diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
| commit | 74aa0bc6779af38018a03fd2cf4419fe85917904 (patch) | |
| tree | 9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/uk | |
| parent | Initial commit. (diff) | |
| download | sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip | |
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to '')
47 files changed, 15982 insertions, 0 deletions
diff --git a/src/man/uk/idmap_sss.8.xml b/src/man/uk/idmap_sss.8.xml new file mode 100644 index 0000000..19933e7 --- /dev/null +++ b/src/man/uk/idmap_sss.8.xml @@ -0,0 +1,76 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>idmap_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>idmap_sss</refname> + <refpurpose>Модуль idmap_sss SSSD для Winbind</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + Модуль idmap_sss надає змогу викликати SSSD для прив'язки UID/GID і SID. У +цьому випадку база даних не потрібна, оскільки прив'язка виконується +засобами SSSD. + </para> + </refsect1> + + <refsect1> + <title>ПАРАМЕТРИ IDMAP</title> + + <variablelist> + <varlistentry> + <term>діапазон = нижче - вище</term> + <listitem><para> + Визначає доступний для обробки модулем діапазон відповідності UID і GID. + </para></listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>ПРИКЛАДИ</title> + <para> + У цьому прикладі продемонстровано налаштовування idmap_sss як типового +модуля прив'язки. + </para> + + <programlisting format="linespecific"> +[global] +security = ads +workgroup = <AD-DOMAIN-SHORTNAME> + +idmap config <AD-DOMAIN-SHORTNAME> : backend = sss +idmap config <AD-DOMAIN-SHORTNAME> : range = 200000-2147483647 + +idmap config * : backend = tdb +idmap config * : range = 100000-199999 + </programlisting> + + <para> + Будь ласка, замініть <AD-DOMAIN-SHORTNAME> на назву домену у NetBIOS +домену AD. Якщо має бути використано декілька доменів AD, для кожного домену +потрібен рядок <literal>idmap config</literal> із <literal>backend = +sss</literal> і рядок із відповідним <literal>range</literal>. + </para> + <para> + Оскільки для Winbind потрібен придатний до запису типовий модуль, а +idmap_sss є придатним лише для читання, до прикладу включено як типовий +модуль <literal>backend = tdb</literal>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/include/ad_modified_defaults.xml b/src/man/uk/include/ad_modified_defaults.xml new file mode 100644 index 0000000..de1745d --- /dev/null +++ b/src/man/uk/include/ad_modified_defaults.xml @@ -0,0 +1,106 @@ +<refsect1 id='modified-default-options'> + <title>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</title> + <para> + Деякі типові значення параметрів не збігаються із типовими значеннями +параметрів засобу надання даних. Із назвами відповідних параметрів та +специфічні для засобу надання даних AD значення цих параметрів можна +ознайомитися за допомогою наведеного нижче списку: + </para> + <refsect2 id='krb5_modifications'> + <title>Модуль надання даних KRB5</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>Модуль надання даних LDAP</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@ОБЛАСТЬ (типово SHORTNAME$@ОБЛАСТЬ) + </para> + <para> + Засіб надання даних AD типово шукає інші реєстраційні записи, ніж засіб +надання даних LDAP, оскільки у середовищі Active Directory реєстраційні +записи поділено на дві групи — реєстраційні записи користувачів і +реєстраційні записи служб. Для отримання TGT типово може бути використано +лише реєстраційний запис користувача, реєстраційні записи об'єктів +комп'ютерів будуються на основі sAMAccountName та області AD. Широко відомий +реєстраційний запис host/hostname@REALM є реєстраційним записом служби, отже +не може бути використаний для отримання TGT. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>Налаштування NSS</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + Засіб надання даних AD автоматично встановлює «fallback_homedir = +/home/%d/%u» для надання особистих домашніх каталогів для записів +користувачів без атрибута homeDirectory. Якщо ваш домен AD належним чином +заповнено щодо атрибутів Posix і ви хочете уникнути такої резервної +поведінки, ви можете явним чином вказати «fallback_homedir = %o». + </para> + <para> + Зауважте, що система типово очікує перебування домашнього каталогу у теці +/home/%u. Якщо ви вирішите скористатися іншою структурою каталогів, +коригування потребуватимуть деякі інші частини вашої системи. + </para> + <para> + Наприклад, автоматичне створення домашніх каталогів у поєднанні із selinux +потребує коригування параметрів selinux, інакше домашній каталог буде +створено у помилковому контексті selinux. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/uk/include/autofs_attributes.xml b/src/man/uk/include/autofs_attributes.xml new file mode 100644 index 0000000..cc6cc33 --- /dev/null +++ b/src/man/uk/include/autofs_attributes.xml @@ -0,0 +1,69 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису карти автоматичного монтування у LDAP. + </para> + <para> + Типове значення: nisMap (rfc2307, autofs_provider=ad), у інших випадках +automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (рядок)</term> + <listitem> + <para> + Назва запису карти автоматичного монтування у LDAP. + </para> + <para> + Типове значення: nisMapName (rfc2307, autofs_provider=ad), у інших випадках +automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (рядок)</term> + <listitem> + <para> + Клас об'єктів автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + </para> + <para> + Типове значення: nisObject (rfc2307, autofs_provider=ad), у інших випадках +automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (рядок)</term> + <listitem> + <para> + Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + </para> + <para> + Типове значення: cn (rfc2307, autofs_provider=ad), у інших випадках +automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (рядок)</term> + <listitem> + <para> + Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + </para> + <para> + Типове значення: nisMapEntry (rfc2307, autofs_provider=ad), у інших випадках +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/uk/include/autofs_restart.xml b/src/man/uk/include/autofs_restart.xml new file mode 100644 index 0000000..e941c4b --- /dev/null +++ b/src/man/uk/include/autofs_restart.xml @@ -0,0 +1,6 @@ +<para> + Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту +лише під час запуску, отже якщо до ssd.conf внесено будь-які пов’язані з +autofs зміни, типово слід перезапустити фонову службу автоматичного +монтування після перезапуску SSSD. +</para> diff --git a/src/man/uk/include/debug_levels.xml b/src/man/uk/include/debug_levels.xml new file mode 100644 index 0000000..26264f6 --- /dev/null +++ b/src/man/uk/include/debug_levels.xml @@ -0,0 +1,104 @@ +<listitem> + <para> + У SSSD передбачено два представлення для визначення рівня +діагностики. Найпростішим є визначення десяткового значення у діапазоні +0-9. Кожному значенню відповідає вмикання відповідного рівня діагностики і +усіх нижчих рівнів. Точніше визначення вмикання або вимикання (якщо це +потрібно) специфічних рівнів можна встановити за допомогою шістнадцяткової +бітової маски. + </para> + <para> + Будь ласка, зауважте, що кожна служба SSSD веде журнал у власному +файлі. Також зауважте, що вмикання <quote>debug_level</quote> у розділі +<quote>[sssd]</quote> вмикає діагностику лише для самого процесу sssd, а не +для процесів відповідача чи надавача даних. Для отримання діагностичних +повідомлень слід додати параметр «debug_level» до усіх розділів, для яких +слід створювати журнал діагностичних повідомлень. + </para> + <para> + Окрім зміни рівня ведення журналу у файлі налаштувань за допомогою параметра +«debug_level», який не змінюється під час роботи, але зміна якого потребує +перезапуску SSSD, можна змінити режим діагностики без перезапуску за +допомогою програми <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. + </para> + <para> + Рівні діагностики, передбачені у поточній версії: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: критичні помилки з +аварійним завершенням роботи. Всі помилки, які не дають SSSD змоги розпочати +або продовжувати роботу. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: критичні +помилки. Помилки, які не призводять до аварійного завершення роботи SSSD, +але означають, що одна з основних можливостей не працює належним чином. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: серйозні +помилки. Повідомлення про такі помилки означають, що не вдалося виконати +певний запит або дію. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: незначні помилки. Це +помилки які можуть призвести до помилок під час виконання дій. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: параметри налаштування. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: дані функцій. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: повідомлення трасування +для функцій дій. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: повідомлення трасування +для функцій внутрішнього трасування. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: вміст внутрішніх +змінних функцій, який може бути цікавим. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: дані трасування +найнижчого рівня. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x20000</emphasis>: швидкодія і +статистичні дані; будь ласка, зауважте, що через спосіб, у яких програма +обробляє запити на внутрішньому рівні записаний до журналу час виконання +запиту може бути довшим за справжній. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: ще докладніші дані +трасування libldb низького рівня. Навряд чи коли знадобляться. + </para> + <para> + Щоб до журналу було записано дані потрібних бітових масок рівнів +діагностики, просто додайте відповідні числа, як це показано у наведених +нижче прикладах: + </para> + <para> + <emphasis>Example</emphasis>: щоб до журналу було записано дані щодо +критичних помилок з аварійним завершенням роботи, критичних помилок, +серйозних помилок та дані функцій, скористайтеся рівнем діагностики 0x0270. + </para> + <para> + <emphasis>Приклад</emphasis>: щоб до журналу було записано критичні помилки +з аварійним завершенням роботи, параметри налаштування, дані функцій та +повідомлення трасування для функцій внутрішнього керування, скористайтеся +рівнем 0x1310. + </para> + <para> + <emphasis>Зауваження</emphasis>: формат бітових масок для рівнів діагностики +впроваджено у версії 1.7.0. + </para> + <para> + <emphasis>Типове значення</emphasis>: 0x0070 (тобто фатальні, критичні та +серйозні помилки; відповідає встановленню значення 2 у десятковому записі) + </para> +</listitem> diff --git a/src/man/uk/include/debug_levels_tools.xml b/src/man/uk/include/debug_levels_tools.xml new file mode 100644 index 0000000..296615b --- /dev/null +++ b/src/man/uk/include/debug_levels_tools.xml @@ -0,0 +1,82 @@ +<listitem> + <para> + У SSSD передбачено два представлення для визначення рівня +діагностики. Найпростішим є визначення десяткового значення у діапазоні +0-9. Кожному значенню відповідає вмикання відповідного рівня діагностики і +усіх нижчих рівнів. Точніше визначення вмикання або вимикання (якщо це +потрібно) специфічних рівнів можна встановити за допомогою шістнадцяткової +бітової маски. + </para> + <para> + Рівні діагностики, передбачені у поточній версії: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: критичні помилки з +аварійним завершенням роботи. Всі помилки, які не дають SSSD змоги розпочати +або продовжувати роботу. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: критичні +помилки. Помилки, які не призводять до аварійного завершення роботи SSSD, +але означають, що одна з основних можливостей не працює належним чином. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: серйозні +помилки. Повідомлення про такі помилки означають, що не вдалося виконати +певний запит або дію. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: незначні помилки. Це +помилки які можуть призвести до помилок під час виконання дій. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: параметри налаштування. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: дані функцій. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: повідомлення трасування +для функцій дій. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: повідомлення трасування +для функцій внутрішнього трасування. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: вміст внутрішніх +змінних функцій, який може бути цікавим. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: дані трасування +найнижчого рівня. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: ще докладніші дані +трасування libldb низького рівня. Навряд чи коли знадобляться. + </para> + <para> + Щоб до журналу було записано дані потрібних бітових масок рівнів +діагностики, просто додайте відповідні числа, як це показано у наведених +нижче прикладах: + </para> + <para> + <emphasis>Example</emphasis>: щоб до журналу було записано дані щодо +критичних помилок з аварійним завершенням роботи, критичних помилок, +серйозних помилок та дані функцій, скористайтеся рівнем діагностики 0x0270. + </para> + <para> + <emphasis>Приклад</emphasis>: щоб до журналу було записано критичні помилки +з аварійним завершенням роботи, параметри налаштування, дані функцій та +повідомлення трасування для функцій внутрішнього керування, скористайтеся +рівнем 0x1310. + </para> + <para> + <emphasis>Зауваження</emphasis>: формат бітових масок для рівнів діагностики +впроваджено у версії 1.7.0. + </para> + <para> + <emphasis>Типове значення</emphasis>: 0x0070 (тобто фатальні, критичні та +серйозні помилки; відповідає встановленню значення 2 у десятковому записі) + </para> +</listitem> diff --git a/src/man/uk/include/failover.xml b/src/man/uk/include/failover.xml new file mode 100644 index 0000000..fa2bab5 --- /dev/null +++ b/src/man/uk/include/failover.xml @@ -0,0 +1,129 @@ +<refsect1 id='failover'> + <title>РЕЗЕРВ</title> + <para> + Можливість резервування надає змогу модулям обробки автоматично перемикатися +на інші сервери, якщо спроба встановлення з’єднання з поточним сервером +зазнає невдачі. + </para> + <refsect2 id='failover_syntax'> + <title>Синтаксичні конструкції визначення резервного сервера</title> + <para> + Список записів серверів, відокремлених комами. Між комами можна +використовувати довільну кількість пробілів. Порядок у списку визначає +пріоритет. У списку може бути будь-яка кількість записів серверів. + </para> + <para> + Для кожного з параметрів налаштування з увімкненим резервним отриманням +існує два варіанти: <emphasis>основний</emphasis> і +<emphasis>резервний</emphasis>. Ідея полягає у тому, що сервери з основного +списку мають вищий пріоритет за резервні сервери, пошук же на резервних +серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних +серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування +у 31 секунду. Після завершення часу очікування SSSD періодично +намагатиметься повторно встановити з’єднання з основними серверами. Якщо +спроба буде успішною, поточний активний резервний сервер буде замінено на +основний. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>Механізм визначення резервного сервера</title> + <para> + Механізмом резервного використання розрізняються окремі комп’ютери і +служби. Спочатку модуль намагається визначити назву вузла вказаного +комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься +від’єднаним від мережі. Подальших спроб встановити з’єднання з цим +комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати +визначення, модуль зробити спробу встановити з’єднання зі службою на +визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до +успіху, непрацездатною вважатиметься лише служба, модуль автоматично +перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з +мережею, можливі подальші спроби використання інших служб. + </para> + <para> + Подальші спроби встановлення з’єднання з комп’ютерами або службами, +позначеними як такі, що перебувають поза мережею, буде виконано за певний +проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 +секундам. + </para> + <para> + Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим +автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Час очікування на перемикання на резервний ресурс та точне налаштовування</title> + <para> + Для визначення сервера для з'єднання достатньо одного запиту DNS або +декількох кроків, зокрема визначення відповідного сайта або спроба +використати декілька назв вузлів у випадку, якщо якісь із налаштованих +серверів недоступні. Складніші сценарії можуть потребувати додаткового часу, +а SSSD треба збалансувати надання достатнього часу для завершення процесу +визначення і використання притомного часу на виконання цього запиту перед +переходом до автономного режиму. Якщо діагностичний журнал SSSD показує, що +під час визначення сервера перевищено час очікування на з'єднання із +працездатним сервером, варто змінити значення параметрів часу очікування. + </para> + <para> + У цьому розділі наведено списки доступних для коригування параметрів. Будь +ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника +<citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Час у мілісекундах, протягом якого SSSD має намагатися обмінятися даними із +окремим сервером DNS, перш ніж перейти до спроб зв'язатися із наступним. + </para> + <para> + Типове значення: 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Час у секундах, який визначає тривалість періоду, протягом якого SSSD +намагатиметься обробити окремий запит DNS (наприклад встановити назву вузла +або запис SRV), перш ніж перейти до наступної назви вузла або наступного +домену пошуку. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + Наскільки довго має чекати SSSD на визначення резервної служби надання +даних. На внутрішньому рівні визначення такої служби може включати декілька +кроків, зокрема визначення адрес запитів DNS SRV або пошук розташування +сайта. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для заснованих на LDAP постачальників даних дія з визначення виконується як +частина дії зі встановлення з'єднання із LDAP. Тому слід також встановити +для часу очікування <quote>ldap_opt_timeout</quote> значення, яке +перевищуватиме значення <quote>dns_resolver_timeout</quote>, яке також має +перевищувати значення <quote>dns_resolver_op_timeout</quote>, яке має +перевищувати значення <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/uk/include/homedir_substring.xml b/src/man/uk/include/homedir_substring.xml new file mode 100644 index 0000000..d8238bc --- /dev/null +++ b/src/man/uk/include/homedir_substring.xml @@ -0,0 +1,18 @@ +<varlistentry> + <term>homedir_substring (рядок)</term> + <listitem> + <para> + Значення цього параметра буде використано під час розгортання параметра +<emphasis>override_homedir</emphasis>, якщо у шаблоні міститься рядок +форматування <emphasis>%H</emphasis>. Запис каталогу LDAP може безпосередньо +містити цей шаблон для розгортання шляху до домашнього каталогу на кожному з +клієнтських комп’ютерів (або у кожній з операційних систем). Значення +параметра можна вказати окремо для кожного з доменів або на загальному рівні +у розділі [nss]. Значення, вказане у розділі домену, має вищий пріоритет за +значення, встановлене за допомогою розділу [nss]. + </para> + <para> + Типове значення: /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/uk/include/ipa_modified_defaults.xml b/src/man/uk/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..8f8f904 --- /dev/null +++ b/src/man/uk/include/ipa_modified_defaults.xml @@ -0,0 +1,124 @@ +<refsect1 id='modified-default-options'> + <title>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</title> + <para> + Деякі типові значення параметрів не збігаються із типовими значеннями +параметрів засобу надання даних. Із назвами відповідних параметрів та +специфічні для засобу надання даних IPA значення цих параметрів можна +ознайомитися за допомогою наведеного нижче списку: + </para> + <refsect2 id='krb5_modifications'> + <title>Модуль надання даних KRB5</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>Модуль надання даних LDAP — Загальне</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>Модуль надання даних LDAP — Параметри користувачів</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>Модуль надання даних LDAP — Параметри груп</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/uk/include/krb5_options.xml b/src/man/uk/include/krb5_options.xml new file mode 100644 index 0000000..0075582 --- /dev/null +++ b/src/man/uk/include/krb5_options.xml @@ -0,0 +1,164 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (ціле число)</term> + <listitem> + <para> + Час очікування, по завершенню якого буде перервано запит щодо розпізнавання +або зміни пароля у мережі. Якщо це можливо, обробку запиту щодо +розпізнавання буде продовжено у автономному режимі. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (булеве значення)</term> + <listitem> + <para> + Перевірити за допомогою krb5_keytab, чи отриманий TGT не було +підмінено. Перевірка записів у таблиці ключів виконується послідовно. Для +перевірки використовується перший запис з відповідним значенням +області. Якщо не буде знайдено жодного відповідного області запису, буде +використано останній запис з таблиці ключів. Цим процесом можна скористатися +для перевірки середовищ за допомогою зв’язків довіри між записами областей: +достатньо розташувати відповідний запис таблиці ключів на останньому місці +або зробити його єдиним записом у файлі таблиці ключів. + </para> + <para> + Типове значення: false (надається IPA та AD: true) + </para> + <para> + Будь ласка, зауважте, що перевірка квитка є першим кроком при перевірці PAC +(див. «pac_check» на сторінці підручника щодо <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб дізнатися більше). Якщо перевірку квитків вимкнено, +також буде вимкнено і перевірки PAC. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (рядок)</term> + <listitem> + <para> + Надіслати запит щодо поновлюваного квитка з загальним строком дії, вказаним +за допомогою цілого числа, за яким одразу вказано одиницю часу: + </para> + <para> + <emphasis>s</emphasis> — секунди + </para> + <para> + <emphasis>m</emphasis> — хвилини + </para> + <para> + <emphasis>h</emphasis> — години + </para> + <para> + <emphasis>d</emphasis> — дні. + </para> + <para> + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +<emphasis>s</emphasis>. + </para> + <para> + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + </para> + <para> + Типове значення: не встановлено, тобто TGT не є оновлюваним + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (рядок)</term> + <listitem> + <para> + Надіслати запит щодо квитка з загальним строком дії, вказаним за допомогою +цілого числа, за яким одразу вказано одиницю часу: + </para> + <para> + <emphasis>s</emphasis> — секунди + </para> + <para> + <emphasis>m</emphasis> — хвилини + </para> + <para> + <emphasis>h</emphasis> — години + </para> + <para> + <emphasis>d</emphasis> — дні. + </para> + <para> + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +<emphasis>s</emphasis>. + </para> + <para> + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + </para> + <para> + Типове значення: не встановлено, тобто типовий строк дії квитка +визначатиметься у налаштуваннях KDC. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (рядок)</term> + <listitem> + <para> + Час у секундах між двома послідовними перевірками того, чи слід оновлювати +записи TGT. Записи TGT оновлюються після завершення приблизно половини +їхнього строку дії, що задається як ціле число з наступним позначенням +одиниці часу: + </para> + <para> + <emphasis>s</emphasis> — секунди + </para> + <para> + <emphasis>m</emphasis> — хвилини + </para> + <para> + <emphasis>h</emphasis> — години + </para> + <para> + <emphasis>d</emphasis> — дні. + </para> + <para> + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +<emphasis>s</emphasis>. + </para> + <para> + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + </para> + <para> + Якщо значення для цього параметра встановлено не буде або буде встановлено +значення 0, автоматичного оновлення не відбуватиметься. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід перетворювати реєстраційний запис вузла і користувача у +канонічну форму. Цю можливість передбачено з версії MIT Kerberos 1.7. + </para> + + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/uk/include/ldap_id_mapping.xml b/src/man/uk/include/ldap_id_mapping.xml new file mode 100644 index 0000000..5fb3523 --- /dev/null +++ b/src/man/uk/include/ldap_id_mapping.xml @@ -0,0 +1,297 @@ +<refsect1 id='idmap'> + <title>ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ</title> + <para> + Можливість встановлення відповідності ідентифікаторів надає SSSD змогу +працювати у режимі клієнта Active Directory без потреби для адміністраторів +розширювати атрибути користувача з метою підтримки атрибутів POSIX для +ідентифікаторів користувачів та груп. + </para> + <para> + Зауваження: якщо увімкнено встановлення відповідності ідентифікаторів, +атрибути uidNumber та gidNumber буде проігноровано. Так зроблено з метою +уникання конфліктів між автоматично визначеними та визначеними вручну +значеннями. Якщо вам потрібно призначити певні значення вручну, вручну +доведеться призначати ВСІ значення. + </para> + <para> + Будь ласка, зауважте, що зміна параметрів налаштувань, пов’язаних із +встановленням відповідності ідентифікаторів, призведе до зміни +ідентифікаторів користувачів і груп. У поточній версії SSSD зміни +ідентифікаторів не передбачено, отже, вам доведеться вилучити базу даних +SSSD. Оскільки кешовані паролі також зберігаються у базі даних, вилучення +бази даних слід виконувати, лише якщо сервери розпізнавання є доступними, +інакше користувачі не зможуть отримати потрібного їм доступу. З метою +кешування паролів слід виконати сеанс розпізнавання. Для вилучення бази +даних недостатньо використання команди <citerefentry> +<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, процедура має складатися з декількох кроків: + <itemizedlist> + <listitem> + <para> + Переконуємося, що віддалені сервери є доступними. + </para> + </listitem> + <listitem> + <para> + Зупиняємо роботу служби SSSD + </para> + </listitem> + <listitem> + <para> + Вилучаємо базу даних + </para> + </listitem> + <listitem> + <para> + Запускаємо службу SSSD + </para> + </listitem> + </itemizedlist> + Крім того, оскільки зміна ідентифікаторів може потребувати коригування інших +властивостей системи, зокрема прав власності на файли і каталоги, варто +спланувати усе наперед і ретельно перевірити налаштування встановлення +відповідності ідентифікаторів. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Алгоритм встановлення відповідності</title> + <para> + Active Directory надає значення objectSID для всіх об’єктів користувачів і +груп у каталозі. Таке значення objectSID можна розбити на компоненти, які +відповідають профілю домену Active Directory та відносному ідентифікатору +(RID) об’єкта користувача або групи. + </para> + <para> + Алгоритмом встановлення відповідності ідентифікаторів SSSD передбачено поділ +діапазону доступних UID на розділи однакових розмірів, які називаються +«зрізами». Кожен зріз відповідає простору, доступному певному домену Active +Directory. + </para> + <para> + Коли SSSD вперше зустрічає запис користувача або групи певного домену, SSSD +віддає один з доступних зрізів під цей домен. З метою уможливлення +відтворення такого призначення зрізів на різних клієнтських системах, зріз +вибирається за таким алгоритмом: + </para> + <para> + Рядок SID передається алгоритмові murmurhash3 з метою перетворення його на +хешоване 32-бітове значення. Для вибору зрізу використовується ціла частина +від ділення цього значення на загальну кількість доступних зрізів. + </para> + <para> + Зауваження: за такого алгоритму можливі збіги за хешем та відповідною цілою +частиною від ділення. У разі виявлення таких збігів буде вибрано наступний +доступних зріз, але це може призвести до неможливості відтворити точно такий +самий набір зрізів на інших комп’ютерах (оскільки в такому разі на вибір +зрізів може вплинути порядок, у якому виконується обробка даних). Якщо ви +зіткнулися з подібною ситуацією, рекомендуємо вам або перейти на +використання явних атрибутів POSIX у Active Directory (вимкнути встановлення +відповідності ідентифікаторів) або налаштувати типовий домен з метою +гарантування того, що принаймні цей домен матиме еталонні дані. Докладніше +про це у розділі «Налаштування». + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Налаштування</title> + <para> + Мінімальне налаштовування (у розділі <quote>[domain/НАЗВА_ДОМЕНУ]</quote>): + </para> + <para> +<programlisting> +ldap_id_mapping = True +ldap_schema = ad +</programlisting> + </para> + <para> + За типових налаштувань буде створено 10000 зрізів, кожен з яких може містити +до 200000 ідентифікаторів, починаючи з 2000000 і аж до 2000200000. Цього має +вистачити для більшості розгорнутих середовищ. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Додаткові налаштування</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (ціле число)</term> + <listitem> + <para> + Визначає нижню (включну) межу діапазону ідентифікаторів POSIX, які слід +використовувати для встановлення відповідності SID користувачів і груп +Active Directory. Це перший ідентифікатор POSIX, яким можна скористатися для +прив'язки. + </para> + <para> + Зауваження: цей параметр відрізняється від <quote>min_id</quote> тим, що +<quote>min_id</quote> працює як фільтр відповідей на запити щодо цього +домену, а цей параметр керує діапазоном призначення ідентифікаторів. Ця +відмінність є мінімальною, але загалом варто визначати <quote>min_id</quote> +меншим або рівним <quote>ldap_idmap_range_min</quote> + </para> + <para> + Типове значення: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (ціле число)</term> + <listitem> + <para> + Визначає верхню (виключну) межу діапазону ідентифікаторів POSIX, які слід +використовувати для встановлення відповідності SID користувачів і груп +Active Directory. Це перший ідентифікатор POSIX, яким не можна скористатися +для прив'язки, тобто ідентифікатор, який на одиницю більший за останній, +яким можна скористатися для прив'язки. + </para> + <para> + Зауваження: цей параметр відрізняється від <quote>max_id</quote> тим, що +<quote>max_id</quote> працює як фільтр відповідей на запити щодо цього +домену, а цей параметр керує діапазоном призначення ідентифікаторів. Ця +відмінність є мінімальною, але загалом варто визначати <quote>max_id</quote> +більшим або рівним <quote>ldap_idmap_range_max</quote> + </para> + <para> + Типове значення: 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (ціле число)</term> + <listitem> + <para> + Визначає кількість ідентифікаторів доступних на кожному зі зрізів. Якщо +розмір діапазону не ділиться націло на мінімальне і максимальне значення, +буде створено якомога більше повних зрізів. + </para> + <para> + ЗАУВАЖЕННЯ: значення цього параметра має бути не меншим за значення +максимального запланованого до використання RID на сервері Active +Directory. Пошук даних та вхід для будь-яких користувачів з RID, що +перевищує це значення, буде неможливим. + </para> + <para> + Приклад: якщо найсвіжішим доданим користувачем Active Directory є користувач +з objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +«ldap_idmap_range_size» повинне мати значення, яке є не меншим за 1108, +оскільки розмір діапазону дорівнює максимальному SID мінус мінімальний SID +плюс 1. (Наприклад, 1108 = 1107 - 0 + 1). + </para> + <para> + Для майбутнього можливого розширення важливо все спланувати наперед, +оскільки зміна цього значення призведе до зміни усіх прив’язок +ідентифікаторів у системі, отже зміни попередніх локальних ідентифікаторів +користувачів. + </para> + <para> + Типове значення: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (рядок)</term> + <listitem> + <para> + Визначає SID типового домену. За допомогою цього параметра можна гарантувати +те, що цей домен буде завжди призначено до нульового зрізу у карті +ідентифікаторів без використання алгоритму murmurhash описаного вище. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (рядок)</term> + <listitem> + <para> + Вказати назву типового домену. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (булеве значення)</term> + <listitem> + <para> + Змінює поведінку алгоритму встановлення відповідності ідентифікаторів так, +щоб обчислення відбувалися за алгоритмом подібним до алгоритму +<quote>idmap_autorid</quote> winbind. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + Зауваження: цей алгоритм є недетерміністичним (залежить від порядку записів +користувачів та груп). Якщо з метою сумісності з системою, у якій запущено +winbind, буде використано цей алгоритм, варто також скористатися параметром +<quote>ldap_idmap_default_domain_sid</quote> з метою гарантування +послідовного призначення принаймні одного домену до нульового зрізу. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (ціле число)</term> + <listitem> + <para> + Максимальна кількість вторинних зрізів, яку можна використовувати під час +виконання прив'язки ідентифікатора UNIX до SID. + </para> + <para> + Зауваження: під час прив'язування SID до ідентифікатора UNIX може бути +створено додаткові вторинні зрізи, якщо частини RID SID перебувають поза +межами діапазону вже створених вторинних зрізів. Якщо значенням +ldap_idmap_helper_table_size буде 0, додаткові вторинні зрізи не +створюватимуться. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>Добре відомі SID</title> + <para> + У SSSD передбачено підтримку пошуку назв за добре відомими (Well-Known) SID, +тобто SID із особливим запрограмованим призначенням. Оскільки типові +користувачі і групи, пов’язані із цими добре відомими SID не мають +еквівалентів у середовищі Linux/UNIX, ідентифікаторів POSIX для цих об’єктів +немає. + </para> + <para> + Простір назв SID упорядковано службами сертифікації, які виглядають як інші +домени. Службами сертифікації для добре відомих (Well-Known) SID є + <itemizedlist> + <listitem><para>Фіктивна служба сертифікації (Null Authority)</para></listitem> + <listitem><para>Загальна служба сертифікації (World Authority)</para></listitem> + <listitem><para>Локальна служба сертифікації (Local Authority)</para></listitem> + <listitem><para>Авторська служба сертифікації (Creator Authority)</para></listitem> + <listitem><para>Обов'язкова служба сертифікації міток</para></listitem> + <listitem><para>Служба розпізнавання</para></listitem> + <listitem><para>Служба сертифікації NT (NT Authority)</para></listitem> + <listitem><para>Вбудована (Built-in)</para></listitem> + </itemizedlist> + Написані літерами верхнього регістру ці назви буде використано як назви +доменів для повернення повних назв добре відомих (Well-Known) SID. + </para> + <para> + Оскільки деякі з програм надають змогу змінювати дані щодо керування +доступом на основі SID за допомогою назви, а не безпосереднього +використання, у SSSD передбачено підтримку пошуку SID за назвою. Щоб +уникнути конфліктів, для пошуку добре відомих (Well-Known) SID приймаються +лише повні назви. Отже, не можна використовувати як назви доменів у +<filename>sssd.conf</filename> такі назви: «NULL AUTHORITY», «WORLD +AUTHORITY», «LOCAL AUTHORITY», «CREATOR AUTHORITY», «MANDATORY LABEL +AUTHORITY», «AUTHENTICATION AUTHORITY», «NT AUTHORITY» та «BUILTIN». + </para> + </refsect2> + +</refsect1> diff --git a/src/man/uk/include/ldap_search_bases.xml b/src/man/uk/include/ldap_search_bases.xml new file mode 100644 index 0000000..7261348 --- /dev/null +++ b/src/man/uk/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ +<listitem> + <para> + Додатковий основний DN, область пошуку і фільтр LDAP для обмеження пошуків +LDAP цим типом атрибутів. + </para> + <para> + синтаксис: <programlisting> +search_base[?scope?[filter][?search_base?scope?[filter]]*] +</programlisting> + </para> + <para> + Діапазоном може бути одне зі значень, «base» (основа), «onelevel» (окремий +рівень) або «subtree» (піддерево). Докладніший опис діапазонів наведено у +розділі 4.5.1.2 документа http://tools.ietf.org/html/rfc4511 + </para> + <para> + Фільтром має бути коректний запис фільтрування LDAP, відповідно до +специфікації http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Приклади використання цих синтаксичних конструкцій можна знайти у розділі +прикладів «ldap_search_base». + </para> + <para> + Типове значення: значення <emphasis>ldap_search_base</emphasis> + </para> + <para> + Будь ласка, зауважте, що підтримки визначення області або фільтра для +пошуків на сервері Active Directory не передбачено. Це може призвести до +отримання значної кількості результатів і викликати реакцію з боку +розширення діапазону отримання (Range Retrieval). + </para> +</listitem> diff --git a/src/man/uk/include/local.xml b/src/man/uk/include/local.xml new file mode 100644 index 0000000..d26290f --- /dev/null +++ b/src/man/uk/include/local.xml @@ -0,0 +1,19 @@ +<refsect1 id='local'> + <title>ЛОКАЛЬНИЙ ДОМЕН</title> + <para> + З метою забезпечення належної роботи слід створити домен з +<quote>id_provider=local</quote> та запустити SSSD. + </para> + <para> + Адміністратор може надати перевагу використанню локальних записів +користувачів SSSD замість традиційних записів користувачів UNIX, якщо для +роботи потрібна вкладеність груп (див. <citerefentry> +<refentrytitle>sss_groupadd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>). Використання локальних записів може також бути корисним +для тестування та розробки програмного забезпечення з підтримкою SSSD (у +такому разі не потрібно розгортати повноцінний віддалений +сервер). Інструменти <command>sss_user*</command> та +<command>sss_group*</command> використовують для зберігання записів +користувачів і груп локальне сховище даних LDB. + </para> +</refsect1> diff --git a/src/man/uk/include/override_homedir.xml b/src/man/uk/include/override_homedir.xml new file mode 100644 index 0000000..6407471 --- /dev/null +++ b/src/man/uk/include/override_homedir.xml @@ -0,0 +1,79 @@ +<varlistentry> +<term>override_homedir (рядок)</term> +<listitem> + <para> + Перевизначити домашній каталог користувача. Ви можете вказати абсолютне +значення або шаблон. У шаблоні можна використовувати такі замінники: +<variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>ім'я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>номер UID</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>назва домену</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>ім’я користувача повністю (користувач@домен)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>Перша літера назви облікового запису.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN - User Principal Name (ім’я@ОБЛАСТЬ)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + Початкова домашня тека, отримана від служби профілів. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + Початкова домашня тека, отримана від служби профілів, але літерами нижнього +регістру. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + Значення параметра налаштовування <emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>символ відсотків («%»)</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Значення цього параметра можна встановлювати для кожного з доменів окремо. + </para> + <para> + приклад: <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + Типове значення: не встановлено (SSSD використовуватиме значення, отримане +від LDAP) + </para> + <para> + Будь ласка, зауважте, що домашній каталог для певного перевизначення для +користувача, локально +(див. <citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) або централізовано керованих +перевизначень ідентифікаторів IPA, має вищий пріоритет, і його буде +використано замість значення, вказаного в override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/uk/include/param_help.xml b/src/man/uk/include/param_help.xml new file mode 100644 index 0000000..2905109 --- /dev/null +++ b/src/man/uk/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + Показати довідкове повідомлення і завершити роботу. + </para> + </listitem> +</varlistentry> diff --git a/src/man/uk/include/param_help_py.xml b/src/man/uk/include/param_help_py.xml new file mode 100644 index 0000000..8870e8f --- /dev/null +++ b/src/man/uk/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + Показати довідкове повідомлення і завершити роботу. + </para> + </listitem> +</varlistentry> diff --git a/src/man/uk/include/seealso.xml b/src/man/uk/include/seealso.xml new file mode 100644 index 0000000..cd6383c --- /dev/null +++ b/src/man/uk/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>ТАКОЖ ПЕРЕГЛЯНЬТЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/uk/include/service_discovery.xml b/src/man/uk/include/service_discovery.xml new file mode 100644 index 0000000..8452639 --- /dev/null +++ b/src/man/uk/include/service_discovery.xml @@ -0,0 +1,45 @@ +<refsect1 id='service_discovery'> + <title>ПОШУК СЛУЖБ</title> + <para> + За допомогою можливості виявлення служб основні модулі мають змогу +автоматично визначати відповідні сервери для встановлення з’єднання на +основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки +цієї можливості для резервних серверів не передбачено. + </para> + <refsect2 id='configuration'> + <title>Налаштування</title> + <para> + Якщо серверів не буде вказано, модуль автоматично використає визначення +служб для пошуку сервера. Крім того, користувач може використовувати і +фіксовані адреси серверів і виявлення служб. Для цього слід вставити +особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається +за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач +надає перевагу використанню виявлення служб, якщо це можливо, з поверненням +до використання певного сервера, якщо за допомогою DNS не вдасться виявити +жодного сервера. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>Назва домену</title> + <para> + З докладнішими відомостями щодо параметра «dns_discovery_domain» можна +ознайомитися на сторінці підручника (man) <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>Протокол</title> + <para> + Запитами зазвичай визначається протокол _tcp. Виключення документовано у +описі відповідного параметра. + </para> + </refsect2> + <refsect2 id='reference'> + <title>Також прочитайте</title> + <para> + Докладніші відомості щодо механізмів визначення служб можна знайти у RFC +2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/uk/include/upstream.xml b/src/man/uk/include/upstream.xml new file mode 100644 index 0000000..4b0c243 --- /dev/null +++ b/src/man/uk/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>Основна гілка розробки SSSD — +https://pagure.io/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/uk/pam_sss.8.xml b/src/man/uk/pam_sss.8.xml new file mode 100644 index 0000000..49dcf5a --- /dev/null +++ b/src/man/uk/pam_sss.8.xml @@ -0,0 +1,453 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss</refname> + <refpurpose>модуль PAM для SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss.so</command> <arg choice='opt'> +<replaceable>quiet</replaceable> </arg> <arg choice='opt'> +<replaceable>forward_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_authtok</replaceable> </arg> <arg choice='opt'> +<replaceable>retry=N</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'> +<replaceable>domains=X</replaceable> </arg> <arg choice='opt'> +<replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'> +<replaceable>prompt_always</replaceable> </arg> <arg choice='opt'> +<replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'> +<replaceable>require_cert_auth</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para><command>pam_sss.so</command> — інтерфейс PAM до System Security Services +daemon (SSSD). Помилки та результати роботи записуються за допомогою +<command>syslog(3)</command> до запису LOG_AUTHPRIV.</para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>quiet</option> + </term> + <listitem> + <para>Не показувати у журналі повідомлень для невідомих користувачів.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>forward_pass</option> + </term> + <listitem> + <para>Якщо встановлено значення <option>forward_pass</option>, введений пароль +буде збережено у стосі паролів для використання іншими модулями PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_first_pass</option> + </term> + <listitem> + <para>Використання аргументу use_first_pass примушує модуль до використання пароля +з модулів попереднього рівня. Ніяких запитів до користувача не +надсилатиметься, — якщо пароль не буде виявлено або пароль виявиться +непридатним, доступ користувачеві буде заборонено.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_authtok</option> + </term> + <listitem> + <para>Визначає ситуацію, коли зміна пароля примушує модуль встановлювати новий +пароль на основі пароля, наданого попереднім модулем обробки паролів зі +стосу модулів.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>retry=N</option> + </term> + <listitem> + <para>Якщо вказано, користувача запитуватимуть про пароль ще N разів, якщо перший +раз розпізнавання зазнає невдачі. Типовим значенням є 0.</para> + <para>Будь ласка, зауважте, що цей параметр може працювати не так, як очікується, +якщо програма, яка викликає PAM, має власний обробник діалогових вікон +взаємодії з користувачем. Типовим прикладом є <command>sshd</command> з +<option>PasswordAuthentication</option>.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_unknown_user</option> + </term> + <listitem> + <para>Якщо вказано цей параметр і облікового запису не існує, модуль PAM поверне +PAM_IGNORE. Це призводить до ігнорування цього модуля оболонкою PAM.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_authinfo_unavail</option> + </term> + <listitem> + <para> + Визначає, що модуль PAM має повертати PAM_IGNORE, якщо не вдається +встановити зв’язок із фоновою службою SSSD. У результаті набір інструментів +PAM ігнорує цей модуль.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>domains</option> + </term> + <listitem> + <para> + Надає змогу адміністратору обмежити домен певною службою PAM, за допомогою +якої можна буде виконувати розпізнавання. Формат значення: список назв +доменів SSSD, відокремлених комами, так, як їх вказано у файлі sssd.conf. + </para> + <para> + Зауваження: Якщо використовується для служби, яку запущено не від імені +користувача root, наприклад вебсервера, слід використовувати разом із +параметрами «pam_trusted_users» і «pam_public_domains». Будь ласка, +ознайомтеся із сторінкою підручника <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб дізнатися більше про ці два параметри відповідача PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>allow_missing_name</option> + </term> + <listitem> + <para> + Основним призначенням цього параметра є надання SSSD змоги визначати ім'я +користувача на основі додаткових даних, наприклад сертифіката зі +смарткартки. + </para> + <para> + Поточним основним призначенням є засоби керування входом до системи, які +можуть спостерігати за подіями обробки карток на засобі читання +смарткарток. Щойно буде вставлено смарткартку, засіб керування входом до +системи викличе стос PAM, до якого включено рядок, подібний до <programlisting> +auth sufficient pam_sss.so allow_missing_name + </programlisting> Якщо SSSD спробує визначити ім'я користувача +на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті, +передасть його стосу PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>prompt_always</option> + </term> + <listitem> + <para> + Завжди запитувати у користувача реєстраційні дані. Якщо використано цей +параметр, реєстраційні дані, запит на які надійшов від інших модулів PAM, +типово, пароль, буде проігноровано, а pam_sss надсилатиме запит щодо +реєстраційних даних знову. На основі відповіді на попереднє розпізнавання +від SSSD pam_sss може надіслати запит щодо пароля, пін-коду смарткартки або +інших реєстраційних даних. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>try_cert_auth</option> + </term> + <listitem> + <para> + Спробувати скористатися розпізнаванням на основі сертифікатів, тобто +розпізнаванням за допомогою смарткартки або подібного пристрою. Якщо +доступною є смарткартка і уможливлено розпізнавання за смарткарткою для +служби, система надішле запит щодо пін-коду і буде продовжено процедуру +розпізнавання за сертифікатом. + </para> + <para> + Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом +буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>require_cert_auth</option> + </term> + <listitem> + <para> + Виконати розпізнавання на основі сертифікатів, тобто розпізнавання за +допомогою смарткартки або подібного пристрою. Якщо смарткартка виявиться +недоступною, система попросить користувача вставити її. SSSD чекатиме на +смарткартку, аж доки не завершиться час очікування, визначений переданим +значенням +p11_wait_for_card_timeout. +Див. <citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>, щоб дізнатися більше. + </para> + <para> + Якщо смарткартка виявиться недоступною на момент завершення часу очікування +або розпізнавання за сертифікатом буде заборонено для поточної служби, буде +повернуто PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ</title> + <para>Передбачено всі типи модулів (<option>account</option>, +<option>auth</option>, <option>password</option> і +<option>session</option>). + </para> + <para>Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM +є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля +<option>account</option>, щоб уникнути проблем із записами користувачів із +інших джерел під час керування доступом.</para> + </refsect1> + + <refsect1 id="return_values"> + <title>ПОВЕРНЕНІ ЗНАЧЕННЯ</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + Дію PAM завершено успішно. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Користувач є невідомим службі розпізнавання або відповідач PAM SSSD не +запущено. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Помилка розпізнавання. Також може бути повернено, якщо виникла проблема із +отриманням сертифіката. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_PERM_DENIED</term> + <listitem> + <para> + Доступ заборонено. Додаткові відомості щодо помилки можуть міститися у +файлах журналів SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_IGNORE</term> + <listitem> + <para> + Див. параметри <option>ignore_unknown_user</option> і +<option>ignore_authinfo_unavail</option>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_ERR</term> + <listitem> + <para> + Не вдалося отримати новий ключ розпізнавання. Крім того, може бути +повернуто, якщо користувач проходить розпізнавання за допомогою +сертифікатів, доступними є декілька сертифікатів, але у встановленій версії +GDM не передбачено можливості вибору одного з декількох сертифікатів. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути +помилка у роботі мережі або обладнання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BUF_ERR</term> + <listitem> + <para> + Сталася помилка при роботі з пам'яттю. Також може бути повернуто, якщо було +встановлено параметр use_first_pass або use_authtok, але не було знайдено +пароля у попередньому модулі PAM зі стосу обробки. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть +міститися у файлах журналів SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_ERR</term> + <listitem> + <para> + Не вдалося встановити реєстраційні дані користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_INSUFFICIENT</term> + <listitem> + <para> + У програми немає достатніх реєстраційних даних для розпізнавання +користувача. Наприклад, може не вистачати PIN-коду при розпізнаванні за +смарткарткою або якогось фактора при двофакторному розпізнаванні. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SERVICE_ERR</term> + <listitem> + <para> + Помилка у службовому модулі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NEW_AUTHTOK_REQD</term> + <listitem> + <para> + Строк дії ключа розпізнавання користувача вичерпано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ACCT_EXPIRED</term> + <listitem> + <para> + Строк дії облікового запису користувача вичерпано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SESSION_ERR</term> + <listitem> + <para> + Не вдалося отримати правила профілю стільниці IPA або дані користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_UNAVAIL</term> + <listitem> + <para> + Не вдалося отримати реєстраційні дані користувача Kerberos. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NO_MODULE_DATA</term> + <listitem> + <para> + Kerberos не вдалося знайти метод розпізнавання. Таке може трапитися, якщо із +записом користувача пов'язано смарткартку, але додаток pkint є недоступним +на клієнті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CONV_ERR</term> + <listitem> + <para> + Помилка обміну даними. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_LOCK_BUSY</term> + <listitem> + <para> + Немає доступних придатних KDC для зміни пароля. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ABORT</term> + <listitem> + <para> + Невідомий виклик PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_MODULE_UNKNOWN</term> + <listitem> + <para> + Непідтримувана команда або завдання PAM. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BAD_ITEM</term> + <listitem> + <para> + Модулю розпізнавання не вдалося обробити реєстраційні дані з смарткартки. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='files'> + <title>ФАЙЛИ</title> + <para>Якщо спроба скидання пароля від імені адміністративного користувача (root) +зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено +скидання паролів, може бути показано певне повідомлення. У цьому +повідомленні, наприклад, можуть міститися настанови щодо скидання пароля.</para> + + <para>Текст повідомлення буде прочитано з файла +<filename>pam_sss_pw_reset_message.LOC</filename>, де «LOC» — рядок локалі у +форматі, повернутому <citerefentry> +<refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum> +</citerefentry>. Якщо відповідного файла знайдено не буде, буде показано +вміст файла <filename>pam_sss_pw_reset_message.txt</filename>. Власником +файлів має бути адміністративний користувач (root). Доступ до запису файлів +також повинен мати лише адміністративний користувач. Всім іншим користувачам +може бути надано лише право читання файлів.</para> + + <para>Пошук цих файлів виконуватиметься у каталозі +<filename>/etc/sssd/customize/НАЗВА_ДОМЕНУ/</filename>. Якщо відповідний +файл не буде знайдено, буде показано типове повідомлення.</para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/pam_sss_gss.8.xml b/src/man/uk/pam_sss_gss.8.xml new file mode 100644 index 0000000..9f07372 --- /dev/null +++ b/src/man/uk/pam_sss_gss.8.xml @@ -0,0 +1,217 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss_gss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss_gss</refname> + <refpurpose>модуль PAM для розпізнавання за GSSAPI у SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss_gss.so</command> <arg choice='opt'> +<replaceable>debug</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>pam_sss_gss.so</command> розпізнає користувача за допомогою GSSAPI +у поєднанні із SSSD. + </para> + <para> + Цей модуль намагатиметься виконати розпізнавання користувача за допомогою +служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме +дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ. Частину +<emphasis>ОБЛАСТЬ</emphasis> назви реєстраційного запису Kerberos буде +визначено за внутрішніми механізмами Kerberos. Її можна встановити явним +чином у налаштуваннях розділу [domain_realm] у /etc/krb5.conf. + </para> + <para> + SSSD використовується для отримання бажаної назви служби і для перевірки +реєстраційних даних користувача за допомогою викликів GSSAPI. Якщо у кеші +реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток +квитка користувача можна використати для отримання належного квитка служби, +користувача буде розпізнано. + </para> + <para> + Якщо <option>pam_gssapi_check_upn</option> матиме значення True (типове +значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться +для отримання квитків служби, можна було пов'язати із користувачем. Це +означає, що реєстраційний запис, який є власником реєстраційних даних +Kerberos, має відповідати назві реєстраційного запису користувача, яку +визначено у LDAP. + </para> + <para> + Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення +<option>pam_gssapi_services</option> у розділі [pam] або домену в +sssd.conf. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD +(його вже збережено там, якщо ви користуєтеся надавачем даних ipa або +ad). Розташування сховища ключів можна встановити за допомогою параметра +<option>krb5_keytab</option>. Див. <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> і <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про ці +параметри. + </para> + <para> + Деякі розгорнуті екземпляри Kerberos дозволяють пов'язувати індикатори +розпізнавання із певним методом попереднього розпізнавання, який +використовується для отримання квитка, який надає квиток користувача. +<command>pam_sss_gss.so</command> надає змогу примусово встановити потребу у +наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано +доступ до певної служби PAM. + </para> + <para> + Якщо <option>pam_gssapi_indicators_map</option> встановлено у розділі [pam] +або домену sssd.conf, SSSD виконає перевірку наявності будь-яких +налаштованих індикаторів у квитку служби. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>debug</option> + </term> + <listitem> + <para>Вивести діагностичні дані.</para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ</title> + <para>Передбачено лише тип модулів <option>auth</option></para> + </refsect1> + + <refsect1 id="return_values"> + <title>ПОВЕРНЕНІ ЗНАЧЕННЯ</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + Дію PAM завершено успішно. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Користувач є невідомим службі розпізнавання або підтримки розпізнавання за +GSSAPI не передбачено. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Помилка під час спроби розпізнавання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути +помилка у роботі мережі або обладнання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть +міститися у файлах журналів SSSD. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='examples'> + <title>ПРИКЛАДИ</title> + <para> + Основним випадком використання є забезпечення розпізнавання без пароля у +sudo, але без потреби у повному вимиканні розпізнавання. Для досягнення +потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в +sssd.conf: + </para> + <programlisting> +[domain/MYDOMAIN] +pam_gssapi_services = sudo, sudo-i + </programlisting> + <para> + Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam.d/sudo і +/etc/pam.d/sudo-i). + </para> + <programlisting> +... +auth sufficient pam_sss_gss.so +... + </programlisting> + </refsect1> + + <refsect1 id='troubleshooting'> + <title>ДІАГНОСТИКА</title> + <para> + У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть +міститися корисні дані щодо помилки. Ось деякі з типових проблем: + </para> + <para> + 1. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: +залежно від вашої версії sudo, можливо, sudo не передає цю змінну до +середовища PAM. Спробуйте додати KRB5CCNAME до <option>env_keep</option> в +/etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP. + </para> + <para> + 2. Розпізнавання не працює, а у syslog міститься повідомлення «Server not +found in Kerberos database»: Kerberos, ймовірно, не може визначити належну +область для квитка служби на основі назви вузла. Спробуйте додати назву +вузла безпосередньо у розділ <option>[domain_realm]</option> в +/etc/krb5.conf, ось так: + </para> + <para> + 3. Розпізнавання не працює, а у syslog міститься повідомлення «No Kerberos +credentials available»: у вас немає реєстраційних даних, якими можна було б +скористатися для отримання потрібного квитка служби. Скористайтеся kinit або +пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні +реєстраційні дані. + </para> + <para> + 4. Розпізнавання не працює, а у журналі sssd-pam SSSD міститься повідомлення +«User with UPN [$UPN] was not found.» або «UPN [$UPN] does not match target +user [$username].»: ви використовуєте реєстраційні дані, які не можна +пов'язати із користувачем, розпізнавання якого відбувається. Спробуйте +скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, +що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути +<option>pam_gssapi_check_upn</option>. + </para> + <programlisting> +[domain_realm] +.myhostname = MYREALM + </programlisting> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss-certmap.5.xml b/src/man/uk/sss-certmap.5.xml new file mode 100644 index 0000000..c9807bf --- /dev/null +++ b/src/man/uk/sss-certmap.5.xml @@ -0,0 +1,767 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>Правила встановлення відповідності і прив'язування сертифікатів SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці підручника описано правила, якими можна скористатися у SSSD +та інших компонентах для встановлення відповідності сертифікатів X.509 та +прив'язування їх до облікових записів. + </para> + <para> + У кожного правила чотири компоненти — <quote>пріоритетність</quote>, +<quote>правило встановлення відповідності</quote>, <quote>правило +прив'язки</quote> і <quote>список доменів</quote>. Усі компоненти є +необов'язковими. Якщо не вказано <quote>пріоритетність</quote>, буде додано +правило із найнижчою пріоритетністю. Типове <quote>правило встановлення +відповідності</quote> встановлює відповідність сертифікатів із використанням +ключів digitalSignature і розширеним використанням ключів clientAuth. Якщо +<quote>правило прив'язки</quote> є порожнім, сертифікати шукатимуться у +атрибуті userCertificate у форматі закодованих двійкових даних DER. Якщо не +буде вказано доменів, пошук відбуватиметься у локальному домені. + </para> + <para> + Щоб дозволити розширення або зовсім інший стиль правила, +<quote>прив'язки</quote> та <quote>правила відповідності</quote> можуть +містити префікс відокремлений символом «:» від основної частини +правила. Префікс може містити лише літери верхнього регістру ASCII і +цифри. Якщо префікс пропущено, буде використано стандартний тип, яким є +«KRB5» для правил відповідності і «LDAP» для правил прив'язки. + </para> + <para> + Допоміжна програма «sssctl» надає доступ до команди «cert-eval-rule», яку +призначено для перевірки, чи відповідає вказаний сертифікат правилам +відповідності, і визначає, як виглядатиме виведення правила прив'язки. + </para> + </refsect1> + + <refsect1 id='components'> + <title>КОМПОНЕНТИ ПРАВИЛ</title> + <refsect2 id='priority'> + <title>ПРІОРИТЕТНІСТЬ</title> + <para> + Правила оброблятимуться за пріоритетністю, номер «0» (нуль) відповідає +найвищому рівню пріоритетності. Чим більшим є значення, тим нижчою є +пріоритетність. Якщо значення не вказано, пріоритетність вважається +найнижчою. Обробку правил буде зупинено, якщо вдасться знайти відповідність +правилу, подальші правила не оброблятимуться. + </para> + <para> + На внутрішньому рівні пріоритетність визначається 32-бітовим цілим числом +без знаку. Використання значення пріоритетності, що перевищує 4294967295, +призводитиме до виведення повідомлення про помилку. + </para> + <para> + Якщо однакову пріоритетність мають декілька правил, а застосовувати можна +лише одне із пов'язаних відповідних правил, буде вибрано це правило. Якщо +існує декілька відповідних правил із однаковою пріоритетністю, буде вибрано +одне, але яке само не визначено. Щоб уникнути цієї невизначеної поведінки +або використовуйте різні пріоритетності, або зробіть правила відповідності +специфічнішими, наприклад, скориставшись явними взірцями <ISSUER>. + </para> + </refsect2> + <refsect2 id='match'> + <title>ПРАВИЛО ВІДПОВІДНОСТІ</title> + <para> + Правило встановлення відповідності використовується для вибору сертифіката, +до якого слід застосовувати правило прив'язки. У цьому використовується +система, подібна до використаної у параметрі +<quote>pkinit_cert_match</quote> Kerberos MIT. Правило складається з +ключового слова між символами «<» і «>», яке визначає певну частину +сертифіката, і взірцем, який має бути знайдено, для встановлення +відповідності правила. Декілька пар ключове слово-взірець можна сполучати за +допомогою логічних операторів «&&» (та) або «||» (або). + </para> + <para> + Якщо задано подібність до MIT Kerberos, префіксом для цього правила є +«KRB5». Втім, «KRB5» також буде типовим для <quote>правил +відповідності</quote>, тому «<SUBJECT>.*,DC=MY,DC=DOMAIN» і +«KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN» є рівнозначними. + </para> + <para> + Доступні варіанти: <variablelist> + <varlistentry> + <term><SUBJECT>формальний-вираз</term> + <listitem> + <para> + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису призначення. Для встановлення відповідності використовується +синтаксис розширених формальних виразів POSIX. Докладніший опис синтаксису +можна знайти на сторінці підручника regex(7). + </para> + <para> + Для встановлення відповідності запис призначення, що зберігається у +сертифікаті у форматі кодованого DER ASN.1, буде перетворено на текстовий +рядок відповідно до RFC 4514. Це означає, що першою у рядку буде +найспецифічніша компонента. Будь ласка, зауважте, що у RFC 4514 описано не +усі можливі назви атрибутів. Включеними вважаються такі назви: «CN», «L», +«ST», «O», «OU», «C», «STREET», «DC» і «UID». Назви інших атрибутів може +бути показано у різний спосіб на різних платформах і у різних +інструментах. Щоб уникнути двозначностей, не варто використовувати ці +атрибути і вживати їх у відповідних формальних виразах. + </para> + <para> + Приклад: <SUBJECT>.*,DC=MY,DC=DOMAIN + </para> + <para> + Будь ласка, зауважте, що символи «^.[$()|*+?{\» мають спеціальне значення у +формальних виразах, тому їх має бути екрановано за допомогою символу «\», +щоб програма сприймала їх як звичайні символи. + </para> + <para> + Приклад: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>формальний-вираз</term> + <listitem> + <para> + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису видавця. Цього запису стосуються усі коментарі щодо +<SUBJECT>. + </para> + <para> + Приклад: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>використання-ключа</term> + <listitem> + <para> + За допомогою цього параметра можна визначити значення використання ключа, +які повинен містити сертифікат. У списку значень, відокремлених комами, +можна використовувати такі значення: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Для спеціальних випадків можна також використати числове значення у +діапазоні 32-бітових цілих чисел без знаку. + </para> + <para> + Приклад: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>розширене-використання-ключа</term> + <listitem> + <para> + За допомогою цього параметра можна визначити значення розширеного +використання ключа, які повинен містити сертифікат. У списку значень, +відокремлених комами, можна використовувати такі значення: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + Розширені використання ключа, які не потрапили до вказаного вище списку, +можна визначити за допомогою їхнього OID у точково-десятковому позначенні. + </para> + <para> + Приклад: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>формальний-вираз</term> + <listitem> + <para> + Для сумісності із використанням Kerberos MIT цей параметр встановлюватиме +відповідність реєстраційних даних Kerberos у PKINIT або AD NT Principal SAN +так, як це робить <SAN:Principal>. + </para> + <para> + Приклад: <SAN>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos у PKINIT або AD NT +Principal SAN. + </para> + <para> + Приклад: <SAN:Principal>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos з AD NT Principal SAN. + </para> + <para> + Приклад: <SAN:ntPrincipalName>.*@MY.AD.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos з SAN PKINIT. + </para> + <para> + Приклад: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>формальний-вираз</term> + <listitem> + <para> + Отримати значення компонента SAN otherName, яке задано OID у +крапково-десятковому позначенні, обробити його як рядок і спробувати +встановити відповідність формальному виразу. + </para> + <para> + Приклад: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-string</term> + <listitem> + <para> + Виконати спробу встановлення двійкової відповідності блоку у кодуванні +base64 із усіма компонентами SAN otherName. За допомогою цього параметра +можна встановлювати відповідність із нетиповими компонентами otherName із +особливими кодуваннями, які не можна обробляти як рядки. + </para> + <para> + Приклад: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN rfc822Name. + </para> + <para> + Приклад: <SAN:rfc822Name>.*@email\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN dNSName. + </para> + <para> + Приклад: <SAN:dNSName>.*\.my\.dns\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>рядок-base64</term> + <listitem> + <para> + Встановити двійкову відповідність значення SAN x400Address. + </para> + <para> + Приклад: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN directoryName. Цього параметра +стосуються ті самі коментарі, які було вказано для параметрів <ISSUER> +та <SUBJECT>. + </para> + <para> + Приклад: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>рядок-base64</term> + <listitem> + <para> + Встановити двійкову відповідність значення SAN ediPartyName. + </para> + <para> + Приклад: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN uniformResourceIdentifier. + </para> + <para> + Приклад: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN iPAddress. + </para> + <para> + Приклад: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>формальний-вираз</term> + <listitem> + <para> + Встановити значення SAN registeredID у форматі точково-десяткового рядка. + </para> + <para> + Приклад: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>ПРАВИЛО ПРИВʼЯЗУВАННЯ</title> + <para> + Правило прив'язки використовується для пов'язування сертифіката із одним або +декількома обліковими записами. Далі, смарткарткою із сертифікатом та +відповідним закритим ключем можна скористатися для розпізнавання за одним з +цих облікових записів. + </para> + <para> + У поточній версії SSSD на базовому рівні підтримує пошук даних користувачів +лише у LDAP (винятком є лише засіб надання проксі, який у цьому контексті є +недоречним). Через це правило прив'язки засновано на синтаксисі фільтрування +пошуку LDAP з шаблонами для додавання вмісту сертифікатів до +фільтра. Очікується, що цей фільтр міститиме лише специфічні дані, потрібні +для прив'язки, яку функція виклику вбудовуватиме до іншого фільтра для +виконання справжнього пошуку. Через це рядок фільтрування має починатися із +завершуватися «(» і «)», відповідно. + </para> + <para> + Загалом, рекомендується використовувати атрибути з сертифіката і додати їх +до спеціальних атрибутів об'єкта користувача LDAP. Наприклад, можна +скористатися атрибутом «altSecurityIdentities» у AD або атрибутом +«ipaCertMapData» для IPA. + </para> + <para> + Бажаним шляхом є читання із сертифіката специфічних для користувача даних, +наприклад адреси електронної пошти, і пошук цих даних на сервері +LDAP. Причиною є те, що специфічні для користувача дані у LDAP можу бути з +різних причин змінено, що розірве прив'язку. З іншого боку, якщо +скористатися бажаним шляхом, розірвати прив'язку буде важко. + </para> + <para> + Стандартним типом <quote>правила прив'язки</quote> є «LDAP». Цей запис може +бути додано як префікс до правила. Ось так, наприклад: +«LDAP:(userCertificate;binary={cert!bin})». Передбачено розширення, яке має +назву «LDAPU1», і яке надає додаткові шаблони для збільшення гнучкості. Щоб +дозволити застарілим версіям цієї бібліотеки ігнорувати розширення, при +використанні нових шаблонів у <quote>правилі прив'язки</quote> має бути +використано префікс «LDAPU1», інакше роботу застарілої версії цієї +бібліотеки буде завершено із повідомленням про помилку при обробці вхідних +даних. Нові шаблони описано у розділі <xref linkend="map_ldapu1"/>. + </para> + <para> + Шаблони для додавання даних сертифікатів до фільтра пошуку засновано на +рядках форматування у стилі Python. Воли складаються з ключового слова у +фігурних дужках із додатковим підкомпонентом-специфікатором, відокремленим +«.», або додатковим параметром перетворення-форматування, відокремленим +«!». Дозволені значення: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть повний DN видавця, перетворений на рядок відповідно до +RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + </para> + <para> + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + </para> + <para> + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + </para> + <para> + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + </para> + <para> + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть повний DN призначення, перетворений на рядок відповідно +до RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + </para> + <para> + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + </para> + <para> + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + </para> + <para> + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + </para> + <para> + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Цей шаблон додасть увесь сертифікат у кодуванні DER як рядок до фільтра +пошуку. Залежно від параметра перетворення, двійковий сертифікат або буде +преетворено на екрановану послідовність шістнадцяткових чисел у форматі +«\xx», або на код base64. Типовим варіантом є екранована шістнадцяткова +послідовність, її може бути, наприклад, використано з атрибутом LDAP +«userCertificate;binary». + </para> + <para> + Приклад: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде взято або з SAN, +який використовується pkinit, або з реєстраційних даних AD. Компонент +«short_name» відповідає першій частині реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується pkinit. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується AD. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть рядок, який зберігається у компоненті rfc822Name SAN, +типово, адресу електронної пошти. Компонент «short_name» відповідає першій +частині адреси до символу «@». + </para> + <para> + Приклад: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть рядок, який зберігається у компоненті dNSName SAN, +типово, повну назву вузла. Компонент «short_name» відповідає першій частині +назви до першого символу «.». + </para> + <para> + Приклад: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Цей шаблон додає рядок, який зберігається у компоненті +uniformResourceIdentifier SAN. + </para> + <para> + Приклад: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Цей шаблон додає рядок, який зберігається у компоненті iPAddress SAN. + </para> + <para> + Приклад: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Цей шаблон додає значення, яке зберігається у компоненті x400Address SAN як +послідовність екранованих шістнадцяткових чисел. + </para> + <para> + Приклад: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть рядок DN значення, яке зберігається у компоненті +directoryName SAN. + </para> + <para> + Приклад: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Цей шаблон додає значення, яке зберігається у компоненті ediPartyName SAN як +послідовність екранованих шістнадцяткових чисел. + </para> + <para> + Приклад: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Цей шаблон додає OID, який зберігається у компоненті registeredID SAN у +форматі точково-десяткового рядка. + </para> + <para> + Приклад: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>Розширення LDAPU1</title> + <para> + При використанні розширення LDAPU1 можна скористатися такими шаблонами: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + Цей шаблон додасть серійний номер сертифіката. Типово, його буде надруковано +як шістнадцяткове число літерами нижнього регістру. + </para> + <para> + Якщо використано параметр форматування «!dec», число буде виведено як +десятковий рядок. Виведені шістнадцяткові дані може бути показано за +допомогою літер верхнього регістру («!hex_u»), із двокрапкою, що відокремлює +шістнадцяткові байти («!hex_c»), або із шістнадцятковими байтами у +зворотному порядку («!hex_r»). Літер постфікса може бути поєднано, отже, +наприклад, «!hex_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(serial={серійний_номер}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + Цей шаблон додасть ідентифікатор ключа призначення сертифіката. Типово, його +буде надруковано як шістнадцяткове число літерами нижнього регістру. + </para> + <para> + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!hex_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!hex_c»), або із шістнадцятковими байтами у зворотному порядку +(«!hex_r»). Літер постфікса може бути поєднано, отже, наприклад, «!hex_uc» +призведе до виведення відокремленого двокрапками шістнадцяткового рядка із +літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(ski={ідентифікатор_ключа_призначення}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!DIGEST[_ucr]]}</term> + <listitem> + <para> + Цей шаблон додає шістнадцяткову контрольну суму або хеш до +сертифіката. Запис DIGEST має бути замінено назвою функції контрольної суми +або хешу, підтримку яких передбачено у OpenSSL, наприклад «sha512». + </para> + <para> + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!sha512_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!sha512_c»), або із шістнадцятковими байтами у зворотному порядку +(«!sha512_r») Літер постфікса може бути поєднано, отже, наприклад, +«!sha512_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.назва_атрибуту|[число]]}</term> + <listitem> + <para> + Цей шаблон додасть значення атрибуту компонента DN призначення. Типовим +значенням є найспецифічніший компонент. + </para> + <para> + Можна вибрати інший компонент або за назвою атрибуту, наприклад, +{subject_dn_component.uid}, або за позицією, наприклад, +{subject_dn_component.[2]}, де додатні числа означають відлік від найбільш +специфічного компонента, а від'ємні числа — відлік від найменш специфічного +компонента. Назву атрибуту та позицію можна поєднувати. Приклад: +{subject_dn_component.uid[2]}, тобто назвою другого компонента має бути +«uid». + </para> + <para> + Приклад: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.назва_атрибуту|[число]]}</term> + <listitem> + <para> + Цей шаблон додасть значення атрибуту компонента DN видавця. Типовим +значенням є найспецифічніший компонент. + </para> + <para> + Див. «subject_dn_component», щоб дізнатися більше про назви атрибутів та +специфікатори позиції. + </para> + <para> + Приклад: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + Цей шаблон додасть SID, якщо відповідне розширення впроваджено Microsoft із +доступним OID 1.3.6.1.4.1.311.25.2. Якщо вказано «.rid», буде додано лише +останній компонент, тобто RID. + </para> + <para> + Приклад: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>СПИСОК ДОМЕНІВ</title> + <para> + Якщо список доменів не є порожнім, записи користувачів, прив'язані до +заданого сертифіката, шукаються не лише у локальному домені, а і у доменах +зі списку, якщо вони відомі SSSD. Домени, які не відомі SSSD, буде +проігноровано. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> diff --git a/src/man/uk/sss_cache.8.xml b/src/man/uk/sss_cache.8.xml new file mode 100644 index 0000000..31d7fbf --- /dev/null +++ b/src/man/uk/sss_cache.8.xml @@ -0,0 +1,269 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_cache</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_cache</refname> + <refpurpose>виконати спорожнення кешу</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_cache</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_cache</command> скасовує визначення записів у кеші SSSD. Дані +записів зі скасованими визначеннями буде перезавантажено з сервера у +примусовому порядку, щойно відповідний модуль SSSD отримає до них +доступ. Параметри, які скасовують визначення окремого об'єкта приймають лише +один аргумент. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-E</option>,<option>--everything</option> + </term> + <listitem> + <para> + Скасувати чинність усіх кешованих записів. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--user</option> <replaceable>реєстраційні +дані</replaceable> + </term> + <listitem> + <para> + Скасувати визначення вказаного користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-U</option>,<option>--users</option> + </term> + <listitem> + <para> + Скасувати визначення всіх записів. Цей параметр має вищий пріоритет за +параметр скасування визначення для будь-якого користувача, якщо такий +параметр вказано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--group</option> +<replaceable>група</replaceable> + </term> + <listitem> + <para> + Скасувати визначення вказаної групи. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-G</option>,<option>--groups</option> + </term> + <listitem> + <para> + Скасувати визначення записів для всіх груп. Цей параметр має вищий пріоритет +за параметр скасування визначення для будь-якої групи, якщо такий параметр +вказано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--netgroup</option> <replaceable>мережева +група</replaceable> + </term> + <listitem> + <para> + Скасувати визначення вказаної мережевої групи. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-N</option>,<option>--netgroups</option> + </term> + <listitem> + <para> + Скасувати визначення всіх записів мережевих груп. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якої мережевої групи, +якщо такий параметр вказано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--service</option> +<replaceable>служба</replaceable> + </term> + <listitem> + <para> + Скасувати визначення вказаної служби. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-S</option>,<option>--services</option> + </term> + <listitem> + <para> + Скасувати визначення всіх записів служб. Цей параметр має вищий пріоритет за +параметр скасування визначення для будь-якої служби, якщо такий параметр +вказано. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-a</option>,<option>--autofs-map</option> <replaceable>карта +autofs</replaceable> + </term> + <listitem> + <para> + Скасувати визначення певної карти autofs. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-A</option>,<option>--autofs-maps</option> + </term> + <listitem> + <para> + Скасувати визначення всіх записів карт autofs. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якої карти, якщо такий +параметр вказано. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-h</option>,<option>--ssh-host</option> <replaceable>назва +вузла</replaceable> + </term> + <listitem> + <para> + Скасувати чинність відкритих ключів SSH певного вузла. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-H</option>,<option>--ssh-hosts</option> + </term> + <listitem> + <para> + Скасувати чинність усіх відкритих ключів SSH усіх вузлів. Цей параметр +перевизначає скасовування чинності ключів SSH певних вузлів, якщо для них +було використано таке скасовування. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-r</option>,<option>--sudo-rule</option> +<replaceable>правило</replaceable> + </term> + <listitem> + <para> + Скасувати чинність певного правила sudo. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-R</option>,<option>--sudo-rules</option> + </term> + <listitem> + <para> + Скасувати визначення усіх кешованих правил sudo. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якого правила sudo, +якщо такий параметр вказано. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>домен</replaceable> + </term> + <listitem> + <para> + Обмежити процедуру скасування визначення лише певним доменом. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='memcache'> + <title>ВПЛИВ НА ШВИДКИЙ КЕШ У ПАМ'ЯТІ</title> + <para> + Крім того, <command>sss_cache</command> вимикає кеш у пам'яті. Оскільки кеш +у пам'яті є файлом, копію якого програма створює у пам'яті кожного процесу, +який викликає SSSD для визначення користувачів або груп, файл не може бути +обрізано. У заголовку файла встановлюють спеціальний прапорець для +позначення некоректності вмісту, а потім файл від'єднується відповідачем NSS +SSSD і створюється новий файл кешу. Після цього, кожного разу, коли процес +виконує новий пошук користувача або групи, він бачить цей прапорець, +закриває старий файл кешу у пам'яті і відтворює новий файл у своїй +пам'яті. Коли усі процеси, які відкривали старий файл кешу у пам'яті, +закриють його під час пошуку користувача або групи, ядро може звільнити +зайняте ним місце на диску і нарешті повністю вилучити застарілий файл кешу +у пам'яті. + </para> + <para> + Особливим випадком є процеси довготривалої дії, які виконують пошук +користувачів або груп лише під час запуску, наприклад, щоб визначити назву +облікового запису користувача, від імені якого запущено процес. Для таких +пошуків файл кешу у пам'яті відображається до пам'яті процесу. Але оскільки +подальших пошуків виконано не буде, цей процес ніколи не зможе визначити +втрату чинності файлом кешу у пам'яті, а отже, файл лишатиметься у пам'яті і +займатиме місце на диску аж до завершення процесом роботи. У результаті +виклик <command>sss_cache</command> може збільшити обсяг використаного +програмою місця на диску, оскільки вилучення застарілих файлів кешу у +пам'яті виявиться неможливим, оскільки їх буде пов'язано із процесами +довготривалої дії. + </para> + <para> + Можливим обхідним маневром у випадках процесів довготривалої дії, які +виконують пошук користувачів та груп лише під час запуску або дуже нечасто, +є запуск процесів із встановленим для змінної середовища +SSS_NSS_USE_MEMCACHE значенням «NO», щоб вони взагалі не використовували кеш +у пам'яті або не відображали файл кешу до своєї пам'яті. Загалом, кращим +варіантом є коригування параметрів часу очікування кешування так, щоб вони +відповідали конкретному випадку. Тоді виклик <command>sss_cache</command> +стане непотрібним. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_debuglevel.8.xml b/src/man/uk/sss_debuglevel.8.xml new file mode 100644 index 0000000..b7b4df8 --- /dev/null +++ b/src/man/uk/sss_debuglevel.8.xml @@ -0,0 +1,39 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_debuglevel</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_debuglevel</refname> + <refpurpose>[ЗАСТАРІЛИЙ] змінити рівень діагностики протягом сеансу роботи з SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_debuglevel</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>НОВИЙ_РІВЕНЬ_ДІАГНОСТИКИ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_debuglevel</command> вважається застарілим, його замінено +командою debug-level sssctl. Будь ласка, зверніться до сторінки підручника +щодо <command>sssctl</command>, щоб дізнатися більше про використання +sssctl. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_obfuscate.8.xml b/src/man/uk/sss_obfuscate.8.xml new file mode 100644 index 0000000..8686367 --- /dev/null +++ b/src/man/uk/sss_obfuscate.8.xml @@ -0,0 +1,98 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>заплутування пароля у форматі звичайного тексту</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg> <arg +choice='plain'><replaceable>[ПАРОЛЬ]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_obfuscate</command> перетворює вказаний пароль на пароль у +форматі зручному для читання і розташовує його у розділі відповідного домену +файла налаштувань SSSD. + </para> + <para> + Пароль у форматі звичайного тексту буде прочитано зі стандартного джерела +вхідних даних або введено інтерактивно. Заплутану версію пароля буде +збережено у параметрі з назвою «ldap_default_authtok» вказаного домену SSSD, +параметру «ldap_default_authtok_type» буде надано значення +«obfuscated_password». Докладніший опис цих параметрів можна знайти на +сторінці підручника (man) <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Будь ласка, зауважте, що заплутування паролів <emphasis>не є справжнім +захистом</emphasis>, оскільки зловмисник може визначити алгоритм +заплутування за кодом програми. <emphasis>Наполегливо</emphasis> радимо вам +скористатися кращими механізмами захисту даних розпізнавання, зокрема +клієнтськими сертифікатами або GSSAPI. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + Пароль для заплутування буде прочитано зі стандартного джерела вхідних +даних. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>ДОМЕН</replaceable> + </term> + <listitem> + <para> + Домен SSSD, для якого буде використано пароль. Типовою назвою є +<quote>default</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> <replaceable>ФАЙЛ</replaceable> + </term> + <listitem> + <para> + Прочитати дані з файла налаштувань, вказаного позиційним параметром. + </para> + <para> + Типове значення: <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_override.8.xml b/src/man/uk/sss_override.8.xml new file mode 100644 index 0000000..cb015f6 --- /dev/null +++ b/src/man/uk/sss_override.8.xml @@ -0,0 +1,266 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_override</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_override</refname> + <refpurpose>створити локальні перевизначення атрибутів користувача і групи</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_override</command> <arg +choice='plain'><replaceable>КОМАНДА</replaceable></arg> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_override</command> надає змогу створювати перегляди на боці +клієнта і змінювати вибрані значення для певного користувача і груп. Ці +зміни буде застосовано лише на локальному комп'ютері. + </para> + <para> + Дані перевизначень зберігаються у кеші SSSD. Якщо кеш вилучено, усі локальні +перевизначення буде втрачено. Будь ласка, зауважте, що після першого +створення перевизначення за допомогою команди <emphasis>user-add</emphasis>, +<emphasis>group-add</emphasis>, <emphasis>user-import</emphasis> або +<emphasis>group-import</emphasis> SSSD слід перезапустити, щоб зміни набули +чинності. Якщо потрібен перезапуск, <emphasis>sss_override</emphasis> виведе +відповідне повідомлення. + </para> + <para> + <emphasis>Зауваження:</emphasis> параметри, які описано на цій сторінці +підручника працюють лише для значень <quote>ldap</quote> і <quote>AD</quote> +параметра <quote>id_provider</quote>. Перевизначеннями IPA можна керувати +централізовано на сервері IPA. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>ДОСТУПНІ КОМАНДИ</title> + <para> + Аргумент <emphasis>НАЗВА</emphasis> в усіх командах є назвою початкового +об'єкта. Не можна перевизначити <emphasis>uid</emphasis> або +<emphasis>gid</emphasis> на 0. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>user-add</option> <emphasis>НАЗВА</emphasis> +<optional><option>-n,--name</option> НАЗВА</optional> +<optional><option>-u,--uid</option> UID</optional> +<optional><option>-g,--gid</option> GID</optional> +<optional><option>-h,--home</option> ДОМІВКА</optional> +<optional><option>-s,--shell</option> ОБОЛОНКА</optional> +<optional><option>-c,--gecos</option> GECOS</optional> +<optional><option>-x,--certificate</option> СЕРТИФІКАТ У КОДУВАННІ +BASE64</optional> + </term> + <listitem> + <para> + Перевизначити атрибути запису користувача. Будь ласка, зверніть увагу, що +виклик цієї команди замінить усі попередні перевизначення для вказаного за +назвою облікового запису користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-del</option> <emphasis>НАЗВА</emphasis> + </term> + <listitem> + <para> + Вилучити перевизначення користувача. Втім, слід мати на увазі, що +перевизначені атрибути може бути повернено з кешу у пам'яті. Будь ласка, +ознайомтеся із документацією до параметра SSSD +<emphasis>memcache_timeout</emphasis>, щоб дізнатися більше. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-find</option> <optional><option>-d,--domain</option> +ДОМЕН</optional> + </term> + <listitem> + <para> + Вивести список усіх користувачів, для яких встановлено перевизначення. Якщо +встановлено параметр <emphasis>ДОМЕН</emphasis>, буде показано лише +користувачів з відповідного домену. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-show</option> <emphasis>НАЗВА</emphasis> + </term> + <listitem> + <para> + Показати перевизначення користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-import</option> <emphasis>ФАЙЛ</emphasis> + </term> + <listitem> + <para> + Імпортувати перевизначення користувачів з файла +<emphasis>ФАЙЛ</emphasis>. Формат даних у файлі має бути таким самим, як у +стандартному файлі passwd. Приклад: + </para> + <para> + початкова_назва:назва:uid:gid:gecos:домівка:оболонка:сертифікат_у_кодуванні_base64 + </para> + <para> + де «початкова_назва» — початкова назва запису користувача, чиї атрибути має +бути перевизначено. Решта полів відповідає новим значенням. Ви можете +пропустити значення, не заповнюючи відповідного поля. + </para> + <para> + Приклади: + </para> + <para> + ckent:superman:::::: + </para> + <para> + ckent@krypton.com::501:501:Superman:/home/earth:/bin/bash: + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-export</option> <emphasis>ФАЙЛ</emphasis> + </term> + <listitem> + <para> + Експортувати усі перевизначені атрибути і зберегти їх у файлі +<emphasis>ФАЙЛ</emphasis>. Див. <emphasis>user-import</emphasis>, щоб +дізнатися більше про формат даних. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-add</option> <emphasis>НАЗВА</emphasis> +<optional><option>-n,--name</option> НАЗВА</optional> +<optional><option>-g,--gid</option> GID</optional> + </term> + <listitem> + <para> + Перевизначити атрибути запису групи. Будь ласка, зверніть увагу, що виклик +цієї команди замінить усі попередні перевизначення для вказаної за назвою +групи. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-del</option> <emphasis>НАЗВА</emphasis> + </term> + <listitem> + <para> + Вилучити перевизначення групи. Втім, слід мати на увазі, що перевизначені +атрибути може бути повернено з кешу у пам'яті. Будь ласка, ознайомтеся із +документацією до параметра SSSD <emphasis>memcache_timeout</emphasis>, щоб +дізнатися більше. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-find</option> <optional><option>-d,--domain</option> +ДОМЕН</optional> + </term> + <listitem> + <para> + Вивести список усіх груп, для яких встановлено перевизначення. Якщо +встановлено параметр <emphasis>ДОМЕН</emphasis>, буде показано лише групи з +відповідного домену. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-show</option> <emphasis>НАЗВА</emphasis> + </term> + <listitem> + <para> + Показати перевизначення групи. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-import</option> <emphasis>ФАЙЛ</emphasis> + </term> + <listitem> + <para> + Імпортувати перевизначення груп з файла <emphasis>ФАЙЛ</emphasis>. Формат +даних у файлі має бути таким самим, як у стандартному файлі group. Приклад: + </para> + <para> + початкова_назва:назва:gid + </para> + <para> + де «початкова_назва» — початкова назва групи, чиї атрибути має бути +перевизначено. Решта полів відповідає новим значенням. Ви можете пропустити +значення, не заповнюючи відповідного поля. + </para> + <para> + Приклади: + </para> + <para> + admins:administrators: + </para> + <para> + Domain Users:Users:501 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-export</option> <emphasis>ФАЙЛ</emphasis> + </term> + <listitem> + <para> + Експортувати усі перевизначені атрибути і зберегти їх у файлі +<emphasis>ФАЙЛ</emphasis>. Див. <emphasis>group-import</emphasis>, щоб +дізнатися більше про формат даних. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='options'> + <title>ЗАГАЛЬНІ ПАРАМЕТРИ</title> + <para> + Ці параметри можна використовувати з усіма командами. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>РІВЕНЬ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_rpcidmapd.5.xml b/src/man/uk/sss_rpcidmapd.5.xml new file mode 100644 index 0000000..9ca9b7b --- /dev/null +++ b/src/man/uk/sss_rpcidmapd.5.xml @@ -0,0 +1,110 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <refentryinfo> +<productname>sss rpc.idmapd plugin</productname> <author> +<firstname>Noam</firstname> <surname>Meltzer</surname> <affiliation> +<orgname>Primary Data Inc.</orgname> </affiliation> <contrib>Розробник +(2013-2014)</contrib> </author> <author> <firstname>Noam</firstname> +<surname>Meltzer</surname> <contrib>Розробник (2014-)</contrib> +<email>tsnoam@gmail.com</email> </author></refentryinfo> + + <refmeta> + <refentrytitle>sss_rpcidmapd</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss_rpcidmapd</refname> + <refpurpose>Директиви налаштовування додатка sss для rpc.idmapd</refpurpose> + </refnamediv> + + <refsect1 id='conf-file'> + <title>ФАЙЛ НАЛАШТУВАНЬ</title> + <para> + Файл налаштувань rpc.idmapd зазвичай зберігається тут: +<emphasis>/etc/idmapd.conf</emphasis>. Див. підручник з <citerefentry> +<refentrytitle>idmapd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб дізнатися більше. + </para> + </refsect1> + + <refsect1 id='sss-conf-extension'> + <title>РОЗШИРЕННЯ НАЛАШТОВУВАННЯ SSS</title> + <refsect2 id='enable-sss'> + <title>Вмикання додатка SSS</title> + <para> + У розділі «[Translation]» змініть або додайте атрибут «Method» із вмістом +<emphasis>sss</emphasis>. + </para> + </refsect2> + <refsect2 id='sss-conf-sect'> + <title>Розділ налаштовування [sss]</title> + <para> + Якщо вам потрібно змінити типове значення одного з атрибутів налаштувань, +перелічених нижче, додатка <emphasis>sss</emphasis>, вам слід створити +розділ налаштувань для нього з назвою «[sss]». + </para> + <variablelist> + <title>Атрибути налаштувань</title> + <varlistentry> + <term>memcache (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід використовувати методику оптимізації кешу у пам’яті. + </para> + <para> + Типове значення: True + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + </refsect1> + + <refsect1 id='sssd-integration'> + <title>ІНТЕГРАЦІЯ З SSSD</title> + <para> + Додаток sss потребує вмикання <emphasis>Відповідача NSS</emphasis> у sssd. + </para> + <para> + Атрибут «use_fully_qualified_names» має бути увімкнено для усіх доменів +(клієнти NFSv4 очікують на те, що надсилається назва повністю). + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі показано мінімальний вигляд idmapd.conf, де +використовується додаток sss. <programlisting> +[General] +Verbosity = 2 +# домен має бути синхронізовано між сервером NFSv4 та клієнтами +# У Solaris/Illumos/AIX типово використовується "локальний домен"! +Domain = default + +[Mapping] +Nobody-User = nfsnobody +Nobody-Group = nfsnobody + +[Translation] +Method = sss +</programlisting> + </para> + </refsect1> + + <refsect1 id='see_also'> + <title>ТАКОЖ ПЕРЕГЛЯНЬТЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> <refentrytitle>idmapd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/uk/sss_seed.8.xml b/src/man/uk/sss_seed.8.xml new file mode 100644 index 0000000..d45a440 --- /dev/null +++ b/src/man/uk/sss_seed.8.xml @@ -0,0 +1,168 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>надсилає дані кешу SSSD щодо користувача</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg> <arg choice='plain'>-D +<replaceable>ДОМЕН</replaceable></arg> <arg choice='plain'>-n +<replaceable>КОРИСТУВАЧ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_seed</command> розповсюджує кеш SSSD з записом користувача і +тимчасовим паролем. Якщо запис користувача вже є у кеші SSSD, запис буде +оновлено зі встановленням тимчасового пароля. + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>ДОМЕН</replaceable> + </term> + <listitem> + <para> + Визначає назву домену, учасником якого є користувач. Домен використовується +для отримання даних щодо користувачів. Домен має бути налаштовано у +sssd.conf. Має бути надано аргумент <replaceable>ДОМЕН</replaceable>. Дані, +отримані з домену, матимуть вищий пріоритет за дані, вказані за допомогою +параметрів. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>КОРИСТУВАЧ</replaceable> + </term> + <listitem> + <para> + Ім’я користувача, запис якого слід створити або змінити у кеші. Має бути +вказано аргумент <replaceable>КОРИСТУВАЧ</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>ідентифікатор +користувача</replaceable> + </term> + <listitem> + <para> + Встановити UID користувача у значення <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + Встановити GID користувача у значення <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>КОМЕНТАР</replaceable> + </term> + <listitem> + <para> + Будь-який рядок тексту, що описує користувача. Часто використовується для +зберігання паспортного імені користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>ДОМАШНІЙ_КАТАЛОГ</replaceable> + </term> + <listitem> + <para> + Встановити домашній каталог користувача у значення +<replaceable>ДОМАШНІЙ_КАТАЛОГ</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> +<replaceable>ОБОЛОНКА</replaceable> + </term> + <listitem> + <para> + Встановити оболонку реєстрації користувача у значення +<replaceable>ОБОЛОНКА</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Інтерактивний режим для введення даних користувача. У разі використання +цього параметра програма надсилатиме запит лише щодо даних, які не було +отримано з параметрів команди або домену. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>ФАЙЛ_ПАРОЛІВ</replaceable> + </term> + <listitem> + <para> + Вказати файл, звідки слід читати дані щодо паролів користувачів. Якщо пароль +не буде знайдено, програма надішле запит на його введення. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Довжина пароля (або розмір файла, визначеного за допомогою параметра -p або +--password-file) має бути меншою або рівною PASS_MAX байтів (64 байти у +системах без визначеного на загальному рівні значення PASS_MAX). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_ssh_authorizedkeys.1.xml b/src/man/uk/sss_ssh_authorizedkeys.1.xml new file mode 100644 index 0000000..93529f1 --- /dev/null +++ b/src/man/uk/sss_ssh_authorizedkeys.1.xml @@ -0,0 +1,145 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_authorizedkeys</refname> + <refpurpose>отримати уповноважені ключі OpenSSH</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_authorizedkeys</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg> <arg +choice='plain'><replaceable>КОРИСТУВАЧ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_ssh_authorizedkeys</command> отримує відкриті ключі SSH для +користувача <replaceable>КОРИСТУВАЧ</replaceable> і виводить їх у форматі +authorized_keys OpenSSH (щоб дізнатися більше, див. розділ <quote>ФОРМАТ +ФАЙЛІВ AUTHORIZED_KEYS</quote> на сторінці підручника (man) з +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>). + </para> + <para> + <citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> можна налаштувати на використання +<command>sss_ssh_authorizedkeys</command> для розпізнавання користувачів за +відкритими ключами, якщо програму зібрано із підтримкою параметра +<quote>AuthorizedKeysCommand</quote>. Будь ласка, зверніться до сторінки +підручника <citerefentry> <refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>, щоб дізнатися більше про цей +параметр. + </para> + <para> + Якщо передбачено підтримку <quote>AuthorizedKeysCommand</quote>, +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> можна налаштувати на використання +ключів за допомогою таких інструкцій у <citerefentry> +<refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>: <programlisting> + AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys + AuthorizedKeysCommandUser nobody +</programlisting> + </para> + + <refsect2 id='cert_keys'> + <title>КЛЮЧІ З СЕРТИФІКАТІВ</title> + <para> + Окрім відкрити ключів SSH для користувача +<replaceable>КОРИСТУВАЧ</replaceable>, +<command>sss_ssh_authorizedkeys</command> може повертати ключі SSH, які +походять від відкритого ключа сертифіката X.509. + </para> + <para> + Щоб уможливити це, слід встановити для параметра +<quote>ssh_use_certificate_keys</quote> значення true (типове значення) у +розділі [ssh] файла <filename>sssd.conf</filename>. Якщо запис користувача +містить сертифікати (див <quote>ldap_user_certificate</quote> на сторінці +<citerefentry><refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>, щоб дізнатися більше) або існує +сертифікат у записі перевизначення для користувача +(див. <citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> або +<citerefentry><refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>, щоб дізнатися більше), а сертифікат +є чинним, SSSD видобуде відкритий ключі з сертифіката і перетворить його до +формату, який може використовувати sshd. + </para> + <para> + Окрім <quote>ssh_use_certificate_keys</quote>, може бути використано +параметри + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + для керування способом встановлення чинності сертифікатів (докладніше +див. <citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>). + </para> + <para> + Перевірка чинності є перевагою використання сертифікатів X.509 замість +ключів SSH безпосередньо, оскільки, наприклад, це поліпшує можливості +керування часом придатності ключів. Якщо клієнт ssh налаштовано не +використання закритих ключів з смарткартки за допомогою бібліотеки PKCS#11 +спільного використання +(див. <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry>, щоб дізнатися більше), може +дратувати те, що розпізнавання залишається працездатним, навіть якщо +пов'язаний із ним сертифікат X.509 на смарткартці вже втратив чинність, +оскільки ні <command>ssh</command>, ні <command>sshd</command> не братимуть +сертифікат до уваги взагалі. + </para> + <para> + Слід зауважити, що похідний відкритий ключ SSH все одно можна додати до +файла <filename>authorized_keys</filename> користувача, щоб обійти перевірку +чинності сертифіката, якщо налаштування <command>sshd</command> надають +змогу це робити. + </para> + </refsect2> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>ДОМЕН</replaceable> + </term> + <listitem> + <para> + Шукати відкриті ключі користувачів у домені SSSD +<replaceable>ДОМЕН</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>СТАН ВИХОДУ</title> + <para> + У випадку успіху значення стану виходу дорівнює 0. У всіх інших випадках +програма повертає 1. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sss_ssh_knownhostsproxy.1.xml b/src/man/uk/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..d3365ed --- /dev/null +++ b/src/man/uk/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,107 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_knownhostsproxy</refname> + <refpurpose>отримати ключі вузла OpenSSH</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg> <arg +choice='plain'><replaceable>ВУЗОЛ</replaceable></arg> <arg +choice='opt'><replaceable>КОМАНДА_ПРОКСІ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sss_ssh_knownhostsproxy</command> отримує відкриті ключі вузла SSH +для вузла <replaceable>ВУЗОЛ</replaceable>, зберігає їх до нетипового файла +OpenSSH known_hosts (щоб дізнатися більше, ознайомтеся з розділом +<quote>ФОРМАТ ФАЙЛІВ SSH_KNOWN_HOSTS</quote> сторінки підручника (man) +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) за адресою +<filename>/var/lib/sss/pubconf/known_hosts</filename> і встановлює з’єднання +з вузлом. + </para> + <para> + Якщо вказано параметр <replaceable>КОМАНДА_ПРОКСІ</replaceable>, замість +відкриття сокета для створення з’єднання буде використано відповідну +команду. + </para> + <para> + <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> можна налаштувати на використання +<command>sss_ssh_knownhostsproxy</command> для розпізнавання вузлів за +ключами за допомогою таких інструкцій у налаштуваннях +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry>: <programlisting> +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts +</programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-p</option>,<option>--port</option> <replaceable>ПОРТ</replaceable> + </term> + <listitem> + <para> + Використовувати для встановлення з’єднання з вузлом порт +<replaceable>ПОРТ</replaceable>. Типовим портом є порт 22. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>ДОМЕН</replaceable> + </term> + <listitem> + <para> + Шукати відкриті ключі вузлів у домені SSSD <replaceable>ДОМЕН</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-k</option>,<option>--pubkey</option> + </term> + <listitem> + <para> + Вивести відкриті ключі SSH для вузла <replaceable>HOST</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>СТАН ВИХОДУ</title> + <para> + У випадку успіху значення стану виходу дорівнює 0. У всіх інших випадках +програма повертає 1. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssctl.8.xml b/src/man/uk/sssctl.8.xml new file mode 100644 index 0000000..745197b --- /dev/null +++ b/src/man/uk/sssctl.8.xml @@ -0,0 +1,65 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssctl</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssctl</refname> + <refpurpose>Засіб керування і визначення стану SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssctl</command> <arg +choice='plain'><replaceable>КОМАНДА</replaceable></arg> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + <command>sssctl</command> є простим і уніфікованим засобом отримання даних +щодо стану SSSD, зокрема активного сервера, серверів автоматичного +визначення, доменів і кешованих об'єктів. Крім того, програма здатна +керувати файлами даних SSSD для усування вад у такий спосіб, щоб з ними +можна було безпечно працювати, доки працює SSSD. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>ДОСТУПНІ КОМАНДИ</title> + <para> + Щоб ознайомитися зі списком усіх доступних команд, віддайте команду +<command>sssctl</command> без параметрів. Щоб програма вивела довідкове +повідомлення щодо певної команди, віддайте команду <command>sssctl КОМАНДА +--help</command>. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ЗАГАЛЬНІ ПАРАМЕТРИ</title> + <para> + Ці параметри можна використовувати з усіма командами. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>РІВЕНЬ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-ad.5.xml b/src/man/uk/sssd-ad.5.xml new file mode 100644 index 0000000..cbf0ba3 --- /dev/null +++ b/src/man/uk/sssd-ad.5.xml @@ -0,0 +1,1320 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ad</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ad</refname> + <refpurpose>Модуль надання даних Active Directory SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування засобу керування доступом AD +для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Засіб надання даних AD є модулем, який використовується для встановлення +з'єднання із сервером Active Directory. Для роботи цього засобу надання +даних потрібно, щоб комп'ютер було долучено до домену AD і щоб було +доступним сховище ключів. Обмін даними із модулем відбувається за допомогою +каналу із шифруванням GSSAPI. Із засобом надання даних AD не слід +використовувати параметри SSL/TLS, оскільки їх перекриває використання +Kerberos. + </para> + <para> + У засобі надання даних AD передбачено підтримку встановлення з’єднання з +Active Directory 2008 R2 або пізнішою версією. Робота з попередніми версіями +можлива, але не підтримується. + </para> + <para> + Засобом надання даних AD можна скористатися для отримання даних щодо +користувачів і розпізнавання користувачів за допомогою довірених доменів. У +поточній версії передбачено підтримку використання лише довірених доменів з +того самого лісу. Крім того автоматично визначаються сервери із довірених +доменів. + </para> + <para> + Засіб надання даних AD уможливлює для SSSD використання засобу надання даних +профілів <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> та засобу надання даних +розпізнавання <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> з оптимізацією для середовищ Active +Directory. Засіб надання даних AD приймає ті самі параметри, які +використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими +виключеннями. Втім, встановлювати ці параметри не обов'язково і не +рекомендовано. + </para> + <para> + Засіб надання даних AD в основному копіює типові параметри традиційних +засобів надання даних ldap і krb5 із деякими виключенням. Відмінності +наведено у розділі <quote>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</quote>. + </para> + <para> + Інструментом надання даних AD також можна скористатися для доступу, зміни +паролів запуску від імені користувача (sudo) та використання autofs. У +налаштовуванні керування доступом на боці клієнта немає потреби. + </para> + <para> + Якщо у sssdconf вказано <quote>auth_provider=ad</quote> або +<quote>access_provider=ad</quote>, для id_provider також має бути вказано +<quote>ad</quote>. + </para> + <para> + Типово, модуль надання даних AD виконуватиме прив’язку до значень UID та GID +з параметра objectSID у Active Directory. Докладніший опис наведено у +розділі «ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ». Якщо вам потрібно +вимкнути встановлення відповідності ідентифікаторів і покладатися на +атрибути POSIX, визначені у Active Directory, вам слід встановити +<programlisting> +ldap_id_mapping = False + </programlisting> Якщо має бути використано +атрибути POSIX, рекомендуємо з міркувань швидкодії виконувати також +реплікацію атрибутів до загального каталогу. Якщо виконується реплікація +атрибутів POSIX, SSSD намагатиметься знайти домен числового ідентифікатора +із запиту за допомогою загального каталогу і шукатиме лише цей домен. І +навпаки, якщо реплікація атрибутів POSIX до загального каталогу не +відбувається, SSSD доводиться шукати на усіх доменах у лісі послідовно. Будь +ласка, зауважте, що для пришвидшення пошуку без доменів також може бути +корисним використання параметра <quote>cache_first</quote>. Зауважте, що +якщо у загальному каталозі є лише підмножина атрибутів POSIX, у поточній +версії невідтворювані атрибути з порту LDAP не читатимуться. + </para> + <para> + Дані щодо користувачів, груп та інших записів, які обслуговуються SSSD, у +модулі надання даних AD завжди обробляються із врахуванням регістру символів +для забезпечення сумісності з реалізацією Active Directory у LDAP. + </para> + <para> + SSSD може встановлювати відповідність лише груп захисту Active +Directory. Щоб дізнатися більше про типи груп AD, ознайомтеся із <ulink +url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups"> +підручником з груп захисту Active Directory</ulink> + </para> + <para> + SSSD відфільтровуватиме локальні для домену групи від віддалених доменів у +лісі AD. Типово, групи буде відфільтровано, наприклад при слідуванні за +вкладеною ієрархією груп у віддалених доменах, оскільки вони не є чинними у +локальних доменах. Так зроблено для забезпечення узгодженості з призначенням +груп і участі у них Active Directory, яку можна переглянути у PAC квитка +Kerberos користувача, який видано Active Directory. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para>Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштування домену SSSD. <variablelist> + <varlistentry> + <term>ad_domain (рядок)</term> + <listitem> + <para> + Визначає назву домену Active Directory. Є необов’язковим. Якщо не вказано, +буде використано назву домену з налаштувань. + </para> + <para> + Для забезпечення належної роботи цей параметр слід вказати у форматі запису +малими літерами повної версії назви домену Active Directory. + </para> + <para> + Скорочена назва домену (також відома як назва NetBIOS або проста назва) +автоматично визначається засобами SSSD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enabled_domains (рядок)</term> + <listitem> + <para> + A comma-separated list of enabled Active Directory domains. If provided, +SSSD will ignore any domains not listed in this option. If left unset, all +discovered domains from the AD forest will be available. + </para> + <para> + During the discovery of the domains SSSD will filter out some domains where +flags or attributes indicate that they do not belong to the local forest or +are not trusted. If ad_enabled_domains is set, SSSD will try to enable all +listed domains. + </para> + <para> + Для належного функціонування значення цього параметра має бути вказано +малими літерами у форматі повної назви домену Active Directory. Приклад: +<programlisting> +ad_enabled_domains = sales.example.com, eng.example.com + </programlisting> + </para> + <para> + Скорочена назва домену (також відома як назва NetBIOS або проста назва) +автоматично визначається засобами SSSD. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_server, ad_backup_server (рядок)</term> + <listitem> + <para> + Список назв тих вузлів серверів AD, відокремлених комами, з якими SSSD має +встановлювати з'єднання у порядку пріоритетності. Щоб дізнатися більше про +резервне використання серверів, ознайомтеся із розділом +<quote>РЕЗЕРВ</quote>. + </para> + <para> + Цей список є необов’язковим, якщо увімкнено автоматичне виявлення +служб. Докладніші відомості щодо автоматичного виявлення служб наведено у +розділі «ПОШУК СЛУЖБ». + </para> + <para> + Зауваження: довірені домени завжди автоматично визначають сервери, навіть +якщо основний сервер явним чином визначено у параметрі ad_server. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_hostname (рядок)</term> + <listitem> + <para> + Є необов'язковим. У системах, де hostname(5) не видає повноцінної назви, +sssd намагається розгорнути скорчену назву. Якщо це не вдасться зробити або +слід насправді використовувати скорочену назву, встановіть значення +параметра явним чином. + </para> + <para> + Це поле використовується для визначення використаного реєстраційного запису +вузла у таблиці ключів та виконання динамічних оновлень DNS. Його вміст має +збігатися із назвою вузла, для якого випущено таблицю ключів. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_dns_sites (булеве значення)</term> + <listitem> + <para> + Вмикає сайти DNS — визначення служб на основі адрес. + </para> + <para> + Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо +пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку +спробує визначити сервер Active Directory для встановлення з’єднання на +основі використання визначення сайтів Active Directory і повертається до +визначення за записами SRV DNS, якщо сайт AD не буде знайдено. Налаштування +SRV DNS, зокрема домен пошуку, використовуються також під час визначення +сайтів. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_access_filter (рядок)</term> + <listitem> + <para> + Цей параметр визначає фільтр керування доступом LDAP, якому має відповідати +запис користувача для того, щоб йому було надано доступ. Будь ласка, +зауважте, що слід явним чином встановити для параметра «access_provider» +значення «ad», щоб цей параметр почав діяти. + </para> + <para> + У параметрі також передбачено підтримку визначення різних фільтрів для +окремих доменів або дерев. Цей розширений фільтр повинен мати такий формат: +«КЛЮЧОВЕ СЛОВО:НАЗВА:ФІЛЬТР». Набір підтримуваних ключових слів: «DOM», +«FOREST» або ключове слово слід пропустити. + </para> + <para> + Якщо вказано ключове слово «DOM» або ключового слова не вказано, «НАЗВА» +визначає домен або піддомен, до якого застосовується фільтрування. Якщо +ключовим словом є «FOREST», фільтр застосовується до усіх доменів з лісу, +вказаного значенням «НАЗВА». + </para> + <para> + Декілька фільтрів можна відокремити символом «?», подібно до способу +визначення фільтрів у базах для пошуку. + </para> + <para> + Визначення участі у вкладених групах має відбуватися із використанням +спеціалізованого OID <quote>:1.2.840.113556.1.4.1941:</quote>, окрім повних +синтаксичних конструкцій DOM:domain.example.org:, щоб засіб обробки не +намагався інтерпретувати символи двокрапки, пов'язані з OID. Якщо ви не +використовуєте цей OID, вкладена участь у групах не +визначатиметься. Ознайомтеся із прикладом використання, який наведено нижче, +і цим посиланням, щоб дізнатися більше про OID: <ulink +url="https://msdn.microsoft.com/en-us/library/cc223367.aspx">[MS-ADTS] +Правила встановлення відповідності у LDAP</ulink> + </para> + <para> + Завжди використовується відповідник з найвищим рівнем +відповідності. Наприклад, якщо визначено фільтрування для домену, учасником +якого є користувач, і загальне фільтрування, буде використано фільтрування +для окремого домену. Якщо буде виявлено декілька відповідників з однаковою +специфікацією, використовуватиметься лише перший з них. + </para> + <para> + Приклади: + </para> + <programlisting> +# застосувати фільтрування лише для домену з назвою dom1: +dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com) + +# застосувати фільтрування лише для домену з назвою dom2: +DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com) + +# застосувати фільтрування лише для лісу з назвою EXAMPLE.COM: +FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com) + +# застосувати фільтрування до учасника вкладеної групи у dom1: +DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com) + </programlisting> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_site (рядок)</term> + <listitem> + <para> + Визначає сайт AD, з яким має встановлювати з’єднання клієнт. Якщо не буде +вказано, виконуватиметься спроба автоматичного визначення сайта AD. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_gc (булеве значення)</term> + <listitem> + <para> + Типово, SSSD для отримання даних користувачів з надійних (довірених) доменів +спочатку встановлює з’єднання із загальним каталогом (Global Catalog). Якщо +ж отримати дані не вдасться, система використовує порт LDAP для отримання +даних щодо участі у групах. Вимикання цього параметра призведе до того, що +SSSD встановлюватиме зв’язок лише з портом LDAP поточного сервера AD. + </para> + <para> + Будь ласка, зауважте, що вимикання підтримки загального каталогу (Global +Catalog) не призведе до вимикання спроб отримати дані користувачів з +надійних (довірених) доменів. Просто SSSD намагатиметься отримати ці ж дані +за допомогою порту LDAP надійних доменів. Втім, загальним каталогом (Global +Catalog) доведеться скористатися для визначення зв’язків даних щодо участі у +групах для різних доменів. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_access_control (рядок)</term> + <listitem> + <para> + Цей параметр визначає режим роботи для функціональних можливостей керування +доступом на основі GPO: працюватиме система у вимкненому режимі, режимі +примушення чи дозвільному режимі. Будь ласка, зауважте, що для того, щоб цей +параметр запрацював, слід явним чином встановити для параметра +«access_provider» значення «ad». + </para> + <para> + Функціональні можливості з керування доступом на основі GPO використовують +параметри правил GPO для визначення того, може чи не може той чи інший +користувач увійти до системи вузла мережі. Якщо вам потрібна докладніша +інформація щодо підтримуваних параметрів правил, зверніться до параметрів +<quote>ad_gpo_map</quote>. + </para> + <para> + Будь ласка, зверніть увагу на те, що у поточній версії SSSD не передбачено +підтримки вбудованих груп Active Directory Вбудовані групи до правил +керування доступом на основі GPO (зокрема Administrators із SID +S-1-5-32-544) SSSD просто ігноруватиме. Див. запис системи стеження за +вадами https://pagure.io/SSSD/sssd/issue/5063 . + </para> + <para> + Перед виконанням керування доступом SSSD застосовує захисне фільтрування на +основі правил груп до списку GPO. Для кожного входу користувача до системи +програма перевіряє застосовність GPO, які пов'язано із відповідним +вузлом. Щоб GPO можна було застосувати до користувача, користувач або +принаймні одна з груп, до яких він належить, повинен мати такі права доступу +до GPO: + <itemizedlist> + <listitem> + <para> + Read: користувач або одна з його груп повинна мати доступ до читання +властивостей GPO (RIGHT_DS_READ_PROPERTY) + </para> + </listitem> + <listitem> + <para> + Apply Group Policy: користувач або принаймні одна з його груп повинна мати +доступ до застосування GPO (RIGHT_DS_CONTROL_ACCESS). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Типово, у GPO є група Authenticated Users, для якої встановлено одразу права +доступу Read та Apply Group Policy. Оскільки розпізнавання користувача має +бути успішно завершено до захисного фільтрування GPO і запуску керування +доступом, до облікового запису користувача завжди застосовуються права +доступу групи Authenticated Users щодо GPO. + </para> + <para> + ЗАУВАЖЕННЯ: якщо встановлено режим роботи «примусовий» (enforcing), можлива +ситуація, коли користувачі, які раніше мали доступ до входу, позбудуться +такого доступу (через використання параметрів правил GPO). З метою полегшити +перехід на нову систему для адміністраторів передбачено дозвільний режим +доступу (permissive), за якого правила керування доступом не +встановлюватимуться у примусовому порядку. Програма лише перевірятиме +відповідність цим правилам і виводитиме до системного журналу повідомлення, +якщо доступ було надано усупереч цим правилам. Вивчення журналу надасть +змогу адміністраторам внести відповідні зміни до встановлення примусового +режиму (enforcing). Для запису до журналу даних керування доступом на основі +GPO потрібен рівень діагностики «trace functions» (див. сторінку підручника +<citerefentry> <refentrytitle>sssctl</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>). + </para> + <para> + У цього параметра є три підтримуваних значення: + <itemizedlist> + <listitem> + <para> + disabled: правила керування доступом, засновані на GPO, не обробляються і не +використовуються примусово. + </para> + </listitem> + <listitem> + <para> + enforcing: правила керування доступом, засновані на GPO, обробляються і +використовуються примусово. + </para> + </listitem> + <listitem> + <para> + permissive: виконати перевірку відповідності правилам керування доступом на +основі GPO, але не наполягати на їхньому виконанні. Якщо правила не +виконуються, вивести до системного журналу повідомлення про те, що +користувачеві було б заборонено доступ, якби використовувався режим +enforcing. + </para> + </listitem> + </itemizedlist> + </para> + <para condition="gpo_default_permissive"> + Типове значення: permissive + </para> + <para condition="gpo_default_enforcing"> + Типове значення: enforcing + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_implicit_deny (булеве значення)</term> + <listitem> + <para> + Зазвичай, якщо не буде знайдено відповідних GPO, користувачам буде надано +доступ. Якщо для цього параметра встановлено значення True, доступ +користувачам надаватиметься, лише якщо його явним чином дозволено правилом +GPO. Якщо ж такого дозвільного правила не буде виявлено, доступ буде +заборонено. Цим можна скористатися для підвищення рівня захисту, але слід +бути обережним із використанням цього параметра, оскільки за його допомогою +можна заборонити доступ навіть користувачам у вбудованій групі +Administrators, якщо немає правил GPO, якими надається такий доступ. + </para> + + <para> + Типове значення: False + </para> + + <para> + У наведених нижче двох таблицях проілюстровано ситуації, у яких +користувачеві буде дозволено або відмовлено у доступі на основі прав дозволу +або заборони входу, які визначено на боці сервера, і встановленого значення +ad_gpo_implicit_deny. + </para> + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = False (типове значення)</entry></row> + <row><entry>allow-rules</entry><entry>deny-rules</entry> + <entry>результати</entry></row> + </thead> + <tbody> + <row><entry>missing</entry><entry>missing</entry> + <entry><para>дозволені усі користувачі</para> + </entry></row> + <row><entry>missing</entry><entry>present</entry> + <entry><para>дозволені лише користувачі, яких немає у deny-rules</para></entry></row> + <row><entry>present</entry><entry>missing</entry> + <entry><para>дозволені лише користувачі, які є у allow-rules</para></entry></row> + <row><entry>present</entry><entry>present</entry> + <entry><para>дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules</para></entry></row> + </tbody></tgroup></informaltable> + + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = True</entry></row> + <row><entry>allow-rules</entry><entry>deny-rules</entry> + <entry>результати</entry></row> + </thead> + <tbody> + <row><entry>missing</entry><entry>missing</entry> + <entry><para>заборонено усіх користувачів</para> + </entry></row> + <row><entry>missing</entry><entry>present</entry> + <entry><para>заборонено усіх користувачів</para> + </entry></row> + <row><entry>present</entry><entry>missing</entry> + <entry><para>дозволені лише користувачі, які є у allow-rules</para></entry></row> + <row><entry>present</entry><entry>present</entry> + <entry><para>дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules</para></entry></row> + </tbody></tgroup></informaltable> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_ignore_unreadable (булеве значення)</term> + <listitem> + <para> + Зазвичай, якщо певні контейнери правил групи (об'єкта AD) відповідних +об'єктів правил груп є непридатним до читання з SSSD, доступ користувачам +буде заборонено. За допомогою цього параметра можна проігнорувати контейнери +правил груп та пов'язані із ними правила, якщо їхні атрибути у контейнерах +правил груп є непридатним до читання з SSSD. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + + + <varlistentry> + <term>ad_gpo_cache_timeout (ціле число)</term> + <listitem> + <para> + Проміжок часу між послідовними пошуками файлів правил GPO щодо сервера +AD. Зміна може зменшити час затримки та навантаження на сервер AD, якщо +протягом короткого періоду часу надходить багато запитів щодо керування +доступом. + </para> + <para> + Типове значення: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_interactive (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +InteractiveLogonRight і DenyInteractiveLogonRight. Виконуватиметься оцінка +лише тих GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із +оброблених GPO міститься параметр заборони інтерактивного входу до системи +для користувача або однієї з його груп, користувачеві буде заборонено +локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права +на інтерактивний вхід до системи, користувачеві буде надано локальний +доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на +інтерактивний вхід до системи, користувачеві буде надано лише локальний +доступ, якщо він або принаймні одна з його груп є частиною параметрів +правила. + </para> + <para> + Зауваження: у редакторі керування правилами для груп це значення має назву +«Дозволити локальний вхід» («Allow log on locally») та «Заборонити локальний +вхід» («Deny log on locally»). + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «login») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_interactive = +my_pam_service, -login + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-fingerprint + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + lightdm + </para> + </listitem> + <listitem> + <para> + lxdm + </para> + </listitem> + <listitem> + <para> + sddm + </para> + </listitem> + <listitem> + <para> + unity + </para> + </listitem> + <listitem> + <para> + xdm + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_remote_interactive (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +RemoteInteractiveLogonRight і +DenyRemoteInteractiveLogonRight. Виконуватиметься оцінка лише тих GPO, до +яких користувач має права доступу Read і Apply Group Policy (див. параметр +<quote>ad_gpo_access_control</quote>). Якщо у якомусь із оброблених GPO +міститься параметр заборони віддаленого входу до системи для користувача або +однієї з його груп, користувачеві буде заборонено віддалений інтерактивний +доступ. Якщо для жодного із оброблених GPO немає визначеного права на +віддалений вхід до системи, користувачеві буде надано віддалений +доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на +віддалений вхід до системи, користувачеві буде надано лише віддалений +доступ, якщо він або принаймні одна з його груп є частиною параметрів +правила. + </para> + <para> + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід за допомогою служб віддаленої стільниці» («Allow +log on through Remote Desktop Services») та «Заборонити вхід за допомогою +служб віддаленої стільниці» («Deny log on through Remote Desktop Services»). + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «sshd») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_remote_interactive = +my_pam_service, -sshd + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + sshd + </para> + </listitem> + <listitem> + <para> + cockpit + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_network (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +NetworkLogonRight і DenyNetworkLogonRight. Виконуватиметься оцінка лише тих +GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із +оброблених GPO міститься параметр заборони входу до системи за допомогою +мережі для користувача або однієї з його груп, користувачеві буде заборонено +локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права +на вхід до системи за допомогою мережі, користувачеві буде надано доступ до +входу. Якщо хоча б одному зі оброблених GPO містяться параметри прав на вхід +до системи за допомогою мережі, користувачеві буде надано лише доступ до +входу до системи, якщо він або принаймні одна з його груп є частиною +параметрів правила. + </para> + <para> + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Відкрити доступ до цього комп’ютера із мережі» («Access this +computer from the network») і «Заборонити доступ до цього комп’ютера із +мережі» (Deny access to this computer from the network»). + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «ftp») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_network = +my_pam_service, -ftp + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + ftp + </para> + </listitem> + <listitem> + <para> + samba + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_batch (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +BatchLogonRight і DenyBatchLogonRight. Виконуватиметься оцінка лише тих GPO, +до яких користувач має права доступу Read і Apply Group Policy +(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із +оброблених GPO міститься параметр заборони пакетного входу до системи для +користувача або однієї з його груп, користувачеві буде заборонено доступ до +пакетного входу до системи. Якщо для жодного із оброблених GPO немає +визначеного права на пакетний вхід до системи, користувачеві буде надано +доступ до входу до системи. Якщо хоча б одному зі оброблених GPO містяться +параметри прав на пакетний вхід до системи, користувачеві буде надано лише +доступ до входу до системи, якщо він або принаймні одна з його груп є +частиною параметрів правила. + </para> + <para> + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід як пакетне завдання» («Allow log on as a batch +job») і «Заборонити вхід як пакетне завдання» («Deny log on as a batch +job»). + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «crond») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_batch = +my_pam_service, -crond + </programlisting> + </para> + <para>Зауваження: назва служби cron у різних дистрибутивах Linux може бути різною.</para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + crond + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_service (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +ServiceLogonRight і DenyServiceLogonRight. Виконуватиметься оцінка лише тих +GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр <quote>ad_gpo_access_control</quote>). Якщо у якомусь із +оброблених GPO міститься параметр заборони входу до системи за допомогою +служб для користувача або однієї з його груп, користувачеві буде заборонено +вхід до системи за допомогою служб. Якщо для жодного із оброблених GPO немає +визначеного права на вхід до системи за допомогою служб, користувачеві буде +надано доступ до входу до системи. Якщо хоча б одному зі оброблених GPO +містяться параметри прав на вхід до системи за допомогою служб, +користувачеві буде надано лише доступ до входу до системи, якщо він або +принаймні одна з його груп є частиною параметрів правила. + </para> + <para> + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід як службу» («Allow log on as a service») і +«Заборонити вхід як службу» («Deny log on as a service»). + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби +з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати +нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_service = +my_pam_service + </programlisting> + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_permit (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, яким завжди надається доступ на +основі GPO, незалежно від будь-яких прав входу GPO. + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для безумовного дозволеного доступу +(наприклад, «sudo») з нетиповою назвою служби pam (наприклад, +«my_pam_service»), вам слід скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_permit = +my_pam_service, -sudo + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + polkit-1 + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + systemd-user + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_deny (рядок)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, яким завжди заборонено доступ +на основі GPO, незалежно від будь-яких прав входу GPO. + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби +з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати +нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: <programlisting> +ad_gpo_map_deny = +my_pam_service + </programlisting> + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_default_right (рядок)</term> + <listitem> + <para> + За допомогою цього параметра визначається спосіб керування доступом для назв +служб PAM, які не вказано явним чином у одному з параметрів +ad_gpo_map_*. Цей параметр може бути встановлено у два різних +способи. По-перше, цей параметр можна встановити так, що +використовуватиметься типовий вхід. Наприклад, якщо для цього параметра +встановлено значення «interactive», непов’язані назви служб PAM +оброблятимуться на основі параметрів правил InteractiveLogonRight і +DenyInteractiveLogonRight. Крім того, для цього параметра можна встановити +таке значення, щоб система завжди дозволяла або забороняла доступ для +непов’язаних назв служб PAM. + </para> + <para> + Передбачені значення для цього параметра: + <itemizedlist> + <listitem> + <para> + interactive + </para> + </listitem> + <listitem> + <para> + remote_interactive + </para> + </listitem> + <listitem> + <para> + network + </para> + </listitem> + <listitem> + <para> + batch + </para> + </listitem> + <listitem> + <para> + service + </para> + </listitem> + <listitem> + <para> + permit + </para> + </listitem> + <listitem> + <para> + deny + </para> + </listitem> + </itemizedlist> + </para> + <para> + Типове значення: deny + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_maximum_machine_account_password_age (ціле число)</term> + <listitem> + <para> + SSSD перевірятиме раз на день, чи має пароль до облікового запису комп'ютера +вік, який перевищує заданий вік у днях, і намагатиметься оновити +його. Значення 0 вимкне спроби оновлення. + </para> + <para> + Типове значення: 30 днів + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_machine_account_password_renewal_opts (рядок)</term> + <listitem> + <para> + Цей параметр має використовуватися лише для перевірки завдання із оновлення +облікових записів комп'ютерів. Параметру слід передати цілих числа, +відокремлених двокрапкою («:»). Перше ціле число визначає інтервал у +секундах між послідовними повторними виконаннями завдання з оновлення. Друге +— визначає початковий час очікування на перший запуск завдання. + </para> + <para> + Типове значення: 86400:750 (24 годин і 15 хвилин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_update_samba_machine_account_password (булеве значення)</term> + <listitem> + <para> + Якщо увімкнено, при оновленні SSSD пароля до облікового запису комп'ютера +програма також оновить запис пароля у базі даних Samba. Таким чином буде +забезпечено актуальність копії пароля до облікового запису у Samba, якщо її +налаштовано на використання AD для розпізнавання. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_use_ldaps (булеве значення)</term> + <listitem> + <para> + Типово, у SSSD використовується звичайний порт LDAP 389 і порт Global +Catalog 3628. Якщо для цього параметра встановлено значення True, SSSD +використовуватиме порт LDAPS 636 і порт Global Catalog 3629 із захистом +LDAPS. Оскільки AD забороняє використання декількох шарів шифрування для +одного з'єднання, і нам усе ще потрібне використання SASL/GSSAPI або +SASL/GSS-SPNEGO для розпізнавання, властивість захисту SASL maxssf для таких +з'єднань буде встановлено у значення 0 (нуль). + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_allow_remote_domain_local_groups (булеве значення)</term> + <listitem> + <para> + Якщо для цього параметра встановлено значення <quote>true</quote>, SSSD не +відфільтровуватиме локальні для домену групи від віддалених доменів у лісі +AD. Типово, групи буде відфільтровано, наприклад при слідуванні за вкладеною +ієрархією груп у віддалених доменах, оскільки вони не є чинними у локальних +доменах. Цей параметр було додано для сумісності із іншими рішеннями, які +роблять користувачів і групи AD доступними у клієнті Linux. + </para> + <para> + Будь ласка, зауважте, що встановлення для цього параметра значення +<quote>true</quote> суперечить призначенню локальної групи домену в Active +Directory, <emphasis>НИМ СЛІД КОРИСТУВАТИСЯ ЛИШЕ ДЛЯ ПОЛЕГШЕННЯ МІГРАЦІЇ З +ІНШИХ РІШЕНЬ</emphasis>. Хоча група існує і користувач може бути учасником +групи, їх призначено для використання лише у визначеному для неї домену, а +не в інших. Оскільки існує лише один тип груп POSIX, єдиним способом досягти +цього з боку Linux є ігнорування цих груп. Зробити це можна також у Active +Directory, як можна бачити у PAC квитка Kerberos для локальної служби, або у +запитах tokenGroups, де також немає віддалених груп локальних доменів. + </para> + <para> + З огляду на наведені вище коментарі, якщо для цього параметра встановлено +значення <quote>true</quote>, запит tokenGroups має бути вимкнено +встановленням <quote>ldap_use_tokengroups</quote> у значення +<quote>false</quote> для отримання узгодженого членства користувачів у +групах. Крім того, пошук у загальному каталозі має бути пропущено +встановленням для параметра <quote>ad_enable_gc</quote> значення +<quote>false</quote>. Нарешті, можливо, слід внести зміни до +<quote>ldap_group_nesting_level</quote>, якщо віддалені локальні групи +домену може бути знайдено лише на глибшому рівні вкладеності. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (булеве значення)</term> + <listitem> + <para> + Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично +оновити IP-адресу цього клієнта на сервері DNS Active Directory. Захист +оновлення буде забезпечено за допомогою GSS-TSIG. Як наслідок, +адміністраторові Active Directory достатньо буде дозволити оновлення безпеки +для зони DNS. Для оновлення буде використано IP-адресу з’єднання LDAP AD, +якщо цю адресу не було змінено за допомогою параметра «dyndns_iface». + </para> + <para> + ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у +цьому режимі типову область дії Kerberos має бути належним чином визначено у +/etc/krb5.conf + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (ціле число)</term> + <listitem> + <para> + TTL, до якого буде застосовано клієнтський запис DNS під час його +оновлення. Якщо dyndns_update має значення false, цей параметр буде +проігноровано. Перевизначає TTL на боці сервера, якщо встановлено +адміністратором. + </para> + <para> + Типове значення: 3600 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (рядок)</term> + <listitem> + <para> + Необов'язковий. Застосовний, лише якщо dyndns_update має значення +true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути +використано для динамічних оновлень DNS. Спеціальне значення +<quote>*</quote> означає, що слід використовувати IP-адреси з усіх +інтерфейсів. + </para> + <para> + Типове значення: використовувати IP-адреси інтерфейсу, який використовується +для з’єднання LDAP AD + </para> + <para> + Приклад: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (ціле число)</term> + <listitem> + <para> + Визначає, наскільки часто серверний модуль має виконувати періодичні +оновлення DNS на додачу до автоматичного оновлення, яке виконується під час +кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не +є обов’язкоми, його застосовують, лише якщо dyndns_update має значення +true. Зауважте, що найменшим можливим значенням є 60 секунд. Якщо буде +вказано значення, яке є меншим за 60, використовуватиметься найменше можливе +значення. + </para> + <para> + Типове значення: 86400 (24 години) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів +DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + Типове значення: True + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну +даними з сервером DNS. + </para> + <para> + Типове значення: False (надати змогу nsupdate вибирати протокол) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (рядок)</term> + <listitem> + <para> + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + </para> + <para> + Типове значення: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (рядок)</term> + <listitem> + <para> + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + </para> + <para> + Типове значення: те саме, що і dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (рядок)</term> + <listitem> + <para> + Сервер DNS, який слід використовувати для виконання оновлення DNS. У +більшості конфігурацій рекомендуємо не встановлювати значення для цього +параметра. + </para> + <para> + Встановлення значення для цього параметра потрібне для середовищ, де сервер +DNS відрізняється від сервера профілів. + </para> + <para> + Будь ласка, зауважте, що цей параметр буде використано лише для резервних +спроб, якщо попередні спроби із використанням автовиявлення завершаться +невдало. + </para> + <para> + Типове значення: немає (надати nsupdate змогу вибирати сервер) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (булеве значення)</term> + <listitem> + <para> + Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім +оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один +крок. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + + <varlistentry> + <term>krb5_confd_path (рядок)</term> + <listitem> + <para> + Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти +налаштувань Kerberos. + </para> + <para> + Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра +значення «none». + </para> + <para> + Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf +SSSD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +<replaceable>[sssd]</replaceable>. У прикладі продемонстровано лише +параметри доступу, специфічні для засобу AD. + </para> + <para> +<programlisting> +[domain/EXAMPLE] +id_provider = ad +auth_provider = ad +access_provider = ad +chpass_provider = ad + +ad_server = dc1.example.com +ad_hostname = client.example.com +ad_domain = example.com +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Інструмент керування доступом AD перевіряє, чи не завершено строк дії +облікового запису. Дає той самий результат, що і ось таке налаштовування +інструмента надання даних LDAP: <programlisting> +access_provider = ldap +ldap_access_order = expire +ldap_account_expire_policy = ad +</programlisting> + </para> + <para> + Втім, якщо явно не налаштовано засіб надання доступу «ad», типовим засобом +надання доступу буде «permit». Будь ласка, зауважте, що якщо вами +налаштовано засіб надання доступу, відмінний від «ad», вам доведеться +встановлювати усі параметри з’єднання (зокрема адреси LDAP та параметри +шифрування) вручну. + </para> + <para> + Якщо для засобу надання даних autofs встановлено значення <quote>ad</quote>, +використовується схема прив'язки атрибутів RFC2307 (nisMap, nisObject, ...), +оскільки ці атрибути включено до типової схеми Active Directory. + </para> + <para> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-files.5.xml b/src/man/uk/sssd-files.5.xml new file mode 100644 index 0000000..de2c786 --- /dev/null +++ b/src/man/uk/sssd-files.5.xml @@ -0,0 +1,162 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-files</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-files</refname> + <refpurpose>Засіб надання файлів SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування засобу обробки файлів для +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Щоб дізнатися більше про синтаксис налаштування, зверніться +до розділу «ФОРМАТ ФАЙЛА» сторінки довідника <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Засіб надання даних файлів створює дзеркальну копію вмісту файлів +<citerefentry> <refentrytitle>passwd</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> і <citerefentry> +<refentrytitle>group</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Метою роботи засобу надання даних файлів є забезпечення +доступу до даних користувачів і груп, які традиційно доступні за допомогою +інтерфейсів NSS, також за допомогою інтерфейсів SSSD, зокрема <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Іншою причиною може бути потреба у забезпеченні ефективного кешування даних +локальних користувачів і груп. + </para> + <para> + Please note that besides explicit domain definition the files provider can +be configured also implicitly using 'enable_files_domain' option. See +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for details. + </para> + <para> + SSSD ніколи не виконує визначення для користувача або групи «root». Крім +того, SSSD не обробляє запити щодо визначення UID/GID 0. Такі запити +передаються наступному модулю NSS (зазвичай, files). + </para> + <para> + Якщо SSSD не запущено або програма не відповідає, nss_sss повертає код +UNAVAIL, що спричиняє передавання запиту наступному модулю. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Окрім параметрів із наведеного нижче списку, можна встановлювати, де це є +відповідним, загальні параметри домену SSSD. Зверніться до розділу +<quote>РОЗДІЛИ ДОМЕНІВ</quote> сторінки підручника <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб дізнатися більше про налаштовування домені SSSD. Втім, +призначенням надавача даних files є надання тих самих даних, які +встановлюються для файлів UNIX, просто за допомогою інтерфейсів SSSD. Тому +передбачено підтримку не усіх загальних параметрів доменів. Так само, деякі +загальні параметри, зокрема перевизначення командної оболонки у розділі +<quote>nss</quote> для усіх доменів, ні на що не впливають у домені files, +якщо їх не вказано явним чином для окремих доменів. <variablelist> + <varlistentry> + <term>passwd_files (рядок)</term> + <listitem> + <para> + Список з однієї чи декількох відокремлених комами назв файлів паролів, які +слід прочитати і нумерувати засобу надання даних файлів. Для кожного +вказаного файла буде встановлено спостереження за допомогою inotify для +динамічного виявлення внесених до нього змін. + </para> + <para> + Типове значення: /etc/passwd + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>group_files (рядок)</term> + <listitem> + <para> + Список з однієї чи декількох відокремлених комами назв файлів груп, які слід +прочитати і нумерувати засобу надання даних файлів. Для кожного вказаного +файла буде встановлено спостереження за допомогою inotify для динамічного +виявлення внесених до нього змін. + </para> + <para> + Типове значення: /etc/group + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>fallback_to_nss (булеве значення)</term> + <listitem> + <para> + Під час оновлення внутрішніх даних SSSD поверне повідомлення про помилку і +надасть змогу клієнту продовжити роботу з наступним модулем NSS. Це +допомагає уникнути затримок при використанні типових файлів системи +<filename>/etc/passwd</filename> і +<filename>/etc/group</filename>. Налаштування NSS містять «sss» до «files» +для прив'язок «passwd» і «group». + </para> + <para> + Якщо надавача даних файлів налаштовано на спостереження за іншими файлами, +має сенс встановлення для цього параметра значення False для уникнення +несумісної поведінки, оскільки, загалом, не буде іншого модуля NSS, яким +можна буде скористатися як резервним. + </para> + <para> + Типове значення: True + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а files встановлено на один з доменів з розділу +<replaceable>[sssd]</replaceable>. + </para> + <para> +<programlisting> +[domain/files] +id_provider = files +</programlisting> + </para> + <para> + Для балансування кешування даних локальних користувачів та груп у SSSD +модуль nss_sss має перебувати у списку файла /etc/nsswitch.conf вище за +модуль nss_files. + </para> + <para> +<programlisting> +passwd: sss files +group: sss files +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-ifp.5.xml b/src/man/uk/sssd-ifp.5.xml new file mode 100644 index 0000000..96a2bee --- /dev/null +++ b/src/man/uk/sssd-ifp.5.xml @@ -0,0 +1,158 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ifp</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ifp</refname> + <refpurpose>Відповідач InfoPipe SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування засобу надання відповідей +InfoPipe для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Відповідач InfoPipe забезпечує роботу відкритого інтерфейсу D-Bus над +системним каналом повідомлень. За допомогою цього інтерфейсу користувачі +можуть надсилати загальносистемним каналом повідомлень запити щодо +інформації про віддалених користувачів і групи. + </para> + + <refsect2 id='valid_certificate'> + <title>ПОШУК ЗА ЧИННИМ СЕРТИФІКАТОМ</title> + <para> + Для керування тим, як буде виконуватися перевірка, якщо використано +програмний інтерфейс FindByValidCertificate(), використовують такі +параметри: + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + Щоб дізнатися більше про параметри, ознайомтеся зі сторінкою підручника щодо +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + </refsect2> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Цими параметрами можна скористатися для налаштовування відповідача InfoPipe. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (рядок)</term> + <listitem> + <para> + Визначає список значень UID або імен користувачів, відокремлених +комами. Користувачам з цього списку буде дозволено доступ до відповідача +InfoPipe. UID за іменами користувачів визначатимуться під час запуску. + </para> + <para> + Типове значення: 0 (доступ до відповідача InfoPipe має лише адміністративний +користувач (root)) + </para> + <para> + Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID +буде перевизначено на основі цього параметра. Якщо ви хочете надати +адміністративному користувачеві (root) доступ до відповідача InfoPipe, що +може бути типовим варіантом, вам слід додати до списку UID з правами доступу +запис 0. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>user_attributes (рядок)</term> + <listitem> + <para> + Визначає список атрибутів з «білого» або «чорного» списків, відокремлених +комами. + </para> + <para> + Типово, відповідач InfoPipe надає дані лише щодо типового набору атрибутів +POSIX. Цей набір є тим самим, який повертає програма <citerefentry> +<refentrytitle>getpwnam</refentrytitle> <manvolnum>3</manvolnum> +</citerefentry>, його елементи: <variablelist> + <varlistentry> + <term>name</term> + <listitem><para>реєстраційне ім’я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>uidNumber</term> + <listitem><para>ідентифікатор користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>gidNumber</term> + <listitem><para>ідентифікатор основної групи</para></listitem> + </varlistentry> + <varlistentry> + <term>gecos</term> + <listitem><para>дані щодо користувача, типово ім’я повністю</para></listitem> + </varlistentry> + <varlistentry> + <term>homeDirectory</term> + <listitem><para>домашній каталог</para></listitem> + </varlistentry> + <varlistentry> + <term>loginShell</term> + <listitem><para>командна оболонка користувача</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Ви можете додати інший атрибут до цього набору за допомогою параметра +«+назва_атрибута» або явним чином виключити атрибут за допомогою параметра +«-назва_атрибута». Наприклад, щоб дозволити «telephoneNumber», але +заборонити «loginShell», вам слід скористатися такими налаштуваннями: +<programlisting> +user_attributes = +telephoneNumber, -loginShell + </programlisting> + </para> + <para> + Типове значення: не встановлено. Дозволено лише типовий набір атрибутів +POSIX. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (ціле число)</term> + <listitem> + <para> + Визначає верхню межу для кількості записів, які отримуватимуться під час +пошуку з використанням символів-замінників, які перевизначають обмеження, +яке накладається функцією виклику. + </para> + <para> + Типове значення: 0 (дозволити встановлювати верхнє обмеження функції +виклику) + </para> + </listitem> + </varlistentry> + + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-ipa.5.xml b/src/man/uk/sssd-ipa.5.xml new file mode 100644 index 0000000..80963b6 --- /dev/null +++ b/src/man/uk/sssd-ipa.5.xml @@ -0,0 +1,880 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ipa</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ipa</refname> + <refpurpose>Модуль надання даних IPA SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування засобу керування доступом IPA +для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Інструмент надання даних IPA — модуль, який використовується для +встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна +знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує +включення комп’ютера до домену IPA. Налаштування майже повністю +автоматизовано, дані для нього отримуються безпосередньо з сервера. + </para> + <para> + Засіб надання даних IPA уможливлює для SSSD використання засобу надання +даних профілів <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> та засобу надання даних +розпізнавання <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> з оптимізацією для середовищ +IPA. Засіб надання даних IPA приймає ті самі параметри, які використовуються +засобами надання даних sssd-ldap та sssd-krb5, із деякими +виключеннями. Втім, встановлювати ці параметри не обов'язково і не +рекомендовано. + </para> + <para> + Засіб надання даних IPA в основному копіює типові параметри традиційних +засобів надання даних ldap і krb5 із деякими виключенням. Відмінності +наведено у розділі <quote>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</quote>. + </para> + <para> + As an access provider, the IPA provider has a minimal configuration (see +<quote>ipa_access_order</quote>) as it mainly uses HBAC (host-based access +control) rules. Please refer to freeipa.org for more information about HBAC. + </para> + <para> + Якщо у sssd.conf вказано <quote>auth_provider=ipa</quote> або +<quote>access_provider=ipa</quote>, для id_provider також має бути вказано +<quote>ipa</quote>. + </para> + <para> + Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки +Kerberos користувачів з довірених областей містять PAC. Для полегшення +налаштовування відповідач PAC запускається автоматично, якщо налаштовано +інструмент надання даних ідентифікаторів IPA. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para>Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштування домену SSSD. <variablelist> + <varlistentry> + <term>ipa_domain (рядок)</term> + <listitem> + <para> + Визначає назву домену IPA. Є необов’язковим. Якщо не вказано, буде +використано назву домену з налаштувань. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server, ipa_backup_server (рядок)</term> + <listitem> + <para> + Впорядкований за пріоритетом список IP-адрес або назв вузлів, відокремлених +комами, серверів IPA, з якими має встановити з’єднання SSSD. Докладніші +відомості щодо резервних серверів викладено у розділі «РЕЗЕРВ». Цей список є +необов’язковим, якщо увімкнено автоматичне виявлення служб. Докладніші +відомості щодо автоматичного виявлення служб наведено у розділі «ПОШУК +СЛУЖБ». + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hostname (рядок)</term> + <listitem> + <para> + Необов’язковий. Може бути встановлено на комп’ютерах, де hostname(5) не +відповідає повній назві, що використовується доменом IPA для розпізнавання +цього вузла. Назву вузла слід вказувати повністю. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (булеве значення)</term> + <listitem> + <para> + Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично +оновити на сервері DNS, вбудованому до FreeIPA, IP-адресу клієнта. Захист +оновлення буде забезпечено за допомогою GSS-TSIG. Для оновлення буде +використано IP-адресу з’єднання LDAP IPA, якщо не вказано іншу адресу за +допомогою параметра «dyndns_iface». + </para> + <para> + ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у +цьому режимі типову область дії Kerberos має бути належним чином визначено у +/etc/krb5.conf + </para> + <para> + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +<emphasis>ipa_dyndns_update</emphasis>, користувачам слід переходити на нову +назву, <emphasis>dyndns_update</emphasis>, у файлі налаштувань. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (ціле число)</term> + <listitem> + <para> + TTL, до якого буде застосовано клієнтський запис DNS під час його +оновлення. Якщо dyndns_update має значення false, цей параметр буде +проігноровано. Перевизначає TTL на боці сервера, якщо встановлено +адміністратором. + </para> + <para> + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +<emphasis>ipa_dyndns_ttl</emphasis>, користувачам слід переходити на нову +назву, <emphasis>dyndns_ttl</emphasis>, у файлі налаштувань. + </para> + <para> + Типове значення: 1200 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (рядок)</term> + <listitem> + <para> + Необов'язковий. Застосовний, лише якщо dyndns_update має значення +true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути +використано для динамічних оновлень DNS. Спеціальне значення +<quote>*</quote> означає, що слід використовувати IP-адреси з усіх +інтерфейсів. + </para> + <para> + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +<emphasis>ipa_dyndns_iface</emphasis>, користувачам слід переходити на нову +назву, <emphasis>dyndns_iface</emphasis>, у файлі налаштувань. + </para> + <para> + Типове значення: використовувати IP-адреси інтерфейсу, який використовується +для з’єднання LDAP IPA + </para> + <para> + Приклад: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (рядок)</term> + <listitem> + <para> + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + </para> + <para> + Типове значення: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (рядок)</term> + <listitem> + <para> + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + </para> + <para> + Типове значення: те саме, що і dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_enable_dns_sites (булеве значення)</term> + <listitem> + <para> + Вмикає сайти DNS — визначення служб на основі адрес. + </para> + <para> + Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо +пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку +спробує визначення на основі адрес за допомогою запиту, що містить +"_location.hostname.example.com", а потім повертається до традиційного +визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, +виявлені на основі визначення за адресою, вважатимуться основним серверами, +а сервери IPA, виявлені за допомогою традиційного визначення SRV, +вважатимуться резервними серверами. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (ціле число)</term> + <listitem> + <para> + Визначає, наскільки часто серверний модуль має виконувати періодичні +оновлення DNS на додачу до автоматичного оновлення, яке виконується під час +кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не +є обов’язкоми, його застосовують, лише якщо dyndns_update має значення true. + </para> + <para> + Типове значення: 0 (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів +DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true. + </para> + <para> + Значенням цього параметра у більшості розгорнутих систем IPA має бути False, +оскільки сервер IPA створює записи PTR автоматично після зміни у записах +переспрямовування. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + Типове значення: False (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну +даними з сервером DNS. + </para> + <para> + Типове значення: False (надати змогу nsupdate вибирати протокол) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (рядок)</term> + <listitem> + <para> + Сервер DNS, який слід використовувати для виконання оновлення DNS. У +більшості конфігурацій рекомендуємо не встановлювати значення для цього +параметра. + </para> + <para> + Встановлення значення для цього параметра потрібне для середовищ, де сервер +DNS відрізняється від сервера профілів. + </para> + <para> + Будь ласка, зауважте, що цей параметр буде використано лише для резервних +спроб, якщо попередні спроби із використанням автовиявлення завершаться +невдало. + </para> + <para> + Типове значення: немає (надати nsupdate змогу вибирати сервер) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (булеве значення)</term> + <listitem> + <para> + Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім +оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один +крок. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_access_order (string)</term> + <listitem> + <para> + Список відокремлених комами параметрів керування доступом. Можливі значення +списку: + </para> + <para> + <emphasis>expire</emphasis>: use IPA's account expiration policy. + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Ці параметри корисні, якщо користувачам +потрібні попередження щодо скорого завершення строку дії пароля, і у +випадках, коли розпізнавання засновано на відмінних від паролів методах, +наприклад на ключах SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Please note that 'access_provider = ipa' must be set for this feature to +work. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +профілями станції (Desktop Profile) об’єктів. + </para> + <para> + Типове значення: використання базової назви домену + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_subid"> + <term>ipa_subid_ranges_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +підлеглими діапазонами об’єктів. + </para> + <para> + Типове значення: значення <emphasis>cn=subids,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +HBAC об’єктів. + </para> + <para> + Типове значення: використання базової назви домену + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_host_search_base (рядок)</term> + <listitem> + <para> + Застарілий. Скористайтеся замість нього ldap_host_search_base. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_selinux_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку карт +користувачів SELinux. + </para> + <para> + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + </para> + <para> + Типове значення: значення <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_subdomains_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку надійних +доменів. + </para> + <para> + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + </para> + <para> + Типове значення: значення <emphasis>cn=trusts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_master_domain_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку основного +об’єкта домену. + </para> + <para> + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + </para> + <para> + Типове значення: значення виразу <emphasis>cn=ad,cn=etc,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_views_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку контейнерів +перегляду. + </para> + <para> + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + </para> + <para> + Типове значення: значення <emphasis>cn=views,cn=accounts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (рядок)</term> + <listitem> + <para> + Назва області дії Kerberos. Є необов’язковою, типовим значенням є значення +«ipa_domain». + </para> + <para> + Назва області дії Kerberos має особливе значення у IPA: цю назву буде +перетворено у основний DN для виконання дій LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_confd_path (рядок)</term> + <listitem> + <para> + Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти +налаштувань Kerberos. + </para> + <para> + Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра +значення «none». + </para> + <para> + Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf +SSSD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_refresh (ціле число)</term> + <listitem> + <para> + Проміжок часу між послідовними пошуками правил профілів станції (Desktop +Profile) щодо сервера IPA. Зміна може зменшити час затримки та навантаження +на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів +щодо профілів станції. + </para> + <para> + Типове значення: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_request_interval (ціле число)</term> + <listitem> + <para> + Час між пошуками у правилах профілів станцій на сервері IPA, якщо за +останнім запитом не повернуто жодного правила. + </para> + <para> + Типове значення: 60 (хвилин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_refresh (ціле число)</term> + <listitem> + <para> + Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA. Зміна +може зменшити час затримки та навантаження на сервер IPA, якщо протягом +короткого періоду часу надходить багато запитів щодо керування доступом. + </para> + <para> + Типове значення: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_selinux (ціле число)</term> + <listitem> + <para> + Проміжок часу між послідовними пошуками у картах SELinux щодо сервера +IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо +протягом короткого періоду часу надходить багато запитів щодо входу +користувача до системи. + </para> + <para> + Типове значення: 5 (секунд) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server_mode (булеве значення)</term> + <listitem> + <para> + Цей параметр буде встановлено засобом встановлення IPA (ipa-server-install) +автоматично, він визначає, чи запущено SSSD на сервері IPA. + </para> + <para> + На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів +безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA. + </para> + <para> + Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD +працює на сервері IPA. + <itemizedlist> + <listitem> + <para> + Параметр <quote>ipa_server</quote> має бути налаштовано так, щоб він +вказував на сам сервер IPA. Це типово робить засіб встановлення IPA, тому +зміни вручну є зайвими. + </para> + </listitem> + <listitem> + <para> + Не слід змінювати значення параметра <quote>full_name_format</quote> для +того, щоб лише виводити короткі імена користувачів з довірених доменів. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ipa_automount_location (рядок)</term> + <listitem> + <para> + Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA + </para> + <para> + Типове значення: адреса з назвою "default" + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect2 id='views'> + <title>ПЕРЕГЛЯДИ і ПЕРЕВИЗНАЧЕННЯ</title> + <para> + SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA +4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на +боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для +повноти, усі відповідні параметри наведено у списку разом з їхніми типовими +значеннями. <variablelist> + <varlistentry> + <term>ipa_view_class (рядок)</term> + <listitem> + <para> + Клас об’єктів для контейнерів перегляду. + </para> + <para> + Типове значення: nsContainer + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_view_name (рядок)</term> + <listitem> + <para> + Назва атрибута, у якому зберігається назва перегляду. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_override_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів для об’єктів перевизначення + </para> + <para> + Типове значення: ipaOverrideAnchor + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_anchor_uuid (рядок)</term> + <listitem> + <para> + Назва атрибута, у якому зберігається посилання на початковий об’єкт на +віддаленому домені. + </para> + <para> + Типове значення: ipaAnchorUUID + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_user_override_object_class (рядок)</term> + <listitem> + <para> + Назва класу об’єктів для перевизначень користувачів. Використовується для +визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем +або групою. + </para> + <para> + Перевизначення користувачів можуть містити атрибути, задані + <itemizedlist> + <listitem> + <para>ldap_user_name</para> + </listitem> + <listitem> + <para>ldap_user_uid_number</para> + </listitem> + <listitem> + <para>ldap_user_gid_number</para> + </listitem> + <listitem> + <para>ldap_user_gecos</para> + </listitem> + <listitem> + <para>ldap_user_home_directory</para> + </listitem> + <listitem> + <para>ldap_user_shell</para> + </listitem> + <listitem> + <para>ldap_user_ssh_public_key</para> + </listitem> + </itemizedlist> + </para> + <para> + Типове значення: ipaUserOverride + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_group_override_object_class (рядок)</term> + <listitem> + <para> + Назва класу об’єктів для перевизначень груп. Використовується для визначення +того, чи знайдений об’єкт перевизначення пов’язано з користувачем або +групою. + </para> + <para> + Перевизначення груп можуть містити атрибути, задані + <itemizedlist> + <listitem> + <para>ldap_group_name</para> + </listitem> + <listitem> + <para>ldap_group_gid_number</para> + </listitem> + </itemizedlist> + </para> + <para> + Типове значення: ipaGroupOverride + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ipa_modified_defaults.xml" /> + + <refsect1 id='subdomains_provider'> + <title>СЛУЖБА ПІДДОМЕНІВ</title> + <para> + Поведінка інструмента надання даних піддоменів IPA залежить від того, у який +спосіб його налаштовано: явний чи неявний. + </para> + <para> + Якщо у розділі домену sssd.conf буде знайдено запис параметра +«subdomains_provider = ipa», інструмент надання даних піддоменів IPA +налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, +якщо це потрібно. + </para> + <para> + Якщо у розділі домену sssdconf не встановлено параметр +«subdomains_provider», але встановлено параметр «id_provider = ipa», +інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому +випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що +на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, +отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або +відкриється доступ до інструмента надання даних IPA, інструмент надання +даних піддоменів буде знову увімкнено. + </para> + </refsect1> + + <refsect1 id='trusted_domains'> + <title>НАЛАШТОВУВАННЯ ДОВІРЕНИХ ДОМЕНІВ</title> + <para> + Крім того, деякі параметри налаштування може бути встановлено для довіреного +домену. Налаштування довіреного домену можна встановити за допомогою +підрозділу довіреного домену, як це показано у наведеному нижче +прикладі. Крім того, можна скористатися параметром +<quote>subdomain_inherit</quote> у батьківському домені. <programlisting> +[domain/ipa.domain.com/ad.domain.com] +ad_server = dc.ad.domain.com +</programlisting> + </para> + <para> + Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Перелік параметрів налаштовування для довіреного домену залежить від того, +як ви налаштували SSSD на сервері IPA або клієнт IPA. + </para> + <refsect2 id='server_configuration'> + <title>ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА ОСНОВНИХ СЕРВЕРАХ IPA</title> + <para> + У розділі піддомену на основному сервері IPA можна вказати такі параметри: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_backup_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + <listitem> + <para>ldap_search_base</para> + </listitem> + <listitem> + <para>ldap_user_search_base</para> + </listitem> + <listitem> + <para>ldap_group_search_base</para> + </listitem> + <listitem> + <para>use_fully_qualified_names</para> + </listitem> + </itemizedlist> + </para> + </refsect2> + <refsect2 id='client_configuration'> + <title>ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА КЛІЄНТАХ IPA</title> + <para> + У розділі піддомену на клієнті IPA можна вказати такі параметри: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + </itemizedlist> + </para> + <para> + Зауважте, що якщо встановлено обидва параметри, буде враховано лише +<quote>ad_server</quote>. + </para> + <para> + Оскільки будь-який запит щодо ідентифікації користувача або групи від +довіреного домену, який започатковано клієнтом IPA, обробляється сервером +IPA, параметри <quote>ad_server</quote> і <quote>ad_site</quote> впливають +лише на те, який з DC AD виконуватиме процедуру розпізнавання. Зокрема, +адреси, які визначено за цими списками, буде записано до файлів +<quote>kdcinfo</quote>, читання яких виконуватиметься додатком пошуку +Kerberos. Будь ласка, зверніться до сторінки підручника щодо <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше про додаток +пошуку Kerberos. + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +<replaceable>[sssd]</replaceable>. У прикладі продемонстровано лише +параметри доступу, специфічні для засобу ipa. + </para> + <para> +<programlisting> +[domain/example.com] +id_provider = ipa +ipa_server = ipaserver.example.com +ipa_hostname = myhost.example.com +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-kcm.8.xml b/src/man/uk/sssd-kcm.8.xml new file mode 100644 index 0000000..b3c2cd0 --- /dev/null +++ b/src/man/uk/sssd-kcm.8.xml @@ -0,0 +1,304 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-kcm</refentrytitle> + <manvolnum>8</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-kcm</refname> + <refpurpose>Керування кешем Kerberos SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці підручника описано налаштування засобу керування кешем +Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який +зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення +засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT +також надається підтримка з боку клієнта для кешу реєстраційних даних KCM +(докладніше про це нижче). + </para> + <para> + У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово +використовується за допомогою якоїсь програми, наприклад <citerefentry> +<refentrytitle>kinit</refentrytitle><manvolnum>1</manvolnum> +</citerefentry>) є <quote>клієнтом KCM</quote>, а фонова служба KCM +вважається <quote>сервером KCM</quote>. Клієнт і сервер обмінюються даними +за допомогою сокета UNIX. + </para> + <para> + Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує +перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має +доступ до усіх кешів реєстраційних даних. + </para> + <para> + Кеш реєстраційних даних KCM має декілька цікавих властивостей: + <itemizedlist> + <listitem> + <para> + оскільки процес виконується у просторі користувача, він підлягає обмеженням +за простором назв UID, на відміну від набору ключів ядра + </para> + </listitem> + <listitem> + <para> + на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх +контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX + </para> + </listitem> + <listitem> + <para> + реалізація у SSSD зберігає дані ccache у базі даних, файл якої типово +називається <replaceable>/var/lib/sss/secrets</replaceable>. За допомогою +цього файла ccache зберігаються протягом періодів перезапуску сервера KCM +або перезавантаження комп'ютера. + </para> + </listitem> + </itemizedlist> + Це надає змогу системі використовувати кеш реєстраційних даних із +врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних +даних для декількох контейнерів або без контейнерів взагалі шляхом +прив'язування-монтування сокета. + </para> + <para> + Час очікування на дії типового клієнта KCM дорівнює 5 хвилин, таке значення +надає більшу часу на взаємодію користувача із інструментами командного +рядка, зокрема kinit. + </para> + </refsect1> + + <refsect1 id='usage'> + <title>КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM</title> + <para> + Для використання кешу реєстраційних даних KCM його слід вибрати стандартним +типом реєстраційних даних у <citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. Назвою кешу реєстраційних даних має бути лише +<quote>KCM:</quote> без будь-яких розширень шаблонами. Приклад: <programlisting> +[libdefaults] + default_ccache_name = KCM: + </programlisting> + </para> + <para> + Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек +Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий +шлях <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>. Для +налаштовування бібліотеки Kerberos змініть значення її параметра +<quote>kcm_socket</quote>, як це описано на сторінці підручника +<citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити +зв'язок. Типово, служба KCM вмикається за допомогою сокета з <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry>. На відміну від інших служб SSSD, її не можна запустити +додаванням рядка <quote>kcm</quote> до інструкції <quote>service</quote>. +<programlisting> +systemctl start sssd-kcm.socket +systemctl enable sssd-kcm.socket + </programlisting> Будь ласка, зауважте, що +відповідні налаштування модулів вже могло бути виконано засобами вашого +дистрибутива. + </para> + </refsect1> + + <refsect1 id='storage'> + <title>СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ</title> + <para> + Кеші реєстраційних даних зберігаються у базі даних, дуже подібно до кешів +записів користувачів і груп SSSD. Типово, база даних зберігається у +<quote>/var/lib/sss/secrets</quote>. + </para> + </refsect1> + + <refsect1 id='debugging'> + <title>ОТРИМАННЯ ДІАГНОСТИЧНОГО ЖУРНАЛУ</title> + <para> + Типово, служба sssd-kcm активує крізь сокет <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry>. Для створення діагностичних журналів додайте вказані нижче +рядки або безпосередньо до файла <filename>/etc/sssd/sssd.conf</filename>, +або як фрагмент налаштувань до каталогу +<filename>/etc/sssd/conf.d/</filename>: <programlisting> +[kcm] +debug_level = 10 + </programlisting> Далі, перезапустіть службу sssd-kcm: <programlisting> +systemctl restart sssd-kcm.service + </programlisting> Нарешті, виконайте дії, які не призводять до +бажаних для вас наслідків. Журнал KCM буде записано до +<filename>/var/log/sssd/sssd_kcm.log</filename>. Рекомендуємо вимкнути +ведення діагностичного журналу, якщо вам не потрібні діагностичні дані, +оскільки служба sssd-kcm може породжувати доволі великий обсяг діагностичних +даних. + </para> + <para> + Будь ласка, зауважте, що у поточній версії фрагменти налаштувань буде +оброблено, лише якщо взагалі існує основний файл налаштувань +<filename>/etc/sssd/sssd.conf</filename>. + </para> + </refsect1> + + <refsect1 id='renewals' condition="enable_kcm_renewal"> + <title>ПОНОВЛЕННЯ</title> + <para> + Службу sssd-kcm можна налаштувати на спробу поновлення TGT для поновлюваних +TGT, які зберігаються у ccache KCM. Спроби поновлення виконуватимуться при +досягненні половини строку дії квитка. Поновлення KCM налаштовуються при +встановленні таких параметрів у розділі [kcm]: <programlisting> +tgt_renewal = true +krb5_renew_interval = 60m + </programlisting> + </para> + <para> + Крім того, SSSD може успадковувати параметри krb5 для поновлень з наявного +домену. + </para> + <programlisting> +tgt_renewal = true +tgt_renewal_inherit = domain-name + </programlisting> + <para> + Вказані нижче параметри krb5 можна налаштувати у розділі [kcm] для керування +поведінкою під час поновлення. Ці параметри докладно описано нижче +<programlisting> +krb5_renew_interval +krb5_renewable_lifetime +krb5_lifetime +krb5_validate +krb5_canonicalize +krb5_auth_timeout + </programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Налаштовування служби KCM виконується за допомогою розділу +<quote>kcm</quote> файла sssd.conf. Будь ласка, зауважте, що оскільки +активація служби KCM, зазвичай, відбувається за допомогою сокетів, після +внесення змін до розділу <quote>kcm</quote> файла sssd.conf достатньо +перезапустити службу <quote>sssd-kcm</quote>: <programlisting> +systemctl restart sssd-kcm.service + </programlisting> + </para> + <para> + Налаштування служби KCM виконують за допомогою <quote>kcm</quote>. Докладний +опис синтаксичних конструкцій налаштувань наведено у розділі <quote>ФОРМАТ +ФАЙЛА</quote> сторінки підручника щодо <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Службі kcm можна передавати типові параметри служби SSSD, зокрема +<quote>debug_level</quote> та <quote>fd_limit</quote> Із повним списком +параметрів можна ознайомитися на сторінці підручника <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Крім того, передбачено декілька специфічних для KCM +параметрів. + </para> + <variablelist> + <varlistentry> + <term>socket_path (рядок)</term> + <listitem> + <para> + Сокет, на якому очікуватиме на з'єднання служба KCM. + </para> + <para> + Типове значення: +<replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable> + </para> + <para> + <phrase condition="have_systemd"> Зауваження: на платформах, де передбачено +підтримку systemd, шлях до сокета буде перезаписано шляхом, який визначено у +файлі модуля sssd-kcm.socket. </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccaches (ціле число)</term> + <listitem> + <para> + Скільки кешів реєстраційних може мати даних база даних KCM для усіх +користувачів. + </para> + <para> + Типове значення: 0 (без обмежень, застосовується лише квота на кількість +кешів на UID) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_uid_ccaches (ціле число)</term> + <listitem> + <para> + Скільки кешів реєстраційних може мати даних база даних KCM для окремого +UID. Еквівалент значення <quote>кількість реєстраційних даних, які можна +ініціювати за допомогою kinit</quote>. + </para> + <para> + Типове значення: 64 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccache_size (ціле число)</term> + <listitem> + <para> + Наскільки великим може бути кеш реєстраційних даних окремого ccache. Ця +квота обчислюється для усіх квитків служб разом. + </para> + <para> + Типове значення: 65536 + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal (булеве значення)</term> + <listitem> + <para> + Вмикає функціональні можливості поновлень TGT. + </para> + <para> + Типове значення: False (автоматичні поновлення вимкнено) + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal_inherit (рядок)</term> + <listitem> + <para> + Домен, з якого слід успадковувати параметри krb5_*, для використання із +поновленнями TGT. + </para> + <para> + Типове значення: NULL + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include condition="enable_kcm_renewal" xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </refsect1> + + <refsect1 id='see_also'> + <title>ТАКОЖ ПЕРЕГЛЯНЬТЕ</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/uk/sssd-krb5.5.xml b/src/man/uk/sssd-krb5.5.xml new file mode 100644 index 0000000..31418d1 --- /dev/null +++ b/src/man/uk/sssd-krb5.5.xml @@ -0,0 +1,458 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-krb5</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-krb5</refname> + <refpurpose>Модуль надання даних Kerberos SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування засобу розпізнавання Kerberos +5 для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Модуль розпізнавання Kerberos 5 містити засоби розпізнавання та зміни +паролів. З метою отримання належних результатів його слід використовувати +разом з інструментом обробки профілів (наприклад, id_provider = ldap). Деякі +з даних, потрібних для роботи модуля розпізнавання Kerberos 5, має бути +надано інструментом обробки профілів, серед цих даних Kerberos Principal +Name (UPN) або реєстраційне ім’я користувача. У налаштуваннях інструменту +обробки профілів має бути запис з визначенням UPN. Докладні настанови щодо +визначення такого UPN має бути викладено на сторінці довідника (man) +відповідного інструменту обробки профілів. + </para> + <para> + У цьому інструменті керування даними також передбачено можливості керування +доступом, засновані на даних з файла k5login у домашньому каталозі +користувача. Докладніші відомості можна отримати з підручника до +<citerefentry> +<refentrytitle>k5login</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. Зауважте, що якщо файл .k5login виявиться порожнім, доступ +користувачеві буде заборонено. Щоб задіяти можливість керування доступом, +додайте рядок «access_provider = krb5» до ваших налаштувань SSSD. + </para> + <para> + У випадку, коли доступу до UPN у модулі профілів не передбачено, +<command>sssd</command> побудує UPN у форматі +<replaceable>ім’я_користувача</replaceable>@<replaceable>область_krb5</replaceable>. + </para> + + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Якщо у домені SSSD використано auth-module krb5, має бути використано +вказані нижче параметри. Зверніться до сторінки довідника (man) +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, розділ «РОЗДІЛИ ДОМЕНІВ», щоб +дізнатися більше про налаштування домену SSSD. <variablelist> + <varlistentry> + <term>krb5_server, krb5_backup_server (рядок)</term> + <listitem> + <para> + Визначає список IP-адрес або назв вузлів, відокремлених комами, серверів +Kerberos, з якими SSSD має встановлювати з’єднання. Список має бути +впорядковано за пріоритетом. Докладніше про резервування та додаткові +сервери можна дізнатися з розділу «РЕЗЕРВ». До адрес або назв вузлів може +бути додано номер порту (перед номером слід вписати двокрапку). Якщо +параметр матиме порожнє значення, буде увімкнено виявлення служб. Докладніше +про виявлення служб можна дізнатися з розділу «ПОШУК СЛУЖБ». + </para> + <para> + Під час використання виявлення служб для серверів KDC або kpasswd SSSD +спочатку намагається знайти записи DNS, у яких визначається протокол +_udp. Використання протоколу _tcp відбувається, лише якщо таких записів не +вдасться знайти. + </para> + <para> + У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній +версії передбачено розпізнавання цієї застарілої назви, але користувачам +варто перейти на використання «krb5_server» у файлах налаштувань. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (рядок)</term> + <listitem> + <para> + Назва області Kerberos. Цей параметр є обов’язковим, його неодмінно слід +вказати. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kpasswd, krb5_backup_kpasswd (рядок)</term> + <listitem> + <para> + Якщо службу зміни паролів не запущено на KDC, тут можна визначити +альтернативні сервери. До адрес або назв вузлів можна додати номер порту +(перед яким слід вписати двокрапку). + </para> + <para> + Додаткові відомості щодо резервних серверів можна знайти у розділі +«РЕЗЕРВ». Зауваження: навіть якщо список всіх серверів kpasswd буде +вичерпано, модуль не перемкнеться у автономний режим роботи, якщо +розпізнавання за KDC залишатиметься можливим. + </para> + <para> + Типове значення: використання KDC + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccachedir (рядок)</term> + <listitem> + <para> + Каталог для зберігання кешу реєстраційних даних. Тут також можна +використовувати усі замінники з krb5_ccname_template, окрім %d та +%P. Каталог створюється як конфіденційний, власником є користувач, права +доступу — 0700. + </para> + <para> + Типове значення: /tmp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccname_template (рядок)</term> + <listitem> + <para> + Розташування кешу з реєстраційними даними користувача У поточній версії +передбачено підтримку трьох типів кешу реєстраційних даних: +<quote>FILE</quote>, <quote>DIR</quote> та +<quote>KEYRING:persistent</quote>. Кеш може бути вказано або у форматі +<replaceable>ТИП:РЕШТА</replaceable>, або у форматі абсолютного шляху (тоді +вважається, що типом кешу є <quote>FILE</quote>). У шаблоні передбачено +можливість використання таких послідовностей-замінників: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>ім'я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>ідентифікатор користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%p</term> + <listitem><para>назва реєстраційного запису</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%r</term> + <listitem><para>назва області</para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para>домашній каталог</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>значення krb5_ccachedir + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>ідентифікатор процесу клієнтської частини SSSD</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>символ відсотків («%»)</para> + </listitem> + </varlistentry> + </variablelist> Якщо шаблон завершується послідовністю +«XXXXXX», для безпечного створення назви файла використовується mkstemp(3). + </para> + <para> + Якщо використовуються типи KEYRING, єдиним підтримуваним механізмом є +«KEYRING:persistent:%U», тобто використання сховища ключів ядра Linux для +зберігання реєстраційних даних на основі поділу за UID. Цей варіант є +рекомендованим, оскільки це найбезпечніший та найпередбачуваніший спосіб. + </para> + <para> + Типове значення назви кешу реєстраційних даних буде запозичено з +загальносистемного профілю, що зберігається у файлі налаштувань krb5.conf, +розділ [libdefaults]. Назва параметра — default_ccache_name. Див. розділ +щодо розгортання параметрів (PARAMETER EXPANSION) у довідці щодо +krb5.conf(5), щоб отримати додаткові дані щодо формату розгортання, +використаного у krb5.conf. + </para> + <para> + ЗАУВАЖЕННЯ: майте на увазі, що шаблон розширення ccache libkrb5 з +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> використовує інші послідовності +розширення, що не збігаються із використаними у SSSD. + </para> + <para> + Типове значення: (з libkrb5) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_keytab (рядок)</term> + <listitem> + <para> + Розташування таблиці ключів, якою слід скористатися під час перевірки +реєстраційних даних, отриманих від KDC. + </para> + <para> + Типове значення: системна таблиця ключів, зазвичай +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_store_password_if_offline (булівське значення)</term> + <listitem> + <para> + Зберігати пароль користувача, якщо засіб перевірки перебуває поза мережею, і +використовувати його для запитів TGT після встановлення з’єднання з засобом +перевірки. + </para> + <para> + Зауваження: ця можливість у поточній версії доступна лише на платформі +Linux. Паролі зберігатимуться у форматі звичайного тексту (без шифрування) у +сховищі ключів ядра, потенційно до них може отримати доступ адміністративний +користувач (root), але йому для цього слід буде подолати деякі перешкоди. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_fast (рядок)</term> + <listitem> + <para> + Вмикає безпечне тунелювання для гнучкого розпізнавання (flexible +authentication secure tunneling або FAST) для попереднього розпізнавання у +Kerberos. Передбачено такі варіанти: + </para> + <para> + <emphasis>never</emphasis> використовувати FAST, рівнозначний варіанту, за +якого значення цього параметра взагалі не задається. + </para> + <para> + <emphasis>try</emphasis> — використовувати FAST. Якщо на сервері не +передбачено підтримки FAST, продовжити розпізнавання без FAST. + </para> + <para> + <emphasis>demand</emphasis> — використовувати FAST. Якщо на сервері не +передбачено підтримки FAST, спроба розпізнавання зазнає невдачі. + </para> + <para> + Типове значення: не встановлено, тобто FAST не використовується. + </para> + <para> + Зауваження: будь ласка, зауважте, що для використання FAST потрібна таблиця +ключів або підтримка анонімного PKINIT. + </para> + <para> + Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT +Kerberos версії 1.8 або новішої. Якщо SSSD буде використано зі старішою +версією MIT Kerberos і цим параметром, буде повідомлено про помилку у +налаштуваннях. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_principal (рядок)</term> + <listitem> + <para> + Визначає реєстраційний запис сервера, який слід використовувати для FAST. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_use_anonymous_pkinit (булеве значення)</term> + <listitem> + <para> + Якщо встановлено значення «true» намагатися скористатися анонімним PKINIT +замість таблиці ключів для отримання бажаних реєстраційних даних для FAST. У +цьому випадку параметри krb5_fast_principal буде проігноровано. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які +значення KDC слід використовувати. Типово, дію параметра увімкнено. Якщо ви +вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла +налаштувань <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Див. сторінку підручника (man) <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше про додаток +пошуку. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kdcinfo_lookahead (рядок)</term> + <listitem> + <para> + Якщо для krb5_use_kdcinfo встановлено значення true, ви можете обмежити +кількість серверів, які буде передано <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Це може бути корисним, якщо за +допомогою запису SRV виявляється надто багато серверів. + </para> + <para> + Параметр krb5_kdcinfo_lookahead містить два числа, які відокремлено +двокрапкою. Перше число визначає кількість основних серверів, а друге — +кількість резервних серверів. + </para> + <para> + Наприклад, <emphasis>10:0</emphasis> означає «буде передано до 10 основних +серверів до <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>», але не буде передано резервні +сервери + </para> + <para> + Типове значення: 3:1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_enterprise_principal (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід вважати реєстраційні дані користувача даними промислового +рівня. Див. розділ 5 RFC 6806, щоб дізнатися більше про промислові +реєстраційні дані. + </para> + + <para> + Типове значення: false (надається AD: true) + </para> + <para> + Засіб надання даних IPA встановить для цього параметра значення «true», якщо +виявить, що сервер здатен обробляти реєстраційні дані промислового класу, і +параметр на встановлено явним чином у файлі налаштувань. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_subdomain_realm (булеве значення)</term> + <listitem> + <para> + Визначає використання областей піддоменів для розпізнавання користувачів з +довірених доменів. Для цього параметра можна встановити значення «true», +якщо промислові реєстраційні записи використовуються із upnSuffixes, який не +є відомим KDC батьківського домену. Якщо для параметра встановлено значення +«true», SSSD спробує надіслати запит безпосередньо до KDC довіреного домену, +з якого прийшов користувач. + </para> + + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_map_user (рядок)</term> + <listitem> + <para> + Список прив’язок визначається як список пар «користувач:основа», де +«користувач» — ім’я користувача UNIX, а «основа» — частина щодо користувача +у реєстраційному записі kerberos. Ця прив’язка використовується, якщо +користувач проходить розпізнавання із використанням «auth_provider = krb5». + </para> + + <para> + приклад: <programlisting> +krb5_realm = REALM +krb5_map_user = joe:juser,dick:richard +</programlisting> + </para> + <para> + <quote>joe</quote> і <quote>dick</quote> — імена користувачів UNIX, а +<quote>juser</quote> і <quote>richard</quote> основні частини реєстраційних +записів kerberos. Для користувачів <quote>joe</quote> та, відповідно, +<quote>dick</quote> SSSD намагатиметься виконати ініціалізацію kinit як +<quote>juser@REALM</quote> і, відповідно, <quote>richard@REALM</quote>. + </para> + + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а FOO є одним з доменів у розділі +<replaceable>[sssd]</replaceable>. У прикладі продемонстровано лише +налаштування розпізнавання аз допомогою Kerberos, там не вказано інструменту +обробки профілів. + </para> + <para> +<programlisting> +[domain/FOO] +auth_provider = krb5 +krb5_server = 192.168.1.1 +krb5_realm = EXAMPLE.COM +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-ldap-attributes.5.xml b/src/man/uk/sssd-ldap-attributes.5.xml new file mode 100644 index 0000000..4a3d4f9 --- /dev/null +++ b/src/man/uk/sssd-ldap-attributes.5.xml @@ -0,0 +1,1187 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap-attributes</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap-attributes</refname> + <refpurpose>Засіб надання даних LDAP SSSD: атрибути прив'язування</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + Цю сторінку підручника присвячено опису атрибутів прив'язування засобу +надання даних LDAP SSSD <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Повний опис параметрів налаштовування засобу надання даних +LDAP SSSD наведено на сторінці підручника щодо <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='mapping-attributes'> + <title>АТРИБУТИ КОРИСТУВАЧА</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_user_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису користувача у LDAP. + </para> + <para> + Типове значення: posixAccount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві облікового запису користувача. + </para> + <para> + Типове значення: uid (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uid_number (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає ідентифікатору користувача. + </para> + <para> + Типове значення: uidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gid_number (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає ідентифікатору основної групи користувача. + </para> + <para> + Типове значення: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_primary_group (рядок)</term> + <listitem> + <para> + Атрибут основної групи Active Directory для встановлення відповідності +ідентифікатора. Зауважте, що цей атрибут слід встановлювати вручну, лише +якщо ви користуєтеся засобом надання даних <quote>ldap</quote> з прив'язкою +до ідентифікаторів. + </para> + <para> + Типове значення: unset (LDAP), primaryGroupID (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gecos (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає полю gecos користувача. + </para> + <para> + Типове значення: gecos + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_home_directory (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить назву домашнього каталогу користувача. + </para> + <para> + Типове значення: homeDirectory (LDAP та IPA), unixHomeDirectory (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shell (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить шлях до типової командної оболонки користувача. + </para> + <para> + Типове значення: loginShell + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uuid (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить UUID/GUID об’єкта користувача LDAP. + </para> + <para> + Типове значення: не встановлено у загальному випадку, objectGUID для AD і +ipaUniqueID для IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_objectsid (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить objectSID об’єкта користувача LDAP. Зазвичай, +потрібен лише для серверів ActiveDirectory. + </para> + <para> + Типове значення: objectSid для ActiveDirectory, не встановлено для інших +серверів. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_modify_timestamp (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + </para> + <para> + Типове значення: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_last_change (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (дати останньої зміни пароля). + </para> + <para> + Типове значення: shadowLastChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_min (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (мінімального віку пароля). + </para> + <para> + Типове значення: shadowMin + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_max (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (максимального віку пароля). + </para> + <para> + Типове значення: shadowMax + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_warning (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (проміжку попередження щодо пароля). + </para> + <para> + Типове значення: shadowWarning + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_inactive (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (тривалості періоду невикористання пароля). + </para> + <para> + Типове значення: shadowInactive + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_expire (рядок)</term> + <listitem> + <para> + У разі використання ldap_pwd_policy=shadow або +ldap_account_expire_policy=shadow цей параметр містить назву атрибута LDAP, +який є відповідником параметра <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (дати завершення строку дії пароля). + </para> + <para> + Типове значення: shadowExpire + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_last_pwd_change (рядок)</term> + <listitem> + <para> + Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить +назву атрибута LDAP, у якому зберігається дата і час останньої зміни пароля +у kerberos. + </para> + <para> + Типове значення: krbLastPwdChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_password_expiration (рядок)</term> + <listitem> + <para> + Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить +назву атрибута LDAP, у якому зберігається дата і час завершення строку дії +поточного пароля. + </para> + <para> + Типове значення: krbPasswordExpiration + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_account_expires (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву +атрибута LDAP, у якому зберігаються дані щодо строку завершення дії +облікового запису. + </para> + <para> + Типове значення: accountExpires + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_user_account_control (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву +атрибута LDAP, у якому зберігаються дані щодо поля контрольного біта +облікового запису користувача. + </para> + <para> + Типове значення: userAccountControl + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ns_account_lock (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=rhds або еквівалентне налаштування, +цей параметр визначає, заборонено чи дозволено доступ. + </para> + <para> + Типове значення: nsAccountLock + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_disabled (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає, дозволено +чи заборонено доступ. + </para> + <para> + Типове значення: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_expiration_time (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає дату, до +якої надано доступ. + </para> + <para> + Типове значення: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_allowed_time_map (рядок)</term> + <listitem> + <para> + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає годити дня +тижня, коли надається доступ. + </para> + <para> + Типове значення: loginAllowedTimeMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_principal (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить Kerberos User Principal Name (UPN) користувача. + </para> + <para> + Типове значення: krbPrincipalName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_extra_attrs (рядок)</term> + <listitem> + <para> + Відокремлений комами список атрибутів LDAP, які SSSD має отримувати разом зі +звичайним набором атрибутів запису користувача. + </para> + <para> + Список може або містити лише назви атрибутів LDAP, або відокремлені +двокрапками кортежі з назви атрибута кешу SSSD та назви атрибута LDAP. Якщо +вказано лише назву атрибута LDAP, атрибут зберігається до кешу +буквально. Використання нетипової назви атрибута SSSD може бути потрібним +середовищам, де налаштовано декілька доменів SSSD з різними схемами LDAP. + </para> + <para> + Будь ласка, зауважте, що декілька назв атрибутів зарезервовано SSSD, зокрема +атрибут «name». SSSD повідомить про помилку, якщо будь-які із зарезервованих +назв атрибутів використано як назву додаткового атрибута. + </para> + <para> + Приклади: + </para> + <para> + ldap_user_extra_attrs = telephoneNumber + </para> + <para> + Зберегти атрибут «telephoneNumber» з LDAP як «telephoneNumber» до кешу. + </para> + <para> + ldap_user_extra_attrs = phone:telephoneNumber + </para> + <para> + Зберегти атрибут «telephoneNumber» з LDAP як «phone» до кешу. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_user_ssh_public_key (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який містить відкриті ключі SSH користувача. + </para> + <para> + Типове значення: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_fullname (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає повному імені користувача. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_member_of (рядок)</term> + <listitem> + <para> + Атрибут LDAP зі списком груп, у яких бере участь користувач. + </para> + <para> + Типове значення: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_service (рядок)</term> + <listitem> + <para> + Якщо access_provider=ldap і ldap_access_order=authorized_service, SSSD +використовуватиме наявність атрибута authorizedService у записі користувача +LDAP для визначення прав доступу. + </para> + <para> + Спочатку визначаються явні заборони (!svc). Далі SSSD шукає явні дозволи +(svc) і нарешті загальні дозволи або allow_all (*). + </para> + <para> + Будь ласка, зауважте, що параметр налаштування ldap_access_order +<emphasis>має</emphasis> включати <quote>authorized_service</quote>, щоб +система змогла скористатися параметром ldap_user_authorized_service. + </para> + <para> + У деяких дистрибутивах (зокрема у Fedora-29+ або RHEL-8) службу PAM +<quote>systemd-user</quote> завжди включено до процедури входу до +системи. Тому при використанні керування доступом на основі даних служб +варто додавати службу <quote>systemd-user</quote> до списку дозволених +служб. + </para> + <para> + Типове значення: authorizedService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_host (рядок)</term> + <listitem> + <para> + Якщо access_provider=ldap і ldap_access_order=host, SSSD використовуватиме +наявність атрибута host у записі користувача LDAP для визначення прав +доступу. + </para> + <para> + Спочатку визначаються явні заборони (!host). Далі SSSD шукає явні дозволи +(host) і нарешті загальні дозволи або allow_all (*). + </para> + <para> + Будь ласка, зауважте, що параметр налаштування ldap_access_order +<emphasis>має</emphasis> включати <quote>host</quote>, щоб можна було +скористатися параметром ldap_user_authorized_host. + </para> + <para> + Типове значення: host + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_rhost (рядок)</term> + <listitem> + <para> + Якщо access_provider=ldap і ldap_access_order=rhost, SSSD використовуватиме +наявність атрибута rhost у записі користувача LDAP для визначення прав +доступу. Те саме стосується і процесу перевірки вузла. + </para> + <para> + Спочатку визначаються явні заборони (!rhost). Далі SSSD шукає явні дозволи +(rhost) і нарешті загальні дозволи або allow_all (*). + </para> + <para> + Будь ласка, зауважте, що параметр налаштування ldap_access_order +<emphasis>має</emphasis> включати <quote>rhost</quote>, щоб можна було +скористатися параметром ldap_user_authorized_rhost. + </para> + <para> + Типове значення: rhost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_certificate (рядок)</term> + <listitem> + <para> + Назва атрибута LDAP, що містить сертифікат X509 користувача. + </para> + <para> + Типове значення: userCertificate;binary + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_email (рядок)</term> + <listitem> + <para> + Назва атрибута LDAP, який містить адресу електронної пошти користувача. + </para> + <para> + Зауваження: якщо адреса електронної пошти користувача конфліктує із адресою +електронної пошти або повним ім'ям іншого користувача, SSSD не зможе +обслуговувати належним чином записи таких користувачів. Якщо з якоїсь +причини у декількох користувачів має бути одна адреса електронної пошти, +встановіть для цього параметра довільну назву атрибута, щоб вимкнути пошук і +вхід до системи за адресою електронної пошти. + </para> + <para> + Типове значення: mail + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>ldap_user_passkey (string)</term> + <listitem> + <para> + Name of the LDAP attribute containing the passkey mapping data of the user. + </para> + <para> + Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='group-attributes'> + <title>АТРИБУТИ ГРУПИ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_group_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису групи у LDAP. + </para> + <para> + Типове значення: posixGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_name (рядок)</term> + <listitem> + <para> + The LDAP attribute that corresponds to the group name. In an environment +with nested groups, this value must be an LDAP attribute which has a unique +name for every group. This requirement includes non-POSIX groups in the tree +of nested groups. + </para> + <para> + Типове значення: cn (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_gid_number (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає ідентифікатору групи. + </para> + <para> + Типове значення: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_member (рядок)</term> + <listitem> + <para> + Атрибут LDAP, у якому містяться імена учасників групи. + </para> + <para> + Типове значення: memberuid (rfc2307) / member (rfc2307bis) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_uuid (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить UUID/GUID об’єкта групи LDAP. + </para> + <para> + Типове значення: не встановлено у загальному випадку, objectGUID для AD і +ipaUniqueID для IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_objectsid (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить objectSID об’єкта групи LDAP. Зазвичай, потрібен +лише для серверів ActiveDirectory. + </para> + <para> + Типове значення: objectSid для ActiveDirectory, не встановлено для інших +серверів. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_modify_timestamp (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + </para> + <para> + Типове значення: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_type (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить ціле значення і позначає тип групи, а також, +можливо, інші прапорці. + </para> + <para> + Цей атрибут у поточній версії використовується лише засобом надання даних AD +для визначення, чи є група локальною групою домену і чи має бути її +відфільтровано у списку надійних (довірених) доменів. + </para> + <para> + Типове значення: groupType у засобі надання даних AD, у інших засобах не +встановлено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_external_member (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який посилається на записи учасників групи, які визначено у +зовнішньому домені. У поточній версії передбачено підтримку лише зовнішніх +записів учасників IPA. + </para> + <para> + Типове значення: ipaExternalMember у засобі надання даних IPA, у інших +засобах не визначено. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='netgroup-attributes'> + <title>АТРИБУТИ МЕРЕЖЕВОЇ ГРУПИ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_netgroup_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису мережевої групи (netgroup) у LDAP. + </para> + <para> + У надавачі даних IPA має бути використано ipa_netgroup_object_class. + </para> + <para> + Типове значення: nisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві мережевої групи (netgroup). + </para> + <para> + У надавачі даних IPA має бути використано ipa_netgroup_name. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_member (рядок)</term> + <listitem> + <para> + Атрибут LDAP, у якому містяться імена учасників мережевої групи (netgroup). + </para> + <para> + У надавачі даних IPA має бути використано ipa_netgroup_member. + </para> + <para> + Типове значення: memberNisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_triple (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить трійки мережевої групи (вузол, користувач, домен). + </para> + <para> + Цим параметром не можна скористатися у надавачі даних IPA. + </para> + <para> + Типове значення: nisNetgroupTriple + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_modify_timestamp (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + </para> + <para> + Цим параметром не можна скористатися у надавачі даних IPA. + </para> + <para> + Типове значення: modifyTimestamp + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='host-attributes'> + <title>АТРИБУТИ ВУЗЛА</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_host_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису вузла у LDAP. + </para> + <para> + Типове значення: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві вузла. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_fqdn (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає повній назві вузла. + </para> + <para> + Типове значення: fqdn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_serverhostname (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві вузла. + </para> + <para> + Типове значення: serverHostname + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_member_of (рядок)</term> + <listitem> + <para> + Атрибут LDAP зі списком груп, у яких бере участь вузол. + </para> + <para> + Типове значення: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_host_ssh_public_key (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який містить відкриті ключі SSH вузла. + </para> + <para> + Типове значення: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_uuid (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить UUID/GUID об’єкта вузла LDAP. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='service-attributes'> + <title>АТРИБУТИ СЛУЖБИ</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_service_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису служби у LDAP. + </para> + <para> + Типове значення: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить назву атрибутів служби та замінників цих атрибутів. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_port (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить номер порту, яким керує ця служба. + </para> + <para> + Типове значення: ipServicePort + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_proto (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить протоколи, за яким може працювати ця служба. + </para> + <para> + Типове значення: ipServiceProtocol + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-attributes'> + <title>АТРИБУТИ SUDO</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_sudorule_object_class (рядок)</term> + <listitem> + <para> + Клас об’єктів запису правила sudo у LDAP. + </para> + <para> + Типове значення: sudoRole + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві правила sudo. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_command (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві команди. + </para> + <para> + Типове значення: sudoCommand + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_host (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який відповідає назві вузла (або IP-адресі вузла, IP-мережі +вузла, мережевій групі вузла) + </para> + <para> + Типове значення: sudoHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_user (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві імені користувача (або UID, назві групи +або назві мережевої групи користувача) + </para> + <para> + Типове значення: sudoUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_option (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає параметрам sudo. + </para> + <para> + Типове значення: sudoOption + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasuser (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає користувачеві, від імені якого можна виконувати +команди. + </para> + <para> + Типове значення: sudoRunAsUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasgroup (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає назві групи або GID, від імені якої можна +виконувати команди. + </para> + <para> + Типове значення: sudoRunAsGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notbefore (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає даті і часу набуття чинності правилом sudo. + </para> + <para> + Типове значення: sudoNotBefore + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notafter (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає даті і часу втрати чинності правилом sudo. + </para> + <para> + Типове значення: sudoNotAfter + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_order (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що відповідає порядковому номеру правила. + </para> + <para> + Типове значення: sudoOrder + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='autofs-attributes'> + <title>АТРИБУТИ AUTOFS</title> + <para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + </refsect1> + + <refsect1 id='iphost-attributes'> + <title>АТРИБУТИ ВУЗЛА IP</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_iphost_object_class (рядок)</term> + <listitem> + <para> + Клас об'єктів запису iphost у LDAP. + </para> + <para> + Типове значення: ipHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить назву атрибутів IP вузла та замінників цих +атрибутів. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_number (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який містить адресу IP вузла. + </para> + <para> + Типове значення: ipHostNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='ipnetwork-attributes'> + <title>АТРИБУТИ МЕРЕЖІ IP</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_ipnetwork_object_class (рядок)</term> + <listitem> + <para> + Клас об'єктів запису ipnetwork у LDAP. + </para> + <para> + Типове значення: ipNetwork + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_name (рядок)</term> + <listitem> + <para> + Атрибут LDAP, що містить назву атрибутів мережі IP та замінників цих +атрибутів. + </para> + <para> + Типове значення: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_number (рядок)</term> + <listitem> + <para> + Атрибут LDAP, який містить адресу мережі IP. + </para> + <para> + Типове значення: ipNetworkNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-ldap.5.xml b/src/man/uk/sssd-ldap.5.xml new file mode 100644 index 0000000..aa56d64 --- /dev/null +++ b/src/man/uk/sssd-ldap.5.xml @@ -0,0 +1,1805 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap</refname> + <refpurpose>Модуль надання даних LDAP SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування доменів LDAP для +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Щоб дізнатися більше про синтаксис налаштування, зверніться +до розділу «ФОРМАТ ФАЙЛА» сторінки довідника <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>.</para> + <para> + Ви можете налаштувати SSSD на використання декількох доменів LDAP. + </para> + <para> + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. <command>sssd</command> <emphasis>does not</emphasis> support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to <quote>ldap_access_filter</quote> config option +for more information about using LDAP as an access provider. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Всі загальні параметри налаштування, які стосуються доменів SSSD, також +стосуються і доменів LDAP. Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки +підручника <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше. Зауважте, що +атрибути прив'язки до LDAP SSSD описано на сторінці підручника щодо +<citerefentry> <refentrytitle>sssd-ldap-attributes</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. <variablelist> + <varlistentry> + <term>ldap_uri, ldap_backup_uri (рядок)</term> + <listitem> + <para> + Визначає список адрес серверів LDAP, відокремлених комами, з якими SSSD має +встановлювати з’єднання у порядку пріоритету. Зверніться до розділу +«РЕЗЕРВ», щоб дізнатися більше про перемикання на резервні ресурси та +додаткові сервери. Якщо не вказано, буде використано автоматичне виявлення +служб. Докладніші відомості можна знайти у розділі «ПОШУК СЛУЖБ». + </para> + <para> + Формат адреси має відповідати формату, що визначається RFC 2732: + </para> + <para> + ldap[s]://<вузол>[:порт] + </para> + <para> + У явних адресах IPv6 <вузол> має бути вказано у квадратних дужках, [] + </para> + <para> + приклад: ldap://[fc00::126:25]:389 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_uri, ldap_chpass_backup_uri (рядок)</term> + <listitem> + <para> + Визначає список адрес серверів LDAP, відокремлених комами, з якими SSSD має +встановлювати з’єднання у порядку пріоритету для зміни пароля +користувача. Зверніться до розділу «РЕЗЕРВ», щоб дізнатися більше про +перемикання на резервні ресурси та додаткові сервери. + </para> + <para> + Для того, щоб уможливити визначення служб, слід встановити значення +параметра ldap_chpass_dns_service_name. + </para> + <para> + Типове значення: порожнє, тобто використовується ldap_uri. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_search_base (рядок)</term> + <listitem> + <para> + Типова базова назва домену, яку слід використовувати для виконання дій від +імені користувача LDAP. + </para> + <para> + Починаючи з SSSD 1.7.0, у SSSD передбачено підтримку визначення декількох +основ для пошуку за допомогою таких синтаксичних конструкцій: + </para> + <para> + основа_пошуку[?діапазон?[фільтр][?основа_пошуку?діапазон?[фільтр]]*] + </para> + <para> + Діапазоном може бути одне зі значень, «base» (основа), «onelevel» (окремий +рівень) або «subtree» (піддерево). + </para> + <para> + Фільтром має бути коректний запис фільтрування LDAP, відповідно до +специфікації http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Приклади: + </para> + <para> + ldap_search_base = dc=example,dc=com (еквівалентне до) ldap_search_base = +dc=example,dc=com?subtree? + </para> + <para> + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + </para> + <para> + Зауваження: підтримки визначення декількох основ пошуку з посиланням на +об’єкти з однаковими назвами (наприклад груп з однаковою назвою у двох +різних основах пошуку) не передбачено. Такі визначення можуть призвести до +непередбачуваних результатів на клієнтських комп’ютерах. + </para> + <para> + Типове значення: якщо значення не встановлено, буде використано значення +атрибута defaultNamingContext або namingContexts з RootDSE сервера +LDAP. Якщо запису defaultNamingContext не існує або цей запис має порожнє +значення, буде використано namingContexts. Для роботи системи потрібно, щоб +атрибут namingContexts має єдине значення DN бази пошуку сервера +LDAP. Підтримки визначення декількох значень не передбачено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_schema (рядок)</term> + <listitem> + <para> + Визначає тип схеми, що використовується на сервері LDAP +призначення. Відповідно до вибраної схеми, типові назви атрибутів, отриманих +з сервера, можуть бути різними. Спосіб обробки атрибутів також може бути +різним. + </para> + <para> + У поточній версії передбачено підтримку чотирьох типів схем: + <itemizedlist> + <listitem> + <para> + rfc2307 + </para> + </listitem> + <listitem> + <para> + rfc2307bis + </para> + </listitem> + <listitem> + <para> + IPA + </para> + </listitem> + <listitem> + <para> + AD + </para> + </listitem> + </itemizedlist> + </para> + <para> + Основною відмінністю між цими типами схем є спосіб запису даних щодо участі +у групах на сервері. Відповідно до rfc2307, список учасників груп +впорядковується за користувачами у атрибуті +<emphasis>memberUid</emphasis>. Відповідно до rfc2307bis і IPA, список +учасників груп впорядковується за назвою домену (DN) і зберігається у +атрибуті <emphasis>member</emphasis>. Відповідно до типу схеми AD, +встановлюється відповідність зі значеннями Active Directory 2008r2. + </para> + <para> + Типове значення: rfc2307 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwmodify_mode (рядок)</term> + <listitem> + <para> + Визначає дію, яку буде здійснено для зміни пароля користувача. + </para> + <para> + У поточній версії передбачено два режими: + <itemizedlist> + <listitem> + <para> + exop — розширена дія зі зміни пароля (RFC 3062) + </para> + </listitem> + <listitem> + <para> + ldap_modify — безпосереднє внесення змін до userPassword (не рекомендуємо). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Зауваження: спочатку буде встановлено нове з'єднання для перевірки поточного +пароля шляхом прив'язування до системи від імені користувача, від якого +надійшов запит щодо зміни пароля. Якщо з'єднання вдасться встановити, його +буде використано для зміни пароля, тому у користувача має бути доступ до +запису атрибута userPassword. + </para> + <para> + Типове значення: exop + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_bind_dn (рядок)</term> + <listitem> + <para> + Типова назва домену прив’язки, яку слід використовувати для виконання дій +LDAP. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok_type (рядок)</term> + <listitem> + <para> + Тип розпізнавання для типової назви сервера прив’язки. + </para> + <para> + У поточній версії передбачено підтримку двох механізмів: + </para> + <para> + password + </para> + <para> + obfuscated_password + </para> + <para> + Типове значення: password + </para> + <para> + Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо +<citerefentry> <refentrytitle>sss_obfuscate</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok (рядок)</term> + <listitem> + <para> + Лексема розпізнавання типової назви сервера прив’язки. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_force_upper_case_realm (булеве значення)</term> + <listitem> + <para> + Деякі з серверів каталогів, наприклад Active Directory, можуть надавати +частину області адреси UPN лише малими літерами (літерами нижнього +регістру), що може призвести до невдалої спроби розпізнавання. Встановіть +ненульове значення цього параметра, якщо ви бажаєте використовувати назву +області у верхньому регістрі. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_refresh_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких SSSD має очікувати до оновлення +свого кешу нумерованих записів. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 300 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_purge_cache_timeout (ціле число)</term> + <listitem> + <para> + Визначає частоту пошуків у кеші неактивних записів (зокрема груп без +учасників та користувачів, які ніколи не входили до системи) та вилучення +цих записів з метою економії місця. + </para> + <para> + Встановлення нульового значення цього параметра вимикає дію з очищення +кешу. Будь ласка, зауважте, що якщо увімкнено нумерацію, дія з очищення є +необхідною з метою виявлення записів, вилучених із сервера, її не можна +вимикати. Типово, дія з очищення, якщо увімкнено нумерацію, виконується +кожні 3 години. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 0 (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_nesting_level (ціле число)</term> + <listitem> + <para> + Якщо ldap_schema встановлено у значення формату схеми, у якому передбачено +підтримку вкладеності груп (наприклад RFC2307bis), цей параметр визначає +кількість рівнів вкладеності, які оброблятимуться SSSD. Значення цього +параметра буде проігноровано, якщо використано схему RFC2307. + </para> + <para> + Зауваження: за допомогою цього параметра визначається гарантований рівень +вкладеності груп для обробки під час будь-якого пошуку. Втім, <emphasis>може +бути</emphasis> повернуто і групи із більшим рівнем вкладеності, якщо під +час попередніх пошуків відбувалася обробка вищих рівнів вкладеності. Крім +того, послідовні пошуки інших груп можуть розширити набір результатів +початкового пошуку, якщо запити щодо пошуку надходять повторно. + </para> + <para> + Якщо значенням ldap_group_nesting_level є 0, вкладені групи взагалі не +оброблятимуться. Втім, якщо з’єднання встановлено з Active-Directory Server +2008 та новішими версіями з використанням <quote>id_provider=ad</quote>, +слід також вимкнути використання груп реєстраційних записів (Token-Groups) +встановленням для параметра ldap_use_tokengroups значення false з метою +обмеження вкладеності у групах. + </para> + <para> + Типове значення: 2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_use_tokengroups</term> + <listitem> + <para> + За допомогою цього параметра можна увімкнути або вимкнути використання +атрибута Token-Groups під час виконання initgroup для користувачів Active +Directory Server 2008 та новіших версій. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: True для AD і IPA, інакше False. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_search_base (рядок)</term> + <listitem> + <para> + Необов’язковий. Використати вказаний рядок як основу пошуку об’єктів вузлів. + </para> + <para> + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + </para> + <para> + Типове значення: значення <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_search_timeout (ціле число)</term> + <listitem> + <para> + Визначає час очікування на дані (у секундах) для виконання пошуків ldap, +перш ніж пошук буде скасовано з поверненням кешованих даних (і переходом до +автономного режиму роботи) + </para> + <para> + Зауваження: роботу цього параметра буде змінено у наступних версіях +SSSD. Ймовірно, його буде колись замінено на послідовність часів очікування +для окремих типів пошуків. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_search_timeout (ціле число)</term> + <listitem> + <para> + Визначає час очікування на дані (у секундах) для виконання пошуків номерів +користувачів та груп у ldap, перш ніж пошук буде скасовано з поверненням +кешованих даних (і переходом до автономного режиму роботи) + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_network_timeout (ціле число)</term> + <listitem> + <para> + Визначає час очікування (у секундах), після завершення якого <citerefentry> +<refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> +<manvolnum>2</manvolnum> </citerefentry> з наступним <citerefentry> +<refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry> повертається до стану бездіяльності. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_opt_timeout (ціле число)</term> + <listitem> + <para> + Визначає час очікування (у секундах), після завершення якого виклики до +синхронних програмних інтерфейсів LDAP буде перервано, якщо не буде отримано +відповіді. Також керує часом очікування під час обміну даними з KDC у +випадку прив’язки SASL, часом очікування на дію з прив’язування LDAP, +розширеної операції зі зміни пароля та дії StartTLS. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_timeout (ціле значення)</term> + <listitem> + <para> + Визначає час очікування (у секундах), протягом якого підтримуватиметься +з’єднання з сервером LDAP. По завершенню цього часу буде зроблено спробу +повторно встановити з’єднання. У разі використання паралельно до SASL/GSSAPI +буде використано перше за часом значення (це значення або значення строку +дії TGT). + </para> + <para> + Якщо з'єднання є бездіяльним (жодна дія у ньому не виконується активно) +протягом <emphasis>ldap_opt_timeout</emphasis> секунд завершення строку дії, +його буде передчасно розірвано, щоб новий запит не міг потребувати, щоб +з'єднання лишалося відкритим після завершення його строку дії. Неявним +чином, це означає, що з'єднання завжди розриватимуться негайно і не +використовуватимуться повторно, якщо +<emphasis>ldap_connection_expire_timeout <= ldap_opt_timout</emphasis> + </para> + <para> + Цей час очікування може бути подовжено випадковим значенням, яке вказано +параметром <emphasis>ldap_connection_expire_offset</emphasis> + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 900 (15 хвилин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_offset (ціле число)</term> + <listitem> + <para> + Випадковий зсув від 0 до налаштованого значення, який буде додано до +<emphasis>ldap_connection_expire_timeout</emphasis>. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_idle_timeout (ціле значення)</term> + <listitem> + <para> + Визначає час очікування (у секундах), протягом якого підтримуватиметься +бездіяльне з’єднання з сервером LDAP. Якщо з'єднання лишатиметься +бездіяльним понад цей час, з'єднання буде розірвано. + </para> + <para> + Ви можете вимкнути цей час очікування, встановивши значення 0. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 900 (15 хвилин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_page_size (ціле число)</term> + <listitem> + <para> + Визначити кількість записів, які слід отримати з LDAP у відповідь на один +запит. На деяких серверах LDAP визначено обмеження максимальної кількості на +один запит. + </para> + <para> + Типове значення: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_paging (булеве значення)</term> + <listitem> + <para> + Вимикає контроль сторінок LDAP. Цим параметром слід скористатися, якщо +сервер LDAP повідомляє про підтримку контролю сторінок LDAP у своєму +RootDSE, але цю підтримку не увімкнено або вона не працює належним чином. + </para> + <para> + Приклад: сервери OpenLDAP з модулем контролю сторінок, встановленим на +сервері, але не увімкненим, повідомляють про підтримку у RootDSE, але цією +підтримкою не можна скористатися. + </para> + <para> + Приклад: 389 DS має ваду, пов’язану з тим, що здатен підтримувати лише один +процес контролю сторінок для одного з’єднання. У разі значного навантаження +це може призвести до відмови у виконанні запитів. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_range_retrieval (булеве значення)</term> + <listitem> + <para> + Вимкнути отримання діапазону Active Directory. + </para> + <para> + У Active Directory за допомогою правила MaxValRange (типове значення 1500 +записів) обмежується кількість записів, які може бути отримано під час +пошуку. Якщо у певній групі міститься більше записів учасників, до відповіді +буде включено специфічне для AD розширення діапазону. За допомогою цього +параметра можна вимкнути обробку розширення діапазону, отже великі групи +буде представлено як такі, у яких немає учасників. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_minssf (ціле значення)</term> + <listitem> + <para> + Під час обміну даними з сервером LDAP за допомогою SASL визначає мінімальний +рівень захисту, потрібний для встановлення з’єднання. Значення цього +параметра визначається OpenLDAP. + </para> + <para> + Типове значення: типове для системи значення (зазвичай, визначається у +ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_maxssf (ціле число)</term> + <listitem> + <para> + Під час обміну даними з сервером LDAP за допомогою SASL визначає +максимальний рівень захисту, потрібний для встановлення з’єднання. Значення +цього параметра визначається OpenLDAP. + </para> + <para> + Типове значення: типове для системи значення (зазвичай, визначається у +ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref_threshold (ціле число)</term> + <listitem> + <para> + Вказує кількість учасників групи, записів яких має не вистачати у +зовнішньому кеші для запуску загального пошуку з розіменуванням. Якщо +пропущених записів буде менше за вказану кількість, пошук для них +виконуватиметься окремо. + </para> + <para> + Ви можете повністю вимкнути запити щодо розіменувань встановленням значення +0. Будь ласка, зауважте, що у коді SSSD, зокрема засобу надання даних HBAC +IPA, є інструкції, які реалізовано лише з використанням викликів щодо +розіменування, тому навіть явне вимикання розіменувань не призведе до +вимикання розіменувань у цих частинах коду, якщо на сервері передбачено +підтримку розіменувань і оголошено про керування розіменуваннями у об'єкті +rootDSE. + </para> + <para> + Пошук з розіменуванням — це отримання всіх записів учасників групи за одним +викликом LDAP. У різних серверах LDAP може бути передбачено різні способи +розіменування. У поточній версії передбачено підтримку серверів 389/RHDS, +OpenLDAP та Active Directory. + </para> + <para> + <emphasis>Зауваження:</emphasis> якщо у одній з основ пошуку визначається +фільтр пошуку, покращення швидкодії фільтрів розіменування буде вимкнено, +незалежно від використання цього параметра. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ignore_unreadable_references (булеве значення)</term> + <listitem> + <para> + Ігнорувати непридатні до читання записи LDAP, на які посилається атрибут +учасника групи. Якщо для цього параметра встановлено значення «false», буде +повернуто повідомлення про помилку, а дія завершиться помилкою, замість +простого ігнорування непридатного до читання запису. + </para> + <para> + Цей параметр може бути корисним, якщо використано надавач даних AD, і +обліковий запис комп'ютера, який sssd використовує для встановлення +з'єднання із AD, не має доступу до певного запису або піддерева LDAP з +міркувань безпеки. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_reqcert (рядок)</term> + <listitem> + <para> + Визначає перелік перевірок, які слід виконати для сертифікатів серверів у +сеансі TLS, якщо такі перевірки слід виконувати. Може бути визначено одне з +таких значень: + </para> + <para> + <emphasis>never</emphasis> = клієнт не надсилатиме запиту і не перевірятиме +жодних сертифікатів сервера. + </para> + <para> + <emphasis>allow</emphasis> = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано, продовжити сеанс у звичайному режимі. Якщо буде +надано помилковий сертифікат, ігнорувати і продовжити сеанс у звичайному +режимі. + </para> + <para> + <emphasis>try</emphasis> = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано, продовжити сеанс у звичайному режимі. Якщо буде +надано помилковий сертифікат, негайно перервати сеанс. + </para> + <para> + <emphasis>demand</emphasis> = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано або буде надано помилковий сертифікат, негайно +перервати сеанс. + </para> + <para> + <emphasis>hard</emphasis> = те саме, що і <quote>demand</quote> + </para> + <para> + Типове значення: hard + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacert (рядок)</term> + <listitem> + <para> + Визначає файл, який містить сертифікати для всіх служб сертифікації, які +розпізнаються <command>sssd</command>. + </para> + <para> + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacertdir (рядок)</term> + <listitem> + <para> + Визначає шлях до каталогу, де у окремих файлах містяться сертифікати служб +сертифікації (CA). Типовими назвами файлів є хеші сертифікатів з додаванням +«.0». Для створення відповідних назв можна скористатися +<command>cacertdir_rehash</command>, якщо ця програма є доступною. + </para> + <para> + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cert (рядок)</term> + <listitem> + <para> + Визначає файл, який містить сертифікат для ключа клієнта. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_key (рядок)</term> + <listitem> + <para> + Визначає файл, у якому міститься ключ клієнта. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cipher_suite (рядок)</term> + <listitem> + <para> + Визначає прийнятні комплекти програм для шифрування. Записи у типовому +списку слід відокремлювати комами. З форматом можна ознайомитися на сторінці +довідника до <citerefentry><refentrytitle>ldap.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у <filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_use_start_tls (булеве значення)</term> + <listitem> + <para> + Specifies that the id_provider connection must also use <systemitem +class="protocol">tls</systemitem> to protect the channel. +<emphasis>true</emphasis> is strongly recommended for security reasons. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_mapping (булеве значення)</term> + <listitem> + <para> + Визначає, що SSSD має намагатися встановити відповідність ідентифікаторів +користувача і групи на основі атрибутів ldap_user_objectsid та +ldap_group_objectsid, замість атрибутів ldap_user_uid_number та +ldap_group_gid_number. + </para> + <para> + У поточній версії у цій можливості передбачено підтримку лише встановлення +відповідності objectSID у ActiveDirectory. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_min_id, ldap_max_id (ціле число)</term> + <listitem> + <para> + На відміну від прив’язування ідентифікаторів на основі SID, яке +використовується, якщо параметр ldap_id_mapping має значення true, діапазон +дозволених ідентифікаторів для ldap_user_uid_number і ldap_group_gid_number +є необмеженим. У конфігураціях з піддоменами та довіреними доменами це може +призвести до конфліктів ідентифікаторів. Щоб уникнути конфліктів, можна +встановити значення ldap_min_id і ldap_max_id для обмеження дозволеного +діапазону ідентифікаторів, які буде прочитано безпосередньо з сервера. Після +цього піддомени можуть вибирати інші діапазони для прив’язування +ідентифікаторів. + </para> + <para> + Типове значення: не встановлено (обидва параметри встановлено у значення 0) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_mech (рядок)</term> + <listitem> + <para> + Визначає механізм SASL, який слід використовувати. У поточній версії +перевірено і передбачено підтримку лише механізмів GSSAPI та GSS-SPNEGO. + </para> + <para> + Якщо у модулі обробки передбачено підтримку піддоменів, значення для +піддоменів ldap_sasl_mech буде автоматично успадковано від домену. Якщо для +якогось піддомену потрібне інше значення, його можна перезаписати +встановленням ldap_sasl_mech для цього піддомену окремо. Докладніший опис +можна знайти у розділі щодо довірених доменів у підручнику з +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_authid (рядок)</term> + <listitem> + <para> + Визначає ідентифікатор уповноваження SASL, яким слід скористатися. Якщо +використовується GSSAPI/GSS-SPNEGO, цим ідентифікатором є реєстраційні дані +Kerberos, які використовуються для розпізнавання при доступі до +каталогу. Цей параметр може містити або повні реєстраційні дані (наприклад +host/myhost@EXAMPLE.COM) або просто назву реєстраційного запису (наприклад +host/myhost). Типово, значення не встановлено і використовуються такі +реєстраційні записи: <programlisting> +hostname@REALM +netbiosname$@REALM +host/hostname@REALM +*$@REALM +host/*@REALM +host/* + </programlisting> Якщо жоден +з них не буде знайдено, буде повернуто перший реєстраційний запис у таблиці +ключів. + </para> + <para> + Типове значення: вузол/назва_вузла@ОБЛАСТЬ + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_realm (рядок)</term> + <listitem> + <para> + Визначає область SASL, яку слід використовувати. Якщо не вказано значення, +типовим значенням цього параметра є значення krb5_realm. Якщо +ldap_sasl_authid також містить запис області, цей параметр буде +проігноровано. + </para> + <para> + Типове значення: значення krb5_realm. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_canonicalize (булеве значення)</term> + <listitem> + <para> + Якщо встановлено значення true (1), бібліотека LDAP виконувати зворотній +пошук з метою переведення назв вузлів у канонічну форму під час прив’язки до +SASL. + </para> + <para> + Типове значення: false; + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_keytab (рядок)</term> + <listitem> + <para> + Визначає таблицю ключів, яку слід використовувати разом з +SASL/GSSAPI/GSS-SPNEGO. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: системна таблиця ключів, зазвичай +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_init_creds (булеве значення)</term> + <listitem> + <para> + Визначає, що id_provider має ініціалізувати реєстраційні дані Kerberos +(TGT). Цю дію буде виконано, лише якщо використовується SASL і вибрано +механізм GSSAPI або GSS-SPNEGO. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_ticket_lifetime (ціле число)</term> + <listitem> + <para> + Визначає строк дії (у секундах) TGT, якщо використовується GSSAPI або +GSS-SPNEGO. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: 86400 (24 години) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_server, krb5_backup_server (рядок)</term> + <listitem> + <para> + Визначає список IP-адрес або назв вузлів, відокремлених комами, серверів +Kerberos, з якими SSSD має встановлювати з’єднання. Список має бути +впорядковано за пріоритетом. Докладніше про резервування та додаткові +сервери можна дізнатися з розділу «РЕЗЕРВ». До адрес або назв вузлів може +бути додано номер порту (перед номером слід вписати двокрапку). Якщо +параметр матиме порожнє значення, буде увімкнено виявлення служб. Докладніше +про виявлення служб можна дізнатися з розділу «ПОШУК СЛУЖБ». + </para> + <para> + Під час використання виявлення служб для серверів KDC або kpasswd SSSD +спочатку намагається знайти записи DNS, у яких визначається протокол +_udp. Використання протоколу _tcp відбувається, лише якщо таких записів не +вдасться знайти. + </para> + <para> + У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній +версії передбачено розпізнавання цієї застарілої назви, але користувачам +варто перейти на використання «krb5_server» у файлах налаштувань. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (рядок)</term> + <listitem> + <para> + Вказати область Kerberos (для розпізнавання за SASL/GSSAPI/GSS-SPNEGO). + </para> + <para> + Типове значення: типове значення системи, +див. <filename>/etc/krb5.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід перетворювати реєстраційний запис вузла у канонічну форму +під час встановлення з’єднання з сервером LDAP. Цю можливість передбачено з +версії MIT Kerberos >= 1.7 + </para> + + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які +значення KDC слід використовувати. Типово, дію параметра увімкнено. Якщо ви +вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла +налаштувань <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Див. сторінку підручника (man) <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше про додаток +пошуку. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwd_policy (рядок)</term> + <listitem> + <para> + Визначає правил оцінки строку дії пароля на боці клієнта. Можна +використовувати такі значення: + </para> + <para> + <emphasis>none</emphasis> — не використовувати перевірки на боці клієнта. У +разі використання цього варіанта перевірку на боці сервера вимкнено не буде. + </para> + <para> + <emphasis>shadow</emphasis> — використовувати атрибути у стилі +<citerefentry><refentrytitle>shadow</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> для визначення того, чи чинним є +пароль. + </para> + <para> + <emphasis>mit_kerberos</emphasis> — використовувати атрибути MIT Kerberos +для визначення завершення строку дії пароля. У разі зміни пароля +скористайтеся chpass_provider=krb5 для оновлення цих атрибутів. + </para> + <para> + Типове значення: none + </para> + <para> + <emphasis>Зауваження</emphasis>: якщо правила поводження з паролями +налаштовано на боці сервера, ці правила мають пріоритет над правилами, +встановленими за допомогою цього параметра. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_referrals (булеве значення)</term> + <listitem> + <para> + Визначає, чи має бути увімкнено автоматичне визначення напрямків пошуку. + </para> + <para> + Зауважте, що sssd підтримує визначення напрямків, лише якщо систему зібрано +з версією OpenLDAP 2.4.13 або новішою версією. + </para> + <para> + Перехід за спрямуваннями може призвести до значних втрат швидкодії у +середовищах, де такі спрямування використовуються широко. Прикладом такого +середовища може бути Microsoft Active Directory. Якщо у вашому середовищі +спрямування не є обов’язковими, встановлення для цього параметра значення +«false» може значно пришвидшити роботу. Отже, встановлення для цього +параметра значення false рекомендоване у випадку, коли надавач даних LDAP +SSSD використовується разом із модулем обробки Microsoft Active +Directory. Навіть якщо SSSD зможе переходити за посиланнями до іншого AD DC, +додаткові дані виявляться недоступними. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_dns_service_name (рядок)</term> + <listitem> + <para> + Визначає назву служби, яку буде використано у разі вмикання визначення +служб. + </para> + <para> + Типове значення: ldap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_dns_service_name (рядок)</term> + <listitem> + <para> + Визначає назву служби, яку буде використано для пошуку сервера LDAP, який +уможливлює зміну паролів, у разі вмикання визначення служб. + </para> + <para> + Типове значення: не встановлено, тобто пошук служб вимкнено + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_update_last_change (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід оновлювати атрибут ldap_user_shadow_last_change даними +щодо кількості днів з часу виконання дії зі зміни пароля. + </para> + <para> + Рекомендуємо встановити цей параметр явним чином, якщо використано +"ldap_pwd_policy = shadow", щоб дати SSSD знати, оновлюватиме LDAP атрибут +shadowLastChange автоматично після зміни пароля чи SSSD має зробити це +окремо. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_filter (рядок)</term> + <listitem> + <para> + Якщо використовується access_provider = ldap та ldap_access_order = filter +(типова поведінка), цей параметр є обов’язковим. Він вказує критерії +фільтрування LDAP, яким має задовольняти запис користувача для надання +доступу до цього вузла. Якщо визначено access_provider = ldap та +ldap_access_order = filter, а цей параметр не встановлено, доступ буде +заборонено всім користувачам. Щоб змінити таку типову поведінку системи, +скористайтеся параметром access_provider = permit. Будь ласка, зауважте, що +цей фільтр застосовуватиметься лише до запису користувача LDAP, отже +фільтрування, засноване на вкладених групах може не працювати (наприклад, +атрибут memberOf для записів AD вказує лише на безпосередні батьківські +записи). Якщо вам потрібне фільтрування, засноване на вкладених групах, будь +ласка, скористайтеся параметром <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Приклад: + </para> + <programlisting> +access_provider = ldap +ldap_access_filter = (employeeType=admin) + </programlisting> + <para> + У прикладі доступ до цього вузла обмежено користувачами, чий атрибут +employeeType встановлено у значення «admin». + </para> + <para> + Автономне кешування для цієї можливості обмежено визначенням того, чи було +надано користувачеві під час попередньої спроби увійти до системи з мережі +права доступу. Якщо під час останньої спроби увійти такі права було надано, +система продовжуватиме надавати права доступу у автономному режимі. Якщо ж +таких прав не було надано, у автономному режимі їх також не буде надано. + </para> + <para> + Типове значення: порожній рядок + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_account_expire_policy (рядок)</term> + <listitem> + <para> + За допомогою цього параметра може бути увімкнено визначення атрибутів +керування доступом на боці клієнта. + </para> + <para> + Будь ласка, зауважте, що завжди варто використовувати керування доступом на +боці сервера, тобто сервер LDAP має відмовляти у запитах щодо прив’язування +з відповідним кодом помилки, навіть якщо вказано правильний пароль. + </para> + <para> + Можна використовувати такі значення: + </para> + <para> + <emphasis>shadow</emphasis>: це значення ldap_user_shadow_expire допомагає +визначити, чи завершено строк дії облікового запису. + </para> + <para> + <emphasis>ad</emphasis>: скористатися значенням 32-бітового поля +ldap_user_ad_user_account_control і дозволити доступ, якщо другий біт має +нульове значення. Якщо атрибут не буде знайдено, доступ буде +дозволено. Також буде перевірено, чи не вичерпано строк дії облікового +запису. + </para> + <para> + <emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, +<emphasis>389ds</emphasis>: використовувати для перевірки доступу значення +ldap_ns_account_lock. + </para> + <para> + <emphasis>nds</emphasis>: для перевірки доступу використовувати значення +ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled і +ldap_user_nds_login_expiration_time. Якщо не буде виявлено жодного з цих +атрибутів, надати доступ. + </para> + <para> + Будь ласка, зауважте, що параметр налаштування ldap_access_order +<emphasis>має</emphasis> включати <quote>expire</quote>, щоб можна було +користуватися параметром ldap_account_expire_policy. + </para> + <para> + Типове значення: порожній рядок + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_order (рядок)</term> + <listitem> + <para> + Список відокремлених комами параметрів керування доступом. Можливі значення +списку: + </para> + <para> + <emphasis>filter</emphasis>: використовувати ldap_access_filter + </para> + <para> + <emphasis>lockout</emphasis>: використовувати блокування облікових +записів. Якщо встановлено, цей параметр забороняє доступ, якщо існує атрибут +ldap «pwdAccountLockedTime» і його значенням є «000001010000Z». Будь ласка, +ознайомтеся із документацією до параметра ldap_pwdlockout_dn. Зауважте, що +для працездатності цієї можливості слід встановити «access_provider = ldap». + </para> + <para> + <emphasis> Будь ласка, зауважте, що цей параметр має нижчий пріоритет за +параметр «ppolicy», його може бути вилучено у наступних випусках. +</emphasis> + </para> + <para> + <emphasis>ppolicy</emphasis>: використовувати блокування облікових +записів. Якщо встановлено, забороняє доступ у випадку наявності атрибута +ldap «pwdAccountLockedTime» рівного «000001010000Z» або такого, що +відповідає моменту часу у минулому. Значення атрибута «pwdAccountLockedTime» +має завершуватися на «Z», що позначає часовий пояс UTC. Підтримки інших +часових поясів у поточній версії не передбачено, їхнє використання +призводитиме до появи повідомлення про заборону доступу, коли користувачі +намагатимуться увійти до системи. Докладніший опис можна знайти у розділі +щодо параметра ldap_pwdlockout_dn. Будь ласка, зауважте, що для +працездатності цього параметра слід встановити значення «access_provider = +ldap». + </para> + + <para> + <emphasis>expire</emphasis>: використовувати ldap_account_expire_policy + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Ці параметри корисні, якщо користувачам +потрібні попередження щодо скорого завершення строку дії пароля, і у +випадках, коли розпізнавання засновано на відмінних від паролів методах, +наприклад на ключах SSH. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Будь ласка, зауважте, що для того, щоб цим можна було скористатися, слід +встановити «access_provider = ldap». Крім того, слід встановити для +параметра «ldap_pwd_policy» відповідні правила поводження із паролями. + </para> + <para> + <emphasis>authorized_service</emphasis>: використовувати для визначення +можливості доступу атрибут authorizedService + </para> + <para> + <emphasis>host</emphasis>: за допомогою цього атрибута вузла можна визначити +права доступу + </para> + <para> + <emphasis>rhost</emphasis>: використовувати атрибут rhost для визначення +того, чи матиме віддалений вузол доступ + </para> + <para> + Будь ласка, зауважте, що значення поля rhost у pam встановлюється +програмою. Варто перевірити, що програма надсилає pam, перш ніж вмикати цей +варіант керування доступом. + </para> + <para> + Типове значення: filter + </para> + <para> + Зауважте, що програма повідомить про помилку, якщо одне значення було +використано декілька разів. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwdlockout_dn (рядок)</term> + <listitem> + <para> + За допомогою цього параметра визначається DN запису правил поводження із +паролями на сервері LDAP. Будь ласка, зауважте, що те, що цього параметра не +буде у sssd.conf, у випадку увімкненого блокування облікових записів +призведе до заборони доступу, оскільки атрибути ppolicy на сервері LDAP не +можна буде перевірити належним чином. + </para> + <para> + Приклад: cn=ppolicy,ou=policies,dc=example,dc=com + </para> + <para> + Типове значення: cn=ppolicy,ou=policies,$ldap_search_base + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref (рядок)</term> + <listitem> + <para> + Визначає спосіб виконання розіменовування псевдонімів під час виконання +пошуку. Можливі такі варіанти: + </para> + <para> + <emphasis>never</emphasis>: ніколи не виконувати розіменування псевдонімів. + </para> + <para> + <emphasis>searching</emphasis>: розіменування псевдонімів відбувається у +межах основного об’єкта, а не на основі визначення місця основного об’єкта +пошуку. + </para> + <para> + <emphasis>finding</emphasis>: розіменування псевдонімів відбувається лише +під час визначення місця основного об’єкта пошуку. + </para> + <para> + <emphasis>always</emphasis>: розіменування псевдонімів відбувається як під +час пошуку, так і під час визначення місця основного об’єкта пошуку. + </para> + <para> + Типове значення: не встановлено (обробка бібліотеками LDAP клієнта за +сценарієм <emphasis>never</emphasis>) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_rfc2307_fallback_to_local_users (булеве значення)</term> + <listitem> + <para> + Надає змогу зберігати локальних користувачів як учасників групи LDAP для +серверів, у яких використовується схема RFC2307. + </para> + <para> + У деяких середовищах, де використовується схема RFC2307, локальних +користувачів можна зробити учасниками груп LDAP додаванням імен цих +користувачів до атрибута memberUid. Узгодженість домену може бути +скомпрометовано, якщо буде виконано подібне додавання учасника, тому SSSD за +звичайних умов вилучає записи користувачів, яких «не вистачає», з кешованих +даних щодо участі у групах, щойно nsswitch спробує отримати дані щодо +користувачів за допомогою виклику getpw*() або initgroups(). + </para> + <para> + У разі використання цього параметра програма повертається до перевірки +посилань на локальних користувачів і кешує їх так, що наступні виклики +initgroups() розширюватимуть список локальних користувачів додатковими +групами LDAP. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (ціле число)</term> + <listitem> + <para> + Визначає верхню межу для кількості записів, які отримуватимуться під час +пошуку з використанням символів-замінників. + </para> + <para> + У поточній версії пошук із використанням символів-замінників передбачено +лише для відповідача InfoPipe. + </para> + <para> + Типове значення: 1000 (часто розмір однієї сторінки) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_library_debug_level (ціле число)</term> + <listitem> + <para> + Вмикає діагностику libldap із вказаним рівнем. Діагностичні повідомлення +libldap буде записано незалежно від загального debug_level. + </para> + <para> + OpenLDAP використовує бітову карту для вмикання діагностики для певних +компонентів, -1 увімкне повне виведення діагностичних даних. + </para> + <para> + Типове значення: 0 (діагностику libldap вимкнено) + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-options' condition="with_sudo"> + <title>ПАРАМЕТРИ SUDO</title> + <para> + Докладні настанов щодо налаштовування sudo_provider можна знайти на сторінці +довідника (man) <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + + <para> + <variablelist> + <varlistentry> + <term>ldap_sudo_full_refresh_interval (ціле число)</term> + <listitem> + <para> + Проміжок часу у секундах між послідовними повними оновленнями правил sudo +SSSD у автоматичному режимі. Під час таких оновлень буде отримано повний +набір правил, що зберігаються на сервері. + </para> + <para> + Це значення має перевищувати значення +<emphasis>ldap_sudo_smart_refresh_interval </emphasis> + </para> + <para> + Ви можете вимкнути повне оновлення встановленням для цього параметра +значення 0. Втім, обов'язково має бути увімкнено або кмітливе або повне +оновлення. + </para> + <para> + Типове значення: 21600 (6 годин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_smart_refresh_interval (ціле число)</term> + <listitem> + <para> + Проміжок часу у секундах між послідовними кмітливими оновленнями правил sudo +SSSD у автоматичному режимі. Під час таких оновлень буде отримано всі дані +правил, USN яких перевищує найбільше значення сервера USN, яке відоме SSSD. + </para> + <para> + Якщо підтримки атрибутів USN на сервері не передбачено, буде використано +дані атрибута modifyTimestamp. + </para> + <para> + <emphasis>Зауваження:</emphasis> набільше значення USN можна оновити у три +способи: 1) повним і кмітливим оновленням sudo (якщо виявлено оновлені +правила), 2) нумеруванням користувачів і груп (якщо виявлено увімкнені і +оновлені записи користувачів або груп) і 3) повторним з'єднанням із сервером +(типово, кожні 15 хвилин, +див. <emphasis>ldap_connection_expire_timeout</emphasis>). + </para> + <para> + Ви можете вимкнути кмітливе оновлення встановленням для цього параметра +значення 0. Втім, обов'язково має бути увімкнено або кмітливе або повне +оновлення. + </para> + <para> + Типове значення: 900 (15 хвилин) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_random_offset (ціле число)</term> + <listitem> + <para> + Випадковий зсув від 0 до налаштованого значення, який буде додано до +кмітливого і повного періодів оновлення кожного разу під час планування +регулярного завдання. Значення у секундах. + </para> + <para> + Зауважте, що цей випадковий зсув буде також застосовано під час першого +запуску SSSD, що затримає перше оновлення правил sudo. Затримка збільшує +час, протягом якого правила sudo є недоступними для використання. + </para> + <para> + Ви можете вимкнути цей зсув, встановивши значення 0. + </para> + <para> + Типове значення: 0 (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_use_host_filter (булеве значення)</term> + <listitem> + <para> + Якщо визначено значення true, SSSD отримуватиме лише правила, що стосуються +цього комп’ютера (на основі адрес вузла або мережі у форматах IPv4 і IPv6 та +назв вузлів). + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_hostnames (рядок)</term> + <listitem> + <para> + Список назв вузлів або повних доменних назв, відокремлених пробілами, для +фільтрування списку правил. + </para> + <para> + Якщо значення цього параметра є порожнім, SSSD намагатиметься визначити +назву вузла та повну назву комп’ютера у домені у автоматичному режимі. + </para> + <para> + Якщо для <emphasis>ldap_sudo_use_host_filter</emphasis> встановлено значення +<emphasis>false</emphasis>, цей параметр ні на що не впливатиме. + </para> + <para> + Типове значення: не вказано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_ip (рядок)</term> + <listitem> + <para> + Список адрес вузлів або мереж у форматах IPv4 і IPv6 для фільтрування списку +правил. + </para> + <para> + Якщо значення цього параметра є порожнім, SSSD намагатиметься визначити +адресу у автоматичному режимі. + </para> + <para> + Якщо для <emphasis>ldap_sudo_use_host_filter</emphasis> встановлено значення +<emphasis>false</emphasis>, цей параметр ні на що не впливатиме. + </para> + <para> + Типове значення: не вказано + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_netgroups (булеве значення)</term> + <listitem> + <para> + Якщо вказано значення true, SSSD отримуватиме всі правила, що містять +мережеву групу (netgroup) у атрибуті sudoHost. + </para> + <para> + Якщо для <emphasis>ldap_sudo_use_host_filter</emphasis> встановлено значення +<emphasis>false</emphasis>, цей параметр ні на що не впливатиме. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_regexp (булеве значення)</term> + <listitem> + <para> + Якщо вказано значення true, SSSD отримуватиме всі правила, що містять шаблон +заміни у атрибуті sudoHost. + </para> + <para> + Якщо для <emphasis>ldap_sudo_use_host_filter</emphasis> встановлено значення +<emphasis>false</emphasis>, цей параметр ні на що не впливатиме. + </para> + <note> + <para> + Використання символів-замінників є дуже обчислювально вартісною операцією +для сервера LDAP! + </para> + </note> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + На цій сторінці довідника наведено дані щодо відповідності назв +атрибутів. Докладний опис семантики атрибутів, пов’язаних з sudo, можна +знайти у довідці з <citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='autofs-options' condition="with_autofs"> + <title>ПАРАМЕТРИ AUTOFS</title> + <para> + Деякі типові значення параметрів, описаних нижче, залежать від бази даних +LDAP. + </para> + <para> + <variablelist> + <varlistentry> + <term>ldap_autofs_map_master_name (рядок)</term> + <listitem> + <para> + Назва основної карти автоматичного монтування у LDAP. + </para> + <para> + Типове значення: auto.master + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect1> + + <refsect1 id='advanced-options'> + <title>ДОДАТКОВІ ПАРАМЕТРИ</title> + <para> + Підтримку цих параметрів передбачено доменами LDAP, але користуватися ними +слід обережно. Будь ласка, використовуйте їх у налаштуваннях, лише якщо вам +відомі наслідки ваших дій. <variablelist> + <varlistentry> + <term>ldap_netgroup_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_user_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_group_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + </variablelist> +<variablelist> + <note> + <para> + Якщо увімкнено параметр <quote>ldap_use_tokengroups</quote>, пошуки в Active +Directory не буде обмежено — він повертатиме усі дані щодо участі у групах, +навіть без прив'язки до GID. Рекомендуємо вимкнути цю можливість, якщо назви +груп показуються неправильно. + </para> + </note> + <varlistentry condition="with_sudo"> + <term>ldap_sudo_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ldap_autofs_search_base (рядок)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а LDAP встановлено на один з доменів з розділу +<replaceable>[domains]</replaceable>. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + <refsect1 id='ldap_access_filter_example'> + <title>ПРИКЛАД ФІЛЬТРА ДОСТУПУ LDAP</title> + <para> + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином і використано ldap_access_order=lockout. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Описи деяких з параметрів налаштування на цій сторінці підручника засновано +на даних сторінки підручника (man) <citerefentry> +<refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> з пакунка OpenLDAP 2.4. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-session-recording.5.xml b/src/man/uk/sssd-session-recording.5.xml new file mode 100644 index 0000000..9a639f7 --- /dev/null +++ b/src/man/uk/sssd-session-recording.5.xml @@ -0,0 +1,181 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-session-recording</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-session-recording</refname> + <refpurpose>Налаштовування записів сеансів за допомогою SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці підручника описано налаштовування <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +на роботу з <citerefentry> <refentrytitle>tlog-rec-session</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, частиною пакунка tlog, для +реалізації записування сеансів користувачів у текстових +терміналах. Докладний довідник щодо синтаксису налаштувань можна знайти у +розділі <quote>ФОРМАТ ФАЙЛА</quote> сторінки підручника з <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + SSSD можна налаштувати так, щоб уможливити запис усіх даних, які бачать або +вводять протягом сеансу у текстових терміналах вказані +користувачі. Наприклад, можна записувати дані щодо входу користувачів за +допомогою консолі або SSH. Сама SSSD нічого не записує, а лише забезпечує +запуск tlog-rec-session під час входу до системи користувача, щоб можна було +здійснювати запис відповідно до налаштувань. + </para> + <para> + Для користувачів, для яких увімкнено запис сеансів, SSSD замінює командну +оболонку користувача на tlog-rec-session у відповідях NSS і додає змінну, +яка вказує на початкову командну оболонку до середовища користувача у +налаштування сеансу PAM. Таким чином забезпечується запуск tlog-rec-session +замість командної оболонки користувача і надання даних про те, яку командну +оболонку слід запустити, щойно розпочнеться записування. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para> + Цими параметрами можна скористатися для налаштовування запису сеансів. + </para> + <variablelist> + <varlistentry> + <term>scope (рядок)</term> + <listitem> + <para> + Один із вказаних нижче рядків, що визначають область запису сеансів: +<variablelist> + <varlistentry> + <term>"none"</term> + <listitem> + <para> + Користувачі не записуються. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"some"</term> + <listitem> + <para> + Запис вестиметься для користувачів і груп, вказаних параметрами +<replaceable>користувачі</replaceable> і <replaceable>групи</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"all"</term> + <listitem> + <para> + Усі користувачі записуються. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, для яких увімкнено +записування сеансів. Належність до списку визначатиметься за іменами, +повернутими NSS, тобто після можливих замін пробілів, змін регістру символів +тощо. + </para> + <para> + Типове значення: порожнє. Не відповідає жодному користувачу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, для користувачів яких буде +увімкнено записування сеансів. Належність до списку визначатиметься за +назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру +символів тощо. + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не відповідає жодній групі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, яких має бути виключено із +записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Типове значення: порожнє. Не виключати жодного користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, учасників яких має бути виключено +із записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не виключати жодної групи. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче фрагменті файла sssd.conf увімкнено запис сеансів для +користувачів contractor1 і contractor2» та групи students. + </para> + <para> +<programlisting> +[session_recording] +scope = some +users = contractor1, contractor2 +groups = students +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-simple.5.xml b/src/man/uk/sssd-simple.5.xml new file mode 100644 index 0000000..8e19a66 --- /dev/null +++ b/src/man/uk/sssd-simple.5.xml @@ -0,0 +1,152 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>файл налаштувань інструмента керування доступом «simple» SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці довідника описано налаштування простого засобу керування +доступом для <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Простий засіб керування доступом надає або забороняє доступ на основі списку +допуску або заборони, складеного за назвами облікових записів користувачів +та групами. Використовуються такі правила: + <itemizedlist> + <listitem> + <para>Якщо всі списки є порожніми, доступ буде надано.</para> + </listitem> + <listitem> + <para> + Якщо вказано будь-який зі списків, обробка виконуватиметься за послідовністю +«допуск, потім заборона» (allow,deny). Це означає, що будь-яке з правил +заборони матиме пріоритет над будь-яким правилом допуску. + </para> + </listitem> + <listitem> + <para> + Якщо буде вказано один або обидва списки допуску («allow»), всім +користувачам поза цими списками доступ буде заборонено. + </para> + </listitem> + <listitem> + <para> + Якщо буде вказано лише списки заборони («deny»), всі користувачам поза цими +списками доступ буде надано. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>ПАРАМЕТРИ НАЛАШТУВАННЯ</title> + <para>Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштування домену SSSD. <variablelist> + <varlistentry> + <term>simple_allow_users (рядок)</term> + <listitem> + <para> + Відокремлений комами список користувачів, яким дозволено вхід до системи. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (рядок)</term> + <listitem> + <para> + Список користувачів, яким явно заборонено доступ; записи відокремлюються +комами. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (рядок)</term> + <listitem> + <para> + Відокремлений комами список груп, користувачам яких дозволено вхід до +системи. Стосується лише груп у межах цього домену SSSD. Локальні групи не +обробляються. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (рядок)</term> + <listitem> + <para> + Відокремлений комами список груп, користувачам яких явно заборонено +доступ. Стосується лише груп у межах цього домену SSSD. Локальні групи не +обробляються. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Якщо не вказувати значень для жодного зі списків, вважатиметься, що параметр +не визначено. Пам’ятайте про це, якщо захочете створити параметри для +простого надавача автоматизованими скриптами. + </para> + <para> + Будь ласка, зауважте, що визначення обох параметрів, simple_allow_users і +simple_deny_users, є помилкою у налаштуванні. + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАД</title> + <para> + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +<replaceable>[sssd]</replaceable>. У прикладі продемонстровано лише +параметри, специфічні для простого засобу доступу. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Повна обробка ієрархії участі у групах виконується до перевірки прав +доступу, отже, до списку груп доступу може бути включено навіть вкладені +групи. Будь ласка, зауважте, що на результати може вплинути значення +параметра «ldap_group_nesting_level». Вам слід встановити для нього достатнє +значення. Див. <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-sudo.5.xml b/src/man/uk/sssd-sudo.5.xml new file mode 100644 index 0000000..b126ece --- /dev/null +++ b/src/man/uk/sssd-sudo.5.xml @@ -0,0 +1,233 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-sudo</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-sudo</refname> + <refpurpose>Налаштовування sudo за допомогою модуля SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці підручника описано способи налаштовування <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +на роботу у комплексі з <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> та способи кешування правил sudo у +SSSD. + </para> + </refsect1> + + <refsect1 id='sudo'> + <title>Налаштовування sudo на співпрацю з SSSD</title> + <para> + Щоб увімкнути SSSD як джерело правил sudo, додайте <emphasis>sss</emphasis> +до запису <emphasis>sudoers</emphasis> у файлі <citerefentry> +<refentrytitle>nsswitch.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Наприклад, щоб налаштувати sudo на першочерговий пошук правил у стандартному +файлі <citerefentry> <refentrytitle>sudoers</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> (цей файл має містити правила, що +стосуються локальних користувачів), а потім у SSSD, у файлі nsswitch.conf +слід вказати такий рядок: + </para> + <para> +<programlisting> +sudoers: files sss +</programlisting> + </para> + <para> + Докладніші дані щодо налаштовування порядку пошуку у sudoers за допомогою +файла nsswitch.conf, а також дані щодо бази даних LDAP, у якій зберігаються +правила sudo каталогу, можна знайти на сторінці підручника <citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>Зауваження</emphasis>: щоб у правилах sudo можна було +використовувати мережеві групи або групи вузлів IPA, вам слід належним чином +налаштувати <citerefentry> <refentrytitle>nisdomainname</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry> на назву домену NIS (назва цього +домену збігається з назвою домену IPA, якщо використовуються групи вузлів +IPA). + </para> + </refsect1> + + <refsect1 id='sssd'> + <title>Налаштовування SSSD на отримання правил sudo</title> + <para> + На боці SSSD достатньо розширити список <emphasis>служб</emphasis> +дописуванням «sudo» до розділу [sssd] <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Щоб пришвидшити пошуку у LDAP, ви також можете налаштувати +базу пошуку для правил sudo за допомогою параметра +<emphasis>ldap_sudo_search_base</emphasis>. + </para> + <para> + У наведеному нижче прикладі показано, як налаштувати SSSD на отримання +правил sudo з сервера LDAP. + </para> + <para> +<programlisting> +[sssd] +config_file_version = 2 +services = nss, pam, sudo +domains = EXAMPLE + +[domain/EXAMPLE] +id_provider = ldap +sudo_provider = ldap +ldap_uri = ldap://example.com +ldap_sudo_search_base = ou=sudoers,dc=example,dc=com +</programlisting> <phrase +condition="have_systemd"> Важливо зауважити, що на платформах, де +передбачено підтримку systemd, немає потреби додавати засіб надання даних +«sudo» до списку служб, оскільки він стає необов'язковим. Втім, замість +нього слід увімкнути sssd-sudo.socket.</phrase> + </para> + <para> + Якщо SSSD налаштовано на використання IPA як засобу надання даних ID, засіб +надання даних sudo буде увімкнено автоматично. Базу пошуку sudo буде +налаштовано на використання природного для IPA дерева LDAP +(cn=sudo,$SUFFIX). Якщо у sssd.conf буде визначено будь-яку іншу базу +пошуку, використовуватиметься це значення. Для використання функціональних +можливостей sudo у IPA потреби у дереві compat (ou=sudoers,$SUFFIX) більше +немає. + </para> + </refsect1> + + <refsect1 id='cache'> + <title>Механізм кешування правил SUDO</title> + <para> + Найбільшою складністю під час розробки підтримки sudo у SSSD було +забезпечення роботи sudo з SSSD так, щоб для користувача джерело даних +надавало дані у один спосіб та з тією самою швидкістю, що і sudo, надаючи +при цьому якомога свіжіший набір правил. Щоб виконати ці умови, SSSD +використовує оновлення трьох типів. Будемо називати ці тип повним +оновленням, інтелектуальним оновленням та оновленням правил. + </para> + <para> + Використання типу <emphasis>інтелектуального оновлення</emphasis> полягає у +отриманні правил, які було додано або змінено з часу попереднього +оновлення. Основним призначенням оновлення такого типу є підтримання +актуального стану бази даних невеличкими порціями, які не спричиняють +значного навантаження на мережу. + </para> + <para> + У разі використання <emphasis>повного оновлення</emphasis> всі правила sudo, +що зберігаються у кеші, буде вилучено і замінено на всі правила, які +зберігаються на сервері. Таким чином, кеш буде узгоджено шляхом вилучення +всіх правил, які було вилучено на сервері. Втім, повне оновлення може значно +навантажувати канал з’єднання, а отже його варто використовувати лише +іноді. Проміжок між сеансами повного оновлення має залежати від розміру і +стабільності правил sudo. + </para> + <para> + У разі використання типу <emphasis>оновлення правил</emphasis> +забезпечується ненадання користувачам ширших дозволів, ніж це було визначено +на сервері. Оновлення цього типу виконується під час кожного запуску +користувачем sudo. Під час оновлення буде виявлено всі правила, які +стосуються користувача, перевірено, чи не завершено строк дії цих правил, і +повторно отримано правила, якщо строк дії правил завершено. Якщо якихось з +правил не буде виявлено на сервері, SSSD виконає позачергове повне +оновлення, оскільки може виявитися, що було вилучено набагато більше правил +(які стосуються інших користувачів). + </para> + <para> + Якщо увімкнено, SSSD зберігатиме лише правила, які можна застосувати до +цього комп’ютера. Це означає, що зберігатимуться правила, що містять у +атрибуті <emphasis>sudoHost</emphasis> одне з таких значень: + </para> + <itemizedlist> + <listitem> + <para> + ключове слово ALL + </para> + </listitem> + <listitem> + <para> + шаблон заміни + </para> + </listitem> + <listitem> + <para> + мережеву групу (у форматі «+мережева група») + </para> + </listitem> + <listitem> + <para> + назву вузла або повну назву у домені цього комп’ютера + </para> + </listitem> + <listitem> + <para> + одну з IP-адрес цього комп’ютера + </para> + </listitem> + <listitem> + <para> + одну з IP-адрес мережі (у форматі «адреса/маска») + </para> + </listitem> + </itemizedlist> + <para> + Для точного налаштовування поведінки передбачено доволі багато параметрів +Будь ласка, зверніться до розділу «ldap_sudo_*» у <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> та «sudo_*» у <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб ознайомитися з докладним описом. + </para> + </refsect1> + + <refsect1 id='performance'> + <title>Коригування швидкодії</title> + <para> + SSSD використовує різні типи механізмів із складнішими або простішими +фільтрами LDAP для підтримання актуальності кешованих правил sudo. У типових +налаштуваннях використано значення, які мають задовольнити потреби більшості +наших користувачів, але у наступних абзацах міститься декілька підказок щодо +того, як скоригувати налаштування до ваших потреб. + </para> + <para> + 1. <emphasis>Індексуйте атрибути LDAP</emphasis>. Переконайтеся, що +індексуються такі атрибути LDAP: objectClass, cn, entryUSN та +modifyTimestamp. + </para> + <para> + 2. <emphasis>Встановіть ldap_sudo_search_base</emphasis>. Встановіть основу +для пошуку так, щоб вона вказувала на контейнер, який містить правила sudo +для обмеження області пошуку. + </para> + <para> + 3. <emphasis>Встановіть інтервал повного і кмітливого +оновлення</emphasis>. Якщо ваші правила sudo змінюються нечасто, і вам не +потрібне швидке оновлення кешованих правил на ваших клієнтах, ви можете +збільшити значення <emphasis>ldap_sudo_full_refresh_interval</emphasis> і +<emphasis>ldap_sudo_smart_refresh_interval</emphasis>. Крім того, варто +вимкнути кмітливе оновлення встановленням +<emphasis>ldap_sudo_smart_refresh_interval = 0</emphasis>. + </para> + <para> + 4. Якщо у вас багато клієнтів, вам варто збільшити значення +<emphasis>ldap_sudo_random_offset</emphasis>, щоб краще розподілити +навантаження на сервер. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd-systemtap.5.xml b/src/man/uk/sssd-systemtap.5.xml new file mode 100644 index 0000000..4e81757 --- /dev/null +++ b/src/man/uk/sssd-systemtap.5.xml @@ -0,0 +1,433 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-systemtap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-systemtap</refname> + <refpurpose>Дані systemtap SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + Цю сторінку підручника присвячено функціональним можливостям systemtap у +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. + </para> + <para> + Точки зондування SystemTap додано до різноманітних частин коду SSSD, щоб +полегшити усування вад та аналіз пов'язаних зі швидкодією проблем. + </para> + <para> + <itemizedlist> + <listitem> + <para> + Зразки скриптів SystemTap зберігаються у каталозі /usr/share/sssd/systemtap/ + </para> + </listitem> + <listitem> + <para> + Зонди і різноманітні функції визначено у +/usr/share/systemtap/tapset/sssd.stp і +/usr/share/systemtap/tapset/sssd_functions.stp, відповідно. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='probe-points'> + <title>ТОЧКИ ЗОНДУВАННЯ</title> + <para> + Дані у наведених нижче списках точок зондування та аргументів записано у +такому форматі: + </para> + <variablelist> + <varlistentry> + <term>зонд $назва</term> + <listitem> + <para> + Опис точки зондування + </para> + <programlisting> +змінна1:тип даних +змінна2:тип даних +змінна3:тип даних +... + </programlisting> + </listitem> + </varlistentry> + </variablelist> + + <refsect2 id='database-transaction-probes'> + <title>Зонди операцій із базою даних</title> + <para> + <variablelist> + <varlistentry> + <term>зонд sssd_transaction_start</term> + <listitem> + <para> + Розпочати операцію sysdb, зондує функцію sysdb_transaction_start(). + </para> + <programlisting> +nesting:ціле число +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sssd_transaction_cancel</term> + <listitem> + <para> + Скасовування операції sysdb, зондує функцію sysdb_transaction_cancel() . + </para> + <programlisting> +nesting:ціле число +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sssd_transaction_commit_before</term> + <listitem> + <para> + Зондує функцію sysdb_transaction_commit_before(). + </para> + <programlisting> +nesting:ціле число +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sssd_transaction_commit_after</term> + <listitem> + <para> + Зондує функцію sysdb_transaction_commit_after(). + </para> + <programlisting> +nesting:ціле число +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-search-probes'> + <title>Зонди пошуку у LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>зонд sdap_search_send</term> + <listitem> + <para> + Зондує функцію sdap_get_generic_ext_send(). + </para> + <programlisting> +base:рядок +scope:ціле число +filter:рядок +attrs:рядок +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_search_recv</term> + <listitem> + <para> + Зондує функцію sdap_get_generic_ext_recv(). + </para> + <programlisting> +base:рядок +scope:ціле число +filter:рядок +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_parse_entry</term> + <listitem> + <para> + Зондує функцію sdap_parse_entry(). Викликається повторно для кожного +отриманого атрибута. + </para> + <programlisting> +attr:рядок +value:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_parse_entry_done</term> + <listitem> + <para> + Зондує функцію sdap_parse_entry(). Викликається після завершення обробки +отриманого об'єкта. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_deref_send</term> + <listitem> + <para> + Зондує функцію sdap_deref_search_send(). + </para> + <programlisting> +base_dn:рядок +deref_attr:рядок +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_deref_recv</term> + <listitem> + <para> + Зондує функцію sdap_deref_search_recv(). + </para> + <programlisting> +base:рядок +scope:ціле число +filter:рядок +probestr:рядок + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-account-req-probes'> + <title>Зонди запитів щодо облікових записів у LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>зонд sdap_acct_req_send</term> + <listitem> + <para> + Зондує функцію sdap_acct_req_send(). + </para> + <programlisting> +entry_type:ціле число +filter_type:ціле число +filter_value:рядок +extra_value:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_acct_req_recv</term> + <listitem> + <para> + Зондує функцію sdap_acct_req_recv(). + </para> + <programlisting> +entry_type:ціле число +filter_type:ціле число +filter_value:рядок +extra_value:рядок + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-user-search-probes'> + <title>Зонди пошуку користувачів у LDAP</title> + <para> + <variablelist> + <varlistentry> + <term>зонд sdap_search_user_send</term> + <listitem> + <para> + Зондує функцію sdap_search_user_send(). + </para> + <programlisting> +filter:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_search_user_recv</term> + <listitem> + <para> + Зондує функцію sdap_search_user_recv(). + </para> + <programlisting> +filter:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_search_user_save_begin</term> + <listitem> + <para> + Зондує функцію sdap_search_user_save_begin(). + </para> + <programlisting> +filter:рядок + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд sdap_search_user_save_end</term> + <listitem> + <para> + Зондує функцію sdap_search_user_save_end(). + </para> + <programlisting> +filter:рядок + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='data-provider-request-probes'> + <title>Зонди запитів до постачальника даних</title> + <para> + <variablelist> + <varlistentry> + <term>зонд dp_req_send</term> + <listitem> + <para> + Подано запит до постачальника даних. + </para> + <programlisting> +dp_req_domain:рядок +dp_req_name:рядок +dp_req_target:ціле число +dp_req_method:ціле число + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>зонд dp_req_done</term> + <listitem> + <para> + Завершено виконання запиту до постачальника даних. + </para> + <programlisting> +dp_req_name:рядок +dp_req_target:ціле число +dp_req_method:ціле число +dp_ret:ціле число +dp_errorstr:рядок + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='miscellaneous-functions'> + <title>РІЗНОМАНІТНІ ФУНКЦІЇ</title> + <para> + Дані у наведених нижче списках точок зондування та аргументів записано у +такому форматі: + </para> + <variablelist> + <varlistentry> + <term>функція acct_req_desc(entry_type)</term> + <listitem> + <para> + Перетворення entry_type на рядок і повернення рядка + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>функція sssd_acct_req_probestr(fc_name, entry_type, filter_type, +filter_value, extra_value)</term> + <listitem> + <para> + Створення рядка зонду на основі типу фільтрування + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>функція dp_target_str(target)</term> + <listitem> + <para> + Перетворення target на рядок і повернення рядка + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>функція dp_method_str(target)</term> + <listitem> + <para> + Перетворення методу на рядок і повернення рядка + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='sample-systemtap-scripts'> + <title>ЗРАЗКИ СКРИПТІВ SYSTEMTAP</title> + <para> + Запустіть скрипт SystemTap (<command>stap +/usr/share/sssd/systemtap/<назва_скрипту>.stp</command>), потім +виконайте дію із розпізнавання. Скрипт збере дані за допомогою зондів. + </para> + <para> + Скриптами SystemTap з пакунка є: + </para> + <variablelist> + <varlistentry> + <term>dp_request.stp</term> + <listitem> + <para> + Спостереження за швидкодією обробки запитів засобом надання даних. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>id_perf.stp</term> + <listitem> + <para> + Спостереження за швидкодією виконання команди <command>id</command>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_perf.stp</term> + <listitem> + <para> + Спостереження за запитами LDAP. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>nested_group_perf.stp</term> + <listitem> + <para> + Швидкодія визначення назв для вкладених груп. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd.8.xml b/src/man/uk/sssd.8.xml new file mode 100644 index 0000000..5a19a50 --- /dev/null +++ b/src/man/uk/sssd.8.xml @@ -0,0 +1,249 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd</refname> + <refpurpose>Фонова служба безпеки системи</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssd</command> <arg choice='opt'> +<replaceable>параметри</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + У <command>SSSD</command> передбачено набір фонових служб для керування +доступом до віддалених каталогів та механізмами +розпізнавання. <command>SSSD</command> надає операційній системі інтерфейси +NSS і PAM, а також систему придатних для під’єднання модулів для +встановлення з’єднання з декількома різними джерелами даних щодо облікових +записів та інтерфейс D-Bus. <command>SSSD</command> також є основою для +систем перевірки клієнтських систем та служб обслуговування правил доступу +для проєктів, подібних до FreeIPA. <command>SSSD</command> надає стійкішу +базу даних для збереження записів локальних користувачів, а також додаткових +даних щодо користувачів. + </para> + </refsect1> + + <refsect1 id='options'> + <title>ПАРАМЕТРИ</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--debug-level</option> +<replaceable>РІВЕНЬ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term> + <option>--debug-timestamps=</option><replaceable>режим</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: додати часову позначку до діагностичних повідомлень. + </para> + <para> + <emphasis>0</emphasis>: вимкнути часову позначку у діагностичних +повідомленнях + </para> + <para> + Типове значення: 1 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--debug-microseconds=</option><replaceable>режим</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: додати значення мікросекунд до часової позначки у +діагностичних повідомленнях + </para> + <para> + <emphasis>0</emphasis>: вимкнути додавання мікросекунд до часової позначки + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--logger=</option><replaceable>значення</replaceable> + </term> + <listitem> + <para> + Місце, куди SSSD надсилатиме повідомлення журналу. + </para> + <para> + <emphasis>stderr</emphasis>: переспрямувати діагностичні повідомлення до +стандартного виведення помилок. + </para> + <para> + <emphasis>files</emphasis>: переспрямувати діагностичні повідомлення до +файлів журналу. Типово файли журналів зберігаються у +<filename>/var/log/sssd</filename>, передбачено також окремий журнал для +кожної служби і домену SSSD. + </para> + <para> + <emphasis>journald</emphasis>: переспрямувати діагностичні повідомлення до +systemd-journald + </para> + <para> + Типове значення: не встановлено (резервною буде journald, якщо вона +доступна, інакше буде використано stderr) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-D</option>,<option>--daemon</option> + </term> + <listitem> + <para> + Перейти у режим фонової служби після запуску. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Запустити програму у звичайному режимі, не створювати фонової служби. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--config</option> + </term> + <listitem> + <para> + Визначити нетиповий файл налаштувань. Типовим файлом налаштувань є +<filename>/etc/sssd/sssd.conf</filename>. Довідку щодо синтаксису та +параметрів файла налаштувань можна знайти на сторінці довідника (man) +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--genconf</option> + </term> + <listitem> + <para> + Не запускати SSSD, а лише оновити базу даних налаштувань на основі вмісту +<filename>/etc/sssd/sssd.conf</filename> і завершити роботу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--genconf-section</option> + </term> + <listitem> + <para> + Подібний до <quote>--genconf</quote>, але наказує програмі освіжити лише +окремий розділу на основі файла налаштувань. Цей параметр корисний, в +основному, для виклику з файлів модулів systemd з метою дозволити +відповідачам, які активуються з сокетів, освіжати налаштування без потреби у +перезапуску адміністратором усього SSSD. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + <varlistentry> + <term> + <option>--version</option> + </term> + <listitem> + <para> + Вивести номер версії і завершити роботу. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>Сигнали</title> + <variablelist remap='IP'> + <varlistentry> + <term>SIGTERM/SIGINT</term> + <listitem> + <para> + Повідомляє SSSD, що слід поступово завершити роботу всіх дочірніх процесів, +а потім завершити роботу монітора. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGHUP</term> + <listitem> + <para> + Повідомляє SSSD, що слід припинити запис до файлів діагностичних даних з +поточними дескрипторами, закрити і повторно відкрити ці файли. Цей сигнал +призначено для полегшення процедури архівування журналів за допомогою +програм, подібних до logrotate. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR1</term> + <listitem> + <para> + Наказує SSSD імітувати автономну дію, тривалість якої визначається +параметром «offline_timeout». Найкориснішим застосуванням є тестування +служби. Сигнал може бути надіслано або процесу sssd, або процесу sssd_be +безпосередньо. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR2</term> + <listitem> + <para> + Наказує SSSD перейти у режим роботи у мережі негайно. Найкориснішим +застосуванням є тестування служби. Сигнал може бути надіслано або процесу +sssd, або процесу sssd_be безпосередньо. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено значення «NO», +клієнтські програми не використовуватимуть fast у кеші у пам’яті. + </para> + <para condition="enable_lockfree_support"> + Якщо для змінної середовища SSS_LOCKFREE встановлено значення «NO», +одночасні запити від декількох потоків обробки однієї програми буде +перетворено у послідовність запитів. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd.conf.5.xml b/src/man/uk/sssd.conf.5.xml new file mode 100644 index 0000000..4cc2fb8 --- /dev/null +++ b/src/man/uk/sssd.conf.5.xml @@ -0,0 +1,4157 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd" +[ +<!ENTITY sssd_user_name SYSTEM "sssd_user_name.include"> +]> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd.conf</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd.conf</refname> + <refpurpose>файл налаштування SSSD</refpurpose> + </refnamediv> + + <refsect1 id='file-format'> + <title>ФОРМАТ ФАЙЛА</title> + + <para> + Файл складено з використанням синтаксичний конструкцій у стилі ini, він +складається з розділів і окремих записів параметрів. Розділ починається з +рядка назви розділу у квадратних дужках і продовжується до початку нового +розділу. Приклад розділу з параметрами, які мають єдине і декілька значень: +<programlisting> +<replaceable>[розділ]</replaceable> +<replaceable>ключ</replaceable> = <replaceable>значення</replaceable> +<replaceable>ключ2</replaceable> = <replaceable>значення2,значення3</replaceable> + </programlisting> + </para> + + <para> + Типами даних є рядок (без символів лапок), ціле число і булеве значення +(можливі два значення — <quote>TRUE</quote> і <quote>FALSE</quote>). + </para> + + <para> + Рядок коментаря починається з символу решітки (<quote>#</quote>) або крапки +з комою (<quote>;</quote>). Підтримки вбудованих коментарів не передбачено. + </para> + + <para> + Для всіх розділів передбачено додатковий параметр +<replaceable>description</replaceable>. Його призначено лише для позначення +розділу. + </para> + + <para> + <filename>sssd.conf</filename> має бути звичайним файлом, власником якого є +користувач root. Права на читання та запис до цього файла повинен мати лише +користувач root. + </para> + </refsect1> + + <refsect1 id='config-snippets'> + <title>ФРАГМЕНТИ НАЛАШТУВАНЬ З КАТАЛОГУ ВКЛЮЧЕННЯ</title> + + <para> + До файла налаштувань <filename>sssd.conf</filename> буде включено фрагменти +налаштувань з каталогу <filename>conf.d</filename>. Цією можливістю можна +буде скористатися, якщо SSSD було зібрано із бібліотекою libini версії 1.3.0 +або новішою. + </para> + + <para> + Будь-який файл, розташований у <filename>conf.d</filename>, назва якого +завершується на <quote><filename>.conf</filename></quote> і не починається з +крапки (<quote>.</quote>), буде використано разом із +<filename>sssd.conf</filename> для налаштовування SSSD. + </para> + + <para> + Фрагменти налаштувань з <filename>conf.d</filename> мають вищий пріоритет за +<filename>sssd.conf</filename>, вони мають вищий пріоритет за +<filename>sssd.conf</filename>, якщо виникне конфлікт. Якщо у +<filename>conf.d</filename> буде виявлено декілька фрагментів, їх буде +включено за абеткою (на основі параметрів локалі). Файли, які включаються +пізніше, мають вищий пріоритет. Числові префікси +(<filename>01_фрагмент.conf</filename>, +<filename>02_фрагмент.conf</filename> тощо) можуть допомогти у візуалізації +пріоритетності (більше число означає вищу пріоритетність). + </para> + + <para> + Файли фрагментів мають належати одному користувачеві і мати однакові права +доступу із файлом <filename>sssd.conf</filename>. Типовим власником є +root:root, а типовими правами доступу — 0600. + </para> + </refsect1> + + <refsect1 id='general-options'> + <title>ЗАГАЛЬНІ ПАРАМЕТРИ</title> + <para> + Нижче наведено параметри, які можна використовувати у декількох розділах +налаштувань. + </para> + <refsect2 id='all-section-options'> + <title>Параметри, які можна використовувати у всіх розділах</title> + <para> + <variablelist> + <varlistentry> + <term>debug_level (ціле число)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term>debug (ціле число)</term> + <listitem> + <para> + У SSSD 1.14 і новіших версіях з міркувань зручності також передбачено +альтернативний варіант <replaceable>debug</replaceable> для +<replaceable>debug_level</replaceable>. Якщо вказано одразу обидва варіанти, +буде використано варіант <replaceable>debug_level</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_timestamps (булеве значення)</term> + <listitem> + <para> + Додати часову позначку до діагностичних повідомлень. Якщо для запису +діагностичного журналу у SSSD увімкнено journald, цей параметр буде +проігноровано. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_microseconds (булеве значення)</term> + <listitem> + <para> + Додати значення мікросекунд до часової позначки у діагностичних +повідомлення. Якщо для запису діагностичного журналу у SSSD увімкнено +journald, цей параметр буде проігноровано. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_backtrace_enabled (булеве значення)</term> + <listitem> + <para> + Увімкнути діагностичне зворотне трасування. + </para> + <para> + Якщо SSSD запущено із debug_level меншим за 9, увесь журнал роботи буде +записано у кільцевий буфер у пам'яті і скинуто до файла журналу при +виявленні будь-якої помилки до рівня `min(0x0040, debug_level)` включно +(тобто якщо debug_level явним чином встановлено у значення 0 або 1, лише +помилки відповідних рівнів вмикатимуть зворотне трасування, інакше кажучи, +помилки рівнів до 2). + </para> + <para> + Підтримку цієї можливості передбачено лише для `logger == files` (тобто, +встановлення цього значення не впливає на інші типи журналювання). + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='services-and-domains-section-options'> + <title>Параметри які можна використовувати у розділах SERVICE та DOMAIN</title> + <para> + <variablelist> + <varlistentry> + <term>timeout (ціле число)</term> + <listitem> + <para> + Проміжок у секундах між циклами роботи цієї служби. Використовується для +перевірки працездатності процесу та його змоги відповідати на +запити. Зауважте, що після трьох пропущених циклів процес перерве своє +виконання самостійно. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <refsect1 id='special-sections'> + <title>ОСОБЛИВІ РОЗДІЛИ</title> + + <refsect2 id='services'> + <title>Розділ [sssd]</title> + <para> + Окремі функції у SSSD виконуються особливими службами SSSD, які запускаються +і зупиняються разом SSSD. Ці служби керуються окремою службою, яку часто +називають «монітором». Розділ <quote>[sssd]</quote> використовується для +налаштування монітора та деяких інших важливих параметрів, зокрема доменів +профілів. <variablelist> + <title>Параметри розділу</title> + <varlistentry> + <term>config_file_version (ціле число)</term> + <listitem> + <para> + Визначає версію синтаксичних конструкцій файла налаштування. Для версій SSSD +0.6.0 та пізніших слід використовувати версію 2. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>services</term> + <listitem> + <para> + Список служб, відокремлених комами, які запускаються разом із sssd. <phrase +condition="have_systemd">Список служб є необов'язковим на платформах, де +передбачено підтримку systemd, оскільки там такі служби вмикаються за +допомогою сокетів або D-Bus.</phrase> + </para> + <para> + Підтримувані служби: nss, pam <phrase condition="with_sudo">, sudo</phrase> +<phrase condition="with_autofs">, autofs</phrase> <phrase +condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">, +pac</phrase> <phrase condition="with_ifp">, ifp</phrase> + </para> + <para> + <phrase condition="have_systemd">Типово усі служби вимкнено. Адміністратор +має увімкнути дозволені до використання служби за допомогою такої команди: +"systemctl enable sssd-@service@.socket". </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>reconnection_retries (ціле число)</term> + <listitem> + <para> + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains</term> + <listitem> + <para> + Домен — це база даних, у якій містяться дані щодо користувачів. SSSD може +одночасно використовувати декілька доменів. Вам слід вказати принаймні один +домен, інакше SSSD просто не запуститься. За допомогою цього параметра можна +вказати список доменів, впорядкованих за пріоритетністю під час надсилання +до них запитів щодо даних. Рекомендовано використовувати у назві домену лише +літери і цифри ASCII, дефіси, крапки та знаки підкреслювання. Не можна +використовувати символ «/». + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>re_expression (рядок)</term> + <listitem> + <para> + Типовий формальний вираз, який описує спосіб поділу рядка з іменем +користувача і доменом на його частини. + </para> + <para> + Для кожного з доменів можна налаштувати окремий формальний вираз. Для деяких +з засобів надання ідентифікаторів передбачено типові формальні +вирази. Докладніше про ці формальні вирази можна дізнатися з довідки до +РОЗДІЛІВ ДОМЕНІВ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (рядок)</term> + <listitem> + <para> + Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + </para> + <para> + Передбачено використання таких замінників: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>ім’я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + назва домену у форматі, вказаному у файлі налаштувань SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для кожного з доменів можна налаштувати окремий рядок формату. Докладніше +про ці рядки можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>monitor_resolv_conf (булеве значення)</term> + <listitem> + <para> + Керує тим, чи SSSD має спостерігати за станом resolv.conf для визначення +моменту, коли слід оновити дані вбудованого інструмента визначення DNS. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>try_inotify (булеве значення)</term> + <listitem> + <para condition="have_inotify"> + Типово, з метою спостереження за змінами у файлах налаштувань SSSD +намагається використати inotify. Якщо використати inotify не вдається, +виконуватиметься опитування resolv.conf кожні п’ять секунд. + </para> + <para condition="have_inotify"> + Зрідка бажано не вдаватися навіть до спроб скористатися inotify. У цих +рідкісних випадках слід встановити для цього параметра значення «false». + </para> + <para condition="have_inotify"> + Типове значення: «true» на платформах, де підтримується inotify. «false» на +інших платформах. + </para> + <para> + Зауваження: цей параметр ні на що не вплине на платформах, де inotify +недоступний. На цих платформах завжди використовуватиметься безпосереднє +опитування файла. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>krb5_rcache_dir (рядок)</term> + <listitem> + <para> + Каталог у файловій системі, де SSSD має зберігати файли кешу відтворення +Kerberos. + </para> + <para> + Цей параметр приймає особливе значення __LIBKRB5_DEFAULTS__, за допомогою +якого можна наказати SSSD надати змогу libkrb5 визначити відповідну адресу +для кешу відтворення. + </para> + <para> + Типове значення: визначається дистрибутивом та вказується під час +збирання. (__LIBKRB5_DEFAULTS__, якщо не вказано) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_non_root_user_support"> + <term>user (рядок)</term> + <listitem> + <para> + The user to drop the privileges to where appropriate to avoid running as the +root user. Currently the only supported value is '&sssd_user_name;'. + </para> + + <para condition="have_systemd"> + This option does not work when running socket-activated services, as the +user set up to run the processes is set up during compilation time. The way +to override the systemd unit files is by creating the appropriate files in +/etc/systemd/system/. Keep in mind that any change in the socket user, +group or permissions may result in a non-usable SSSD. The same may occur in +case of changes of the user running the NSS responder. + </para> + + <para> + Типове значення: не встановлено, процес буде запущено від імені root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_domain_suffix (рядок)</term> + <listitem> + <para> + Цей рядок буде використано як типову назву домену для всіх назв без +компонента назви домену. Основним призначенням використання цього рядка є +середовища, де основний домен призначено для керування правилами вузлів та +всіма користувачами, розташованими на надійному (довіреному) домені. За +допомогою цього параметра користувачі можуть входити до системи за допомогою +лише імені користувача без додавання до нього назви домену. + </para> + <para> + Please note that if this option is set all users from the primary domain +have to use their fully qualified name, e.g. user@domain.name, to log +in. Setting this option changes default of use_fully_qualified_names to +True. It is not allowed to use this option together with +use_fully_qualified_names set to False. <phrase +condition="with_files_provider"> One exception from this rule are domains +with <quote>id_provider=files</quote> that always try to match the behaviour +of nss_files and therefore their output is not qualified even when the +default_domain_suffix option is used. </phrase> + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_space (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна змінити пробіли у іменах користувачів та +назвах груп вказаним симовлом, наприклад _. Ім’я користувача «john doe» буде +перетворено на «john_doe». Цю можливість було додано для сумісності із +скриптами командної оболонки, у яких виникають проблеми із обробкою пробілів +через типовий роздільник полів у оболонці. + </para> + <para> + Будь ласка, зауважте, що використання символу-замінника, який може бути +використано у іменах користувачів і назвах груп, є помилкою у +налаштуваннях. Якщо назва містить символ-замінник, SSSD спробує повернути +незмінену назву, але, загалом, результат пошуку буде невизначеним. + </para> + <para> + Типове значення: не встановлено (пробіли не замінятимуться) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>certificate_verification (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів на основі списку параметрів, відокремлених комами. Підтримувані +параметри: <variablelist> + <varlistentry> + <term>no_ocsp</term> + <listitem> + <para>Вимикає перевірки протоколу стану мережевої сертифікації (Online Certificate +Status Protocol або OCSP). Це може знадобитися, якщо сервери OCSP, визначені +у сертифікаті, є недоступними з клієнта.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_ocsp</term> + <listitem> + <para> Якщо не вдасться встановити з'єднання із відповідачем OCSP, перевірку OCSP +буде пропущено. Цим параметром слід користуватися для того, щоб дозволити +розпізнавання тоді, коли система працює автономно, отже відповідач OCSP є +недоступним.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_dgst</term> + <listitem> + <para>Функція обчислення контрольної суми (хешу), яку буде використано для +створення ідентифікатора сертифіката для запиту OCSP. Можливі значення: + <itemizedlist> + <listitem><para>sha1</para></listitem> + <listitem><para>sha256</para></listitem> + <listitem><para>sha384</para></listitem> + <listitem><para>sha512</para></listitem> + </itemizedlist></para> + <para> + Типове значення: sha1 (для уможливлення сумісності із відповідачем, який є +сумісним із RFC5019) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>no_verification</term> + <listitem> + <para>Повністю вимикає перевірку. Цим варіантом слід користуватися лише для +тестування.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>partial_chain</term> + <listitem> + <para>Уможливити успішну перевірку, навіть якщо не вдасться побудувати +<replaceable>повний</replaceable> ланцюжок до самопідписаної прив'язки +довіри, якщо можна побудувати ланцюжок до довіреного сертифіката, який може +бути не самопідписаним.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_default_responder=URL</term> + <listitem> + <para>Встановлює типовий відповідач OCSP, який слід використовувати замість +визначеного у сертифікаті. Адресу слід замінити адресою типового +відповідача, наприклад http://example.com:80/ocsp.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + ocsp_default_responder_signing_cert=НАЗВА</term> + <listitem> + <para>У поточній версії програма ігнорує цей параметр. Усі потрібні сертифікати +мають бути у файлі PEM, який вказано параметром pam_cert_db_path.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>crl_file=/ШЛЯХ/ДО/ФАЙЛА/CRL</term> + <listitem> + <para>Використовувати список відкликання сертифікатів (CRL) з вказаного файла під +час перевірки сертифіката. CRL має бути вказано у форматі PEM, +див. <citerefentry> <refentrytitle>crl</refentrytitle> +<manvolnum>1ssl</manvolnum> </citerefentry>, щоб дізнатися більше.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_crl</term> + <listitem> + <para> + Якщо строк дії списку відкликання сертифікатів (CRL) вичерпано, перевірки +CRL для відповідних сертифікатів буде проігноровано. Цим параметром слід +користуватися для уможливлення розпізнавання у системах, які працюють у +автономному режимі, коли оновлення CRL є неможливим.</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Обробник параметрів повідомлятиме про невідомі параметри і просто +ігноруватиме їх. + </para> + <para> + Типове значення: не встановлено, тобто перевірка сертифікатів нічим не +обмежуватиметься + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>disable_netlink (булеве значення)</term> + <listitem> + <para> + Перехоплювачі SSSD у інтерфейсі netlink для стеження за змінами у маршрутах, +адресах, посилання та виконання певних дій. + </para> + <para> + Зміни стану SSSD, спричинені подіями netlink, можуть бути небажаними, їх +можна вимкнути встановленням для цього параметра значення «true» + </para> + <para> + Типове значення: false (виявлення змін у netlink) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_files_provider"> + <term>enable_files_domain (булеве значення)</term> + <listitem> + <para> + Якщо цю можливість увімкнено, SSSD дописуватиме неявний домен із +<quote>id_provider=files</quote> до усіх явним чином налаштованих доменів. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domain_resolution_order</term> + <listitem> + <para> + Список доменів і піддоменів, відокремлених комами, який визначає порядок +пошуку, який використовуватиметься. Список не обов'язково включатиме усі +можливі домени, оскільки пошук у пропущених доменах відбуватиметься у +порядку, у якому їх вказано у параметрі налаштування +<quote>domains</quote>. Пошук у піддоменах, яких немає у списку +<quote>lookup_order</quote>, відбуватиметься у випадковому порядку для +кожного батьківського домену. + </para> + <para> + Please, note that when this option is set the output format of all commands +is always fully-qualified even when using short names for input <phrase +condition="with_files_provider"> , for all users but the ones managed by the +files provider </phrase>. In case the administrator wants the output not +fully-qualified, the full_name_format option can be used as shown below: +<quote>full_name_format=%1$s</quote> However, keep in mind that during +login, login applications often canonicalize the username by calling +<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> which, if a shortname is returned +for a qualified input (while trying to reach a user which exists in multiple +domains) might re-route the login attempt into the domain which uses +shortnames, making this workaround totally not recommended in cases where +usernames may overlap between domains. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>implicit_pac_responder (булеве значення)</term> + <listitem> + <para> + Відповідач PAC буде автоматично увімкнено для надавачів IPA і AD для +обчислення і перевірки PAC. Якщо відповідач слід вимкнути, встановіть для +цього параметра значення «false». + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>core_dumpable (булеве значення)</term> + <listitem> + <para> + Цим параметром можна скористатися для загального забезпечення стійкості +системи: встановлення значення «false» забороняє дампи ядра для усіх +процесів SSSD з метою уникнення витоку паролів у форматі нешифрованого +тексту. Див. сторінку підручника щодо prctl:PR_SET_DUMPABLE, щоб дізнатися +більше. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_verification (string)</term> + <listitem> + <para> + With this parameter the passkey verification can be tuned with a comma +separated list of options. Supported options are: <variablelist> + <varlistentry> + <term>user_verification (boolean)</term> + <listitem> + <para> Enable or disable the user verification (i.e. PIN, fingerprint) during +authentication. If enabled, the PIN will always be requested. + </para> + <para> + The default is that the key settings decide what to do. In the IPA or +kerberos pre-authentication case, this value will be overwritten by the +server. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + </refsect1> + + <refsect1 id='services-sections'> + <title>РОЗДІЛИ СЛУЖБ</title> + <para> + У цьому розділі описано параметри, якими можна скористатися для налаштування +різноманітних служб. Ці параметри має бути зібрано у розділах з назвами +[<replaceable>$NAME</replaceable>]. Наприклад, параметри служби NSS зібрано +у розділі <quote>[nss]</quote> + </para> + + <refsect2 id='general'> + <title>Загальні параметри налаштування служб</title> + <para> + Цими параметрами можна скористатися для налаштування будь-яких служб. + </para> + <variablelist> + <varlistentry> + <term>reconnection_retries (ціле число)</term> + <listitem> + <para> + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>fd_limit</term> + <listitem> + <para> + За допомогою цього параметра можна визначити максимальну кількість +дескрипторів файлів, які одночасно може бути відкрито цим процесом SSSD. У +системах, де SSSD надано можливості CAP_SYS_RESOURCE, цей параметр +використовуватиметься незалежно від інших параметрів системи. У системах без +цієї можливості, кількість дескрипторів визначатиметься найменшим зі значень +цього параметра і обмеженням "hard" у limits.conf. + </para> + <para> + Типове значення: 8192 (або обмеження у limits.conf "hard") + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>client_idle_timeout</term> + <listitem> + <para> + За допомогою цього параметра можна визначити кількість секунд, протягом яких +клієнтська частина SSSD може утримувати дескриптор файла без здійснення за +його допомогою обміну даними. Таке обмеження потрібне для того, щоб уникнути +вичерпання ресурсів системи. Час очікування не може бути меншим за 10 +секунд. Якщо у налаштуваннях вказано менше значення, його буде скориговано +до 10 секунд. + </para> + <para> + Типове значення: 60, KCM: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout (ціле число)</term> + <listitem> + <para> + Коли SSSD перемикається на автономний режим роботи, час, який має минути, +перш ніж буде здійснено спробу повернутися до режиму у мережі, +збільшуватиметься, відповідно до часу, проведеного у режимі +від’єднання. Типово, SSSD використовує нарощувальну поведінку для обчислення +затримки між повторними спробами. Тому час очікування для повторної спроби +буде довшим за час очікування попередньої спроби. Після кожної невдалої +спроби з'єднатися із мережею нове значення обчислюється за такою формулою: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Типовим значенням offline_timeout є 60. Типовим значенням +offline_timeout_max є 3600. Типовим значенням offline_timeout_random_offset +є 30. Кінцевий результат є кількістю секунд до наступної повторної спроби. + </para> + <para> + Зауважте, що максимальна тривалість кожного з інтервалів визначається +offline_timeout_max (окрім випадкової частини). + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_max (ціле число)</term> + <listitem> + <para> + Керує тим, на скільки можна збільшувати проміжок часу між спробами відновити +з'єднання із мережею після неуспішних спроби відновити з'єднання. + </para> + <para> + Значення 0 вимикає збільшення проміжку часу. + </para> + <para> + Значення цього параметра слід встановлювати у поєднанні зі значенням +параметра offline_timeout. + </para> + <para> + Якщо для offline_timeout встановлено значення 60 (типове значення), немає +сенсу встановлювати для offlinet_timeout_max значення, яке є меншим за 120, +оскільки перший же крок збільшення призведе до перевищення максимального +значення. Загальним правилом у цьому випадку має бути встановлення значення +offline_timeout_max, яке є принаймні учетверо більшим за offline_timeout. + </para> + <para> + Хоча можна вказати будь-яке значення від 0 до offline_timeout, результатом +стане перевизначення значення offline_timeout, тому не варто цього робити. + </para> + <para> + Типове значення: 3600 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_random_offset (ціле число)</term> + <listitem> + <para> + Якщо SSSD працює в автономному режимі, програма виконує зондування +серверів-обробників із вказаними інтервалами часу: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Цей параметр керує значенням випадкового зсуву, яке буде використано у +наведеному вище рівнянні. Остаточне значення random_offset буде випадковим +числом у такому діапазоні: + </para> + <para> + [0 - offline_timeout_random_offset] + </para> + <para> + Значення 0 призводить до вимикання додавання випадкового зсуву. + </para> + <para> + Типове значення: 30 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>responder_idle_timeout</term> + <listitem> + <para> + Цей параметр визначає кількість секунд, протягом яких процес відповідача +SSSD може працювати без використання. Це значення обмежено з метою уникнення +вичерпання ресурсів системи. Мінімальним прийнятним значенням для цього +параметра є 60 секунд. Встановлення для цього параметра значення 0 (нуль) +означає, що для відповідача не встановлюватиметься ніякого часу +очікування. Цей параметр враховуватиметься, лише якщо SSSD зібрано з +підтримкою systemd і якщо служби активуються за допомогою або сокетів або +D-Bus. + </para> + <para> + Типове значення: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cache_first</term> + <listitem> + <para> + Цей параметр визначає, чи слід відповідачеві опитати усі кеші до надсилання +запису до модулів засобів надання даних. + </para> + <para condition="with_files_provider"> + Типове значення: false + </para> + <para condition="without_files_provider"> + Типове значення: true + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='NSS'> + <title>Параметри налаштування NSS</title> + <para> + Цими параметрами можна скористатися для налаштування служби Name Service +Switch (NSS або перемикання служби визначення назв). + </para> + <variablelist> + <varlistentry> + <term>enum_cache_timeout (ціле число)</term> + <listitem> + <para> + Тривалість зберігання переліків (запитів щодо даних всіх користувачів) у +кеші nss_sss у секундах + </para> + <para> + Типове значення: 120 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_cache_nowait_percentage (ціле число)</term> + <listitem> + <para> + Можна встановити кеш записів для автоматичного оновлення записів у фоновому +режимі, якщо запит щодо них надходить у визначений у відсотках від +entry_cache_timeout для домену період часу. + </para> + <para> + Наприклад, якщо entry_cache_timeout домену встановлено у значення 30s, а +entry_cache_nowait_percentage — у значення 50 (у відсотках), записи, які +надійдуть за 15 секунд після останнього оновлення кешу, буде повернуто +одразу, але SSSD оновить власний кеш, отже наступні запити очікуватимуть на +розблокування після оновлення кешу. + </para> + <para> + Коректними значеннями цього параметра є 0-99. Ці значення відповідають +відсоткам entry_cache_timeout для кожного з доменів. З міркувань покращення +швидкодії це відсоткове значення ніколи не зменшуватиме час очікування +nowait до значення, меншого за 10 секунд. Визначення значення 0 вимкне цю +можливість. + </para> + <para> + Типове значення: 50 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких nss_sss має кешувати негативні +результати пошуку у кеші (тобто запити щодо некоректних записів у базі +даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких nss_sss має зберігати негативні +результати пошуку у кеші користувачів і груп, перші ніж намагатися знову +шукати їх за допомогою модуля надання даних. Встановлення значення 0 вимикає +цю можливість. + </para> + <para> + Типове значення: 14400 (4 години) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users, filter_groups (рядок)</term> + <listitem> + <para> + Виключити певних користувачів або групи зі списку отримання даних з бази +даних NSS sss. Таке виключення може бути корисним для облікових записів +керування системою. Цей параметр також можна встановлювати для кожного з +доменів окремо або включити до нього імена користувачів повністю для +обмеження списку користувачами лише з певного домену або за назвою +реєстраційного запису користувача (UPN). + </para> + <para> + ЗАУВАЖЕННЯ: параметр filter_groups не впливає на успадкованість вкладених +записів групи, оскільки фільтрування відбувається після їх передавання для +повернення за допомогою NSS. Наприклад, у списку групи, що містить вкладену +групу, яку відфільтровано, залишатимуться записи користувачів +відфільтрованої групи. + </para> + <para> + Типове значення: root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users_in_groups (булеве значення)</term> + <listitem> + <para> + Якщо ви хочете, щоб фільтровані користувачі залишалися учасниками груп, +встановіть для цього параметра значення «false». + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + <varlistentry> + <term>fallback_homedir (рядок)</term> + <listitem> + <para> + Встановити типовий шаблон назви домашнього каталогу користувача, якщо цей +каталог не вказано явним чином засобом надання даних домену. + </para> + <para> + Можливі варіанти значень для цього параметра збігаються з варіантами значень +для параметра override_homedir. + </para> + <para> + приклад: <programlisting> +fallback_homedir = /home/%u + </programlisting> + </para> + <para> + Типове значення: не встановлено (без замін для невстановлених домашніх +каталогів) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_shell (рядок)</term> + <listitem> + <para> + Перевизначити командну оболонку входу до системи для усіх користувачів. Цей +параметр має пріоритет над будь-якими іншими параметрами визначення +командної оболонки, якщо він діє. Його можна встановити або у розділі [nss] +або для кожного з доменів окремо. + </para> + <para> + Типове значення: не встановлено (SSSD використовуватиме значення, отримане +від LDAP) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>allowed_shells (рядок)</term> + <listitem> + <para> + Обмежити перелік можливих командних оболонок користувачів вказаними. Порядок +визначення оболонки є таким: + </para> + <para> + 1. Якщо оболонку вказано у <quote>/etc/shells</quote>, її буде використано. + </para> + <para> + 2. Якщо оболонку вказано у списку allowed_shells, але її немає у списку +<quote>/etc/shells</quote>, буде використано значення параметра +shell_fallback. + </para> + <para> + 3. Якщо оболонку не вказано у списку allowed_shells і її немає у списку +<quote>/etc/shells</quote>, буде використано оболонку nologin. + </para> + <para> + Для визначення будь-якої командної оболонки можна скористатися шаблоном +заміни (*). + </para> + <para> + Значенням (*) варто користуватися, якщо ви хочете скористатися +shell_fallback, коли командної оболонки користувача немає у «/etc/shells», а +супровід списку усіх командних оболонок у allowed_shells є надто марудною +справою. + </para> + <para> + Порожній рядок оболонки буде передано без обробки до libc. + </para> + <para> + Читання <quote>/etc/shells</quote> виконується лише під час запуску SSSD, +тобто у разі встановлення нової оболонки слід перезапустити SSSD. + </para> + <para> + Типове значення: не встановлено. Автоматично використовується оболонка +користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>vetoed_shells (рядок)</term> + <listitem> + <para> + Замінити всі записи цих оболонок на shell_fallback + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>shell_fallback (рядок)</term> + <listitem> + <para> + Типова оболонка, яку слід використовувати, якщо дозволеної оболонки у +системі не встановлено. + </para> + <para> + Типове значення: /bin/sh + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_shell</term> + <listitem> + <para> + Типова командна оболонка, яку буде використано, якщо засобом надання даних +не було повернуто назви оболонки під час пошуку. Цей параметр можна вказати +або на загальному рівні у розділі [nss], або окремо для кожного з доменів. + </para> + <para> + Типове значення: не встановлено (повернути NULL, якщо оболонку не +встановлено і покластися на libc у визначенні потрібного програмі значення, +зазвичай /bin/sh) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. Встановлення для цього параметра нульового значення вимикає кеш у +пам'яті. + </para> + <para> + Типове значення: 300 + </para> + <para> + Попередження: вимикання кешу у пам'яті значно погіршить швидкодію SSSD, ним +варто користуватися лише для тестування. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_passwd (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів passwd. Встановлення розміру 0 вимкне кеш у пам'яті для passwd. + </para> + <para> + Типове значення: 8 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_group (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів group. Встановлення розміру 0 вимкне кеш у пам'яті для group. + </para> + <para> + Типове значення: 6 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_initgroups (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів initgroups. Встановлення розміру 0 вимкне кеш у пам'яті для +initgroups. + </para> + <para> + Типове значення: 10 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_sid (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для пов'язаних із SID запитів. У поточній версії передбачено кешування у +швидкій пам'яті лише для запитів SID-за-ID і ID-за-SID. Встановлення розміру +0 вимкне кеш у пам'яті для SID. + </para> + <para> + Типове значення: 6 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>user_attributes (рядок)</term> + <listitem> + <para> + Деякі із додаткових запитів до відповідача NSS можуть повертати більшу +кількість атрибутів, ніж це визначено POSIX для інтерфейсу NSS. Списком +атрибутів можна керувати за допомогою цього параметра. Обробка виконується у +той самий спосіб, що і для параметра «user_attributes» відповідача InfoPipe +(див. <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше), але без +типових значень. + </para> + <para> + Щоб полегшити налаштовування відповідач NSS перевірятиме параметр InfoPipe +на те, чи не встановлено його для відповідача NSS. + </para> + <para> + Типове значення: не встановлено, резервне значення визначається за +параметром InfoPipe + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwfield (рядок)</term> + <listitem> + <para> + Значення, яке повертають операції NSS, які повертають записи користувачів чи +груп, для поля <quote>password</quote>. + </para> + <para> + Типове значення: <quote>*</quote> + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо. При цьому це значення матиме вищий пріоритет за значення у +розділі [nss]. + </para> + <para> + Default: <quote>not set</quote> (remote domains), <phrase +condition="with_files_provider"> <quote>x</quote> (the files domain), +</phrase> <quote>x</quote> (proxy domain with nss_files and sssd-shadowutils +target) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + <refsect2 id='PAM'> + <title>Параметри налаштування PAM</title> + <para> + Цими параметрами можна скористатися для налаштування служби Pluggable +Authentication Module (PAM або блокового модуля розпізнавання). + </para> + <variablelist> + <varlistentry> + <term>offline_credentials_expiration (ціле число)</term> + <listitem> + <para> + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +тривалість зберігання кешованих входів (у днях з часу останнього успішного +входу до системи). + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_attempts (ціле число)</term> + <listitem> + <para> + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +дозволену кількість спроб входу з визначенням помилкового пароля. + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_delay (ціле число)</term> + <listitem> + <para> + Час у хвилинах, який має пройти між досягненням значення +offline_failed_login_attempts і повторним вмиканням можливості входу до +системи. + </para> + <para> + Якщо встановлено значення 0, користувач не зможе пройти розпізнавання у +автономному режимі, якщо буде досягнуто значення +offline_failed_login_attempts. Лише успішне розпізнавання може знову +увімкнути можливість автономного розпізнавання. + </para> + <para> + Типове значення: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_verbosity (ціле число)</term> + <listitem> + <para> + Керує типами повідомлень, які буде показано користувачеві під час +розпізнавання. Чим більшим є значення, тим більше повідомлень буде показано. + </para> + <para> + У поточній версії sssd передбачено підтримку таких значень: + </para> + <para> + <emphasis>0</emphasis>: не показувати жодних повідомлень + </para> + <para> + <emphasis>1</emphasis>: показувати лише важливі повідомлення + </para> + <para> + <emphasis>2</emphasis>: показувати всі інформаційні повідомлення + </para> + <para> + <emphasis>3</emphasis>: показувати всі повідомлення та діагностичні дані + </para> + <para> + Типове значення: 1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_response_filter (рядок)</term> + <listitem> + <para> + Список рядків, відокремлених комами, за допомогою якого можна вилучати +(фільтрувати) дані, які надсилаються відповідачем PAM до модуля PAM +pam_sss. Існують різні тип відповідей, які надсилаються до pam_sss, +наприклад повідомлення, які показуються користувачеві, або змінні +середовища, які слід встановлювати за допомогою pam_sss. + </para> + <para> + Хоча повідомленнями вже можна керувати за допомогою параметра pam_verbosity, +за допомогою цього параметра можна відфільтрувати також інші типи +повідомлень. + </para> + <para> + У поточній версії передбачено підтримку таких фільтрів: <variablelist> + <varlistentry><term>ENV</term> + <listitem><para>Не надсилати жодних змінних середовища до жодної служби.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:назва_змінної</term> + <listitem><para>Не надсилати змінної середовища назва_змінної до жодної служби.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:назва_змінної:служба</term> + <listitem><para>Не надсилати змінної середовища назва_змінної до вказаної служби.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Список рядків може бути або списком фільтрів, які встановлюють список +фільтрування і перевизначають типові фільтри, або до кожного елемента списку +може бути додано префікс «+» або «-», який додасть фільтр до наявного +типового фільтрування або вилучить його з наявного типового фільтрування, +відповідно. Будь ласка, зауважте, або що усі елементи списку повинні мати +префікси «+» або «-», або усі елементи списку не повинні містити +префіксів. Змішування стилів вважається помилкою. + </para> + <para> + Типове значення: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i + </para> + <para> + Приклад: -ENV:KRB5CCNAME:sudo-i вилучає фільтр зі списку типових + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_id_timeout (ціле число)</term> + <listitem> + <para> + Для кожного з запитів PAM під час роботи SSSD система SSSD зробить спробу +негайно оновити кешовані дані щодо профілю користувача з метою переконатися, +що розпізнавання виконується на основі найсвіжіших даних. + </para> + <para> + Повний обмін даними сеансу PAM може включати декілька запитів PAM, зокрема +для керування обліковими записами та відкриття сеансів. За допомогою цього +параметра можна керувати (для окремих клієнтів-програм) тривалістю (у +секундах) кешування даних профілю з метою уникнути повторних викликів засобу +надання даних профілів. + </para> + <para> + Типове значення: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_pwd_expiration_warning (ціле число)</term> + <listitem> + <para> + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + </para> + <para> + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. + </para> + <para> + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + </para> + <para> + Цей параметр може бути перевизначено встановленням параметра +<emphasis>pwd_expiration_warning</emphasis> для окремого домену. + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_trusted_users (рядок)</term> + <listitem> + <para> + Визначає список відокремлених комами значень UID або імен користувачів, яким +дозволено виконувати обмін даними PAM із довіреними доменами. Користувачі, +яких не включено до цього списку, можуть отримувати доступ лише до доменів, +які позначено як загальнодоступні (public) за допомогою +<quote>pam_public_domains</quote>. Імена користувачів перетворюються на UID +під час запуску системи. + </para> + <para> + Типове значення: типово усі користувачі вважаються надійними (довіреними) + </para> + <para> + Будь ласка, зауважте, що користувачеві з UID 0 завжди мають доступ до +відповідача PAM, навіть якщо користувача немає у списку pam_trusted_users. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_public_domains (рядок)</term> + <listitem> + <para> + Визначає список назв доменів, відокремлених комами, доступ до яких можуть +отримувати навіть ненадійні користувачі. + </para> + <para> + Визначено два спеціальних значення параметра pam_public_domains: + </para> + <para> + all (Ненадійним користувачам відкрито доступ до усіх доменів у відповідачі +PAM.) + </para> + <para> + none (Ненадійним користувачам заборонено доступ до усіх доменів PAM у +відповідачі.) + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_expired_message (рядок)</term> + <listitem> + <para> + Надає змогу встановити нетипове повідомлення щодо завершення строку дії, яке +замінити типове повідомлення «Доступ заборонено» («Permission denied»). + </para> + <para> + Зауваження: будь ласка, зверніть увагу на те, що повідомлення буде виведено +для служби SSH, лише якщо pam_verbosity не встановлено у значення 3 +(показувати усі повідомлення і діагностичні дані). + </para> + <para> + приклад: <programlisting> +pam_account_expired_message = Account expired, please contact help desk. + </programlisting> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_locked_message (рядок)</term> + <listitem> + <para> + Надає змогу встановити нетипове повідомлення щодо блокування, яке замінити +типове повідомлення «Доступ заборонено» («Permission denied»). + </para> + <para> + приклад: <programlisting> +pam_account_locked_message = Account locked, please contact help desk. + </programlisting> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>pam_passkey_auth (bool)</term> + <listitem> + <para> + Enable passkey device based authentication. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_debug_libfido2 (bool)</term> + <listitem> + <para> + Enable libfido2 library debug messages. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_auth (булеве значення)</term> + <listitem> + <para> + Увімкнути сертифікацію на основі розпізнавання за смарткартками. Оскільки це +потребує додаткового обміну даним із смарткарткою, що затримує процес +розпізнавання, типово таку сертифікацію вимкнено. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_db_path (рядок)</term> + <listitem> + <para> + Шлях до бази даних сертифікатів. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_verification (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів PAM на основі списку параметрів, відокремлених комами. Ці +параметри перевизначають значення <quote>certificate_verification</quote> у +розділі <quote>[sssd]</quote>. Підтримуваними параметрами є ті самі, що і у +<quote>certificate_verification</quote>. + </para> + <para> + приклад: <programlisting> +pam_cert_verification = partial_chain + </programlisting> + </para> + <para> + Типове значення: не встановлено, тобто слід використовувати типовий параметр +<quote>certificate_verification</quote>, який визначено у розділі +<quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_child_timeout (ціле число)</term> + <listitem> + <para> + Час у секундах, протягом якого pam_sss очікуватиме на завершення роботи +p11_child. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_child_timeout (integer)</term> + <listitem> + <para> + How many seconds will the PAM responder wait for passkey_child to finish. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_app_services (рядок)</term> + <listitem> + <para> + Визначає, яким службам PAM дозволено встановлювати з'єднання із доменами +типу <quote>application</quote> + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_p11_allowed_services (ціле число)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких буде дозволено +використання смарткарток. + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для розпізнавання за смарткарткою +(наприклад, «login») з нетиповою назвою служби PAM (наприклад, +«my_pam_service»), вам слід скористатися такими налаштуваннями: <programlisting> +pam_p11_allowed_services = +my_pam_service, -login + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + gnome-screensaver + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_wait_for_card_timeout (ціле число)</term> + <listitem> + <para> + Якщо обов'язковим є розпізнавання за смарткарткою, кількість додаткових +секунд, які буде додано до p11_child_timeout, протягом яких відповідача PAM +має чекати на вставлення смарткартки. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_uri (рядок)</term> + <listitem> + <para> + Адреса PKCS#11 (докладніший опис можна знайти у RFC-7512), якою можна +скористатися для обмеження переліку пристроїв, які використовуються для +розпізнавання за допомогою смарткартки. Типово, p11_child зі складу SSSD +виконуватиме пошук слоту PKCS#11 (зчитувача), для якого встановлено прапорці +«removable» («портативний») і читатиме сертифікати із першого знайденого +слоту вставленого ключа. Якщо з комп'ютером буде з'єднано декілька +зчитувачів, можна скористатися p11_uri для повідомлення p11_child про те, що +слід використовувати вказаний зчитувач. + </para> + <para> + Приклади: <programlisting> +p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader + </programlisting> або <programlisting> +p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2 + </programlisting> Для визначення відповідної адреси, +ознайомтеся із файлом діагностичних даних p11_child. Крім того, можна +скористатися програмою GnuTLS p11tool, наприклад, із параметром --list-all, +який покаже і адреси PKCS#11. + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_initgroups_scheme</term> + <listitem> + <para> + Відповідач PAM може примусово застосувати пошук у мережі, щоб отримати +поточну групу членства користувача, який намагається увійти до системи. Цей +параметр керує тим, коли це слід робити. Передбачено можливість встановлення +таких значень: <variablelist> + <varlistentry><term>always</term> + <listitem><para>Завжди виконувати пошук у мережі. Будь ласка, зауважте, що pam_id_timeout +буде все одно застосовано</para></listitem> + </varlistentry> + <varlistentry><term>no_session</term> + <listitem><para>Виконувати пошук у мережі, лише якщо немає активного сеансу користувача, +тобто якщо користувач не працює у системі</para></listitem> + </varlistentry> + <varlistentry><term>never</term> + <listitem><para>Ніколи не виконувати пошук у мережі примусово, використовувати дані з кешу, +аж доки вони не застаріють</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: no_session + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_services</term> + <listitem> + <para> + Відокремлений комами список служб PAM, яким дозволено намагатися виконати +розпізнавання за GSSAPI за допомогою модуля pam_sss_gss.so. + </para> + <para> + Щоб вимкнути розпізнавання за GSSAPI, встановіть для цього параметра +значення <quote>-</quote> (дефіс). + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + Приклад: <programlisting> +pam_gssapi_services = sudo, sudo-i + </programlisting> + </para> + <para> + Типове значення: - (розпізнавання за GSSAPI вимкнено) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_check_upn</term> + <listitem> + <para> + Якщо має значення True, SSSD потребуватиме можливості прив'язки +реєстраційних даних користувача Kerberos, якого успішно розпізнано за +допомогою GSSAPI, до користувача, якого розпізнано. Розпізнавання +вважатиметься неуспішним, якщо перевірку не буде пройдено. + </para> + <para> + Якщо має значення False, розпізнаними вважатимуться усі користувачі, які +зможуть отримати бажаний квиток служби. + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + Типове значення: True + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_indicators_map</term> + <listitem> + <para> + Для доступу до служби PAM, у якій можна спробувати розпізнавання GSSAPI з +використанням модуля pam_sss_gss.so, у квитку Kerberos має бути список +відокремлених комами індикаторів розпізнавання. + </para> + <para> + Кожен з елементів списку може бути або назвою індикатора розпізнавання, або +парою <quote>служба:індикатор</quote>. Для доступу до будь-якої служби PAM, +яку налаштовано на використання з <option>pam_gssapi_services</option> +будуть потрібні індикатори без префіксів назв служб PAM. Список-результат +індикаторів для окремої служби PAM буде перевірено за індикаторами у квитку +Kerberos під час розпізнавання у pam_sss_gss.so. Буд-який індикатор з +квитка, який відповідає списку-результату індикаторів для служби PAM, +отримає доступ. Якщо відповідність не буде встановлено для жодного з +індикаторів, доступ буде заборонено. Якщо список-результат індикаторів для +служби PAM є порожнім, перевірка не закриватиме доступ для жодного запису. + </para> + <para> + Щоб вимкнути перевірку за індикаторами для розпізнавання за GSSAPI, +встановіть для цього параметра значення <quote>-</quote> (дефіс). Щоб +вимкнути перевірку для певної служби PAM, додайте <quote>служба:-</quote>. + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + У розгорнутих системах IPA з Kerberos передбачено підтримку таких +індикаторів розпізнавання: + <itemizedlist> + <listitem> + <para>pkinit — попереднє розпізнавання за допомогою сертифікатів X.509, які +зберігаються у файлах або на смарткартках.</para> + </listitem> + <listitem> + <para>hardened — попереднє розпізнавання SPAKE або будь-яке попереднє +розпізнавання у обгортці каналу FAST.</para> + </listitem> + <listitem> + <para>radius — попереднє розпізнавання за допомогою сервера RADIUS.</para> + </listitem> + <listitem> + <para>otp — попереднє розпізнавання за допомогою інтегрованого двофакторного +розпізнавання (2FA або одноразовий пароль, OTP) в IPA.</para> + </listitem> + <listitem> + <para>idp — попереднє розпізнавання за допомогою зовнішнього надавача даних +профілів.</para> + </listitem> + </itemizedlist> + </para> + <para> + Приклад: щоб встановити обов'язковість для доступу до служб SUDO отримання +користувачами їхніх квитків Kerberos із попереднім розпізнаванням за +сертифікатом X.509 (PKINIT), встановіть <programlisting> +pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit + </programlisting> + </para> + <para> + Типове значення: не встановлено (немає потреби у використанні індикаторів +розпізнавання) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SUDO' condition="with_sudo"> + <title>Параметри налаштування SUDO</title> + <para> + Цими параметрами можна скористатися для налаштовування служби sudo. Докладні +настанови щодо налаштовування <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +на роботу з <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> можна знайти на сторінці довідника +<citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <variablelist> + <varlistentry> + <term>sudo_timed (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід обробляти атрибути sudoNotBefore і sudoNotAfter, +призначені для визначення часових обмежень для записів sudoers. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + </variablelist> + <variablelist> + <varlistentry> + <term>sudo_threshold (ціле число)</term> + <listitem> + <para> + Максимальна кількість застарілих правил, які можна оновлювати за один +крок. Якщо кількість застарілих правил є нижчою за це порогове значення, +правила буде оновлено за допомогою механізму <quote>rules +refresh</quote>. Якщо порогове значення перевищено, замість нього буде +використано <quote>full refresh</quote> з правил sudo. Це порогове значення +також стосується команди sudo IPA та групових пошуків команд. + </para> + <para> + Типове значення: 50 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='AUTOFS' condition="with_autofs"> + <title>Параметри налаштування AUTOFS</title> + <para> + Цими параметрами можна скористатися для налаштування служби autofs. + </para> + <variablelist> + <varlistentry> + <term>autofs_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких відповідач autofs має кешувати +негативні результати пошуку у кеші (тобто запити щодо некоректних записів у +базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect2> + + <refsect2 id='SSH' condition="with_ssh"> + <title>Параметри налаштувань SSH</title> + <para> + Цими параметрами можна скористатися для налаштування служби SSH. + </para> + <variablelist> + <varlistentry> + <term>ssh_hash_known_hosts (булеве значення)</term> + <listitem> + <para> + Чи слід хешувати назви та адреси вузлів у керованому файлі known_hosts. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_known_hosts_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких запису вузла зберігатиметься у керованому +файлі known_hosts після надсилання запиту щодо ключів вузла. + </para> + <para> + Типове значення: 180 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_keys (булеве значення)</term> + <listitem> + <para> + Якщо встановлено значення true, <command>sss_ssh_authorizedkeys</command> +поверне ключі ssh, які походять від відкритого ключа сертифікатів X.509, які +також зберігаються у записі користувача. Докладніше про це на сторінці +підручника <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry>. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_matching_rules (рядок)</term> + <listitem> + <para> + Типово, відповідач SSH буде використовувати усі доступні правила +встановлення відповідності сертифікатів для фільтрування сертифікатів, тому +ключі SSH будуть створюватися лише на основі відповідних правилам +сертифікатів. За допомогою цього параметра можна обмежити перелік +використаних правил на основі списку назв правил прив'язки і відповідності, +відокремлених комами. Усі інші правила буде проігноровано. + </para> + <para> + Передбачено два спеціальних ключових слова «all_rules» та «no_rules», які +вмикають або вимикають усі правила, відповідно. Останній випадок означає, що +сертифікати не фільтруватимуться, а ключі ssh буде створено з усіх коректних +сертифікатів. + </para> + <para> + Якщо не налаштовано жодного правила, «all_rules» увімкне типове правило, яке +дозволяє використання усіх сертифікатів, які придатні для розпізнавання +клієнта. Це та сама поведінка, що для відповідача PAM, якщо увімкнено +розпізнавання за сертифікатом. + </para> + <para> + Визначення назви правила, якої не існує, вважатиметься помилкою. Якщо в +результаті не буде вибрано жодного правила, усі сертифікати буде +проігноровано. + </para> + <para> + Типове значення: не встановлено, рівнозначне до «all_rules» — буде +використано усі знайдені правила або типове правило + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ca_db (рядок)</term> + <listitem> + <para> + Шлях до сховища довірених сертифікатів CA. Параметр використовується для +перевірки сертифікатів користувачів до отримання з них відкритих ключів ssh. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='PAC_RESPONDER' condition="with_pac_responder"> + <title>Параметри налаштування відповідача PAC</title> + <para> + Відповідач PAC працює разом з додатком даних уповноваження для +sssd_pac_plugin.so зі складу MIT Kerberos та засобу надання даних +піддоменів. Цей додаток надсилає до відповідача PAC дані PAC під час +розпізнавання за допомогою GSSAPI. Засіб надання даних піддоменів збирає +дані щодо діапазонів SID і ID домену, до якого долучено клієнт, та +віддалених надійних доменів з локального контролера доменів. Якщо PAC +декодовано і визначено, виконуються деякі з таких дій: + <itemizedlist> + <listitem><para>Якщо у кеші немає даних віддаленого користувача, запис цих даних буде +створено. UID буде визначено за допомогою SID, надійні домени матимуть UPG, +а gid матиме те саме значення, що і UID. Дані домашнього каталогу буде +засновано на значенні параметра subdomain_homedir. Типово, для командної +оболонки буде вибрано порожнє значення, тобто використовуватимуться типові +параметри системи. Значення для оболонки можна змінити за допомогою +параметра default_shell.</para> + </listitem> + <listitem><para>Якщо існують SID груп з доменів, про які відомо SSSD, запис користувача буде +додано до цих груп. + </para></listitem> + </itemizedlist> + </para> + <para> + Цими параметрами можна скористатися для налаштовування відповідача PAC. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (рядок)</term> + <listitem> + <para> + Визначає список значень UID або імен користувачів, відокремлених +комами. Користувачам з цього списку буде дозволено доступ до відповідача +PAC. UID за іменами користувачів визначатимуться під час запуску. + </para> + <para> + Типове значення: 0 (доступ до відповідача PAC має лише адміністративний +користувач (root)) + </para> + <para> + Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID +буде перевизначено на основі цього параметра. Якщо ви хочете надати +адміністративному користувачеві (root) доступ до відповідача PAC, що може +бути типовим варіантом, вам слід додати до списку UID з правами доступу +запис 0. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_lifetime (ціле число)</term> + <listitem> + <para> + Строк дії запису PAC у секундах. Якщо PAC є чинним, дані PAC можна +використовувати для визначення членства користувача у групі. + </para> + <para> + Типове значення: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_check (рядок)</term> + <listitem> + <para> + Застосувати додаткові перевірки до PAC квитка Kerberos, який доступний у +доменах Active Directory і FreeIPA, якщо це налаштовано. Будь ласка, +зауважте, що має бути увімкнено перевірку квитка Kerberos, щоб мати змогу +перевірити PAC, тобто для параметра krb5_validate має бути встановлено +значення «True», яке є типовим для надавачів даних IPA і AD. Якщо для +krb5_validate встановлено значення «False», перевірки PAC буде пропущено. + </para> + <para> + Вказаними нижче параметрами можна скористатися окремо або у форматі списку +відокремлених комами значень: <variablelist> + <varlistentry> + <term>no_check</term> + <listitem> + <para>PAC не повинно бути, і навіть якщо він є, ніяких додаткових перевірок +виконано не буде.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_present</term> + <listitem> + <para>PAC має бути наявним у квитку служби, запит щодо якого SSSD надсилає за +допомогою TGT користувача. Якщо PAC є недоступним, спроба розпізнавання +зазнає невдачі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn</term> + <listitem> + <para>Якщо PAC є, перевірити, чи є узгодженими дані назви реєстраційного запису +користувача (UPN).</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_allow_missing</term> + <listitem> + <para>Цей параметр слід використовувати разом і «check_upn» і обробляє випадок, +коли для UPN встановлено значення на боці сервера, але його не прочитано +SSSD. Типовим прикладом є домен FreeIPA, де для «ldap_user_principal» +встановлено назву атрибуту, якого не існує. Так типово роблять для того, щоб +обійти проблеми в обробці промислових реєстраційних записів. Втім, це +виправлено вже певний час, і FreeIPA може обробляти промислові реєстраційні +записи без проблем. У встановленні «ldap_user_principal» більше немає +потреби.</para> + <para>У поточній версії цей параметр типово увімкнено, щоб уникнути регресій у +подібних середовищах. До системного журналу та діагностичного журналу SSSD +буде додано повідомлення у випадку виявлення UPN у PAC, але не у кеші +SSSD. Щоб уникнути появи такого повідомлення, слід перевірити, чи можна +вилучити параметр «ldap_user_principal». Якщо це неможливо, вилучення +«check_upn» призведе до пропускання перевірки, і повідомлення зникне з +журналу.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_present</term> + <listitem> + <para>PAC має містити буфер UPN-DNS-INFO; неявним чином встановлює «check_upn».</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_dns_info_ex</term> + <listitem> + <para>Якщо є PAC і доступним є розширення буфера UPN-DNS-INFO, перевірити, чи є +узгодженими дані у розширенні.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_ex_present</term> + <listitem> + <para>PAC має містити розширення буфера UPN-DNS-INFO; неявним чином встановлює +«check_upn_dns_info_ex», «upn_dns_info_present» і «check_upn». + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: no_check (для надавачів AD та IPA — «check_upn, +check_upn_allow_missing, check_upn_dns_info_ex») + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SESSION_RECORDING'> + <title>Параметри налаштовування запису сеансів</title> + <para> + Запис сеансів працює у зв'язці з <citerefentry> +<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, частиною пакунка tlog, для запису даних, які бачать і +вводять користувачі після входу до текстового термінала. Див. також +<citerefentry> <refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Цими параметрами можна скористатися для налаштовування запису сеансів. + </para> + <variablelist> + <varlistentry> + <term>scope (рядок)</term> + <listitem> + <para> + Один із вказаних нижче рядків, що визначають область запису сеансів: +<variablelist> + <varlistentry> + <term>"none"</term> + <listitem> + <para> + Користувачі не записуються. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"some"</term> + <listitem> + <para> + Запис вестиметься для користувачів і груп, вказаних параметрами +<replaceable>користувачі</replaceable> і <replaceable>групи</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"all"</term> + <listitem> + <para> + Усі користувачі записуються. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, для яких увімкнено +записування сеансів. Належність до списку визначатиметься за іменами, +повернутими NSS, тобто після можливих замін пробілів, змін регістру символів +тощо. + </para> + <para> + Типове значення: порожнє. Не відповідає жодному користувачу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, для користувачів яких буде +увімкнено записування сеансів. Належність до списку визначатиметься за +назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру +символів тощо. + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не відповідає жодній групі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, яких має бути виключено із +записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Типове значення: порожнє. Не виключати жодного користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, учасників яких має бути виключено +із записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не виключати жодної групи. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='domain-sections'> + <title>РОЗДІЛИ ДОМЕНІВ</title> + <para> + Ці параметри налаштування може бути вказано у розділі налаштування домену, +тобто у розділі з назвою +<quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> <variablelist> + <varlistentry> + <term>enabled</term> + <listitem> + <para> + Явним чином увімкнути або вимкнути домен. Якщо має значення +<quote>true</quote>, домен завжди <quote>увімкнено</quote>. Якщо має +значення <quote>false</quote>, домен завжди <quote>вимкнено</quote>. Якщо +значення цього параметра не встановлено, домен увімкнено, лише якщо його +вказано у параметрі доменів у розділі <quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>domain_type (рядок)</term> + <listitem> + <para> + Визначає, чи призначено домен для використання клієнтами у стандарті POSIX, +зокрема NSS, або програмами, які не потребують наявності або створення даних +POSIX. Інтерфейсам та інструментам операційних систем доступні лише об'єкти +з доменів POSIX. + </para> + <para> + Дозволеними значеннями цього параметра є <quote>posix</quote> і +<quote>application</quote>. + </para> + <para> + Домени POSIX доступні для усіх служб. Домени програм доступні лише з +відповідача InfoPipe (див. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) і відповідача PAM. + </para> + <para> + ЗАУВАЖЕННЯ: належне тестування у поточній версії виконано лише для доменів +application з <quote>id_provider=ldap</quote>. + </para> + <para> + Щоб ознайомитися із простим способом налаштовування не-POSIX доменів, будь +ласка, ознайомтеся із розділом <quote>Домени програм</quote>. + </para> + <para> + Типове значення: posix + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>min_id,max_id (ціле значення)</term> + <listitem> + <para> + Обмеження UID і GID для домену. Якщо у домені міститься запис, що не +відповідає цим обмеженням, його буде проігноровано. + </para> + <para> + Для користувачів зміна цього параметра вплине на основне обмеження +GID. Запис користувача не буде повернуто до NSS, якщо UID або основний GID +не належать вказаному діапазону. Записи користувачів, які не є учасниками +основної групи і належать діапазону, буде виведено у звичайному режимі. + </para> + <para> + Ці обмеження на ідентифікатори стосуються і збереження записів до кешу, не +лише повернення записів за назвою або ідентифікатором. + </para> + <para> + Типові значення: 1 для min_id, 0 (без обмежень) для max_id + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>enumerate (булеве значення)</term> + <listitem> + <para> + Визначає, чи можна нумерувати домен, тобто, чи може домен створити список +усіх користувачів і груп, які у ньому містяться. Зауважте, що вмикання +нумерування не є обов'язковим для показу вторинних груп. Цей параметр може +мати такі значення: + </para> + <para> + TRUE = користувачі і групи нумеруються + </para> + <para> + FALSE = не використовувати нумерацію для цього домену + </para> + <para> + Типове значення: FALSE + </para> + <para> + Нумерування домену потребує від SSSD отримання і зберігання усіх записів +користувачів і груп із віддаленого сервера. + </para> + <para> + Зауваження: вмикання нумерації помірно знизить швидкодію SSSD на час +виконання нумерації. Нумерація може тривати до декількох хвилин після +запуску SSSD. Протягом виконання нумерації окремі запити щодо даних буде +надіслано безпосередньо до LDAP, хоча і з уповільненням через навантаження +системи виконанням нумерації. Збереження великої кількості записів до кешу +після завершення нумерації може також значно навантажити процесор, оскільки +повторне визначення параметрів участі також іноді є складним завданням. Це +може призвести до проблем із отриманням відповіді від процесу +<quote>sssd_be</quote> або навіть перезапуску усього засобу стеження. + </para> + <para> + Під час першого виконання нумерації запити щодо повних списків користувачів +та груп можуть не повертати жодних результатів, аж доки нумерацію не буде +завершено. + </para> + <para> + Крім того, вмикання нумерації може збільшити час, потрібний для виявлення +того, що мережеве з’єднання розірвано, оскільки потрібне буде збільшення +часу очікування для забезпечення успішного завершення пошуків нумерації. Щоб +отримати додаткову інформацію, зверніться до сторінок довідника (man) +відповідного використаного засобу обробки ідентифікаторів (id_provider). + </para> + <para> + З вказаних вище причин не рекомендуємо вам вмикати нумерацію, особливо у +об’ємних середовищах. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_enumerate (рядок)</term> + <listitem> + <para> + Визначає, чи слід нумерувати усі автоматично виявлені надійні (довірені) +домени. Підтримувані значення: <variablelist> + <varlistentry> + <term>all</term> + <listitem><para>Усі виявлені надійні домени буде пронумеровано</para></listitem> + </varlistentry> + <varlistentry> + <term>none</term> + <listitem><para>Нумерація виявлених надійних доменів не виконуватиметься</para></listitem> + </varlistentry> + </variablelist> +Якщо потрібно, можна вказати список з однієї або декількох назв надійних +доменів, для яких буде увімкнено нумерацію. + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи чинними, перш ніж +надсилати повторний запит до сервера + </para> + <para> + Дані щодо часових позначок завершення строку дії записів кешу зберігаються +як атрибути окремих об’єктів у кеші. Тому зміна часу очікування на дані у +кеші впливає лише на нові записи та записи, строк дії яких вичерпано. Для +примусового оновлення записів, які вже було кешовано, вам слід запустити +програму <citerefentry> <refentrytitle>sss_cache</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + Типове значення: 5400 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_user_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи користувачів +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_group_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи груп чинними, перш +ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_netgroup_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи мережевих груп +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_service_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи служб чинними, перш +ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_resolver_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи вузлів і мереж +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>entry_cache_sudo_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких sudo вважатиме правила чинними, перш ніж +надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>entry_cache_autofs_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких служба autofs вважатиме карти автомонтування +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>entry_cache_ssh_host_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких слід зберігати ключ ssh вузла після +оновлення. Іншими словами, параметр визначає тривалість зберігання ключа +вузла у кеші. + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_computer_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких слід зберігати запис локального комп'ютера, +перш ніж надсилати запит до модуля обробки даних знову + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>refresh_expired_interval (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких SSSD має очікувати до запуску +завдання з оновлення у фоновому режимі записів кешу, строк дії яких +вичерпано або майже вичерпано. + </para> + <para> + Під час фонового оновлення виконуватиметься обробка записів користувачів, +груп та мережевих груп у кеші. для записів користувачів, для яких +виконувалися дії з ініціювання груп (отримання даних щодо участі користувача +у групах, які типово виконуються під час входу до системи), буде оновлено і +запис користувача, і дані щодо участі у групах. + </para> + <para> + Цей параметр автоматично успадковується для усіх довірених доменів. + </para> + <para> + Варто визначити для цього параметра значення 3/4 * entry_cache_timeout. + </para> + <para> + Запис кешу буде оновлено фоновим завданням, якщо минуло 2/3 часу очікування +на застарівання кешу. Якщо у кеші вже є записи, фонове завдання звернеться +до значень часу очікування на застарівання початкових записів, а не +поточного значення у налаштуваннях. Це може призвести до ситуації, у якій +здаватиметься, що фонове завдання із оновлення записів не працює. Так +зроблено спеціально для удосконалення роботи в автономному режимі і +повторного використання наявних коректних записів у кеші. Щоб зробити +використання внесеної зміни постійним, користувачу варто вручну скасувати +чинність наявного кешу. + </para> + <para> + Типове значення: 0 (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials (булеве значення)</term> + <listitem> + <para> + Determines if user credentials are also cached in the local LDB cache. The +cached credentials refer to passwords, which includes the first (long term) +factor of two-factor authentication, not other authentication +mechanisms. Passkey and Smartcard authentications are expected to work +offline as long as a successful online authentication is recorded in the +cache without additional configuration. + </para> + <para> + Take a note that while credentials are stored as a salted SHA512 hash, this +still potentially poses some security risk in case an attacker manages to +get access to a cache file (normally requires privileged access) and to +break a password using brute force attack. + </para> + <para> + Типове значення: FALSE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials_minimal_first_factor_length (ціле число)</term> + <listitem> + <para> + Якщо використано двофакторне розпізнавання (2FA) і реєстраційні дані мають +зберігатися, це значення визначає мінімальну довжину першого фактора +розпізнавання (довготривалого пароля), який має бути збережено у форматі +контрольної суми SHA512 у кеші. + </para> + <para> + Таким чином забезпечується уникнення випадку, коли короткі PIN-коди +заснованої на PIN-кодах схеми 2FA зберігаються у кеші, що робить їх простою +мішенню атак із перебиранням паролів. + </para> + <para> + Типове значення: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>account_cache_expiration (ціле число)</term> + <listitem> + <para> + Кількість днів, протягом яких записи залишатимуться у кеші після успішного +входу до системи до вилучення під час спорожнення кешу. 0 — не вилучати +записи. Значення цього параметра має бути більшим або рівним значенню +offline_credentials_expiration. + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwd_expiration_warning (ціле число)</term> + <listitem> + <para> + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + </para> + <para> + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + </para> + <para> + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. Крім того для цього сервера може бути вказано службу надання +даних розпізнавання. + </para> + <para> + Типове значення: 7 (Kerberos), 0 (LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>id_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних ідентифікації, який використовується для цього +домену. Серед підтримуваних засобів такі: + </para> + <para> + «proxy»: підтримка застарілого модуля надання даних NSS. + </para> + <para condition="with_files_provider"> + <quote>files</quote>: засіб надання даних FILES. Докладніше про те, як +працює віддзеркалення локальних користувачів і груп у SSSD, можна дізнатися +зі сторінки підручника <citerefentry> +<refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ldap</quote>: засіб LDAP. Докладніше про налаштовування LDAP можна +дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>use_fully_qualified_names (булеве значення)</term> + <listitem> + <para> + Використовувати ім’я та домен повністю (у форматі, визначеному +full_name_format домену) як ім’я користувача у системі, що повідомляється +NSS. + </para> + <para> + Якщо встановлено значення TRUE, всі запити до цього домену мають +використовувати повні назви. Наприклад, якщо використано домен LOCAL, який +містить запис користувача «test» user, <command>getent passwd test</command> +не покаже користувача, а <command>getent passwd test@LOCAL</command> покаже. + </para> + <para> + ЗАУВАЖЕННЯ: цей параметр не впливатиме на пошук у мережевих групах через +тенденцію до включення до таких груп вкладених мережевих груп. Для мережевих +груп, якщо задано неповну назву, буде виконано пошук у всіх доменах. + </para> + <para> + Типове значення: FALSE (TRUE для довірених доменів і піддоменів або якщо +використано default_domain_suffix) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ignore_group_members (булеве значення)</term> + <listitem> + <para> + Не повертати записи учасників груп для пошуків груп. + </para> + <para> + Якщо встановлено значення TRUE, сервер LDAP не запитуватиме дані щодо +атрибутів участі у групах, а списки учасників груп не повертаються під час +обробки запитів щодо пошуку груп, зокрема <citerefentry> +<refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum> +</citerefentry> або <citerefentry> <refentrytitle>getgrgid</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>. Отже, <quote>getent group +$groupname</quote> поверне запитану групу так, наче вона була порожня. + </para> + <para> + Вмикання цього параметра може також значно пришвидшити перевірки засобу +надання доступу для участі у групі, особливо для груп, у яких багато +учасників. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: FALSE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auth_provider (рядок)</term> + <listitem> + <para> + Служба розпізнавання, яку використано для цього домену. Серед підтримуваних +служб розпізнавання: + </para> + <para> + <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>krb5</quote> — вбудоване розпізнавання Kerberos. Докладніші відомості +щодо налаштовування Kerberos викладено у довіднику з <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — трансльоване розпізнавання у іншій системі PAM. + </para> + <para> + <quote>none</quote> — вимкнути розпізнавання повністю. + </para> + <para> + Типове значення: буде використано <quote>id_provider</quote>, якщо цей +спосіб встановлено і можлива обробка запитів щодо розпізнавання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>access_provider (рядок)</term> + <listitem> + <para> + Програма керування доступом для домену. Передбачено дві вбудованих програми +керування доступом (окрім всіх встановлених додаткових +серверів). Вбудованими програмами є: + </para> + <para> + <quote>permit</quote> дозволяти доступ завжди. Єдиний дозволений засіб +доступу для локального домену. + </para> + <para> + <quote>deny</quote> — завжди забороняти доступ. + </para> + <para> + <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>simple</quote> — керування доступом на основі списків дозволу або +заборони. Докладніші відомості щодо налаштовування модуля доступу simple +можна знайти у довідці до <citerefentry> +<refentrytitle>sssd-simple</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + <quote>krb5</quote> — керування доступом на основі .k5login. Докладніші +відомості щодо налаштовування Kerberos викладено у довіднику з +<citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>proxy</quote> — для трансляції керування доступом до іншого модуля +PAM. + </para> + <para> + Типове значення: <quote>permit</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>chpass_provider (рядок)</term> + <listitem> + <para> + Система, яка має обробляти дії зі зміни паролів для домену. Передбачено +підтримку таких систем зміни паролів: + </para> + <para> + <quote>ldap</quote> — змінити пароль, що зберігається на сервері +LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>krb5</quote> — змінити пароль Kerberos. Докладніші відомості щодо +налаштовування Kerberos викладено у довіднику з <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — трансльована зміна пароля у іншій системі PAM. + </para> + <para> + <quote>none</quote> — явно вимкнути можливість зміни пароля. + </para> + <para> + Типове значення: використовується «auth_provider», якщо встановлено значення +цього параметра і якщо система здатна обробляти запити щодо паролів. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>sudo_provider (рядок)</term> + <listitem> + <para> + Служба SUDO, яку використано для цього домену. Серед підтримуваних служб +SUDO: + </para> + <para> + <quote>ldap</quote> для правил, що зберігаються у LDAP. Докладніше про +налаштовування LDAP можна дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — те саме, що і <quote>ldap</quote>, але з типовими +параметрами IPA. + </para> + <para> + <quote>ad</quote> — те саме, що і <quote>ldap</quote>, але з типовими +параметрами AD. + </para> + <para> + <quote>none</quote> явним чином вимикає SUDO. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + <para> + З докладними настановами щодо налаштовування sudo_provider можна +ознайомитися за допомогою сторінки підручника (man) <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Передбачено доволі багато параметрів налаштовування, якими +можна скористатися для коригування поведінки програми. Докладніший опис +можна знайти у розділах щодо «ldap_sudo_*»" у підручнику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>Зауваження:</emphasis> правила sudo періодично отримуються у +фоновому режимі, якщо постачальник даних sudo не вимкнено явним +чином. Встановіть значення <emphasis>sudo_provider = None</emphasis>, щоб +вимкнути усі дії, пов'язані із sudo у SSSD, якщо ви взагалі не хочете +використовувати sudo у SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>selinux_provider (рядок)</term> + <listitem> + <para> + Засіб, який має відповідати за завантаження параметрів SELinux. Зауважте, що +цей засіб буде викликано одразу після завершення роботи служби надання +доступу. Передбачено підтримку таких засобів надання даних SELinux: + </para> + <para> + <quote>ipa</quote> для завантаження параметрів selinux з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> явним чином забороняє отримання даних щодо параметрів +SELinux. + </para> + <para> + Типове значення: буде використано <quote>id_provider</quote>, якщо цей +спосіб встановлено і можлива обробка запитів щодо завантаження SELinux. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>subdomains_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних, який має обробляти отримання даних піддоменів. Це +значення має завжди збігатися зі значенням id_provider. Передбачено +підтримку таких засобів надання даних піддоменів: + </para> + <para> + <quote>ipa</quote> для завантаження списку піддоменів з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + «ad», з якої слід завантажувати список піддоменів з сервера Active +Directory. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> забороняє ячним чином отримання даних піддоменів. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>session_provider (рядок)</term> + <listitem> + <para> + Постачальник даних, який налаштовує завдання, пов'язані із сеансами +користувачів, і керує ними. Єдиним завданням сеансів користувача у поточній +версії є інтеграція із Fleet Commander, який працює лише з IPA. Підтримувані +постачальники даних сеансів: + </para> + <para> + <quote>ipa</quote>, щоб дозволити пов'язані із сеансами користувачів +завдання. + </para> + <para> + <quote>none</quote> — не виконувати жодних пов'язаних із сеансами +користувачів завдань. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено і дозволено виконувати пов'язані із сеансами завдання. + </para> + <para> + <emphasis>Зауваження:</emphasis> щоб ця можливість працювала як слід, SSSD +має бути запущено від імені користувача root, а не якогось іншого +непривілейованого користувача. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>autofs_provider (рядок)</term> + <listitem> + <para> + Служба autofs, яку використано для цього домену. Серед підтримуваних служб +autofs: + </para> + <para> + <quote>ldap</quote> — завантажити карти, що зберігаються у LDAP. Докладніше +про налаштовування LDAP можна дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — завантажити карти, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>ad</quote> — завантажити карти, що зберігаються на сервері +AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> вимикає autofs повністю. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>hostid_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних, який використовується для отримання даних щодо профілю +вузла. Серед підтримуваних засобів надання hostid: + </para> + <para> + <quote>ipa</quote> — завантажити профіль системи, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> вимикає hostid повністю. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>resolver_provider (рядок)</term> + <listitem> + <para> + Система, яка має обробляти дії зі пошуку вузлів та мереж. Передбачено +підтримку таких надавачів даних для визначення: + </para> + <para> + <quote>proxy</quote> для переспрямовування пошуків до іншої бібліотеки +NSS. Див. <quote>proxy_resolver_lib_name</quote> + </para> + <para> + <quote>ldap</quote> — отримати записи вузлів і мереж, які зберігаються у +LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>ad</quote> — отримати записи вузлів і мереж, які зберігаються на +сервері AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> забороняє ячним чином отримання даних вузлів і мереж. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>re_expression (рядок)</term> + <listitem> + <para> + Формальний вираз для цього домену, який описує спосіб поділи рядка, що +містить ім’я користувача та назву домену на ці компоненти. «Домен» може +відповідати назві домену налаштувань SSSD або, у випадку піддоменів довіри +IPA та доменів Active Directory, простій назві (NetBIOS) домену. + </para> + <para> + Default: +<quote>^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$</quote> +which allows two different styles for user names: + <itemizedlist> + <listitem> + <para>користувач</para> + </listitem> + <listitem> + <para>користувач@назва.домену</para> + </listitem> + </itemizedlist> + </para> + <para> + Default for the AD and IPA provider: +<quote>^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$</quote> +which allows three different styles for user names: + <itemizedlist> + <listitem> + <para>користувач</para> + </listitem> + <listitem> + <para>користувач@назва.домену</para> + </listitem> + <listitem> + <para>домен\користувач</para> + </listitem> + </itemizedlist> + Перші два стилі відповідають загальним типовим стилям, а третій введено для +того, щоб полегшити інтеграцію користувачів з доменів Windows. + </para> + <para> + The default re_expression uses the <quote>@</quote> character as a separator +between the name and the domain. As a result of this setting the default +does not accept the <quote>@</quote> character in short names (as it is +allowed in Windows group names). If a user wishes to use short names with +<quote>@</quote> they must create their own re_expression. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (рядок)</term> + <listitem> + <para> + Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + </para> + <para> + Передбачено використання таких замінників: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>ім’я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + назва домену у форматі, вказаному у файлі налаштувань SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: <quote>%1$s@%2$s</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>lookup_family_order (рядок)</term> + <listitem> + <para> + Надає можливість вибрати бажане сімейство адрес, яке слід використовувати +під час виконання пошуків у DNS. + </para> + <para> + Передбачено підтримку таких значень: + </para> + <para> + ipv4_first: спробувати визначити адресу у форматі IPv4, у разі невдачі +спробувати формат IPv6 + </para> + <para> + ipv4_only: намагатися визначити назви вузлів лише у форматі адрес IPv4. + </para> + <para> + ipv6_first: спробувати визначити адресу у форматі IPv6, у разі невдачі +спробувати формат IPv4 + </para> + <para> + ipv6_only: намагатися визначити назви вузлів лише у форматі адрес IPv6. + </para> + <para> + Типове значення: ipv4_first + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_server_timeout (ціле число)</term> + <listitem> + <para> + Визначає проміжок часу (у мілісекундах), протягом якого SSSD намагатиметься +обмінятися даними із сервером DNS, перш ніж пробувати наступний сервер DNS. + </para> + <para> + Надавач даних AD використовуватиме цей параметр також для визначення часу +очікування на відгук на луна-імпульс CLDAP. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_op_timeout (ціле число)</term> + <listitem> + <para> + Визначає тривалість (у секундах) періоду, протягом якого програма чекатиме +на завершення виконання окремого запиту DNS (наприклад встановлення назви +вузла або запису SRV), перш ніж перейти до наступної назви вузла або пошуку +наступного DNS. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість часу (у секундах) очікування відповіді від внутрішньої +служби перемикання на резервний ресурс, перш ніж службу буде визначено +недоступним. Якщо час очікування буде перевищено, домен продовжуватиме +роботу у автономному режимі. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_use_search_list (булеве значення)</term> + <listitem> + <para> + Зазвичай, розв'язувач адрес DNS виконує пошук у списку доменів, який +визначено інструкцією «search» у файлі resolv.conf. Це може призвести до +затримок у середовищах, де DNS не налаштовано належним чином. + </para> + <para> + Якщо у налаштуваннях SSSD використано повні назви доменів (або _srv_), +встановлення для цього параметра значення FALSE може запобігти непотрібним +пошукам DNS у таких середовищах. + </para> + <para> + Типове значення: TRUE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_discovery_domain (рядок)</term> + <listitem> + <para> + Якщо у модулі обробки використовується визначення служб, вказує доменну +частину запиту визначення служб DNS. + </para> + <para> + Типова поведінка: використовувати назву домену з назви вузла комп’ютера. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>override_gid (ціле число)</term> + <listitem> + <para> + Замірити значення основного GID на вказане. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>case_sensitive (рядок)</term> + <listitem> + <para> + Зважати на регістр символів у назвах записів користувачів і груп. Можливі +значення: <variablelist> + <varlistentry> + <term>True</term> + <listitem> + <para> + Враховується регістр. Це значення є некоректним для засобу надання даних AD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>False</term> + <listitem> + <para>Без врахування регістру.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>Preserving</term> + <listitem> + <para> + Те саме, що і False (без врахування регістру символів), але без переведення +у нижній регістр імен у результатах дій NSS. Зауважте, що альтернативні +імена (у випадку служб також назви протоколів) у виведених даних все одно +буде переведено у нижній регістр. + </para> + <para> + Якщо ви хочете встановити це значення для довіреного домену із надавачем +даних IPA, вам доведеться встановити його на боці клієнта і SSSD на сервері. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: True (False для засобу надання даних AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_inherit (рядок)</term> + <listitem> + <para> + Визначає список параметрів налаштування, які слід успадковувати для +піддомену. Будь ласка, зауважте, що успадковуватимуться лише вказані +параметри. У поточній версії передбачено можливість успадковування таких +параметрів: + </para> + <para> + ldap_search_timeout + </para> + <para> + ldap_network_timeout + </para> + <para> + ldap_opt_timeout + </para> + <para> + ldap_offline_timeout + </para> + <para> + ldap_enumeration_refresh_timeout + </para> + <para> + ldap_enumeration_refresh_offset + </para> + <para> + ldap_purge_cache_timeout + </para> + <para> + ldap_purge_cache_offset + </para> + <para> + ldap_krb5_keytab (значення krb5_keytab буде використано, якщо +ldap_krb5_keytab не встановлено явним чином) + </para> + <para> + ldap_krb5_ticket_lifetime + </para> + <para> + ldap_enumeration_search_timeout + </para> + <para> + ldap_connection_expire_timeout + </para> + <para> + ldap_connection_expire_offset + </para> + <para> + ldap_connection_idle_timeout + </para> + <para> + ldap_use_tokengroups + </para> + <para> + ldap_user_principal + </para> + <para> + ignore_group_members + </para> + <para> + auto_private_groups + </para> + <para> + case_sensitive + </para> + <para> + Приклад: <programlisting> +subdomain_inherit = ldap_purge_cache_timeout + </programlisting> + </para> + <para> + Типове значення: none + </para> + <para> + Зауваження: цей параметр працює лише для засобів надання даних IPA і AD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_homedir (рядок)</term> + <listitem> + <para> + Використовувати вказаний домашній каталог як типовий для всіх піддоменів у +цьому домені у межах довіри AD IPA. Дані щодо можливих значень наведено у +описі параметра <emphasis>override_homedir</emphasis>. Крім того, +розгортання можна використовувати лише з +<emphasis>subdomain_homedir</emphasis>. <variablelist> + <varlistentry> + <term>%F</term> + <listitem><para>спрощена (NetBIOS) назва піддомену.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Це значення може бути перевизначено параметром +<emphasis>override_homedir</emphasis>. + </para> + <para> + Типове значення: <filename>/home/%d/%u</filename> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>realmd_tags (рядок)</term> + <listitem> + <para> + Різноманітні теґи, що зберігаються службою налаштовування realmd для цього +домену. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cached_auth_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах з моменту останнього успішного розпізнавання у +мережі, для якого користувача буде розпізнано за допомогою кешованих +реєстраційних даних, доки SSSD перебуває у режимі «у мережі». Якщо +реєстраційні дані є помилковими, SSSD повертається до інтерактивного +розпізнавання. + </para> + <para> + Значення цього параметра успадковується усіма довіреними доменами. У +поточній версії не передбачено можливості встановлювати окремі різні +значення для різних довірених доменів. + </para> + <para> + Спеціальне значення 0 означає, що цю можливість вимкнено. + </para> + <para> + Будь ласка, зауважте, що якщо <quote>cached_auth_timeout</quote> має більше +значення за <quote>pam_id_timeout</quote>, модуль може бути викликано для +обробки <quote>initgroups</quote>. + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_auth_policy (string)</term> + <listitem> + <para> + Local authentication methods policy. Some backends (i.e. LDAP, proxy +provider) only support a password based authentication, while others can +handle PKINIT based Smartcard authentication (AD, IPA), two-factor +authentication (IPA), or other methods against a central instance. By +default in such cases authentication is only performed with the methods +supported by the backend. + </para> + <para> + There are three possible values for this option: match, only, +enable. <quote>match</quote> is used to match offline and online states for +Kerberos methods. <quote>only</quote> ignores the online methods and only +offer the local ones. enable allows explicitly defining the methods for +local authentication. As an example, <quote>enable:passkey</quote>, only +enables passkey for local authentication. Multiple enable values should be +comma-separated, such as <quote>enable:passkey, enable:smartcard</quote> + </para> + <para> + Please note that if local Smartcard authentication is enabled and a +Smartcard is present, Smartcard authentication will be preferred over the +authentication methods supported by the backend. I.e. there will be a PIN +prompt instead of e.g. a password prompt. + </para> + <para> + The following configuration example allows local users to authenticate +locally using any enabled method (i.e. smartcard, passkey). <programlisting> +[domain/shadowutils] +id_provider = proxy +proxy_lib_name = files +auth_provider = none +local_auth_policy = only +</programlisting> + </para> + <para condition="with_files_provider"> + It is expected that the <quote>files</quote> provider ignores the +local_auth_policy option and supports Smartcard authentication by default. + </para> + <para> + Default: match + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auto_private_groups (рядок)</term> + <listitem> + <para> + Цей параметр приймає будь-яке з таких трьох доступних значень: <variablelist> + <varlistentry> + <term>true</term> + <listitem> + <para> + Безумовно створює приватну групу користувача на основі номера UID +користувача. У цьому випадку номер GID буде проігноровано. + </para> + <para> + Зауваження: оскільки номер GID і приватна група користувача успадковуються з +номера UID, підтримки декількох записів із однаковим номером UID або GID у +цьому параметрі не передбачено. Іншими словами, вмикання цього параметра +примусово встановлює унікальність записів у просторі ідентифікаторів. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>false</term> + <listitem> + <para> + Завжди використовувати номер основної GID користувача. Номер GID має +вказувати на об'єкт групи у базі даних LDAP. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>hybrid</term> + <listitem> + <para> + Основна група створюється автоматично для записів користувача, значення UID +і GID яких збігаються і, одночасно, номер GID не відповідає справжньому +об'єкту групи у LDAP. Якщо значення є однаковими, але основне значення GID у +записі користувача також використовується як об'єкт групи, основний GID +цього користувача визначатиме цей об'єкт групи. + </para> + <para> + Якщо UID і GID користувача є різними, значення GID має відповідати запису +групи, інакше надійне визначення GID буде просто неможливим. + </para> + <para> + Ця можливість є корисною для середовищ, де бажаним є усування потреби у +супроводі окремих об'єктів груп для користувачів у приватних групах, але зі +збереженням наявних приватних груп для користувачів. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для піддоменів типовим значенням є False для тих піддоменів, які пов'язано +із ідентифікаторами POSIX, і True для тих піддоменів, для яких +використовується автоматична прив'язка до ідентифікаторів. + </para> + <para> + Значення параметра auto_private_groups може встановлюватися або на рівні +окремих піддоменів у підрозділі, приклад: <programlisting> +[domain/forest.domain/sub.domain] +auto_private_groups = false +</programlisting> або на загальному рівні для усіх піддоменів у основному розділі +домену за допомогою параметра subdomain_inherit: <programlisting> +[domain/forest.domain] +subdomain_inherit = auto_private_groups +auto_private_groups = false +</programlisting> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + + <para> + Параметри, які є чинними для доменів проксі. <variablelist> + <varlistentry> + <term>proxy_pam_target (рядок)</term> + <listitem> + <para> + Комп’ютер, для якого виконує проксі-сервер PAM. + </para> + <para> + Default: not set by default, you have to take an existing pam configuration +or create a new one and add the service name here. As an alternative you can +enable local authentication with the local_auth_policy option. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_lib_name (рядок)</term> + <listitem> + <para> + Назва бібліотеки NSS для використання у доменах з проксі-серверами. Функції +NSS шукаються у бібліотеці у форматі _nss_$(назва_бібліотеки)_$(функція), +наприклад _nss_files_getpwent. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_resolver_lib_name (рядок)</term> + <listitem> + <para> + Назва бібліотеки NSS для використання для пошуку вузлів і мереж у доменах з +проксі-серверами. Функції NSS шукаються у бібліотеці у форматі +_nss_$(назва_бібліотеки)_$(функція), наприклад _nss_dns_gethostbyname2_r. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_fast_alias (булеве значення)</term> + <listitem> + <para> + Під час пошуку запису користувача чи групи за назвою у системі надання даних +переадресації виконується вторинний пошук за ідентифікатором з метою +визначення «канонічної» форми назви, якщо результат знайдено за +альтернативною назвою (псевдонімом). Встановлення для цього параметра +значення «true» призведе до того, що SSSD виконуватиме пошук ідентифікатора +у кеші, щоб пришвидшити надання результатів. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_max_children (ціле число)</term> + <listitem> + <para> + Цей параметр визначає кількість попередньо розгалужених дочірніх проксі. Він +корисний для високонавантажених середовищ SSSD, де sssd може вичерпати +кількість доступних дочірніх слотів, що може спричинити деякі вади через +використання черги запитів. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + + <refsect2 id='app_domains'> + <title>Домени програм (application)</title> + <para> + SSSD, з його інтерфейсом D-Bus (див. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) є привабливим для програм як шлюз до каталогу LDAP, де +зберігаються дані користувачів і груп. Втім, на відміну від традиційного +формату роботи SSSD, де усі користувачі і групи або мають атрибути POSIX, +або ці атрибути може бути успадковано з SID Windows, у багатьох випадках +користувачі і групи у сценарії підтримки роботи програм не мають атрибутів +POSIX. Замість визначення розділу +<quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> адміністратор може +визначити розділ +<quote>[application/<replaceable>НАЗВА</replaceable>]</quote>, який на +внутрішньому рівні представляє домен типу <quote>application</quote>, який +може успадковувати параметр з традиційного домену SSSD. + </para> + <para> + Будь ласка, зауважте, що домен програм має так само явним чином увімкнено у +параметрі <quote>domains</quote>, отже порядок пошуку між доменом програм і +його доменом-близнюком у POSIX має бути встановлено належним чином. + </para> + <variablelist> + <title>Параметри доменів програм</title> + <varlistentry> + <term>inherit_from (рядок)</term> + <listitem> + <para> + Домен типу POSIX SSSD, з якого домен програм успадковує усі параметри. Далі, +домен програм поже додавати власні параметри до параметрів програми, які +розширюють або перевизначають параметри домену-<quote>близнюка</quote>. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + </variablelist> + <para> + У наведеному нижче прикладі проілюстровано використання домену програм. У +цій конфігурації домен POSIX з'єднано із сервером LDAP, він використовується +операційною системою через відповідач NSS. Крім того, домен програм також +надсилає запит щодо атрибута telephoneNumber, зберігає його як атрибут phone +у кеші і робить атрибут phone доступним через інтерфейс D-Bus. + </para> +<programlisting> +[sssd] +domains = appdom, posixdom + +[ifp] +user_attributes = +phone + +[domain/posixdom] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +[application/appdom] +inherit_from = posixdom +ldap_user_extra_attrs = phone:telephoneNumber +</programlisting> + </refsect2> + + </refsect1> + + <refsect1 id='trusted-domains'> + <title>РОЗДІЛ ДОВІРЕНИХ ДОМЕНІВ</title> + <para> + Деякі параметри, які використовуються у розділі домену, можна також +використовувати у розділі довіреного домену, тобто у розділі, який +називається +<quote>[domain/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ДОВІРЕНОГО_ДОМЕНУ</replaceable>]</quote>. +Де НАЗВА_ДОМЕНУ є справжнім базовим доменом для долучення. Приклади наведено +нижче. У поточній версії підтримуваними параметрами у розділі довіреного +домену є такі параметри: + </para> + <para>ldap_search_base,</para> + <para>ldap_user_search_base,</para> + <para>ldap_group_search_base,</para> + <para>ldap_netgroup_search_base,</para> + <para>ldap_service_search_base,</para> + <para>ldap_sasl_mech,</para> + <para>ad_server,</para> + <para>ad_backup_server,</para> + <para>ad_site,</para> + <para>use_fully_qualified_names</para> + <para>pam_gssapi_services</para> + <para>pam_gssapi_check_upn</para> + <para> + Докладніший опис цих параметрів можна знайти у окремих описах на сторінці +підручника. + </para> + </refsect1> + + <refsect1 id='certmap'> + <title>РОЗДІЛ ПРИВ'ЯЗКИ СЕРТИФІКАТІВ</title> + <para> + Щоб уможливити розпізнавання за смарткартками та сертифікатами, SSSD повинна +мати можливість пов'язувати сертифікати із записами +користувачів. Забезпечити таку можливість можна додаванням повного +сертифіката до об'єкта LDAP користувача або локальним перевизначенням. Хоча +використання повного сертифіката є обов'язковим для використання можливості +розпізнавання за смарткарткою у (див. <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше), додавання +таких сертифікатів може бути марудною або навіть неможливою справою для +загального випадку, коли локальні служби використовують для розпізнавання +PAM. + </para> + <para> + Для додавання гнучкості прив'язкам у SSSD додано правила прив'язки і +встановлення відповідності (докладніше про це у розділі <citerefentry> +<refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>). + </para> + <para> + Правила пов'язування та відповідності можна додати до налаштувань SSSD у +окремий розділ із назвою, подібною до +<quote>[certmap/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ПРАВИЛА</replaceable>]</quote>. +У цьому розділі можна використовувати такі параметри: + </para> + <variablelist> + <varlistentry> + <term>matchrule (рядок)</term> + <listitem> + <para> + Буде виконано обробку лише тих сертифікатів зі смарткартки, які відповідають +цьому правилу. Усі інші сертифікати буде проігноровано. + </para> + <para> + Типове значення: KRB5:<EKU>clientAuth, тобто лише сертифікати, у яких +Extended Key Usage (розширене використання ключа) дорівнює +<quote>clientAuth</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>maprule (рядок)</term> + <listitem> + <para> + Визначає спосіб пошуку користувача для вказаного сертифіката. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem> + <para>LDAP:(userCertificate;binary={cert!bin}) для заснованих на LDAP надавачів +даних, зокрема <quote>ldap</quote>, <quote>AD</quote> та <quote>ipa</quote>.</para> + </listitem> + <listitem condition="with_files_provider"> + <para>RULE_NAME для надавача даних <quote>files</quote>, який намагається знайти +запис користувача і такою самою назвою.</para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains (рядок)</term> + <listitem> + <para> + Список відокремлених комами назв доменів, до яких слід застосовувати +правило. Типово, правило стосуватиметься лише домену, який налаштовано у +sssd.conf. Якщо для надавача даних передбачено підтримку піддоменів, цей +параметр можна використати і для додавання правила до піддоменів. + </para> + <para> + Типове значення: домен, який налаштовано у sssd.conf + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>priority (ціле число)</term> + <listitem> + <para> + Ціле невід'ємне значення, яке визначає пріоритетність правила. Чим більшим є +значення, тим нижчою є пріоритетність. <quote>0</quote> — найвища +пріоритетність, а <quote>4294967295</quote> — найнижча. + </para> + <para> + Типове значення: найнижча пріоритетність + </para> + </listitem> + </varlistentry> + </variablelist> + <para condition="with_files_provider"> + Щоб спростити налаштовування із зменшити кількість параметрів +налаштовування, у надавачі даних <quote>files</quote> передбачено декілька +спеціальних властивостей: + <itemizedlist> + <listitem> + <para> + якщо не встановлено maprule, припускається, що значенням RULE_NAME є назва +відповідного облікового запису користувача + </para> + </listitem> + <listitem> + <para> + якщо maprule використовує обидва, назву облікового запису окремого +користувача або шаблон, подібний до +<quote>{назва_об'єкта_rfc822.коротка_назва}</quote>, слід брати у дужки, +наприклад <quote>(користувач)</quote> або +<quote>({назва_об'єкта_rfc822.коротка_назва})</quote> + </para> + </listitem> + <listitem> + <para> + параметр <quote>domains</quote> буде проігноровано + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='prompting_configuration'> + <title>РОЗДІЛ НАЛАШТОВУВАННЯ ЗАПИТІВ</title> + <para> + Якщо існує спеціальний файл +(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>), модуль +PAM SSSD pam_sss надсилатиме запит до SSSD для визначення того, які методи +розпізнавання доступні для користувача, який намагається увійти до +системи. На основі отриманих результатів pam_sss надсилатиме запит до +користувача щодо відповідних реєстраційних даних. + </para> + <para> + Зростання кількості способів розпізнавання та можливість того, що для +окремого користувача передбачено декілька способів, призводить до того, що +евристика, яка використовується pam_sss для вибору запиту може не +спрацьовувати в усіх можливих випадках. Підвищення гнучкості системи у таких +випадках мають забезпечити описані нижче параметри. + </para> + <para> + Each supported authentication method has its own configuration subsection +under <quote>[prompting/...]</quote>. Currently there are: <variablelist> + <varlistentry> + <term>[prompting/password]</term> + <listitem> + <para>для налаштовування запиту щодо пароля; дозволені параметри: <variablelist><varlistentry><term>password_prompt</term> + <listitem><para>для зміни рядка запиту пароля</para></listitem></varlistentry></variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> <variablelist> + <varlistentry> + <term>[prompting/2fa]</term> + <listitem> + <para>для налаштовування запитів щодо двофакторного розпізнавання. Можливі +варіанти значень: <variablelist><varlistentry><term>first_prompt</term> + <listitem><para>для зміни рядка запиту для першого фактора </para></listitem> + </varlistentry> + <varlistentry><term>second_prompt</term> + <listitem><para>для зміни рядка запиту для другого фактора </para></listitem> + </varlistentry> + <varlistentry><term>single_prompt</term> + <listitem><para>булеве значення. Якщо True, буде виконано лише один запит із використанням +значення first_prompt. Припускатиметься, що обидва фактори введено як один +рядок. Будь ласка, зауважте, що тут може бути введено обидва фактори, навіть +якщо другий фактор не є обов'язковим.</para></listitem> + </varlistentry> + </variablelist> Якщо другий +фактор є необов'язковим і має бути збережено можливість входу або лише за +паролем, або за двома факторами, має бути використано двокроковий запит. + </para> + </listitem> + </varlistentry> + </variablelist> +<variablelist> + <varlistentry condition="build_passkey"> + <term>[prompting/passkey]</term> + <listitem> + <para>to configure passkey authentication prompting, allowed options are: +<variablelist> + <varlistentry> + <term>interactive</term> + <listitem> + <para>boolean value, if True prompt a message and wait before testing the presence +of a passkey device. Recommended if your device doesn’t have a tactile +trigger. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>interactive_prompt</term> + <listitem> + <para>to change the message of the interactive prompt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch</term> + <listitem> + <para>boolean value, if True prompt a message to remind the user to touch the +device. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch_prompt</term> + <listitem> + <para>to change the message of the touch prompt. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Передбачено можливість додавання підрозділу для специфічних служб PAM, +наприклад <quote>[prompting/password/sshd]</quote>, для окремої зміни запиту +для цієї служби. + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАДИ</title> + <para> + 1. Нижче наведено приклад типових налаштувань SSSD. Налаштування самого +домену не наведено, — щоб дізнатися більше про неї, ознайомтеся з +документацією щодо налаштовування доменів. <programlisting> +[sssd] +domains = LDAP +services = nss, pam +config_file_version = 2 + +[nss] +filter_groups = root +filter_users = root + +[pam] + +[domain/LDAP] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +auth_provider = krb5 +krb5_server = kerberos.example.com +krb5_realm = EXAMPLE.COM +cache_credentials = true + +min_id = 10000 +max_id = 20000 +enumerate = False +</programlisting> + </para> + <para> + 2. У наведеному нижче прикладі показано налаштування довіри AD у IPA, де ліс +AD складається з двох доменів у структурі батьківський-дочірній. Нехай домен +IPA (ipa.com) має стосунки довіри з доменом AD (ad.com). ad.com має дочірній +домен (child.ad.com). Щоб увімкнути скорочені назви у дочірньому домені, +слід скористатися наведеними нижче налаштуваннями. <programlisting> +[domain/ipa.com/child.ad.com] +use_fully_qualified_names = false +</programlisting> + </para> + <para> + 3. The following example shows the configuration of a certificate mapping +rule. It is valid for the configured domain <quote>my.domain</quote> and +additionally for the subdomains <quote>your.domain</quote> and uses the full +certificate in the search filter. <programlisting> +[certmap/my.domain/rule_name] +matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ +maprule = (userCertificate;binary={cert!bin}) +domains = my.domain, your.domain +priority = 10 +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd_krb5_localauth_plugin.8.xml b/src/man/uk/sssd_krb5_localauth_plugin.8.xml new file mode 100644 index 0000000..b329bfe --- /dev/null +++ b/src/man/uk/sssd_krb5_localauth_plugin.8.xml @@ -0,0 +1,68 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_localauth_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_localauth_plugin</refname> + <refpurpose>Додаток для локального уповноваження Kerberos</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + Додаток локального уповноваження Kerberos +<command>sssd_krb5_localauth_plugin</command> використовує libkrb5 для того, +щоб або знайти локальну назву для заданого реєстраційного запису Kerberos, +або для перевірки того, чи задана локальна назва і заданий реєстраційний +запис Kerberos є пов'язаними між собою. + </para> + <para> + SSSD обробляє локальні назви записів користувачів з віддаленого джерела і +може також читати назву реєстраційного запису користувача Kerberos з +віддаленого джерела. На основі цих даних SSSD може дуже просто обробити +згадані вище прив'язки, навіть якщо локальна назва і реєстраційний запис +Kerberos значно відрізняються. + </para> + <para> + Крім того, на основі даних, прочитаних з віддаленого джерела SSSD може +допомогти запобігти неочікуваним або небажаним прив'язкам у випадку, коли +назва запису користувача у реєстраційному записі Kerberos випадково +збігатиметься із локальною назвою запису іншого користувача. Типово, libkrb5 +може просто вилучити з реєстраційного запису Kerberos частину, яку пов'язано +із областю дії, для отримання локальної назви запису, що може призвести у +цьому випадку до помилкових прив'язок. + </para> + </refsect1> + + <refsect1 id='configuration'> + <title>НАЛАШТУВАННЯ</title> + <para> + Додаток локального уповноваження Kerberos має бути явним чином увімкнено у +налаштуваннях Kerberos, див. <citerefentry> +<refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. SSSD автоматично створить фрагмент налаштувань із вмістом, +подібним до такого: <programlisting> +[plugins] + localauth = { + module = sssd:/usr/lib64/sssd/modules/sssd_krb5_localauth_plugin.so + } +</programlisting> у +загальнодоступному каталозі фрагментів налаштувань SSSD Kerberos. Якщо цей +каталог включено до локальних налаштувань Kerberos, додаток буде увімкнено +автоматично. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/uk/sssd_krb5_locator_plugin.8.xml b/src/man/uk/sssd_krb5_locator_plugin.8.xml new file mode 100644 index 0000000..692e1a7 --- /dev/null +++ b/src/man/uk/sssd_krb5_locator_plugin.8.xml @@ -0,0 +1,108 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_locator_plugin</refname> + <refpurpose>Додаток локатора Kerberos</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + Для пошуку KDC для вказаної області Kerberos libkrb5 використовує додаток +пошуку Kerberos <command>sssd_krb5_locator_plugin</command>. SSSD надає +такий додаток для спрямовування усіх клієнтів Kerberos у системі до єдиного +KDC. Загалом, немає значення, з яким KDC клієнт обмінюється даними. Втім, +бувають випадки, наприклад, після зміни пароля, коли не усі KDC перебувають +в одному стані, оскільки нові дані має бути спочатку відтворено на усіх +серверах. Щоб уникнути неочікуваних помилок під час розпізнавання або навіть +блокування облікових записів, варто примусово обмежувати обмін даними до +одного KDC якомога довше. + </para> + <para> + libkrb5 шукатиме додаток пошуку у підкаталозі libkrb5 каталогу додатків +Kerberos, див. plugin_base_dir у <citerefentry> +<refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, щоб дізнатися більше. Додаток можна вимкнути лише +вилученням файла додатка. У налаштуваннях Kerberos не передбачено пунктів +для його вимикання. Втім, для вимикання додатка для окремих команд можна +скористатися змінною середовища SSSD_KRB5_LOCATOR_DISABLE. Крім того, можна +скористатися параметром SSSD krb5_use_kdcinfo=False з метою заборони +створення даних, які потрібні для роботи додатка. Якщо визначити цю змінну, +додаток викликатиметься, але не надаватиме дані функції виклику, отже +libkrb5 зможе повернутися до інших методів, які визначено у krb5.conf. + </para> + <para> + Додаток читає дані щодо KDC вказаної області з файла із назвою +<filename>kdcinfo.REALM</filename>. Цей файл має містити одну або декілька +назв DNS або IP-адрес або у форматі чисел, які відокремлено крапками, IPv4, +або у шістнадцятковому форматі IPv6. Можна додати необов'язковий номер порту +наприкінці, відокремивши його від решти запису двокрапкою. У цьому випадку, +як завжди, адресу IPv6 слід взяти у квадратні дужки. Коректними вважаються +такі записи: + <itemizedlist> + <listitem><para>kdc.example.com</para></listitem> + <listitem><para>kdc.example.com:321</para></listitem> + <listitem><para>1.2.3.4</para></listitem> + <listitem><para>5.6.7.8:99</para></listitem> + <listitem><para>2001:db8:85a3::8a2e:370:7334</para></listitem> + <listitem><para>[2001:db8:85a3::8a2e:370:7334]:321</para></listitem> + </itemizedlist> + Надавач даних розпізнавання krb5 SSSD, який використовується також +надавачами даних IPA та AD, додає до цього файла адресу поточного KDC або +контролера домену, який використовує SSSD. + </para> + <para> + У середовищах із придатними лише для читання або для читання запису KDC, де, +як очікується, клієнти використовуватимуть придатні лише для читання +екземпляри для виконання загальних завдань і користуватиметься призначеними +для запису KDC лише для внесення змін до налаштувань, зокрема зміни паролів, +<filename>kpasswdinfo.REALM</filename> також використовується для визначення +придатних до читання і запису KDC. Якщо цей файл існує для вказаної області, +його вміст буде використано додатком для надання відповідей на запити щодо +сервера kpasswd або kadmin чи щодо певного основного KDC MIT Kerberos. Якщо +адреса містить номер порту, для останньої мети використовуватиметься типовий +порт KDC 88. + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ЗАУВАЖЕННЯ</title> + <para> + Підтримку використання додатків передбачено не у всіх реалізаціях +Kerberos. Якщо у вашій системі немає +<command>sssd_krb5_locator_plugin</command>, вам слід внести зміни до +/etc/krb5.conf, які відповідатимуть вашій версії Kerberos. + </para> + <para> + Якщо встановлено будь-яке значення змінної середовища +SSSD_KRB5_LOCATOR_DEBUG, діагностичні повідомлення надсилатимуться до +stderr. + </para> + <para> + Якщо встановлено будь-яке значення для змінної середовища +SSSD_KRB5_LOCATOR_DISABLE, додаток буде вимкнено і поверне функції виклику +лише KRB5_PLUGIN_NO_HANDLE. + </para> + <para> + Якщо встановлено будь-яке значення змінної середовища +SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES, додаток спробує визначити усі назви +DNS у файлі kdcinfo. Типово, додаток повертає функції виклику +KRB5_PLUGIN_NO_HANDLE негайно після першої ж невдалої спроби визначення DNS. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |