summaryrefslogtreecommitdiffstats
path: root/src/man/uk/sssd-ad.5.xml
diff options
context:
space:
mode:
authorDaniel Baumann <daniel.baumann@progress-linux.org>2024-04-19 05:31:45 +0000
committerDaniel Baumann <daniel.baumann@progress-linux.org>2024-04-19 05:31:45 +0000
commit74aa0bc6779af38018a03fd2cf4419fe85917904 (patch)
tree9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/uk/sssd-ad.5.xml
parentInitial commit. (diff)
downloadsssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz
sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/uk/sssd-ad.5.xml')
-rw-r--r--src/man/uk/sssd-ad.5.xml1320
1 files changed, 1320 insertions, 0 deletions
diff --git a/src/man/uk/sssd-ad.5.xml b/src/man/uk/sssd-ad.5.xml
new file mode 100644
index 0000000..cbf0ba3
--- /dev/null
+++ b/src/man/uk/sssd-ad.5.xml
@@ -0,0 +1,1320 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
+"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
+<reference>
+<title>Сторінки підручника SSSD</title>
+<refentry>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
+
+ <refmeta>
+ <refentrytitle>sssd-ad</refentrytitle>
+ <manvolnum>5</manvolnum>
+ <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo>
+ </refmeta>
+
+ <refnamediv id='name'>
+ <refname>sssd-ad</refname>
+ <refpurpose>Модуль надання даних Active Directory SSSD</refpurpose>
+ </refnamediv>
+
+ <refsect1 id='description'>
+ <title>ОПИС</title>
+ <para>
+ На цій сторінці довідника описано налаштування засобу керування доступом AD
+для <citerefentry> <refentrytitle>sssd</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис
+налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника
+<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ Засіб надання даних AD є модулем, який використовується для встановлення
+з'єднання із сервером Active Directory. Для роботи цього засобу надання
+даних потрібно, щоб комп'ютер було долучено до домену AD і щоб було
+доступним сховище ключів. Обмін даними із модулем відбувається за допомогою
+каналу із шифруванням GSSAPI. Із засобом надання даних AD не слід
+використовувати параметри SSL/TLS, оскільки їх перекриває використання
+Kerberos.
+ </para>
+ <para>
+ У засобі надання даних AD передбачено підтримку встановлення з’єднання з
+Active Directory 2008 R2 або пізнішою версією. Робота з попередніми версіями
+можлива, але не підтримується.
+ </para>
+ <para>
+ Засобом надання даних AD можна скористатися для отримання даних щодо
+користувачів і розпізнавання користувачів за допомогою довірених доменів. У
+поточній версії передбачено підтримку використання лише довірених доменів з
+того самого лісу. Крім того автоматично визначаються сервери із довірених
+доменів.
+ </para>
+ <para>
+ Засіб надання даних AD уможливлює для SSSD використання засобу надання даних
+профілів <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> та засобу надання даних
+розпізнавання <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> з оптимізацією для середовищ Active
+Directory. Засіб надання даних AD приймає ті самі параметри, які
+використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими
+виключеннями. Втім, встановлювати ці параметри не обов'язково і не
+рекомендовано.
+ </para>
+ <para>
+ Засіб надання даних AD в основному копіює типові параметри традиційних
+засобів надання даних ldap і krb5 із деякими виключенням. Відмінності
+наведено у розділі <quote>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</quote>.
+ </para>
+ <para>
+ Інструментом надання даних AD також можна скористатися для доступу, зміни
+паролів запуску від імені користувача (sudo) та використання autofs. У
+налаштовуванні керування доступом на боці клієнта немає потреби.
+ </para>
+ <para>
+ Якщо у sssdconf вказано <quote>auth_provider=ad</quote> або
+<quote>access_provider=ad</quote>, для id_provider також має бути вказано
+<quote>ad</quote>.
+ </para>
+ <para>
+ Типово, модуль надання даних AD виконуватиме прив’язку до значень UID та GID
+з параметра objectSID у Active Directory. Докладніший опис наведено у
+розділі «ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ». Якщо вам потрібно
+вимкнути встановлення відповідності ідентифікаторів і покладатися на
+атрибути POSIX, визначені у Active Directory, вам слід встановити
+<programlisting>
+ldap_id_mapping = False
+ </programlisting> Якщо має бути використано
+атрибути POSIX, рекомендуємо з міркувань швидкодії виконувати також
+реплікацію атрибутів до загального каталогу. Якщо виконується реплікація
+атрибутів POSIX, SSSD намагатиметься знайти домен числового ідентифікатора
+із запиту за допомогою загального каталогу і шукатиме лише цей домен. І
+навпаки, якщо реплікація атрибутів POSIX до загального каталогу не
+відбувається, SSSD доводиться шукати на усіх доменах у лісі послідовно. Будь
+ласка, зауважте, що для пришвидшення пошуку без доменів також може бути
+корисним використання параметра <quote>cache_first</quote>. Зауважте, що
+якщо у загальному каталозі є лише підмножина атрибутів POSIX, у поточній
+версії невідтворювані атрибути з порту LDAP не читатимуться.
+ </para>
+ <para>
+ Дані щодо користувачів, груп та інших записів, які обслуговуються SSSD, у
+модулі надання даних AD завжди обробляються із врахуванням регістру символів
+для забезпечення сумісності з реалізацією Active Directory у LDAP.
+ </para>
+ <para>
+ SSSD може встановлювати відповідність лише груп захисту Active
+Directory. Щоб дізнатися більше про типи груп AD, ознайомтеся із <ulink
+url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups">
+підручником з груп захисту Active Directory</ulink>
+ </para>
+ <para>
+ SSSD відфільтровуватиме локальні для домену групи від віддалених доменів у
+лісі AD. Типово, групи буде відфільтровано, наприклад при слідуванні за
+вкладеною ієрархією груп у віддалених доменах, оскільки вони не є чинними у
+локальних доменах. Так зроблено для забезпечення узгодженості з призначенням
+груп і участі у них Active Directory, яку можна переглянути у PAC квитка
+Kerberos користувача, який видано Active Directory.
+ </para>
+ </refsect1>
+
+ <refsect1 id='configuration-options'>
+ <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title>
+ <para>Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man)
+<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про
+налаштування домену SSSD. <variablelist>
+ <varlistentry>
+ <term>ad_domain (рядок)</term>
+ <listitem>
+ <para>
+ Визначає назву домену Active Directory. Є необов’язковим. Якщо не вказано,
+буде використано назву домену з налаштувань.
+ </para>
+ <para>
+ Для забезпечення належної роботи цей параметр слід вказати у форматі запису
+малими літерами повної версії назви домену Active Directory.
+ </para>
+ <para>
+ Скорочена назва домену (також відома як назва NetBIOS або проста назва)
+автоматично визначається засобами SSSD.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enabled_domains (рядок)</term>
+ <listitem>
+ <para>
+ A comma-separated list of enabled Active Directory domains. If provided,
+SSSD will ignore any domains not listed in this option. If left unset, all
+discovered domains from the AD forest will be available.
+ </para>
+ <para>
+ During the discovery of the domains SSSD will filter out some domains where
+flags or attributes indicate that they do not belong to the local forest or
+are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
+listed domains.
+ </para>
+ <para>
+ Для належного функціонування значення цього параметра має бути вказано
+малими літерами у форматі повної назви домену Active Directory. Приклад:
+<programlisting>
+ad_enabled_domains = sales.example.com, eng.example.com
+ </programlisting>
+ </para>
+ <para>
+ Скорочена назва домену (також відома як назва NetBIOS або проста назва)
+автоматично визначається засобами SSSD.
+ </para>
+ <para>
+ Типове значення: не встановлено
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_server, ad_backup_server (рядок)</term>
+ <listitem>
+ <para>
+ Список назв тих вузлів серверів AD, відокремлених комами, з якими SSSD має
+встановлювати з'єднання у порядку пріоритетності. Щоб дізнатися більше про
+резервне використання серверів, ознайомтеся із розділом
+<quote>РЕЗЕРВ</quote>.
+ </para>
+ <para>
+ Цей список є необов’язковим, якщо увімкнено автоматичне виявлення
+служб. Докладніші відомості щодо автоматичного виявлення служб наведено у
+розділі «ПОШУК СЛУЖБ».
+ </para>
+ <para>
+ Зауваження: довірені домени завжди автоматично визначають сервери, навіть
+якщо основний сервер явним чином визначено у параметрі ad_server.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_hostname (рядок)</term>
+ <listitem>
+ <para>
+ Є необов'язковим. У системах, де hostname(5) не видає повноцінної назви,
+sssd намагається розгорнути скорчену назву. Якщо це не вдасться зробити або
+слід насправді використовувати скорочену назву, встановіть значення
+параметра явним чином.
+ </para>
+ <para>
+ Це поле використовується для визначення використаного реєстраційного запису
+вузла у таблиці ключів та виконання динамічних оновлень DNS. Його вміст має
+збігатися із назвою вузла, для якого випущено таблицю ключів.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enable_dns_sites (булеве значення)</term>
+ <listitem>
+ <para>
+ Вмикає сайти DNS — визначення служб на основі адрес.
+ </para>
+ <para>
+ Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо
+пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку
+спробує визначити сервер Active Directory для встановлення з’єднання на
+основі використання визначення сайтів Active Directory і повертається до
+визначення за записами SRV DNS, якщо сайт AD не буде знайдено. Налаштування
+SRV DNS, зокрема домен пошуку, використовуються також під час визначення
+сайтів.
+ </para>
+ <para>
+ Типове значення: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_access_filter (рядок)</term>
+ <listitem>
+ <para>
+ Цей параметр визначає фільтр керування доступом LDAP, якому має відповідати
+запис користувача для того, щоб йому було надано доступ. Будь ласка,
+зауважте, що слід явним чином встановити для параметра «access_provider»
+значення «ad», щоб цей параметр почав діяти.
+ </para>
+ <para>
+ У параметрі також передбачено підтримку визначення різних фільтрів для
+окремих доменів або дерев. Цей розширений фільтр повинен мати такий формат:
+«КЛЮЧОВЕ СЛОВО:НАЗВА:ФІЛЬТР». Набір підтримуваних ключових слів: «DOM»,
+«FOREST» або ключове слово слід пропустити.
+ </para>
+ <para>
+ Якщо вказано ключове слово «DOM» або ключового слова не вказано, «НАЗВА»
+визначає домен або піддомен, до якого застосовується фільтрування. Якщо
+ключовим словом є «FOREST», фільтр застосовується до усіх доменів з лісу,
+вказаного значенням «НАЗВА».
+ </para>
+ <para>
+ Декілька фільтрів можна відокремити символом «?», подібно до способу
+визначення фільтрів у базах для пошуку.
+ </para>
+ <para>
+ Визначення участі у вкладених групах має відбуватися із використанням
+спеціалізованого OID <quote>:1.2.840.113556.1.4.1941:</quote>, окрім повних
+синтаксичних конструкцій DOM:domain.example.org:, щоб засіб обробки не
+намагався інтерпретувати символи двокрапки, пов'язані з OID. Якщо ви не
+використовуєте цей OID, вкладена участь у групах не
+визначатиметься. Ознайомтеся із прикладом використання, який наведено нижче,
+і цим посиланням, щоб дізнатися більше про OID: <ulink
+url="https://msdn.microsoft.com/en-us/library/cc223367.aspx">[MS-ADTS]
+Правила встановлення відповідності у LDAP</ulink>
+ </para>
+ <para>
+ Завжди використовується відповідник з найвищим рівнем
+відповідності. Наприклад, якщо визначено фільтрування для домену, учасником
+якого є користувач, і загальне фільтрування, буде використано фільтрування
+для окремого домену. Якщо буде виявлено декілька відповідників з однаковою
+специфікацією, використовуватиметься лише перший з них.
+ </para>
+ <para>
+ Приклади:
+ </para>
+ <programlisting>
+# застосувати фільтрування лише для домену з назвою dom1:
+dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
+
+# застосувати фільтрування лише для домену з назвою dom2:
+DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
+
+# застосувати фільтрування лише для лісу з назвою EXAMPLE.COM:
+FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
+
+# застосувати фільтрування до учасника вкладеної групи у dom1:
+DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
+ </programlisting>
+ <para>
+ Типове значення: не встановлено
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_site (рядок)</term>
+ <listitem>
+ <para>
+ Визначає сайт AD, з яким має встановлювати з’єднання клієнт. Якщо не буде
+вказано, виконуватиметься спроба автоматичного визначення сайта AD.
+ </para>
+ <para>
+ Типове значення: не встановлено
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_enable_gc (булеве значення)</term>
+ <listitem>
+ <para>
+ Типово, SSSD для отримання даних користувачів з надійних (довірених) доменів
+спочатку встановлює з’єднання із загальним каталогом (Global Catalog). Якщо
+ж отримати дані не вдасться, система використовує порт LDAP для отримання
+даних щодо участі у групах. Вимикання цього параметра призведе до того, що
+SSSD встановлюватиме зв’язок лише з портом LDAP поточного сервера AD.
+ </para>
+ <para>
+ Будь ласка, зауважте, що вимикання підтримки загального каталогу (Global
+Catalog) не призведе до вимикання спроб отримати дані користувачів з
+надійних (довірених) доменів. Просто SSSD намагатиметься отримати ці ж дані
+за допомогою порту LDAP надійних доменів. Втім, загальним каталогом (Global
+Catalog) доведеться скористатися для визначення зв’язків даних щодо участі у
+групах для різних доменів.
+ </para>
+ <para>
+ Типове значення: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_access_control (рядок)</term>
+ <listitem>
+ <para>
+ Цей параметр визначає режим роботи для функціональних можливостей керування
+доступом на основі GPO: працюватиме система у вимкненому режимі, режимі
+примушення чи дозвільному режимі. Будь ласка, зауважте, що для того, щоб цей
+параметр запрацював, слід явним чином встановити для параметра
+«access_provider» значення «ad».
+ </para>
+ <para>
+ Функціональні можливості з керування доступом на основі GPO використовують
+параметри правил GPO для визначення того, може чи не може той чи інший
+користувач увійти до системи вузла мережі. Якщо вам потрібна докладніша
+інформація щодо підтримуваних параметрів правил, зверніться до параметрів
+<quote>ad_gpo_map</quote>.
+ </para>
+ <para>
+ Будь ласка, зверніть увагу на те, що у поточній версії SSSD не передбачено
+підтримки вбудованих груп Active Directory Вбудовані групи до правил
+керування доступом на основі GPO (зокрема Administrators із SID
+S-1-5-32-544) SSSD просто ігноруватиме. Див. запис системи стеження за
+вадами https://pagure.io/SSSD/sssd/issue/5063 .
+ </para>
+ <para>
+ Перед виконанням керування доступом SSSD застосовує захисне фільтрування на
+основі правил груп до списку GPO. Для кожного входу користувача до системи
+програма перевіряє застосовність GPO, які пов'язано із відповідним
+вузлом. Щоб GPO можна було застосувати до користувача, користувач або
+принаймні одна з груп, до яких він належить, повинен мати такі права доступу
+до GPO:
+ <itemizedlist>
+ <listitem>
+ <para>
+ Read: користувач або одна з його груп повинна мати доступ до читання
+властивостей GPO (RIGHT_DS_READ_PROPERTY)
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ Apply Group Policy: користувач або принаймні одна з його груп повинна мати
+доступ до застосування GPO (RIGHT_DS_CONTROL_ACCESS).
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Типово, у GPO є група Authenticated Users, для якої встановлено одразу права
+доступу Read та Apply Group Policy. Оскільки розпізнавання користувача має
+бути успішно завершено до захисного фільтрування GPO і запуску керування
+доступом, до облікового запису користувача завжди застосовуються права
+доступу групи Authenticated Users щодо GPO.
+ </para>
+ <para>
+ ЗАУВАЖЕННЯ: якщо встановлено режим роботи «примусовий» (enforcing), можлива
+ситуація, коли користувачі, які раніше мали доступ до входу, позбудуться
+такого доступу (через використання параметрів правил GPO). З метою полегшити
+перехід на нову систему для адміністраторів передбачено дозвільний режим
+доступу (permissive), за якого правила керування доступом не
+встановлюватимуться у примусовому порядку. Програма лише перевірятиме
+відповідність цим правилам і виводитиме до системного журналу повідомлення,
+якщо доступ було надано усупереч цим правилам. Вивчення журналу надасть
+змогу адміністраторам внести відповідні зміни до встановлення примусового
+режиму (enforcing). Для запису до журналу даних керування доступом на основі
+GPO потрібен рівень діагностики «trace functions» (див. сторінку підручника
+<citerefentry> <refentrytitle>sssctl</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry>).
+ </para>
+ <para>
+ У цього параметра є три підтримуваних значення:
+ <itemizedlist>
+ <listitem>
+ <para>
+ disabled: правила керування доступом, засновані на GPO, не обробляються і не
+використовуються примусово.
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ enforcing: правила керування доступом, засновані на GPO, обробляються і
+використовуються примусово.
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ permissive: виконати перевірку відповідності правилам керування доступом на
+основі GPO, але не наполягати на їхньому виконанні. Якщо правила не
+виконуються, вивести до системного журналу повідомлення про те, що
+користувачеві було б заборонено доступ, якби використовувався режим
+enforcing.
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para condition="gpo_default_permissive">
+ Типове значення: permissive
+ </para>
+ <para condition="gpo_default_enforcing">
+ Типове значення: enforcing
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_implicit_deny (булеве значення)</term>
+ <listitem>
+ <para>
+ Зазвичай, якщо не буде знайдено відповідних GPO, користувачам буде надано
+доступ. Якщо для цього параметра встановлено значення True, доступ
+користувачам надаватиметься, лише якщо його явним чином дозволено правилом
+GPO. Якщо ж такого дозвільного правила не буде виявлено, доступ буде
+заборонено. Цим можна скористатися для підвищення рівня захисту, але слід
+бути обережним із використанням цього параметра, оскільки за його допомогою
+можна заборонити доступ навіть користувачам у вбудованій групі
+Administrators, якщо немає правил GPO, якими надається такий доступ.
+ </para>
+
+ <para>
+ Типове значення: False
+ </para>
+
+ <para>
+ У наведених нижче двох таблицях проілюстровано ситуації, у яких
+користувачеві буде дозволено або відмовлено у доступі на основі прав дозволу
+або заборони входу, які визначено на боці сервера, і встановленого значення
+ad_gpo_implicit_deny.
+ </para>
+ <informaltable frame='all'>
+ <tgroup cols='3'>
+ <colspec colname='c1' align='center'/>
+ <colspec colname='c2' align='center'/>
+ <colspec colname='c3' align='center'/>
+ <thead>
+ <row><entry namest='c1' nameend='c3' align='center'>
+ ad_gpo_implicit_deny = False (типове значення)</entry></row>
+ <row><entry>allow-rules</entry><entry>deny-rules</entry>
+ <entry>результати</entry></row>
+ </thead>
+ <tbody>
+ <row><entry>missing</entry><entry>missing</entry>
+ <entry><para>дозволені усі користувачі</para>
+ </entry></row>
+ <row><entry>missing</entry><entry>present</entry>
+ <entry><para>дозволені лише користувачі, яких немає у deny-rules</para></entry></row>
+ <row><entry>present</entry><entry>missing</entry>
+ <entry><para>дозволені лише користувачі, які є у allow-rules</para></entry></row>
+ <row><entry>present</entry><entry>present</entry>
+ <entry><para>дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules</para></entry></row>
+ </tbody></tgroup></informaltable>
+
+ <informaltable frame='all'>
+ <tgroup cols='3'>
+ <colspec colname='c1' align='center'/>
+ <colspec colname='c2' align='center'/>
+ <colspec colname='c3' align='center'/>
+ <thead>
+ <row><entry namest='c1' nameend='c3' align='center'>
+ ad_gpo_implicit_deny = True</entry></row>
+ <row><entry>allow-rules</entry><entry>deny-rules</entry>
+ <entry>результати</entry></row>
+ </thead>
+ <tbody>
+ <row><entry>missing</entry><entry>missing</entry>
+ <entry><para>заборонено усіх користувачів</para>
+ </entry></row>
+ <row><entry>missing</entry><entry>present</entry>
+ <entry><para>заборонено усіх користувачів</para>
+ </entry></row>
+ <row><entry>present</entry><entry>missing</entry>
+ <entry><para>дозволені лише користувачі, які є у allow-rules</para></entry></row>
+ <row><entry>present</entry><entry>present</entry>
+ <entry><para>дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules</para></entry></row>
+ </tbody></tgroup></informaltable>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_ignore_unreadable (булеве значення)</term>
+ <listitem>
+ <para>
+ Зазвичай, якщо певні контейнери правил групи (об'єкта AD) відповідних
+об'єктів правил груп є непридатним до читання з SSSD, доступ користувачам
+буде заборонено. За допомогою цього параметра можна проігнорувати контейнери
+правил груп та пов'язані із ними правила, якщо їхні атрибути у контейнерах
+правил груп є непридатним до читання з SSSD.
+ </para>
+ <para>
+ Типове значення: False
+ </para>
+ </listitem>
+ </varlistentry>
+
+
+
+ <varlistentry>
+ <term>ad_gpo_cache_timeout (ціле число)</term>
+ <listitem>
+ <para>
+ Проміжок часу між послідовними пошуками файлів правил GPO щодо сервера
+AD. Зміна може зменшити час затримки та навантаження на сервер AD, якщо
+протягом короткого періоду часу надходить багато запитів щодо керування
+доступом.
+ </para>
+ <para>
+ Типове значення: 5 (секунд)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_interactive (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, для яких оцінки для керування
+доступом на основі GPO виконуються на основі параметрів правил
+InteractiveLogonRight і DenyInteractiveLogonRight. Виконуватиметься оцінка
+лише тих GPO, до яких користувач має права доступу Read і Apply Group Policy
+(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із
+оброблених GPO міститься параметр заборони інтерактивного входу до системи
+для користувача або однієї з його груп, користувачеві буде заборонено
+локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права
+на інтерактивний вхід до системи, користувачеві буде надано локальний
+доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на
+інтерактивний вхід до системи, користувачеві буде надано лише локальний
+доступ, якщо він або принаймні одна з його груп є частиною параметрів
+правила.
+ </para>
+ <para>
+ Зауваження: у редакторі керування правилами для груп це значення має назву
+«Дозволити локальний вхід» («Allow log on locally») та «Заборонити локальний
+вхід» («Deny log on locally»).
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
+типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
+замінити типову назву служби PAM для цього входу (наприклад, «login») з
+нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_interactive = +my_pam_service, -login
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: типовий набір назв служб PAM складається з таких значень:
+ <itemizedlist>
+ <listitem>
+ <para>
+ login
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su-l
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-fingerprint
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-password
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-smartcard
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ kdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ lightdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ lxdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sddm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ unity
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ xdm
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_remote_interactive (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, для яких оцінки для керування
+доступом на основі GPO виконуються на основі параметрів правил
+RemoteInteractiveLogonRight і
+DenyRemoteInteractiveLogonRight. Виконуватиметься оцінка лише тих GPO, до
+яких користувач має права доступу Read і Apply Group Policy (див. параметр
+<quote>ad_gpo_access_control</quote>). Якщо у якомусь із оброблених GPO
+міститься параметр заборони віддаленого входу до системи для користувача або
+однієї з його груп, користувачеві буде заборонено віддалений інтерактивний
+доступ. Якщо для жодного із оброблених GPO немає визначеного права на
+віддалений вхід до системи, користувачеві буде надано віддалений
+доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на
+віддалений вхід до системи, користувачеві буде надано лише віддалений
+доступ, якщо він або принаймні одна з його груп є частиною параметрів
+правила.
+ </para>
+ <para>
+ Зауваження: у редакторі керування правилами щодо груп це значення
+називається «Дозволити вхід за допомогою служб віддаленої стільниці» («Allow
+log on through Remote Desktop Services») та «Заборонити вхід за допомогою
+служб віддаленої стільниці» («Deny log on through Remote Desktop Services»).
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
+типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
+замінити типову назву служби PAM для цього входу (наприклад, «sshd») з
+нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_remote_interactive = +my_pam_service, -sshd
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: типовий набір назв служб PAM складається з таких значень:
+ <itemizedlist>
+ <listitem>
+ <para>
+ sshd
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ cockpit
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_network (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, для яких оцінки для керування
+доступом на основі GPO виконуються на основі параметрів правил
+NetworkLogonRight і DenyNetworkLogonRight. Виконуватиметься оцінка лише тих
+GPO, до яких користувач має права доступу Read і Apply Group Policy
+(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із
+оброблених GPO міститься параметр заборони входу до системи за допомогою
+мережі для користувача або однієї з його груп, користувачеві буде заборонено
+локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права
+на вхід до системи за допомогою мережі, користувачеві буде надано доступ до
+входу. Якщо хоча б одному зі оброблених GPO містяться параметри прав на вхід
+до системи за допомогою мережі, користувачеві буде надано лише доступ до
+входу до системи, якщо він або принаймні одна з його груп є частиною
+параметрів правила.
+ </para>
+ <para>
+ Зауваження: у редакторі керування правилами щодо груп це значення
+називається «Відкрити доступ до цього комп’ютера із мережі» («Access this
+computer from the network») і «Заборонити доступ до цього комп’ютера із
+мережі» (Deny access to this computer from the network»).
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
+типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
+замінити типову назву служби PAM для цього входу (наприклад, «ftp») з
+нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_network = +my_pam_service, -ftp
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: типовий набір назв служб PAM складається з таких значень:
+ <itemizedlist>
+ <listitem>
+ <para>
+ ftp
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ samba
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_batch (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, для яких оцінки для керування
+доступом на основі GPO виконуються на основі параметрів правил
+BatchLogonRight і DenyBatchLogonRight. Виконуватиметься оцінка лише тих GPO,
+до яких користувач має права доступу Read і Apply Group Policy
+(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із
+оброблених GPO міститься параметр заборони пакетного входу до системи для
+користувача або однієї з його груп, користувачеві буде заборонено доступ до
+пакетного входу до системи. Якщо для жодного із оброблених GPO немає
+визначеного права на пакетний вхід до системи, користувачеві буде надано
+доступ до входу до системи. Якщо хоча б одному зі оброблених GPO містяться
+параметри прав на пакетний вхід до системи, користувачеві буде надано лише
+доступ до входу до системи, якщо він або принаймні одна з його груп є
+частиною параметрів правила.
+ </para>
+ <para>
+ Зауваження: у редакторі керування правилами щодо груп це значення
+називається «Дозволити вхід як пакетне завдання» («Allow log on as a batch
+job») і «Заборонити вхід як пакетне завдання» («Deny log on as a batch
+job»).
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
+типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
+замінити типову назву служби PAM для цього входу (наприклад, «crond») з
+нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_batch = +my_pam_service, -crond
+ </programlisting>
+ </para>
+ <para>Зауваження: назва служби cron у різних дистрибутивах Linux може бути різною.</para>
+ <para>
+ Типове значення: типовий набір назв служб PAM складається з таких значень:
+ <itemizedlist>
+ <listitem>
+ <para>
+ crond
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_service (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, для яких оцінки для керування
+доступом на основі GPO виконуються на основі параметрів правил
+ServiceLogonRight і DenyServiceLogonRight. Виконуватиметься оцінка лише тих
+GPO, до яких користувач має права доступу Read і Apply Group Policy
+(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із
+оброблених GPO міститься параметр заборони входу до системи за допомогою
+служб для користувача або однієї з його груп, користувачеві буде заборонено
+вхід до системи за допомогою служб. Якщо для жодного із оброблених GPO немає
+визначеного права на вхід до системи за допомогою служб, користувачеві буде
+надано доступ до входу до системи. Якщо хоча б одному зі оброблених GPO
+містяться параметри прав на вхід до системи за допомогою служб,
+користувачеві буде надано лише доступ до входу до системи, якщо він або
+принаймні одна з його груп є частиною параметрів правила.
+ </para>
+ <para>
+ Зауваження: у редакторі керування правилами щодо груп це значення
+називається «Дозволити вхід як службу» («Allow log on as a service») і
+«Заборонити вхід як службу» («Deny log on as a service»).
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби
+з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати
+нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_service = +my_pam_service
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: not set
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_permit (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, яким завжди надається доступ на
+основі GPO, незалежно від будь-яких прав входу GPO.
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
+типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
+замінити типову назву служби PAM для безумовного дозволеного доступу
+(наприклад, «sudo») з нетиповою назвою служби pam (наприклад,
+«my_pam_service»), вам слід скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_permit = +my_pam_service, -sudo
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: типовий набір назв служб PAM складається з таких значень:
+ <itemizedlist>
+ <listitem>
+ <para>
+ polkit-1
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo-i
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ systemd-user
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_map_deny (рядок)</term>
+ <listitem>
+ <para>
+ Список назв служб PAM, відокремлених комами, яким завжди заборонено доступ
+на основі GPO, незалежно від будь-яких прав входу GPO.
+ </para>
+ <para>
+ Можна додати іншу назву служби PAM до типового набору за допомогою
+конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби
+з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати
+нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід
+скористатися такими налаштуваннями: <programlisting>
+ad_gpo_map_deny = +my_pam_service
+ </programlisting>
+ </para>
+ <para>
+ Типове значення: not set
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_gpo_default_right (рядок)</term>
+ <listitem>
+ <para>
+ За допомогою цього параметра визначається спосіб керування доступом для назв
+служб PAM, які не вказано явним чином у одному з параметрів
+ad_gpo_map_*. Цей параметр може бути встановлено у два різних
+способи. По-перше, цей параметр можна встановити так, що
+використовуватиметься типовий вхід. Наприклад, якщо для цього параметра
+встановлено значення «interactive», непов’язані назви служб PAM
+оброблятимуться на основі параметрів правил InteractiveLogonRight і
+DenyInteractiveLogonRight. Крім того, для цього параметра можна встановити
+таке значення, щоб система завжди дозволяла або забороняла доступ для
+непов’язаних назв служб PAM.
+ </para>
+ <para>
+ Передбачені значення для цього параметра:
+ <itemizedlist>
+ <listitem>
+ <para>
+ interactive
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ remote_interactive
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ network
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ batch
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ service
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ permit
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ deny
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Типове значення: deny
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_maximum_machine_account_password_age (ціле число)</term>
+ <listitem>
+ <para>
+ SSSD перевірятиме раз на день, чи має пароль до облікового запису комп'ютера
+вік, який перевищує заданий вік у днях, і намагатиметься оновити
+його. Значення 0 вимкне спроби оновлення.
+ </para>
+ <para>
+ Типове значення: 30 днів
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_machine_account_password_renewal_opts (рядок)</term>
+ <listitem>
+ <para>
+ Цей параметр має використовуватися лише для перевірки завдання із оновлення
+облікових записів комп'ютерів. Параметру слід передати цілих числа,
+відокремлених двокрапкою («:»). Перше ціле число визначає інтервал у
+секундах між послідовними повторними виконаннями завдання з оновлення. Друге
+— визначає початковий час очікування на перший запуск завдання.
+ </para>
+ <para>
+ Типове значення: 86400:750 (24 годин і 15 хвилин)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_update_samba_machine_account_password (булеве значення)</term>
+ <listitem>
+ <para>
+ Якщо увімкнено, при оновленні SSSD пароля до облікового запису комп'ютера
+програма також оновить запис пароля у базі даних Samba. Таким чином буде
+забезпечено актуальність копії пароля до облікового запису у Samba, якщо її
+налаштовано на використання AD для розпізнавання.
+ </para>
+ <para>
+ Типове значення: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_use_ldaps (булеве значення)</term>
+ <listitem>
+ <para>
+ Типово, у SSSD використовується звичайний порт LDAP 389 і порт Global
+Catalog 3628. Якщо для цього параметра встановлено значення True, SSSD
+використовуватиме порт LDAPS 636 і порт Global Catalog 3629 із захистом
+LDAPS. Оскільки AD забороняє використання декількох шарів шифрування для
+одного з'єднання, і нам усе ще потрібне використання SASL/GSSAPI або
+SASL/GSS-SPNEGO для розпізнавання, властивість захисту SASL maxssf для таких
+з'єднань буде встановлено у значення 0 (нуль).
+ </para>
+ <para>
+ Типове значення: False
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>ad_allow_remote_domain_local_groups (булеве значення)</term>
+ <listitem>
+ <para>
+ Якщо для цього параметра встановлено значення <quote>true</quote>, SSSD не
+відфільтровуватиме локальні для домену групи від віддалених доменів у лісі
+AD. Типово, групи буде відфільтровано, наприклад при слідуванні за вкладеною
+ієрархією груп у віддалених доменах, оскільки вони не є чинними у локальних
+доменах. Цей параметр було додано для сумісності із іншими рішеннями, які
+роблять користувачів і групи AD доступними у клієнті Linux.
+ </para>
+ <para>
+ Будь ласка, зауважте, що встановлення для цього параметра значення
+<quote>true</quote> суперечить призначенню локальної групи домену в Active
+Directory, <emphasis>НИМ СЛІД КОРИСТУВАТИСЯ ЛИШЕ ДЛЯ ПОЛЕГШЕННЯ МІГРАЦІЇ З
+ІНШИХ РІШЕНЬ</emphasis>. Хоча група існує і користувач може бути учасником
+групи, їх призначено для використання лише у визначеному для неї домену, а
+не в інших. Оскільки існує лише один тип груп POSIX, єдиним способом досягти
+цього з боку Linux є ігнорування цих груп. Зробити це можна також у Active
+Directory, як можна бачити у PAC квитка Kerberos для локальної служби, або у
+запитах tokenGroups, де також немає віддалених груп локальних доменів.
+ </para>
+ <para>
+ З огляду на наведені вище коментарі, якщо для цього параметра встановлено
+значення <quote>true</quote>, запит tokenGroups має бути вимкнено
+встановленням <quote>ldap_use_tokengroups</quote> у значення
+<quote>false</quote> для отримання узгодженого членства користувачів у
+групах. Крім того, пошук у загальному каталозі має бути пропущено
+встановленням для параметра <quote>ad_enable_gc</quote> значення
+<quote>false</quote>. Нарешті, можливо, слід внести зміни до
+<quote>ldap_group_nesting_level</quote>, якщо віддалені локальні групи
+домену може бути знайдено лише на глибшому рівні вкладеності.
+ </para>
+ <para>
+ Типове значення: False
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update (булеве значення)</term>
+ <listitem>
+ <para>
+ Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично
+оновити IP-адресу цього клієнта на сервері DNS Active Directory. Захист
+оновлення буде забезпечено за допомогою GSS-TSIG. Як наслідок,
+адміністраторові Active Directory достатньо буде дозволити оновлення безпеки
+для зони DNS. Для оновлення буде використано IP-адресу з’єднання LDAP AD,
+якщо цю адресу не було змінено за допомогою параметра «dyndns_iface».
+ </para>
+ <para>
+ ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у
+цьому режимі типову область дії Kerberos має бути належним чином визначено у
+/etc/krb5.conf
+ </para>
+ <para>
+ Типове значення: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_ttl (ціле число)</term>
+ <listitem>
+ <para>
+ TTL, до якого буде застосовано клієнтський запис DNS під час його
+оновлення. Якщо dyndns_update має значення false, цей параметр буде
+проігноровано. Перевизначає TTL на боці сервера, якщо встановлено
+адміністратором.
+ </para>
+ <para>
+ Типове значення: 3600 (секунд)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_iface (рядок)</term>
+ <listitem>
+ <para>
+ Необов'язковий. Застосовний, лише якщо dyndns_update має значення
+true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути
+використано для динамічних оновлень DNS. Спеціальне значення
+<quote>*</quote> означає, що слід використовувати IP-адреси з усіх
+інтерфейсів.
+ </para>
+ <para>
+ Типове значення: використовувати IP-адреси інтерфейсу, який використовується
+для з’єднання LDAP AD
+ </para>
+ <para>
+ Приклад: dyndns_iface = em1, vnet1, vnet2
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_refresh_interval (ціле число)</term>
+ <listitem>
+ <para>
+ Визначає, наскільки часто серверний модуль має виконувати періодичні
+оновлення DNS на додачу до автоматичного оновлення, яке виконується під час
+кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не
+є обов’язкоми, його застосовують, лише якщо dyndns_update має значення
+true. Зауважте, що найменшим можливим значенням є 60 секунд. Якщо буде
+вказано значення, яке є меншим за 60, використовуватиметься найменше можливе
+значення.
+ </para>
+ <para>
+ Типове значення: 86400 (24 години)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update_ptr (булеве значення)</term>
+ <listitem>
+ <para>
+ Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів
+DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true.
+ </para>
+ <para>
+ Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not
+apply for PTR record updates. Those updates are always sent separately.
+ </para>
+ <para>
+ Типове значення: True
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_force_tcp (булеве значення)</term>
+ <listitem>
+ <para>
+ Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну
+даними з сервером DNS.
+ </para>
+ <para>
+ Типове значення: False (надати змогу nsupdate вибирати протокол)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_auth (рядок)</term>
+ <listitem>
+ <para>
+ Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання
+GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені
+оновлення можна надсилати встановленням для цього параметра значення «none».
+ </para>
+ <para>
+ Типове значення: GSS-TSIG
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_auth_ptr (рядок)</term>
+ <listitem>
+ <para>
+ Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання
+GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені
+оновлення можна надсилати встановленням для цього параметра значення «none».
+ </para>
+ <para>
+ Типове значення: те саме, що і dyndns_auth
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_server (рядок)</term>
+ <listitem>
+ <para>
+ Сервер DNS, який слід використовувати для виконання оновлення DNS. У
+більшості конфігурацій рекомендуємо не встановлювати значення для цього
+параметра.
+ </para>
+ <para>
+ Встановлення значення для цього параметра потрібне для середовищ, де сервер
+DNS відрізняється від сервера профілів.
+ </para>
+ <para>
+ Будь ласка, зауважте, що цей параметр буде використано лише для резервних
+спроб, якщо попередні спроби із використанням автовиявлення завершаться
+невдало.
+ </para>
+ <para>
+ Типове значення: немає (надати nsupdate змогу вибирати сервер)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dyndns_update_per_family (булеве значення)</term>
+ <listitem>
+ <para>
+ Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім
+оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один
+крок.
+ </para>
+ <para>
+ Типове значення: true
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
+
+ <varlistentry>
+ <term>krb5_confd_path (рядок)</term>
+ <listitem>
+ <para>
+ Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти
+налаштувань Kerberos.
+ </para>
+ <para>
+ Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра
+значення «none».
+ </para>
+ <para>
+ Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf
+SSSD)
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </refsect1>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" />
+
+ <refsect1 id='example'>
+ <title>ПРИКЛАД</title>
+ <para>
+ У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином,
+а example.com є одним з доменів у розділі
+<replaceable>[sssd]</replaceable>. У прикладі продемонстровано лише
+параметри доступу, специфічні для засобу AD.
+ </para>
+ <para>
+<programlisting>
+[domain/EXAMPLE]
+id_provider = ad
+auth_provider = ad
+access_provider = ad
+chpass_provider = ad
+
+ad_server = dc1.example.com
+ad_hostname = client.example.com
+ad_domain = example.com
+</programlisting>
+ </para>
+ </refsect1>
+
+ <refsect1 id='notes'>
+ <title>ЗАУВАЖЕННЯ</title>
+ <para>
+ Інструмент керування доступом AD перевіряє, чи не завершено строк дії
+облікового запису. Дає той самий результат, що і ось таке налаштовування
+інструмента надання даних LDAP: <programlisting>
+access_provider = ldap
+ldap_access_order = expire
+ldap_account_expire_policy = ad
+</programlisting>
+ </para>
+ <para>
+ Втім, якщо явно не налаштовано засіб надання доступу «ad», типовим засобом
+надання доступу буде «permit». Будь ласка, зауважте, що якщо вами
+налаштовано засіб надання доступу, відмінний від «ad», вам доведеться
+встановлювати усі параметри з’єднання (зокрема адреси LDAP та параметри
+шифрування) вручну.
+ </para>
+ <para>
+ Якщо для засобу надання даних autofs встановлено значення <quote>ad</quote>,
+використовується схема прив'язки атрибутів RFC2307 (nisMap, nisObject, ...),
+оскільки ці атрибути включено до типової схеми Active Directory.
+ </para>
+ <para>
+ </para>
+ </refsect1>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
+
+</refentry>
+</reference>