отладки, указанных в +представлении битовых масок, просто сложите их номера, как показано в +следующих примерах: + </para> + <para> + <emphasis>Пример</emphasis>: используйте 0x0270, чтобы вести журнал данных +фатальных ошибок, критических ошибок, серьёзных ошибок и данных функций. + </para> + <para> + <emphasis>Пример</emphasis>: используйте 0x1310, чтобы вести журнал данных +фатальных ошибок, параметров конфигурации, данных функций, сообщений +трассировки для функций внутреннего управления. + </para> + <para> + <emphasis>Примечание</emphasis>: формат битовых масок уровней отладки был +введён в версии 1.7.0. + </para> + <para> + <emphasis>По умолчанию</emphasis>: 0x0070 (то есть фатальные, критические и +серьёзные ошибки; соответствует указанию значения «2» в десятичной записи) + </para> +</listitem> diff --git a/src/man/ru/include/failover.xml b/src/man/ru/include/failover.xml new file mode 100644 index 0000000..fe36c55 --- /dev/null +++ b/src/man/ru/include/failover.xml @@ -0,0 +1,124 @@ +<refsect1 id='failover'> + <title>ОТРАБОТКА ОТКАЗА</title> + <para> + Функция обработки отказа позволяет внутренним серверам автоматически +переключаться на другой сервер в случае сбоя текущего сервера. + </para> + <refsect2 id='failover_syntax'> + <title>Синтаксис обработки отказа</title> + <para> + Список серверов разделяется запятыми; рядом с запятыми допускается любое +количество пробелов. Серверы перечислены в порядке приоритета. Список может +содержать любое количество серверов. + </para> + <para> + Для каждого параметра конфигурации с поддержкой отработки отказа существуют +два варианта: <emphasis>основной</emphasis> (primary) и +<emphasis>резервный</emphasis> (backup). Смысл в том, что приоритет получают +серверы из списка основных, а поиск резервных серверов выполняется только в +том случае, если не удалось связаться с основными серверами. Если выбран +резервный сервер, устанавливается 31-секундный тайм-аут. По его истечении +SSSD будет периодически пытаться восстановить подключение к одному из +основных серверов. Если попытка будет успешной, текущий активный (резервный) +сервер будет заменён на основной. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>Механизм отработки отказа</title> + <para> + Механизм отработки отказа различает компьютеры и службы. Внутренний сервер +сначала пытается разрешить имя узла указанного компьютера; если попытка +разрешения завершается неудачей, компьютер считается работающим в автономном +режиме. Дальнейшие попытки подключиться к этому компьютеру для доступа к +другим службам не выполняются. Если попытка разрешения успешна, внутренний +сервер пытается подключиться к службе на этом компьютере. Если попытка +подключения к службе завершается неудачей, работающей в автономном режиме +будет считаться только эта служба, и внутренний сервер автоматически +переключится на следующую службу. Компьютер продолжает считаться находящимся +в сети, возможны дальнейшие попытки подключения к другим службам на нём. + </para> + <para> + Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как +работающие в автономном режиме, выполняются по истечении определённого +периода времени; в настоящее время это значения является жёстко заданным и +составляет 30 секунд. + </para> + <para> + Если список компьютеров исчерпан, внутренний сервер целиком переключается на +автономный режим и затем пытается восстановить подключение каждые 30 секунд. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Тайм-ауты и тонкая настройка отработки отказа</title> + <para> + Разрешение имени сервера, к которому следует подключиться, может быть +выполнено как за один запрос DNS, так и за несколько шагов, например, при +поиске корректного сайта или переборе нескольких имён узлов, если некоторые +из настроенных серверов недоступны. Для более сложных сценариев требуется +больше времени, и SSSD требуется соблюсти баланс между предоставлением +достаточного количества времени для завершения процесса разрешения и не +слишком долгим ожиданием перед переходом в автономный режим. Если в журнале +отладки SSSD есть данные о том, что время на разрешение сервера истекло до +обращения к реальному серверу, рекомендуется изменить значения тайм-аутов. + </para> + <para> + В этом разделе перечислены доступные настраиваемые параметры. Их описание +содержится на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Время (в миллисекундах), в течение которого SSSD будет обращаться к одному +серверу DNS перед переходом к следующему. + </para> + <para> + По умолчанию: 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Время (в секундах), в течение которого SSSD будет пытаться разрешить один +запрос DNS (например, разрешение имени узла или записи SRV) перед переходом +к следующему имени узла или домену обнаружения. + </para> + <para> + По умолчанию: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + Как долго SSSD будет пытаться разрешить резервную службу. Это разрешение +службы может включать несколько внутренних шагов, например, при разрешении +запросов SRV DNS или определении расположения сайта. + </para> + <para> + По умолчанию: 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для поставщиков данных на основе LDAP операция разрешения выполняется как +часть операции установления LDAP-соединения. Следовательно, тайм-аут +<quote>ldap_opt_timeout</quote> также следует установить в большее значение, +чем <quote>dns_resolver_timeout</quote>, который, в свою очередь, следует +установить в большее значение, чем <quote>dns_resolver_op_timeout</quote>, +который должен быть больше <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/ru/include/homedir_substring.xml b/src/man/ru/include/homedir_substring.xml new file mode 100644 index 0000000..2ddfae7 --- /dev/null +++ b/src/man/ru/include/homedir_substring.xml @@ -0,0 +1,18 @@ +<varlistentry> + <term>homedir_substring (строка)</term> + <listitem> + <para> + Значение этого параметра будет использоваться в расширении параметра +<emphasis>override_homedir</emphasis>, если шаблон содержит строку формата +<emphasis>%H</emphasis>. Запись каталога LDAP может непосредственно +содержать этот шаблон, поэтому этот параметр можно использовать для +расширения пути домашнего каталога для каждого клиентского компьютера (или +операционной системы). Его можно задать для отдельного домена или глобально +в разделе [nss]. Значение, указанное в разделе домена, переопределит то +значение, которое задано в разделе [nss]. + </para> + <para> + По умолчанию: /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/ru/include/ipa_modified_defaults.xml b/src/man/ru/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..a68afb7 --- /dev/null +++ b/src/man/ru/include/ipa_modified_defaults.xml @@ -0,0 +1,124 @@ +<refsect1 id='modified-default-options'> + <title>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</title> + <para> + Некоторые стандартные значения параметров не соответствуют стандартным +значениям параметров соответствующего внутреннего поставщика данных. Имена +этих параметров и специфичные для поставщика данных IPA стандартные значения +параметров перечислены ниже: + </para> + <refsect2 id='krb5_modifications'> + <title>Поставщик данных KRB5</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>Поставщик данных LDAP — Общие параметры</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>Поставщик данных LDAP — Параметры пользователей</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>Поставщик данных LDAP — Параметры групп</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/ru/include/krb5_options.xml b/src/man/ru/include/krb5_options.xml new file mode 100644 index 0000000..de7b3c8 --- /dev/null +++ b/src/man/ru/include/krb5_options.xml @@ -0,0 +1,162 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (целое число)</term> + <listitem> + <para> + Тайм-аут в секундах после прерывания запроса проверки подлинности или смены +пароля в сетевом режиме. Обработка запроса проверки подлинности будет +продолжена в автономном режиме, если это возможно. + </para> + <para> + По умолчанию: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (логическое значение)</term> + <listitem> + <para> + Проверить с помощью krb5_keytab, что полученный TGT не был +подменён. Проверка записей в таблице ключей выполняется последовательно, для +проверки действительности используется первая запись с соответствующей +областью. Если области не соответствует ни одна из записей, используется +последняя запись в таблице ключей. Этот процесс можно использовать для +проверки сред, где используются межобластные отношения доверия, поместив +соответствующую запись таблицы ключей в качестве последней или единственной +записи в файле таблицы ключей. + </para> + <para> + По умолчанию: false (для поставщиков данных IPA и AD: true) + </para> + <para> + Обратите внимание, что проверка билета — это первый шаг при проверке PAC +(дополнительные сведения доступны в описании параметра «pac_check» на +справочной странице <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>). Если проверка билета отключена, +проверки PAC также будут пропущены. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (строка)</term> + <listitem> + <para> + Запросить обновляемый билет с общим временем жизни, указанным как целое +число, сразу после которого следует единица измерения времени: + </para> + <para> + <emphasis>s</emphasis> для секунд + </para> + <para> + <emphasis>m</emphasis> для минут + </para> + <para> + <emphasis>h</emphasis> для часов + </para> + <para> + <emphasis>d</emphasis> для дней. + </para> + <para> + Если единица измерения не указана, предполагается, что используется значение +<emphasis>s</emphasis>. + </para> + <para> + ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое +время жизни равным полутора часам, укажите «90m», а не «1h30m». + </para> + <para> + По умолчанию: не задано, то есть TGT не является обновляемым + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (строка)</term> + <listitem> + <para> + Запросить билет с временем жизни, указанным как целое число, сразу после +которого следует единица измерения времени: + </para> + <para> + <emphasis>s</emphasis> для секунд + </para> + <para> + <emphasis>m</emphasis> для минут + </para> + <para> + <emphasis>h</emphasis> для часов + </para> + <para> + <emphasis>d</emphasis> для дней. + </para> + <para> + Если единица измерения не указана, предполагается, что используется значение +<emphasis>s</emphasis>. + </para> + <para> + ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить время жизни +равным полутора часам, укажите «90m», а не «1h30m». + </para> + <para> + По умолчанию: не задано, то есть стандартное время жизни билета, настроенное +в параметрах KDC. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (строка)</term> + <listitem> + <para> + Время в секундах между двумя проверками того, следует ли обновить +TGT. Обновление TGT выполняется в том случае, если прошла примерно половина +времени жизни билета, указанного как целое число, сразу после которого +следует единица измерения времени: + </para> + <para> + <emphasis>s</emphasis> для секунд + </para> + <para> + <emphasis>m</emphasis> для минут + </para> + <para> + <emphasis>h</emphasis> для часов + </para> + <para> + <emphasis>d</emphasis> для дней. + </para> + <para> + Если единица измерения не указана, предполагается, что используется значение +<emphasis>s</emphasis>. + </para> + <para> + ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать. Чтобы установить обновляемое +время жизни равным полутора часам, укажите «90m», а не «1h30m». + </para> + <para> + Если этот параметр не указан или установлен в значение «0», автоматическое +обновление отключено. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли приводить в каноническую форму имя +участника-узла и участника-пользователя. Эта возможность доступна в MIT +Kerberos 1.7 и выше. + </para> + + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/ru/include/ldap_id_mapping.xml b/src/man/ru/include/ldap_id_mapping.xml new file mode 100644 index 0000000..9c131d4 --- /dev/null +++ b/src/man/ru/include/ldap_id_mapping.xml @@ -0,0 +1,298 @@ +<refsect1 id='idmap'> + <title>СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ</title> + <para> + Возможность сопоставления идентификаторов позволяет SSSD выступать в роли +клиента Active Directory, при этом администраторам не требуется расширять +атрибуты пользователя с целью поддержки атрибутов POSIX для идентификаторов +пользователей и групп. + </para> + <para> + ПРИМЕЧАНИЕ: когда сопоставление идентификаторов включено, атрибуты uidNumber +и gidNumber игнорируются. Это позволяет избежать возможных конфликтов между +значениями, назначенными автоматически, и значениями, назначенными +вручную. Если требуется использовать значения, назначенные вручную, следует +назначить вручную ВСЕ значения. + </para> + <para> + Обратите внимание, что изменение параметров конфигурации, связанных с +сопоставлением идентификаторов, приведёт к изменению идентификаторов +пользователей и групп. В настоящее время SSSD не поддерживает изменение +идентификаторов, поэтому базу данных SSSD необходимо удалить. Так как +кэшированные пароли также хранятся в в этой базе данных, её удаление должно +выполняться только тогда, когда серверы проверки подлинности доступны; в +ином случае пользователи могут быть заблокированы. Для кэширования пароля +необходимо выполнить проверку подлинности. Для удаления базы данных +недостаточно использовать <citerefentry> +<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, на самом деле требуются следующие шаги: + <itemizedlist> + <listitem> + <para> + Проверка доступности удалённых серверов + </para> + </listitem> + <listitem> + <para> + Остановка службы SSSD + </para> + </listitem> + <listitem> + <para> + Удаление базы данных + </para> + </listitem> + <listitem> + <para> + Запуск службы SSSD + </para> + </listitem> + </itemizedlist> + Более того, поскольку смена идентификаторов может сделать необходимым +изменение других свойств системы, таких как параметры владения файлами и +каталогами, рекомендуется спланировать всё заранее и тщательно +протестировать конфигурацию сопоставления идентификаторов. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Алгоритм сопоставления</title> + <para> + Active Directory предоставляет objectSID для всех объектов пользователей и +групп в каталоге. Этот objectSID можно разбить на компоненты, которые +соответствуют идентификатору домена Active Directory и относительному +идентификатору (RID) объекта пользователя или группы. + </para> + <para> + Алгоритм сопоставления идентификаторов SSSD берёт диапазон доступных UID и +делит его на разделы равного размера — «срезы». Каждый срез представляет +собой пространство, доступное домену Active Directory. + </para> + <para> + Когда запись пользователя или группы определённого домена встречается SSSD в +первый раз, SSSD выделяет один из доступных срезов для этого домена. Чтобы +такое назначение срезов воспроизводилось на разных клиентских компьютерах, +предусмотрен следующий алгоритм выбора среза: + </para> + <para> + Строка SID передаётся через алгоритм murmurhash3 для её преобразования в +32-битное хэшированное значение. Затем для выбора среза это значение с общим +количеством срезов берётся по модулю. + </para> + <para> + ПРИМЕЧАНИЕ: между хэшем и полученным далее модулем возможны конфликты. В +таких случаях будет выбран следующий доступный срез, но на других +компьютерах может быть невозможно воспроизвести точно такой же набор срезов +(так как порядок, в котором они встречаются, определяет срез). В такой +ситуации рекомендуется либо переключиться на использование явных атрибутов +POSIX в Active Directory (отключить сопоставление идентификаторов), либо +настроить стандартный домен, чтобы гарантировать согласованность хотя бы для +одного. См. <quote>Конфигурация</quote>. + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Конфигурация</title> + <para> + Минимальная конфигурация (в разделе <quote>[domain/DOMAINNAME]</quote>): + </para> + <para> +<programlisting> +ldap_id_mapping = True +ldap_schema = ad +</programlisting> + </para> + <para> + При стандартной конфигурации настраивается 10000 срезов, каждый из которых +может содержать до 200000 идентификаторов, начиная от 200000 и до +2000200000. Этого должно быть достаточно для большинства вариантов +развёртывания. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Дополнительная конфигурация</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (целое число)</term> + <listitem> + <para> + Указывает нижнюю (включительно) границу диапазона идентификаторов POSIX, +которые следует использовать для сопоставления SID пользователей и групп +Active Directory. Это первый идентификатор POSIX, который можно использовать +для сопоставления. + </para> + <para> + ПРИМЕЧАНИЕ: этот параметр отличается от <quote>min_id</quote>: +<quote>min_id</quote> работает как фильтр ответов на запросы к этому домену, +в то время как этот параметр управляет диапазоном назначения +идентификаторов. Это тонкое различие, но рекомендуется устанавливать +значение <quote>min_id</quote> меньшим или равным значению +<quote>ldap_idmap_range_min</quote> + </para> + <para> + По умолчанию: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (целое число)</term> + <listitem> + <para> + Указывает верхнюю (не включительно) границу диапазона идентификаторов POSIX, +которые следует использовать для сопоставления идентификаторов SID +пользователей и групп Active Directory. Это первый идентификатор POSIX, +который нельзя использовать для сопоставления, т.е. данный идентификатор на +единицу больше последнего, которым можно воспользоваться для сопоставления. + </para> + <para> + ПРИМЕЧАНИЕ: этот параметр отличается от <quote>max_id</quote>: +<quote>max_id</quote> работает как фильтр ответов на запросы к этому домену, +в то время как этот параметр управляет диапазоном назначения +идентификаторов. Это тонкое различие, но рекомендуется устанавливать +значение <quote>max_id</quote> большим или равным значению +<quote>ldap_idmap_range_max</quote> + </para> + <para> + По умолчанию: 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (целое число)</term> + <listitem> + <para> + Указывает количество идентификаторов, доступных для каждого среза. Если +размер диапазона не делится нацело на минимальное и максимальное значения, +будет создано столько полных срезов, сколько возможно. + </para> + <para> + ПРИМЕЧАНИЕ: значение этого параметра должно быть не меньше значения +максимального RID пользователя, запланированного для использования на +сервере Active Directory. Поиск записи пользователя и вход завершатся +неудачей для всех пользователей, RID которых превышает значение этого +параметра. + </para> + <para> + Например, если у последнего добавленного пользователя Active Directory +objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +значение<quote>ldap_idmap_range_size</quote> должно равняться минимум 1108, +так как размер диапазона рассчитывается как максимальный SID минус +минимальный SID плюс один (т.е. 1108 = 1107 - 0 + 1). + </para> + <para> + Для будущего расширения важно всё спланировать заранее,поскольку изменение +этого значения приведёт к изменению всех сопоставлений идентификаторов в +системе и, следовательно, изменению локальных идентификаторов пользователей. + </para> + <para> + По умолчанию: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (строка)</term> + <listitem> + <para> + Позволяет указать SID стандартного домена. Это гарантирует, что этот домен +всегда будет назначаться нулевому срезу в карте идентификаторов, в обход +описанного выше алгоритма murmurhash. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (строка)</term> + <listitem> + <para> + Позволяет указать имена домена по умолчанию. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (логическое значение)</term> + <listitem> + <para> + Изменяет поведения алгоритма сопоставления идентификаторов, делая его более +похожим на алгоритм <quote>idmap_autorid</quote> winbind. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + ПРИМЕЧАНИЕ: этот алгоритм является недетерминированным (он зависит от +порядка, в котором запрашиваются пользователи и группы). Если этот режим +требуется для обеспечения совместимости с компьютерами, где работает +winbind, рекомендуется также использовать параметр +<quote>ldap_idmap_default_domain_sid</quote>, чтобы гарантировать постоянное +выделение хотя бы одного домена для нулевого среза. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (целое число)</term> + <listitem> + <para> + Максимальное количество вторичных срезов, которое можно использовать при +сопоставлении идентификатору UNIX номера SID. + </para> + <para> + Примечание: дополнительные вторичные срезы могут быть созданы, когда +выполняется сопоставление SID с идентификатором UNIX и часть RID SID +находится за пределами диапазона для уже созданных вторичных срезов. Если +значение параметра ldap_idmap_helper_table_size равно нулю, дополнительные +вторичные срезы не будут созданы. + </para> + <para> + По умолчанию: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>Известные SID</title> + <para> + SSSD поддерживает поиск имён известных SID, то есть SID со специальным +жёстко заданным значением. Так как типичные пользователи и группы, связанные +с этими известными SID, не имеют аналогов в среде Linux/UNIX, для этих +объектов недоступны идентификаторы POSIX. + </para> + <para> + Пространство имён SID организовано по центрам, которые можно рассматривать +как разные домены. Для известных SID используются следующие центры + <itemizedlist> + <listitem><para>Null Authority</para></listitem> + <listitem><para>World Authority</para></listitem> + <listitem><para>Local Authority</para></listitem> + <listitem><para>Creator Authority</para></listitem> + <listitem><para>Mandatory Label Authority</para></listitem> + <listitem><para>Authentication Authority</para></listitem> + <listitem><para>NT Authority</para></listitem> + <listitem><para>Built-in</para></listitem> + </itemizedlist> + Записанные прописными буквами варианты этих имён используются в качестве +имён доменов при возврате полных имён известных SID. + </para> + <para> + Так как некоторые утилиты позволяют изменять данные управления доступом на +основе SID с помощью имени, а не непосредственного использования SID, SSSD +также поддерживает поиск SID по имени. Чтобы избежать конфликтов, для поиска +известных SID разрешается использовать только полные имена. Следовательно, +нельзя использовать в качестве имён доменов в <filename>sssd.conf</filename> +следующие названия: <quote>NULL AUTHORITY</quote>, <quote>WORLD +AUTHORITY</quote>, <quote> LOCAL AUTHORITY</quote>, <quote>CREATOR +AUTHORITY</quote>, <quote>MANDATORY LABEL AUTHORITY</quote>, +<quote>AUTHENTICATION AUTHORITY</quote>, <quote>NT AUTHORITY</quote> и +<quote>BUILTIN</quote>. + </para> + </refsect2> + +</refsect1> diff --git a/src/man/ru/include/ldap_search_bases.xml b/src/man/ru/include/ldap_search_bases.xml new file mode 100644 index 0000000..9516d92 --- /dev/null +++ b/src/man/ru/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ +<listitem> + <para> + Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков +LDAP для этого типа атрибутов. + </para> + <para> + синтаксис: <programlisting> +search_base[?scope?[filter][?search_base?scope?[filter]]*] +</programlisting> + </para> + <para> + Значением области может быть одно из следующих: «base», «onelevel» или +«subtree». Описание работы области доступно в разделе 4.5.1.2 +http://tools.ietf.org/html/rfc4511 + </para> + <para> + Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Примеры синтаксиса доступны в разделе примеров +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>ldap_search_base</emphasis> + </para> + <para> + Обратите внимание, что указание области или фильтра не поддерживается для +поиска на сервере Active Directory; он может привести к получению большого +количества результатов и активировать расширение получения диапазонов (Range +Retrieval) в ответе. + </para> +</listitem> diff --git a/src/man/ru/include/local.xml b/src/man/ru/include/local.xml new file mode 100644 index 0000000..0b845c9 --- /dev/null +++ b/src/man/ru/include/local.xml @@ -0,0 +1,18 @@ +<refsect1 id='local'> + <title>ЛОКАЛЬНЫЙ ДОМЕН</title> + <para> + Для корректной работы необходимо создать домен с +<quote>id_provider=local</quote> и запустить SSSD. + </para> + <para> + Администратор может отдать предпочтение использованию локальных записей +пользователей SSSD вместо традиционных записей пользователей UNIX, когда для +работы требуется вложенность групп (см. <citerefentry> +<refentrytitle>sss_groupadd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>). Записи локальных пользователей также позволяют выполнить +тестирование и разработку SSSD без необходимости развёртывания полного +удалённого сервера. Инструменты <command>sss_user*</command> и +<command>sss_group*</command> используют локальное хранилище данных LDB для +хранения записей пользователей и групп. + </para> +</refsect1> diff --git a/src/man/ru/include/override_homedir.xml b/src/man/ru/include/override_homedir.xml new file mode 100644 index 0000000..706bc7f --- /dev/null +++ b/src/man/ru/include/override_homedir.xml @@ -0,0 +1,79 @@ +<varlistentry> +<term>override_homedir (строка)</term> +<listitem> + <para> + Переопределить домашний каталог пользователя. Можно указать либо абсолютное +значение, либо шаблон. В шаблоне заменяются следующие последовательности: +<variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>имя для входа</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>номер UID</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>имя домена</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>полное имя пользователя (user@domain)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>Первая буква имени для входа.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN — имя участника-пользователя (name@REALM)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + Исходный домашний каталог, полученный от поставщика данных идентификации. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + Исходный домашний каталог, полученный от поставщика данных идентификации, но +в нижнем регистре. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + Значение параметра конфигурации <emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>литерал «%»</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Этот параметр также можно задать для каждого домена отдельно. + </para> + <para> + пример: <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + По умолчанию: не задано (SSSD будет использовать значение, полученное от +LDAP) + </para> + <para> + Обратите внимание, что домашний каталог из конкретного переопределения для +пользователя, локально +(см. <citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) или централизованно управляемых +переопределений идентификаторов IPA, обладает более высоким приоритетом и +будет использоваться вместо значения, указанного с помощью override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/ru/include/param_help.xml b/src/man/ru/include/param_help.xml new file mode 100644 index 0000000..75ffa44 --- /dev/null +++ b/src/man/ru/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + Показать справочное сообщение и выйти. + </para> + </listitem> +</varlistentry> diff --git a/src/man/ru/include/param_help_py.xml b/src/man/ru/include/param_help_py.xml new file mode 100644 index 0000000..1323751 --- /dev/null +++ b/src/man/ru/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + Показать справочное сообщение и выйти. + </para> + </listitem> +</varlistentry> diff --git a/src/man/ru/include/seealso.xml b/src/man/ru/include/seealso.xml new file mode 100644 index 0000000..91b4efd --- /dev/null +++ b/src/man/ru/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>СМ. ТАКЖЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/ru/include/service_discovery.xml b/src/man/ru/include/service_discovery.xml new file mode 100644 index 0000000..d9cf15b --- /dev/null +++ b/src/man/ru/include/service_discovery.xml @@ -0,0 +1,44 @@ +<refsect1 id='service_discovery'> + <title>ОБНАРУЖЕНИЕ СЛУЖБ</title> + <para> + Функция обнаружения служб позволяет внутренним серверам автоматически +находить серверы, к которым следует подключиться, с помощью специального +запроса DNS. Эта возможность не поддерживается для резервных серверов. + </para> + <refsect2 id='configuration'> + <title>Конфигурация</title> + <para> + Если серверы не указаны, внутренний сервер будет автоматически использовать +обнаружение служб, чтобы попытаться найти сервер. Пользователь может +(необязательно) задать использование сразу и фиксированных адресов серверов, +и обнаружения служб, вставив в список серверов специальное ключевое слово +<quote>_srv_</quote>. Обработка выполняется в порядке приоритета. Эта +возможность полезна, например, если пользователь предпочитает использовать +обнаружение служб всегда, когда это возможно, и подключаться к определённому +серверу только в тех случаях, когда серверы не удалось обнаружить с помощью +DNS. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>Имя домена</title> + <para> + Дополнительные сведения доступны в описании параметра +<quote>dns_discovery_domain</quote> на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>Протокол</title> + <para> + В запросах обычно указан протокол _tcp. Исключения задокументированы в +описаниях соответствующих параметров. + </para> + </refsect2> + <refsect2 id='reference'> + <title>См. также</title> + <para> + Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/ru/include/upstream.xml b/src/man/ru/include/upstream.xml new file mode 100644 index 0000000..ce213c8 --- /dev/null +++ b/src/man/ru/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>Восходящий источник («апстрим») +SSSD — https://github.com/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/ru/pam_sss.8.xml b/src/man/ru/pam_sss.8.xml new file mode 100644 index 0000000..e18e11d --- /dev/null +++ b/src/man/ru/pam_sss.8.xml @@ -0,0 +1,456 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss</refname> + <refpurpose>модуль PAM для SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss.so</command> <arg choice='opt'> +<replaceable>quiet</replaceable> </arg> <arg choice='opt'> +<replaceable>forward_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_authtok</replaceable> </arg> <arg choice='opt'> +<replaceable>retry=N</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'> +<replaceable>domains=X</replaceable> </arg> <arg choice='opt'> +<replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'> +<replaceable>prompt_always</replaceable> </arg> <arg choice='opt'> +<replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'> +<replaceable>require_cert_auth</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para><command>pam_sss.so</command> — это интерфейс PAM к сервису SSSD. Ошибки и +результаты записываются в журнал посредством <command>syslog(3)</command> с +LOG_AUTHPRIV.</para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>quiet</option> + </term> + <listitem> + <para>Подавлять сообщения журнала для неизвестных пользователей.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>forward_pass</option> + </term> + <listitem> + <para>Если параметр <option>forward_pass</option> задан, введённый пароль будет +помещён в стек для использования другими модулями PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_first_pass</option> + </term> + <listitem> + <para>Использование аргумента use_first_pass позволяет указать модулю +принудительно использовать пароль ранее добавленного в стек модуля и никогда +не запрашивать его у пользователя — если пароль недоступен или некорректен, +пользователю будет отказано в доступе.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_authtok</option> + </term> + <listitem> + <para>Если этот параметр задан, при смене пароля модуль установит в качестве +нового пароля тот пароль, который предоставлен ранее добавленным в стек +модулем обработки паролей.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>retry=N</option> + </term> + <listitem> + <para>Если этот параметр задан, в случае неудачной проверки подлинности у +пользователя будет N раз запрашиваться пароль. Значение по умолчанию — 0.</para> + <para>Обратите внимание, что этот параметр может не работать ожидаемым образом, +если приложение, которое вызывает PAM, самостоятельно обрабатывает диалог с +пользователем. Типичный пример: <command>sshd</command> с +<option>PasswordAuthentication</option>.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_unknown_user</option> + </term> + <listitem> + <para>Если этот параметр указан и пользователь не существует, модуль PAM вернёт +PAM_IGNORE. В результате платформа PAM игнорирует этот модуль.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_authinfo_unavail</option> + </term> + <listitem> + <para> + Позволяет указать, что модуль PAM должен вернуть PAM_IGNORE, если ему не +удаётся связаться с сервисом SSSD. В результате платформа PAM игнорирует +этот модуль.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>domains</option> + </term> + <listitem> + <para> + Позволяет администратору ограничить перечень доменов, в которых может +проходить проверку подлинности определённая служба PAM. Формат: разделённый +запятыми список имён доменов SSSD, в том виде, в котором они указаны в файле +sssd.conf. + </para> + <para> + ПРИМЕЧАНИЕ: при использовании для службы, которая запущена не от имени +пользователя root (например, для веб-сервера), этот параметр необходимо +использовать совместно с параметрами <quote>pam_trusted_users</quote> и +<quote>pam_public_domains</quote>. Дополнительные сведения об этих двух +параметрах ответчика PAM доступны на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>allow_missing_name</option> + </term> + <listitem> + <para> + Основная задача этого параметра — разрешить SSSD определять имя пользователя +на основе дополнительной информации (например, сертификата со смарт-карты). + </para> + <para> + В настоящее время используется диспетчерами входа, которые могут отслеживать +события карты на устройстве чтения смарт-карт. При вставке смарт-карты +диспетчер входа вызовет стек PAM, который включает строку наподобие +<programlisting> +auth sufficient pam_sss.so allow_missing_name + </programlisting> В этом случае SSSD попытается +определить имя пользователя на основе содержимого смарт-карты, потом вернёт +его pam_sss, который затем поместит его в стек PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>prompt_always</option> + </term> + <listitem> + <para> + Всегда запрашивать учётные данные у пользователя. Если этот параметр +включён, учётные данные, запрошенные другими модулями PAM (обычно это +пароль), будут игнорироваться и pam_sss будет запрашивать учётные данные +снова. В зависимости от ответа предварительной проверки подлинности, +полученного от SSSD, pam_sss может запросить пароль, PIN-код смарт-карты или +другие учётные данные. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>try_cert_auth</option> + </term> + <listitem> + <para> + Пытаться применить проверку подлинности на основе сертификата, то есть +проверку подлинности с помощью смарт-карты или аналогичных устройств. Если +смарт-карта доступна и для службы разрешена проверка подлинности по +смарт-карте, у пользователя будет запрошен PIN-код, после чего проверка +подлинности на основе сертификата будет продолжена + </para> + <para> + Если смарт-карта недоступна или для текущей службы не разрешена проверка +подлинности на основе сертификата, возвращается PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>require_cert_auth</option> + </term> + <listitem> + <para> + Выполнять проверку подлинности на основе сертификата, то есть проверку +подлинности с помощью смарт-карты или аналогичных устройств. Если +смарт-карта недоступна, пользователю будет предложено вставить её. SSSD +будет ожидать вставки смарт-карты до истечения тайм-аута, определённого +параметром p11_wait_for_card_timeout, подробные сведения доступны на +справочной странице <citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + Если смарт-карта недоступна по истечении тайм-аута или для текущей службы не +разрешена проверка подлинности на основе сертификата, возвращается +PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>ПРЕДОСТАВЛЯЕМЫЕ ТИПЫ МОДУЛЕЙ</title> + <para>Предоставляются все типы модулей (<option>account</option>, +<option>auth</option>, <option>password</option> и +<option>session</option>). + </para> + <para>Если ответчик PAM SSSD не запущен (например, когда недоступен сокет +ответчика PAM), pam_sss вернёт PAM_USER_UNKNOWN при вызове в качестве модуля +<option>account</option>, чтобы избежать проблем с пользователями из других +источников во время управления доступом.</para> + </refsect1> + + <refsect1 id="return_values"> + <title>ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + Операция PAM успешно завершена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Пользователь неизвестен службе проверки подлинности или не запущен ответчик +PAM SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Сбой при проверке подлинности. Кроме того, может быть возвращено в случае +проблемы с получением сертификата. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_PERM_DENIED</term> + <listitem> + <para> + Доступ запрещён. В журнале SSSD могут быть дополнительные сведения об этой +ошибке. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_IGNORE</term> + <listitem> + <para> + Смотрите описание параметров <option>ignore_unknown_user</option> и +<option>ignore_authinfo_unavail</option>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_ERR</term> + <listitem> + <para> + Не удалось получить новый маркер проверки подлинности. Кроме того, может +быть возвращено, когда пользователь проходит проверку подлинности с помощью +сертификатов и доступно несколько сертификатов, но установленная версия GDM +не поддерживает выбор из нескольких сертификатов. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Не удалось получить доступ к данным проверки подлинности. Это может быть +связано со сбоем сети или оборудования. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BUF_ERR</term> + <listitem> + <para> + Произошла ошибка памяти. Кроме того, может быть возвращено в том случае, +если заданы параметры use_first_pass или use_authtok, но не был найден +пароль, предоставленный ранее добавленным в стек модулем PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Произошла системная ошибка. В журнале SSSD могут быть дополнительные +сведения об этой ошибке. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_ERR</term> + <listitem> + <para> + Не удалось задать учётные данные пользователя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_INSUFFICIENT</term> + <listitem> + <para> + Приложение не располагает учётными данными, достаточными для проверки +подлинности пользователя. Например, отсутствует PIN-код при проверке +подлинности по смарт-карте или отсутствует фактор при двухфакторной проверке +подлинности. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SERVICE_ERR</term> + <listitem> + <para> + Ошибка в модуле службы. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NEW_AUTHTOK_REQD</term> + <listitem> + <para> + Срок действия маркера проверки подлинности пользователя истёк. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ACCT_EXPIRED</term> + <listitem> + <para> + Срок действия учётной записи пользователя истёк. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SESSION_ERR</term> + <listitem> + <para> + Не удалось получить правила профилей рабочего стола IPA или информацию о +пользователе. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_UNAVAIL</term> + <listitem> + <para> + Не удалось получить учётные данные пользователя Kerberos. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NO_MODULE_DATA</term> + <listitem> + <para> + Kerberos не был найден способ проверки подлинности. Это могло произойти, +если для записи пользователя назначена смарт-карта, но на клиенте недоступен +модуль pkint. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CONV_ERR</term> + <listitem> + <para> + Сбой обмена данными. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_LOCK_BUSY</term> + <listitem> + <para> + Нет доступных KDC, которые подходят для смены пароля. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ABORT</term> + <listitem> + <para> + Неизвестный вызов PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_MODULE_UNKNOWN</term> + <listitem> + <para> + Неподдерживаемое задание или команда PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BAD_ITEM</term> + <listitem> + <para> + Модулю проверки подлинности не удалось обработать учётные данные со +смарт-карты. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='files'> + <title>ФАЙЛЫ</title> + <para>Когда не удаётся выполнить сброс пароля от имени пользователя root из-за +того, что соответствующий поставщик SSSD не поддерживает сброс пароля, может +быть показано отдельное сообщение. Это сообщение может, например, содержать +инструкции по сбросу пароля.</para> + + <para>Это сообщение читается из файла +<filename>pam_sss_pw_reset_message.LOC</filename>, где LOC обозначает строку +локали, возвращённую <citerefentry> +<refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum> +</citerefentry>. Если такого файла нет, отображается содержимое +<filename>pam_sss_pw_reset_message.txt</filename>. Владельцем файлов должен +быть пользователь root, при этом права на чтение и запись могут быть только +у пользователя root, а у всех остальных пользователей должны быть права +только на чтение.</para> + + <para>Поиск этих файлов выполняется в каталоге +<filename>/etc/sssd/customize/DOMAIN_NAME/</filename>. Если соответствующего +файла нет, будет показано общее сообщение.</para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/pam_sss_gss.8.xml b/src/man/ru/pam_sss_gss.8.xml new file mode 100644 index 0000000..3192e40 --- /dev/null +++ b/src/man/ru/pam_sss_gss.8.xml @@ -0,0 +1,218 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss_gss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss_gss</refname> + <refpurpose>Модуль PAM для проверки подлинности с помощью GSSAPI в SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss_gss.so</command> <arg choice='opt'> +<replaceable>debug</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>pam_sss_gss.so</command> выполняет проверку подлинности +пользователя с помощью GSSAPI совместно с SSSD. + </para> + <para> + Этот модуль пытается проверить подлинность пользователя с помощью имени +серверной службы GSSAPI host@hostname, при разрешении которого получается +участник Kerberos host/hostname@REALM. Часть <emphasis>REALM</emphasis> +имени участника Kerberos определяется с помощью внутренних механизмов +Kerberos. Её можно указать в явном виде в конфигурации раздела +[domain_realm] в /etc/krb5.conf. + </para> + <para> + SSSD используется для предоставления имени нужной службы и проверки учётных +данных пользователя с помощью вызовов GSSAPI. Если билет службы уже +присутствует в кэше учётных данных Kerberos или если билет пользователя на +получение билетов может быть использован для получения билета +соответствующей службы, проверка подлинности пользователя будет выполнена. + </para> + <para> + Если параметр <option>pam_gssapi_check_upn</option> установлен в значение +«True» (по умолчанию), SSSD будет требоваться возможность сопоставления +пользователю тех учётных данных, которые были использованы для получения +билетов службы. Это означает, что участник, который является владельцем +учётных данных Kerberos, должен соответствовать имени +участника-пользователя, определённому в LDAP. + </para> + <para> + Чтобы включить в SSSD проверку подлинности с помощью GSSAPI, задайте +параметр <option>pam_gssapi_services</option> в разделе [pam] или домена +sssd.conf. Учётные данные службы должны храниться в таблице ключей SSSD (она +уже присутствует, если используется поставщик данных IPA или +AD). Расположение таблицы ключей можно указать с помощью параметра +<option>krb5_keytab</option>. Подробные сведения об этих параметрах доступны +на справочных страницах <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> и <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Некоторых развёрнутые системы Kerberos позволяют связывать индикаторы +проверки подлинности с определённым способом предварительной проверки +подлинности, используемым для получения пользователем билета на получение +билетов. <command>pam_sss_gss.so</command> позволяет принудительно +установить обязательность наличия индикаторов проверки подлинности в билетах +службы для получения возможности доступа к определённой службе PAM. + </para> + <para> + Если параметр <option>pam_gssapi_indicators_map</option> задан в разделе +[pam] или домена sssd.conf, SSSD будет проверять билет службы на наличие +настроенных индикаторов. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>debug</option> + </term> + <listitem> + <para>Вывести данные отладки.</para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>ПРЕДОСТАВЛЯЕМЫЕ ТИПЫ МОДУЛЕЙ</title> + <para>Предоставляется только модуль типа <option>auth</option>.</para> + </refsect1> + + <refsect1 id="return_values"> + <title>ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + Операция PAM успешно завершена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Пользователь неизвестен службе проверки подлинности или не поддерживается +проверка подлинности с помощью GSSAPI. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Сбой при проверке подлинности. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Не удалось получить доступ к данным проверки подлинности. Это может быть +связано со сбоем сети или оборудования. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Произошла системная ошибка. В журнале SSSD могут быть дополнительные +сведения об этой ошибке. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='examples'> + <title>ПРИМЕРЫ</title> + <para> + Основной вариант использования — обеспечить проверку подлинности без пароля +в sudo, но без необходимости отключать проверку подлинности полностью. Для +достижения такого результата следует сначала включить проверку подлинности с +помощью GSSAPI для sudo в sssd.conf: + </para> + <programlisting> +[domain/MYDOMAIN] +pam_gssapi_services = sudo, sudo-i + </programlisting> + <para> + А затем следует включить модуль в нужном стеке PAM (например, +/etc/pam.d/sudo и /etc/pam.d/sudo-i). + </para> + <programlisting> +... +auth sufficient pam_sss_gss.so +... + </programlisting> + </refsect1> + + <refsect1 id='troubleshooting'> + <title>УСТРАНЕНИЕ НЕПОЛАДОК</title> + <para> + Журнал SSSD, отладочный вывод pam_sss_gss и системный журнал могут содержать +полезные сведения об ошибке. Вот некоторые распространённые проблемы: + </para> + <para> + 1. Переменная среды KRB5CCNAME задана, и проверка подлинности не работает: в +зависимости от используемой версии sudo, возможно, что sudo не передаёт эту +переменную среде PAM. Попробуйте добавить KRB5CCNAME в раздел +<option>env_keep</option> в /etc/sudoers или в стандартные параметры правил +sudo для LDAP. + </para> + <para> + 2. Проверка подлинности не работает, и в системном журнале есть запись +«Server not found in Kerberos database»: вероятно, Kerberos не удалось +определить корректную область для билета службы на основе имени +узла. Попробуйте добавить имя узла непосредственно в раздел +<option>[domain_realm]</option> в /etc/krb5.conf следующим образом: + </para> + <para> + 3. Проверка подлинности не работает, и в системном журнале есть запись «No +Kerberos credentials available»: отсутствуют учётные данные, которые можно +было бы использовать для получения необходимого билета службы. Используйте +kinit или пройдите проверку подлинности с помощью SSSD для получения этих +учётных данных. + </para> + <para> + 4. Проверка подлинности не работает, и в журнале sssd-pam SSSD есть запись +«User with UPN [$UPN] was not found.» или «UPN [$UPN] does not match target +user [$username].»: используются учётные данные, которые нельзя сопоставить +тому пользователю, проверка подлинности которого проводится. Попробуйте +использовать kswitch для выбора другого участника, убедитесь, что проверка +подлинности с помощью SSSD пройдена, или отключите +<option>pam_gssapi_check_upn</option>. + </para> + <programlisting> +[domain_realm] +.myhostname = MYREALM + </programlisting> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss-certmap.5.xml b/src/man/ru/sss-certmap.5.xml new file mode 100644 index 0000000..93e68a4 --- /dev/null +++ b/src/man/ru/sss-certmap.5.xml @@ -0,0 +1,771 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>Правила установления соответствия и сопоставления сертификатов SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице приводится описание правил, которые могут +использоваться SSSD и другими компонентами для установления соответствия +сертификатов X.509 и их сопоставления с учётными записями. + </para> + <para> + Каждое правило содержит четыре компонента, <quote>приоритет</quote>, +<quote>правило установления соответствия</quote>, <quote>правило +сопоставления</quote> и <quote>список доменов</quote>. Все компоненты +являются необязательными. Если отсутствует <quote>приоритет</quote>, будет +добавлено правило с самым низким приоритетом. Стандартное <quote>правило +установления соответствия</quote> устанавливает соответствие сертификатов с +использованием ключа digitalSignature и расширенным использованием ключа +clientAuth. Если <quote>правило сопоставления</quote> не указано, в атрибуте +userCertificate будет выполняться поиск сертификатов как двоичных файлов в +кодировке DER. Если не указаны домены, поиск будет выполняться только в +локальном домене. + </para> + <para> + Чтобы разрешить расширения или совершенно другой стиль правила, +<quote>сопоставления</quote> и <quote>правила соответствия</quote> могут +содержать префикс, отделенный символом «:» от основной части +правила. Префикс может содержать только ASCII-буквы верхнего регистра и +цифры. Если префикс опущен, будет использоваться тип по умолчанию: «KRB5» +для правил соответствия и «LDAP» для правил сопоставления. + </para> + <para> + Утилита 'sssctl' предоставляет команду 'cert-eval-rule', предназначенную для +проверки, соответствует ли указанный сертификат правилам соответствия, и +определяет, как будет выглядеть вывод правила сопоставления. + </para> + </refsect1> + + <refsect1 id='components'> + <title>КОМПОНЕНТЫ ПРАВИЛА</title> + <refsect2 id='priority'> + <title>ПРИОРИТЕТ</title> + <para> + Правила обрабатываются в порядке приоритета. Ноль «0» означает наивысший +приоритет. Чем больше число, тем выше приоритет. Отсутствие значения +означает самый низкий приоритет. Обработка правил останавливается при +обнаружении соответствующего условиям правила, и никакие другие правила уже +не проверяются. + </para> + <para> + На внутреннем уровне приоритет обрабатывается как беззнаковое 32-битное +целое. Использование значения приоритета, превышающего 4294967295, приведёт +к ошибке. + </para> + <para> + Если несколько правил имеют одинаковый приоритет, но только одно +соответствует связанным правилам установления соответствия, будет выбрано +это правило. Если имеется несколько правил с одинаковым приоритетом, которые +соответствуют, будет выбрано одно из них, но не будет определено, какое +именно. Чтобы предотвратить такое неопределённое поведение, следует либо +задать разный приоритет, либо сделать правила установления соответствия +более чёткими (например, с помощью разных шаблонов <ISSUER>). + </para> + </refsect2> + <refsect2 id='match'> + <title>ПРАВИЛО УСТАНОВЛЕНИЯ СООТВЕТСТВИЯ</title> + <para> + Правило установления соответствия используется для выбора сертификата, к +которому следует применить правило сопоставления. В нём используется +система, похожую на ту, которая используется в параметре +<quote>pkinit_cert_match</quote> MIT Kerberos. Правило состоит из ключевого +слова, расположенного между «<» и «>», которое идентифицирует +определённую часть сертификата, и шаблона, который должен быть найден для +установления соответствия правила. Несколько пар «ключевое слово — шаблон» +можно соединить с помощью логического оператора «&&» (и) или +«||» (или). + </para> + <para> + Учитывая сходство с MIT Kerberos, префиксом для этого правила является +«KRB5». Но «KRB5» также будет использоваться по умолчанию для <quote>правил +установления соответствия</quote>, поэтому +«<SUBJECT>.*,DC=MY,DC=DOMAIN» и «KRB5:<SUBJECT>.*,DC= +MY,DC=DOMAIN» эквивалентны. + </para> + <para> + Доступные параметры: <variablelist> + <varlistentry> + <term><SUBJECT>регулярное_выражение</term> + <listitem> + <para> + Это правило позволяет установить соответствие части или всего имени субъекта +сертификата. Для установления соответствия используется синтаксис +расширенных регулярных выражений POSIX. Подробное описание синтаксиса +доступно на справочной странице regex(7). + </para> + <para> + Для установления соответствия имени субъекта, которое хранится в сертификате +в кодировке DER, ASN.1 преобразуется в строку в соответствии с RFC 4514. Это +означает, что сначала идёт наиболее специфичный компонент имени. Обратите +внимание, что в стандарте RFC 4514 перечислены не все возможные имени +атрибутов. В него включены имена «CN», «L», «ST», «O», «OU», «C», «STREET», +«DC» и «UID». Другие имена атрибутов могут отображаться по-разному на +различных платформах и с помощью различных инструментов. Чтобы избежать +путаницы, рекомендуется не использовать такие имена и не покрывать их +соответствующим регулярным выражением. + </para> + <para> + Пример: <SUBJECT>.*,DC=MY,DC=DOMAIN + </para> + <para> + Обратите внимание, что символы «^.[$()|*+?{\» имеют специальное значение в +регулярных выражениях, поэтому их необходимо экранировать с помощью символа +«\», чтобы программа воспринимала их как обычные символы. + </para> + <para> + Пример: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>регулярное_выражение</term> + <listitem> + <para> + Это правило позволяет установить соответствие части или всего имени издателя +сертификата. Этого параметра касаются те же комментарии, которые были +указаны для <SUBJECT>. + </para> + <para> + Пример: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>использование_ключа</term> + <listitem> + <para> + С помощью этого параметра можно указать, какие значения использования ключа +должен иметь сертификат. В разделённом запятыми списке можно указать +следующие значения: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Для покрытия особых вариантов использования также можно использовать +значение в диапазоне 32-битного беззнакового целого. + </para> + <para> + Пример: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>расширенное_использование_ключа</term> + <listitem> + <para> + С помощью этого параметра можно указать, какие значения расширенного +использования ключа должен иметь сертификат. В разделённом запятыми списке +можно указать следующие значения: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + Расширенные использования ключа, которые не входят в представленный выше +список, можно указать по их OID в десятичной записи. + </para> + <para> + Пример: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>регулярное_выражение</term> + <listitem> + <para> + Для обеспечения совместимости с использованием MIT Kerberos этот параметр +будет устанавливать соответствие участников Kerberos в SAN PKINIT или SAN AD +NT Principal так, как это делает <SAN:Principal>. + </para> + <para> + Пример: <SAN>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие участников Kerberos в SAN PKINIT или SAN AD NT +Principal. + </para> + <para> + Пример: <SAN:Principal>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие участников Kerberos в SAN AD NT Principal. + </para> + <para> + Пример: <SAN:ntPrincipalName>.*@MY.AD.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие участников Kerberos в SAN PKINIT. + </para> + <para> + Пример: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>регулярное_выражение</term> + <listitem> + <para> + Взять значение компонента otherName SAN, указанное с помощью OID в +десятичном формате, интерпретировать его как строку и попытаться установить +его соответствие регулярному выражению. + </para> + <para> + Пример: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>строка_base64</term> + <listitem> + <para> + Выполнить установление двоичного соответствия blob-объекта в кодировке +base64 всем компонентам otherName SAN. С помощью этого параметра возможно +устанавливать соответствие пользовательским компонентам otherName в особых +кодировках, которые не могут обрабатываться как строки. + </para> + <para> + Пример: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN rfc822Name. + </para> + <para> + Пример: <SAN:rfc822Name>.*@email\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN dNSName. + </para> + <para> + Пример: <SAN:dNSName>.*\.my\.dns\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>строка_base64</term> + <listitem> + <para> + Установить двоичное соответствие значения SAN x400Address. + </para> + <para> + Пример: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN directoryName. Этого параметра касаются +те же комментарии, которые были указаны для <ISSUER> и +<SUBJECT>. + </para> + <para> + Пример: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>строка_base64</term> + <listitem> + <para> + Установить двоичное соответствие значения SAN ediPartyName. + </para> + <para> + Пример: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN uniformResourceIdentifier. + </para> + <para> + Пример: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN iPAddress. + </para> + <para> + Пример: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>регулярное_выражение</term> + <listitem> + <para> + Установить соответствие значения SAN registeredID в виде десятичной строки. + </para> + <para> + Пример: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>ПРАВИЛО СОПОСТАВЛЕНИЯ</title> + <para> + Правило сопоставления используется для связывания сертификата с одной или +несколькими учётными записями. После этого для прохождения проверки +подлинности в качестве одной из этих учётных записей будет можно +использовать смарт-карту с сертификатом и соответствующим закрытым ключом. + </para> + <para> + В настоящее время SSSD поддерживает поиск данных пользователей в основном +только в LDAP (исключение — поставщик данных прокси, что несущественно в +данном контексте). Поэтому правило сопоставления основано на синтаксисе +фильтра поиска LDAP с шаблонами для добавления содержимого сертификата в +фильтр. Ожидается, что фильтр будет содержать только определённые данные, +необходимые для сопоставления, и что вызывающая сторона внедрит их в другой +фильтр для выполнения фактического поиска. Поэтому строка фильтра должна, +соответственно, начинаться символом «(» и заканчиваться символом «)». + </para> + <para> + В целом, рекомендуется использовать атрибуты из сертификата и добавлять их к +специальным атрибутам объекта пользователя LDAP. Например, можно +использовать атрибут «altSecurityIdentities» в AD или атрибут +«ipaCertMapData» для IPA. + </para> + <para> + Это предпочтительнее чтения относящихся к пользователю данных из сертификата +(например, адреса электронной почты) и поиска этих данных на сервере +LDAP. Дело в том, что относящиеся к пользователю данные в LDAP могут +меняться по ряду причин, и это приведёт к ошибке сопоставления. С другой +стороны, сложно специально вызвать ошибку сопоставления для определённого +пользователя. + </para> + <para> + Типом <quote>правила сопоставления</quote> по умолчанию является «LDAP», +который можно добавить в качестве префикса к правилу, +например. 'LDAP:(userCertificate;binary={cert!bin})'. Расширение «LDAPU1» +предоставляет дополнительные шаблоны для увеличения гибкости. Чтобы +разрешить устаревшим версиям этой библиотеки игнорировать расширения, при +использовании новых шаблонов в <quote>правиле сопоставления</quote> должен +быть использован префикс «LDAPU1», иначе работа устаревшей версии этой +библиотеки будет завершена с сообщением об ошибке при обработке входных +данных. Новые шаблоны описаны в разделе <xref linkend="map_ldapu1"/>. + </para> + <para> + Шаблоны для добавления данных сертификата в фильтр поиска основаны на +строках форматирования в стиле Python. Они состоят из ключевого слова в +фигурных скобках с необязательным указателем подкомпонента, который отделён +знаком «.», или необязательным параметром преобразования/форматирования, +который отделён знаком «!». Допустимые значения: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Этот шаблон добавит полное DN издателя, преобразованное в строку в +соответствии с RFC 4514. Для упорядочения X.500 (самое специфичное RDN в +конце) следует использовать параметр с префиксом «_x500». + </para> + <para> + Параметры преобразования, которые начинаются с «ad_», используют имена +атрибутов, используемые AD (например, «S» вместо «ST»). + </para> + <para> + Параметры преобразования, которые начинаются с «nss_», используют имена +атрибутов, используемые NSS. + </para> + <para> + Стандартным вариантом преобразования является «nss», то есть имена атрибутов +согласно NSS и упорядочение LDAP/RFC 4514. + </para> + <para> + Пример: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Этот шаблон добавит полное DN субъекта, преобразованное в строку в +соответствии с RFC 4514. Для упорядочения X.500 (самое специфичное RDN в +конце) следует использовать параметр с префиксом «_x500». + </para> + <para> + Параметры преобразования, которые начинаются с «ad_», используют имена +атрибутов, используемые AD (например, «S» вместо «ST»). + </para> + <para> + Параметры преобразования, которые начинаются с «nss_», используют имена +атрибутов, используемые NSS. + </para> + <para> + Стандартным вариантом преобразования является «nss», то есть имена атрибутов +согласно NSS и упорядочение LDAP/RFC 4514. + </para> + <para> + Пример: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Этот шаблон добавит в фильтр поиска весь сертификат в кодировке DER как +строку. В зависимости от значения параметра преобразования двоичный +сертификат будет преобразован либо в экранированную шестнадцатеричную +последовательность «\xx», либо в код base64. Стандартным вариантом является +экранированная шестнадцатеричная последовательность. Она может +использоваться, например, с атрибутом LDAP «userCertificate;binary». + </para> + <para> + Пример: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Этот шаблон добавит участника Kerberos, взятого либо из SAN, используемого +pkinit, либо из SAN, используемого AD. Компонент «short_name» представляет +первую часть записи участника, до знака «@». + </para> + <para> + Пример: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Этот шаблон добавит участника Kerberos, который указан в SAN, используемом +pkinit. Компонент «short_name» представляет первую часть записи участника, +до знака «@». + </para> + <para> + Пример: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Этот шаблон добавит участника Kerberos, который указан в SAN, используемом +AD. Компонент «short_name» представляет первую часть записи участника, до +знака «@». + </para> + <para> + Пример: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Этот шаблон добавит строку, которая хранится в компоненте rfc822Name SAN +(обычно это адрес электронной почты). Компонент «short_name» представляет +первую часть записи адреса, до знака «@». + </para> + <para> + Пример: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Этот шаблон добавит строку, которая хранится в компоненте dNSName SAN +(обычно это полное имя узла) Компонент «short_name» представляет первую +часть записи имени, до первого знака «.». + </para> + <para> + Пример: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Этот шаблон добавит строку, которая хранится в компоненте +uniformResourceIdentifier SAN. + </para> + <para> + Пример: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Этот шаблон добавит строку, которая хранится в компоненте iPAddress SAN. + </para> + <para> + Пример: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Этот шаблон добавит значение, которое хранится в компоненте x400Address SAN +как экранированная шестнадцатеричная последовательность. + </para> + <para> + Пример: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Этот шаблон добавит строку DN значения, которое хранится в компоненте +directoryName SAN. + </para> + <para> + Пример: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Этот шаблон добавит значение, которое хранится в компоненте ediPartyName SAN +как экранированная шестнадцатеричная последовательность. + </para> + <para> + Пример: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Этот шаблон добавит OID, который хранится в компоненте registeredID SAN как +десятичная строка. + </para> + <para> + Пример: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>Расширение LDAPU1</title> + <para> + При использовании расширения «LDAPU1» доступны следующие шаблоны: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + Этот шаблон добавит серийный номер сертификата. По умолчанию он будет +напечатан как шестнадцатеричное число буквами нижнего регистра. + </para> + <para> + Если используется параметр форматирования «!dec», число будет выведено в +виде десятичной строки. Шестнадцатеричный вывод может быть показан буквами в +верхнем регистре («!hex_u»), с двоеточием, разделяющим шестнадцатеричные +байты («!hex_c»), или с шестнадцатеричными байтами в обратном порядке +(«!hex_r»). Буквы постфикса можно комбинировать, например, «!hex_uc» +приведет к выводу шестнадцатеричной строки, разделенной двоеточием, с +буквами в верхнем регистре. + </para> + <para> + Пример: LDAPU1:(serial={серийный_номер}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + Этот шаблон добавит идентификатор ключа назначения сертификата. По умолчанию +он будет напечатан как шестнадцатеричное число буквами нижнего регистра. + </para> + <para> + Шестнадцатеричный вывод может быть показан буквами в верхнем регистре +(«!hex_u»), с двоеточием, разделяющим шестнадцатеричные байты («!hex_c»), +или с шестнадцатеричными байтами в обратном порядке («!hex_r»). Буквы +постфикса можно комбинировать, например, «!hex_uc» приведет к выводу +шестнадцатеричной строки, разделенной двоеточием, с буквами в верхнем +регистре. + </para> + <para> + Пример: LDAPU1:(ski={subject_key_id}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!DIGEST[_ucr]]}</term> + <listitem> + <para> + Этот шаблон добавит шестнадцатеричную контрольную сумму или хэш к +сертификату. Запись DIGEST должна быть заменена названием функции +контрольной суммы или хэша, поддержка которых предусмотрена в OpenSSL, +например. «sha512». + </para> + <para> + Шестнадцатеричный вывод может быть показан буквами в верхнем регистре +(«!sha512_u»), с двоеточием, разделяющим шестнадцатеричные байты +(«!sha512_c»), или с шестнадцатеричными байтами в обратном порядке +(«!sha512_r»). Буквы постфикса можно комбинировать, например, «!sha512_uc» +приведет к выводу шестнадцатеричной строки, разделенной двоеточием, с +буквами в верхнем регистре. + </para> + <para> + Пример: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + Этот шаблон добавит значение атрибуту компонента DN субъекта, по умолчанию +значением является самый специфический компонент. + </para> + <para> + Другой компонент может быть выбран по имени атрибута, например, +{subject_dn_component.uid} или по позиции, например, +{subject_dn_component.[2]}, где положительные числа означают отсчет от +наиболее специфичного компонента, а отрицательные числа — от наименее +специфичного компонента. Название атрибута и позиция могут быть объединены, +например, {subject_dn_component.uid[2]} означает, что имя второго компонента +должно быть «uid». + </para> + <para> + Пример: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + Этот шаблон добавит значение атрибуту компонента DN издателя, по умолчанию +значением является самый специфический компонент. + </para> + <para> + См. раздел «subject_dn_component» для получения более подробной информации о +названиях атрибутов и спецификаторов позиции. + </para> + <para> + Пример: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + Этот шаблон добавит SID, если доступно соответствующее расширение, +представленное Microsoft с OID 1.3.6.1.4.1.311.25.2. С помощью селектора +«.rid» будет добавлен только последний компонент, то есть RID. + </para> + <para> + Пример: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>СПИСОК ДОМЕНОВ</title> + <para> + Когда список доменов не пуст, поиск пользователей, сопоставленных указанному +сертификату, будет выполняться не только в локальном домене, но также и в +перечисленных в списке доменах, если они известны SSSD. Домены, которые +неизвестны SSSD, будут игнорироваться. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> diff --git a/src/man/ru/sss_cache.8.xml b/src/man/ru/sss_cache.8.xml new file mode 100644 index 0000000..6e1099d --- /dev/null +++ b/src/man/ru/sss_cache.8.xml @@ -0,0 +1,268 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_cache</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_cache</refname> + <refpurpose>выполнить очистку кэша</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_cache</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_cache</command> объявляет недействительными записи в кэше +SSSD. Объявленные недействительными записи принудительно повторно +загружаются с сервера, как только соответствующий внутренний сервер SSSD +появляется в сети. Параметры, объявляющие недействительность одного объекта, +принимают только один предоставленный аргумент. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-E</option>,<option>--everything</option> + </term> + <listitem> + <para> + Объявить недействительными все кэшированные записи. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--user</option> <replaceable>login</replaceable> + </term> + <listitem> + <para> + Объявить недействительным определённого пользователя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-U</option>,<option>--users</option> + </term> + <listitem> + <para> + Объявить недействительными все записи пользователей. Этот параметр имеет +приоритет над параметром, который объявляет недействительным определённого +пользователя, если он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--group</option> +<replaceable>group</replaceable> + </term> + <listitem> + <para> + Объявить недействительной определённую группу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-G</option>,<option>--groups</option> + </term> + <listitem> + <para> + Объявить недействительными все записи групп. Этот параметр имеет приоритет +над параметром, который объявляет недействительной определённую группу, если +он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--netgroup</option> +<replaceable>netgroup</replaceable> + </term> + <listitem> + <para> + Объявить недействительной определённую сетевую группу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-N</option>,<option>--netgroups</option> + </term> + <listitem> + <para> + Объявить недействительными все записи сетевых групп. Этот параметр имеет +приоритет над параметром, который объявляет недействительной определённую +сетевую группу, если он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--service</option> +<replaceable>service</replaceable> + </term> + <listitem> + <para> + Объявить недействительной определённую службу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-S</option>,<option>--services</option> + </term> + <listitem> + <para> + Объявить недействительными все записи служб. Этот параметр имеет приоритет +над параметром, который объявляет недействительной определённую службу, если +он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-a</option>,<option>--autofs-map</option> +<replaceable>autofs-map</replaceable> + </term> + <listitem> + <para> + Объявить недействительной определённую карту autofs. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-A</option>,<option>--autofs-maps</option> + </term> + <listitem> + <para> + Объявить недействительными все карты autofs. Этот параметр имеет приоритет +над параметром, который объявляет недействительной определённую карту +autofs, если он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-h</option>,<option>--ssh-host</option> +<replaceable>hostname</replaceable> + </term> + <listitem> + <para> + Объявить недействительными открытые ключи SSH определённого узла. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-H</option>,<option>--ssh-hosts</option> + </term> + <listitem> + <para> + Объявить недействительными открытые ключи SSH всех узлов. Этот параметр +имеет приоритет над параметром, который объявляет недействительными открытые +ключи SSH определённого узла, если он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-r</option>,<option>--sudo-rule</option> +<replaceable>rule</replaceable> + </term> + <listitem> + <para> + Объявить недействительным определённое правило sudo. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-R</option>,<option>--sudo-rules</option> + </term> + <listitem> + <para> + Объявить недействительными все кэшированные правила sudo. Этот параметр +имеет приоритет над параметром, который объявляет недействительным +определённое правило sudo, если он также был задан. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>domain</replaceable> + </term> + <listitem> + <para> + Ограничить процесс объявления недействительности определённым доменом. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='memcache'> + <title>ВЛИЯНИЕ НА КЭШ В СВЕРХОПЕРАТИВНОЙ ПАМЯТИ</title> + <para> + <command>sss_cache</command> также объявляет недействительным кэш в +памяти. Так как кэш в памяти является файлом, который сопоставляется с +памятью каждого процесса, который вызывал SSSD для разрешения пользователей +или групп, этот файл не может быть усечён. В заголовке файла указывается +специальный флаг, который обозначает недействительность содержимого, и затем +ответчик NSS SSSD выполняет отмену связи этого файла, после чего создаётся +новый файл кэша. Теперь, когда процесс выполняет новый поиск пользователя +или группы, он видит флаг, закрывает старый файл кэша в памяти и +сопоставляет со своей памятью новый файл. Когда все процессы, которые +открывали старый файл кэша в памяти, закроют его при поиске пользователя или +группы, ядро сможет освободить занятое пространство на диске и старый файл +кэша в памяти будет полностью удалён. + </para> + <para> + Особый случай представляют длительно выполняемые процессы, которые +осуществляют поиск пользователей или групп только при запуске (например, +чтобы определить имя пользователя, от имени которого запущен процесс). Для +такого поиска файл кэша в памяти сопоставляется с памятью процесса. Но, так +как дальнейшего поиска не будет, этот процесс никогда не определит, был ли +объявлен недействительным файл кэша в памяти, и поэтому он будет оставлен в +памяти и будет занимать пространство на диске до тех пор, пока процесс не +остановится. Следовательно, вызов <command>sss_cache</command> может +увеличить использование места на диске, потому что старые файлы кэша в +памяти не могут быть удалены с диска, так как они всё ещё сопоставляются +длительно выполняемыми процессами. + </para> + <para> + Чтобы обойти эту проблему для длительно выполняемых процессов, которые +выполняют поиск пользователей и групп только при запуске или очень редко, +можно запускать их с переменной среды SSS_NSS_USE_MEMCACHE, установленной в +значение «NO»: в этом случае они вообще не будут использовать кэш в памяти и +не будут сопоставлять файл кэша в памяти с памятью. В целом, лучшим решением +проблемы будет настроить параметры тайм-аута кэша таким образом, чтобы они +соответствовали локальным ожиданиям и не требовался вызов +<command>sss_cache</command>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_debuglevel.8.xml b/src/man/ru/sss_debuglevel.8.xml new file mode 100644 index 0000000..3a49ea3 --- /dev/null +++ b/src/man/ru/sss_debuglevel.8.xml @@ -0,0 +1,38 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_debuglevel</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_debuglevel</refname> + <refpurpose>[НЕ РЕКОМЕНДУЕТСЯ] изменить уровень отладки во время работы SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_debuglevel</command> <arg choice='opt'> +<replaceable>параметры</replaceable> </arg> <arg +choice='plain'><replaceable>НОВЫЙ_УРОВЕНЬ_ОТЛАДКИ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_debuglevel</command> устарела и заменена командой debug-level +sssctl. Дополнительные сведения об использовании sssctl доступны на +man-странице <command>sssctl</command>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_obfuscate.8.xml b/src/man/ru/sss_obfuscate.8.xml new file mode 100644 index 0000000..7d62fe7 --- /dev/null +++ b/src/man/ru/sss_obfuscate.8.xml @@ -0,0 +1,97 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>скрыть открытый пароль</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>параметры</replaceable> </arg> <arg +choice='plain'><replaceable>[ПАРОЛЬ]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_obfuscate</command> преобразует указанный пароль в формат, +нечитаемый человеком, и помещает его в соответствующем разделе домена файла +конфигурации SSSD. + </para> + <para> + Открытый пароль читается из потока стандартного ввода или вводится в +интерактивном режиме. Скрытый пароль помещается в параметр +<quote>ldap_default_authtok</quote> указанного домена SSSD, и параметр +<quote>ldap_default_authtok_type</quote> устанавливается в значение +<quote>obfuscated_password</quote>. Дополнительные сведения об этих +параметрах доступны на справочной странице <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Обратите внимание, что скрытие пароля <emphasis>на самом деле не повышает +уровень безопасности</emphasis>, так как злоумышленник всё равно сможет +реконструировать пароль. <emphasis>Настоятельно</emphasis> рекомендуется +использовать более совершенные механизмы проверки подлинности (например, +сертификаты на стороне клиента или GSSAPI). + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + Пароль для скрытия будет прочитан из потока стандартного ввода. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Домен SSSD, в котором используется пароль. Имя по умолчанию: +<quote>default</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> <replaceable>FILE</replaceable> + </term> + <listitem> + <para> + Прочитать файл конфигурации, указанный с помощью позиционного параметра. + </para> + <para> + По умолчанию: <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_override.8.xml b/src/man/ru/sss_override.8.xml new file mode 100644 index 0000000..69a1d73 --- /dev/null +++ b/src/man/ru/sss_override.8.xml @@ -0,0 +1,266 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_override</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_override</refname> + <refpurpose>создать локальные переопределения атрибутов пользователя и группы</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_override</command> <arg +choice='plain'><replaceable>КОМАНДА</replaceable></arg> <arg choice='opt'> +<replaceable>параметры</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_override</command> позволяет создать представление на стороне +клиента и изменить выбранные значения для определённых пользователей и +групп. Изменения будут применены только на локальном компьютере. + </para> + <para> + Данные переопределений хранятся в кэше SSSD. При удалении кэша все локальные +переопределения будут потеряны. Обратите внимание, что после создания +первого переопределения с помощью любой из следующих команд: +<emphasis>user-add</emphasis>, <emphasis>group-add</emphasis>, +<emphasis>user-import</emphasis> или <emphasis>group-import</emphasis>, +необходимо перезапустить SSSD для вступления изменений в силу. Когда +требуется перезапуск, <emphasis>sss_override</emphasis> отображает +соответствующее сообщение. + </para> + <para> + <emphasis>ПРИМЕЧАНИЕ:</emphasis> представленные на этой справочной странице +параметры работают только для значений <quote>ldap</quote> и +<quote>AD</quote> параметра <quote> id_provider</quote>. Переопределениями +IPA можно управлять централизованно на сервере IPA. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>ДОСТУПНЫЕ КОМАНДЫ</title> + <para> + Аргумент <emphasis>NAME</emphasis> — это имя исходного объекта во всех +командах. Невозможно переопределить <emphasis>uid</emphasis> или +<emphasis>gid</emphasis> в значение «0». + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>user-add</option> <emphasis>NAME</emphasis> +<optional><option>-n,--name</option> NAME</optional> +<optional><option>-u,--uid</option> UID</optional> +<optional><option>-g,--gid</option> GID</optional> +<optional><option>-h,--home</option> HOME</optional> +<optional><option>-s,--shell</option> SHELL</optional> +<optional><option>-c,--gecos</option> GECOS</optional> +<optional><option>-x,--certificate</option> BASE64 ENCODED +CERTIFICATE</optional> + </term> + <listitem> + <para> + Переопределить атрибуты пользователя. Следует учитывать, что при вызове этой +команды для указанного по имени (NAME) пользователя будет заменено +предыдущее переопределение, если таковое имеется. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-del</option> <emphasis>NAME</emphasis> + </term> + <listitem> + <para> + Удалить переопределения пользователя. Необходимо учитывать, что +переопределённые атрибуты могут быть возвращены из кэша в памяти. Подробные +сведения доступны в описании параметра SSSD +<emphasis>memcache_timeout</emphasis>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-find</option> <optional><option>-d,--domain</option> +DOMAIN</optional> + </term> + <listitem> + <para> + Вывести список всех пользователей, для которых заданы переопределения. Если +параметр <emphasis>DOMAIN</emphasis> задан, будут показаны только +пользователи из указанного домена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-show</option> <emphasis>NAME</emphasis> + </term> + <listitem> + <para> + Показать переопределения пользователя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-import</option> <emphasis>FILE</emphasis> + </term> + <listitem> + <para> + Импортировать переопределения пользователя из +<emphasis>FILE</emphasis>. Формат данных аналогичен стандартному файлу +passwd. Формат: + </para> + <para> + original_name:name:uid:gid:gecos:home:shell:base64_encoded_certificate + </para> + <para> + где original_name — исходное имя пользователя, атрибуты которого следует +переопределить. Остальные поля соответствуют новым значениям. Чтобы не +указывать значение, просто оставьте соответствующее поле пустым. + </para> + <para> + Примеры: + </para> + <para> + ckent:superman:::::: + </para> + <para> + ckent@krypton.com::501:501:Superman:/home/earth:/bin/bash: + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-export</option> <emphasis>FILE</emphasis> + </term> + <listitem> + <para> + Экспортировать все переопределённые атрибуты и сохранить их в +<emphasis>FILE</emphasis>. Сведения о формате данных доступны в описании +команды <emphasis>user-import</emphasis>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-add</option> <emphasis>NAME</emphasis> +<optional><option>-n,--name</option> NAME</optional> +<optional><option>-g,--gid</option> GID</optional> + </term> + <listitem> + <para> + Переопределить атрибуты группы. Следует учитывать, что при вызове этой +команды для указанной по имени (NAME) группы будет заменено предыдущее +переопределение, если таковое имеется. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-del</option> <emphasis>NAME</emphasis> + </term> + <listitem> + <para> + Удалить переопределения группы. Необходимо учитывать, что переопределённые +атрибуты могут быть возвращены из кэша в памяти. Подробные сведения доступны +в описании параметра SSSD <emphasis>memcache_timeout</emphasis>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-find</option> <optional><option>-d,--domain</option> +DOMAIN</optional> + </term> + <listitem> + <para> + Вывести список всех групп, для которых заданы переопределения. Если параметр +<emphasis>DOMAIN</emphasis> задан, будут показаны только группы из +указанного домена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-show</option> <emphasis>NAME</emphasis> + </term> + <listitem> + <para> + Показать переопределения группы. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-import</option> <emphasis>FILE</emphasis> + </term> + <listitem> + <para> + Импортировать переопределения группы из <emphasis>FILE</emphasis>. Формат +данных аналогичен стандартному файлу group. Формат: + </para> + <para> + original_name:name:gid + </para> + <para> + где original_name — исходное имя группы, атрибуты которой следует +переопределить. Остальные поля соответствуют новым значениям. Чтобы не +указывать значение, просто оставьте соответствующее поле пустым. + </para> + <para> + Примеры: + </para> + <para> + admins:administrators: + </para> + <para> + Domain Users:Users:501 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-export</option> <emphasis>FILE</emphasis> + </term> + <listitem> + <para> + Экспортировать все переопределённые атрибуты и сохранить их в +<emphasis>FILE</emphasis>. Сведения о формате данных доступны в описании +команды <emphasis>group-import</emphasis>. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='options'> + <title>ОБЩИЕ ПАРАМЕТРЫ</title> + <para> + Эти параметры доступны для всех команд. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>LEVEL</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_rpcidmapd.5.xml b/src/man/ru/sss_rpcidmapd.5.xml new file mode 100644 index 0000000..7c746e9 --- /dev/null +++ b/src/man/ru/sss_rpcidmapd.5.xml @@ -0,0 +1,112 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <refentryinfo> +<productname>Модуль SSS rpc.idmapd</productname> <author> +<firstname>Noam</firstname> <surname>Meltzer</surname> <affiliation> +<orgname>Primary Data Inc.</orgname> </affiliation> <contrib>Разработчик +(2013—2014)</contrib> </author> <author> <firstname>Noam</firstname> +<surname>Meltzer</surname> <contrib>Разработчик (2014—)</contrib> +<email>tsnoam@gmail.com</email> </author></refentryinfo> + + <refmeta> + <refentrytitle>sss_rpcidmapd</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss_rpcidmapd</refname> + <refpurpose>инструкции по настройке модуля sss для rpc.idmapd</refpurpose> + </refnamediv> + + <refsect1 id='conf-file'> + <title>ФАЙЛ КОНФИГУРАЦИИ</title> + <para> + Файл конфигурации rpc.idmapd обычно находится здесь: +<emphasis>/etc/idmapd.conf</emphasis>. Дополнительные сведения доступны на +справочной странице <citerefentry> +<refentrytitle>idmapd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='sss-conf-extension'> + <title>РАСШИРЕНИЕ КОНФИГУРАЦИИ SSS</title> + <refsect2 id='enable-sss'> + <title>Включить модуль SSS</title> + <para> + В разделе <quote>[Translation]</quote> измените или укажите атрибут +<quote>Method</quote>, чтобы он содержал <emphasis>sss</emphasis>. + </para> + </refsect2> + <refsect2 id='sss-conf-sect'> + <title>Раздел конфигурации [sss]</title> + <para> + Чтобы изменить стандартное значение одного из указанных ниже атрибутов +конфигурации модуля <emphasis>sss</emphasis>, для него потребуется создать +соответствующий раздел конфигурации с именем <quote>[sss]</quote>. + </para> + <variablelist> + <title>Атрибуты конфигурации</title> + <varlistentry> + <term>memcache (логическое значение)</term> + <listitem> + <para> + Обозначает, следует ли использовать технику оптимизации memcache. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + </refsect1> + + <refsect1 id='sssd-integration'> + <title>ИНТЕГРАЦИЯ SSSD</title> + <para> + Для работы модуля SSS необходимо включить в SSSD <emphasis>ответчик +NSS</emphasis>. + </para> + <para> + Атрибут <quote>use_fully_qualified_names</quote> необходимо включить для +всех доменов (клиенты NFSv4 ожидают передачи полного имени «на лету»). + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере показан минимальный idmapd.conf, где используется модуль +sss. <programlisting> +[General] +Verbosity = 2 +# домен должен быть синхронизирован между сервером NFSv4 и клиентами +# в Solaris/Illumos/AIX по умолчанию используется «localdomain»! +Domain = default + +[Mapping] +Nobody-User = nfsnobody +Nobody-Group = nfsnobody + +[Translation] +Method = sss +</programlisting> + </para> + </refsect1> + + <refsect1 id='see_also'> + <title>СМ. ТАКЖЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> <refentrytitle>idmapd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/ru/sss_seed.8.xml b/src/man/ru/sss_seed.8.xml new file mode 100644 index 0000000..673e50d --- /dev/null +++ b/src/man/ru/sss_seed.8.xml @@ -0,0 +1,167 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>пополнить кэш SSSD данными пользователя</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg choice='plain'>-D +<replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n +<replaceable>USER</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_seed</command> пополняет кэш SSSD записью пользователя и +временным паролем. Если запись пользователя уже присутствует в кэше SSSD, +она будет обновлена данными временного пароля. + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Указать имя домена, участником которого является пользователь. Домен также +используется для получения данных пользователя. Домен необходимо настроить в +sssd.conf. Необходимо задать параметр <replaceable>DOMAIN</replaceable>. +Данные, полученные от домена, имеют приоритет над данными, указанными с +помощью параметров. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>USER</replaceable> + </term> + <listitem> + <para> + Имя пользователя, запись которого следует создать или изменить в +кэше. Необходимо указать параметр <replaceable>ПОЛЬЗОВАТЕЛЬ</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable> + </term> + <listitem> + <para> + Установить UID пользователя в значение <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + Установить GID пользователя в значение <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>КОММЕНТАРИЙ</replaceable> + </term> + <listitem> + <para> + Любая текстовая строка, описывающая пользователя. Часто используется в +качестве поля для полного имени пользователя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>ДОМАШНИЙ_КАТАЛОГ</replaceable> + </term> + <listitem> + <para> + Установить домашний каталог пользователя в значение +<replaceable>ДОМАШНИЙ_КАТАЛОГ</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> +<replaceable>ОБОЛОЧКА</replaceable> + </term> + <listitem> + <para> + Установить командную оболочку входа пользователя в значение +<replaceable>ОБОЛОЧКА</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Интерактивный режим ввода данных пользователя. При использовании этого +параметра программа отправляет запрос только тех данных, которые не были +получены из параметров команды или домена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>ФАЙЛ_ПАРОЛЕЙ</replaceable> + </term> + <listitem> + <para> + Позволяет указать файл, из которого следует прочитать пароль +пользователя. Если значение не указано, программа запросит пароль + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Длина пароля (или размер файла, указанного с помощью параметра -p или +--password-file) должна быть меньше или равна PASS_MAX байт (64 байт в +системах, где значение PASS_MAX не задано глобально). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_ssh_authorizedkeys.1.xml b/src/man/ru/sss_ssh_authorizedkeys.1.xml new file mode 100644 index 0000000..55a9e0d --- /dev/null +++ b/src/man/ru/sss_ssh_authorizedkeys.1.xml @@ -0,0 +1,145 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_authorizedkeys</refname> + <refpurpose>получить авторизованные ключи OpenSSH</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_authorizedkeys</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>USER</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_ssh_authorizedkeys</command> получает открытые ключи SSH для +пользователя <replaceable>USER</replaceable> и выводит их в формате +authorized_keys OpenSSH (дополнительные сведения доступны в разделе +<quote>ФОРМАТ ФАЙЛА AUTHORIZED_KEYS</quote> справочной страницы +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>). + </para> + <para> + <citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> можно настроить на использование +<command>sss_ssh_authorizedkeys</command> для проверки подлинности +пользователей по открытым ключам, если программа собрана с поддержкой +параметра <quote>AuthorizedKeysCommand</quote>. Дополнительные сведения об +этом параметре доступны на справочной странице <citerefentry> +<refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + Если параметр <quote>AuthorizedKeysCommand</quote> поддерживается, +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> можно настроить на его +использование, поместив следующие инструкции в <citerefentry> +<refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>: <programlisting> + AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys + AuthorizedKeysCommandUser nobody +</programlisting> + </para> + + <refsect2 id='cert_keys'> + <title>КЛЮЧИ ИЗ СЕРТИФИКАТОВ</title> + <para> + Помимо открытых ключей SSH для пользователя <replaceable>USER</replaceable>, +<command>sss_ssh_authorizedkeys</command> может также возвращать открытые +ключи SSH, производные от открытого ключа сертификата X.509. + </para> + <para> + Чтобы включить эту возможность, необходимо установить параметр +<quote>ssh_use_certificate_keys</quote> в значение «true» (по умолчанию) в +разделе [ssh] файла <filename>sssd.conf</filename>. Если запись пользователя +содержит сертификаты (подробные сведения доступны в описании параметра +<quote>ldap_user_certificate</quote> на справочной странице +<citerefentry><refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>) или имеется сертификат в записи +переопределения для пользователя (подробные сведения доступны на справочной +странице<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> или +<citerefentry><refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>) и этот сертификат действителен, то +SSSD извлечёт открытый ключ из сертификата и преобразует его в формат, +ожидаемый sshd. + </para> + <para> + Помимо <quote>ssh_use_certificate_keys</quote>, параметры + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + могут использоваться для управления способом проверки сертификатов +(подробные сведения доступны на справочной странице +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>). + </para> + <para> + Проверка действительности — то преимущество, которое даёт использование +сертификатов X.509 вместо непосредственно ключей SSH; это позволяет лучше +управлять временем жизни ключей. Когда клиент SSH настроен на использование +закрытых ключей со смарт-карты с помощью общей библиотеки PKCS#11 (подробные +сведения доступны на справочной странице +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry>), может раздражать то, что проверка +подлинности продолжает работать даже в случае истечения срока действия +соответствующего сертификата X.509 на смарт-карте, так как ни +<command>ssh</command>, ни <command>sshd</command> не принимают сертификат +во внимание. + </para> + <para> + Следует отметить, что производный открытый ключ SSH можно добавить в +файл<filename>authorized_keys</filename> пользователя для обхода проверки +действительности сертификата, если это позволяет конфигурация +<command>sshd</command>. + </para> + </refsect2> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Искать открытые ключи пользователя в домене SSSD +<replaceable>DOMAIN</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>СОСТОЯНИЕ ВЫХОДА</title> + <para> + В случае успеха возвращается значение состояния выхода «0». В ином случае +возвращается «1». + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sss_ssh_knownhostsproxy.1.xml b/src/man/ru/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..f7aa59b --- /dev/null +++ b/src/man/ru/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,106 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_knownhostsproxy</refname> + <refpurpose>получить ключи OpenSSH узла</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>HOST</replaceable></arg> <arg +choice='opt'><replaceable>PROXY_COMMAND</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sss_ssh_knownhostsproxy</command> получает открытые ключи SSH узла +для узла <replaceable>HOST</replaceable>, сохраняет их в пользовательском +файле known_hosts OpenSSH (подробные сведения доступны в разделе +<quote>ФОРМАТ ФАЙЛА SSH_KNOWN_HOSTS</quote> справочной страницы +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) +<filename>/var/lib/sss/pubconf/known_hosts</filename> и устанавливает +подключение к узлу. + </para> + <para> + Если указано значение <replaceable>PROXY_COMMAND</replaceable>, оно будет +использовано для создания подключения к узлу вместо открытия сокета. + </para> + <para> + <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> можно настроить на использование +<command>sss_ssh_knownhostsproxy</command> для проверки подлинности ключа +узла с помощью следующих инструкций по настройке +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry>: <programlisting> +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts +</programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable> + </term> + <listitem> + <para> + Использовать порт <replaceable>PORT</replaceable> для подключения к узлу. По +умолчанию используется порт 22. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Искать открытые ключи узла в домене SSSD <replaceable>DOMAIN</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-k</option>,<option>--pubkey</option> + </term> + <listitem> + <para> + Вывести открытые ключи SSH узла для узла <replaceable>HOST</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>СОСТОЯНИЕ ВЫХОДА</title> + <para> + В случае успеха возвращается значение состояния выхода «0». В ином случае +возвращается «1». + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssctl.8.xml b/src/man/ru/sssctl.8.xml new file mode 100644 index 0000000..362e56b --- /dev/null +++ b/src/man/ru/sssctl.8.xml @@ -0,0 +1,65 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssctl</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssctl</refname> + <refpurpose>утилита управления и состояния SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssctl</command> <arg +choice='plain'><replaceable>КОМАНДА</replaceable></arg> <arg choice='opt'> +<replaceable>параметры</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>sssctl</command> предоставляет простой унифицированный способ +получения данных о состоянии SSSD (в частности, активного сервера, +автоматически обнаруженных серверов, доменов и кэшированных объектов). Кроме +того, программа позволяет управлять файлами данных SSSD для устранения +неполадок таким образом, что с ними можно безопасно работать, когда +выполняется SSSD. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>ДОСТУПНЫЕ КОМАНДЫ</title> + <para> + Чтобы вывести все доступные команды, выполните <command>sssctl</command> без +каких-либо параметров. Чтобы вывести справку по выбранной команде, выполните +<command>sssctl КОМАНДА --help</command>. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОБЩИЕ ПАРАМЕТРЫ</title> + <para> + Эти параметры доступны для всех команд. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>LEVEL</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-ad.5.xml b/src/man/ru/sssd-ad.5.xml new file mode 100644 index 0000000..c03ef64 --- /dev/null +++ b/src/man/ru/sssd-ad.5.xml @@ -0,0 +1,1331 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ad</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ad</refname> + <refpurpose>Поставщик Active Directory SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки поставщика +данных AD для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе +доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Поставщик данных AD — это внутренний сервер, который используется для +подключения к серверу Active Directory. Для работы этого поставщика +необходимо, чтобы компьютер был присоединён к домену AD и чтобы была +доступна таблица ключей. Обмен данными с внутренним сервером выполняется по +каналу с шифрованием GSSAPI. С поставщиком данных AD не следует использовать +параметры SSL/TLS, поскольку использование Kerberos будет иметь приоритет +над ними. + </para> + <para> + Поставщик данных AD поддерживает подключение к Active Directory 2008 R2 или +выше. Работа с предшествующими версиями возможна, но не поддерживается. + </para> + <para> + Поставщик данных AD может использоваться для получения данных пользователей +и проверки подлинности пользователей из доверенных доменов. В настоящее +время распознаются только домены, находящиеся в одном и том же лесу. Кроме +того, серверы из доверенных доменов всегда обнаруживаются автоматически. + </para> + <para> + Поставщик данных AD позволяет SSSD использовать поставщика данных +идентификации <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> и поставщика данных проверки +подлинности <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> с оптимизацией для сред Active +Directory. Поставщик данных AD принимает те же параметры, которые +используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми +исключениями. Но установка этих параметров не является ни необходимой, ни +рекомендуемой. + </para> + <para> + Поставщик данных AD в основном копирует стандартные параметры традиционных +поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий +доступен в разделе <quote>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</quote>. + </para> + <para> + Поставщик данных AD также может использоваться в качестве поставщика данных +управления доступом, chpass, sudo и autofs. Конфигурация поставщика доступа +на стороне клиента не требуется. + </para> + <para> + Если в sssd.conf указано <quote>auth_provider=ad</quote> или +<quote>access_provider=ad</quote>, параметр id_provider тоже необходимо +установить в значение <quote>ad</quote>. + </para> + <para> + По умолчанию поставщик данных AD сопоставляет значения UID и GID из +параметра objectSID в Active Directory. Подробные сведения об этом доступны +в разделе <quote>СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ</quote> ниже. Если требуется +отключить сопоставление идентификаторов и полагаться на атрибуты POSIX, +определённые в Active Directory, следует указать <programlisting> +ldap_id_mapping = False + </programlisting> Если должны быть использованы атрибуты POSIX, +в целях повышения производительности рекомендуется также реплицировать эти +атрибуты в глобальный каталог. Если атрибуты POSIX реплицируются, SSSD +попытается найти домен по числовому идентификатору из запроса с помощью +глобального каталога и выполнит поиск в этом домене. Если же атрибуты POSIX +не реплицируются в глобальный каталог, SSSD придётся последовательно +выполнить поиск во всех доменах в лесу. Обратите внимание, что для ускорения +поиска без доменов также может быть полезным использование параметра +<quote>cache_first</quote>. Учтите, что если в глобальном каталоге +присутствует только подмножество атрибутов POSIX, из порта LDAP не будет +выполняться чтение нереплицированных атрибутов. + </para> + <para> + Регистр записей пользователей, групп и других сущностей, обслуживаемых SSSD, +никогда не учитывается поставщиком данных AD в целях обеспечения +совместимости с реализацией LDAP Active Directory. + </para> + <para> + SSSD разрешает только группы безопасности Active Directory. Дополнительные +сведения о типах групп AD см. в разделе <ulink +url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups"> +Группы безопасности Active Directory</ulink> + </para> + <para> + SSSD отфильтровывает локальные для домена группы от удалённых доменов в лесу +AD. По умолчанию группы будут отфильтрованы (например, при следовании по +иерархии вложенных групп в удалённых доменах), так не являются +действительными в локальном домене. Это сделано для обеспечения +согласованности с назначением групп и участия в них Active Directory, +которое можно увидеть в PAC билете Kerberos пользователя, выданного Active +Directory. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para>Сведения о конфигурации домена SSSD доступны в разделе <quote>РАЗДЕЛЫ +ДОМЕНА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>ad_domain (строка)</term> + <listitem> + <para> + Позволяет указать имя домена Active Directory. Это необязательно. Если имя +не указано, используется имя домена в конфигурации. + </para> + <para> + Для корректной работы этот параметр следует указывать в формате записи +полной версии имени домена Active Directory в нижнем регистре. + </para> + <para> + Краткое имя домена (также называется именем NetBIOS или плоским именем) +автоматически определяется SSSD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enabled_domains (строка)</term> + <listitem> + <para> + A comma-separated list of enabled Active Directory domains. If provided, +SSSD will ignore any domains not listed in this option. If left unset, all +discovered domains from the AD forest will be available. + </para> + <para> + During the discovery of the domains SSSD will filter out some domains where +flags or attributes indicate that they do not belong to the local forest or +are not trusted. If ad_enabled_domains is set, SSSD will try to enable all +listed domains. + </para> + <para> + Для корректной работы этот параметр должен быть указан полностью в нижнем +регистре и как полное доменное имя домена Active Directory. Например: +<programlisting> +ad_enabled_domains = sales.example.com, eng.example.com + </programlisting> + </para> + <para> + Краткое имя домена (также называется именем NetBIOS или плоским именем) +будет автоматически определено SSSD. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_server, ad_backup_server (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён узлов серверов AD, к которым SSSD следует +подключаться в порядке приоритета. Дополнительные сведения об отработке +отказа и избыточности сервера доступны в разделе <quote>ОТРАБОТКА +ОТКАЗА</quote>. + </para> + <para> + Этот параметр является необязательным, если включено автоматическое +обнаружение служб. Дополнительные сведения об обнаружении служб доступны в +разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>. + </para> + <para> + Примечание: доверенные домены всегда автоматически обнаруживают серверы, +даже если в параметре ad_server явно определён основной сервер. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_hostname (строка)</term> + <listitem> + <para> + Необязательный параметр. На компьютерах, где hostname(5) не содержит полное +имя, sssd будет пытаться расширить краткое имя. Если это невозможно или если +следует использовать именно краткое имя, необходимо явно указать этот +параметр. + </para> + <para> + Это поле используется для определения используемого участника-узла в таблице +ключей и выполнения динамических обновлений DNS. Его значение должно +соответствовать имени узла, для которого была выпущена таблица ключей. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_dns_sites (логическое значение)</term> + <listitem> + <para> + Включить сайты DNS — обнаружение служб по расположению. + </para> + <para> + Если этот параметр установлен в значение «true» и включено обнаружение служб +(смотрите абзац об обнаружении служб в нижней части справочной страницы), +SSSD сначала попытается обнаружить сервер Active Directory, к которому +следует подключиться, с помощью возможности обнаружения сайтов Active +Directory, а затем, если сайт AD не удастся найти, будет использовать записи +SRV DNS. Конфигурация SRV DNS, включая домен обнаружения, используется также +и при обнаружении сайтов. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_access_filter (строка)</term> + <listitem> + <para> + Этот параметр позволяет указать фильтр управления доступом LDAP, условиям +которого должен соответствовать пользователь для получения доступа. Обратите +внимание, что этот параметр будет работать только в том случае, если +параметр <quote>access_provider</quote> явно установлен в значение +<quote>ad</quote>. + </para> + <para> + Этот параметр также поддерживает указание разных фильтров для отдельных +доменов или лесов. Такой расширенный фильтр имеет следующий формат: +<quote>KEYWORD:NAME:FILTER</quote>. Ключевым словом может быть +<quote>DOM</quote> или <quote>FOREST</quote>, а также оно может +отсутствовать. + </para> + <para> + Если в качестве ключевого слова используется <quote>DOM</quote> или если +ключевое слово не указано, <quote>NAME</quote> указывает домен или поддомен, +к которому применяется фильтр. Если в качестве ключевого слова используется +<quote>FOREST</quote>, фильтр применяется ко всем доменам из леса, +указанного значением <quote>NAME</quote>. + </para> + <para> + Несколько фильтров можно разделить с помощью символа <quote>?</quote>, +аналогично работе баз поиска. + </para> + <para> + Поиск участия во вложенных группах выполняется с помощью специального OID +<quote>:1.2.840.113556.1.4.1941:</quote> в дополнение к полной +синтаксической конструкции DOM:domain.example.org:, чтобы средство обработки +не пыталось интерпретировать символы двоеточия, связанные с OID. Без +использования этого OID разрешение участия во вложенных группах не будет +выполняться. Пример использования приводится ниже, а дополнительные сведения +о OID доступны <ulink +url="https://msdn.microsoft.com/en-us/library/cc223367.aspx">в разделе +технической спецификации Active Directory MS, посвящённом расширениям +LDAP</ulink> + </para> + <para> + Всегда используется совпадение с наивысшим уровнем соответствия. Например, +если с помощью параметра задан фильтр для домена, участником которого +является пользователь, и глобальный фильтр, будет применяться фильтр для +домена. Если имеется несколько совпадений с одинаковым уровнем соответствия, +будет использоваться первое из них. + </para> + <para> + Примеры: + </para> + <programlisting> +# применить фильтр только для домена с именем dom1: +dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com) + +# применить фильтр только для домена с именем dom2: +DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com) + +# применить фильтр только для леса с именем EXAMPLE.COM: +FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com) + +# применить фильтр для участника вложенной группы в dom1: +DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com) + </programlisting> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_site (строка)</term> + <listitem> + <para> + Позволяет указать сайт AD, к которому клиенту следует попытаться +подключиться. Если этот параметр не указан, обнаружение сайта AD будет +выполнено автоматически. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_gc (логическое значение)</term> + <listitem> + <para> + По умолчанию SSSD сначала подключается к глобальному каталогу для получения +данных пользователей из доверенных доменов, а порт LDAP используется для +получения данных об участии в группах или в качестве резервного +способа. Если этот параметр отключён, SSSD будет подключаться только к порту +LDAP текущего сервера AD. + </para> + <para> + Обратите внимание, что отключение глобального каталога не отключает +получение данных пользователей из доверенных доменов. SSSD просто будет +подключаться к порту LDAP доверенных доменов. Тем не менее, для разрешения +данных о междоменном участии в группах необходимо использовать глобальный +каталог. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_access_control (строка)</term> + <listitem> + <para> + Этот параметр позволяет указать режим работы функциональной возможности +управления доступом на основе GPO: отключённый, принудительный или +разрешительный. Обратите внимание, что для работы этого параметра необходимо +явно установить параметр <quote>access_provider</quote> в значение +<quote>ad</quote>. + </para> + <para> + Функциональная возможность управления доступом на основе GPO использует +параметры политики GPO для определения того, разрешён ли конкретному +пользователю вход на узел. Дополнительные сведения о поддерживаемых +параметрах политики доступны в описании параметров +<quote>ad_gpo_map</quote>. + </para> + <para> + Обратите внимание, что текущая версия SSSD не поддерживает встроенные группы +Active Directory. Встроенные группы (например, Administrators с SID +S-1-5-32-544) в правилах управления доступом GPO будут проигнорированы +SSSD. Подробные сведения доступны в системе отслеживания ошибок: +https://github.com/SSSD/sssd/issues/5063 . + </para> + <para> + Перед осуществлением управления доступом SSSD применяет к GPO фильтр +безопасности групповой политики. Для входа каждого пользователя проверяется +применимость GPO, связанных с узлом. Чтобы GPO применялся к пользователю, +пользователь или хотя бы одна из групп, участником которых он является, +должна обладать следующими правами GPO: + <itemizedlist> + <listitem> + <para> + Read: пользователь или одна из его групп должна обладать правом чтения +свойств GPO (RIGHT_DS_READ_PROPERTY) + </para> + </listitem> + <listitem> + <para> + Apply Group Policy: пользователю или хотя бы одной из его групп должно быть +разрешено применять GPO (RIGHT_DS_CONTROL_ACCESS). + </para> + </listitem> + </itemizedlist> + </para> + <para> + По умолчанию в GPO присутствует группа Authenticated Users. Она обладает как +правом доступа Read, так и правом доступа Apply Group Policy. Так как +проверка подлинности пользователя должна успешно завершиться до того, как +будет применён фильтр безопасности и начато управление доступом на основе +GPO, этот пользователю всегда будет обладать правами группы Authenticated +Users GPO. + </para> + <para> + ПРИМЕЧАНИЕ: если в качестве режим работы выбран принудительный режим, +возможно, что пользователям, которым был ранее разрешён доступ для входа, +теперь будет отказано в доступе для входа (согласно параметрам политики +GPO). Чтобы облегчить переход на новую систему, для администраторов +предусмотрен разрешительный режим: правила управления доступом не +применяются в принудительном порядке. Программа просто проверяет +соответствие этим правилам и выводит в системный журнал сообщение в случае +отказа в доступе. Просмотрев этот журнал, администраторы смогут внести +необходимые изменения, а затем включить принудительный режим. Для ведения +журнала управления доступом на основе GPO необходимо включить уровень +отладки «трассировка функций» (см. справочную страницу <citerefentry> +<refentrytitle>sssctl</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>). + </para> + <para> + Для этого параметра поддерживаются три значения: + <itemizedlist> + <listitem> + <para> + disabled: не осуществляется ни проверка соответствия правилам управления +доступом на основе GPO, ни их принудительное применение. + </para> + </listitem> + <listitem> + <para> + enforcing: осуществляется проверка соответствия правилам управления доступом +на основе GPO и их принудительное применение. + </para> + </listitem> + <listitem> + <para> + permissive: осуществляется проверка соответствия правилам управления +доступом на основе GPO, но не их принудительное применение. Вместо этого +создаётся сообщение системного журнала, означающее, что пользователю было бы +отказано в доступе, если бы в качестве значения этого параметра был задан +принудительный режим. + </para> + </listitem> + </itemizedlist> + </para> + <para condition="gpo_default_permissive"> + По умолчанию: permissive + </para> + <para condition="gpo_default_enforcing"> + По умолчанию: enforcing + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_implicit_deny (логическое значение)</term> + <listitem> + <para> + Обычно пользователям разрешается доступ, если применимые GPO не +найдены. Когда этот параметр установлен в значение «True», пользователям +будет разрешён доступ только в том случае, если это явно разрешено правилом +GPO. В ином случае пользователям будет отказано в доступе. Это можно сделать +для усиления защиты, но следует использовать этот параметр с осторожностью: +возможен отказ в доступе даже тем пользователям, которые состоят во +встроенной группе Administrators, если к ним не применяются правила GPO. + </para> + + <para> + По умолчанию: false + </para> + + <para> + В следующих двух таблицах показано, когда пользователю будет разрешён или +запрещён доступ на основе прав разрешения или запрета входа, которые +определены на стороне сервера, и установленного значения +ad_gpo_implicit_deny. + </para> + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = False (по умолчанию)</entry></row> + <row><entry>правила разрешения</entry><entry>правила запрета</entry> + <entry>результат</entry></row> + </thead> + <tbody> + <row><entry>отсутствуют</entry><entry>отсутствуют</entry> + <entry><para>доступ разрешён всем пользователям</para> + </entry></row> + <row><entry>отсутствуют</entry><entry>присутствуют</entry> + <entry><para>доступ разрешён только пользователям, отсутствующим в правилах запрета</para></entry></row> + <row><entry>присутствуют</entry><entry>отсутствуют</entry> + <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row> + <row><entry>присутствуют</entry><entry>присутствуют</entry> + <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и +отсутствующим в правилах запрета</para></entry></row> + </tbody></tgroup></informaltable> + + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = True</entry></row> + <row><entry>правила разрешения</entry><entry>правила запрета</entry> + <entry>результат</entry></row> + </thead> + <tbody> + <row><entry>отсутствуют</entry><entry>отсутствуют</entry> + <entry><para>доступ запрещён всем пользователям</para> + </entry></row> + <row><entry>отсутствуют</entry><entry>присутствуют</entry> + <entry><para>доступ запрещён всем пользователям</para> + </entry></row> + <row><entry>присутствуют</entry><entry>отсутствуют</entry> + <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row> + <row><entry>присутствуют</entry><entry>присутствуют</entry> + <entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и +отсутствующим в правилах запрета</para></entry></row> + </tbody></tgroup></informaltable> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_ignore_unreadable (логическое значение)</term> + <listitem> + <para> + Обычно пользователям запрещён доступ, когда некоторые контейнеры групповой +политики (объекта AD) соответствующих объектов групповой политики недоступны +для чтения SSSD. Этот параметр позволяет игнорировать контейнеры групповой +политики, а также связанные с ними политики, если их атрибуты в контейнерах +групповой политики недоступны для чтения SSSD. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + + + <varlistentry> + <term>ad_gpo_cache_timeout (целое число)</term> + <listitem> + <para> + Временной интервал между сеансами поиска файлов политики GPO на сервере +AD. Это сократит задержки и нагрузку на сервер AD, когда за короткое время +поступает много запросов на управление доступом. + </para> + <para> + По умолчанию: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_interactive (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых проверка +соответствия правилам управления доступом на основе GPO осуществляется на +основе параметров политики InteractiveLogonRight и +DenyInteractiveLogonRight. Обрабатываются только те GPO, на доступ к которым +у пользователя есть права Read и Apply Group Policy (смотрите описание +параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO +содержит параметр запрета интерактивного входа для пользователя или одной из +его групп, пользователю будет отказано в локальном доступе. Если ни в одном +из обработанных GPO нет определённого права интерактивного входа, +пользователю будет разрешён локальный доступ. Если хотя бы один обработанный +GPO содержит параметры права интерактивного входа, пользователю будет +разрешён только локальный доступ, если он или хотя бы одна из его групп +являются частью параметров политики. + </para> + <para> + Примечание: в редакторе управления групповыми политиками это значение +называется «Разрешить локальный вход» («Allow log on locally») и «Запретить +локальный вход» («Deny log on locally»). + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для этого права входа (например, +<quote>login</quote>) на пользовательское имя службы PAM (например, +<quote>my_pam_service</quote>), необходимо использовать следующую +конфигурацию: <programlisting> +ad_gpo_map_interactive = +my_pam_service, -login + </programlisting> + </para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-fingerprint + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + lightdm + </para> + </listitem> + <listitem> + <para> + lxdm + </para> + </listitem> + <listitem> + <para> + sddm + </para> + </listitem> + <listitem> + <para> + unity + </para> + </listitem> + <listitem> + <para> + xdm + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_remote_interactive (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых проверка +соответствия правилам управления доступом на основе GPO осуществляется на +основе параметров политики RemoteInteractiveLogonRight и +DenyRemoteInteractiveLogonRight. Обрабатываются только те GPO, на доступ к +которым у пользователя есть права Read и Apply Group Policy (смотрите +описание параметра <quote>ad_gpo_access_control</quote>). Если обработанный +GPO содержит параметр запрета удалённого входа для пользователя или одной из +его групп, пользователю будет отказано в удалённом интерактивном +доступе. Если ни в одном из обработанных GPO нет определённого права +удалённого интерактивного входа, пользователю будет разрешён удалённый +доступ. Если хотя бы один обработанный GPO содержит параметры права +удалённого интерактивного входа, пользователю будет разрешён только +удалённый доступ, если он или хотя бы одна из его групп являются частью +параметров политики. + </para> + <para> + Примечание: в редакторе управления групповыми политиками это значение +называется «Разрешить вход через службы удалённых рабочих столов» («Allow +log on through Remote Desktop Services») и «Запретить вход через службы +удалённых рабочих столов» («Deny log on through Remote Desktop Services»). + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для этого права входа (например, +<quote>sshd</quote>) на пользовательское имя службы PAM (например, +<quote>my_pam_service</quote>), необходимо использовать следующую +конфигурацию: <programlisting> +ad_gpo_map_remote_interactive = +my_pam_service, -sshd + </programlisting> + </para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + sshd + </para> + </listitem> + <listitem> + <para> + cockpit + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_network (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых проверка +соответствия правилам управления доступом на основе GPO осуществляется на +основе параметров политики NetworkLogonRight и +DenyNetworkLogonRight. Обрабатываются только те GPO, на доступ к которым у +пользователя есть права Read и Apply Group Policy (смотрите описание +параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO +содержит параметр запрета входа в сеть для пользователя или одной из его +групп, пользователю будет отказано в доступе для входа в сеть. Если ни в +одном из обработанных GPO нет определённого права входа в сеть, пользователю +будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит +параметры права входа в сеть, пользователю будет разрешён только доступ для +входа, если он или хотя бы одна из его групп являются частью параметров +политики. + </para> + <para> + Примечание: в редакторе управления групповыми политиками это значение +называется «Разрешить доступ к компьютеру из сети» («Access this computer +from the network») и «Запретить доступ к компьютеру из сети» («Deny access +to this computer from the network»). + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для этого права входа (например, +<quote>ftp</quote>) на пользовательское имя службы PAM (например, +<quote>my_pam_service</quote>), необходимо использовать следующую +конфигурацию: <programlisting> +ad_gpo_map_network = +my_pam_service, -ftp + </programlisting> + </para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + ftp + </para> + </listitem> + <listitem> + <para> + samba + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_batch (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых проверка +соответствия правилам управления доступом на основе GPO осуществляется на +основе параметров политики BatchLogonRight и +DenyBatchLogonRight. Обрабатываются только те GPO, на доступ к которым у +пользователя есть права Read и Apply Group Policy (смотрите описание +параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO +содержит параметр запрета пакетного входа для пользователя или одной из его +групп, пользователю будет отказано в доступе для пакетного входа. Если ни в +одном из обработанных GPO нет определённого права пакетного входа, +пользователю будет разрешён доступ для входа. Если хотя бы один обработанный +GPO содержит параметры права пакетного входа, пользователю будет разрешён +только доступ для входа, если он или хотя бы одна из его групп являются +частью параметров политики. + </para> + <para> + Примечание: в редакторе управления групповыми политиками это значение +называется «Разрешить вход в качестве пакетного задания» («Allow log on as a +batch job») и «Запретить вход в качестве пакетного задания» («Deny log on as +a batch job»). + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для этого права входа (например, +<quote>crond</quote>) на пользовательское имя службы PAM (например, +<quote>my_pam_service</quote>), необходимо использовать следующую +конфигурацию: <programlisting> +ad_gpo_map_batch = +my_pam_service, -crond + </programlisting> + </para> + <para>Примечание: имя службы cron может различаться в зависимости от используемого +дистрибутива Linux.</para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + crond + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_service (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых проверка +соответствия правилам управления доступом на основе GPO осуществляется на +основе параметров политики ServiceLogonRight и +DenyServiceLogonRight. Обрабатываются только те GPO, на доступ к которым у +пользователя есть права Read и Apply Group Policy (смотрите описание +параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO +содержит параметр запрета входа службы для пользователя или одной из его +групп, пользователю будет отказано в доступе для входа службы. Если ни в +одном из обработанных GPO нет определённого права входа службы, пользователю +будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит +параметры права входа службы, пользователю будет разрешён только доступ для +входа, если он или хотя бы одна из его групп являются частью параметров +политики. + </para> + <para> + Примечание: в редакторе управления групповыми политиками это значение +называется «Разрешить вход в качестве службы» («Allow log on as a service») +и «Запретить вход в качестве службы» («Deny log on as a service»). + </para> + <para> + Можно добавить имя службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Так как стандартный набор является пустым, из +него невозможно удалить имя службы PAM. Например, чтобы добавить +пользовательское имя службы PAM (например, <quote>my_pam_service</quote>), +необходимо использовать следующую конфигурацию: <programlisting> +ad_gpo_map_service = +my_pam_service + </programlisting> + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_permit (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, которым всегда предоставляется +доступ на основе GPO, независимо от прав входа GPO. + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для безусловно разрешённого доступа +(например, <quote>sudo</quote>) на пользовательское имя службы PAM +(например, <quote>my_pam_service</quote>), необходимо использовать следующую +конфигурацию: <programlisting> +ad_gpo_map_permit = +my_pam_service, -sudo + </programlisting> + </para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + polkit-1 + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + systemd-user + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_deny (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, которым всегда запрещается +доступ на основе GPO, независимо от прав входа GPO. + </para> + <para> + Можно добавить имя службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Так как стандартный набор является пустым, из +него невозможно удалить имя службы PAM. Например, чтобы добавить +пользовательское имя службы PAM (например, <quote>my_pam_service</quote>), +необходимо использовать следующую конфигурацию: <programlisting> +ad_gpo_map_deny = +my_pam_service + </programlisting> + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_default_right (строка)</term> + <listitem> + <para> + Этот параметр определяет, как обрабатываются правила управления доступом для +имён служб PAM, которые явно не указаны в одном из параметров +ad_gpo_map_*. Этот параметр можно установить двумя разными +способами. Первый: с помощью этого параметра можно задать использование +стандартного права входа. Например, установка этого параметра в значение +«interactive» означает, что несопоставленные имена служб PAM будут +обрабатываться на основе параметров политики InteractiveLogonRight и +DenyInteractiveLogonRight. Второй: с помощью этого параметра можно указать +всегда разрешать или всегда запрещать доступ для несопоставленных имён служб +PAM. + </para> + <para> + Для этого параметра поддерживаются следующие значения: + <itemizedlist> + <listitem> + <para> + interactive + </para> + </listitem> + <listitem> + <para> + remote_interactive + </para> + </listitem> + <listitem> + <para> + network + </para> + </listitem> + <listitem> + <para> + batch + </para> + </listitem> + <listitem> + <para> + service + </para> + </listitem> + <listitem> + <para> + permit + </para> + </listitem> + <listitem> + <para> + deny + </para> + </listitem> + </itemizedlist> + </para> + <para> + По умолчанию: deny + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_maximum_machine_account_password_age (целое число)</term> + <listitem> + <para> + SSSD будет раз в день проверять, не превышен ли указанный возраст (в днях) +пароля учётной записи компьютера, и в случае превышения попытается обновить +его. Значение «0» отключает попытку обновления. + </para> + <para> + По умолчанию: 30 дней + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_machine_account_password_renewal_opts (строка)</term> + <listitem> + <para> + Этот параметр следует использовать только для тестирования задания по +обновлению пароля учётной записи компьютера. Параметр ожидает 2 целых числа, +разделённых двоеточием («:»). Первое целое число определяет интервал (в +секундах) между последовательными запусками задания. Второе целое число +указывает начальный тайм-аут (в секундах) перед первым запуском задания +после перезапуска. + </para> + <para> + По умолчанию: 86400:750 (24 часа и 15 минут) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_update_samba_machine_account_password (логическое значение)</term> + <listitem> + <para> + Если этот параметр включён, когда SSSD обновляет пароль учётной записи +компьютера, он обновляется также в базе данных Samba. Это позволяет +предотвратить устаревание копии пароля учётной записи компьютера в Samba, +когда программа настроена на использование AD для проверки подлинности. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_use_ldaps (логическое значение)</term> + <listitem> + <para> + По умолчанию SSSD использует простой порт LDAP 389 и порт глобального +каталога 3628. Если этот параметр установлен в значение «True», SSSD будет +использовать порт LDAPS 636 и порт глобального каталога 3629 с защитой +LDAPS. Так как AD не разрешает использование нескольких слоёв шифрования для +одного подключения и всё ещё требуется использовать SASL/GSSAPI или +SASL/GSS-SPNEGO для проверки подлинности, свойство безопасности SASL maxssf +для таких подключений будет установлено в значение «0» (ноль). + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_allow_remote_domain_local_groups (логическое значение)</term> + <listitem> + <para> + Если этот параметр установлен в значение <quote>true</quote>, SSSD не будет +отфильтровывать группы, локальные в домене, в удалённых доменах в лесу +AD. По умолчанию они отфильтровываются (например, при следовании по иерархии +вложенных групп в удалённых доменах), так не являются действительными в +локальном домене. Этот параметр был добавлен для обеспечения совместимости с +другими решениями, которые делают пользователей и группы AD доступными на +клиенте Linux. + </para> + <para> + Обратите внимание, что установка этого параметра в значение +<quote>true</quote> идёт вразрез со смыслом локальной группы домена в Active +Directory и <emphasis>ДОЛЖНА ВЫПОЛНЯТЬСЯ ТОЛЬКО ДЛЯ ОБЛЕГЧЕНИЯ ПЕРЕХОДА С +ДРУГИХ РЕШЕНИЙ</emphasis>. Хотя эта группа существует и пользователь может +быть её участником, смысл состоит в том, что группа должна использоваться +только в том домене, где она определена, и ни в каких других. Так как +существует только один тип групп POSIX, единственный способ добиться этого +на стороне Linux — игнорировать эти группы. Active Directory делает то же +самое: в PAC билета Kerberos для локальной службы и в запросах tokenGroups +тоже отсутствуют удалённые группы, локальные в домене. + </para> + <para> + Учитывая вышесказанное, при установке этого параметра в значение +<quote>true</quote> необходимо отключить запрос tokenGroups путём установки +параметра <quote>ldap_use_tokengroups</quote> в значение +<quote>false</quote> для получения согласованных данных об участии +пользователей в группах. Кроме того, также следует отключить поиск в +глобальном каталоге путём установки параметра <quote>ad_enable_gc</quote> в +значение <quote>false</quote>. И, наконец, может потребоваться изменить +значение параметра <quote>ldap_group_nesting_level</quote>, если удалённые +группы, локальные в домене, могут быть найдены только на более глубоком +уровне вложенности. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (логическое значение)</term> + <listitem> + <para> + Необязательный параметр. Этот параметр указывает SSSD автоматически +обновлять на сервере DNS Active Directory IP-адрес клиента. Защита +обновления обеспечивается с помощью GSS-TSIG. Соответственно, администратору +Active Directory требуется только разрешить защищённые обновления для зоны +DNS. Для обновления будет использован IP-адрес LDAP-соединения AD, если с +помощью параметра <quote>dyndns_iface</quote> не указано иное. + </para> + <para> + ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы +в этом режиме необходимо надлежащим образом задать стандартную область +Kerberos в /etc/krb5.conf + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (целое число)</term> + <listitem> + <para> + Значение TTL, которое применяется при обновлении записи DNS клиента. Если +параметр dyndns_update установлен в значение «false», этот параметр ни на +что не влияет. Если администратором установлено значение TTL на стороне +сервера, оно будет переопределено этим параметром. + </para> + <para> + По умолчанию: 3600 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (строка)</term> + <listitem> + <para> + Необязательный параметр. Применимо только тогда, когда параметр +dyndns_update установлен в значение «true». Выберите интерфейс или список +интерфейсов, IP-адреса которых должны использоваться для динамических +обновлений DNS. Специальное значение <quote>*</quote> подразумевает, что +следует использовать IP-адреса всех интерфейсов. + </para> + <para> + По умолчанию: использовать IP-адреса интерфейса, который используется для +подключения LDAP AD + </para> + <para> + Пример: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (целое число)</term> + <listitem> + <para> + Как часто внутреннему серверу следует выполнять периодическое обновление DNS +в дополнение к автоматическому обновлению, которое выполняется при переходе +внутреннего сервера в сетевой режим. Этот параметр является необязательным и +применяется только тогда, когда параметр dyndns_update установлен в значение +«true». Обратите внимание, что наименьшее допустимое значение составляет 60 +секунд: если будет указано меньшее значение, параметр примет наименьшее +допустимое значение (60 секунд). + </para> + <para> + По умолчанию: 86400 (24 часа) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (логическое значение)</term> + <listitem> + <para> + Следует ли также явно обновлять запись PTR при обновлении записей DNS +клиента. Применимо только тогда, когда параметр dyndns_update установлен в +значение «true». + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (логическое значение)</term> + <listitem> + <para> + Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными +с сервером DNS. + </para> + <para> + По умолчанию: false (разрешить nsupdate выбрать протокол) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (строка)</term> + <listitem> + <para> + Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для +защищённых обновлений сервера DNS. Незащищённые отправления можно +отправлять, установив этот параметр в значение «none». + </para> + <para> + По умолчанию: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (строка)</term> + <listitem> + <para> + Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для +защищённых обновлений PTR сервера DNS. Незащищённые отправления можно +отправлять, установив этот параметр в значение «none». + </para> + <para> + По умолчанию: то же, что и dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (строка)</term> + <listitem> + <para> + Сервер DNS, который следует использовать для выполнения обновления DNS. В +большинстве конфигураций рекомендуется не устанавливать значение для этого +параметра. + </para> + <para> + Установка этого параметра имеет смысл для сред, в которых сервер DNS +отличается от сервера данных идентификации. + </para> + <para> + Обратите внимание, что этот параметр используется только для резервной +попытки, которая выполняется тогда, когда предыдущая попытка с +использованием автоматически определённых параметров завершилась неудачей. + </para> + <para> + По умолчанию: none (разрешить nsupdate выбрать сервер) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (логическое значение)</term> + <listitem> + <para> + По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а +затем обновление IPv4. В некоторых случаях может быть желательно выполнить +обновление IPv4 и IPv6 за один шаг. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + + <varlistentry> + <term>krb5_confd_path (строка)</term> + <listitem> + <para> + Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты +конфигурации Kerberos. + </para> + <para> + Чтобы отключить создание фрагментов конфигурации, установите этот параметр в +значение «none». + </para> + <para> + По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +example.com — один из доменов в разделе <replaceable>[sssd]</replaceable>. В +примере показаны только параметры, относящиеся к поставщику данных AD. + </para> + <para> +<programlisting> +[domain/EXAMPLE] +id_provider = ad +auth_provider = ad +access_provider = ad +chpass_provider = ad + +ad_server = dc1.example.com +ad_hostname = client.example.com +ad_domain = example.com +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Поставщик данных управления доступом AD проверяет, не истёк ли срок действия +учётной записи. Работает так же, как и следующая конфигурация поставщика +данных LDAP: <programlisting> +access_provider = ldap +ldap_access_order = expire +ldap_account_expire_policy = ad +</programlisting> + </para> + <para> + Тем не менее, если поставщик данных управления доступом <quote>ad</quote> не +настроен явным образом, поставщиком доступа по умолчанию является +<quote>permit</quote>. Обратите внимание, что при настройке поставщика +доступа, отличного <quote>ad</quote>, потребуется вручную указать все +параметры подключения, такие как URI LDAP и параметры шифрования. + </para> + <para> + Когда поставщик данных autofs установлен в значение <quote>ad</quote>, +используется схема сопоставления атрибутов RFC2307 (nisMap, nisObject, ...), +так как эти атрибуты включены в стандартную схему Active Directory. + </para> + <para> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-files.5.xml b/src/man/ru/sssd-files.5.xml new file mode 100644 index 0000000..4ef6cc3 --- /dev/null +++ b/src/man/ru/sssd-files.5.xml @@ -0,0 +1,160 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-files</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-files</refname> + <refpurpose>поставщик данных файлов SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание поставщика данных файлов +для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе +доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Поставщик данных файлов создаёт зеркальную копию содержимого файлов +<citerefentry> <refentrytitle>passwd</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> и <citerefentry> +<refentrytitle>group</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Задача поставщика данных файлов — сделать пользователей и +группы, которые обычно доступны только с помощью интерфейсов NSS, также +доступными с помощью интерфейсов SSSD, например <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Ещё одна задача — предоставить возможность эффективного кэширования данных +локальных пользователей и групп. + </para> + <para> + Please note that besides explicit domain definition the files provider can +be configured also implicitly using 'enable_files_domain' option. See +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for details. + </para> + <para> + SSSD никогда не обрабатывает разрешение пользователя/группы «root». Кроме +того, SSSD не обрабатывает разрешение UID/GID 0. Такие запросы передаются +следующему модулю NSS (обычно это модуль файлов). + </para> + <para> + Если программа SSSD не запущена или не отвечает, nss_sss вернёт код UNAVAIL, +что приведёт к передаче запроса следующему модулю. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + В дополнение к перечисленным ниже параметрам также можно указать типовые +параметры домена SSSD, если это применимо. Сведения о конфигурации домена +SSSD доступны в разделе <quote>РАЗДЕЛЫ ДОМЕНА</quote> справочной страницы +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Но задача поставщика данных файлов +— предоставить те же данные, что и файлы UNIX, просто с помощью интерфейсов +SSSD. Следовательно, поддерживаются не все типовые параметры +домена. Аналогичным образом, некоторые глобальные параметры, такие как +переопределение оболочки в разделе <quote>nss</quote> для всех доменов, не +влияют на домен файлов, если только не указаны явным образом для отдельных +доменов. <variablelist> + <varlistentry> + <term>passwd_files (строка)</term> + <listitem> + <para> + Разделённый запятыми список из одного или нескольких имён файлов паролей, +которые будут прочитаны и перечислены поставщиком данных файлов. Для каждого +указанного файла будет выполняться динамическое обнаружение изменений с +помощью inotify. + </para> + <para> + По умолчанию: /etc/passwd + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>group_files (строка)</term> + <listitem> + <para> + Разделённый запятыми список из одного или нескольких имён файлов групп, +которые будут прочитаны и перечислены поставщиком данных файлов. Для каждого +указанного файла будет выполняться динамическое обнаружение изменений с +помощью inotify. + </para> + <para> + Default: /etc/group + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>fallback_to_nss (логическое значение)</term> + <listitem> + <para> + При обновлении внутренних данных SSSD вернёт ошибку и позволит клиенту +продолжить работу со следующим модулем NSS. Это позволяет избежать задержек, +когда используются стандартные системные файлы +<filename>/etc/passwd</filename> и <filename>/etc/group</filename> и в +конфигурации NSS есть «sss» перед «files» для карт «passwd» и «group». + </para> + <para> + Если поставщик данных файлов настроен на отслеживание других файлов, имеет +смысл установить этот параметр в значение «False», чтобы предотвратить +несогласованное поведение, потому что обычно нет другого модуля NSS, который +можно было бы использовать в качестве резервного. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +files — один из доменов в разделе <replaceable>[sssd]</replaceable>. + </para> + <para> +<programlisting> +[domain/files] +id_provider = files +</programlisting> + </para> + <para> + Чтобы воспользоваться преимуществами кэширования данных локальных +пользователей и групп с помощью SSSD, необходимо указать модуль nss_sss +перед модулем nss_files в /etc/nsswitch.conf. + </para> + <para> +<programlisting> +passwd: sss files +group: sss files +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-ifp.5.xml b/src/man/ru/sssd-ifp.5.xml new file mode 100644 index 0000000..1415b42 --- /dev/null +++ b/src/man/ru/sssd-ifp.5.xml @@ -0,0 +1,154 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ifp</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ifp</refname> + <refpurpose>Ответчик InfoPipe SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки ответчика +InfoPipe для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе +доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Ответчик InfoPipe предоставляет общедоступный интерфейс D-Bus, доступный по +системной шине. Этот интерфейс позволяет пользователю запрашивать данные об +удалённых пользователях и группах по системной шине. + </para> + + <refsect2 id='valid_certificate'> + <title>ПОИСК ПО ДЕЙСТВУЮЩЕМУ СЕРТИФИКАТУ</title> + <para> + Следующие параметры можно использовать для управления тем, как будут +проверяться сертификаты при использовании API FindByValidCertificate(): + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + Подробнее об этих параметрах +см. <citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + </refsect2> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + Эти параметры можно использовать для настройки ответчика InfoPipe. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (строка)</term> + <listitem> + <para> + Разделённый запятыми список значений UID или имён пользователей, которым +разрешён доступ к ответчику InfoPipe. Имена пользователей разрешаются в UID +при запуске. + </para> + <para> + По умолчанию: 0 (доступ к ответчику InfoPipe разрешён только пользователю +root) + </para> + <para> + Обратите внимание: несмотря на то, что в качестве стандартного значения +используется UID 0, оно будет перезаписано этим параметром. Если всё равно +требуется разрешить пользователю root доступ к ответчику InfoPipe (типичный +случай), будет необходимо добавить запись «0» в список UID, которым разрешён +доступ. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>user_attributes (строка)</term> + <listitem> + <para> + Разделённый запятыми список атрибутов из «белого» или «чёрного» списков. + </para> + <para> + По умолчанию ответчик InfoPipe позволяет запрашивать только стандартный +набор атрибутов POSIX. Этот тот же набор, который возвращает +программа<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>, он содержит: <variablelist> + <varlistentry> + <term>name</term> + <listitem><para>имя пользователя для входа</para></listitem> + </varlistentry> + <varlistentry> + <term>uidNumber</term> + <listitem><para>идентификатор пользователя</para></listitem> + </varlistentry> + <varlistentry> + <term>gidNumber</term> + <listitem><para>идентификатор основной группы</para></listitem> + </varlistentry> + <varlistentry> + <term>gecos</term> + <listitem><para>данные о пользователе, обычно полное имя</para></listitem> + </varlistentry> + <varlistentry> + <term>homeDirectory</term> + <listitem><para>домашний каталог</para></listitem> + </varlistentry> + <varlistentry> + <term>loginShell</term> + <listitem><para>оболочка пользователя</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + В этот набор можно добавить другой атрибут с помощью +<quote>+attr_name</quote> или явно удалить атрибут с помощью +<quote>-attr_name</quote>. Например, чтобы разрешить +<quote>telephoneNumber</quote> и запретить <quote>loginShell</quote>, +следует использовать следующую конфигурацию: <programlisting> +user_attributes = +telephoneNumber, -loginShell + </programlisting> + </para> + <para> + По умолчанию: не задано. Разрешён только стандартный набор атрибутов POSIX. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (целое число)</term> + <listitem> + <para> + Позволяет указать верхний предел количества записей, загружаемых во время +поиска с использованием подстановочных знаков. Переопределяет предел, +установленный вызывающей стороной. + </para> + <para> + По умолчанию: 0 (разрешить вызывающей стороне установить верхнее +ограничение) + </para> + </listitem> + </varlistentry> + + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-ipa.5.xml b/src/man/ru/sssd-ipa.5.xml new file mode 100644 index 0000000..84766e5 --- /dev/null +++ b/src/man/ru/sssd-ipa.5.xml @@ -0,0 +1,882 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ipa</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ipa</refname> + <refpurpose>Поставщик данных IPA SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки поставщика +данных IPA для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе +доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Поставщик данных IPA — это внутренний сервер, который используется для +подключения к серверу IPA. (Сведения о серверах IPA доступны на веб-сайте +freeipa.org.) Для работы этого поставщика требуется, чтобы компьютер был +присоединён к домену IPA; настройка почти полностью автоматизирована, +получение её данных выполняется непосредственно с сервера. + </para> + <para> + Поставщик данных IPA позволяет SSSD использовать поставщика данных +идентификации <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> и поставщика данных проверки +подлинности <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> с оптимизацией для сред +IPA. Поставщик данных IPA принимает те же параметры, которые используются +поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми исключениями. Но +установка этих параметров не является ни необходимой, ни рекомендуемой. + </para> + <para> + Поставщик данных IPA в основном копирует стандартные параметры традиционных +поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий +доступен в разделе <quote>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</quote>. + </para> + <para> + As an access provider, the IPA provider has a minimal configuration (see +<quote>ipa_access_order</quote>) as it mainly uses HBAC (host-based access +control) rules. Please refer to freeipa.org for more information about HBAC. + </para> + <para> + Если в sssd.conf указано <quote>auth_provider=ipa</quote> или +<quote>access_provider=ipa</quote>, параметр id_provider тоже необходимо +установить в значение <quote>ipa</quote>. + </para> + <para> + Поставщик данных IPA будет использовать ответчик PAC, если билеты Kerberos +пользователей из доверенных областей содержат PAC. Для упрощения настройки +запуск ответчика PAC выполняется автоматически, если настроен поставщик +идентификаторов IPA. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para>Сведения о конфигурации домена SSSD доступны в разделе <quote>РАЗДЕЛЫ +ДОМЕНА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>ipa_domain (строка)</term> + <listitem> + <para> + Позволяет указать имя домена IPA. Это необязательно. Если имя не указано, +используется имя домена в конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server, ipa_backup_server (строка)</term> + <listitem> + <para> + Разделённый запятыми список IP-адресов или имён узлов серверов IPA, к +которым SSSD следует подключаться в порядке приоритета. Дополнительные +сведения об отработке отказа и избыточности сервера доступны в разделе +<quote>ОТРАБОТКА ОТКАЗА</quote>. Этот параметр является необязательным, если +включено автоматическое обнаружение служб. Дополнительные сведения об +обнаружении служб доступны в разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hostname (строка)</term> + <listitem> + <para> + Необязательный параметр. Может быть указан на компьютерах, где hostname(5) +не содержит полное имя, которое используется для идентификации этого узла в +домене IPA. Имя узла должно быть полным. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (логическое значение)</term> + <listitem> + <para> + Необязательный параметр. Этот параметр указывает SSSD автоматически +обновлять на сервере DNS, встроенном во FreeIPA, IP-адрес клиента. Защита +обновления обеспечивается с помощью GSS-TSIG. Для обновления будет +использован IP-адрес LDAP-соединения IPA, если с помощью параметра +<quote>dyndns_iface</quote> не указано иное. + </para> + <para> + ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы +в этом режиме необходимо надлежащим образом задать стандартную область +Kerberos в /etc/krb5.conf + </para> + <para> + ПРИМЕЧАНИЕ: прежнее имя параметра, <emphasis>ipa_dyndns_update</emphasis>, +всё ещё можно использовать, но пользователям рекомендуется перейти на +использование нового имени, <emphasis>dyndns_update</emphasis>, в файле +конфигурации. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (целое число)</term> + <listitem> + <para> + Значение TTL, которое применяется при обновлении записи DNS клиента. Если +параметр dyndns_update установлен в значение «false», этот параметр ни на +что не влияет. Если администратором установлено значение TTL на стороне +сервера, оно будет переопределено этим параметром. + </para> + <para> + ПРИМЕЧАНИЕ: прежнее имя параметра, <emphasis>ipa_dyndns_ttl</emphasis>, всё +ещё можно использовать, но пользователям рекомендуется перейти на +использование нового имени, <emphasis>dyndns_ttl</emphasis>, в файле +конфигурации. + </para> + <para> + По умолчанию: 1200 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (строка)</term> + <listitem> + <para> + Необязательный параметр. Применимо только тогда, когда параметр +dyndns_update установлен в значение «true». Выберите интерфейс или список +интерфейсов, IP-адреса которых должны использоваться для динамических +обновлений DNS. Специальное значение <quote>*</quote> подразумевает, что +следует использовать IP-адреса всех интерфейсов. + </para> + <para> + ПРИМЕЧАНИЕ: прежнее имя параметра, <emphasis>ipa_dyndns_iface</emphasis>, +всё ещё можно использовать, но пользователям рекомендуется перейти на +использование нового имени, <emphasis>dyndns_iface</emphasis>, в файле +конфигурации. + </para> + <para> + По умолчанию: использовать IP-адреса интерфейса, который используется для +подключения LDAP IPA + </para> + <para> + Пример: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (строка)</term> + <listitem> + <para> + Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для +защищённых обновлений сервера DNS. Незащищённые отправления можно +отправлять, установив этот параметр в значение «none». + </para> + <para> + По умолчанию: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (строка)</term> + <listitem> + <para> + Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для +защищённых обновлений PTR сервера DNS. Незащищённые отправления можно +отправлять, установив этот параметр в значение «none». + </para> + <para> + По умолчанию: то же, что и dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_enable_dns_sites (логическое значение)</term> + <listitem> + <para> + Включить сайты DNS — обнаружение служб по расположению. + </para> + <para> + Если параметр установлен в значение «true» и включено обнаружение служб +(смотрите абзац об обнаружении служб в нижней части справочной страницы), +SSSD сначала будет пробовать выполнить обнаружение на основе расположения с +помощью запроса, который содержит «_location.hostname.example.com», а затем +перейдёт к традиционному обнаружению SRV. Если обнаружение на основе +расположения будет выполнено успешно, серверы IPA, обнаруженные с помощью +обнаружения на основе расположения, будут считаться основными, а серверы +IPA, обнаруженные с помощью традиционного обнаружения SRV, будут +использоваться в качестве резервных + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (целое число)</term> + <listitem> + <para> + Как часто внутреннему серверу следует выполнять периодическое обновление DNS +в дополнение к автоматическому обновлению, которое выполняется при переходе +внутреннего сервера в сетевой режим. Этот параметр является необязательным и +применяется только тогда, когда параметр dyndns_update установлен в значение +«true». + </para> + <para> + По умолчанию: 0 (отключено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (логическое значение)</term> + <listitem> + <para> + Следует ли также явно обновлять запись PTR при обновлении записей DNS +клиента. Применимо только тогда, когда параметр dyndns_update установлен в +значение «true». + </para> + <para> + Этот параметр должен быть установлен в значение «False» в большинстве +развёрнутых систем IPA, так как сервер IPA генерирует записи PTR +автоматически при смене записей перенаправления. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + По умолчанию: false (отключено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (логическое значение)</term> + <listitem> + <para> + Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными +с сервером DNS. + </para> + <para> + По умолчанию: false (разрешить nsupdate выбрать протокол) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (строка)</term> + <listitem> + <para> + Сервер DNS, который следует использовать для выполнения обновления DNS. В +большинстве конфигураций рекомендуется не устанавливать значение для этого +параметра. + </para> + <para> + Установка этого параметра имеет смысл для сред, в которых сервер DNS +отличается от сервера данных идентификации. + </para> + <para> + Обратите внимание, что этот параметр используется только для резервной +попытки, которая выполняется тогда, когда предыдущая попытка с +использованием автоматически определённых параметров завершилась неудачей. + </para> + <para> + По умолчанию: none (разрешить nsupdate выбрать сервер) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (логическое значение)</term> + <listitem> + <para> + По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а +затем обновление IPv4. В некоторых случаях может быть желательно выполнить +обновление IPv4 и IPv6 за один шаг. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_access_order (string)</term> + <listitem> + <para> + Разделённый запятыми список параметров управления доступом. Допустимые +значения: + </para> + <para> + <emphasis>expire</emphasis>: use IPA's account expiration policy. + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> эти параметры полезны, если +пользователям нужно предупреждение о том, что срок действия пароля истекает, +и для проверки подлинности используются не пароли, а, например, ключи SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Please note that 'access_provider = ipa' must be set for this feature to +work. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +объектов, связанных с профилями рабочего стола. + </para> + <para> + По умолчанию: использовать base DN + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_subid"> + <term>ipa_subid_ranges_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +объектов, связанных с подчиненными диапазонами объектов. + </para> + <para> + По умолчанию: значение <emphasis>cn=subids,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +объектов, связанных с HBAC. + </para> + <para> + По умолчанию: использовать base DN + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_host_search_base (строка)</term> + <listitem> + <para> + Не рекомендуется. Используйте ldap_host_search_base. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_selinux_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска карт +пользователей SELinux. + </para> + <para> + Сведения о настройке нескольких баз поиска доступны в описании параметра +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_subdomains_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +доверенных доменов. + </para> + <para> + Сведения о настройке нескольких баз поиска доступны в описании параметра +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>cn=trusts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_master_domain_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +объекта главного домена. + </para> + <para> + Сведения о настройке нескольких баз поиска доступны в описании параметра +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>cn=ad,cn=etc,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_views_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +контейнеров просмотра. + </para> + <para> + Сведения о настройке нескольких баз поиска доступны в описании параметра +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>cn=views,cn=accounts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (строка)</term> + <listitem> + <para> + Имя области Kerberos. Это необязательный параметр, по умолчанию он имеет +значение <quote>ipa_domain</quote>. + </para> + <para> + Имя области Kerberos имеет особое значение в IPA — оно преобразуется в base +DN, которое следует использовать для выполнения действий LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_confd_path (строка)</term> + <listitem> + <para> + Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты +конфигурации Kerberos. + </para> + <para> + Чтобы отключить создание фрагментов конфигурации, установите этот параметр в +значение «none». + </para> + <para> + По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_refresh (целое число)</term> + <listitem> + <para> + Временной интервал между сеансами поиска правил профилей рабочего стола на +сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за +короткое время поступает много запросов на профили рабочего стола. + </para> + <para> + По умолчанию: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_request_interval (целое число)</term> + <listitem> + <para> + Временной интервал между сеансами поиска правил профилей рабочего стола на +сервере IPA, если при последнем запросе не было возвращено ни одного +правила. + </para> + <para> + По умолчанию: 60 (минут) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_refresh (целое число)</term> + <listitem> + <para> + Временной интервал между сеансами поиска правил HBAC на сервере IPA. Это +сократит задержки и нагрузку на сервер IPA, когда за короткое время +поступает много запросов на управление доступом. + </para> + <para> + По умолчанию: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_selinux (целое число)</term> + <listitem> + <para> + Временной интервал между сеансами поиска карт SELinux на сервере IPA. Это +сократит задержки и нагрузку на сервер IPA, когда за короткое время +поступает много запросов на вход пользователей. + </para> + <para> + По умолчанию: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server_mode (логическое значение)</term> + <listitem> + <para> + Значение этого параметра будет задано автоматически установщиком IPA +(ipa-server-install). Оно определяет, работает SSSD на сервере IPA или нет. + </para> + <para> + На сервере IPA SSSD выполняет поиск пользователей и групп из доверенных +доменов напрямую, но на клиенте SSSD отправит запрос серверу IPA. + </para> + <para> + ПРИМЕЧАНИЕ: необходимо соблюсти несколько условий, если SSSD работает на +сервере IPA. + <itemizedlist> + <listitem> + <para> + Параметр <quote>ipa_server</quote> должен быть настроен так, чтобы он +указывал на сам сервер IPA. Такое стандартное значение уже задано +установщиком IPA, поэтому вносить изменения вручную не требуется. + </para> + </listitem> + <listitem> + <para> + Параметр <quote>full_name_format</quote> не должен быть настроен таким +образом, чтобы отображались только краткие имена пользователей из доверенных +доменов. + </para> + </listitem> + </itemizedlist> + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ipa_automount_location (строка)</term> + <listitem> + <para> + Расположение автоматического монтирования, которое будет использовать этот +клиент IPA + </para> + <para> + По умолчанию: расположение с именем «default» + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect2 id='views'> + <title>ПРЕДСТАВЛЕНИЯ И ПЕРЕОПРЕДЕЛЕНИЯ</title> + <para> + SSSD может обрабатывать представления и переопределения, которые +предоставляет FreeIPA версии 4.1 и выше. Так как все пути и классы объектов +зафиксированы на стороне сервера, в целом нет необходимости в дополнительной +настройке. Для полноты картины далее перечислены соответствующие параметры и +их стандартные значения. <variablelist> + <varlistentry> + <term>ipa_view_class (строка)</term> + <listitem> + <para> + Класс объектов контейнера просмотра. + </para> + <para> + По умолчанию: nsContainer + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_view_name (строка)</term> + <listitem> + <para> + Имя атрибута, в котором хранится имя представления. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_override_object_class (строка)</term> + <listitem> + <para> + Объектный класс переопределяемых объектов. + </para> + <para> + По умолчанию: ipaOverrideAnchor + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_anchor_uuid (строка)</term> + <listitem> + <para> + Имя атрибута, содержащего ссылку на исходный объект в удалённом домене. + </para> + <para> + По умолчанию: ipaAnchorUUID + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_user_override_object_class (строка)</term> + <listitem> + <para> + Имя класса объектов для переопределений пользователя. Используется для того, +чтобы определить, связан ли найденный объект переопределения с пользователем +или группой. + </para> + <para> + Переопределения пользователя могут содержать атрибуты, указанные с помощью + <itemizedlist> + <listitem> + <para>ldap_user_name</para> + </listitem> + <listitem> + <para>ldap_user_uid_number</para> + </listitem> + <listitem> + <para>ldap_user_gid_number</para> + </listitem> + <listitem> + <para>ldap_user_gecos</para> + </listitem> + <listitem> + <para>ldap_user_home_directory</para> + </listitem> + <listitem> + <para>ldap_user_shell</para> + </listitem> + <listitem> + <para>ldap_user_ssh_public_key</para> + </listitem> + </itemizedlist> + </para> + <para> + По умолчанию: ipaUserOverride + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_group_override_object_class (строка)</term> + <listitem> + <para> + Имя класса объектов для переопределений группы. Используется для того, чтобы +определить, связан ли найденный объект переопределения с пользователем или +группой. + </para> + <para> + Переопределения группы могут содержать атрибуты, указанные с помощью + <itemizedlist> + <listitem> + <para>ldap_group_name</para> + </listitem> + <listitem> + <para>ldap_group_gid_number</para> + </listitem> + </itemizedlist> + </para> + <para> + По умолчанию: ipaGroupOverride + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ipa_modified_defaults.xml" /> + + <refsect1 id='subdomains_provider'> + <title>ПОСТАВЩИК ДАННЫХ ПОДДОМЕНОВ</title> + <para> + В зависимости от того, настроен ли поставщик данных поддоменов IPA явным или +неявным образом, его поведение будет немного отличаться. + </para> + <para> + Если в разделе домена sssd.conf найден параметр «subdomains_provider = ipa», +поставщик данных поддоменов IPA настроен в явном виде, и при необходимости +все запросы поддоменов отправляются серверу IPA. + </para> + <para> + Если в разделе домена sssd.conf не задан параметр «subdomains_provider», но +имеется параметр «id_provider = ipa», поставщик данных поддоменов IPA +настроен в неявном виде. В этом случае, если происходит ошибка запроса к +поддомену, которая указывает на то, что сервер не поддерживает поддомены, то +есть на нём не настроены отношения доверия, поставщик данных поддоменов IPA +будет отключён. Через час или после того, как поставщик данных IPA выходит в +сеть, поставщик данных поддоменов включается снова. + </para> + </refsect1> + + <refsect1 id='trusted_domains'> + <title>КОНФИГУРАЦИЯ ДОВЕРЕННЫХ ДОМЕНОВ</title> + <para> + Для доверенного домена также можно задать некоторые параметры +конфигурации. Настройку доверенного домена можно выполнить с помощью +подраздела доверенного домена, как показано в примере ниже. Либо можно +воспользоваться параметром <quote>subdomain_inherit</quote> в родительском +домене. <programlisting> +[domain/ipa.domain.com/ad.domain.com] +ad_server = dc.ad.domain.com +</programlisting> + </para> + <para> + Дополнительные сведения доступны на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Для доверенного домена можно выполнить тонкую настройку различных параметров +конфигурации в соответствии с тем, где настраивается SSSD: на сервере IPA +или на клиенте IPA. + </para> + <refsect2 id='server_configuration'> + <title>ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА ОСНОВНЫХ СЕРВЕРАХ IPA</title> + <para> + В разделе поддомена на основном сервере IPA можно настроить следующие +параметры: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_backup_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + <listitem> + <para>ldap_search_base</para> + </listitem> + <listitem> + <para>ldap_user_search_base</para> + </listitem> + <listitem> + <para>ldap_group_search_base</para> + </listitem> + <listitem> + <para>use_fully_qualified_names</para> + </listitem> + </itemizedlist> + </para> + </refsect2> + <refsect2 id='client_configuration'> + <title>ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА КЛИЕНТАХ IPA</title> + <para> + В разделе поддомена на клиенте IPA можно настроить следующие параметры: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + </itemizedlist> + </para> + <para> + Обратите внимание: если заданы оба параметра, учитывается только +<quote>ad_server</quote>. + </para> + <para> + Так как любой запрос идентификационных данных пользователя или группы из +доверенного домена, который активирован клиентом IPA, разрешается сервером +IPA, параметры <quote>ad_server</quote> и <quote>ad_site</quote> влияют +только на то, на каком контроллере домена AD DC будет выполняться проверка +подлинности. В частности, полученные из этих списков адреса будут записаны в +файлы <quote>kdcinfo</quote>, чтение которых выполняет модуль локатора +Kerberos. Дополнительные сведения о модуле локатора Kerberos доступны на +справочной странице<citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +example.com — один из доменов в разделе <replaceable>[sssd]</replaceable>. В +примере показаны только параметры, относящиеся к поставщику данных IPA. + </para> + <para> +<programlisting> +[domain/example.com] +id_provider = ipa +ipa_server = ipaserver.example.com +ipa_hostname = myhost.example.com +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-kcm.8.xml b/src/man/ru/sssd-kcm.8.xml new file mode 100644 index 0000000..0292061 --- /dev/null +++ b/src/man/ru/sssd-kcm.8.xml @@ -0,0 +1,305 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-kcm</refentrytitle> + <manvolnum>8</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-kcm</refname> + <refpurpose>Диспетчер кэшей Kerberos SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки диспетчера кэшей +Kerberos SSSD (Kerberos Cache Manager или KCM). KCM — это процесс, который +хранит кэши учётных данных Kerberos, отслеживает эти кэши и управляет +ими. Он был создан на основе проекта Heimdal Kerberos, хотя библиотека MIT +Kerberos также предоставляет поддержку со стороны клиента (подробнее об этом +далее) для кэша учётных данных KCM. + </para> + <para> + В конфигурации, где кэшами Kerberos управляет KCM, библиотека Kerberos +(обычно используемая через приложение, например <citerefentry> +<refentrytitle>kinit</refentrytitle><manvolnum>1</manvolnum> +</citerefentry>) является <quote>клиентом KCM</quote>, а внутренняя служба +KCM называется <quote>сервером KCM</quote>. Клиент и сервер обмениваются +данными с помощью сокета UNIX. + </para> + <para> + Сервер KCM следит за всеми владельцами кэшей учётных данных и осуществляет +управление проверками прав доступа на основе UID и GID клиента +KCM. Пользователь root имеет доступ ко всем кэшам учётных данных. + </para> + <para> + Кэш учётных данных KCM обладает несколькими интересными свойствами: + <itemizedlist> + <listitem> + <para> + так как процесс выполняется в пространстве пользователей, он подлежит +ограничениям по пространству имён UID, в отличие от набора ключей ядра + </para> + </listitem> + <listitem> + <para> + в отличие от кэша на основе набора ключей ядра, который является общим для +всех контейнеров, сервер KCM представляет собой отдельный процесс, точкой +входа которого является сокет UNIX + </para> + </listitem> + <listitem> + <para> + реализация SSSD сохраняет данные ccache в базе данных (обычно она находится +по адресу <replaceable>/var/lib/sss/secrets</replaceable>), что позволяет не +терять эти данные при перезапусках сервера KCM или перезагрузках компьютера. + </para> + </listitem> + </itemizedlist> + Это позволяет системе использовать кэш учётных данных с учётом сбора, +одновременно делая кэш учётных данных общим для нескольких контейнеров (или +для никаких контейнеров вообще) путём привязки-монтирования сокета. + </para> + <para> + Тайм-аут простоя клиента KCM по умолчанию составляет 5 минут, что +предоставляет больше времени на взаимодействие пользователя с инструментами +командной строки, например kinit. + </para> + </refsect1> + + <refsect1 id='usage'> + <title>ИСПОЛЬЗОВАНИЕ КЭША УЧЁТНЫХ ДАННЫХ KCM</title> + <para> + Чтобы использовать кэш учётных данных KCM, необходимо выбрать его в качестве +стандартного типа учётных данных в <citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. Именем кэша учётных данных может быть только +<quote>KCM:</quote>, без каких-либо расширений шаблонов. Например: +<programlisting> +[libdefaults] + default_ccache_name = KCM: + </programlisting> + </para> + <para> + Далее следует указать одинаковый путь к сокету UNIX для клиентских библиотек +Kerberos и сервера KCM. По умолчанию и для библиотек, и для сервера +используется путь +<replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>. Чтобы +настроить библиотеку Kerberos, измените её параметр +<quote>kcm_socket</quote>, описание которого приводится на справочной +странице <citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + И наконец, следует убедиться, что с сервером KCM SSSD можно +связаться. Служба KCM обычно активируется <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry> с помощью сокета. В отличие от других служб SSSD, её нельзя +запустить, добавив строку <quote>kcm</quote> к инструкции +<quote>service</quote>. <programlisting> +systemctl start sssd-kcm.socket +systemctl enable sssd-kcm.socket + </programlisting> Обратите +внимание, что в дистрибутиве уже может быть выполнена соответствующая +настройка модулей. + </para> + </refsect1> + + <refsect1 id='storage'> + <title>ХРАНИЛИЩЕ КЭША УЧЁТНЫХ ДАННЫХ</title> + <para> + Кэши учётных данных хранятся в базе данных, что очень похоже на хранение +кэшей записей пользователей и групп SSSD. Обычно эта база данных находится +по адресу <quote>/var/lib/sss/secrets</quote>. + </para> + </refsect1> + + <refsect1 id='debugging'> + <title>ПОЛУЧЕНИЕ ЖУРНАЛА ОТЛАДКИ</title> + <para> + Служба sssd-kcm обычно активируется на сокете <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry>. Для генерации журнала отладки добавьте следующее либо +непосредственно в файл <filename>/etc/sssd/sssd.conf</filename>, либо как +фрагмент конфигурации в каталог <filename>/etc/sssd/conf.d/</filename>: +<programlisting> +[kcm] +debug_level = 10 + </programlisting> Затем перезапустите службу +sssd-kcm: <programlisting> +systemctl restart sssd-kcm.service + </programlisting> И выполните те +действия, которые не приводят к желаемым результатам. Журнал KCM будет +записан в <filename>/var/log/sssd/sssd_kcm.log</filename>. Когда в работе +службы отладки больше не будет необходимости, рекомендуется отключить журнал +отладки, так как служба sssd-kcm может генерировать довольно большое +количество данных отладки. + </para> + <para> + Обратите внимание, что в настоящее время фрагменты конфигурации +обрабатываются только в том случае, если основной файл конфигурации по пути +<filename>/etc/sssd/sssd.conf</filename> существует. + </para> + </refsect1> + + <refsect1 id='renewals' condition="enable_kcm_renewal"> + <title>ОБНОВЛЕНИЯ</title> + <para> + Службу sssd-kcm можно настроить на выполнение попыток обновления TGT для +обновляемых TGT, которые хранятся в ccache KCM. Попытка обновления +выполняется только в том случае, если прошла половина времени жизни +билета. Обновления KCM настраиваются при установке следующих параметров в +разделе [kcm]: <programlisting> +tgt_renewal = true +krb5_renew_interval = 60m + </programlisting> + </para> + <para> + SSSD также может наследовать параметры krb5 для обновлений из существующего +домена. + </para> + <programlisting> +tgt_renewal = true +tgt_renewal_inherit = domain-name + </programlisting> + <para> + Для управления поведением обновлений в разделе [kcm] можно настроить +следующие параметры krb5 (подробное описание этих параметров приводится +далее) <programlisting> +krb5_renew_interval +krb5_renewable_lifetime +krb5_lifetime +krb5_validate +krb5_canonicalize +krb5_auth_timeout + </programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + Служба KCM настраивается в разделе <quote>kcm</quote> файла +sssd.conf. Обратите внимание: так как служба KCM обычно активируется с +помощью сокета, достаточно просто перезапустить службу +<quote>sssd-kcm</quote> после изменения параметров в разделе +<quote>kcm</quote> sssd.conf: <programlisting> +systemctl restart sssd-kcm.service + </programlisting> + </para> + <para> + Настройки службы KCM выполняются с помощью <quote>kcm</quote>. Подробные +сведения о синтаксисе доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> +справочной страницы <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Службе kcm можно передавать типовые параметры сервиса SSSD, такие как +<quote>debug_level</quote> или<quote>fd_limit</quote>. Полный список +параметров доступен на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Кроме того, предусмотрено несколько специфичных для KCM +параметров. + </para> + <variablelist> + <varlistentry> + <term>socket_path (строка)</term> + <listitem> + <para> + Сокет, на котором будет ожидать передачи данных служба KCM. + </para> + <para> + По умолчанию: <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable> + </para> + <para> + <phrase condition="have_systemd"> Примечание: на платформах, которые +поддерживают systemd, путь к сокету перезаписан путём, который определён в +файле модуля sssd-kcm.socket. </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccaches (целое число)</term> + <listitem> + <para> + Сколько кэшей учётных данных может содержать база данных KCM для всех +пользователей. + </para> + <para> + По умолчанию: 0 (без ограничений, принудительно применяется только квота для +отдельного UID) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_uid_ccaches (целое число)</term> + <listitem> + <para> + Сколько кэшей учётных данных может содержать база данных KCM для одного +UID. Это эквивалентно <quote>количеству участников, инициализацию которых +можно выполнить с помощью kinit</quote>. + </para> + <para> + По умолчанию: 64 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccache_size (целое число)</term> + <listitem> + <para> + Максимальный размер кэша учётных данных для отдельного ccache. Эта квота +вычисляется сразу для всех билетов служб. + </para> + <para> + По умолчанию: 65536 + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal (логическое значение)</term> + <listitem> + <para> + Включает функциональную возможность обновлений TGT. + </para> + <para> + По умолчанию: False (автоматические обновления отключены) + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal_inherit (строка)</term> + <listitem> + <para> + Домен, от которого наследуются параметры krb5_*, для использования при +обновлении TGT. + </para> + <para> + По умолчанию: NULL + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include condition="enable_kcm_renewal" xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </refsect1> + + <refsect1 id='see_also'> + <title>СМ. ТАКЖЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/ru/sssd-krb5.5.xml b/src/man/ru/sssd-krb5.5.xml new file mode 100644 index 0000000..0f3e9ca --- /dev/null +++ b/src/man/ru/sssd-krb5.5.xml @@ -0,0 +1,455 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-krb5</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-krb5</refname> + <refpurpose>Поставщик данных Kerberos SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки внутреннего +сервера проверки подлинности Kerberos 5 для <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Подробные сведения о синтаксисе доступны в разделе +<quote>ФОРМАТ ФАЙЛА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Внутренний сервер проверки подлинности Kerberos 5 содержит поставщиков +данных для проверки подлинности (auth) и смены пароля (chpass). Для +корректной работы его необходимо использовать совместно с поставщиком данных +идентификации (например, id_provider = ldap). Некоторые данные, которые +требуются внутреннему серверу проверки подлинности Kerberos 5, должны +предоставляться поставщиком данных идентификации (например, имя участника +Kerberos пользователя (UPN)). В конфигурации поставщика данных идентификации +должна быть запись с указанием UPN. Сведения о том, как выполнить такую +настройку, доступны на справочной странице соответствующего поставщика +данных идентификации. + </para> + <para> + Этот внутренний сервер также предоставляет возможность управления доступом +на основе файла .k5login в домашнем каталоге пользователя. Дополнительные +сведения доступны на справочной странице <citerefentry> +<refentrytitle>k5login</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. Обратите внимание, что пользователю будет отказано в +доступе, если файл .k5login пуст. Чтобы активировать эту возможность, +укажите «access_provider = krb5» в конфигурации SSSD. + </para> + <para> + Если на внутреннем сервере идентификации недоступен UPN, +<command>sssd</command> создаст UPN в формате +<replaceable>username</replaceable>@<replaceable>krb5_realm</replaceable>. + </para> + + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + Если в домене SSSD используется модуль проверки подлинности krb5, необходимо +использовать следующие параметры. Сведения о конфигурации домена SSSD +доступны на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, в разделе <quote>РАЗДЕЛЫ ДОМЕНА</quote>. <variablelist> + <varlistentry> + <term>krb5_server, krb5_backup_server (строка)</term> + <listitem> + <para> + Разделённый запятыми список IP-адресов или имён узлов серверов Kerberos, к +которым SSSD следует подключаться в порядке приоритета. Дополнительные +сведения об отработке отказа и избыточности сервера доступны в разделе +<quote>ОТРАБОТКА ОТКАЗА</quote>. После адресов или имён узлов можно +(необязательно) добавить номер порта (предварив его двоеточием). Если у +параметра пустое значение, будет включено обнаружение служб — дополнительные +сведения доступны в разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>. + </para> + <para> + При использовании обнаружения служб для серверов KDC или kpasswd SSSD +сначала выполняет поиск записей DNS, в которых в качестве протокола указан +_udp. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS, +в которых в качестве протокола указан _tcp. + </para> + <para> + В предыдущих версиях SSSD этот параметр назывался +<quote>krb5_kdcip</quote>. Это устаревшее имя всё ещё распознаётся, но +пользователям рекомендуется перейти на использование +<quote>krb5_server</quote> в файлах конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (строка)</term> + <listitem> + <para> + Имя области Kerberos. Этот параметр является обязательным и должен быть +указан. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kpasswd, krb5_backup_kpasswd (строка)</term> + <listitem> + <para> + Если на KDC не запущена служба смены паролей, здесь можно задать +альтернативные серверы. После адресов или имён узлов можно добавить +необязательный номер порта (предварив его двоеточием). + </para> + <para> + Дополнительные сведения об отработке отказа и избыточности сервера доступны +в разделе <quote>ОТРАБОТКА ОТКАЗА</quote>. ПРИМЕЧАНИЕ: даже если список +серверов kpasswd будет исчерпан, внутренний сервер не перейдёт в автономный +режим работы, если всё ещё возможна проверка подлинности с помощью KDC. + </para> + <para> + По умолчанию: использовать KDC + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccachedir (строка)</term> + <listitem> + <para> + Каталог для хранения кэшей учётных данных. Здесь также можно использовать +все последовательности замещения krb5_ccname_template, за исключением %d и +%P. Каталог создаётся как закрытый, его владельцем является пользователь, +права доступа — 0700. + </para> + <para> + По умолчанию: /tmp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccname_template (строка)</term> + <listitem> + <para> + Расположение кэша учётных данных пользователя. В настоящее время +поддерживаются три типа кэша учётных данных: <quote>FILE</quote>, +<quote>DIR</quote> и <quote>KEYRING:persistent</quote>. Кэш можно указать +либо как <replaceable>TYPE:RESIDUAL</replaceable>, либо как абсолютный путь, +что предполагает тип <quote>FILE</quote>. В шаблоне заменяются следующие +последовательности: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>имя для входа</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>UID для входа</para></listitem> + </varlistentry> + <varlistentry> + <term>%p</term> + <listitem><para>имя участника</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%r</term> + <listitem><para>имя области</para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para>домашний каталог</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>значение krb5_ccachedir + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>идентификатор процесса клиента SSSD</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>литерал «%»</para> + </listitem> + </varlistentry> + </variablelist> Если шаблон +заканчивается на «XXXXXX», для безопасного создания уникального имени файла +используется mkstemp(3). + </para> + <para> + Если используются типы KEYRING, единственным поддерживаемым механизмом +является <quote>KEYRING:persistent:%U</quote>, то есть использование набора +ключей ядра Linux для хранения учётных данных на основе разделения по +UID. Этот вариант также является рекомендуемым, так как этот способ +обеспечивает наибольшую безопасность и предсказуемость. + </para> + <para> + Источником стандартного значения имени кэша учётных данных является профиль, +который хранится в общесистемном файле конфигурации krb5.conf в разделе +[libdefaults]. Имя параметра — default_ccache_name. Дополнительные сведения +о формате расширения, определённом krb5.conf, доступны в абзаце о расширении +параметров (PARAMETER EXPANSION) krb5.conf(5). + </para> + <para> + ПРИМЕЧАНИЕ: обратите внимание, что в шаблоне расширения ccache libkrb5 из +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> используются другие +последовательности расширения, чем в SSSD. + </para> + <para> + По умолчанию: (из libkrb5) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_keytab (строка)</term> + <listitem> + <para> + Расположение таблицы ключей, которую следует использовать при проверке +учётных данных, полученных от KDC. + </para> + <para> + По умолчанию: системная таблица ключей, обычно +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_store_password_if_offline (логическое значение)</term> + <listitem> + <para> + Сохранять пароль пользователя, если поставщик не в сети, и использовать его +для запроса TGT, когда поставщик снова появляется в сети. + </para> + <para> + ПРИМЕЧАНИЕ: эта возможность доступна только в Linux. Пароли, сохранённые +таким образом, хранятся как простой текст в наборе ключей ядра и +потенциально доступны пользователю root (потребуются некоторые усилия). + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_fast (строка)</term> + <listitem> + <para> + Включает защищённое туннелирование гибкой проверки подлинности (FAST) для +предварительной проверки подлинности Kerberos. Поддерживаются следующие +параметры: + </para> + <para> + <emphasis>never</emphasis> — никогда не использовать FAST. Это равнозначно +тому варианту, когда значение этого параметра вообще не указано. + </para> + <para> + <emphasis>try</emphasis> — пытаться использовать FAST. Если сервер не +поддерживает FAST, проверка подлинности будет продолжена без него. + </para> + <para> + <emphasis>demand</emphasis> — требовать использования FAST. Проверка +подлинности будет неудачной, если сервер не требует использования FAST. + </para> + <para> + По умолчанию: не задано, то есть FAST не используется. + </para> + <para> + ПРИМЕЧАНИЕ: для использования FAST необходима таблица ключей или поддержка +анонимного PKINIT. + </para> + <para> + ПРИМЕЧАНИЕ: SSSD поддерживает FAST только для MIT Kerberos версии 1.8 и +выше. Если SSSD используется с более ранней версией MIT Kerberos, +использование этого параметра является ошибкой конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_principal (строка)</term> + <listitem> + <para> + Указывает участник-сервер, который следует использовать для FAST. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_use_anonymous_pkinit (логическое значение)</term> + <listitem> + <para> + Если установлено значение «true», попытаться воспользоваться анонимным +PKINIT вместо таблицы ключей для получения необходимых учётных данных для +FAST. В этом случае параметры krb5_fast_principal игнорируются. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и +какие KDC нужно использовать. Этот параметр включён по умолчанию. Если +отключить его, потребуется настроить библиотеку Kerberos с помощью файла +конфигурации <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Дополнительные сведения о модуле локатора доступны на справочной странице +<citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kdcinfo_lookahead (строка)</term> + <listitem> + <para> + Когда параметр krb5_use_kdcinfo установлен в значение «true», можно +ограничить количество серверов, которые передаются <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Это может быть полезно, когда с +помощью записи SRV обнаруживается слишком много серверов. + </para> + <para> + Параметр krb5_kdcinfo_lookahead содержит два числа, разделённых +двоеточием. Первое число представляет количество используемых основных +серверов, а второе — количество резервных серверов. + </para> + <para> + Например, <emphasis>10:0</emphasis> означает, что <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> будут переданы 10 основных +серверов, но ни одного резервного сервера. + </para> + <para> + По умолчанию: 3:1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_enterprise_principal (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли обрабатывать участника-пользователя как +участника-предприятие. Дополнительные сведения об участниках-предприятиях +доступны в разделе 5 RFC 6806. + </para> + + <para> + По умолчанию: false (поставщик данных AD: true) + </para> + <para> + Поставщик данных IPA установит этот параметр в значение «true», если +определит, что сервер может обрабатывать участников-предприятия, и если этот +параметр не задан в явном виде в файле конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_subdomain_realm (логическое значение)</term> + <listitem> + <para> + Указывает использовать области поддоменов для проверки подлинности +пользователей из доверенных доменов. Этот параметр можно установить в +значение «true», если участники-предприятия используются с upnSuffixes, +неизвестными KDC родительского домена. Если этот параметр установлен в +значение «true», SSSD будет пытаться отправить запрос напрямую KDC того +доверенного домена, из которого пришёл пользователь. + </para> + + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_map_user (строка)</term> + <listitem> + <para> + Перечень сопоставлений указывается в виде разделённого запятыми списка пар +<quote>username:primary</quote>, где <quote>username</quote> — имя +пользователя UNIX, а <quote>primary</quote> — часть пользователя в записи +участника Kerberos. Это сопоставление задействуется, когда для проверки +подлинности пользователя используется <quote>auth_provider = krb5</quote>. + </para> + + <para> + пример: <programlisting> +krb5_realm = REALM +krb5_map_user = joe:juser,dick:richard +</programlisting> + </para> + <para> + <quote>joe</quote> и <quote>dick</quote> — имена пользователей UNIX, а +<quote>juser</quote> и <quote>richard</quote> — основные части участников +Kerberos. Для пользователей <quote>joe</quote> и <quote>dick</quote> SSSD +попытается выполнить kinit как, соответственно, <quote>juser@REALM</quote> и +<quote>richard@REALM</quote>. + </para> + + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +FOO — один из доменов в разделе <replaceable>[sssd]</replaceable>. В примере +показана только конфигурация проверки подлинности Kerberos; он не включает +какого-либо поставщика данных идентификации. + </para> + <para> +<programlisting> +[domain/FOO] +auth_provider = krb5 +krb5_server = 192.168.1.1 +krb5_realm = EXAMPLE.COM +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-ldap-attributes.5.xml b/src/man/ru/sssd-ldap-attributes.5.xml new file mode 100644 index 0000000..3f2aa2a --- /dev/null +++ b/src/man/ru/sssd-ldap-attributes.5.xml @@ -0,0 +1,1187 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap-attributes</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap-attributes</refname> + <refpurpose>Поставщик данных LDAP SSSD: атрибуты сопоставления</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание атрибутов сопоставления +поставщика данных LDAP SSSD <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Подробные сведения о параметрах настройки поставщика данных +LDAP SSSD доступны на справочной странице <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='mapping-attributes'> + <title>АТРИБУТЫ ПОЛЬЗОВАТЕЛЯ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_user_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи пользователя в LDAP. + </para> + <para> + По умолчанию: posixAccount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени пользователя для входа. + </para> + <para> + По умолчанию: uid (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uid_number (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий идентификатору пользователя. + </para> + <para> + По умолчанию: uidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gid_number (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий идентификатору основной группы пользователя. + </para> + <para> + По умолчанию: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_primary_group (строка)</term> + <listitem> + <para> + Атрибут основной группы Active Directory для сопоставления ID. Обратите +внимание, что этот атрибут следует устанавливать только вручную, если +запущен поставщик <quote>ldap</quote> с сопоставлением ID. + </para> + <para> + По умолчанию: не задано (LDAP), primaryGroupID (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gecos (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий полю gecos пользователя. + </para> + <para> + По умолчанию: gecos + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_home_directory (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имя домашнего каталога пользователя. + </para> + <para> + По умолчанию: homeDirectory (LDAP и IPA), unixHomeDirectory (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shell (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит путь к стандартной оболочке пользователя. + </para> + <para> + По умолчанию: loginShell + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uuid (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит UUID/GUID объекта пользователя LDAP. + </para> + <para> + По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для +IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_objectsid (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит objectSID объекта пользователя LDAP. Обычно +требуется только для серверов Active Directory. + </para> + <para> + По умолчанию: objectSid для Active Directory, не задано для других серверов. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_modify_timestamp (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит отметку времени последнего изменения +родительского объекта. + </para> + <para> + По умолчанию: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_last_change (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow, этот параметр содержит имя +атрибута LDAP, соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (дата последней смены пароля). + </para> + <para> + По умолчанию: shadowLastChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_min (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow, этот параметр содержит имя +атрибута LDAP, соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (минимальный срок действия пароля). + </para> + <para> + По умолчанию: shadowMin + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_max (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow, этот параметр содержит имя +атрибута LDAP, соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (максимальный срок действия пароля). + </para> + <para> + По умолчанию: shadowMax + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_warning (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow, этот параметр содержит имя +атрибута LDAP, соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (срок предупреждения о пароле). + </para> + <para> + По умолчанию: shadowWarning + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_inactive (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow, этот параметр содержит имя +атрибута LDAP, соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (срок неактивности пароля). + </para> + <para> + По умолчанию: shadowInactive + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_expire (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=shadow или +ldap_account_expire_policy=shadow, этот параметр содержит имя атрибута LDAP, +соответствующего сопряжённому <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (дата истечения срока действия учётной записи). + </para> + <para> + По умолчанию: shadowExpire + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_last_pwd_change (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя +атрибута LDAP, хранящего дату и время последней смены пароля в kerberos. + </para> + <para> + По умолчанию: krbLastPwdChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_password_expiration (строка)</term> + <listitem> + <para> + Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя +атрибута LDAP, хранящего дату и время истечения срока действия текущего +пароля. + </para> + <para> + По умолчанию: krbPasswordExpiration + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_account_expires (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=ad, этот параметр содержит имя +атрибута LDAP, хранящего время истечения срока действия учётной записи. + </para> + <para> + По умолчанию: accountExpires + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_user_account_control (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=ad, этот параметр содержит имя +атрибута LDAP, хранящего битовое поле управления учётной записью +пользователя. + </para> + <para> + По умолчанию: userAccountControl + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ns_account_lock (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=rhds или эквивалент, этот +параметр определяет, разрешён ли доступ. + </para> + <para> + По умолчанию: nsAccountLock + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_disabled (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=nds, этот атрибут определяет, +разрешён ли доступ. + </para> + <para> + По умолчанию: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_expiration_time (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=nds, этот атрибут определяет, +до какой даты предоставляется доступ. + </para> + <para> + По умолчанию: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_allowed_time_map (строка)</term> + <listitem> + <para> + Если используется ldap_account_expire_policy=nds, этот атрибут определяет, в +какие часы дней недели предоставляется доступ. + </para> + <para> + По умолчанию: loginAllowedTimeMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_principal (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имя участника-пользователя Kerberos (UPN) +пользователя. + </para> + <para> + По умолчанию: krbPrincipalName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_extra_attrs (строка)</term> + <listitem> + <para> + Разделённый запятыми список атрибутов LDAP, которые SSSD получит вместе с +обычным набором атрибутов пользователя. + </para> + <para> + Список может содержать либо только имена атрибутов LDAP, либо разделённые +двоеточиями кортежи с именем атрибута кэша SSSD и именем атрибута LDAP. Если +указано только имя атрибута LDAP, атрибут сохраняется в кэш буквально. В +средах, где настроено несколько доменов SSSD с разными схемами LDAP, может +быть необходимо использование пользовательского имени атрибута SSSD. + </para> + <para> + Обратите внимание, что несколько имён атрибутов зарезервировано SSSD (в +частности, атрибут <quote>name</quote>). SSSD сообщит об ошибке, если +какие-либо из них будут использованы в качестве имени дополнительного +атрибута. + </para> + <para> + Примеры: + </para> + <para> + ldap_user_extra_attrs = telephoneNumber + </para> + <para> + Сохранить атрибут <quote>telephoneNumber</quote> из LDAP в кэш как +<quote>telephoneNumber</quote>. + </para> + <para> + ldap_user_extra_attrs = phone:telephoneNumber + </para> + <para> + Сохранить атрибут <quote>telephoneNumber</quote> из LDAP в кэш как +<quote>phone</quote>. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_user_ssh_public_key (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит открытые ключи SSH пользователя. + </para> + <para> + По умолчанию: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_fullname (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий полному имени пользователя. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_member_of (строка)</term> + <listitem> + <para> + Атрибут LDAP со списком групп, участником которых является пользователь. + </para> + <para> + По умолчанию: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_service (строка)</term> + <listitem> + <para> + Если access_provider=ldap и ldap_access_order=authorized_service, SSSD будет +использовать наличие атрибута authorizedService в записи пользователя LDAP +для определения привилегий доступа. + </para> + <para> + Сначала определяются явные запреты (!svc). Затем SSSD выполняет поиск явных +разрешений (svc), а после этого — поиск общих разрешений, allow_all (*). + </para> + <para> + Обратите внимание, что параметр конфигурации ldap_access_order +<emphasis>должен</emphasis> включать <quote>authorized_service</quote>, +чтобы можно было использовать параметр ldap_user_authorized_service. + </para> + <para> + В некоторых дистрибутивах (например, Fedora-29+ или RHEL-8) служба PAM +<quote>systemd-user</quote> всегда является частью процесса входа в +систему. Следовательно, когда используется управление доступом на основе +данных служб, следует добавить службу <quote>systemd-user</quote> в список +разрешённых служб. + </para> + <para> + По умолчанию: authorizedService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_host (строка)</term> + <listitem> + <para> + Если access_provider=ldap и ldap_access_order=host, SSSD будет использовать +наличие атрибута host в записи пользователя LDAP для определения привилегий +доступа. + </para> + <para> + Сначала определяются явные запреты (!host). Затем SSSD выполняет поиск явных +разрешений (host), а после этого — поиск общих разрешений, allow_all (*). + </para> + <para> + Обратите внимание, что параметр конфигурации ldap_access_order +<emphasis>должен</emphasis> включать <quote>host</quote>, чтобы можно было +использовать параметр ldap_user_authorized_host. + </para> + <para> + По умолчанию: host + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_rhost (строка)</term> + <listitem> + <para> + Если access_provider=ldap и ldap_access_order=rhost, SSSD будет использовать +наличие атрибута rhost в записи пользователя LDAP для определения привилегий +доступа. Аналогично процессу проверки узла. + </para> + <para> + Сначала определяются явные запреты (!rhost). Затем SSSD выполняет поиск +явных разрешений (rhost), а после этого — поиск общих разрешений, allow_all +(*). + </para> + <para> + Обратите внимание, что параметр конфигурации ldap_access_order +<emphasis>должен</emphasis> включать <quote>rhost</quote>, чтобы можно было +использовать параметр ldap_user_authorized_rhost. + </para> + <para> + По умолчанию: rhost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_certificate (строка)</term> + <listitem> + <para> + Имя атрибута LDAP, содержащего сертификат X509 пользователя. + </para> + <para> + По умолчанию: userCertificate;binary + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_email (строка)</term> + <listitem> + <para> + Имя атрибута LDAP, который содержит адрес электронной почты пользователя. + </para> + <para> + Примечание: если адрес электронной почты пользователя конфликтует с адресом +электронной почты или полным именем другого пользователя, SSSD не удастся +надлежащим образом обслужить этих пользователей. Если у нескольких +пользователей по какой-либо причине должен быть один и тот же адрес +электронной почты, задайте в качестве значения этого параметра +несуществующее имя атрибута, чтобы отключить поиск/вход пользователей по +электронной почте. + </para> + <para> + По умолчанию: mail + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>ldap_user_passkey (string)</term> + <listitem> + <para> + Name of the LDAP attribute containing the passkey mapping data of the user. + </para> + <para> + Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='group-attributes'> + <title>АТРИБУТЫ ГРУППЫ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_group_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи группы в LDAP. + </para> + <para> + По умолчанию: posixGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_name (строка)</term> + <listitem> + <para> + The LDAP attribute that corresponds to the group name. In an environment +with nested groups, this value must be an LDAP attribute which has a unique +name for every group. This requirement includes non-POSIX groups in the tree +of nested groups. + </para> + <para> + По умолчанию: cn (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_gid_number (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий идентификатору группы. + </para> + <para> + По умолчанию: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_member (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имена участников группы. + </para> + <para> + По умолчанию: memberuid (rfc2307) / member (rfc2307bis) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_uuid (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит UUID/GUID объекта группы LDAP. + </para> + <para> + По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для +IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_objectsid (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит objectSID объекта группы LDAP. Обычно +требуется только для серверов Active Directory. + </para> + <para> + По умолчанию: objectSid для Active Directory, не задано для других серверов. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_modify_timestamp (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит отметку времени последнего изменения +родительского объекта. + </para> + <para> + По умолчанию: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_type (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит целое значение, обозначающее тип группы, и, +возможно, другие флаги. + </para> + <para> + Этот атрибут в настоящее время используется только поставщиком данных AD для +определения того, является ли группа группой, локальной в домене, и должна +ли быть отфильтрована для доверенных доменов. + </para> + <para> + По умолчанию: groupType для поставщика данных AD, в ином случае не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_external_member (строка)</term> + <listitem> + <para> + Атрибут LDAP, который ссылается на участников группы, которые определены во +внешнем домене. В настоящее время поддерживаются только внешние участники +IPA. + </para> + <para> + По умолчанию: ipaExternalMember для поставщика данных IPA, в ином случае не +задано. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='netgroup-attributes'> + <title>АТРИБУТЫ СЕТЕВОЙ ГРУППЫ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_netgroup_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи сетевой группы в LDAP. + </para> + <para> + В поставщике данных IPA следует использовать ipa_netgroup_object_class. + </para> + <para> + По умолчанию: nisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени сетевой группы. + </para> + <para> + В поставщике данных IPA следует использовать ipa_netgroup_name. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_member (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имена участников сетевой группы. + </para> + <para> + В поставщике данных IPA следует использовать ipa_netgroup_member. + </para> + <para> + По умолчанию: memberNisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_triple (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит тройки (узел, пользователь, домен) сетевых +групп. + </para> + <para> + Этот параметр недоступен в поставщике данных IPA. + </para> + <para> + По умолчанию: nisNetgroupTriple + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_modify_timestamp (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит отметку времени последнего изменения +родительского объекта. + </para> + <para> + Этот параметр недоступен в поставщике данных IPA. + </para> + <para> + По умолчанию: modifyTimestamp + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='host-attributes'> + <title>АТРИБУТЫ УЗЛА</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_host_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи узла в LDAP. + </para> + <para> + По умолчанию: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени узла. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_fqdn (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий полному доменному имени узла. + </para> + <para> + По умолчанию: fqdn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_serverhostname (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени узла. + </para> + <para> + По умолчанию: serverHostname + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_member_of (строка)</term> + <listitem> + <para> + Атрибут LDAP со списком групп, участником которых является узел. + </para> + <para> + По умолчанию: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_host_ssh_public_key (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит открытые ключи SSH узла. + </para> + <para> + По умолчанию: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_uuid (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит UUID/GUID объекта узла LDAP. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='service-attributes'> + <title>АТРИБУТЫ СЛУЖБЫ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_service_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи службы в LDAP. + </para> + <para> + По умолчанию: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имя атрибутов службы и их псевдонимы. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_port (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит порт, управляемый этой службой. + </para> + <para> + По умолчанию: ipServicePort + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_proto (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит протоколы, поддерживаемые этой службой. + </para> + <para> + По умолчанию: ipServiceProtocol + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-attributes'> + <title>АТРИБУТЫ SUDO</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_sudorule_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи правила sudo в LDAP. + </para> + <para> + По умолчанию: sudoRole + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени правила sudo. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_command (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени команды. + </para> + <para> + По умолчанию: sudoCommand + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_host (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени узла (или IP-адресу узла, IP-сети узла +или сетевой группе узла) + </para> + <para> + По умолчанию: sudoHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_user (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени пользователя (или UID, имени группы или +сетевой группе пользователя) + </para> + <para> + По умолчанию: sudoUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_option (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий параметрам SUDO. + </para> + <para> + По умолчанию: sudoOption + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasuser (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени пользователя, от имени которого могут +выполняться команды. + </para> + <para> + По умолчанию: sudoRunAsUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasgroup (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий имени группы или GID группы, от имени которой +могут выполняться команды. + </para> + <para> + По умолчанию: sudoRunAsGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notbefore (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий дате и времени начала действия правила SUDO. + </para> + <para> + По умолчанию: sudoNotBefore + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notafter (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий дате и времени истечения срока действия +правила sudo. + </para> + <para> + По умолчанию: sudoNotAfter + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_order (строка)</term> + <listitem> + <para> + Атрибут LDAP, соответствующий порядковому номеру правила. + </para> + <para> + По умолчанию: sudoOrder + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='autofs-attributes'> + <title>АТРИБУТЫ AUTOFS</title> + <para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + </refsect1> + + <refsect1 id='iphost-attributes'> + <title>АТРИБУТЫ IP-УЗЛА</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_iphost_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи IP-узла в LDAP. + </para> + <para> + По умолчанию: ipHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имя атрибутов IP-узла и их псевдонимы. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_number (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит адрес IP-узла. + </para> + <para> + По умолчанию: ipHostNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='ipnetwork-attributes'> + <title>АТРИБУТЫ IP-СЕТИ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_ipnetwork_object_class (строка)</term> + <listitem> + <para> + Класс объектов записи IP-сети в LDAP. + </para> + <para> + По умолчанию: ipNetwork + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_name (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит имя атрибутов IP-сети и их псевдонимы. + </para> + <para> + По умолчанию: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_number (строка)</term> + <listitem> + <para> + Атрибут LDAP, который содержит адрес IP-сети. + </para> + <para> + По умолчанию: ipNetworkNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-ldap.5.xml b/src/man/ru/sssd-ldap.5.xml new file mode 100644 index 0000000..ebc3cca --- /dev/null +++ b/src/man/ru/sssd-ldap.5.xml @@ -0,0 +1,1805 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap</refname> + <refpurpose>Поставщик данных LDAP SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки доменов LDAP для +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Подробные сведения о синтаксисе доступны в разделе +<quote>ФОРМАТ ФАЙЛА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>.</para> + <para> + Возможно настроить SSSD на использование нескольких доменов LDAP. + </para> + <para> + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. <command>sssd</command> <emphasis>does not</emphasis> support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to <quote>ldap_access_filter</quote> config option +for more information about using LDAP as an access provider. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + Все общие параметры конфигурации, которые применимы к доменам SSSD, также +применимы и к доменам LDAP. Подробные сведения доступны в разделе +<quote>РАЗДЕЛЫ ДОМЕНА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Обратите внимание, что описание атрибутов сопоставления +LDAP SSSD LDAP приводится на справочной странице <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>ldap_uri, ldap_backup_uri (строка)</term> + <listitem> + <para> + Разделённый запятыми список URI серверов LDAP, к которым SSSD следует +подключаться в порядке приоритета. Дополнительные сведения об отработке +отказа и избыточности сервера доступны в разделе <quote>ОТРАБОТКА +ОТКАЗА</quote>. Если не указан ни один из параметров, будет включено +обнаружение служб. Дополнительные сведения доступны в разделе +<quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>. + </para> + <para> + Формат URI должен соответствовать формату, определённому в RFC 2732: + </para> + <para> + ldap[s]://<host>[:port] + </para> + <para> + Для явного указания адресов IPv6 <host> необходимо заключать в скобки +[] + </para> + <para> + пример: ldap://[fc00::126:25]:389 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_uri, ldap_chpass_backup_uri (строка)</term> + <listitem> + <para> + Разделённый запятыми список URI серверов LDAP, к которым SSSD следует +подключаться в порядке приоритета для смены пароля +пользователя. Дополнительные сведения об отработке отказа и избыточности +сервера доступны в разделе <quote>ОТРАБОТКА ОТКАЗА</quote>. + </para> + <para> + Для включения обнаружения служб необходимо установить значение параметра +ldap_chpass_dns_service_name. + </para> + <para> + По умолчанию: пусто, то есть используется ldap_uri. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_search_base (строка)</term> + <listitem> + <para> + Стандартное base DN, которое следует использовать для выполнения действий от +имени пользователя LDAP. + </para> + <para> + Начиная с версии 1.7.0, SSSD поддерживает несколько баз поиска. Используется +следующий синтаксис: + </para> + <para> + search_base[?scope?[filter][?search_base?scope?[filter]]*] + </para> + <para> + Значением области может быть одно из следующих: «base», «onelevel» или +«subtree». + </para> + <para> + Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Примеры: + </para> + <para> + ldap_search_base = dc=example,dc=com (что эквивалентно) ldap_search_base = +dc=example,dc=com?subtree? + </para> + <para> + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + </para> + <para> + Примечание: не поддерживается использование нескольких баз поиска, которые +ссылаются на объекты с одинаковыми именами (например, на группы с одинаковым +именем в двух разных базах поиска). Это приведёт к непредсказуемому +поведению программы на клиентских компьютерах. + </para> + <para> + По умолчанию: если не задано, используется значение атрибута +defaultNamingContext или namingContexts из RootDSE сервера LDAP. Если +атрибут defaultNamingContext не существует или имеет пустое значение, +используется значение namingContexts. Для работы этого параметра необходимо, +чтобы атрибут namingContexts имел одно значение с DN базы поиска сервера +LDAP. Использование нескольких значений не поддерживается. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_schema (строка)</term> + <listitem> + <para> + Указывает тип схемы, который используется на сервере LDAP цели. Стандартные +имена атрибутов, получаемые с серверов, зависят от выбранной схемы. Также +может различаться и способ обработки некоторых атрибутов. + </para> + <para> + В настоящее время поддерживаются четыре типа схем: + <itemizedlist> + <listitem> + <para> + rfc2307 + </para> + </listitem> + <listitem> + <para> + rfc2307bis + </para> + </listitem> + <listitem> + <para> + IPA + </para> + </listitem> + <listitem> + <para> + AD + </para> + </listitem> + </itemizedlist> + </para> + <para> + Главное различие между этими типами схем заключается в способе записи +участия в группах на сервере. В схеме rfc2307 записи участников групп +упорядочиваются по имени в атрибуте <emphasis>memberUid</emphasis>. В схемах +rfc2307bis и IPA записи участников групп упорядочиваются по DN и хранятся в +атрибуте <emphasis>member</emphasis>. В схеме AD атрибуты будут +соответствовать значениям 2008r2 Active Directory. + </para> + <para> + По умолчанию: rfc2307 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwmodify_mode (строка)</term> + <listitem> + <para> + Позволяет указать действие, которое выполняется для смены пароля +пользователя. + </para> + <para> + В настоящее время поддерживаются два режима: + <itemizedlist> + <listitem> + <para> + exop — расширенное действие по изменению пароля (RFC 3062) + </para> + </listitem> + <listitem> + <para> + ldap_modify — прямое изменение userPassword (не рекомендуется). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Примечание: сначала устанавливается новое соединение для проверки текущего +пароля путём привязки от имени пользователя, запросившего смену пароля. В +случае успеха это соединение используется для смены пароля, следовательно, у +пользователя должны быть права на запись в атрибут userPassword. + </para> + <para> + По умолчанию: exop + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_bind_dn (строка)</term> + <listitem> + <para> + Стандартное DN привязки, которое следует использовать для выполнения +действий LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok_type (строка)</term> + <listitem> + <para> + Тип маркера проверки подлинности для bind DN по умолчанию. + </para> + <para> + В настоящее время поддерживаются два механизма: + </para> + <para> + password + </para> + <para> + obfuscated_password + </para> + <para> + По умолчанию: password + </para> + <para> + Дополнительные сведения доступны на справочной странице <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok (строка)</term> + <listitem> + <para> + Маркер проверки подлинности стандартного DN привязки. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_force_upper_case_realm (логическое значение)</term> + <listitem> + <para> + Некоторые серверы каталогов, например Active Directory, могут предоставлять +часть области UPN в нижнем регистре, что может привести к сбою проверки +подлинности. Установите этот параметр в значение, отличное от нуля, если +следует использовать название области в верхнем регистре. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_refresh_timeout (целое число)</term> + <listitem> + <para> + Указывает время ожидания SSSD (в секундах) перед обновлением своего кэша +перечисленных записей. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 300 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_purge_cache_timeout (целое число)</term> + <listitem> + <para> + Позволяет определить, как часто следует проверять кэш на наличие неактивных +записей (таких, как группы без участников и пользователи, которые никогда не +выполняли вход) и удалять эти записи для экономии места. + </para> + <para> + Установка этого параметра в значение «0» отключит очистку кэша. Обратите +внимание: если перечисление включено, задание очистки должно выполняться для +определения записей, удалённых с сервера, и его нельзя отключить. По +умолчанию задание очистки выполняется раз в 3 часа, когда перечисление +включено. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 0 (отключено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_nesting_level (целое число)</term> + <listitem> + <para> + Если в качестве значения ldap_schema выбран формат схемы, который +поддерживает вложенные группы (например, RFC2307bis), этот параметр +определяет количество уровней вложенности, которое будет обрабатываться +SSSD. Если используется схема RFC2307, этот параметр ни на что не влияет. + </para> + <para> + Примечание: этот параметр задаёт гарантированный уровень вложенности групп, +который будет обрабатываться при любом поиске. Тем не менее, в результатах +поиска <emphasis>могут</emphasis> присутствовать вложенные группы, уровень +вложенности которых превышает указанное значение, если при предыдущих +поисках выполнялась обработка более глубоких уровней вложенности. Кроме +того, последующие поиски других групп могут увеличить набор результатов +исходного поиска, когда он будет выполнен повторно. + </para> + <para> + Если параметр ldap_group_nesting_level установлен в значение «0», обработка +вложенных групп выполняться не будет. Тем не менее, если с помощью +<quote>id_provider=ad</quote> установлено соединение с Active Directory +Server 2008 и выше, также будет необходимо отключить использование групп +маркеров путём установки параметра ldap_use_tokengroups в значение «false» +для ограничения вложенности групп. + </para> + <para> + По умолчанию: 2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_use_tokengroups</term> + <listitem> + <para> + Этот параметр включает или отключает использование атрибута групп маркеров +при выполнении initgroup для пользователей Active Directory Server 2008 или +выше. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: True для AD и IPA, в ином случае — False. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_search_base (строка)</term> + <listitem> + <para> + Необязательный параметр. Использовать указанную строку как базу поиска +объектов узлов. + </para> + <para> + Сведения о настройке нескольких баз поиска доступны в описании параметра +<quote>ldap_search_base</quote>. + </para> + <para> + По умолчанию: значение <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_search_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах) для выполнения поиска LDAP, по +истечении которого поиск будет отменён и будут возвращены кэшированные +результаты (и выполнен переход в автономный режим) + </para> + <para> + Примечание: этот параметр будет изменён в будущих версиях SSSD. Вероятно, +его заменит ряд тайм-аутов для отдельных типов поиска. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_search_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах) для выполнения LDAP поиска +перечислений пользователей и групп, по истечении которого поиск будет +отменён и будут возвращены кэшированные результаты (и выполнен переход в +автономный режим) + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 60 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_network_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах), по истечении которого в случае +отсутствия активности возвращается <citerefentry> +<refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> +<manvolnum>2</manvolnum> </citerefentry> после <citerefentry> +<refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry>. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_opt_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах), по истечении которого вызовы +синхронных программных интерфейсов LDAP будут прекращены, если не будет +получен ответ. Этот параметр также управляет тайм-аутом при обмене данными с +KDC в случае использования привязки SASL, тайм-аутом операции привязки LDAP, +расширенного действия по смене пароля и действия StartTLS. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах), в течение которого будет +поддерживаться соединение с сервером LDAP. По истечении этого времени будет +предпринята попытка повторного подключения. Если параллельно используется +SASL/GSSAPI, будет использоваться первое по времени наступления из этих двух +значений (значение этого параметра или значение времени жизни TGT). + </para> + <para> + Если соединение простаивает (активные операции не выполняются) в течение +<emphasis>ldap_opt_timeout</emphasis> секунд после истечения срока действия, +оно будет закрыто досрочно, чтобы гарантировать, что новый запрос не может +требовать, чтобы соединение оставалось открытым после истечения срока его +действия. Это означает, что соединения всегда будут закрываться немедленно, +и не будут использоваться повторно, если +<emphasis>ldap_connection_expire_timeout <= ldap_opt_timout</emphasis> + </para> + <para> + Этот тайм-аут может быть увеличен случайным значением, указанным с помощью +параметра <emphasis>ldap_connection_expire_offset</emphasis> + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 900 (15 минут) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_offset (целое число)</term> + <listitem> + <para> + Случайная задержка от 0 до настроенного значения добавляется к +<emphasis>ldap_connection_expire_timeout</emphasis>. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 0 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_idle_timeout (целое число)</term> + <listitem> + <para> + Позволяет указать тайм-аут (в секундах), в течение которого будет +поддерживаться неактивное соединение с сервером LDAP. Если соединение +бездействует дольше этого времени, соединение будет закрыто. + </para> + <para> + Можно отключить этот тайм-аут, установив значение «0». + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 900 (15 минут) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_page_size (целое число)</term> + <listitem> + <para> + Позволяет указать количество записей для получения от LDAP в ответ на один +запрос. На некоторых серверах LDAP задано ограничение максимального +количества на один запрос. + </para> + <para> + По умолчанию: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_paging (логическое значение)</term> + <listitem> + <para> + Отключить управление переходами между страницами LDAP. Этот параметр следует +использовать, если сервер LDAP сообщает о том, что поддерживает управление +переходами между страницами LDAP в своём RootDSE, но оно не включено или не +работает надлежащим образом. + </para> + <para> + Пример: серверы OpenLDAP с модулем управлением переходами между страницами, +который установлен на сервере, но не включён, будут сообщать о нём в +RootDSE, но не смогут использовать его. + </para> + <para> + Пример: в 389 DS есть внутренняя ошибка, из-за которой для одного +подключения одновременно поддерживается только одно средство управления +переходами между страницами. Если поступает много запросов, это может +привести к отказам в выполнении некоторых из них. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_range_retrieval (логическое значение)</term> + <listitem> + <para> + Отключить получение диапазонов Active Directory. + </para> + <para> + Active Directory ограничивает количество участников, которые могут быть +получены за один поиск, с помощью политики MaxValRange (значение по +умолчанию — 1500 участников). Если группа содержит большее количество +участников, ответ будет включать специфичное для AD расширение +диапазона. Этот параметр отключает обработку расширения диапазона, +следовательно, большие группы будут показаны как группы без участников. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_minssf (целое число)</term> + <listitem> + <para> + Позволяет указать минимальный уровень безопасности, необходимый для +установки соединения в случае обмена данными с сервером LDAP с помощью +SASL. Значение этого параметра определяется OpenLDAP. + </para> + <para> + По умолчанию: использовать стандартное системное значение (обычно +указывается в ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_maxssf (целое число)</term> + <listitem> + <para> + Позволяет указать максимальный уровень безопасности, необходимый для +установки соединения в случае обмена данными с сервером LDAP с помощью +SASL. Значение этого параметра определяется OpenLDAP. + </para> + <para> + По умолчанию: использовать стандартное системное значение (обычно +указывается в ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref_threshold (целое число)</term> + <listitem> + <para> + Позволяет указать количество записей участников групп, которые должны +отсутствовать во внутреннем кэше для активации поиска с разыменованием. Если +отсутствует меньшее количество записей участников, поиск будет выполняться +для каждого из них по отдельности. + </para> + <para> + Чтобы полностью отключить поиск с разыменованием, установите значение +«0». Обратите внимание, что в коде SSSD, например коде поставщика данных +HBAC IPA, имеются некоторые инструкции, которые реализуются только с +использованием вызова разыменования. Даже если разыменование явно отключено, +оно всё равно будет использоваться в этих частях кода, если сервер +поддерживает его и объявляет управление разыменованием в объекте rootDSE. + </para> + <para> + Поиск с разыменованием позволяет получить всех участников групп за один +вызов LDAP. На разных серверах LDAP могут быть реализованы разные методы +разыменования. В настоящее время поддерживаются следующие серверы: 389/RHDS, +OpenLDAP и Active Directory. + </para> + <para> + <emphasis>Примечание:</emphasis> если какая-либо из баз поиска задаёт фильтр +поиска, то улучшение быстродействия поиска с разыменованием будет +отключено,независимо от значения этого параметра. + </para> + <para> + По умолчанию: 10 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ignore_unreadable_references (логическое значение)</term> + <listitem> + <para> + Игнорировать нечитаемые записи LDAP, указанные в атрибуте участника +группы. Если для этого параметра установлено значение «false», будет +возвращено сообщение об ошибке, а действие завершится ошибкой вместо +простого игнорирования нечитаемой записи. + </para> + <para> + Этот параметр может быть полезен, если используется поставщик данных AD, а +учетная запись компьютера, используемая sssd для установления соединения с +AD, не имеет доступа к определенной записи или поддереву LDAP из соображений +безопасности. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_reqcert (строка)</term> + <listitem> + <para> + Позволяет указать, какие проверки следует выполнять для сертификатов сервера +в сеансе TLS, если это требуется. Можно указать одно из следующих значений: + </para> + <para> + <emphasis>never</emphasis> = клиент не будет запрашивать или проверять +сертификаты сервера. + </para> + <para> + <emphasis>allow</emphasis> = будет запрашиваться сертификат сервера. Если +сертификат не предоставлен, сеанс продолжится в обычном режиме. Если +предоставлен ошибочный сертификат, он будет проигнорирован, и сеанс +продолжится в обычном режиме. + </para> + <para> + <emphasis>try</emphasis> = будет запрашиваться сертификат сервера. Если +сертификат не предоставлен, сеанс продолжится в обычном режиме. Если +предоставлен ошибочный сертификат, сеанс немедленно будет завершён. + </para> + <para> + <emphasis>demand</emphasis> = будет требоваться сертификат сервера. Если +сертификат не предоставлен или предоставлен ошибочный сертификат, сеанс +немедленно будет завершён. + </para> + <para> + <emphasis>hard</emphasis> = аналогично <quote>demand</quote> + </para> + <para> + По умолчанию: hard + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacert (строка)</term> + <listitem> + <para> + Позволяет указать файл, который содержит сертификаты для всех центров +сертификации, которые распознаются <command>sssd</command>. + </para> + <para> + По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно +хранятся в <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacertdir (строка)</term> + <listitem> + <para> + Позволяет указать путь к каталогу, в котором хранятся сертификаты центра +сертификации, каждый в своём файле. Обычно имена файлов — это хэш +сертификата, за которым следует «.0». Для создания корректных имён можно +использовать команду <command>cacertdir_rehash</command>, если она доступна. + </para> + <para> + По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно +хранятся в <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cert (строка)</term> + <listitem> + <para> + Позволяет указать файл, который содержит сертификат для ключа клиента. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_key (строка)</term> + <listitem> + <para> + Позволяет указать файл, который содержит ключ клиента. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cipher_suite (строка)</term> + <listitem> + <para> + Позволяет указать допустимые комплекты шифров. Обычно представляет собой +список, разделённый двоеточиями. Описание формата доступно на справочной +странице <citerefentry><refentrytitle>ldap.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно +хранятся в <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_use_start_tls (логическое значение)</term> + <listitem> + <para> + Specifies that the id_provider connection must also use <systemitem +class="protocol">tls</systemitem> to protect the channel. +<emphasis>true</emphasis> is strongly recommended for security reasons. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_mapping (логическое значение)</term> + <listitem> + <para> + Позволяет указать, что SSSD следует пытаться сопоставить идентификаторы +пользователя и группы из атрибутов ldap_user_objectsid и +ldap_group_objectsid, а не полагаться на ldap_user_uid_number и +ldap_group_gid_number. + </para> + <para> + В настоящее время эта функциональная возможность поддерживает только +сопоставление objectSID Active Directory. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_min_id, ldap_max_id (целое число)</term> + <listitem> + <para> + В отличие от сопоставления идентификаторов на основе SID, которое +используется, если параметр ldap_id_mapping установлен в значение «true», +допустимый диапазон идентификаторов для ldap_user_uid_number и +ldap_group_gid_number является неограниченным. В конфигурациях с поддоменами +и доверенными доменами это может привести к конфликтам +идентификаторов. Чтобы избежать конфликтов, можно указать параметры +ldap_min_id и ldap_max_id для ограничения допустимого диапазона +идентификаторов, чтение которых выполняется непосредственно с сервера. После +этого поддомены могут выбрать другие диапазоны для сопоставления +идентификаторов. + </para> + <para> + По умолчанию: не задано (оба параметра установлены в значение 0) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_mech (строка)</term> + <listitem> + <para> + Позволяет указать механизм SASL, который следует использовать. В настоящее +время протестированы и поддерживаются только GSSAPI и GSS-SPNEGO. + </para> + <para> + Если внутренний сервер поддерживает поддомены, значение ldap_sasl_mech +автоматически наследуется поддоменами. Если для поддомена требуется +использовать другое значение, это значение можно перезаписать, явно указав +ldap_sasl_mech для этого поддомена. Для получения подробных сведений +смотрите «РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ» на справочной странице +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_authid (строка)</term> + <listitem> + <para> + Позволяет указать идентификатор проверки подлинности SASL, который следует +использовать. Если используется GSSAPI/GSS-SPNEGO, он представляет собой +участника Kerberos, который используется для проверки подлинности при +доступе к каталогу. Этот параметр может содержать либо полное имя участника +(например, host/myhost@EXAMPLE.COM), либо просто имя участника (например, +host/myhost). По умолчанию это значение не задано, используются следующие +участники: <programlisting> +hostname@REALM +netbiosname$@REALM +host/hostname@REALM +*$@REALM +host/*@REALM +host/* + </programlisting> Если они не найдены, +возвращается первый участник из таблицы ключей. + </para> + <para> + По умолчанию: host/hostname@REALM + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_realm (строка)</term> + <listitem> + <para> + Позволяет указать область SASL, которую следует использовать. Если значение +не указано, по умолчанию будет использоваться значение krb5_realm. Если +ldap_sasl_authid также содержит область, этот параметр игнорируется. + </para> + <para> + По умолчанию: значение krb5_realm. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_canonicalize (логическое значение)</term> + <listitem> + <para> + Если установлено в значение «true», библиотека LDAP будет выполнять обратный +просмотр для преобразования имени узла в каноническую форму во время +привязки SASL. + </para> + <para> + По умолчанию: false; + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_keytab (строка)</term> + <listitem> + <para> + Позволяет указать таблицу ключей, которую следует использовать при +использовании проверки подлинности с помощью SASL/GSSAPI/GSS-SPNEGO. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: системная таблица ключей, обычно +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_init_creds (логическое значение)</term> + <listitem> + <para> + Позволяет указать, что id_provider должен инициализировать учётные данные +Kerberos (TGT). Это действие выполняется только в том случае, если +используется SASL и выбран механизм GSSAPI или GSS-SPNEGO. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_ticket_lifetime (целое число)</term> + <listitem> + <para> + Позволяет указать время жизни TGT (в секундах), если используется GSSAPI или +GSS-SPNEGO. + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: 86400 (24 часа) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_server, krb5_backup_server (строка)</term> + <listitem> + <para> + Разделённый запятыми список IP-адресов или имён узлов серверов Kerberos, к +которым SSSD следует подключаться в порядке приоритета. Дополнительные +сведения об отработке отказа и избыточности сервера доступны в разделе +<quote>ОТРАБОТКА ОТКАЗА</quote>. После адресов или имён узлов можно +(необязательно) добавить номер порта (предварив его двоеточием). Если у +параметра пустое значение, будет включено обнаружение служб — дополнительные +сведения доступны в разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>. + </para> + <para> + При использовании обнаружения служб для серверов KDC или kpasswd SSSD +сначала выполняет поиск записей DNS, в которых в качестве протокола указан +_udp. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS, +в которых в качестве протокола указан _tcp. + </para> + <para> + В предыдущих версиях SSSD этот параметр назывался +<quote>krb5_kdcip</quote>. Это устаревшее имя всё ещё распознаётся, но +пользователям рекомендуется перейти на использование +<quote>krb5_server</quote> в файлах конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (строка)</term> + <listitem> + <para> + Позволяет указать область Kerberos (для проверки подлинности с помощью +SASL/GSSAPI/GSS-SPNEGO). + </para> + <para> + По умолчанию: стандартные параметры системы, +см. <filename>/etc/krb5.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли приводить в каноническую форму имя +участника-узла при подключении к серверу LDAP. Эта возможность доступна в +MIT Kerberos >= 1.7 + </para> + + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и +какие KDC нужно использовать. Этот параметр включён по умолчанию. Если +отключить его, потребуется настроить библиотеку Kerberos с помощью файла +конфигурации <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Дополнительные сведения о модуле локатора доступны на справочной странице +<citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwd_policy (строка)</term> + <listitem> + <para> + Позволяет выбрать политику оценки истечения срока действия пароля на стороне +клиента. Допускаются следующие значения: + </para> + <para> + <emphasis>none</emphasis> — без оценки на стороне клиента. С помощью этого +параметра нельзя отключить политики паролей на стороне сервера. + </para> + <para> + <emphasis>shadow</emphasis> — использовать атрибуты в стиле +<citerefentry><refentrytitle>shadow</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> для проверки того, не истёк ли срок +действия пароля. См. также опцию «ldap_chpass_update_last_change». + </para> + <para> + <emphasis>mit_kerberos</emphasis> — использовать атрибуты, которые +используются MIT Kerberos, для определения того, не истёк ли срок действия +пароля. Чтобы обновить эти атрибуты в случае смены пароля, воспользуйтесь +chpass_provider=krb5. + </para> + <para> + По умолчанию: none + </para> + <para> + <emphasis>Примечание</emphasis>: если на стороне сервера настроена политика +паролей, она всегда будет иметь приоритет над политикой, заданной с помощью +этого параметра. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_referrals (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли включить автоматическое прослеживание ссылок. + </para> + <para> + Обратите внимание, что sssd поддерживает прослеживание ссылок только в том +случае, если сервис собран с OpenLDAP версии 2.4.13 или выше. + </para> + <para> + Прослеживание ссылок может замедлять работу в средах, где оно широко +применяется. Яркий пример такой среды — Microsoft Active Directory. Если в +используемой среде нет реальной необходимости в прослеживании ссылок, можно +установить этот параметр в значение «false»; это позволит заметно повысить +производительность. Поэтому в том случае, когда поставщик данных LDAP SSSD +используется совместно с Microsoft Active Directory в качестве внутреннего +сервера, рекомендуется установить этот параметр в значение «false». Даже +если бы у SSSD была возможность перейти по ссылке к другому контроллеру +домена AD, это не позволило бы получить дополнительные данные. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_dns_service_name (строка)</term> + <listitem> + <para> + Позволяет указать имя службы, которое будет использоваться, когда включено +обнаружение служб. + </para> + <para> + По умолчанию: ldap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_dns_service_name (строка)</term> + <listitem> + <para> + Позволяет указать имя службы для поиска сервера LDAP, который позволяет +менять пароль, когда включено обнаружение служб. + </para> + <para> + По умолчанию: не задано, то есть обнаружение служб отключено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_update_last_change (логическое значение)</term> + <listitem> + <para> + Позволяет указать, следует ли обновлять атрибут ldap_user_shadow_last_change +данными о количестве дней с момента выполнения действия по смены пароля. + </para> + <para> + Рекомендуется установить этот параметр явно, если используется +«ldap_pwd_policy = shadow», чтобы сообщить SSSD, будет ли сервер LDAP +автоматически обновлять атрибут shadowLastChange LDAP после смены пароля или +SSSD должен обновить его. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_filter (строка)</term> + <listitem> + <para> + При использовании access_provider = ldap и ldap_access_order = filter (по +умолчанию) этот параметр является обязательным. Он задаёт условия фильтра +поиска LDAP, при условии соблюдения которых пользователю будет предоставлен +доступ к этому узлу. Если при использовании access_provider = ldap, +ldap_access_order = filter этот параметр не задан, всем пользователям будет +отказано в доступе. Чтобы изменить это стандартное поведение, используйте +access_provider = permit. Обратите внимание, что этот фильтр применяется +только к записи пользователя LDAP и, соответственно, может не работать +фильтрация на основе вложенных групп (например, атрибут memberOf в записях +AD указывает только на прямые родительские записи). Если фильтрацию на +основе вложенных групп необходимо выполнять, ознакомьтесь со справочной +страницей <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Пример: + </para> + <programlisting> +access_provider = ldap +ldap_access_filter = (employeeType=admin) + </programlisting> + <para> + В этом примере доступ к узлу представляется только тем пользователям, +атрибут employeeType которых установлен в значение «admin». + </para> + <para> + Автономное кэширование для этой возможности ограничивается определением +того, было ли предоставлено разрешение на доступ при последнем входе +пользователя в сетевом режиме. Если при последнем входе пользователю был +разрешён доступ, он также будет разрешён и в автономном режиме. Если же при +последнем входе пользователю был запрещён доступ, он также будет запрещён и +в автономном режиме. + </para> + <para> + По умолчанию: пусто + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_account_expire_policy (строка)</term> + <listitem> + <para> + С помощью этого параметра можно включить оценку атрибутов управления +доступом на стороне клиента. + </para> + <para> + Обратите внимание, что всегда рекомендуется использовать управление доступом +на стороне сервера, то есть сервер LDAP должен отклонять запрос привязки с +соответствующим кодом ошибки, даже если пароль верен. + </para> + <para> + Допускаются следующие значения: + </para> + <para> + <emphasis>shadow</emphasis>: использовать значение ldap_user_shadow_expire +для определения того, не истёк ли срок действия учётной записи. + </para> + <para> + <emphasis>ad</emphasis>: использовать значение 32-битного поля +ldap_user_ad_user_account_control и разрешать доступ, если второй бит не +задан. Если атрибут отсутствует, доступ предоставляется. Также проверяется, +не истёк ли срок действия учётной записи. + </para> + <para> + <emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, +<emphasis>389ds</emphasis>: использовать значение ldap_ns_account_lock, +чтобы проверить, разрешён ли доступ. + </para> + <para> + <emphasis>nds</emphasis>: использовать значения +ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled и +ldap_user_nds_login_expiration_time, чтобы проверить, разрешён ли +доступ. Если все атрибуты отсутствуют, доступ предоставляется. + </para> + <para> + Обратите внимание, что параметр конфигурации ldap_access_order +<emphasis>должен</emphasis> включать <quote>expire</quote>, чтобы можно было +использовать параметр ldap_account_expire_policy. + </para> + <para> + По умолчанию: пусто + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_order (строка)</term> + <listitem> + <para> + Разделённый запятыми список параметров управления доступом. Допустимые +значения: + </para> + <para> + <emphasis>filter</emphasis>: использовать ldap_access_filter + </para> + <para> + <emphasis>lockout</emphasis>: использовать блокировку учётных записей. Если +этот параметр установлен, он запрещает доступ, когда атрибут LDAP +«pwdAccountLockedTime» присутствует и имеет значение +«000001010000Z». Подробные сведения доступны в описании параметра +ldap_pwdlockout_dn. Обратите внимание, что для работы этой возможности +необходимо задать «access_provider = ldap». + </para> + <para> + <emphasis> Обратите внимание, что над этим параметром имеет приоритет +параметр <quote>ppolicy</quote> и этот параметр может быть удалён в +следующей версии. </emphasis> + </para> + <para> + <emphasis>ppolicy</emphasis>: использовать блокировку учётных записей. Если +этот параметр установлен, он запрещает доступ, когда атрибут LDAP +«pwdAccountLockedTime» присутствует и имеет значение «000001010000Z» или +представляет любое время в прошлом. Значение атрибута «pwdAccountLockedTime» +должно заканчиваться на «Z» (это означает часовой пояс UTC). В настоящее +время не поддерживается использование других часовых поясов; если они будут +заданы, при попытках пользователей войти в систему будет появляться +сообщение об отказе в доступе. Подробные сведения доступны в описании +параметра ldap_pwdlockout_dn. Обратите внимание, что для работы этой +возможности необходимо задать «access_provider = ldap». + </para> + + <para> + <emphasis>expire</emphasis>: использовать ldap_account_expire_policy + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> эти параметры полезны, если +пользователям нужно предупреждение о том, что срок действия пароля истекает, +и для проверки подлинности используются не пароли, а, например, ключи SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Следует учитывать, что для работы этой возможности необходимо указать +«access_provider = ldap». Также необходимо указать соответствующую политику +паролей в качестве значения параметра «ldap_pwd_policy». + </para> + <para> + <emphasis>authorized_service</emphasis>: использовать атрибут +authorizedService для определения возможности доступа + </para> + <para> + <emphasis>host</emphasis>: использовать атрибут host для определения +возможности доступа + </para> + <para> + <emphasis>rhost</emphasis>: использовать атрибут rhost для определения +возможности доступа удалённого узла + </para> + <para> + Обратите внимание, что значение поля rhost в pam устанавливается +приложением; рекомендуется проверить, что приложение отправляет в pam, +прежде чем включать этот параметр управления доступом + </para> + <para> + По умолчанию: filter + </para> + <para> + Обратите внимание, что использование значения более одного раза является +ошибкой конфигурации. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwdlockout_dn (строка)</term> + <listitem> + <para> + Этот параметр позволяет указать DN записи политики паролей на сервере +LDAP. Обратите внимание: если в sssd.conf не будет этого параметра, когда +используется блокировка учётных записей, в доступе будет отказано из-за +невозможности надлежащим образом проверить атрибуты ppolicy на сервере LDAP. + </para> + <para> + Пример: cn=ppolicy,ou=policies,dc=example,dc=com + </para> + <para> + По умолчанию: cn=ppolicy,ou=policies,$ldap_search_base + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref (строка)</term> + <listitem> + <para> + Позволяет указать, как осуществляется разыменование псевдонимов при +выполнении поиска. Допустимые варианты: + </para> + <para> + <emphasis>never</emphasis>: разыменование псевдонимов не выполняется. + </para> + <para> + <emphasis>searching</emphasis>: разыменование псевдонимов выполняется в +подчиненных базового объекта, но не при определении расположения базового +объекта поиска. + </para> + <para> + <emphasis>finding</emphasis>: разыменование псевдонимов выполняется только +при определении расположения базового объекта поиска. + </para> + <para> + <emphasis>always</emphasis>: разыменование псевдонимов выполняется как при +поиске, так и при определении расположения базового объекта поиска. + </para> + <para> + По умолчанию: пусто (обрабатывается как <emphasis>never</emphasis> +клиентскими библиотеками LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_rfc2307_fallback_to_local_users (логическое значение)</term> + <listitem> + <para> + Разрешает сохранять локальных пользователей как участников группы LDAP для +серверов, которые используют схему RFC2307. + </para> + <para> + В некоторых средах, где используется схема RFC2307, локальных пользователей +можно сделать участниками групп LDAP путём добавления их имён в атрибут +memberUid. При этом нарушается внутренняя согласованность домена, поэтому +SSSD обычно удаляет записи «отсутствующих» пользователей из кэшированных +данных об участии в группах, как только nsswitch выполняет попытку получить +информацию о пользователе через вызовы getpw*() или initgroups(). + </para> + <para> + При использовании этого параметра программа возвращается к проверке наличия +ссылок на локальных пользователей и кэширует их записи, чтобы последующие +вызовы initgroups() расширяли список локальных пользователей дополнительными +группами LDAP. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (целое число)</term> + <listitem> + <para> + Позволяет указать верхний предел количества записей, загружаемых во время +поиска с использованием подстановочных знаков. + </para> + <para> + В настоящее время только ответчик InfoPipe поддерживает поиск с +использованием подстановочных знаков. + </para> + <para> + По умолчанию: 1000 (часто размер одной страницы) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_library_debug_level (целое число)</term> + <listitem> + <para> + Включает отладку libldap на указанном уровне. Сообщения отладки libldap +записываются независимо от общего debug_level. + </para> + <para> + OpenLDAP использует битовую карту для включения отладки определённых +компонентов, -1 включает полный отладочный вывод. + </para> + <para> + По умолчанию: 0 (отладка libldap отключена) + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-options' condition="with_sudo"> + <title>ПАРАМЕТРЫ SUDO</title> + <para> + Подробные инструкции по настройке sudo_provider доступны на справочной +странице <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + + <para> + <variablelist> + <varlistentry> + <term>ldap_sudo_full_refresh_interval (целое число)</term> + <listitem> + <para> + Интервал в секундах между полными обновлениями правил sudo SSSD (при которых +загружаются все правила, которые хранятся на сервере). + </para> + <para> + Это значение должно быть больше, чем +<emphasis>ldap_sudo_smart_refresh_interval </emphasis> + </para> + <para> + Полное обновление можно отключить, установив этот параметр в значение +«0». Но должно быть включено либо интеллектуальное, либо полное обновление. + </para> + <para> + По умолчанию: 21600 (6 часов) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_smart_refresh_interval (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого SSSD ожидает перед выполнением +интеллектуального обновления правил sudo (при котором загружаются все +правила, USN которых больше самого высокого значения USN на сервере, которое +в настоящее время известно SSSD). + </para> + <para> + Если сервер не поддерживает атрибуты USN, используется атрибут +modifyTimestamp. + </para> + <para> + <emphasis>Примечание:</emphasis> самое высокое значение USN может быть +обновлено тремя заданиями: 1) полным и интеллектуальным обновлением sudo +(если найдены обновлённые правила), 2) перечислением пользователей и групп +(если оно включено и найдены обновлённые пользователи или группы) и 3) +повторным подключением к серверу (по умолчанию каждые 15 минут, +см. <emphasis>ldap_connection_expire_timeout</emphasis>). + </para> + <para> + Интеллектуальное обновление можно отключить, установив этот параметр в +значение «0». Но должно быть включено либо интеллектуальное, либо полное +обновление. + </para> + <para> + По умолчанию: 900 (15 минут) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_random_offset (целое число)</term> + <listitem> + <para> + Случайная задержка от 0 до настроенного значения добавляется к периодам +интеллектуального и полного обновления каждый раз при планировании +периодического задания. Значение указывается в секундах. + </para> + <para> + Обратите внимание, что эта случайная задержка также применяется при первом +запуске SSSD, что откладывает первое обновление правил sudo. Это увеличивает +время, в течение которого правила sudo недоступны для использования. + </para> + <para> + Можно отключить эту задержку, установив значение «0». + </para> + <para> + По умолчанию: 0 (отключено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_use_host_filter (логическое значение)</term> + <listitem> + <para> + Если параметр установлен в значение «true», SSSD будет загружать только те +правила, которые применимы к этому компьютеру (на основе имён узлов и +адресов узлов/сетей в формате IPv4 или IPv6). + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_hostnames (строка)</term> + <listitem> + <para> + Разделённый пробелами список имён узлов или полных доменных имён, которые +следует использовать для фильтрации правил. + </para> + <para> + Если этот параметр имеет пустое значение, SSSD будет пытаться автоматически +обнаружить имя узла и полное доменное имя. + </para> + <para> + Если значением <emphasis>ldap_sudo_use_host_filter</emphasis> является +<emphasis>false</emphasis>, этот параметр ни на что не влияет. + </para> + <para> + По умолчанию: не указано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_ip (строка)</term> + <listitem> + <para> + Разделённый пробелами список адресов IPv4 или IPv6 узлов/сетей, которые +следует использовать для фильтрации правил. + </para> + <para> + Если этот параметр имеет пустое значение, SSSD будет пытаться автоматически +обнаружить адреса. + </para> + <para> + Если значением <emphasis>ldap_sudo_use_host_filter</emphasis> является +<emphasis>false</emphasis>, этот параметр ни на что не влияет. + </para> + <para> + По умолчанию: не указано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_netgroups (логическое значение)</term> + <listitem> + <para> + Если параметр установлен в значение «true», SSSD будет загружать все +правила, которые содержат сетевую группу в атрибуте sudoHost. + </para> + <para> + Если значением <emphasis>ldap_sudo_use_host_filter</emphasis> является +<emphasis>false</emphasis>, этот параметр ни на что не влияет. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_regexp (логическое значение)</term> + <listitem> + <para> + Если параметр установлен в значение «true», SSSD будет загружать все +правила, которые содержат подстановочный знак в атрибуте sudoHost. + </para> + <para> + Если значением <emphasis>ldap_sudo_use_host_filter</emphasis> является +<emphasis>false</emphasis>, этот параметр ни на что не влияет. + </para> + <note> + <para> + Использование подстановочного знака — крайне ресурсоёмкая вычислительная +операция на стороне сервера LDAP! + </para> + </note> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + На этой справочной странице содержится только описание сопоставления имён +атрибутов. Подробные сведения о семантике атрибутов, связанных с sudo, +доступны на справочной странице <citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry> + </para> + </refsect1> + + <refsect1 id='autofs-options' condition="with_autofs"> + <title>ПАРАМЕТРЫ AUTOFS</title> + <para> + Некоторые из стандартных значений приведённых ниже параметров зависят от +схемы LDAP. + </para> + <para> + <variablelist> + <varlistentry> + <term>ldap_autofs_map_master_name (строка)</term> + <listitem> + <para> + Имя основной карты автоматического монтирования в LDAP. + </para> + <para> + По умолчанию: auto.master + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect1> + + <refsect1 id='advanced-options'> + <title>ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ</title> + <para> + Эти параметры поддерживаются доменами LDAP, но их следует использовать с +осторожностью. Включайте их в конфигурацию, только если точно знаете, какой +эффект это произведёт. <variablelist> + <varlistentry> + <term>ldap_netgroup_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_user_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_group_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + </variablelist> +<variablelist> + <note> + <para> + Если параметр <quote>ldap_use_tokengroups</quote> включён, к поиску в Active +Directory не будут применяться какие-либо ограничения, он вернёт все данные +об участии в группах, даже без сопоставления GID. Рекомендуется отключить +эту возможность, если имена групп отображаются некорректно. + </para> + </note> + <varlistentry condition="with_sudo"> + <term>ldap_sudo_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ldap_autofs_search_base (строка)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +установка LDAP выполнена для одного из доменов в разделе +<replaceable>[domains]</replaceable>. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + <refsect1 id='ldap_access_filter_example'> + <title>ПРИМЕР ФИЛЬТРА ДОСТУПА LDAP</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +используется ldap_access_order=lockout. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Описания некоторых параметров конфигурации на этой справочной странице +основаны на справочной странице <citerefentry> +<refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> из дистрибутива OpenLDAP 2.4. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-session-recording.5.xml b/src/man/ru/sssd-session-recording.5.xml new file mode 100644 index 0000000..38799d1 --- /dev/null +++ b/src/man/ru/sssd-session-recording.5.xml @@ -0,0 +1,179 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-session-recording</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-session-recording</refname> + <refpurpose>Настройка записи сеансов с помощью SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +для работы с <citerefentry> <refentrytitle>tlog-rec-session</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, частью пакета tlog, для реализации +записи сеансов пользователей на текстовых терминалах. Подробные сведения о +синтаксисе доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной +страницы <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + SSSD можно настроить на включение записи всего, что определённые +пользователи видят или набирают во время сеансов работы на текстовых +терминалах. Например, можно записывать данные входа пользователей с помощью +терминала или SSH. Сам сервис SSSD ничего не записывает, но обеспечивает +запуск tlog-rec-session при входе пользователя, чтобы эта программа вела +запись согласно своим параметрам конфигурации. + </para> + <para> + Для пользователей, для которых включена запись сеансов, SSSD заменяет +оболочку пользователя на tlog-rec-session в ответах NSS и добавляет +переменную, которая указывает исходную оболочку для среды пользователя, при +настройке сеанса PAM. Таким образом обеспечивается запуск tlog-rec-session +вместо оболочки пользователя и предоставление данных о том, какую командную +оболочку следует запустить после настройки записи. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para> + Эти параметры можно использовать для настройки записи сеансов. + </para> + <variablelist> + <varlistentry> + <term>scope (строка)</term> + <listitem> + <para> + Одна из следующих строк, которые определяют область записи сеанса: +<variablelist> + <varlistentry> + <term>«none»</term> + <listitem> + <para> + Пользователи не записываются. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>«some»</term> + <listitem> + <para> + Записываются пользователи и группы, указанные с помощью параметров +<replaceable>users</replaceable> и <replaceable>groups</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>«all»</term> + <listitem> + <para> + Записываются все пользователи. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + По умолчанию: «none» + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, для которых включена запись +сеансов. Соответствие списку устанавливается по именам пользователей, +возвращённым NSS, то есть после возможной замены пробелов, смены регистра и +так далее. + </para> + <para> + По умолчанию: пусто. Не соответствует ни одному пользователю. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, для участников которых включена запись +сеансов. Соответствие списку устанавливается по именам групп, возвращённым +NSS, то есть после возможной замены пробелов, смены регистра и так далее. + </para> + <para> + ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) +значительно сказывается на производительности, поскольку при каждом +некэшированном запросе данных пользователя требуется выполнить получение и +установление соответствия групп, участником которых он является. + </para> + <para> + По умолчанию: пусто. Не соответствует ни одной группе. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, которые исключаются из записи; +применимо только при «scope=all». + </para> + <para> + По умолчанию: пусто. Не исключается ни один пользователь. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, участники которых исключаются из записи; +применимо только при «scope=all». + </para> + <para> + ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) +значительно сказывается на производительности, поскольку при каждом +некэшированном запросе данных пользователя требуется выполнить получение и +установление соответствия групп, участником которых он является. + </para> + <para> + По умолчанию: пусто. Не исключается ни одна группа. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + Следующий фрагмент sssd.conf включает запись сеансов для пользователей +«contractor1» и «contractor2», а также группы «students». + </para> + <para> +<programlisting> +[session_recording] +scope = some +users = contractor1, contractor2 +groups = students +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-simple.5.xml b/src/man/ru/sssd-simple.5.xml new file mode 100644 index 0000000..e91ece8 --- /dev/null +++ b/src/man/ru/sssd-simple.5.xml @@ -0,0 +1,153 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>файл конфигурации для «простого» поставщика управления доступом SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки простого +поставщика управления доступом для <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Подробные сведения о синтаксисе доступны в разделе +<quote>ФОРМАТ ФАЙЛА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Простой поставщик доступа предоставляет или запрещает доступ на основании +разрешающего или запрещающего списка имён пользователей или +групп. Применяются следующие правила: + <itemizedlist> + <listitem> + <para>Если все списки пусты, доступ предоставляется</para> + </listitem> + <listitem> + <para> + Если предоставлен какой-либо список, используется порядок вычисления +«allow,deny». Это означает, что любое соответствующее заданным условиям +правило запрета будет превалировать над любым соответствующим заданным +условиям правилом допуска. + </para> + </listitem> + <listitem> + <para> + Если предоставлен один из или оба списка «allow», всем пользователям будет +предоставлен доступ только в том случае, если они присутствуют в списке. + </para> + </listitem> + <listitem> + <para> + Если предоставлены только списки «deny», всем пользователям будет +предоставлен доступ только в том случае, если они отсутствуют в списке. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title> + <para>Сведения о конфигурации домена SSSD доступны в разделе <quote>РАЗДЕЛЫ +ДОМЕНА</quote> справочной страницы <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>simple_allow_users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, которым разрешён вход. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, которым явно запрещён вход. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, пользователям которых разрешён +вход. Применимо только к группам внутри этого домена SSSD. Локальные группы +не обрабатываются. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, пользователям которых явно запрещён +доступ. Применимо только к группам внутри этого домена SSSD. Локальные +группы не обрабатываются. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Если не указывать никаких значений для какого-либо из списков, считается, +что параметр не определён. Помните об этом при создании параметров простого +поставщика с помощью автоматизированных сценариев. + </para> + <para> + Обратите внимание, что определение сразу и simple_allow_users, и +simple_deny_users является ошибкой конфигурации. + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИМЕР</title> + <para> + В следующем примере предполагается, что конфигурация SSSD корректна и что +example.com — один из доменов в разделе <replaceable>[sssd]</replaceable>. В +примере показаны только параметры, специфичные для простого поставщика +доступа. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Перед проверкой прав доступа разрешается вся иерархия участия в группах, +следовательно, в списки доступа могут быть включены даже вложенные +группы. Обратите внимание, что параметр +<quote>ldap_group_nesting_level</quote> может повлиять на результаты, +поэтому следует установить для него достаточное значение. См. <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-sudo.5.xml b/src/man/ru/sssd-sudo.5.xml new file mode 100644 index 0000000..9ebf50f --- /dev/null +++ b/src/man/ru/sssd-sudo.5.xml @@ -0,0 +1,229 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-sudo</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-sudo</refname> + <refpurpose>Настройка sudo с помощью внутреннего сервера SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлено описание настройки <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +для работы с <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, а также кэширования правил sudo в +SSSD. + </para> + </refsect1> + + <refsect1 id='sudo'> + <title>Настройка sudo для совместной работы с SSSD</title> + <para> + Чтобы включить SSSD как источник правил sudo, добавьте +<emphasis>sss</emphasis> в запись <emphasis>sudoers</emphasis> в файле +<citerefentry> <refentrytitle>nsswitch.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Например, чтобы настроить sudo на поиск правил сначала в стандартном файле +<citerefentry> <refentrytitle>sudoers</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> (который должен содержать правила, +которые применяются к локальным пользователям), а потом в SSSD, следует +добавить в файл nsswitch.conf следующую строку: + </para> + <para> +<programlisting> +sudoers: files sss +</programlisting> + </para> + <para> + Дополнительные сведения о настройке порядка поиска sudoers из файла +nsswitch.conf, а также информация о схеме LDAP, используемой для сохранения +правил sudo в каталоге, доступны на справочной странице <citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>Примечание</emphasis>: чтобы использовать в правилах sudo сетевые +группы или группы узлов IPA, также потребуется корректно установить +<citerefentry> <refentrytitle>nisdomainname</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry> в значение имени домена NIS +(совпадает с именем домена IPA в случае использования групп узлов). + </para> + </refsect1> + + <refsect1 id='sssd'> + <title>Настройка SSSD для получения правил sudo</title> + <para> + На стороне SSSD достаточно расширить список <emphasis>служб</emphasis> +добавлением «sudo» в раздел [sssd] <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Чтобы ускорить поиск LDAP, также можно указать базу поиска +для правил sudo с помощью параметра +<emphasis>ldap_sudo_search_base</emphasis>. + </para> + <para> + В следующем примере показано, как настроить SSSD на загрузку правил sudo с +сервера LDAP. + </para> + <para> +<programlisting> +[sssd] +config_file_version = 2 +services = nss, pam, sudo +domains = EXAMPLE + +[domain/EXAMPLE] +id_provider = ldap +sudo_provider = ldap +ldap_uri = ldap://example.com +ldap_sudo_search_base = ou=sudoers,dc=example,dc=com +</programlisting> <phrase +condition="have_systemd"> Важно учитывать, что на платформах, где +поддерживается systemd, не требуется добавлять поставщика данных «sudo» в +список служб, так как он стал необязательным. Однако вместо этого следует +включить sssd-sudo.socket. </phrase> + </para> + <para> + Когда программа SSSD настроена на использование IPA в качестве поставщика +ID, включение поставщика данных sudo выполняется автоматически. База поиска +sudo настроена на использование собственного дерева LDAP IPA +(cn=sudo,$SUFFIX). Если в sssd.conf определена какая-либо другая база +поиска, будет использоваться это значение. Дерево совместимости +(ou=sudoers,$SUFFIX) больше не является необходимым для работы sudo IPA. + </para> + </refsect1> + + <refsect1 id='cache'> + <title>Механизм кэширования правил SUDO</title> + <para> + При разработке поддержки sudo в SSSD сложнее всего было сделать так, чтобы +работа sudo c SSSD в качестве источника данных обеспечивала такие же +скорость и взаимодействие с пользователем, что и sudo, при этом предоставляя +настолько актуальный набор правил, насколько это возможно. Для этого в SSSD +используются три вида обновлений: полное обновление, интеллектуальное +обновление и обновление правил. + </para> + <para> + <emphasis>Интеллектуальное обновление</emphasis> периодически загружает +правила, которые являются новыми или были изменены после последнего +обновления. Основная задача — увеличивать базу данных путём получения +небольших порций данных, что не создаёт большой сетевой трафик. + </para> + <para> + <emphasis>Полное обновление</emphasis> просто удаляет все правила sudo, +которые хранятся в кэше, и заменяет их всеми правилами, которые хранятся на +сервере. Это позволяет поддерживать согласованность кэша: удаляются все те +правила, которые были удалены с сервера. Однако полное обновление может +генерировать большое количества трафика, поэтому его следует выполнять +только иногда (промежуток между обновлениями зависит от размера и +стабильности правил sudo). + </para> + <para> + <emphasis>Обновление правил</emphasis> обеспечивает, что пользователю не +будет предоставлено больше прав, чем определено. Это обновление выполняется +при каждом запуске sudo пользователем. Обновление правил находит все +правила, которые применяются к этому пользователю, проверяет срок их +действия и повторно загружает их, если этот срок истёк. Если на сервере +отсутствуют какие-либо из таких правил, SSSD выполнит общее полное +обновление, так как могло быть удалено гораздо больше правил (применяемых к +другим пользователям). + </para> + <para> + Если этот параметр включён, SSSD будет сохранять только правила, которые +могут быть применены к этому компьютеру. Это те правила, которые содержат в +атрибуте <emphasis>sudoHost</emphasis> одно из следующих значений: + </para> + <itemizedlist> + <listitem> + <para> + ключевое слово ALL + </para> + </listitem> + <listitem> + <para> + подстановочный знак + </para> + </listitem> + <listitem> + <para> + сетевая группа (в виде «+netgroup») + </para> + </listitem> + <listitem> + <para> + имя узла или полное доменное имя компьютера + </para> + </listitem> + <listitem> + <para> + один из IP-адресов компьютера + </para> + </listitem> + <listitem> + <para> + один из IP-адресов сети (в виде «address/mask») + </para> + </listitem> + </itemizedlist> + <para> + Предусмотрено много параметров, которыми можно воспользоваться для настройки +поведения программы. Подробное описание доступно в разделах «ldap_sudo_*» +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> и «sudo_*» <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='performance'> + <title>Тонкая настройка производительности</title> + <para> + SSSD использует различные типы механизмов со сложными и простыми фильтрами +LDAP для поддержания кэшированных правил sudo в актуальном состоянии. В +стандартной конфигурации заданы значения, которые должны подойти большинству +пользователей. Тем не менее, в последующих абзацах приводится несколько +советов по тонкой настройке конфигурации. + </para> + <para> + 1. <emphasis>Индексируйте атрибуты LDAP</emphasis>. Убедитесь, что +выполняется индексирование следующих атрибутов LDAP: objectClass, cn, +entryUSN и modifyTimestamp. + </para> + <para> + 2. <emphasis>Задайте ldap_sudo_search_base</emphasis>. Укажите в качестве +базы поиска контейнер, который содержит правила sudo, чтобы ограничить +область поиска. + </para> + <para> + 3. <emphasis>Задайте интервал полного и интеллектуального +обновления</emphasis>. Если правила sudo меняются редко и не требуется +быстро обновлять кэшированные правила на клиентах, можно увеличить значения +<emphasis>ldap_sudo_full_refresh_interval</emphasis> и +<emphasis>ldap_sudo_smart_refresh_interval</emphasis>. Также можно отключить +интеллектуальное обновление: <emphasis>ldap_sudo_smart_refresh_interval = +0</emphasis>. + </para> + <para> + 4. Если имеется большое количество клиентов, можно увеличить значение +<emphasis>ldap_sudo_random_offset</emphasis> для лучшего распределения +нагрузки на сервер. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd-systemtap.5.xml b/src/man/ru/sssd-systemtap.5.xml new file mode 100644 index 0000000..7a26bb4 --- /dev/null +++ b/src/man/ru/sssd-systemtap.5.xml @@ -0,0 +1,434 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-systemtap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-systemtap</refname> + <refpurpose>Информация о systemtap SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + На этой справочной странице представлена информация о функциональных +возможностях systemtap в <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + В различные места кода SSSD были добавлены точки зондирования SystemTap для +упрощения анализа и устранения проблем с производительностью. + </para> + <para> + <itemizedlist> + <listitem> + <para> + Примеры сценариев SystemTap: /usr/share/sssd/systemtap/ + </para> + </listitem> + <listitem> + <para> + Зонды и прочие функции определены, соответственно, в +/usr/share/systemtap/tapset/sssd.stp и +/usr/share/systemtap/tapset/sssd_functions.stp. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='probe-points'> + <title>ТОЧКИ ЗОНДИРОВАНИЯ</title> + <para> + Далее приводится список точек зондирования и аргументов, которые доступны в +следующем формате: + </para> + <variablelist> + <varlistentry> + <term>probe $name</term> + <listitem> + <para> + Описание точки зондирования + </para> + <programlisting> +variable1:datatype +variable2:datatype +variable3:datatype +... + </programlisting> + </listitem> + </varlistentry> + </variablelist> + + <refsect2 id='database-transaction-probes'> + <title>Зонды транзакций базы данных</title> + <para> + <variablelist> + <varlistentry> + <term>probe sssd_transaction_start</term> + <listitem> + <para> + Начало транзакции sysdb, зондирует функцию sysdb_transaction_start(). + </para> + <programlisting> +nesting:целое число +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_cancel</term> + <listitem> + <para> + Отмена транзакции sysdb, зондирует функцию sysdb_transaction_cancel(). + </para> + <programlisting> +nesting:целое число +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_commit_before</term> + <listitem> + <para> + Зондирует функцию sysdb_transaction_commit_before(). + </para> + <programlisting> +nesting:целое число +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_commit_after</term> + <listitem> + <para> + Зондирует функцию sysdb_transaction_commit_after(). + </para> + <programlisting> +nesting:целое число +probestr:строка + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-search-probes'> + <title>Зонды поиска LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_search_send</term> + <listitem> + <para> + Зондирует функцию sdap_get_generic_ext_send(). + </para> + <programlisting> +base:строка +scope:целое число +filter:строка +attrs:строка +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_recv</term> + <listitem> + <para> + Зондирует функцию sdap_get_generic_ext_recv(). + </para> + <programlisting> +base:строка +scope:целое число +filter:строка +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_parse_entry</term> + <listitem> + <para> + Зондирует функцию sdap_parse_entry(). Вызывается повторно для каждого +полученного атрибута. + </para> + <programlisting> +attr:строка +value:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_parse_entry_done</term> + <listitem> + <para> + Зондирует функцию sdap_parse_entry(). Вызывается по завершении обработки +полученного объекта. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_deref_send</term> + <listitem> + <para> + Зондирует функцию sdap_deref_search_send(). + </para> + <programlisting> +base_dn:строка +deref_attr:строка +probestr:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_deref_recv</term> + <listitem> + <para> + Зондирует функцию sdap_deref_search_recv(). + </para> + <programlisting> +base:строка +scope:целое число +filter:строка +probestr:строка + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-account-req-probes'> + <title>Зонды запросов учётных записей LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_acct_req_send</term> + <listitem> + <para> + Зондирует функцию sdap_acct_req_send(). + </para> + <programlisting> +entry_type:целое число +filter_type:целое число +filter_value:строка +extra_value:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_acct_req_recv</term> + <listitem> + <para> + Зондирует функцию sdap_acct_req_recv(). + </para> + <programlisting> +entry_type:целое число +filter_type:целое число +filter_value:строка +extra_value:строка + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-user-search-probes'> + <title>Зонды поиска пользователей LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_search_user_send</term> + <listitem> + <para> + Зондирует функцию sdap_search_user_send(). + </para> + <programlisting> +filter:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_recv</term> + <listitem> + <para> + Зондирует функцию sdap_search_user_recv(). + </para> + <programlisting> +filter:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_save_begin</term> + <listitem> + <para> + Зондирует функцию sdap_search_user_save_begin(). + </para> + <programlisting> +filter:строка + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_save_end</term> + <listitem> + <para> + Зондирует функцию sdap_search_user_save_end(). + </para> + <programlisting> +filter:строка + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='data-provider-request-probes'> + <title>Зонды запросов поставщика данных</title> + <para> + <variablelist> + <varlistentry> + <term>probe dp_req_send</term> + <listitem> + <para> + Запрос поставщика данных отправлен. + </para> + <programlisting> +dp_req_domain:строка +dp_req_name:строка +dp_req_target:целое число +dp_req_method:целое число + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe dp_req_done</term> + <listitem> + <para> + Запрос поставщика данных завершён. + </para> + <programlisting> +dp_req_name:строка +dp_req_target:целое число +dp_req_method:целое число +dp_ret:целое число +dp_errorstr:строка + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='miscellaneous-functions'> + <title>ПРОЧИЕ ФУНКЦИИ</title> + <para> + Далее приводится список точек зондирования и аргументов, которые доступны в +следующем формате: + </para> + <variablelist> + <varlistentry> + <term>function acct_req_desc(entry_type)</term> + <listitem> + <para> + Преобразовать entry_type в строку и вернуть строку + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>function sssd_acct_req_probestr(fc_name, entry_type, filter_type, +filter_value, extra_value)</term> + <listitem> + <para> + Создать строку зондирования на основании типа фильтра + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>function dp_target_str(target)</term> + <listitem> + <para> + Преобразовать цель в строку и вернуть строку + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>function dp_method_str(target)</term> + <listitem> + <para> + Преобразовать метод в строку и вернуть строку + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='sample-systemtap-scripts'> + <title>ПРИМЕРЫ СЦЕНАРИЕВ SYSTEMTAP</title> + <para> + Запустите сценарий SystemTap (<command>stap +/usr/share/sssd/systemtap/<script_name>.stp</command>), затем +выполните операцию идентификации, и сценарий соберёт данные с помощью +зондов. + </para> + <para> + Предоставляемые пакетом сценарии SystemTap: + </para> + <variablelist> + <varlistentry> + <term>dp_request.stp</term> + <listitem> + <para> + Отслеживание скорости обработки запросов поставщиком данных. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>id_perf.stp</term> + <listitem> + <para> + Отслеживание скорости выполнения команды <command>id</command>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_perf.stp</term> + <listitem> + <para> + Отслеживание запросов LDAP. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>nested_group_perf.stp</term> + <listitem> + <para> + Скорость разрешения вложенных групп. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd.8.xml b/src/man/ru/sssd.8.xml new file mode 100644 index 0000000..5bf5a96 --- /dev/null +++ b/src/man/ru/sssd.8.xml @@ -0,0 +1,246 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd</refname> + <refpurpose>cервис SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssd</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + <command>SSSD</command> предоставляет набор внутренних служб для управления +доступом к удалённым каталогам и механизмам проверки подлинности. Этот +сервис предоставляет интерфейс NSS и PAM к операционной системе и систему +подключаемых внутренних серверов для установки соединения с несколькими +разными источниками учётных записей, а также интерфейс D-Bus. Также он +является основой сервисов аудита и политики доступа клиентов для таких +проектов, как FreeIPA. SSSD предоставляет более надёжную базу данных для +хранения локальных пользователей, а также расширенных пользовательских +данных. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ОПЦИИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--debug-level</option> +<replaceable>LEVEL</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term> + <option>--debug-timestamps=</option><replaceable>mode</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: добавить отметку времени к сообщениям отладки + </para> + <para> + <emphasis>0</emphasis>: отключить отметку времени в сообщениях отладки + </para> + <para> + По умолчанию: 1 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--debug-microseconds=</option><replaceable>mode</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: добавить микросекунды в отметку времени в сообщениях +отладки + </para> + <para> + <emphasis>0</emphasis>: отключить микросекунды в отметке времени + </para> + <para> + По умолчанию: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--logger=</option><replaceable>value</replaceable> + </term> + <listitem> + <para> + Расположение, в которое SSSD будет отправлять сообщения журнала. + </para> + <para> + <emphasis>stderr</emphasis>: перенаправлять сообщения отладки в стандартный +поток ошибок. + </para> + <para> + <emphasis>files</emphasis>: перенаправлять сообщения отладки в файлы +журнала. По умолчанию файлы журнала хранятся в +<filename>/var/log/sssd</filename> и представляют собой отдельные файлы для +каждой службы и домена SSSD. + </para> + <para> + <emphasis>journald</emphasis>: перенаправлять сообщения отладки в +systemd-journald + </para> + <para> + По умолчанию: не задано (использовать journald, если это возможно, в ином +случае — stderr) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-D</option>,<option>--daemon</option> + </term> + <listitem> + <para> + Запускаться в качестве службы. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Запускаться интерактивно, не в качестве службы. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--config</option> + </term> + <listitem> + <para> + Позволяет указать файл конфигурации, отличный от стандартного. Стандартным +является <filename>/etc/sssd/sssd.conf</filename>. Сведения о синтаксисе и +параметрах файла конфигурации доступны на справочной странице <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--genconf</option> + </term> + <listitem> + <para> + Не запускать SSSD, но обновить базу данных конфигурации содержимым +<filename>/etc/sssd/sssd.conf</filename> и выйти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--genconf-section</option> + </term> + <listitem> + <para> + Аналогично <quote>--genconf</quote>, но будет выполнено обновление только +одного раздела файла конфигурации. Этот параметр полезен главным образом при +вызове из файлов модулей systemd с целью позволить ответчикам, которые +активируются с помощью сокетов, обновлять свою конфигурацию без +необходимости в перезапуске всего сервиса SSSD администратором. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + <varlistentry> + <term> + <option>--version</option> + </term> + <listitem> + <para> + Вывести номер версии и выйти. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>Сигналы</title> + <variablelist remap='IP'> + <varlistentry> + <term>SIGTERM/SIGINT</term> + <listitem> + <para> + Сообщает SSSD, что следует постепенно завершить все дочерние процессы и +затем отключить монитор. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGHUP</term> + <listitem> + <para> + Сообщает SSSD, что следует прекратить запись в текущие дескрипторы файлов +отладки, закрыть их и затем открыть снова. Это должно облегчить свёртывание +журнала с помощью таких программ, как logrotate. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR1</term> + <listitem> + <para> + Сообщает SSSD, что следует имитировать работу в автономном режиме в течение +времени, заданного параметром <quote>offline_timeout</quote>. Это полезно +при тестировании. Сигнал можно отправить либо процессу sssd, либо напрямую +любому процессу sssd_be. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR2</term> + <listitem> + <para> + Сообщает SSSD, что следует немедленно перейти в сетевой режим. Это полезно +при тестировании. Сигнал можно отправить либо процессу sssd, либо напрямую +любому процессу sssd_be. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», +клиентские приложения не будут использовать быстрый кэш в памяти. + </para> + <para condition="enable_lockfree_support"> + Если переменная среды SSS_LOCKFREE установлена в значение «NO», +одновременные запросы от нескольких потоков одного приложения будут +преобразованы в последовательность запросов. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd.conf.5.xml b/src/man/ru/sssd.conf.5.xml new file mode 100644 index 0000000..9911c1b --- /dev/null +++ b/src/man/ru/sssd.conf.5.xml @@ -0,0 +1,4160 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd" +[ +<!ENTITY sssd_user_name SYSTEM "sssd_user_name.include"> +]> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd.conf</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd.conf</refname> + <refpurpose>файл конфигурации SSSD</refpurpose> + </refnamediv> + + <refsect1 id='file-format'> + <title>ФОРМАТ ФАЙЛА</title> + + <para> + В файле используются синтаксические конструкции в стиле ini, он состоит из +разделов и параметров. Раздел начинается с имени раздела в квадратных +скобках и продолжается до начала нового раздела. Пример раздела с +параметрами, которые имеют одно или несколько значений: <programlisting> +<replaceable>[section]</replaceable> +<replaceable>key</replaceable> = <replaceable>value</replaceable> +<replaceable>key2</replaceable> = <replaceable>value2,value3</replaceable> + </programlisting> + </para> + + <para> + Используемые типы данных: строка (кавычки не требуются), целое число и +логическое значение (возможны два значения: <quote>TRUE</quote> или +<quote>FALSE</quote>). + </para> + + <para> + Строка комментария начинается со знака «решётка» (<quote>#</quote>) или +точки с запятой (<quote>;</quote>). Поддержка встроенных комментариев не +предусмотрена. + </para> + + <para> + Для всех разделов предусмотрен необязательный параметр +<replaceable>description</replaceable>. Он предназначен только для +обозначения раздела. + </para> + + <para> + <filename>sssd.conf</filename> должен быть обычным файлом, владельцем +которого является пользователь root. Права на чтение этого файла или запись +в него должен иметь только пользователь root. + </para> + </refsect1> + + <refsect1 id='config-snippets'> + <title>ФРАГМЕНТЫ КОНФИГУРАЦИИ ИЗ КАТАЛОГА ВКЛЮЧЕНИЯ</title> + + <para> + В файл конфигурации <filename>sssd.conf</filename> будут включены фрагменты +конфигурации из каталога <filename>conf.d</filename>. Эта возможность +доступна, если сборка SSSD была выполнена с библиотекой libini версии 1.3.0 +или более поздней. + </para> + + <para> + Любой находящийся в каталоге <filename>conf.d</filename> файл, имя которого +заканчивается расширением <quote><filename>.conf</filename></quote> и не +начинается с точки (<quote>.</quote>), будет использоваться для настройки +SSSD вместе с файлом <filename>sssd.conf</filename>. + </para> + + <para> + Фрагменты конфигурации из каталога <filename>conf.d</filename> имеют более +высокий приоритет, чем файл <filename>sssd.conf</filename>. В случае +возникновения конфликтов они переопределят параметры, заданные в файле +<filename>sssd.conf</filename>. Если в каталоге <filename>conf.d</filename> +присутствуют несколько фрагментов, их включение выполняется в алфавитном +порядке (на основе локали). Чем позже включён файл, тем выше его +приоритет. Числовые префиксы (<filename>01_snippet.conf</filename>, +<filename>02_snippet.conf</filename> и так далее) могут помочь +визуализировать приоритет (чем больше число, тем выше приоритет). + </para> + + <para> + Файлы фрагментов должны иметь того же владельца и те же права доступа, что и +файл <filename>sssd.conf</filename>. По умолчанию: root:root и 0600. + </para> + </refsect1> + + <refsect1 id='general-options'> + <title>ОБЩИЕ ПАРАМЕТРЫ</title> + <para> + Следующие параметры используются в нескольких разделах конфигурации. + </para> + <refsect2 id='all-section-options'> + <title>Параметры, используемые во всех разделах</title> + <para> + <variablelist> + <varlistentry> + <term>debug_level (целое число)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term>debug (целое число)</term> + <listitem> + <para> + В SSSD 1.14 и более поздних версиях для параметра +<replaceable>debug_level</replaceable> из соображений удобства предусмотрен +псевдоним <replaceable>debug</replaceable>. Если указаны оба параметра, +будет использовано значение <replaceable>debug_level</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_timestamps (логическое значение)</term> + <listitem> + <para> + Добавить к сообщениям отладки отметку времени. Если для ведения журнала +отладки SSSD включена служба journald, этот параметр будет игнорироваться. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_microseconds (логическое значение)</term> + <listitem> + <para> + Добавить микросекунды в отметку времени в сообщениях отладки. Если для +ведения журнала отладки SSSD включена служба journald, этот параметр будет +игнорироваться. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_backtrace_enabled (логическое значение)</term> + <listitem> + <para> + Включить обратную трассировку отладки. + </para> + <para> + Если SSSD работает со значением debug_level, которое меньше 9, весь журнал +работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала +при возникновении любой ошибки до уровня `min(0x0040, debug_level)` +включительно (если для параметра debug_level явно указано значение 0 или 1, +только ошибки соответствующих уровней вызовут обратную трассировку; в ином +случае — до 2). + </para> + <para> + Возможность поддерживается только для `logger == files` (параметр не влияет +на другие типы журнала). + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='services-and-domains-section-options'> + <title>Параметры, используемые в разделах SERVICE и DOMAIN</title> + <para> + <variablelist> + <varlistentry> + <term>timeout (целое число)</term> + <listitem> + <para> + Тайм-аут в секундах между пакетами пульса этой службы. Используется, чтобы +убедиться в том, что процесс работает и может отвечать на запросы. Обратите +внимание: после трёх пропущенных пакетов пульса процесс самостоятельно +завершит свою работу. + </para> + <para> + По умолчанию: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <refsect1 id='special-sections'> + <title>ОСОБЫЕ РАЗДЕЛЫ</title> + + <refsect2 id='services'> + <title>Раздел [sssd]</title> + <para> + Отдельные функциональные возможности SSSD обеспечиваются специальными +службами SSSD, которые запускаются и останавливаются вместе с SSSD. Эти +службы находятся под управлением специальной службы, которую часто называют +<quote>монитором</quote>. Настройка монитора и некоторых других важных +параметров (например, доменов идентификации) выполняется в разделе +<quote>[sssd]</quote>. <variablelist> + <title>Параметры раздела</title> + <varlistentry> + <term>config_file_version (целое число)</term> + <listitem> + <para> + Обозначает версию синтаксических конструкций файла конфигурации. Для SSSD +0.6.0 и более поздних версий используется версия 2. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>services</term> + <listitem> + <para> + Разделённый запятыми список служб, которые запускаются вместе с +sssd. <phrase condition="have_systemd"> Список служб является необязательным +на платформах, которые поддерживают systemd, так как эти службы при +необходимости будут активированы с помощью сокета или D-Bus. </phrase> + </para> + <para> + Поддерживаемые службы: nss, pam <phrase condition="with_sudo">, +sudo</phrase> <phrase condition="with_autofs">, autofs</phrase> <phrase +condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">, +pac</phrase> <phrase condition="with_ifp">, ifp</phrase> + </para> + <para> + <phrase condition="have_systemd"> По умолчанию все службы +отключены. Администратор должен включить разрешённые для использования +службы с помощью следующей команды: «systemctl enable +sssd-@service@.socket». </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>reconnection_retries (целое число)</term> + <listitem> + <para> + Количество попыток восстановления подключения службами в случае сбоя или +перезапуска поставщика данных + </para> + <para> + По умолчанию: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains</term> + <listitem> + <para> + Домен — это база данных, содержащая сведения о пользователях. SSSD +поддерживает использование сразу нескольких доменов, но необходимо настроить +как минимум один — иначе запуск SSSD не будет выполнен. С помощью этого +параметра можно указать список доменов в том порядке, в котором к ним +следует отправлять запросы. Рекомендуется использовать в именах доменов +только буквенно-цифровые символы ASCII, дефисы, точки и знаки +подчёркивания. Символ «/» использовать нельзя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>re_expression (строка)</term> + <listitem> + <para> + Регулярное выражение по умолчанию, которое задаёт способ обработки строки, +содержащей имя пользователя и домен, для выделения этих частей. + </para> + <para> + Для каждого домена можно настроить отдельное регулярное выражение. Для +некоторых поставщиков ID также предусмотрены регулярные выражения по +умолчанию. Более подробные сведения об этих регулярных выражениях доступны в +разделе справки «РАЗДЕЛЫ ДОМЕНА». + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (строка)</term> + <listitem> + <para> + Совместимый с <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, который описывает способ +создания полностью определённого имени из имени пользователя и имени домена. + </para> + <para> + Поддерживаются следующие расширения: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>имя пользователя</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + имя домена, указанное в файле конфигурации SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + плоское имя домена. Чаще всего используется для доменов Active Directory, +как непосредственно настроенных, так и обнаруженных с помощью отношений +доверия IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для каждого домена можно настроить отдельную строку формата. Более подробные +сведения об этом параметре доступны в разделе справки «РАЗДЕЛЫ ДОМЕНОВ». + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>monitor_resolv_conf (логическое значение)</term> + <listitem> + <para> + Управляет тем, следует ли SSSD отслеживать состояние resolv.conf для +определения момента, когда требуется обновить данные встроенного +сопоставителя DNS. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>try_inotify (логическое значение)</term> + <listitem> + <para condition="have_inotify"> + По умолчанию SSSD будет пытаться использовать inotify для отслеживания +изменений файлов конфигурации. Если невозможно использовать inotify, вместо +этого снова будет выполняться опрос каждые пять секунд. + </para> + <para condition="have_inotify"> + В некоторых редких ситуациях не следует даже пытаться использовать +inotify. В таких случаях в этот параметр следует установить значение «false» + </para> + <para condition="have_inotify"> + По умолчанию: true на платформах, которые поддерживают inotify. False на +других платформах. + </para> + <para> + Примечание: этот параметр ни на что не влияет на тех платформах, где +недоступна подсистема inotify. На этих платформах всегда будет +использоваться опрос. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>krb5_rcache_dir (строка)</term> + <listitem> + <para> + Каталог файловой системы, в котором SSSD следует сохранять файлы кэша +повтора Kerberos. + </para> + <para> + Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое +указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша +повтора. + </para> + <para> + По умолчанию: зависит от дистрибутива и указывается при +сборке. (__LIBKRB5_DEFAULTS__, если не настроено) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_non_root_user_support"> + <term>user (строка)</term> + <listitem> + <para> + The user to drop the privileges to where appropriate to avoid running as the +root user. Currently the only supported value is '&sssd_user_name;'. + </para> + + <para condition="have_systemd"> + This option does not work when running socket-activated services, as the +user set up to run the processes is set up during compilation time. The way +to override the systemd unit files is by creating the appropriate files in +/etc/systemd/system/. Keep in mind that any change in the socket user, +group or permissions may result in a non-usable SSSD. The same may occur in +case of changes of the user running the NSS responder. + </para> + + <para> + По умолчанию: не задано, процесс будет запущен от имени пользователя root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_domain_suffix (строка)</term> + <listitem> + <para> + Эта строка будет использоваться как стандартное имя домена для всех имён без +компонента имени домена. В основном, этот параметр применяется в средах, где +основной домен предназначен для управления политиками узлов и все +пользователи находятся в доверенном домене. Параметр позволяет этим +пользователям входить в систему, предоставляя только своё имя пользователя и +не указывая имя домена. + </para> + <para> + Please note that if this option is set all users from the primary domain +have to use their fully qualified name, e.g. user@domain.name, to log +in. Setting this option changes default of use_fully_qualified_names to +True. It is not allowed to use this option together with +use_fully_qualified_names set to False. <phrase +condition="with_files_provider"> One exception from this rule are domains +with <quote>id_provider=files</quote> that always try to match the behaviour +of nss_files and therefore their output is not qualified even when the +default_domain_suffix option is used. </phrase> + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_space (строка)</term> + <listitem> + <para> + С помощью этого параметра пробелы (клавиша «пробел») в именах пользователей +и групп можно заменить указанным символом, например «_». Имя пользователя +"john doe" превратится в "john_doe". Эта возможность +была добавлена для обеспечения совместимости со сценариями оболочки, у +которых возникают проблемы при обработке пробелов из-за того, что в оболочке +пробел является стандартным разделителем полей. + </para> + <para> + Обратите внимание, что использование заменяющего символа, который может +использоваться в именах пользователей или групп, является ошибкой +конфигурации. Если имя содержит заменяющий символ, SSSD выполнит попытку +вернуть неизменённое имя, но в целом результат поиска будет не определён. + </para> + <para> + По умолчанию: не задано (пробелы не будут заменены) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>certificate_verification (строка)</term> + <listitem> + <para> + При установке этого параметра проверку сертификатов можно настроить с +помощью разделённого запятыми списка параметров. Поддерживаемые параметры: +<variablelist> + <varlistentry> + <term>no_ocsp</term> + <listitem> + <para>Отключает проверки OCSP. Это может потребоваться, если указанные в +сертификате серверы OCSP недоступны со стороны клиента.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_ocsp</term> + <listitem> + <para> Если соединение с ответчиком OCSP невозможно установить, проверка OCSP будет +пропущена. Этот параметр следует использовать для того, чтобы разрешить +проверку подлинности, когда система находится в автономном режиме и нельзя +связаться с ответчиком OCSP.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_dgst</term> + <listitem> + <para>Функция вычисления контрольной суммы (хэша), используемая для создания ID +сертификата для запроса OCSP. Допустимые значения: + <itemizedlist> + <listitem><para>sha1</para></listitem> + <listitem><para>sha256</para></listitem> + <listitem><para>sha384</para></listitem> + <listitem><para>sha512</para></listitem> + </itemizedlist></para> + <para> + По умолчанию: sha1 (для обеспечения совместимости с ответчиком, +соответствующим стандарту RFC5019) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>no_verification</term> + <listitem> + <para>Полностью отключает проверку. Этот параметр следует использовать только для +тестирования.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>partial_chain</term> + <listitem> + <para>Разрешить признать проверку успешной даже в том случае, если не удаётся +построить <replaceable>полную</replaceable> цепочку до самоподписанного +якоря доверия, при условии, что возможно построить цепочку до доверенного +сертификата, который может быть не самоподписанным.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_default_responder=URL</term> + <listitem> + <para>Задаёт стандартный ответчик OCSP, который следует использовать вместо +ответчика, указанного в сертификате. URL необходимо заменить URL-адресом +стандартного ответчика OCSP, например: http://example.com:80/ocsp.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + ocsp_default_responder_signing_cert=NAME</term> + <listitem> + <para>В настоящее время этот параметр игнорируется. Все необходимые сертификаты +должны быть доступны в файле PEM, указанном параметром pam_cert_db_path.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>crl_file=/ПУТЬ/К/ФАЙЛУ/CRL</term> + <listitem> + <para>Использовать список отзыва сертификатов (CRL) из указанного файла при +проверке этого сертификата. CRL должен быть указан в формате PEM. Подробнее: +<citerefentry> <refentrytitle>crl</refentrytitle> +<manvolnum>1ssl</manvolnum> </citerefentry>.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_crl</term> + <listitem> + <para> + Если срок действия списка отзыва сертификатов (CRL) истёк, игнорировать +проверки CRL для соответствующих сертификатов. Этот параметр следует +использовать, чтобы разрешить проверку подлинности, когда система находится +в автономном режиме и нельзя обновить CRL.</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Неизвестные параметры передаются, но игнорируются. + </para> + <para> + По умолчанию: не задано, то есть не ограничивать проверку сертификатов + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>disable_netlink (логическое значение)</term> + <listitem> + <para> + SSSD подключается к интерфейсу netlink для отслеживания изменений в +маршрутах,адресах, ссылках и вызова определённых действий. + </para> + <para> + Изменения состояния SSSD, вызванные событиями netlink, могут быть +нежелательными. Чтобы их отключить, установите этот параметр в значение +«true» + </para> + <para> + По умолчанию: false (изменения netlink обнаруживаются) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_files_provider"> + <term>enable_files_domain (логическое значение)</term> + <listitem> + <para> + Когда этот параметр включён, SSSD добавляет перед всеми явно настроенными +доменами неявный домен с<quote>id_provider=files</quote>. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domain_resolution_order</term> + <listitem> + <para> + Разделённый запятыми список доменов и поддоменов, который указывает порядок +поиска. В список не требуется включать все возможные домены, так как поиск +отсутствующих доменов будет выполняться на основе порядка, в котором они +представлены в параметре конфигурации <quote>domains</quote>. Поиск +поддоменов, которые не указаны в параметре <quote>lookup_order</quote>, +будет выполняться в случайном порядке для каждого родительского домена. + </para> + <para> + Please, note that when this option is set the output format of all commands +is always fully-qualified even when using short names for input <phrase +condition="with_files_provider"> , for all users but the ones managed by the +files provider </phrase>. In case the administrator wants the output not +fully-qualified, the full_name_format option can be used as shown below: +<quote>full_name_format=%1$s</quote> However, keep in mind that during +login, login applications often canonicalize the username by calling +<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> which, if a shortname is returned +for a qualified input (while trying to reach a user which exists in multiple +domains) might re-route the login attempt into the domain which uses +shortnames, making this workaround totally not recommended in cases where +usernames may overlap between domains. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>implicit_pac_responder (логическое значение)</term> + <listitem> + <para> + Ответчик PAC включается автоматически для поставщиков IPA и AD для оценки и +проверки PAC. Если его необходимо отключить, установите для этого параметра +значение «false». + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>core_dumpable (логическое значение)</term> + <listitem> + <para> + Этот параметр можно использовать для общей защиты системы: установка +значения «false» запрещает создание дампов памяти для всех процессов SSSD, +чтобы избежать утечки паролей в открытом виде. Дополнительные сведения +доступны на справочной странице prctl:PR_SET_DUMPABLE. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_verification (string)</term> + <listitem> + <para> + With this parameter the passkey verification can be tuned with a comma +separated list of options. Supported options are: <variablelist> + <varlistentry> + <term>user_verification (boolean)</term> + <listitem> + <para> Enable or disable the user verification (i.e. PIN, fingerprint) during +authentication. If enabled, the PIN will always be requested. + </para> + <para> + The default is that the key settings decide what to do. In the IPA or +kerberos pre-authentication case, this value will be overwritten by the +server. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + </refsect1> + + <refsect1 id='services-sections'> + <title>РАЗДЕЛЫ СЛУЖБ</title> + <para> + В этом разделе приводится описание параметров, которые можно использовать +для настройки различных служб. Они должны находится в разделах с именами +[<replaceable>$NAME</replaceable>]. Например, для службы NSS это будет +раздел <quote>[nss]</quote> + </para> + + <refsect2 id='general'> + <title>Общие параметры настройки служб</title> + <para> + Эти параметры можно использовать для настройки любых служб. + </para> + <variablelist> + <varlistentry> + <term>reconnection_retries (целое число)</term> + <listitem> + <para> + Количество попыток восстановления подключения службами в случае сбоя или +перезапуска поставщика данных + </para> + <para> + По умолчанию: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>fd_limit</term> + <listitem> + <para> + Этот параметр задаёт максимальное количество файловых дескрипторов, которые +может одновременно открыть этот процесс SSSD. В системах, где у SSSD имеется +возможность CAP_SYS_RESOURCE, этот параметр будет использоваться независимо +от других параметров системы. В системах без такой возможности количество +дескрипторов будет определяться наименьшим значением этого параметра или +ограничением «hard» в limits.conf. + </para> + <para> + По умолчанию: 8192 (или ограничение «hard» в limits.conf) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>client_idle_timeout</term> + <listitem> + <para> + Этот параметр задаёт количество секунд, в течение которого клиент процесса +SSSD может удерживать файловый дескриптор без передачи данных. Это значение +ограничено в целях предотвращения исчерпания ресурсов системы. Оно не может +быть меньше 10 секунд. Если указано меньшее значение, оно будет исправлено +на 10 секунд. + </para> + <para> + По умолчанию: 60, KCM: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout (целое число)</term> + <listitem> + <para> + Когда SSSD переключается в автономный режим, количество времени до +выполнения попытки вернуться в сеть будет увеличиваться в соответствии со +временем, проведённым без подключения. По умолчанию SSSD использует +приращение для расчёта задержки между повторными попытками. Поэтому время +ожидания для конкретной попытки будет больше, чем для предыдущих. После +каждой неудачной попытки вернуться в сеть интервал будет пересчитываться по +следующей формуле: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Стандартное значение offline_timeout составляет 60. Стандартное значение +offline_timeout_max — 3600. Стандартное значение +offline_timeout_random_offset — 30. Конечный результат представляет собой +количество секунд до следующей попытки. + </para> + <para> + Обратите внимание, что максимальная длительность каждого интервала задана +параметром offline_timeout_max (кроме случайной части). + </para> + <para> + По умолчанию: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_max (целое число)</term> + <listitem> + <para> + Управляет тем, насколько можно увеличить время между попытками вернуться в +сеть после неудачных попыток восстановления подключения. + </para> + <para> + Значение «0» отключает использование приращения. + </para> + <para> + Значение этого параметра следует устанавливать с учётом значения параметра +offline_timeout. + </para> + <para> + Если параметр offline_timeout установлен в значение «60» (значение по +умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение +меньше 120, поскольку первый же шаг увеличения приведёт к его +превышению. Общее правило таково: значение offline_timeout_max должно по +крайней мере в 4 раза превышать значение offline_timeout. + </para> + <para> + Несмотря на то, что возможно указать значение от 0 до offline_timeout, +результатом этого станет переопределение значения offline_timeout, что не +имеет практического смысла. + </para> + <para> + По умолчанию: 3600 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_random_offset (целое число)</term> + <listitem> + <para> + Когда сервис SSSD находится в автономном режиме, он продолжает обращаться к +внутренним серверам через заданные промежутки времени: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Этот параметр управляет значением случайной задержки, которое используется +для приведённого выше уравнения. Итоговым значением random_offset будет +случайное число, принадлежащее диапазону: + </para> + <para> + [0 - offline_timeout_random_offset] + </para> + <para> + Значение «0» отключает добавление случайной задержки. + </para> + <para> + По умолчанию: 30 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>responder_idle_timeout</term> + <listitem> + <para> + Этот параметр задаёт количество секунд, в течение которого процесс ответчика +SSSD может работать без использования. Это значение ограничено в целях +предотвращения исчерпания ресурсов системы. Минимально допустимое значение: +60 секунд. Установка этого параметра в значение «0» (ноль) означает, что для +ответчика не устанавливается тайм-аут. Этот параметр используется только в +том случае, если сервис SSSD собран с поддержкой systemd и если службы +активируются с помощью сокетов или D-Bus. + </para> + <para> + По умолчанию: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cache_first</term> + <listitem> + <para> + Этот параметр определяет, следует ли ответчику опрашивать все кэши перед +опросом поставщиков данных. + </para> + <para condition="with_files_provider"> + По умолчанию: false + </para> + <para condition="without_files_provider"> + По умолчанию: true + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='NSS'> + <title>Параметры настройки NSS</title> + <para> + Эти параметры можно использовать для настройки службы диспетчера службы имён +(NSS). + </para> + <variablelist> + <varlistentry> + <term>enum_cache_timeout (целое число)</term> + <listitem> + <para> + Длительность хранения перечислений (запросов информации обо всех +пользователях) в кэше nss_sss в секундах + </para> + <para> + По умолчанию: 120 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_cache_nowait_percentage (целое число)</term> + <listitem> + <para> + Можно настроить кэш записей на автоматическое обновление записей в фоновом +режиме, если запрос о них поступает в срок, определённый в процентах от +значения entry_cache_timeout для домена. + </para> + <para> + Например, если параметр entry_cache_timeout домена установлен в значение +«30s» (секунд), а параметр entry_cache_nowait_percentage установлен в +значение «50» (процентов), записи, которые поступят через 15 секунд после +последнего обновления кэша, будут возвращены сразу, но SSSD выполнит +обновление кэша, поэтому будущим запросам не потребуется блокировка в +ожидании обновления кэша. + </para> + <para> + Корректные значения этого параметра находятся в диапазоне 0-99 и +представляют собой значение в процентах от entry_cache_timeout для каждого +домена. Чтобы сохранить производительность, это значение никогда не +уменьшает тайм-аут nowait так, что он становится меньше 10 секунд. Установка +значения «0» отключает эту возможность. + </para> + <para> + По умолчанию: 50 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_negative_timeout (целое число)</term> + <listitem> + <para> + Означает количество секунд, в течение которого в кэше nss_sss будут +храниться неудачные обращения к кэшу (запросы некорректных записей базы +данных, например, несуществующих) перед повторным запросом к внутреннему +серверу. + </para> + <para> + По умолчанию: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_negative_timeout (целое число)</term> + <listitem> + <para> + Означает количество секунд, в течение которого в негативном кэше nss_sss +будут храниться локальные пользователи и группы перед попыткой повторного +поиска на внутреннем сервере. Установка значения «0» отключает эту +возможность. + </para> + <para> + По умолчанию: 14400 (4 часа) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users, filter_groups (строка)</term> + <listitem> + <para> + Исключить определённых пользователей или группы из списка получения данных +из базы данных NSS sss. Эта возможность особенно полезна для системных +учётных записей. Этот параметр также можно задать для каждого домена +отдельно или включить в него полные имена, чтобы выполнить фильтрацию только +пользователей из конкретного домена или по именам участников-пользователей +(UPN). + </para> + <para> + ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников +вложенных групп, так как фильтрация выполняется после их распространения для +возврата с помощью NSS. Например, в списке участников группы, вложенная +группа которой была отфильтрована, останутся пользователи из этой +отфильтрованной вложенной группы. + </para> + <para> + По умолчанию: root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users_in_groups (логическое значение)</term> + <listitem> + <para> + Если отфильтрованные пользователи должны оставаться участниками групп, +установите этот параметр в значение «false». + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + <varlistentry> + <term>fallback_homedir (строка)</term> + <listitem> + <para> + Установить стандартный шаблон для домашнего каталога пользователя, если он +явно не указан поставщиком данных домена. + </para> + <para> + Допустимые значения этого параметра совпадают с допустимыми значениями +параметра override_homedir. + </para> + <para> + пример: <programlisting> +fallback_homedir = /home/%u + </programlisting> + </para> + <para> + По умолчанию: не задано (без замен для незаданных домашних каталогов) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_shell (строка)</term> + <listitem> + <para> + Переопределить командную оболочку входа для всех пользователей. Этот +параметр имеет приоритет над любыми другими параметрами оболочки, когда +действует. Его возможно установить либо в разделе [nss], либо для каждого +домена отдельно. + </para> + <para> + По умолчанию: не задано (SSSD будет использовать значение, полученное от +LDAP) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>allowed_shells (строка)</term> + <listitem> + <para> + Ограничить оболочку пользователя одним из указанных в списке +значений. Порядок вычисления: + </para> + <para> + 1. Если оболочка присутствует в файле <quote>/etc/shells</quote>, будет +использована она. + </para> + <para> + 2. Если оболочка присутствует в списке allowed_shells, но не в файле +<quote>/etc/shells</quote>, использовать значение параметра shell_fallback. + </para> + <para> + 3. Если оболочка отсутствует в списке allowed_shells и файле +<quote>/etc/shells</quote>, будет использована оболочка, которая не требует +входа. + </para> + <para> + Чтобы разрешить использование любой оболочки, можно использовать +подстановочный знак (*). + </para> + <para> + Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда +оболочка пользователя отсутствует в файле <quote>/etc/shells</quote>, а +ведение списка всех разрешённых оболочек в allowed_shells было бы излишним. + </para> + <para> + Пустая строка оболочки передаётся libc «как есть». + </para> + <para> + Чтение файла <quote>/etc/shells</quote> выполняется только при запуске +SSSD. Следовательно, в случае установки новой оболочки потребуется +перезапуск SSSD. + </para> + <para> + По умолчанию: не задано. Автоматически используется оболочка пользователя. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>vetoed_shells (строка)</term> + <listitem> + <para> + Заменять все экземпляры этих оболочек на shell_fallback + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>shell_fallback (строка)</term> + <listitem> + <para> + Оболочка по умолчанию, которую следует использовать, если разрешённая +оболочка не установлена на компьютере. + </para> + <para> + По умолчанию: /bin/sh + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_shell</term> + <listitem> + <para> + Оболочка по умолчанию, которую следует использовать, если поставщик не +вернул оболочку при поиске. Этот параметр можно указать как глобальный в +разделе [nss] или для каждого домена отдельно. + </para> + <para> + По умолчанию: не задано (вернуть NULL, если оболочка не указана, и +положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (целое число)</term> + <listitem> + <para> + Указывает время в секундах, в течение которого список поддоменов считается +действительным. + </para> + <para> + По умолчанию: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_timeout (целое число)</term> + <listitem> + <para> + Указывает время в секундах, в течение которого записи кэша в памяти будут +оставаться действительными. Установка этого параметра в значение «0» +отключит кэш в памяти. + </para> + <para> + По умолчанию: 300 + </para> + <para> + ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное +воздействие на производительность SSSD. Этот параметр следует использовать +только для тестирования. + </para> + <para> + ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в +значение «NO», клиентские приложения не будут использовать быстрый кэш в +памяти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_passwd (целое число)</term> + <listitem> + <para> + Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в +памяти для запросов passwd. Установка размера в значение «0» отключит кэш в +памяти для запросов passwd. + </para> + <para> + По умолчанию: 8 + </para> + <para> + ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет +значительное негативное воздействие на производительность SSSD. + </para> + <para> + ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в +значение «NO», клиентские приложения не будут использовать быстрый кэш в +памяти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_group (целое число)</term> + <listitem> + <para> + Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в +памяти для запросов group. Установка размера в значение «0» отключит кэш в +памяти для запросов group. + </para> + <para> + По умолчанию: 6 + </para> + <para> + ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет +значительное негативное воздействие на производительность SSSD. + </para> + <para> + ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в +значение «NO», клиентские приложения не будут использовать быстрый кэш в +памяти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_initgroups (целое число)</term> + <listitem> + <para> + Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в +памяти для запросов групп инициализации. Установка размера в значение «0» +отключит кэш в памяти для запросов групп инициализации. + </para> + <para> + По умолчанию: 10 + </para> + <para> + ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет +значительное негативное воздействие на производительность SSSD. + </para> + <para> + ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в +значение «NO», клиентские приложения не будут использовать быстрый кэш в +памяти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_sid (целое число)</term> + <listitem> + <para> + Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в +памяти для связанных с SID запросов. В настоящее время кэширование в быстрой +памяти предусмотрено только для запросов SID-по-ID и ID-по-SID. Установка +размера в значение «0» отключит кэш SID в памяти. + </para> + <para> + По умолчанию: 6 + </para> + <para> + ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет +значительное негативное воздействие на производительность SSSD. + </para> + <para> + ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в +значение «NO», клиентские приложения не будут использовать быстрый кэш в +памяти. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>user_attributes (строка)</term> + <listitem> + <para> + Некоторые из дополнительных запросов ответчика NSS могут возвращать больше +атрибутов, чем просто атрибуты POSIX, определённые интерфейсом NSS. Этот +параметр управляет списком атрибутов. Обработка выполняется тем же способом, +что и для параметра <quote>user_attributes</quote> ответчика InfoPipe +(см. <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>), но без стандартных значений. + </para> + <para> + Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан +ли он для ответчика NSS. + </para> + <para> + По умолчанию: не задано, использовать параметр InfoPipe + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwfield (строка)</term> + <listitem> + <para> + Значение, которое операции NSS, возвращающие пользователей или группы, +вернут для поля <quote>password</quote>. + </para> + <para> + По умолчанию: <quote>*</quote> + </para> + <para> + Примечание: этот параметр также можно задать для каждого домена отдельно, +что будет иметь приоритет над значением в разделе [nss]. + </para> + <para> + Default: <quote>not set</quote> (remote domains), <phrase +condition="with_files_provider"> <quote>x</quote> (the files domain), +</phrase> <quote>x</quote> (proxy domain with nss_files and sssd-shadowutils +target) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + <refsect2 id='PAM'> + <title>Параметры настройки PAM</title> + <para> + Эти параметры можно использовать для настройки службы подключаемых модулей +проверки подлинности (PAM). + </para> + <variablelist> + <varlistentry> + <term>offline_credentials_expiration (целое число)</term> + <listitem> + <para> + Определяет как долго следует разрешать вход по кэшированным данным, если +поставщик данных для аутентификации находится в автономном режиме (в днях с +момента последнего успешного входа). + </para> + <para> + По умолчанию: 0 (без ограничений) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_attempts (целое число)</term> + <listitem> + <para> + Если поставщик данных для проверки подлинности находится в автономном +режиме, сколько следует допускать неудачных попыток входа. + </para> + <para> + По умолчанию: 0 (без ограничений) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_delay (целое число)</term> + <listitem> + <para> + Время в минутах, которое должно пройти после достижения значения +offline_failed_login_attempts, прежде чем станет возможной новая попытка +входа. + </para> + <para> + Если задано значение «0», пользователь не сможет пройти проверку подлинности +в автономном режиме после достижения значения +offline_failed_login_attempts. Для того, чтобы проверка подлинности в +автономном режиме снова стала возможной, необходимо успешно пройти проверку +подлинности в сетевом режиме. + </para> + <para> + По умолчанию: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_verbosity (целое число)</term> + <listitem> + <para> + Управляет тем, какие сообщения будут показаны пользователю во время проверки +подлинности. Чем больше число, тем больше сообщений будет показано. + </para> + <para> + В настоящее время sssd поддерживает следующие значения: + </para> + <para> + <emphasis>0</emphasis>: не показывать никаких сообщений + </para> + <para> + <emphasis>1</emphasis>: показывать только важные сообщения + </para> + <para> + <emphasis>2</emphasis>: показывать информационные сообщения + </para> + <para> + <emphasis>3</emphasis>: показывать все сообщения и отладочную информацию + </para> + <para> + По умолчанию: 1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_response_filter (строка)</term> + <listitem> + <para> + Разделённый запятыми список строк, который позволяет удалять (фильтровать) +данные, отправленные ответчиком PAM модулю PAM pam_sss. Ответы, которые +отправляются pam_sss, могут быть разного вида (например, сообщения, которые +показываются пользователю, или переменные среды, которые должны быть +установлены pam_sss). + </para> + <para> + Сообщениями можно управлять с помощью параметра pam_verbosity, а этот +параметр позволяет отфильтровать также и другие типы ответов. + </para> + <para> + В настоящее время поддерживаются следующие фильтры: <variablelist> + <varlistentry><term>ENV</term> + <listitem><para>Не отправлять никаким службам никакие переменные среды.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:var_name</term> + <listitem><para>Не отправлять переменную среды var_name никаким службам.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:var_name:service</term> + <listitem><para>Не отправлять переменную среды var_name указанной службе.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Список строк может представлять собой список фильтров, который установит эти +фильтры, перезаписав стандартные значения. Либо каждый элемент списка может +предваряться символом «+» или «-», что, соответственно, добавит этот фильтр +к существующим стандартным фильтрам или удалит его из стандартных +фильтров. Обратите внимание, что следует либо использовать префикс «+» или +«-» для всех элементов списка, либо не использовать его +вообще. Использование префикса только для части элементов списка считается +ошибкой. + </para> + <para> + По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i + </para> + <para> + Пример: -ENV:KRB5CCNAME:sudo-i удалит фильтр из списка стандартных + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_id_timeout (целое число)</term> + <listitem> + <para> + При любом запросе PAM, поступающем во время работы SSSD в сети, SSSD +выполняет попытку незамедлительно обновить кэшированные данные идентификации +пользователя, чтобы при проверке подлинности использовались самые последние +данные. + </para> + <para> + Полный обмен данными PAM может включать несколько запросов PAM (в частности, +для управления учётными записями и открытия сеансов). Этот параметр +управляет (для каждого клиента-приложения отдельно) длительностью (в +секундах) кэширования данных идентификации, позволяющего избежать повторных +обменов данными с поставщиком данных идентификации. + </para> + <para> + По умолчанию: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_pwd_expiration_warning (целое число)</term> + <listitem> + <para> + Показать предупреждение за N дней до истечения срока действия пароля. + </para> + <para> + Обратите внимание, что внутренний сервер должен предоставить информацию о +времени истечения срока действия пароля. Если она отсутствует, sssd не +сможет показать предупреждение. + </para> + <para> + Если указан ноль, этот фильтр не применяется: если от внутреннего сервера +было получено предупреждение об истечении строка действия, оно будет +показано автоматически. + </para> + <para> + Этот параметр можно переопределить, установив +<emphasis>pwd_expiration_warning</emphasis> для конкретного домена. + </para> + <para> + По умолчанию: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (целое число)</term> + <listitem> + <para> + Указывает время в секундах, в течение которого список поддоменов считается +действительным. + </para> + <para> + По умолчанию: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_trusted_users (строка)</term> + <listitem> + <para> + Разделённый запятыми список значений UID или имён пользователей, которым +разрешено выполнять обмен данными PAM с доверенными доменами. Пользователям, +которые отсутствуют в этом списке, разрешён доступ только к доменам, +отмеченным как общедоступные с помощью параметра +<quote>pam_public_domains</quote>. Имена пользователей разрешаются в UID при +запуске. + </para> + <para> + По умолчанию: все пользователи считаются доверенными по умолчанию + </para> + <para> + Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже +если этот идентификатор пользователя отсутствует в списке pam_trusted_users. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_public_domains (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён доменов, которые доступны даже для +недоверенных пользователей. + </para> + <para> + Для параметра pam_public_domains определены два специальных значения: + </para> + <para> + all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике +PAM) + </para> + <para> + none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике +PAM) + </para> + <para> + По умолчанию: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_expired_message (строка)</term> + <listitem> + <para> + Позволяет задать пользовательское сообщение об истечении срока действия, +которое заменит стандартное сообщение «Доступ запрещён». + </para> + <para> + Примечание: следует учитывать, что для службы SSH сообщение будет показано +только при условии, что параметр pam_verbosity установлен в значение «3» +(показывать все сообщения и отладочную информацию). + </para> + <para> + пример: <programlisting> +pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки. + </programlisting> + </para> + <para> + По умолчанию: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_locked_message (строка)</term> + <listitem> + <para> + Позволяет задать пользовательское сообщение о блокировке, которое заменит +стандартное сообщение «Доступ запрещён». + </para> + <para> + пример: <programlisting> +pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки. + </programlisting> + </para> + <para> + По умолчанию: none + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>pam_passkey_auth (bool)</term> + <listitem> + <para> + Enable passkey device based authentication. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_debug_libfido2 (bool)</term> + <listitem> + <para> + Enable libfido2 library debug messages. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_auth (логическое значение)</term> + <listitem> + <para> + Включить проверку подлинности на основе сертификата или смарт-карты. Так как +для этого требуется дополнительный обмен данными со смарт-картой, который +задержит процесс проверки подлинности, по умолчанию этот параметр отключён. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_db_path (строка)</term> + <listitem> + <para> + Путь к базе данных сертификатов. + </para> + <para> + По умолчанию: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами +CA в формате PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_verification (строка)</term> + <listitem> + <para> + Этот параметр позволяет выполнить тонкую настройку проверки сертификатов PAM +с помощью разделённого запятыми списка параметров. Эти параметры +переопределяют значение <quote>certificate_verification</quote> в разделе +<quote>[sssd]</quote>. Поддерживаются те же параметры, что и для +<quote>certificate_verification</quote>. + </para> + <para> + пример: <programlisting> +pam_cert_verification = partial_chain + </programlisting> + </para> + <para> + По умолчанию: не задано, то есть следует использовать стандартный параметр +<quote>certificate_verification</quote>, указанный в разделе +<quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_child_timeout (целое число)</term> + <listitem> + <para> + Разрешённое количество секунд, в течение которого pam_sss ожидает завершения +работы p11_child. + </para> + <para> + По умолчанию: 10 + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_child_timeout (integer)</term> + <listitem> + <para> + How many seconds will the PAM responder wait for passkey_child to finish. + </para> + <para> + По умолчанию: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_app_services (строка)</term> + <listitem> + <para> + Указывает, каким службам PAM разрешено устанавливать соединение с доменами +типа <quote>application</quote> + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_p11_allowed_services (целое число)</term> + <listitem> + <para> + Разделённый запятыми список имён служб PAM, для которых будет разрешено +использовать смарт-карты. + </para> + <para> + Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из +стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы +заменить стандартное имя службы PAM для проверки подлинности с помощью +смарт-карт (например, <quote>login</quote>) на пользовательское имя службы +PAM (например, <quote>my_pam_service</quote>), необходимо использовать +следующую конфигурацию: <programlisting> +pam_p11_allowed_services = +my_pam_service, -login + </programlisting> + </para> + <para> + По умолчанию: стандартный набор имён служб PAM включает: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + gnome-screensaver + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_wait_for_card_timeout (целое число)</term> + <listitem> + <para> + Когда требуется проверка подлинности по смарт-карте, этот параметр +определяет, в течение какого количества секунд (в дополнение к значению +p11_child_timeout) ответчик PAM должен ожидать вставки смарт-карты. + </para> + <para> + По умолчанию: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_uri (строка)</term> + <listitem> + <para> + URI PKCS#11 (подробное описание доступно в RFC-7512) для ограничения перечня +устройств с проверкой подлинности по смарт-карте. По умолчанию p11_child +SSSD выполняет поиск слота PKCS#11 (устройства чтения) с установленным +флагом «removable» и затем чтение сертификатов со вставленного маркера из +первого найденного слота. Если подключено несколько устройств чтения, с +помощью p11_uri можно указать p11_child использовать конкретное устройство +чтения. + </para> + <para> + Пример: <programlisting> +p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader + </programlisting> или <programlisting> +p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2 + </programlisting> Чтобы найти подходящий URI, проверьте +отладочный вывод p11_child. Либо можно использовать утилиту «p11tool» +GnuTLS, например, с параметром «--list-all»: это тоже позволит просмотреть +URI PKCS#11. + </para> + <para> + По умолчанию: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_initgroups_scheme</term> + <listitem> + <para> + Ответчик PAM может принудительно запустить поиск в сети для получения данных +об участии в группах того пользователя, который пытается войти в +систему. Этот параметр управляет тем, когда это следует делать, и имеет +следующие допустимые значения: <variablelist> + <varlistentry><term>always</term> + <listitem><para>Всегда выполнять поиск в сети (обратите внимание, что параметр +pam_id_timeout всё равно применяется)</para></listitem> + </varlistentry> + <varlistentry><term>no_session</term> + <listitem><para>Выполнять поиск в сети только при отсутствии активного сеанса пользователя, +то есть тогда, когда пользователь не находится в системе</para></listitem> + </varlistentry> + <varlistentry><term>never</term> + <listitem><para>Никогда не выполнять поиск в сети принудительно, использовать данные из кэша +до тех пор, пока они не устареют</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + По умолчанию: no_session + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_services</term> + <listitem> + <para> + Разделённый запятыми список служб PAM, которым разрешено пытаться выполнить +проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so. + </para> + <para> + Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот +параметр в значение <quote>-</quote> (дефис). + </para> + <para> + Примечание: этот параметр также можно задать для каждого домена отдельно, +что будет иметь приоритет над значением в разделе [pam]. Также этот параметр +можно задать для доверенного домена, что будет иметь приоритет над значением +в разделе домена. + </para> + <para> + Пример: <programlisting> +pam_gssapi_services = sudo, sudo-i + </programlisting> + </para> + <para> + По умолчанию: - (проверка подлинности с помощью GSSAPI отключена) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_check_upn</term> + <listitem> + <para> + Если значение «True», SSSD будет требоваться наличие привязки +участника-пользователя Kerberos, который успешно прошёл проверку подлинности +с помощью GSSAPI, к пользователю, проверка подлинности которого +выполняется. Если такой привязки нет, проверка подлинности завершится +ошибкой. + </para> + <para> + Если значение «False», проверка подлинности будет выполняться для всех +пользователей, получивших необходимый билет службы. + </para> + <para> + Примечание: этот параметр также можно задать для каждого домена отдельно, +что будет иметь приоритет над значением в разделе [pam]. Также этот параметр +можно задать для доверенного домена, что будет иметь приоритет над значением +в разделе домена. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_indicators_map</term> + <listitem> + <para> + Разделённый запятыми список индикаторов проверки подлинности, которые должны +присутствовать в билете Kerberos для получения доступа к службе PAM, которой +разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля +pam_sss_gss.so. + </para> + <para> + Каждый элемент списка может быть либо именем индикатора проверки +подлинности, либо парой <quote>service:indicator</quote>. Индикаторы, +которые не предваряются именем службы PAM, будут требоваться для доступа к +любой службе PAM, настроенной на использование с +<option>pam_gssapi_services</option>. Итоговый список индикаторов для +отдельной службы PAM затем проверяется на соответствие индикаторам в билете +Kerberos во время проверки подлинности с помощью pam_sss_gss.so. Доступ +будет предоставлен, если в билете будет найден индикатор, совпадающий с +индикатором из итогового списка индикаторов для соответствующей службы +PAM. Доступ будет запрещён, если в списке не обнаружатся совпадающие +индикаторы. Если итоговый список индикаторов для службы PAM пуст, проверка +не закроет доступ. + </para> + <para> + Чтобы отключить проверку индикаторов для проверки подлинности с помощью +GSSAPI, установите этот параметр в значение <quote>-</quote> (дефис). Чтобы +отключить проверку индикаторов для определённой службы PAM, добавьте +<quote>service:-</quote>. + </para> + <para> + Примечание: этот параметр также можно задать для каждого домена отдельно, +что будет иметь приоритет над значением в разделе [pam]. Также этот параметр +можно задать для доверенного домена, что будет иметь приоритет над значением +в разделе домена. + </para> + <para> + В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих +индикаторов проверки подлинности: + <itemizedlist> + <listitem> + <para>pkinit — предварительная проверка подлинности с помощью сертификатов X.509, +которые хранятся в файлах или на смарт-картах.</para> + </listitem> + <listitem> + <para>hardened — предварительная проверка подлинности SPAKE или любая +предварительная проверка подлинности, помещённая в канал FAST.</para> + </listitem> + <listitem> + <para>radius — предварительная проверка подлинности с помощью сервера RADIUS.</para> + </listitem> + <listitem> + <para>otp — предварительная проверка подлинности с помощью встроенной +двухфакторной аутентификации (2FA или одноразовый пароль, OTP) в IPA.</para> + </listitem> + <listitem> + <para>idp -- предварительная аутентификация с использованием внешнего поставщика +удостоверений.</para> + </listitem> + </itemizedlist> + </para> + <para> + Пример: чтобы доступ к службам SUDO предоставлялся только пользователям, +которые получили свои билеты Kerberos с предварительной проверкой +подлинности сертификата X.509 (PKINIT), укажите <programlisting> +pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit + </programlisting> + </para> + <para> + По умолчанию: не задано (использование индикаторов проверки подлинности не +требуется) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SUDO' condition="with_sudo"> + <title>Параметры настройки SUDO</title> + <para> + Эти параметры можно использовать для настройки службы sudo. Подробные +инструкции по настройке <citerefentry> <refentrytitle>sudo</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> для работы с <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +доступны на справочной странице <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <variablelist> + <varlistentry> + <term>sudo_timed (логическое значение)</term> + <listitem> + <para> + Следует ли обрабатывать атрибуты sudoNotBefore и sudoNotAfter, +предназначенные для определения временных ограничений для записей sudoers. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + </variablelist> + <variablelist> + <varlistentry> + <term>sudo_threshold (целое число)</term> + <listitem> + <para> + Максимальное количество устаревших правил, которые можно обновить за один +раз. Если количество устаревших правил меньше заданного порогового значения, +эти правила обновляются с помощью механизма <quote>обновления +правил</quote>. Если пороговое значение превышено, будет использоваться +механизм <quote>полного обновления</quote>. Это пороговое значение также +применяется к поискам команд и групп команд sudo IPA. + </para> + <para> + По умолчанию: 50 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='AUTOFS' condition="with_autofs"> + <title>Параметры настройки AUTOFS</title> + <para> + Эти параметры можно использовать для настройки службы autofs. + </para> + <variablelist> + <varlistentry> + <term>autofs_negative_timeout (целое число)</term> + <listitem> + <para> + Означает количество секунд, в течение которого в кэше ответчика autofs будут +храниться неудачные обращения к кэшу (запросы некорректных записей карты, +например, несуществующих) перед повторным запросом к внутреннему серверу. + </para> + <para> + По умолчанию: 15 + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect2> + + <refsect2 id='SSH' condition="with_ssh"> + <title>Параметры настройки SSH</title> + <para> + Эти параметры можно использовать для настройки службы SSH. + </para> + <variablelist> + <varlistentry> + <term>ssh_hash_known_hosts (логическое значение)</term> + <listitem> + <para> + Следует ли хэшировать имена и адреса узлов в управляемом файле known_hosts. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_known_hosts_timeout (целое число)</term> + <listitem> + <para> + Разрешённое количество секунд, в течение которого узел хранится в +управляемом файле known_hosts после запроса ключей этого узла. + </para> + <para> + По умолчанию: 180 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_keys (логическое значение)</term> + <listitem> + <para> + Если задано значение «true», команда +<command>sss_ssh_authorizedkeys</command> вернёт ключи SSH, производные от +открытого ключа сертификатов X.509, которые также хранятся в записи +пользователя. Подробнее: <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry>. + </para> + <para> + По умолчанию: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_matching_rules (строка)</term> + <listitem> + <para> + По умолчанию ответчик SSH использует все доступные правила сопоставления +сертификатов для фильтрации сертификатов, поэтому ключи SSH будут +создаваться на основе только тех сертификатов, для которых было установлено +соответствие. Этот параметр позволяет ограничить используемые правила +разделённым запятыми списком имён правил привязки и сопоставления. Все +другие правила будут игнорироваться. + </para> + <para> + Два особых ключевых слова «all_rules» и «no_rules» позволяют, +соответственно, включить все правила или не включать их вообще. Последнее +означает, что фильтрация сертификатов не будет выполняться; следовательно, +ключи SSH будут создаваться на основе всех действительных сертификатов. + </para> + <para> + Если не настроено никаких правил, использование «all_rules» приведёт к +включению стандартного правила, которое разрешает использовать все +сертификаты, подходящие для проверки подлинности клиента. Это поведение +соответствует поведению ответчика PAM в том случае, когда включена проверка +подлинности сертификатов. + </para> + <para> + Несуществующее имя правила считается ошибкой. Если в результате не будет +выбрано ни одного правила, все сертификаты будут проигнорированы. + </para> + <para> + По умолчанию: не задано, равнозначно «all_rules», используются все найденные +правила или правило по умолчанию + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ca_db (строка)</term> + <listitem> + <para> + Путь к хранилищу доверенных сертификатов CA. Параметр используется для +проверки сертификатов пользователей перед получением из них открытых ключей +SSH. + </para> + <para> + По умолчанию: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами +CA в формате PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='PAC_RESPONDER' condition="with_pac_responder"> + <title>Параметры настройки ответчика PAC</title> + <para> + Ответчик PAC работает совместно с модулем данных проверки подлинности +sssd_pac_plugin.so для MIT Kerberos и поставщиком данных поддоменов. Этот +модуль отправляет данные PAC ответчику PAC во время проверки подлинности с +помощью GSSAPI. Поставщик данных поддоменов собирает данные по диапазонам +SID и ID домена, к которому присоединён клиент, а также удалённых доверенных +доменов с локального контроллера доменов. Если PAC расшифровывается и +обрабатывается, выполняются некоторые из следующих операций: + <itemizedlist> + <listitem><para>Если запись удалённого пользователя отсутствует в кэше, она будет +создана. UID определяется с помощью SID, у доверенных доменов будут UPG, а +GID будет иметь то же значение, что и UID. Домашний каталог устанавливается +на основе значения параметра subdomain_homedir. По умолчанию значение +оболочки будет пустым, то есть будут использованы стандартные параметры +системы, но их можно переопределить с помощью параметра default_shell.</para> + </listitem> + <listitem><para>Если имеются SID групп из известных SSSD доменов, пользователь будет +добавлен в эти группы. + </para></listitem> + </itemizedlist> + </para> + <para> + Эти параметры можно использовать для настройки ответчика PAC. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (строка)</term> + <listitem> + <para> + Разделённый запятыми список значений UID или имён пользователей, которым +разрешён доступ к ответчику PAC. Имена пользователей разрешаются в UID при +запуске. + </para> + <para> + По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root) + </para> + <para> + Обратите внимание: несмотря на то, что в качестве стандартного значения +используется UID 0, оно будет перезаписано этим параметром. Если всё равно +требуется разрешить пользователю root доступ к ответчику PAC (типичный +случай), будет необходимо добавить запись «0» в список UID, которым разрешён +доступ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_lifetime (целое число)</term> + <listitem> + <para> + Время жизни записи PAC (в секундах). Пока запись PAC действительна, данные +PAC можно использовать для определения участия пользователя в группах. + </para> + <para> + По умолчанию: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_check (строка)</term> + <listitem> + <para> + Если настроено, применить дополнительные проверки к PAC билету Kerberos, +доступному в доменах Active Directory и FreeIPA. Обратите внимание, что для +проверки PAC должна быть включена проверка билетов Kerberos, то есть для +параметра krb5_validate должно быть установлено значение «True», которое +является значением по умолчанию для поставщиков данных IPA и AD. Если для +параметра krb5_validate установлено значение «False», проверка PAC будет +пропущена. + </para> + <para> + Следующие параметры можно использовать отдельно или в виде разделённого +запятыми списка: <variablelist> + <varlistentry> + <term>no_check</term> + <listitem> + <para>PAC не должен присутствовать, и даже если он имеется, никакие дополнительные +проверки выполняться не будут.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_present</term> + <listitem> + <para>PAC должен присутствовать в билете службы, который SSSD запрашивает с +помощью TGT пользователя. Если PAC недоступен, аутентификация завершится +ошибкой. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn</term> + <listitem> + <para>Если PAC присутствует, проверить, что информация об основном имени +пользователя (UPN) верна.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_allow_missing</term> + <listitem> + <para>Этот параметр следует использовать вместе с 'check_upn' и он обрабатывает +случай, когда для UPN установлено значение на стороне сервера, но не +читается SSSD. Типичным примером является домен FreeIPA, в котором для +'ldap_user_principal' установлено название не существующего атрибута. Обычно +это делалось для обхода проблем при обработке корпоративных регистрационных +записей. Но это исправлено довольно давно, и FreeIPA может обрабатывать +корпоративные регистрационные записи, поэтому больше нет необходимости +устанавливать 'ldap_user_principal'.</para> + <para>В настоящее время этот параметр установлен по умолчанию, чтобы избежать +регрессии в подобных средах. В системный журнал и журнал отладки SSSD будет +добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD. Чтобы +избежать появления такого сообщения, проверьте, можно ли удалить параметр +'ldap_user_principal'. Если это невозможно, удаление 'check_upn' приведет к +пропуску проверки и сообщение не появится в журнале.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_present</term> + <listitem> + <para>PAC должен содержать буфер UPN-DNS-INFO, неявным образом устанавливает +'check_upn'.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_dns_info_ex</term> + <listitem> + <para>Если PAC присутствует и доступно расширение буфера UPN-DNS-INFO, проверить, +согласованы ли данные в расширении.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_ex_present</term> + <listitem> + <para>PAC должен содержать расширение буфера UPN-DNS-INFO, неявным образом +устанавливает 'check_upn_dns_info_ex', 'upn_dns_info_present' и 'check_upn'. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + По умолчанию: no_check (для поставщиков AD и IPA — 'check_upn, +check_upn_allow_missing, check_upn_dns_info_ex') + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SESSION_RECORDING'> + <title>Параметры настройки записи сеансов</title> + <para> + Запись сеансов работает совместно с <citerefentry> +<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, частью пакета tlog, обеспечивая ведение журнала данных, +которые пользователи видят и вводят после входа на текстовый +терминал. См. также <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Эти параметры можно использовать для настройки записи сеансов. + </para> + <variablelist> + <varlistentry> + <term>scope (строка)</term> + <listitem> + <para> + Одна из следующих строк, которые определяют область записи сеанса: +<variablelist> + <varlistentry> + <term>«none»</term> + <listitem> + <para> + Пользователи не записываются. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>«some»</term> + <listitem> + <para> + Записываются пользователи и группы, указанные с помощью параметров +<replaceable>users</replaceable> и <replaceable>groups</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>«all»</term> + <listitem> + <para> + Записываются все пользователи. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + По умолчанию: «none» + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, для которых включена запись +сеансов. Соответствие списку устанавливается по именам пользователей, +возвращённым NSS, то есть после возможной замены пробелов, смены регистра и +так далее. + </para> + <para> + По умолчанию: пусто. Не соответствует ни одному пользователю. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, для участников которых включена запись +сеансов. Соответствие списку устанавливается по именам групп, возвращённым +NSS, то есть после возможной замены пробелов, смены регистра и так далее. + </para> + <para> + ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) +значительно сказывается на производительности, поскольку при каждом +некэшированном запросе данных пользователя требуется выполнить получение и +установление соответствия групп, участником которых он является. + </para> + <para> + По умолчанию: пусто. Не соответствует ни одной группе. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (строка)</term> + <listitem> + <para> + Разделённый запятыми список пользователей, которые исключаются из записи; +применимо только при «scope=all». + </para> + <para> + По умолчанию: пусто. Не исключается ни один пользователь. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (строка)</term> + <listitem> + <para> + Разделённый запятыми список групп, участники которых исключаются из записи; +применимо только при «scope=all». + </para> + <para> + ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) +значительно сказывается на производительности, поскольку при каждом +некэшированном запросе данных пользователя требуется выполнить получение и +установление соответствия групп, участником которых он является. + </para> + <para> + По умолчанию: пусто. Не исключается ни одна группа. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='domain-sections'> + <title>РАЗДЕЛЫ ДОМЕНА</title> + <para> + Эти параметры конфигурации могут присутствовать в разделе конфигурации +домена, то есть в разделе с именем +<quote>[domain/<replaceable>NAME</replaceable>]</quote> <variablelist> + <varlistentry> + <term>enabled</term> + <listitem> + <para> + Явно включить или отключить домен. Если <quote>true</quote>, домен всегда +<quote>включён</quote>. Если <quote>false</quote>, домен всегда +<quote>отключён</quote>. Если значение параметра не задано, домен будет +включён только в том случае, если он находится в списке, указанном с помощью +параметра domains в разделе <quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>domain_type (строка)</term> + <listitem> + <para> + Указывает, предназначен ли домен для использования клиентами, +поддерживающими POSIX (например, NSS), или приложениями, которым не +требуется наличие или создание данных POSIX. Интерфейсам и утилитам +операционной системы доступны только объекты из доменов POSIX. + </para> + <para> + Допустимые значение этого параметра: <quote>posix</quote> и +<quote>application</quote>. + </para> + <para> + Домены POSIX доступны для всех служб. Домены приложений доступны только для +ответчика InfoPipe (см. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) и ответчика PAM. + </para> + <para> + ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений +с <quote>id_provider=ldap</quote>. + </para> + <para> + Описание простого способа настройки доменов не-POSIX доступно в разделе +<quote>Домены приложений</quote>. + </para> + <para> + По умолчанию: posix + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>min_id,max_id (целое число)</term> + <listitem> + <para> + Пределы диапазона UID и GID для домена. Если домен содержит запись, +находящуюся вне указанного диапазона, она будет проигнорирована. + </para> + <para> + Что касается записей пользователей, этот параметр ограничивает диапазон +основного GID. Запись пользователя не будет возвращена в NSS, если UID или +основной GID находится за пределами диапазона. Находящиеся в пределах +диапазона записи пользователей, которые не являются участниками основной +группы, будут выведены в обычном режиме. + </para> + <para> + Эти пределы диапазона идентификаторов влияют даже на сохранение записей в +кэш, а не только на их возврат по имени или идентификатору. + </para> + <para> + По умолчанию: 1 для min_id, 0 (без ограничений) для max_id + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>enumerate (логическое значение)</term> + <listitem> + <para> + Определяет, можно ли выполнить перечисление для домена, то есть может ли +домен вывести перечень всех содержащихся в нём пользователей и +групп. Обратите внимание, что перечисление не требуется включать для +просмотра вторичных групп. Этот параметр может иметь одно из следующих +значений: + </para> + <para> + TRUE = пользователи и группы перечисляются + </para> + <para> + FALSE = для этого домена не выполняется перечисление + </para> + <para> + По умолчанию: FALSE + </para> + <para> + Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и +сохранить ВСЕ записи пользователей и групп с удалённого сервера. + </para> + <para> + Примечание: если включить перечисление, во время его выполнения +производительность SSSD умеренно снижается. Перечисление может занять до +нескольких минут после запуска SSSD. В это время отдельные запросы +информации отправляются непосредственно в LDAP, хотя это может выполняться +медленно из-за ресурсоёмкой обработки перечисления. Сохранение большого +количества записей в кэш после завершения перечисления также может давать +интенсивную вычислительную нагрузку на центральный процессор, так как данные +об участии в группах требуется вычислить заново. Это может привести к тому, +что процесс <quote>sssd_be</quote> перестанет отвечать или даже будет +перезапущен внутренним сторожевым таймером. + </para> + <para> + Когда выполняется первое перечисление, запросы полных списков пользователей +или групп могут не вернуть результатов до момента завершения перечисления. + </para> + <para> + Более того, включение перечисления может увеличить время, необходимое для +обнаружения отсутствия подключения к сети, так как для успешного выполнения +поисков перечисления требуются более длительные тайм-ауты. Дополнительные +сведения доступны на man-страницах конкретного используемого поставщика +идентификаторов (id_provider). + </para> + <para> + По вышеуказанным причинам не рекомендуется включать перечисление, особенно в +средах большого размера. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_enumerate (строка)</term> + <listitem> + <para> + Следует ли выполнять перечисление для каких-либо автоматически обнаруженных +доверенных доменов. Поддерживаемые значения: <variablelist> + <varlistentry> + <term>all</term> + <listitem><para>Выполнить перечисление для всех обнаруженных доверенных доменов</para></listitem> + </varlistentry> + <varlistentry> + <term>none</term> + <listitem><para>Не выполнять перечисление для обнаруженных доверенных доменов</para></listitem> + </varlistentry> + </variablelist> При необходимости можно указать список из +одного или нескольких имён доверенных доменов, чтобы включить перечисление +только для них. + </para> + <para> + По умолчанию: none + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи +действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + Отметки времени устаревания записей кэша хранятся как атрибуты отдельных +объектов в кэше. Следовательно, изменение тайм-аута кэша повлияет только на +новые добавленные или устаревшие записи. Следует запустить инструмент +<citerefentry> <refentrytitle>sss_cache</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> для принудительного обновления +записей, которые уже были кэшированы. + </para> + <para> + По умолчанию: 5400 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_user_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи +пользователей действительными, прежде чем снова обратиться к внутреннему +серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_group_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи групп +действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_netgroup_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи сетевых +групп действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_service_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи служб +действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_resolver_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого nss_sss следует считать записи узлов и +сетей действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>entry_cache_sudo_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого sudo следует считать правила +действительными, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>entry_cache_autofs_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого службе autofs следует считать карты +автоматического монтирования действительными, прежде чем снова обратиться к +внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>entry_cache_ssh_host_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого ключ SSH узла хранится после +обновления. Иными словами, параметр определяет длительность хранения ключа +узла в кэше. + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_computer_timeout (целое число)</term> + <listitem> + <para> + Количество секунд, в течение которого следует хранить запись локального +компьютера, прежде чем снова обратиться к внутреннему серверу + </para> + <para> + По умолчанию: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>refresh_expired_interval (целое число)</term> + <listitem> + <para> + Указывает время ожидания SSSD (в секундах) перед активацией задания фонового +обновления всех устаревших или почти устаревших записей. + </para> + <para> + При фоновом обновлении обрабатываются содержащиеся в кэше записи +пользователей, групп и сетевых групп. Обновление как записи пользователя, +так и участия в группах выполняется для тех пользователей, для которых ранее +выполнялись действия по инициализации групп (получение данных об участии +пользователя в группах, обычно выполняется при запуске). + </para> + <para> + Этот параметр автоматически наследуется для всех доверенных доменов. + </para> + <para> + Рекомендуется установить это значение равным 3/4 * entry_cache_timeout. + </para> + <para> + Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени +ожидания устаревания кэша. Если в кэше уже есть записи, фоновое задание +будет использовать значения времени ожидания устаревания исходных записей, а +не текущее значение конфигурации. Может возникнуть ситуация, в которой будет +казаться, что фоновое задание по обновлению записей не работает. Это сделано +специально для усовершенствования работы в автономном режиме и повторного +использования имеющихся корректных записей в кэше. Чтобы мгновенно выполнить +изменение, пользователю следует вручную объявить недействительность +существующего кэша. + </para> + <para> + По умолчанию: 0 (отключено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials (логическое значение)</term> + <listitem> + <para> + Determines if user credentials are also cached in the local LDB cache. The +cached credentials refer to passwords, which includes the first (long term) +factor of two-factor authentication, not other authentication +mechanisms. Passkey and Smartcard authentications are expected to work +offline as long as a successful online authentication is recorded in the +cache without additional configuration. + </para> + <para> + Take a note that while credentials are stored as a salted SHA512 hash, this +still potentially poses some security risk in case an attacker manages to +get access to a cache file (normally requires privileged access) and to +break a password using brute force attack. + </para> + <para> + По умолчанию: FALSE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials_minimal_first_factor_length (целое число)</term> + <listitem> + <para> + Если используется двухфакторная проверка подлинности (2FA) и следует +сохранить учётные данные, это значение определяет минимальную длину первого +фактора проверки подлинности (долговременного пароля), который должен быть +сохранён в формате контрольной суммы SHA512 в кэше. + </para> + <para> + Таким образом удаётся предотвратить ситуацию, когда короткие PIN-коды +основанной на PIN-кодах схемы 2FA хранятся в кэше и становятся лёгкой +мишенью для атак методом подбора. + </para> + <para> + По умолчанию: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>account_cache_expiration (целое число)</term> + <listitem> + <para> + Количество дней, в течение которого записи хранятся в кэше после последнего +успешного входа, прежде чем будут удалены при очистке кэша. Значение «0» +означает, что записи будут храниться вечно. Значение этого параметра должно +быть больше или равно значению offline_credentials_expiration. + </para> + <para> + По умолчанию: 0 (без ограничений) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwd_expiration_warning (целое число)</term> + <listitem> + <para> + Показать предупреждение за N дней до истечения срока действия пароля. + </para> + <para> + Если указан ноль, этот фильтр не применяется: если от внутреннего сервера +было получено предупреждение об истечении строка действия, оно будет +показано автоматически. + </para> + <para> + Обратите внимание, что внутренний сервер должен предоставить информацию о +времени истечения срока действия пароля. Если она отсутствует, sssd не +сможет показать предупреждение. Кроме того, для этого сервера следует +настроить поставщика данных проверки подлинности. + </para> + <para> + По умолчанию: 7 (Kerberos), 0 (LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>id_provider (строка)</term> + <listitem> + <para> + Поставщик данных идентификации, который используется для +домена. Поддерживаемые поставщики ID: + </para> + <para> + <quote>proxy</quote>: поддержка устаревшего поставщика NSS. + </para> + <para condition="with_files_provider"> + <quote>files</quote>: поставщик данных ФАЙЛОВ. Дополнительные сведения о +зеркалировании локальных пользователей и групп в SSSD: <citerefentry> +<refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ldap</quote>: поставщик данных LDAP. Дополнительные сведения о +настройке LDAP: <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: поставщик данных Active Directory. Дополнительные +сведения о настройке Active Directory: <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>use_fully_qualified_names (логическое значение)</term> + <listitem> + <para> + Использовать полные имя и домен (в формате, заданном full_name_format +домена) в качестве имени для входа пользователя, которое сообщается NSS. + </para> + <para> + Если задано значение «TRUE», во всех запросах к домену должны использоваться +полные имена. Например, если этот параметр используется в домене LOCAL, +содержащем пользователя «test», с помощью команды <command>getent passwd +test</command> его не удастся найти, а с помощью команды <command>getent +passwd test@LOCAL</command> получится это сделать. + </para> + <para> + ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они +зачастую включают вложенные сетевые группы без полных имён. Для сетевых +групп выполняется поиск во всех доменах, когда запрашивается неполное имя. + </para> + <para> + По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае +использования default_domain_suffix) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ignore_group_members (логическое значение)</term> + <listitem> + <para> + Не возвращать участников групп для поиска групп. + </para> + <para> + Если установлено значение «TRUE», атрибут участия в группах не запрашивается +с сервера LDAP, а списки участников групп не возвращаются при обработке +вызовов поиска групп, таких как <citerefentry> +<refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum> +</citerefentry> или <citerefentry> <refentrytitle>getgrgid</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>. Как следствие, <quote>getent group +$groupname</quote> вернёт запрошенную группу так, как будто она пуста. + </para> + <para> + Включение этого параметра также может значительно ускорить проверки участия +в группах у поставщика доступа (особенно для групп, содержащих большое +количество участников). + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: FALSE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auth_provider (строка)</term> + <listitem> + <para> + Поставщик данных для проверки подлинности, который используется для +домена. Поддерживаемые поставщики данных для проверки подлинности: + </para> + <para> + <quote>ldap</quote> — использовать собственную проверку подлинности +LDAP. Дополнительные сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>krb5</quote> — использовать проверку подлинности +Kerberos. Дополнительные сведения о настройке Kerberos: <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: поставщик данных Active Directory. Дополнительные +сведения о настройке Active Directory: <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — передать проверку подлинности какой-либо другой цели +PAM. + </para> + <para> + <quote>none</quote> — явно отключить проверку подлинности. + </para> + <para> + По умолчанию: использовать <quote>id_provider</quote>, если этот параметр +задан и поддерживает обработку запросов проверки подлинности. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>access_provider (строка)</term> + <listitem> + <para> + Поставщик управления доступом, который используется для домена. Существуют +два встроенных поставщика доступа (в дополнение к тем поставщикам, которые +включены в установленные внутренние серверы). Внутренние особые поставщики: + </para> + <para> + <quote>permit</quote> — всегда разрешать доступ. Это единственный поставщик +разрешённого доступа для локального домена. + </para> + <para> + <quote>deny</quote> — всегда отказывать в доступе. + </para> + <para> + <quote>ldap</quote> — использовать собственную проверку подлинности +LDAP. Дополнительные сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: поставщик данных Active Directory. Дополнительные +сведения о настройке Active Directory: <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>simple</quote> — управление доступом на основе разрешающего или +запрещающего списка. Дополнительные сведения о настройке модуля доступа +simple: <citerefentry> <refentrytitle>sssd-simple</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + <quote>krb5</quote> — управление доступом на основе .k5login. Дополнительные +сведения о настройке Kerberos: <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — передать управление доступом другому модулю PAM. + </para> + <para> + По умолчанию: <quote>permit</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>chpass_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который должен обрабатывать операции смены пароля для +домена. Поддерживаемые поставщики данных смены пароля: + </para> + <para> + <quote>ldap</quote> — сменить пароль, который хранится на сервере +LDAP. Дополнительные сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>krb5</quote> — сменить пароль Kerberos. Дополнительные сведения о +настройке Kerberos: <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: поставщик данных Active Directory. Дополнительные +сведения о настройке Active Directory: <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — передать смену пароля какой-либо другой цели PAM. + </para> + <para> + <quote>none</quote> — явно запретить смену пароля. + </para> + <para> + По умолчанию: использовать <quote>auth_provider</quote>, если этот параметр +задан и поддерживает обработку запросов смены пароля. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>sudo_provider (строка)</term> + <listitem> + <para> + Поставщик данных SUDO, который используется для домена. Поддерживаемые +поставщики данных SUDO: + </para> + <para> + <quote>ldap</quote> — для правил, которые хранятся в LDAP. Дополнительные +сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — то же, что и <quote>ldap</quote>, но со стандартными +параметрами IPA. + </para> + <para> + <quote>ad</quote> — то же, что и <quote>ldap</quote>, но со стандартными +параметрами AD. + </para> + <para> + <quote>none</quote> — явно отключить SUDO. + </para> + <para> + По умолчанию: использовать значение <quote>id_provider</quote>, если этот +параметр задан. + </para> + <para> + Подробные инструкции по настройке sudo_provider доступны на справочной +странице <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Предусмотрено много параметров, +которыми можно воспользоваться для настройки поведения программы. Подробное +описание доступно в разделах «ldap_sudo_*» <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>ПРИМЕЧАНИЕ:</emphasis> загрузка правил sudo периодически +выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был +явно отключён). Укажите <emphasis>sudo_provider = None</emphasis> для +отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не +планируется использовать sudo. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>selinux_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который должен обрабатывать загрузку параметров +SELinux. Обратите внимание, что этот поставщик будет вызываться сразу после +окончания работы поставщика доступа. Поддерживаемые поставщики данных +SELinux: + </para> + <para> + <quote>ipa</quote> — загрузить параметры SELinux с сервера +IPA. Дополнительные сведения о настройке IPA: <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>none</quote> — явно отключает получение параметров SELinux. + </para> + <para> + По умолчанию: использовать <quote>id_provider</quote>, если этот параметр +задан и поддерживает обработку запросов загрузки параметров SELinux. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>subdomains_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который должен обрабатывать получение данных +поддоменов. Это значение всегда должно совпадать со значением +id_provider. Поддерживаемые поставщики данных поддоменов: + </para> + <para> + <quote>ipa</quote> — загрузить список поддоменов с сервера +IPA. Дополнительные сведения о настройке IPA: <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ad</quote> — загрузить список поддоменов с сервера Active +Directory. Дополнительные сведения о настройке поставщика данных AD: +<citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> — явно отключает получение данных поддоменов. + </para> + <para> + По умолчанию: использовать значение <quote>id_provider</quote>, если этот +параметр задан. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>session_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который настраивает задания, связанные с сеансами +пользователей, и управляет ими. В настоящее время предоставляется только +одно задание, связанное с сеансами пользователей: интеграция с Fleet +Commander (работает только c IPA). Поддерживаемые поставщики данных сеансов: + </para> + <para> + <quote>ipa</quote> — разрешить выполнение заданий, связанных с сеансами +пользователей. + </para> + <para> + <quote>none</quote> — не выполнять никакие задания, связанные с сеансами +пользователей. + </para> + <para> + По умолчанию: использовать <quote>id_provider</quote>, если этот параметр +задан и поддерживает выполнение заданий, связанных с сеансами. + </para> + <para> + <emphasis>ПРИМЕЧАНИЕ:</emphasis> чтобы эта возможность работала должным +образом, SSSD необходимо запускать от имени пользователя root, а не от имени +пользователя без привилегий. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>autofs_provider (строка)</term> + <listitem> + <para> + Поставщик данных autofs, который используется для домена. Поддерживаемые +поставщики данных autofs: + </para> + <para> + <quote>ldap</quote> — загрузить карты, которые хранятся в +LDAP. Дополнительные сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — загрузить карты, которые хранятся на сервере +IPA. Дополнительные сведения о настройке IPA: <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ad</quote> — загрузить карты, которые хранятся на сервере +AD. Дополнительные сведения о настройке поставщика данных AD: <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>none</quote> — явно отключить autofs. + </para> + <para> + По умолчанию: использовать значение <quote>id_provider</quote>, если этот +параметр задан. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>hostid_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который используется для получения данных идентификации +узла. Поддерживаемые поставщики hostid: + </para> + <para> + <quote>ipa</quote> — загрузить данные идентификации узла, которые хранятся +на сервере IPA. Дополнительные сведения о настройке IPA: <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>none</quote> — явно отключить hostid. + </para> + <para> + По умолчанию: использовать значение <quote>id_provider</quote>, если этот +параметр задан. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>resolver_provider (строка)</term> + <listitem> + <para> + Поставщик данных, который должен обрабатывать поиск узлов и +сетей. Поддерживаемые поставщики данных сопоставления: + </para> + <para> + <quote>proxy</quote> — перенаправлять поисковые запросы другой библиотеке +NSS. См. <quote>proxy_resolver_lib_name</quote> + </para> + <para> + <quote>ldap</quote> — получить записи узлов и сетей, которые хранятся в +LDAP. Дополнительные сведения о настройке LDAP: <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ad</quote> — получить записи узлов и сетей, которые хранятся на +сервере AD. Дополнительные сведения о настройке поставщика данных AD: +<citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> — явно отключает получение записей узлов и сетей. + </para> + <para> + По умолчанию: использовать значение <quote>id_provider</quote>, если этот +параметр задан. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>re_expression (строка)</term> + <listitem> + <para> + Регулярное выражение для этого домена, которое описывает, как получить из +строки, содержащей имя пользователя и домен, эти компоненты. «domain» может +соответствовать либо имени домена в конфигурации SSSD, либо (в случае +поддоменов доверия IPA и доменов Active Directory) плоскому (NetBIOS) имени +домена. + </para> + <para> + Default: +<quote>^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$</quote> +which allows two different styles for user names: + <itemizedlist> + <listitem> + <para>username</para> + </listitem> + <listitem> + <para>username@domain.name</para> + </listitem> + </itemizedlist> + </para> + <para> + Default for the AD and IPA provider: +<quote>^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$</quote> +which allows three different styles for user names: + <itemizedlist> + <listitem> + <para>username</para> + </listitem> + <listitem> + <para>username@domain.name</para> + </listitem> + <listitem> + <para>domain\username</para> + </listitem> + </itemizedlist> + Первые два стиля соответствуют общим стандартным стилям, а третий введён для +обеспечения простой интеграции пользователей из доменов Windows. + </para> + <para> + The default re_expression uses the <quote>@</quote> character as a separator +between the name and the domain. As a result of this setting the default +does not accept the <quote>@</quote> character in short names (as it is +allowed in Windows group names). If a user wishes to use short names with +<quote>@</quote> they must create their own re_expression. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (строка)</term> + <listitem> + <para> + Совместимый с <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, который описывает способ +создания полностью определённого имени из имени пользователя и имени домена. + </para> + <para> + Поддерживаются следующие расширения: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>имя пользователя</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + имя домена, указанное в файле конфигурации SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + плоское имя домена. Чаще всего используется для доменов Active Directory, +как непосредственно настроенных, так и обнаруженных с помощью отношений +доверия IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + По умолчанию: <quote>%1$s@%2$s</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>lookup_family_order (строка)</term> + <listitem> + <para> + Предоставляет возможность выбрать предпочитаемое семейство адресов, которое +следует использовать при выполнении запросов DNS. + </para> + <para> + Поддерживаемые значения: + </para> + <para> + ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти +адрес IPv6 + </para> + <para> + ipv4_only: пытаться разрешать имена узлов только в адреса IPv4. + </para> + <para> + ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти +адрес IPv4 + </para> + <para> + ipv6_only: пытаться разрешать имена узлов только в адреса IPv6. + </para> + <para> + По умолчанию: ipv4_first + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_server_timeout (целое число)</term> + <listitem> + <para> + Определяет количество времени (в миллисекундах), в течение которого SSSD +будет пытаться обменяться данными с сервером DNS перед переходом к +следующему. + </para> + <para> + Поставщик данных AD также будет использовать этот параметр для ограничения +времени проверки связи CLDAP. + </para> + <para> + Более подробные сведения о разрешении служб доступны в разделе +<quote>ОБРАБОТКА ОТКАЗА</quote>. + </para> + <para> + По умолчанию: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_op_timeout (целое число)</term> + <listitem> + <para> + Определяет количество времени (в секундах), в течение которого будет +ожидаться разрешение одного запроса DNS (например, разрешение имени узла или +записи SRV) перед попыткой перехода к следующему имени узла или поиску +следующего DNS. + </para> + <para> + Более подробные сведения о разрешении служб доступны в разделе +<quote>ОБРАБОТКА ОТКАЗА</quote>. + </para> + <para> + По умолчанию: 3 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_timeout (целое число)</term> + <listitem> + <para> + Определяет количество времени (в секундах), в течение которого будет +ожидаться ответ от внутренней службы отказоустойчивости, прежде служба будет +считаться недоступной. Если это время ожидания истекло, домен продолжит +работу в автономном режиме. + </para> + <para> + Более подробные сведения о разрешении служб доступны в разделе +<quote>ОБРАБОТКА ОТКАЗА</quote>. + </para> + <para> + По умолчанию: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_use_search_list (логическое значение)</term> + <listitem> + <para> + Обычно сопоставитель DNS выполняет поиск в списке доменов, указанных в +директиве «search» в файле resolv.conf. Это может привести к задержкам в +средах с неправильно настроенным DNS. + </para> + <para> + Если в конфигурации SSSD используются полные доменные имена (или _srv_), +установка для этого параметра значения FALSE может предотвратить ненужные +запросы DNS в таких средах. + </para> + <para> + По умолчанию: TRUE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_discovery_domain (строка)</term> + <listitem> + <para> + Если на внутреннем сервере используется обнаружение служб, указывает +доменную часть запроса обнаружения служб DNS. + </para> + <para> + По умолчанию: использовать доменную часть имени узла компьютера + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>override_gid (целое число)</term> + <listitem> + <para> + Переопределить значение основного GID указанным значением. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>case_sensitive (строка)</term> + <listitem> + <para> + Учитывать регистр символов в именах пользователей и групп. Возможные +значения: <variablelist> + <varlistentry> + <term>True</term> + <listitem> + <para> + С учётом регистра. Это значение не является корректным для поставщика данных +AD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>False</term> + <listitem> + <para>Без учёта регистра.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>Preserving</term> + <listitem> + <para> + То же, что «False» (без учёта регистра), но не переводит в нижний регистр +имена в результатах операций NSS. Обратите внимание, что псевдонимы (а в +случае служб также и имена протоколов) всё равно будут переведены в нижний +регистр в выведенных данных. + </para> + <para> + Если требуется установить это значение для доверенного домена с поставщиком +данных IPA, необходимо установить его как на стороне клиента, так и для SSSD +на сервере. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Этот параметр также может быть задан для каждого поддомена отдельно или +унаследован с помощью <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + По умолчанию: True (False для поставщика данных AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_inherit (строка)</term> + <listitem> + <para> + Позволяет указать список параметров конфигурации, которые должны +наследоваться поддоменом. Обратите внимание, что наследоваться могут не все +параметры. В настоящее время поддерживается наследование следующих +параметров: + </para> + <para> + ldap_search_timeout + </para> + <para> + ldap_network_timeout + </para> + <para> + ldap_opt_timeout + </para> + <para> + ldap_offline_timeout + </para> + <para> + ldap_enumeration_refresh_timeout + </para> + <para> + ldap_enumeration_refresh_offset + </para> + <para> + ldap_purge_cache_timeout + </para> + <para> + ldap_purge_cache_offset + </para> + <para> + ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр +ldap_krb5_keytab не задан явно) + </para> + <para> + ldap_krb5_ticket_lifetime + </para> + <para> + ldap_enumeration_search_timeout + </para> + <para> + ldap_connection_expire_timeout + </para> + <para> + ldap_connection_expire_offset + </para> + <para> + ldap_connection_idle_timeout + </para> + <para> + ldap_use_tokengroups + </para> + <para> + ldap_user_principal + </para> + <para> + ignore_group_members + </para> + <para> + auto_private_groups + </para> + <para> + case_sensitive + </para> + <para> + Пример: <programlisting> +subdomain_inherit = ldap_purge_cache_timeout + </programlisting> + </para> + <para> + По умолчанию: none + </para> + <para> + Примечание: этот параметр работает только для поставщиков данных IPA и AD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_homedir (строка)</term> + <listitem> + <para> + Использовать этот домашний каталог как значение по умолчанию для всех +поддоменов в пределах доверия AD IPA. Сведения о возможных значениях +доступны в описании параметра <emphasis>override_homedir</emphasis>. В +дополнение к этому, приведённое ниже расширение можно использовать только с +<emphasis>subdomain_homedir</emphasis>. <variablelist> + <varlistentry> + <term>%F</term> + <listitem><para>плоское (NetBIOS) имя поддомена.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Это значение может быть переопределено параметром +<emphasis>override_homedir</emphasis>. + </para> + <para> + По умолчанию: <filename>/home/%d/%u</filename> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>realmd_tags (строка)</term> + <listitem> + <para> + Различные метки, сохранённые службой настройки realmd для этого домена. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cached_auth_timeout (целое число)</term> + <listitem> + <para> + Указывает время в секундах с момента последней успешной проверки подлинности +в сетевом режиме, в течение которого пользователь будет распознан с помощью +кэшированных учётных данных, когда SSSD находится в сетевом режиме. Если +учётные данные некорректны, SSSD будет использовать проверку подлинности в +сетевом режиме. + </para> + <para> + Значение этого параметра наследуется всеми доверенными доменами. В настоящее +время невозможно устанавливать для отдельных доверенных доменов другие +значения. + </para> + <para> + Специальное значение «0» подразумевает, что эта возможность отключена. + </para> + <para> + Обратите внимание: если <quote>cached_auth_timeout</quote> превышает +<quote>pam_id_timeout</quote>, то может быть вызван внутренний сервер для +обработки <quote>initgroups.</quote> + </para> + <para> + По умолчанию: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_auth_policy (string)</term> + <listitem> + <para> + Local authentication methods policy. Some backends (i.e. LDAP, proxy +provider) only support a password based authentication, while others can +handle PKINIT based Smartcard authentication (AD, IPA), two-factor +authentication (IPA), or other methods against a central instance. By +default in such cases authentication is only performed with the methods +supported by the backend. + </para> + <para> + There are three possible values for this option: match, only, +enable. <quote>match</quote> is used to match offline and online states for +Kerberos methods. <quote>only</quote> ignores the online methods and only +offer the local ones. enable allows explicitly defining the methods for +local authentication. As an example, <quote>enable:passkey</quote>, only +enables passkey for local authentication. Multiple enable values should be +comma-separated, such as <quote>enable:passkey, enable:smartcard</quote> + </para> + <para> + Please note that if local Smartcard authentication is enabled and a +Smartcard is present, Smartcard authentication will be preferred over the +authentication methods supported by the backend. I.e. there will be a PIN +prompt instead of e.g. a password prompt. + </para> + <para> + The following configuration example allows local users to authenticate +locally using any enabled method (i.e. smartcard, passkey). <programlisting> +[domain/shadowutils] +id_provider = proxy +proxy_lib_name = files +auth_provider = none +local_auth_policy = only +</programlisting> + </para> + <para condition="with_files_provider"> + It is expected that the <quote>files</quote> provider ignores the +local_auth_policy option and supports Smartcard authentication by default. + </para> + <para> + Default: match + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auto_private_groups (строка)</term> + <listitem> + <para> + Этот параметр принимает одно из трёх допустимых значений: <variablelist> + <varlistentry> + <term>true</term> + <listitem> + <para> + Без проверки условий создавать закрытую группу пользователя на основе номера +UID пользователя. Номер GID в этом случае игнорируется. + </para> + <para> + ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от +номера UID, при использовании этого параметра не предусмотрена поддержка +нескольких записей с одинаковым номером UID или GID. Иными словами, +включение этого параметра принудительно устанавливает уникальность записей в +пространстве идентификаторов. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>false</term> + <listitem> + <para> + Всегда использовать основной номер GID пользователя. Номер GID должен +ссылаться на объект группы в базе данных LDAP. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>hybrid</term> + <listitem> + <para> + Основная группа автоматически генерируется для записей пользователей, номера +UID и GID которых имеют одно и то же значение, и при этом номер GID не +соответствует реальному объекту группы в LDAP. Если значения совпадают, но +основной GID в записи пользователя также используется объектом группы, +основной GID этого пользователя разрешается в этот объект группы. + </para> + <para> + Если UID и GID пользователя отличаются, GID должен соответствовать записи +группы; в ином случае GID просто будет невозможно разрешить. + </para> + <para> + Эта возможность полезна для сред, где требуется прекратить поддерживать +отдельные объекты групп для закрытых групп пользователей, но в то же время +сохранить существующие закрытые группы пользователей. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + В случае поддоменов, «False» является значением по умолчанию для поддоменов, +которые используют назначенные идентификаторы POSIX, а «True» — для +поддоменов, которые используют автоматическое сопоставление идентификаторов. + </para> + <para> + Значение auto_private_groups можно установить либо на уровне отдельных +поддоменов в подразделе, например: <programlisting> +[domain/forest.domain/sub.domain] +auto_private_groups = false +</programlisting>, либо на глобальном уровне для всех поддоменов в разделе основного +домена с помощью параметра subdomain_inherit: <programlisting> +[domain/forest.domain] +subdomain_inherit = auto_private_groups +auto_private_groups = false +</programlisting> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + + <para> + Параметры, которые являются действительными для доменов прокси. +<variablelist> + <varlistentry> + <term>proxy_pam_target (строка)</term> + <listitem> + <para> + Цель, которой пересылает данные прокси PAM. + </para> + <para> + Default: not set by default, you have to take an existing pam configuration +or create a new one and add the service name here. As an alternative you can +enable local authentication with the local_auth_policy option. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_lib_name (строка)</term> + <listitem> + <para> + Имя библиотеки NSS, которую следует использовать в доменах прокси. Функции +NSS, поиск которых выполняется в библиотеке, имеют вид +_nss_$(libName)_$(function), например: _nss_files_getpwent. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_resolver_lib_name (строка)</term> + <listitem> + <para> + Имя библиотеки NSS, которую следует использовать для поиска узлов и сетей в +доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют +вид _nss_$(libName)_$(function), например: _nss_dns_gethostbyname2_r. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_fast_alias (логическое значение)</term> + <listitem> + <para> + Когда на поставщике данных прокси выполняется поиск пользователя или группы +по имени, выполнять второй поиск по идентификатору для перевода имени в +каноническую форму в случае, если запрашиваемое имя было псевдонимом. При +установке этого параметра в значение «true» SSSD будет выполнять поиск +идентификатора в кэше в целях ускорения предоставления результатов. + </para> + <para> + По умолчанию: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_max_children (целое число)</term> + <listitem> + <para> + Этот параметр задаёт количество предварительно ответвлённых дочерних +прокси. Он полезен в средах SSSD с высокой нагрузкой, в которых у sssd могут +закончиться доступные дочерние слоты, что может вызывать проблемы из-за +постановки запросов в очередь. + </para> + <para> + По умолчанию: 10 + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + + <refsect2 id='app_domains'> + <title>Домены приложений</title> + <para> + SSSD, с его интерфейсом D-Bus (см. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>), обращается к программам как шлюз в каталог LDAP, где +хранятся данные пользователей и групп. Впрочем, в отличие от традиционного +формата работы SSSD, где все пользователи и группы имеют либо атрибуты +POSIX, либо атрибуты, производные от SID Windows, во многих случаях +пользователи и группы в сценарии поддержки приложений не имеют атрибутов +POSIX. Вместо установки раздела +<quote>[domain/<replaceable>NAME</replaceable>]</quote> администратор может +установить раздел +<quote>[application/<replaceable>NAME</replaceable>]</quote>, который на +внутреннем уровне представляет собой домен с типом +<quote>application</quote>, который может наследовать параметры +традиционного домена SSSD. + </para> + <para> + Обратите внимание: домен приложений всё равно должен быть явно включён с +помощью параметра <quote>domains</quote>; это позволит корректно задать +порядок поиска для домена приложений и его родственного домена POSIX. + </para> + <variablelist> + <title>Параметры доменов приложений</title> + <varlistentry> + <term>inherit_from (строка)</term> + <listitem> + <para> + Домен типа POSIX SSSD, от которого домен приложений наследует все +параметры. Домен приложений также может добавить свои собственные параметры +к параметрам приложений для расширения или переопределения параметров +<quote>родственного</quote> домена. + </para> + <para> + По умолчанию: не задано + </para> + </listitem> + </varlistentry> + </variablelist> + <para> + В следующем примере показано использование домена приложений. В этой +конфигурации домен POSIX подключён к серверу LDAP и используется ОС с +помощью ответчика NSS. Кроме того, домен приложений также запрашивает +атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает +атрибут phone доступным через интерфейс D-Bus. + </para> +<programlisting> +[sssd] +domains = appdom, posixdom + +[ifp] +user_attributes = +phone + +[domain/posixdom] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +[application/appdom] +inherit_from = posixdom +ldap_user_extra_attrs = phone:telephoneNumber +</programlisting> + </refsect2> + + </refsect1> + + <refsect1 id='trusted-domains'> + <title>РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ</title> + <para> + Некоторые параметры, которые используются в разделе домена, также могут +использоваться в разделе доверенного домена, то есть разделе с именем +<quote>[domain/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>TRUSTED_DOMAIN_NAME</replaceable>]</quote>. +DOMAIN_NAME — это фактический базовый домен, к которому выполнено +присоединение. Объяснение приводится в примерах ниже. В настоящее время для +раздела доверенного домена поддерживаются следующие параметры: + </para> + <para>ldap_search_base,</para> + <para>ldap_user_search_base,</para> + <para>ldap_group_search_base,</para> + <para>ldap_netgroup_search_base,</para> + <para>ldap_service_search_base,</para> + <para>ldap_sasl_mech,</para> + <para>ad_server,</para> + <para>ad_backup_server,</para> + <para>ad_site,</para> + <para>use_fully_qualified_names</para> + <para>pam_gssapi_services</para> + <para>pam_gssapi_check_upn</para> + <para> + Дополнительные сведения об этих параметрах доступны в их описаниях на +справочной странице. + </para> + </refsect1> + + <refsect1 id='certmap'> + <title>РАЗДЕЛ СОПОСТАВЛЕНИЯ СЕРТИФИКАТОВ</title> + <para> + Чтобы сделать возможной проверку подлинности по смарт-картам и сертификатам, +SSSD необходима возможность сопоставления сертификатов пользователям. Это +можно сделать путём добавления полного сертификата к объекту LDAP +пользователя или к локальному переопределению. В то время как использование +полного сертификата необходимо для использования функции проверки +подлинности по смарт-картам SSH (см. <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>), это может быть затруднительно или +даже невозможно в общем случае, когда локальные службы используют PAM для +проверки подлинности. + </para> + <para> + Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила +привязки и сопоставления (см. <citerefentry> +<refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>). + </para> + <para> + Правило привязки и сопоставления можно добавить в конфигурацию SSSD как +отдельный раздел с именем наподобие +<quote>[certmap/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>RULE_NAME</replaceable>]</quote>. +В этом разделе допустимы следующие параметры: + </para> + <variablelist> + <varlistentry> + <term>matchrule (строка)</term> + <listitem> + <para> + Будут обрабатываться только те сертификаты со смарт-карты, которые +соответствуют этому правилу. Все остальные будут игнорироваться. + </para> + <para> + По умолчанию: KRB5:<EKU>clientAuth, то есть только те сертификаты, в +которых Extended Key Usage (расширенное использование ключа) равно +<quote>clientAuth</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>maprule (строка)</term> + <listitem> + <para> + Определяет способ поиска пользователя для указанного сертификата. + </para> + <para> + По умолчанию: + <itemizedlist> + <listitem> + <para>LDAP:(userCertificate;binary={cert!bin}) для поставщиков данных на основе +LDAP, таких как <quote>ldap</quote>, <quote>AD</quote> или +<quote>ipa</quote>.</para> + </listitem> + <listitem condition="with_files_provider"> + <para>RULE_NAME для поставщика данных <quote>files</quote>, который пытается найти +пользователя с таким же именем.</para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains (строка)</term> + <listitem> + <para> + Разделённый запятыми список имён доменов, к которым должно применяться +правило. По умолчанию правило действительно только в домене, настроенном в +sssd.conf. Если поставщик данных поддерживает поддомены, с помощью этого +параметра можно добавить правило также и в поддомены. + </para> + <para> + По умолчанию: настроенный домен в sssd.conf + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>priority (целое число)</term> + <listitem> + <para> + Беззнаковое целое значение, которое определяет приоритет правила. Чем больше +число, тем ниже приоритет. <quote>0</quote> означает самый высокий +приоритет, а <quote>4294967295</quote> — самый низкий. + </para> + <para> + По умолчанию: самый низкий приоритет + </para> + </listitem> + </varlistentry> + </variablelist> + <para condition="with_files_provider"> + Чтобы упростить настройку и уменьшить количество её параметров, для +поставщика данных <quote>files</quote> предусмотрены некоторые особые +свойства: + <itemizedlist> + <listitem> + <para> + Если значение maprule не задано, именем совпадающего пользователя считается +RULE_NAME + </para> + </listitem> + <listitem> + <para> + Если используется maprule, необходимо заключать в скобки как отдельное имя +пользователя, так и шаблон наподобие +<quote>{subject_rfc822_name.short_name}</quote>. Например: +<quote>(username)</quote> или +<quote>({subject_rfc822_name.short_name})</quote> + </para> + </listitem> + <listitem> + <para> + параметр <quote>domains</quote> игнорируется + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='prompting_configuration'> + <title>РАЗДЕЛ НАСТРОЙКИ ЗАПРОСОВ</title> + <para> + Если специальный файл +(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>) +существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать, +какие способы проверки подлинности доступны для пользователя, который +пытается выполнить вход. В зависимости от полученного ответа pam_sss +запросит у пользователя соответствующие учётные данные. + </para> + <para> + Так как количество способов проверки подлинности растёт и есть вероятность, +что для одного пользователя их имеется несколько, эвристика, которая +используется pam_sss для выбора запроса, подходит не для всех +случаев. Следующие параметры обеспечивают более гибкую настройку. + </para> + <para> + Each supported authentication method has its own configuration subsection +under <quote>[prompting/...]</quote>. Currently there are: <variablelist> + <varlistentry> + <term>[prompting/password]</term> + <listitem> + <para>допустимые параметры настройки запроса пароля: <variablelist><varlistentry><term>password_prompt</term> + <listitem><para>изменить строку запроса пароля</para></listitem></varlistentry></variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> <variablelist> + <varlistentry> + <term>[prompting/2fa]</term> + <listitem> + <para>допустимые параметры настройки запроса двухфакторной проверки подлинности: +<variablelist><varlistentry><term>first_prompt</term> + <listitem><para>изменить строку запроса первого фактора </para></listitem> + </varlistentry> + <varlistentry><term>second_prompt</term> + <listitem><para>изменить строку запроса второго фактора </para></listitem> + </varlistentry> + <varlistentry><term>single_prompt</term> + <listitem><para>логическое значение, если «True», будет выполнен только один запрос с +использованием значения first_prompt. Ожидается, что оба фактора будет +введены как одна строка. Обратите внимание, что здесь необходимо ввести оба +фактора, даже если второй фактор является необязательным.</para></listitem> + </varlistentry> + </variablelist> Если второй фактор является +необязательным и должно быть возможно выполнить вход, указав либо только +пароль, либо оба фактора, следует использовать двухэтапный запрос. + </para> + </listitem> + </varlistentry> + </variablelist> +<variablelist> + <varlistentry condition="build_passkey"> + <term>[prompting/passkey]</term> + <listitem> + <para>to configure passkey authentication prompting, allowed options are: +<variablelist> + <varlistentry> + <term>interactive</term> + <listitem> + <para>boolean value, if True prompt a message and wait before testing the presence +of a passkey device. Recommended if your device doesn’t have a tactile +trigger. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>interactive_prompt</term> + <listitem> + <para>to change the message of the interactive prompt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch</term> + <listitem> + <para>boolean value, if True prompt a message to remind the user to touch the +device. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch_prompt</term> + <listitem> + <para>to change the message of the touch prompt. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Возможно добавить подраздел для определённых служб PAM, например +<quote>[prompting/password/sshd]</quote>; это позволяет изменить запрос +конкретно для этой службы. + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИМЕРЫ</title> + <para> + 1. В следующем примере показана типичная конфигурация SSSD. Описание +конфигурации самих доменов не приводится — оно доступно в соответствующей +документации. <programlisting> +[sssd] +domains = LDAP +services = nss, pam +config_file_version = 2 + +[nss] +filter_groups = root +filter_users = root + +[pam] + +[domain/LDAP] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +auth_provider = krb5 +krb5_server = kerberos.example.com +krb5_realm = EXAMPLE.COM +cache_credentials = true + +min_id = 10000 +max_id = 20000 +enumerate = False +</programlisting> + </para> + <para> + 2. В следующем примере показана конфигурация доверия AD IPA, где лес AD +состоит из двух доменов структуры «родитель — потомок». Предположим, что +домен IPA (ipa.com) имеет отношения доверия с доменом AD (ad.com). У ad.com +есть дочерний домен (child.ad.com). Чтобы включить краткие имена в дочернем +домене, следует использовать следующую конфигурацию. <programlisting> +[domain/ipa.com/child.ad.com] +use_fully_qualified_names = false +</programlisting> + </para> + <para> + 3. The following example shows the configuration of a certificate mapping +rule. It is valid for the configured domain <quote>my.domain</quote> and +additionally for the subdomains <quote>your.domain</quote> and uses the full +certificate in the search filter. <programlisting> +[certmap/my.domain/rule_name] +matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ +maprule = (userCertificate;binary={cert!bin}) +domains = my.domain, your.domain +priority = 10 +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd_krb5_localauth_plugin.8.xml b/src/man/ru/sssd_krb5_localauth_plugin.8.xml new file mode 100644 index 0000000..b119beb --- /dev/null +++ b/src/man/ru/sssd_krb5_localauth_plugin.8.xml @@ -0,0 +1,68 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_localauth_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_localauth_plugin</refname> + <refpurpose>Модуль локальной авторизации Kerberos</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + Подключаемый модуль локальной авторизации Kerberos +<command>sssd_krb5_localauth_plugin</command> используется libkrb5 либо для +поиска локального имени для данного принципала Kerberos, либо для проверки +того, связаны ли данное локальное имя и данный принципал Kerberos друг с +другом. + </para> + <para> + SSSD обрабатывает локальные имена пользователей из удаленного источника, а +также может считывать имя пользователя (UPN) Kerberos из удаленного +источника. С помощью этой информации SSSD может легко обрабатывать +сопоставления, упомянутые выше, даже если локальное имя и принципал Kerberos +значительно различаются. + </para> + <para> + Кроме того, благодаря информации, считанной с удаленного источника, SSSD +может предотвратить неожиданные или нежелательные привязки в случае, если +пользовательская часть принципала Kerberos случайно совпадает с локальным +именем другого пользователя. По умолчанию libkrb5 может просто удалить из +регистрационной записи Kerberos часть, связанную с областью действия, для +получения локального имени, что в этом случае может привести к ошибочным +привязкам. + </para> + </refsect1> + + <refsect1 id='configuration'> + <title>КОНФИГУРАЦИЯ</title> + <para> + Подключаемый модуль локальной авторизации Kerberos должен быть явно включен +в конфигурации Kerberos, см. <citerefentry> +<refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. SSSD автоматически создаст фрагмент конфигурации, +например, с таким содержимым: <programlisting> +[plugins] + localauth = { + module = sssd:/usr/lib64/sssd/modules/sssd_krb5_localauth_plugin.so + } +</programlisting> в +общедоступном каталоге фрагментов конфигурации SSSD Kerberos. Если этот +каталог включен в локальную конфигурацию Kerberos, подключаемый модуль будет +включен автоматически. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/ru/sssd_krb5_locator_plugin.8.xml b/src/man/ru/sssd_krb5_locator_plugin.8.xml new file mode 100644 index 0000000..95daa59 --- /dev/null +++ b/src/man/ru/sssd_krb5_locator_plugin.8.xml @@ -0,0 +1,106 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Справка по SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_locator_plugin</refname> + <refpurpose>Модуль локатора Kerberos</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИСАНИЕ</title> + <para> + Модуль локатора Kerberos <command>sssd_krb5_locator_plugin</command> +используется libkrb5 для поиска KDC для указанной области Kerberos. SSSD +предоставляет этот модуль для направления всех клиентов Kerberos в системе в +один KDC. В целом, не имеет значения, с каким KDC обменивается данными +клиентский процесс. Но в некоторых случаях (например, после смены пароля) не +все KDC находятся в одинаковом состоянии, поскольку для этого сначала +необходимо выполнить репликацию новых данных. Чтобы избежать неожиданных +сбоев проверки подлинности и, возможно, даже блокировки учётных записей, +следует как можно дольше выполнять обмен данными с одним KDC. + </para> + <para> + libkrb5 выполнит поиск модуля локатора в подкаталоге libkrb5 каталога +модулей Kerberos (см. plugin_base_dir в <citerefentry> +<refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>). Модуль можно отключить, только удалив соответствующий файл +модуля. В конфигурации Kerberos не предусмотрен параметр для его +отключения. Но для отдельных команд модуль можно отключить с помощью +переменной среды SSSD_KRB5_LOCATOR_DISABLE. Либо можно использовать параметр +SSSD krb5_use_kdcinfo=False, чтобы не создавать данные, которые требуются +для работы модуля. В этом случае модуль по-прежнему будет вызываться, но не +предоставит данные вызывающей стороне, поэтому libkrb5 перейдёт к +использованию других методов, определённых в krb5.conf. + </para> + <para> + Модуль выполняет чтение информации о KDC указанной области из файла +<filename>kdcinfo.REALM</filename>. Этот файл должен содержать одно или +несколько DNS-имён или IP-адресов (либо в десятичной записи IPv4, либо в +шестнадцатеричной записи IPv6). В конце можно (необязательно) добавить номер +порта, отделив его двоеточием; в этом случае адрес IPv6 необходимо, как и +обычно, заключить в квадратные скобки. Корректные записи: + <itemizedlist> + <listitem><para>kdc.example.com</para></listitem> + <listitem><para>kdc.example.com:321</para></listitem> + <listitem><para>1.2.3.4</para></listitem> + <listitem><para>5.6.7.8:99</para></listitem> + <listitem><para>2001:db8:85a3::8a2e:370:7334</para></listitem> + <listitem><para>[2001:db8:85a3::8a2e:370:7334]:321</para></listitem> + </itemizedlist> + Поставщик данных проверки подлинности krb5 SSSD, который также используется +поставщиками данных IPA и AD, добавляет в этот файл адрес текущего KDC или +контроллера домена, который используется SSSD. + </para> + <para> + В средах с доступными только для чтения и доступными для чтения и записи +KDC, где, как ожидается, клиенты будут использовать для общих операций +экземпляры, доступные только для чтения, а для изменений конфигурации, таких +как смена пароля, — только KDC, доступные для чтения и записи, также +используется файл <filename>kpasswdinfo.REALM</filename> для идентификации +доступных для чтения и записи KDC. Если этот файл существует для указанной +области, его содержимое будет использовано модулем для ответа на запросы по +серверу kpasswd или kadmin или определённому основному KDC MIT +Kerberos. Если адрес содержит номер порта, для последнего будет +использоваться стандартный порт KDC 88. + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ПРИМЕЧАНИЯ</title> + <para> + Не все реализации Kerberos поддерживают использование модулей. Если в +системе нет <command>sssd_krb5_locator_plugin</command>, необходимо +отредактировать файл /etc/krb5.conf в соответствии с используемой версией +Kerberos. + </para> + <para> + Если переменная среды SSSD_KRB5_LOCATOR_DEBUG установлена в какое-либо +значение, сообщения отладки будут отправляться в stderr. + </para> + <para> + Если переменная среды SSSD_KRB5_LOCATOR_DISABLE установлена в какое-либо +значение, модуль отключён и просто вернёт вызывающей стороне +KRB5_PLUGIN_NO_HANDLE. + </para> + <para> + Если переменная среды SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES установлена в +какое-либо значение, модуль будет пытаться разрешить все DNS-имена в файле +kdcinfo. По умолчанию модуль возвращает вызывающей стороне +KRB5_PLUGIN_NO_HANDLE сразу после первой неудачи при разрешении DNS. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |