diff options
Diffstat (limited to 'src/man/de')
24 files changed, 2540 insertions, 0 deletions
diff --git a/src/man/de/include/ad_modified_defaults.xml b/src/man/de/include/ad_modified_defaults.xml new file mode 100644 index 0000000..6ee0537 --- /dev/null +++ b/src/man/de/include/ad_modified_defaults.xml @@ -0,0 +1,104 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and AD provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>LDAP Provider</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@REALM (typically SHORTNAME$@REALM) + </para> + <para> + The AD provider looks for a different principal than the LDAP provider by +default, because in an Active Directory environment the principals are +divided into two groups - User Principals and Service Principals. Only User +Principal can be used to obtain a TGT and by default, computer object's +principal is constructed from its sAMAccountName and the AD realm. The +well-known host/hostname@REALM principal is a Service Principal and thus +cannot be used to get a TGT with. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>NSS configuration</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + The AD provider automatically sets "fallback_homedir = /home/%d/%u" to +provide personal home directories for users without the homeDirectory +attribute. If your AD Domain is properly populated with Posix attributes, +and you want to avoid this fallback behavior, you can explicitly set +"fallback_homedir = %o". + </para> + <para> + Note that the system typically expects a home directory in /home/%u +folder. If you decide to use a different directory structure, some other +parts of your system may need adjustments. + </para> + <para> + For example automated creation of home directories in combination with +selinux requires selinux adjustment, otherwise the home directory will be +created with wrong selinux context. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/de/include/autofs_attributes.xml b/src/man/de/include/autofs_attributes.xml new file mode 100644 index 0000000..179f7fe --- /dev/null +++ b/src/man/de/include/autofs_attributes.xml @@ -0,0 +1,66 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (Zeichenkette)</term> + <listitem> + <para> + die Objektklasse eines Automount-Abbildungseintrags in LDAP + </para> + <para> + Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (Zeichenkette)</term> + <listitem> + <para> + der Name eines Automount-Abbildungseintrags in LDAP + </para> + <para> + Default: nisMapName (rfc2307, autofs_provider=ad), otherwise +automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (Zeichenkette)</term> + <listitem> + <para> + The object class of an automount entry in LDAP. The entry usually +corresponds to a mount point. + </para> + <para> + Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (Zeichenkette)</term> + <listitem> + <para> + der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der +Eintrag einem Einhängepunkt. + </para> + <para> + Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (Zeichenkette)</term> + <listitem> + <para> + der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der +Eintrag einem Einhängepunkt. + </para> + <para> + Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/de/include/autofs_restart.xml b/src/man/de/include/autofs_restart.xml new file mode 100644 index 0000000..bcc6868 --- /dev/null +++ b/src/man/de/include/autofs_restart.xml @@ -0,0 +1,6 @@ +<para> + Bitte beachten Sie, dass der Automounter beim Start nur die Master-Abbildung +liest. Daher müssen Sie normalerweise, falls irgendwelche zu Autofs +gehörigen Änderungen in der »sssd.conf« vorgenommen wurden, den +Automounter-Daemon nach dem SSSD-Neustart ebenfalls neu starten. +</para> diff --git a/src/man/de/include/debug_levels.xml b/src/man/de/include/debug_levels.xml new file mode 100644 index 0000000..8ed308b --- /dev/null +++ b/src/man/de/include/debug_levels.xml @@ -0,0 +1,100 @@ +<listitem> + <para> + SSSD unterstützt zwei Darstellungsmodi für die Angabe der Debug-Stufe. Die +einfachste ist die Angabe eines Dezimalwerts von 0 bis 9, welche die +Aktivierung der Meldungen der entsprechenden Stufe und aller niederer Stufen +bewirkt. Eine umfassendere Option ist die Angabe einer hexadezimalen +Bitmaske, um spezifische Stufen zu aktivieren oder zu deaktivieren (wenn Sie +beispielsweise eine Stufe unterdrücken wollen). + </para> + <para> + Please note that each SSSD service logs into its own log file. Also please +note that enabling <quote>debug_level</quote> in the <quote>[sssd]</quote> +section only enables debugging just for the sssd process itself, not for the +responder or provider processes. The <quote>debug_level</quote> parameter +should be added to all sections that you wish to produce debug logs from. + </para> + <para> + In addition to changing the log level in the config file using the +<quote>debug_level</quote> parameter, which is persistent, but requires SSSD +restart, it is also possible to change the debug level on the fly using the +<citerefentry> <refentrytitle>sss_debuglevel</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> tool. + </para> + <para> + derzeit unterstützte Debug-Stufen: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Schwerwiegende +Fehler. Alles was SSSD am Start hindern oder es beenden könnte. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Ernsthafte Fehler. Dies +sind Fehler, bei denen eine bestimmte Anfrage oder Operation fehlgeschlagen +ist. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Kleinere Fehler. Dies +sind Fehler, die von geringerer Bedeutung als die fehlgeschlagenen +Operationen in der Stufe 2 sind. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: +Konfigurationseinstellungen. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Funktionsdaten. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Meldungen aus der +Verfolgung von Operationsfunktionen. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Meldungen aus der +Verfolgung interner Kontrollfunktionen. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Inhalte +funktionsinterner Variablen, die von Interesse sein könnten. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Verfolgungsmeldungen +extrem niederster Ebene. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x20000</emphasis>: Performance and +statistical data, please note that due to the way requests are processed +internally the logged execution time of a request might be longer than it +actually was. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + Um die Debug-Stufen nach Bitmaske zu protokollieren, fügen Sie deren Nummern +hinzu, wie in den folgenden Beispielen gezeigt: + </para> + <para> + <emphasis>Beispiel</emphasis>: Um fatale, kritische, schwerwiegende Fehler +und Funktionsdaten zu protokollieren, benutzen Sie 0x0270. + </para> + <para> + <emphasis>Beispiel</emphasis>: Um fatale Fehler, +Konfigurationseinstellungen, Funktionsdaten und Verfolgungsnachrichten für +interne Steuerfunktionen zu protokollieren, benutzen Sie 0x1310. + </para> + <para> + <emphasis>Hinweis</emphasis>: Das Bitmasken-Format der Debug-Level wurde in +1.7.0 eingeführt. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/de/include/debug_levels_tools.xml b/src/man/de/include/debug_levels_tools.xml new file mode 100644 index 0000000..db3b9d4 --- /dev/null +++ b/src/man/de/include/debug_levels_tools.xml @@ -0,0 +1,80 @@ +<listitem> + <para> + SSSD unterstützt zwei Darstellungsmodi für die Angabe der Debug-Stufe. Die +einfachste ist die Angabe eines Dezimalwerts von 0 bis 9, welche die +Aktivierung der Meldungen der entsprechenden Stufe und aller niederer Stufen +bewirkt. Eine umfassendere Option ist die Angabe einer hexadezimalen +Bitmaske, um spezifische Stufen zu aktivieren oder zu deaktivieren (wenn Sie +beispielsweise eine Stufe unterdrücken wollen). + </para> + <para> + derzeit unterstützte Debug-Stufen: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Schwerwiegende +Fehler. Alles was SSSD am Start hindern oder es beenden könnte. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Ernsthafte Fehler. Dies +sind Fehler, bei denen eine bestimmte Anfrage oder Operation fehlgeschlagen +ist. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Kleinere Fehler. Dies +sind Fehler, die von geringerer Bedeutung als die fehlgeschlagenen +Operationen in der Stufe 2 sind. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: +Konfigurationseinstellungen. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Funktionsdaten. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Meldungen aus der +Verfolgung von Operationsfunktionen. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Meldungen aus der +Verfolgung interner Kontrollfunktionen. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Inhalte +funktionsinterner Variablen, die von Interesse sein könnten. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Verfolgungsmeldungen +extrem niederster Ebene. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + Um die Debug-Stufen nach Bitmaske zu protokollieren, fügen Sie deren Nummern +hinzu, wie in den folgenden Beispielen gezeigt: + </para> + <para> + <emphasis>Beispiel</emphasis>: Um fatale, kritische, schwerwiegende Fehler +und Funktionsdaten zu protokollieren, benutzen Sie 0x0270. + </para> + <para> + <emphasis>Beispiel</emphasis>: Um fatale Fehler, +Konfigurationseinstellungen, Funktionsdaten und Verfolgungsnachrichten für +interne Steuerfunktionen zu protokollieren, benutzen Sie 0x1310. + </para> + <para> + <emphasis>Hinweis</emphasis>: Das Bitmasken-Format der Debug-Level wurde in +1.7.0 eingeführt. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/de/include/failover.xml b/src/man/de/include/failover.xml new file mode 100644 index 0000000..88a73be --- /dev/null +++ b/src/man/de/include/failover.xml @@ -0,0 +1,125 @@ +<refsect1 id='failover'> + <title>AUSFALLSICHERUNG</title> + <para> + Die Ausfallsicherungsfunktionalität ermöglicht es, dass Backends automatisch +auf einen anderen Server wechseln, falls der aktuelle versagt. + </para> + <refsect2 id='failover_syntax'> + <title>AUSFALLSICHERUNGSSYNTAX</title> + <para> + Die Server werden als durch Kommata getrennte Liste angegeben. Um das Komma +herum ist eine beliebige Anzahl von Leerzeichen erlaubt. Die Server werden +in Reihenfolge der Bevorzugung aufgeführt. Die Liste kann eine beliebige +Anzahl von Servern enthalten. + </para> + <para> + Von jeder Konfigurationsoption mit aktivierter Ausfallsicherung existieren +zwei Varianten: <emphasis>primary</emphasis> und +<emphasis>backup</emphasis>. Die Idee dahinter ist, dass Server in der Liste +»primary« bevorzugt werden und nur nach »backup«-Servern gesucht wird, falls +kein »primary«-Server erreichbar ist. Falls ein »backup«-Server ausgewählt +wird, wird eine Dauer von 31 Sekunden bis zur Zeitüberschreitung +festgelegt. Nach dieser Zeit wird SSSD periodisch versuchen, sich mit einem +der primären Server zu verbinden. Ist dies erfolgreich, wird es den derzeit +aktiven (»backup«-)Server ersetzen. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>Der Ausfallsicherungsmechanismus</title> + <para> + Der Ausfallsicherungsmechanismus unterscheidet zwischen einer Maschine und +einem Dienst. Das Backend versucht zuerst, den Rechnernamen der angegebenen +Maschine aufzulösen. Falls dieser Versuch scheitert, wird davon ausgegangen, +dass die Maschine offline ist und sie auch für keinen anderen Dienst zur +Verfügung steht. Kann der den Namen erfolgreich aufgelöst werden, versucht +das Backend, sich mit einem Dienst auf dieser Maschine zu verbinden. Ist das +nicht möglich, dann wird nur dieser bestimmte Dienst als offline angesehen +und das Backend wechselt automatisch weiter zum nächsten. Die Maschine wird +weiterhin als online betrachtet und kann immer noch für andere Dienste +herangezogen werden. + </para> + <para> + Weitere Verbindungsversuche zu Maschinen oder Diensten, die als offline +gekennzeichnet sind, werden erst nach einer angegebenen Zeitspanne +unternommen. Diese ist derzeit hart auf 30 Sekunden codiert. + </para> + <para> + Falls es weitere Maschinen durchzuprobieren gibt, wechselt das Backend als +Ganzes in den Offline-Modus und versucht dann alle 30 Sekunden, sich erneut +zu verbinden. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Failover time outs and tuning</title> + <para> + Resolving a server to connect to can be as simple as running a single DNS +query or can involve several steps, such as finding the correct site or +trying out multiple host names in case some of the configured servers are +not reachable. The more complex scenarios can take some time and SSSD needs +to balance between providing enough time to finish the resolution process +but on the other hand, not trying for too long before falling back to +offline mode. If the SSSD debug logs show that the server resolution is +timing out before a live server is contacted, you can consider changing the +time outs. + </para> + <para> + This section lists the available tunables. Please refer to their description +in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, manual page. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Time in milliseconds that sets how long would SSSD talk to a single DNS +server before trying next one. + </para> + <para> + Voreinstellung: 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Time in seconds to tell how long would SSSD try to resolve single DNS query +(e.g. resolution of a hostname or an SRV record) before trying the next +hostname or discovery domain. + </para> + <para> + Voreinstellung: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + How long would SSSD try to resolve a failover service. This service +resolution internally might include several steps, such as resolving DNS SRV +queries or locating the site. + </para> + <para> + Voreinstellung: 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + For LDAP-based providers, the resolve operation is performed as part of an +LDAP connection operation. Therefore, also the +<quote>ldap_opt_timeout</quote> timeout should be set to a larger value than +<quote>dns_resolver_timeout</quote> which in turn should be set to a larger +value than <quote>dns_resolver_op_timeout</quote> which should be larger +than <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/de/include/homedir_substring.xml b/src/man/de/include/homedir_substring.xml new file mode 100644 index 0000000..0b16de4 --- /dev/null +++ b/src/man/de/include/homedir_substring.xml @@ -0,0 +1,18 @@ +<varlistentry> + <term>homedir_substring (Zeichenkette)</term> + <listitem> + <para> + Der Wert dieser Option wird als Auflösung der Option +<emphasis>override_homedir</emphasis> verwendet, falls die Vorlage die +Formatzeichenkette <emphasis>%H</emphasis> enthält. Ein +LDAP-Verzeichniseintrag kann diese Schablone direkt enthalten, so dass diese +Option zum Auflösen des Pfades zum Home-Verzeichnis für jeden Client-Rechner +(oder Betriebssystem) verwendet werden kann. Sie kann pro-Domain oder global +im Abschnitt [nss] gesetzt werden. Ein im Domain-Abschnitt angegebener Wert +setzt jenen im [nss]-Abschnitt außer Kraft. + </para> + <para> + Voreinstellung: /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/de/include/ipa_modified_defaults.xml b/src/man/de/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..4ad4b45 --- /dev/null +++ b/src/man/de/include/ipa_modified_defaults.xml @@ -0,0 +1,123 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and IPA provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>LDAP Provider - General</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>LDAP Provider - User options</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>LDAP Provider - Group options</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/de/include/krb5_options.xml b/src/man/de/include/krb5_options.xml new file mode 100644 index 0000000..c5533c7 --- /dev/null +++ b/src/man/de/include/krb5_options.xml @@ -0,0 +1,161 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (Ganzzahl)</term> + <listitem> + <para> + Zeitüberschreitung in Sekunden, nach der eine Online-Anfrage zur +Authentifizierung oder Passwortänderung gescheitert ist. Falls möglich, wird +die Authentifizierung offline fortgesetzt. + </para> + <para> + Voreinstellung: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (Boolesch)</term> + <listitem> + <para> + prüft mit Hilfe von »krb5_keytab«, ob das erhaltene TGT keine Täuschung +ist. Die Einträge der Keytab werden der Reihe nach kontrolliert und der +erste Eintrag mit einem passenden Realm wird für die Überprüfung +benutzt. Falls keine Einträge dem Realm entsprechen, wird der letzte Eintrag +der Keytab verwendet. Dieser Prozess kann zur Überprüfung von Umgebungen +mittels Realm-übergreifendem Vertrauen benutzt werden, indem der +dazugehörige Keytab-Eintrag als letzter oder einziger Eintrag in der +Keytab-Datei abgelegt wird. + </para> + <para> + Default: false (IPA and AD provider: true) + </para> + <para> + Please note that the ticket validation is the first step when checking the +PAC (see 'pac_check' in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> manual page for details). If ticket validation is disabled +the PAC checks will be skipped as well. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (Zeichenkette)</term> + <listitem> + <para> + fordert ein erneuerbares Ticket mit einer Gesamtlebensdauer an. Es wird als +Ganzzahl, der direkt eine Zeiteinheit folgt, angegeben: + </para> + <para> + <emphasis>s</emphasis> für Sekunden + </para> + <para> + <emphasis>m</emphasis> für Minuten + </para> + <para> + <emphasis>h</emphasis> für Stunden + </para> + <para> + <emphasis>d</emphasis> für Tage + </para> + <para> + Falls keine Einheit angegeben ist, wird <emphasis>s</emphasis> angenommen. + </para> + <para> + HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die erneuerbare +Lebensdauer auf eineinhalb Stunden zu setzen, verwenden Sie »90m« statt +»1h30m«. + </para> + <para> + Voreinstellung: nicht gesetzt, d.h. das TGT ist nicht erneuerbar. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (Zeichenkette)</term> + <listitem> + <para> + Anforderungsticket mit einer Lebensdauer, angegeben als Ganzzahl, der direkt +eine Zeiteinheit folgt: + </para> + <para> + <emphasis>s</emphasis> für Sekunden + </para> + <para> + <emphasis>m</emphasis> für Minuten + </para> + <para> + <emphasis>h</emphasis> für Stunden + </para> + <para> + <emphasis>d</emphasis> für Tage + </para> + <para> + Falls keine Einheit angegeben ist, wird <emphasis>s</emphasis> angenommen. + </para> + <para> + HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die Lebensdauer auf +eineinhalb Stunden zu setzen, verwenden Sie »90m« statt »1h30m«. + </para> + <para> + Voreinstellung: nicht gesetzt, d.h. die Standardlebenszeit des Tickets auf +der Schlüsselverwaltungszentrale (KDC) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (Zeichenkette)</term> + <listitem> + <para> + die Zeit in Sekunden zwischen zwei Prüfungen, ob das TGT erneuert werden +soll. TGTs werden erneuert, wenn ungefähr die Hälfte ihrer Lebensdauer +überschritten ist. Sie wird als Ganzzahl, der unmittelbar eine Zeiteinheit +folgt, angegeben: + </para> + <para> + <emphasis>s</emphasis> für Sekunden + </para> + <para> + <emphasis>m</emphasis> für Minuten + </para> + <para> + <emphasis>h</emphasis> für Stunden + </para> + <para> + <emphasis>d</emphasis> für Tage + </para> + <para> + Falls keine Einheit angegeben ist, wird <emphasis>s</emphasis> angenommen. + </para> + <para> + HINWEIS: Es ist nicht möglich, Einheiten zu mixen. Um die erneuerbare +Lebensdauer auf eineinhalb Stunden zu setzen, verwenden Sie »90m« statt +»1h30m«. + </para> + <para> + Falls diese Option nicht oder auf 0 gesetzt ist, wird die automatische +Erneuerung deaktiviert. + </para> + <para> + Voreinstellung: nicht gesetzt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (Boolesch)</term> + <listitem> + <para> + gibt an, ob der Rechner und User-Principal in die kanonische Form gebracht +werden sollen. Diese Funktionalität ist mit MIT-Kerberos 1.7 und neueren +Versionen verfügbar. + </para> + + <para> + Voreinstellung: »false« + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/de/include/ldap_id_mapping.xml b/src/man/de/include/ldap_id_mapping.xml new file mode 100644 index 0000000..e4e5add --- /dev/null +++ b/src/man/de/include/ldap_id_mapping.xml @@ -0,0 +1,294 @@ +<refsect1 id='idmap'> + <title>ID-ABBILDUNG</title> + <para> + Die ID-Abbildungsfunktionalität ermöglicht es SSSD, als Client eines Active +Directorys zu agieren, ohne dass Administratoren Benutzerattribute erweitern +müssen, damit POSIX-Attribute für Benutzer- und Gruppenkennzeichner +unterstützt werden. + </para> + <para> + HINWEIS: Wenn ID-Abbildung aktiviert ist, werden die Attribute »uidNumber« +und »gidNumber« ignoriert. Dies geschieht, um mögliche Konflikte zwischen +automatisch und manuell zugewiesenen Werten zu vermeiden. Falls Sie manuell +zugewiesene Werte benutzen müssen, müssen Sie ALLE Werte manuell zuweisen. + </para> + <para> + Bitte beachten Sie, dass die Änderung der die ID-Abbildung betreffenden +Konfigurationsoptionen auch die Änderung der Benutzer- und Gruppen-IDs nach +sich zieht. Momentan unterstützt SSSD die Änderung der IDs nicht, daher muss +die Datenbank entfernt werden. Da auch zwischengespeicherte Passwörter in +der Datenbank enthalten sind, sollte diese nur entfernt werden, während die +Authentifizierungsserver erreichbar sind, anderenfalls könnten Benutzer +ausgesperrt werden. Um das Passwort zwischenzuspeichern, muss eine +Authentifizierung ausgeführt werden. Es reicht nicht aus, <citerefentry> +<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry> zum Löschen der Datenbank auszuführen, vielmehr sind +folgende Schritte erforderlich: + <itemizedlist> + <listitem> + <para> + Stellen Sie sicher, dass entfernte Server erreichbar sind. + </para> + </listitem> + <listitem> + <para> + Stoppen Sie den SSSD-Dienst. + </para> + </listitem> + <listitem> + <para> + Entfernen Sie die Datenbank. + </para> + </listitem> + <listitem> + <para> + Starten Sie den SSSD-Dienst. + </para> + </listitem> + </itemizedlist> + Außerdem ist es ratsam, vorauszuplanen und die ID-Abbildung gründlich zu +testen, da die Änderung der IDs Änderungen anderer Systemeigenschaften nach +sich ziehen könnte, wie die Besitzverhältnisse von Dateien und +Verzeichnissen. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Abbildungsalgorithmus</title> + <para> + Active Directory stellt für jedes Benutzer- und Gruppenobjekt im Verzeichnis +eine »objectSID« bereit. Diese »objectSID« kann in Bestandteile zerlegt +werden, die die Active-Directory-Domain-Identität und den relativen +Bezeichner (RID) des Benutzer- oder Gruppenobjekts darstellen. + </para> + <para> + Der ID-Abbildungsalgorithmus von SSSD nimmt einen Bereich verfügbarer UIDs +und teilt sie in gleich große Bestandteile, »Slices« genannt. Jeder Slice +steht für den verfügbaren Speicher einer Active-Directory-Domain. + </para> + <para> + Wenn ein Benutzer- oder Gruppeneintrag für eine bestimmt Domain zum ersten +Mal vorgefunden wird, reserviert der SSSD einen der verfügbaren Slices für +diese Domain. Um eine Slice-Zuteilung auf verschiedenen Client-Maschinen +wiederholbar zu machen, wählen wir den Slice, der auf dem folgenden +Algorithmus basiert: + </para> + <para> + Die Zeichenkette durchläuft den Algorithmus Murmurhash3, um sie in einen +32-Bit-Hash-Wert umzuwandeln. Dann wird der Betrag dieses Werts mit der +Gesamtzahl verfügbarer Slices genommen, um den Slice auszusuchen. + </para> + <para> + HINWEIS: Es ist möglich, dass Kollisionen zwischen dem Hash und +nachfolgenden Beträgen auftreten. In diesen Situationen werden wir den +nächsten verfügbaren Slice auswählen, aber es ist wahrscheinlich nicht +möglich, den genau gleichen Satz von Slices auf anderen Maschinen zu +reproduzieren (da die Reihenfolge, in der sie vorgefunden werden, ihren +Slice bestimmt). In dieser Situtation wird empfohlen, entweder auf die +Verwendung expliziter POSIX-Attribute in Active Directory zu wechseln +(ID-Abbildung deaktivieren) oder eine Standard-Domain zu konfigurieren, um +sicherzustellen, dass wenigstens eine immer beständig ist. Einzelheiten +finden Sie unter »Konfiguration«. + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Konfiguration</title> + <para> + Minimalkonfiguration (im Abschnitt »[domain/DOMAINNAME]«): + </para> + <para> +<programlisting> +ldap_id_mapping = True +ldap_schema = ad +</programlisting> + </para> + <para> + The default configuration results in configuring 10,000 slices, each capable +of holding up to 200,000 IDs, starting from 200,000 and going up to +2,000,200,000. This should be sufficient for most deployments. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Fortgeschrittene Konfiguration</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (Ganzzahl)</term> + <listitem> + <para> + Specifies the lower (inclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +can be used for the mapping. + </para> + <para> + HINWEIS: Diese Option unterscheidet sich von »min_id«, wobei »min_id« als +Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese +Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner +Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »min_id« +kleiner oder gleich »ldap_idmap_range_min« sein sollte. + </para> + <para> + Voreinstellung: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (Ganzzahl)</term> + <listitem> + <para> + Specifies the upper (exclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +cannot be used for the mapping anymore, i.e. one larger than the last one +which can be used for the mapping. + </para> + <para> + HINWEIS: Diese Option unterscheidet sich von »max_id« wobei »max_id« als +Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese +Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner +Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »max_id« +größer oder gleich »ldap_idmap_range_max« sein sollte. + </para> + <para> + Voreinstellung: 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (Ganzzahl)</term> + <listitem> + <para> + gibt die Anzahl der für jeden Slice verfügbaren IDs an. Falls sich die +Bereichsgröße nicht gleichmäßig in die minimalen und maximalen Werte teilen +lässt, werden so viele komplette Slices wie möglich erstellt. + </para> + <para> + HINWEIS: Der Wert dieser Option muss mindestens so groß sein wie die größte +Benutzer-RID, die jemals auf dem Active-Directory-Server verwendet werden +soll. Das Nachschlagen und Anmelden von Benutzern wird scheitern, wenn deren +RIDs größer sind als dieser Wert. + </para> + <para> + For example, if your most recently-added Active Directory user has +objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +<quote>ldap_idmap_range_size</quote> must be at least 1108 as range size is +equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1). + </para> + <para> + Es ist wichtig, für spätere Erweiterungen vorauszuplanen, da die Änderung +dieses Wertes zur Änderung aller ID-Abbildungen des Systems führt. Dadurch +können Benutzer andere lokale IDs als vorher haben. + </para> + <para> + Voreinstellung: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (Zeichenkette)</term> + <listitem> + <para> + gibt die Domain-SID der Standard-Domain an. Dies wird sicherstellen, dass +diese Domain immer dem Slice null im ID-Abbild zugeordnet wird. Dabei wird +der oben beschriebene Murmurhash-Algorithmus umgangen. + </para> + <para> + Voreinstellung: nicht gesetzt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (Zeichenkette)</term> + <listitem> + <para> + gibt den Namen der Standard-Domain an. + </para> + <para> + Voreinstellung: nicht gesetzt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (Boolesch)</term> + <listitem> + <para> + ändert das Verhalten des ID-Abbildungsalgorithmus so, dass es dem +Algorithmus »idmap_autorid« von Winbind ähnlicher ist. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + HINWEIS: Der Algorithmus ist nicht deterministisch (er hängt von der +Reihenfolge ab, in der Benutzer und Gruppen abgefragt werden). Falls dieser +Modus aus Kompatibilitätsgründen mit Maschinen, die Winbind ausführen, +erforderlich ist, wird empfohlen, auch die Option +»ldap_idmap_default_domain_sid« zu verwenden. Dies soll sicherstellen, dass +mindestens eine Domain beständig für den Slice null reserviert ist. + </para> + <para> + Voreinstellung: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (integer)</term> + <listitem> + <para> + Maximal number of secondary slices that is tried when performing mapping +from UNIX id to SID. + </para> + <para> + Note: Additional secondary slices might be generated when SID is being +mapped to UNIX id and RID part of SID is out of range for secondary slices +generated so far. If value of ldap_idmap_helper_table_size is equal to 0 +then no additional secondary slices are generated. + </para> + <para> + Voreinstellung: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>Bekannte Sicherheits-IDs</title> + <para> + SSSD unterstützt das Nachschlagen der Namen sogenannter bekannter +Sicherheits-IDs, die eine spezielle unveränderliche Bedeutung haben. Da +generische Benutzer und Gruppen, die sich auf diese bekannten SIDs beziehen, +keine Entsprechung in einer Linux/UNIX-Umgebung haben, sind für diese +Objekte keine POSIX-IDs verfügbar. + </para> + <para> + Der SID-Namensraum ist in Autoritäten organisiert, die als unterschiedliche +Domains betrachtet werden können. Die Autoritäten für die bekannten SIDs +sind + <itemizedlist> + <listitem><para>Null-Autorität (Null Authority)</para></listitem> + <listitem><para>Weltweit anerkannte Autorität (World Authority)</para></listitem> + <listitem><para>Lokale Autorität (Local Authority)</para></listitem> + <listitem><para>Ersteller-Autorität (Creator Authority)</para></listitem> + <listitem><para>Mandatory Label Authority</para></listitem> + <listitem><para>Authentication Authority</para></listitem> + <listitem><para>NT-Autorität (NT Authority)</para></listitem> + <listitem><para>Eingebaut</para></listitem> + </itemizedlist> + Die mit großem Anfangsbuchstaben geschriebenen Versionen dieser Namen werden +als Domainnamen verwendet, wenn der voll qualifizierte Name einer bekannten +Sicherheits-ID zurückgegeben wird. + </para> + <para> + Since some utilities allow to modify SID based access control information +with the help of a name instead of using the SID directly SSSD supports to +look up the SID by the name as well. To avoid collisions only the fully +qualified names can be used to look up Well-Known SIDs. As a result the +domain names <quote>NULL AUTHORITY</quote>, <quote>WORLD AUTHORITY</quote>, +<quote>LOCAL AUTHORITY</quote>, <quote>CREATOR AUTHORITY</quote>, +<quote>MANDATORY LABEL AUTHORITY</quote>, <quote>AUTHENTICATION +AUTHORITY</quote>, <quote>NT AUTHORITY</quote> and <quote>BUILTIN</quote> +should not be used as domain names in <filename>sssd.conf</filename>. + </para> + </refsect2> + +</refsect1> diff --git a/src/man/de/include/ldap_search_bases.xml b/src/man/de/include/ldap_search_bases.xml new file mode 100644 index 0000000..40e2db9 --- /dev/null +++ b/src/man/de/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ +<listitem> + <para> + ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, +um die LDAP-Suchen für diesen Attributtyp einzuschränken. + </para> + <para> + Syntax: <programlisting> +search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*] +</programlisting> + </para> + <para> + Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die +Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf +http://tools.ietf.org/html/rfc4511 angegeben. + </para> + <para> + Der Filter muss ein gültiger LDAP-Suchfilter, wie durch +http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein. + </para> + <para> + Beispiele für diese Syntax finden Sie im Beispielabschnitt von +»ldap_search_base«. + </para> + <para> + Voreinstellung: der Wert von <emphasis>ldap_search_base</emphasis> + </para> + <para> + Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht +beim Suchen auf einem Active-Directory-Server unterstützt wird, der +möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der +Antwort die Erweiterung »Range Retrieval« auslösen könnte. + </para> +</listitem> diff --git a/src/man/de/include/local.xml b/src/man/de/include/local.xml new file mode 100644 index 0000000..6b9a688 --- /dev/null +++ b/src/man/de/include/local.xml @@ -0,0 +1,18 @@ +<refsect1 id='local'> + <title>DIE LOKALE DOMAIN</title> + <para> + Für korrektes Funktionieren muss eine Domain mit »id_provider=local« +erstellt sein und SSSD muss laufen. + </para> + <para> + Möglicherweise möchte der Administrator in Fällen, in denen +Gruppenverschachtelung (siehe <citerefentry> +<refentrytitle>sss_groupadd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>) benötigt wird, lokale Benutzer anstelle traditioneller +UNIX-Benutzer verwenden. Die lokalen Benutzer sind auch für das Testen und +Entwickeln von SSSD nützlich, ohne dass ein vollständiger ferner Server +bereitgestellt werden muss. Die <command>sss_user*</command>- und +<command>sss_group*</command>-Werkzeuge benutzen einen lokalen LDB-Speicher, +um Benutzer und Gruppen abzulegen. + </para> +</refsect1> diff --git a/src/man/de/include/override_homedir.xml b/src/man/de/include/override_homedir.xml new file mode 100644 index 0000000..ab858d5 --- /dev/null +++ b/src/man/de/include/override_homedir.xml @@ -0,0 +1,79 @@ +<varlistentry> +<term>override_homedir (Zeichenkette)</term> +<listitem> + <para> + setzt das Home-Verzeichnis des Benutzers außer Kraft. Sie können entweder +einen absoluten Wert oder eine Schablone bereitstellen. In der Schablone +werden die folgenden Sequenzen ersetzt: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>Anmeldename</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>UID-Nummer</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>Domain-Name</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>voll qualifizierter Benutzername (Benutzer@Domain)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>The first letter of the login name.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN - User Principal Name (name@REALM)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + das Original-Home-Verzeichnis, das vom Identitätsanbieter geholt wurde + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + The original home directory retrieved from the identity provider, but in +lower case. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + Der Wert der Konfigurationsoption <emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>ein buchstäbliches »%«</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Diese Option kann auch pro Domain gesetzt werden. + </para> + <para> + Beispiel: <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + Voreinstellung: nicht gesetzt (SSSD wird den von LDAP geholten Wert +benutzen) + </para> + <para> + Please note, the home directory from a specific override for the user, +either locally (see +<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) or centrally managed IPA +id-overrides, has a higher precedence and will be used instead of the value +given by override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/de/include/param_help.xml b/src/man/de/include/param_help.xml new file mode 100644 index 0000000..d6b147f --- /dev/null +++ b/src/man/de/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + zeigt den Hilfetext und beendet sich. + </para> + </listitem> +</varlistentry> diff --git a/src/man/de/include/param_help_py.xml b/src/man/de/include/param_help_py.xml new file mode 100644 index 0000000..57fd0ef --- /dev/null +++ b/src/man/de/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + zeigt den Hilfetext und beendet sich. + </para> + </listitem> +</varlistentry> diff --git a/src/man/de/include/seealso.xml b/src/man/de/include/seealso.xml new file mode 100644 index 0000000..8ffc59f --- /dev/null +++ b/src/man/de/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>SIEHE AUCH</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/de/include/service_discovery.xml b/src/man/de/include/service_discovery.xml new file mode 100644 index 0000000..5a2dbbc --- /dev/null +++ b/src/man/de/include/service_discovery.xml @@ -0,0 +1,43 @@ +<refsect1 id='service_discovery'> + <title>DIENSTSUCHE</title> + <para> + Die Dienstsuchfunktionalität ermöglicht es Backends, automatisch mit Hilfe +einer speziellen DNS-Abfrage geeignete Server zu suchen, mit denen sie sich +verbinden können. Diese Funktionalität wird nicht für Datensicherungs-Server +unterstützt. + </para> + <refsect2 id='configuration'> + <title>Konfiguration</title> + <para> + Falls keine Server angegeben wurden, benutzt das Backend die Dienstsuche, um +einen Server zu finden. Wahlweise kann der Benutzer sowohl feste +Server-Adressen als auch die Dienstsuche durch Eingabe des speziellen +Schlüsselworts »_srv_« in der Server-Liste auswählen. Die bevorzugte +Reihenfolge wird verwaltet. Diese Funktionalität ist zum Beispiel nützlich, +falls der Anwender es vorzieht, die Dienstsuche zu verwenden, wann immer +dies möglich ist, und auf einen bestimmten Server zurückzugreifen, wenn +mittels DNS keine Server gefunden werden. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>Der Domain-Name</title> + <para> + Weitere Einzelheiten finden Sie in der Handbuchseite <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> beim Parameter »dns_discovery_domain«. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>Das Protokoll</title> + <para> + Die Abfragen geben als Protokoll üblicherweise »_tcp« an. Ausnahmen sind in +der Beschreibung der entsprechenden Option dokumentiert. + </para> + </refsect2> + <refsect2 id='reference'> + <title>Siehe auch</title> + <para> + Weitere Informationen über den Dienstsuchmechanismus finden Sie in RFC 2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/de/include/upstream.xml b/src/man/de/include/upstream.xml new file mode 100644 index 0000000..2a4ad16 --- /dev/null +++ b/src/man/de/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>The SSSD upstream - +https://github.com/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/de/sss_obfuscate.8.xml b/src/man/de/sss_obfuscate.8.xml new file mode 100644 index 0000000..a11a199 --- /dev/null +++ b/src/man/de/sss_obfuscate.8.xml @@ -0,0 +1,97 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>verschleiert ein Klartextpasswort</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>Optionen</replaceable> </arg> <arg +choice='plain'><replaceable>[PASSWORT]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + <command>sss_obfuscate</command> wandelt ein angegebenes Passwort in ein von +Menschen nicht lesbares Format um und legt es in einem geeigneten +Domain-Abschnitt der SSSD-Konfigurationsdatei ab. + </para> + <para> + Das Klartextpasswort wird von der Standardeingabe gelesen oder interaktiv +eingegeben. Das verschleierte Passwort wird in den Parameter +»ldap_default_authtok« einer angegebenen SSSD-Domain abgelegt und der +Parameter »ldap_default_authtok_type« wird auf »obfuscated_password« +gesetzt. Weitere Einzelheiten über diese Parameter finden Sie unter +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Bitte beachten Sie, dass das Verschleiern von Passwörtern <emphasis>keinen +wirklichen Sicherheitsgewinn</emphasis> bietet, da es einem Angreifer immer +noch möglich ist, das Passwort wieder herzuleiten. Es wird +<emphasis>dringend</emphasis> geraten, bessere Authentifizierungsmechanismen +wie Client-seitige Zertifikate oder GSSAPI zu verwenden. + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONEN</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + Das Passwort, das verschleiert werden soll, wird von der Standardeingabe +gelesen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + die SSSD-Domain, in der das Passwort benutzt wird. Der Standardname ist +»default«. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> <replaceable>DATEI</replaceable> + </term> + <listitem> + <para> + liest die durch den Positionsparameter angegebene Konfigurationsdatei. + </para> + <para> + Voreinstellung: <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/de/sss_seed.8.xml b/src/man/de/sss_seed.8.xml new file mode 100644 index 0000000..878f6a8 --- /dev/null +++ b/src/man/de/sss_seed.8.xml @@ -0,0 +1,169 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>füllt den SSSD-Zwischenspeicher mit einem Benutzer</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>Optionen</replaceable> </arg> <arg choice='plain'>-D +<replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n +<replaceable>BENUTZER</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + <command>sss_seed</command> füllt den SSSD-Zwischenspeicher mit einem +Benutzereintrag und einem temporären Passwort. Falls bereits ein +Benutzereintrag im SSSD-Zwischenspeicher vorhanden ist, wird der Eintrag mit +dem temporären Passwort aktualisiert. + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONEN</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + stellt den Namen der Doamin bereit, in der der Benutzer Mitglied ist. Die +Domain wird auch zur Abfrage von Benutzerinformationen verwendet. Sie muss +in der »sssd.conf« konfiguriert sein. Die Option +<replaceable>DOMAIN</replaceable> muss bereitgestellt werden. Von der Domain +geholte Informationen setzen das, was in den Optionen bereitgestellt wurde, +außer Kraft. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>BENUTZER</replaceable> + </term> + <listitem> + <para> + der Benutzername des Eintrags, der im Zwischenspeicher erstellt oder +verändert werden soll. Die Option <replaceable>BENUTZER</replaceable> muss +bereitgestellt werden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable> + </term> + <listitem> + <para> + setzt die UID des Benutzers auf <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + setzt die GID des Benutzers auf <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>KOMMENTAR</replaceable> + </term> + <listitem> + <para> + irgendeine Zeichenkette, die den Benutzer beschreibt. Dieses Feld wird oft +für den vollständigen Namen des Benutzers verwendet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>HOME_VERZ</replaceable> + </term> + <listitem> + <para> + setzt das Home-Verzeichnis des Benutzers auf +<replaceable>HOME_VERZ</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> +<replaceable>SHELL</replaceable> + </term> + <listitem> + <para> + setzt die Anmelde-Shell des Benutzers auf <replaceable>SHELL</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + interaktiver Modus zur Eingabe von Benutzerinformationen. Diese Option wird +nur nach Informationen fragen, die nicht von den Optionen bereitgestellt +oder in der Domain geholt werden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>PASSWORTDATEI</replaceable> + </term> + <listitem> + <para> + gibt die Datei an, aus der das Passwort des Benutzers gelesen wird (ist es +nicht angegeben, wird nach dem Passwort gefragt). + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>ANMERKUNGEN</title> + <para> + Die Länge des Passworts (oder die Größe der mit der Option -p oder +--password-file angegebenen Datei) muss kleiner oder gleich PASS_MAX Byte +sein (64 Byte auf Systemen ohne global definiertem Wert für PASS_MAX). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/de/sss_ssh_knownhostsproxy.1.xml b/src/man/de/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..ea5c8b8 --- /dev/null +++ b/src/man/de/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,107 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_knownhostsproxy</refname> + <refpurpose>holt OpenSSH-Rechnerschlüssel</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> +<replaceable>Optionen</replaceable> </arg> <arg +choice='plain'><replaceable>RECHNER</replaceable></arg> <arg +choice='opt'><replaceable>PROXY_BEFEHL</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + <command>sss_ssh_knownhostsproxy</command> acquires SSH host public keys for +host <replaceable>HOST</replaceable>, stores them in a custom OpenSSH +known_hosts file (see the <quote>SSH_KNOWN_HOSTS FILE FORMAT</quote> section +of <citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> for more information) +<filename>/var/lib/sss/pubconf/known_hosts</filename> and establishes the +connection to the host. + </para> + <para> + Falls ein <replaceable>PROXY_BEFEHL</replaceable> angegeben wurde, wird er +zum Erstellen der Verbindung mit dem Rechner benutzt, anstatt ein Socket zu +öffnen. + </para> + <para> + <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> kann durch Verwendung der folgenden +Richtlinien für die Konfiguration von +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> so eingerichtet werden, dass es +<command>sss_ssh_knownhostsproxy</command> zur Authentifizierung des +Rechnerschlüssels benutzt: <programlisting> +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts +</programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONEN</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable> + </term> + <listitem> + <para> + benutzt Port <replaceable>PORT</replaceable> zur Verbindung mit dem +Rechner. Standardmäßig wird Port 22 verwendet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + sucht in der SSSD-Domain nach <replaceable>DOMAIN</replaceable> öffentlichen +Schlüsseln für den Rechner. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-k</option>,<option>--pubkey</option> + </term> + <listitem> + <para> + Print the host ssh public keys for host <replaceable>HOST</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>EXIT-STATUS</title> + <para> + Im Erfolgsfall ist der Rückgabewert 0, andernfalls wird 1 zurückgegeben. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/de/sssd-krb5.5.xml b/src/man/de/sssd-krb5.5.xml new file mode 100644 index 0000000..7cf1d1a --- /dev/null +++ b/src/man/de/sssd-krb5.5.xml @@ -0,0 +1,461 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-krb5</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Dateiformate und Konventionen</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-krb5</refname> + <refpurpose>SSSD Kerberos-Anbieter</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + Diese Handbuchseite beschreibt die Konfiguration des +Authentifizierungs-Backends Kerberos 5 für <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Eine ausführliche Syntax-Referenz finden Sie im Abschnitt +»DATEIFORMAT« der Handbuchseite <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Das Authentifizierungs-Backend Kerberos 5 enthält Authentifizierungs- und +Chpass-Anbieter. Es muss mit einem Identitätsanbieter verbunden werden, +damit es sauber läuft (zum Beispiel »id_provider = ldap«). Einige vom +Kerberos-5-Authentifizierungs-Backend benötigten Informationen wie der +»Kerberos Principal Name« (UPN) des Benutzers müssen durch den +Identitätsanbieter bereitgestellt werden. Die Konfiguration des +Identitätsanbieters sollte einen Eintrag haben, der den UPN +angibt. Einzelheiten, wie dies konfiguriert wird, finden Sie in der +Handbuchseite des entsprechenden Identitätsanbieters. + </para> + <para> + This backend also provides access control based on the .k5login file in the +home directory of the user. See <citerefentry> +<refentrytitle>k5login</refentrytitle><manvolnum>5</manvolnum> +</citerefentry> for more details. Please note that an empty .k5login file +will deny all access to this user. To activate this feature, use +'access_provider = krb5' in your SSSD configuration. + </para> + <para> + Im Fall, dass UPN nicht im Identitäts-Backend verfügbar ist, wird +<command>sssd</command> mittels des Formats +<replaceable>Benutzername</replaceable>@<replaceable>Krb5_Realm</replaceable> +einen UPN konstruieren. + </para> + + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSOPTIONEN</title> + <para> + Falls das Authentifizierungsmodul Krb5 in einer SSSD-Domain benutzt wird, +müssen die folgenden Optionen verwendet werden. Einzelheiten über die +Konfiguration einer SSSD-Domain finden Sie im Abschnitt »DOMAIN-ABSCHNITTE« +der Handbuchseite <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. <variablelist> + <varlistentry> + <term>krb5_server, krb5_backup_server (Zeichenkette)</term> + <listitem> + <para> + gibt eine durch Kommata getrennte Liste von IP-Adressen oder Rechnernamen +der Kerberos-Server in der Reihenfolge an, in der sich SSSD mit ihnen +verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz +finden Sie im Abschnitt »AUSFALLSICHERUNG«. An die Adressen oder +Rechnernamen kann eine optionale Portnummer (der ein Doppelpunkt +vorangestellt ist) angehängt werden. Falls dies leer gelassen wurde, wird +die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt +»DIENSTSUCHE«. + </para> + <para> + Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder +Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, +die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf +_tcp aus. + </para> + <para> + Diese Option hieß in früheren Veröffentlichungen von SSSD +»krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird +Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von +»krb5_server« zu migrieren. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (Zeichenkette)</term> + <listitem> + <para> + der Name des Kerberos-Realms. Diese Option wird benötigt und muss angegeben +werden. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kpasswd, krb5_backup_kpasswd (Zeichenkette)</term> + <listitem> + <para> + Falls der Dienst zum Ändern von Passwörtern auf der +Schlüsselverwaltungszentrale (KDC) nicht läuft, können hier alternative +Server definiert werden. An die Adressen oder Rechnernamen kann eine +optionale Portnummer (der ein Doppelpunkt vorangestellt ist) angehängt +werden. + </para> + <para> + Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im +Abschnitt »AUSFALLSICHERUNG«. HINWEIS: Selbst wenn es keine weiteren +»kpasswd«-Server mehr auszuprobieren gibt, wird das Backend nicht offline +gehen, da eine Authentifizierung gegen die Schlüsselverwaltungszentrale +(KDC) immer noch möglich ist. + </para> + <para> + Voreinstellung: KDC benutzen + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccachedir (Zeichenkette)</term> + <listitem> + <para> + Das Verzeichnis zum Ablegen von Anmeldedaten-Zwischenspeichern. Alle +Ersetzungssequenzen von krb5_ccname_template können hier auch verwendet +werden, außer %d und %P. Das Verzeichnis wird als privat angelegt und ist +Eigentum des Benutzers. Die Zugriffsrechte werden auf 0700 gesetzt. + </para> + <para> + Voreinstellung: /tmp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccname_template (Zeichenkette)</term> + <listitem> + <para> + Der Ort für die Zwischenspeicherung der Anmeldedaten des Benutzers. Drei +Zwischenspeichertypen werden derzeit unterstützt: <quote>FILE</quote>, +<quote>DIR</quote> und <quote>KEYRING:persistent</quote>. Der +Zwischenspeicher kann entweder als <replaceable>TYP:REST</replaceable> oder +als absoluter Pfad angegeben werden, wobei Letzteres den Typ +<quote>FILE</quote> beinhaltet. In der Schablone werden die folgenden +Sequenzen ersetzt: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>Anmeldename</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>Anmelde-UID</para></listitem> + </varlistentry> + <varlistentry> + <term>%p</term> + <listitem><para>Principal-Name</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%r</term> + <listitem><para>Realm-Name</para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para>Home-Verzeichnis</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>Wert von krb5_ccachedir + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>die Prozess-ID des SSSD-Clients</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>ein buchstäbliches »%«</para> + </listitem> + </varlistentry> + </variablelist> Falls die +Vorlage mit »XXXXXX« endet, wird mkstemp(3) verwendet, um auf sichere Weise +einen eindeutigen Dateinamen zu erzeugen. + </para> + <para> + Wenn der KEYRING-Typ verwendet wird, ist +<quote>KEYRING:persistent:%U</quote> der einzige unterstützte +Mechanismus. Hierfür wird der Schlüsselbund des Linux-Kernels zum Speichern +der Anmeldedaten getrennt nach Benutzer-IDs verwendet. Dies wird auch +empfohlen, da es die sicherste und vorausberechenbarste Methode ist. + </para> + <para> + Der Vorgabewert für den Anmeldedaten-Zwischenspeicher wird aus dem im +Abschnitt [libdefaults] der Datei krb5.conf enthaltenen Profil der +systemweiten Konfiguration bezogen. Der Name der Option ist +default_ccache_name. Im Abschnitt PARAMETER EXPANSION der Handbuchseite zu +krb5.conf(5) finden Sie zusätzliche Informationen zu dem in krb5.conf +definierten Format. + </para> + <para> + NOTE: Please be aware that libkrb5 ccache expansion template from +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> uses different expansion sequences +than SSSD. + </para> + <para> + Voreinstellung: (aus libkrb5) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_keytab (Zeichenkette)</term> + <listitem> + <para> + der Speicherort der Keytab, der bei der Überprüfung von Berechtigungen +benutzt wird, die von Schlüsselverwaltungszentralen (KDCs) stammen. + </para> + <para> + Voreinstellung: Keytab des Systems, normalerweise +<filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_store_password_if_offline (Boolesch)</term> + <listitem> + <para> + speichert das Passwort des Benutzers, falls der Anbieter offline ist, und +benutzt es zur Abfrage des TGTs, wenn der Anbieter wieder online geht. + </para> + <para> + HINWEIS: Diese Funktionalität ist nur auf Linux verfügbar. Passwörter, die +auf diese Weise gespeichert wurden, werden im Klartext im Schlüsselbund des +Kernels aufbewahrt. Darauf kann unter Umständen (mit Mühe) durch den +Benutzer Root zugegriffen werden. + </para> + <para> + Voreinstellung: »false« + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_fast (Zeichenkette)</term> + <listitem> + <para> + Schaltet das flexible Authentifizierungs-Sicherheits-Tunneln (FAST) für die +Vorauthentifizierung von Kerberos ein. Die folgenden Optionen werden +unterstützt: + </para> + <para> + <emphasis>never</emphasis>: FAST wird nie benutzt. Dies ist so, als ob diese +Einstellung gar nicht gemacht würde. + </para> + <para> + <emphasis>try</emphasis>: Es wird versucht, FAST zu benutzen. Falls der +Server kein FAST unterstützt, fährt die Authentifizierung ohne fort. + </para> + <para> + <emphasis>demand</emphasis>: Fragt nach, ob FAST benutzt werden soll. Die +Authentifizierung schlägt fehl, falls der Server kein FAST erfordert. + </para> + <para> + Voreinstellung: nicht gesetzt, d.h. FAST wird nicht benutzt + </para> + <para> + NOTE: a keytab or support for anonymous PKINIT is required to use FAST. + </para> + <para> + HINWEIS: SSSD unterstützt FAST nur mit MIT-Kerberos-Version 1.8 und +neuer. Falls SSSD mit einer älteren Version von MIT-Kerberos benutzt wird, +ist die Verwendung dieser Option ein Konfigurationsfehler. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_principal (Zeichenkette)</term> + <listitem> + <para> + gibt den Server-Principal zur Benutzung von FAST an. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_use_anonymous_pkinit (boolean)</term> + <listitem> + <para> + If set to true try to use anonymous PKINIT instead of a keytab to get the +required credential for FAST. The krb5_fast_principal options is ignored in +this case. + </para> + <para> + Voreinstellung: »false« + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (Boolesch)</term> + <listitem> + <para> + gibt an, ob SSSD die Kerberos-Bibliotheken anweisen soll, welcher Realm und +welche Schlüsselverwaltungszentralen (KDCs) benutzt werden sollen. Diese +Option ist standardmäßig eingeschaltet. Falls Sie sie ausschalten, müssen +Sie die Kerberos-Bibliothek mittels der Konfigurationsdatei +<citerefentry><refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> einrichten. + </para> + <para> + Weitere Informationen über die Locator-Erweiterung finden Sie auf der +Handbuchseite <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + Voreinstellung: »true« + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kdcinfo_lookahead (string)</term> + <listitem> + <para> + When krb5_use_kdcinfo is set to true, you can limit the amount of servers +handed to <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. This might be helpful when there +are too many servers discovered using SRV record. + </para> + <para> + The krb5_kdcinfo_lookahead option contains two numbers separated by a +colon. The first number represents number of primary servers used and the +second number specifies the number of backup servers. + </para> + <para> + For example <emphasis>10:0</emphasis> means that up to 10 primary servers +will be handed to <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> but no backup servers. + </para> + <para> + Default: 3:1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_enterprise_principal (Boolesch)</term> + <listitem> + <para> + gibt an, ob der User Principal als Enterprise Principal betrachtet werden +soll. Weitere Informationen über Enterprise Principals finden Sie in +Abschnitt 5 von RFC 6806. + </para> + + <para> + Voreinstellung: falsch (AD-Anbieter: wahr) + </para> + <para> + The IPA provider will set to option to 'true' if it detects that the server +is capable of handling enterprise principals and the option is not set +explicitly in the config file. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_subdomain_realm (boolean)</term> + <listitem> + <para> + Specifies to use subdomains realms for the authentication of users from +trusted domains. This option can be set to 'true' if enterprise principals +are used with upnSuffixes which are not known on the parent domain KDCs. If +the option is set to 'true' SSSD will try to send the request directly to a +KDC of the trusted domain the user is coming from. + </para> + + <para> + Voreinstellung: »false« + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_map_user (string)</term> + <listitem> + <para> + The list of mappings is given as a comma-separated list of pairs +<quote>username:primary</quote> where <quote>username</quote> is a UNIX user +name and <quote>primary</quote> is a user part of a kerberos principal. This +mapping is used when user is authenticating using <quote>auth_provider = +krb5</quote>. + </para> + + <para> + Beispiel: <programlisting> +krb5_realm = REALM +krb5_map_user = joe:juser,dick:richard +</programlisting> + </para> + <para> + <quote>joe</quote> and <quote>dick</quote> are UNIX user names and +<quote>juser</quote> and <quote>richard</quote> are primaries of kerberos +principals. For user <quote>joe</quote> resp. <quote>dick</quote> SSSD will +try to kinit as <quote>juser@REALM</quote> resp. +<quote>richard@REALM</quote>. + </para> + + <para> + Voreinstellung: nicht gesetzt + </para> + </listitem> + </varlistentry> + + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>BEISPIEL</title> + <para> + Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert wurde +und FOO eine der Domains im Abschnitt <replaceable>[sssd]</replaceable> +ist. Dieses Beispiel zeigt nur die Authentifizierung mit Kerberos, sie +umfasst keine Identitätsanbieter. + </para> + <para> +<programlisting> +[domain/FOO] +auth_provider = krb5 +krb5_server = 192.168.1.1 +krb5_realm = EXAMPLE.COM +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/de/sssd-simple.5.xml b/src/man/de/sssd-simple.5.xml new file mode 100644 index 0000000..efb2838 --- /dev/null +++ b/src/man/de/sssd-simple.5.xml @@ -0,0 +1,155 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Dateiformate und Konventionen</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>die Konfigurationsdatei für den »einfachen« Zugriffssteuerungsanbieter von +SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + Diese Handbuchseite beschreibt die Konfiguration des einfachen +Zugriffssteuerungsanbieters für <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Eine ausführliche Syntax-Referenz finden Sie im Abschnitt +»DATEIFORMAT« der Handbuchseite <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Der einfache Zugriffsanbieter gewährt oder verweigert den Zugriff auf Basis +einer Zugriffs- oder Verbotsliste von Benutzer- oder Gruppennamen. Es gelten +die folgenden Regeln: + <itemizedlist> + <listitem> + <para>Falls alle Listen leer sind, wird Zugriff gewährt.</para> + </listitem> + <listitem> + <para> + Falls irgendeine Liste bereitgestellt wird, ist die Reihenfolge der +Auswertung »erlauben,verbieten«. Das heißt, dass eine passende verbietende +Regeln jede passende erlaubende Regel ersetzt. + </para> + </listitem> + <listitem> + <para> + Falls eine oder beide »Erlaubnislisten« bereitgestellt werden, ist der +Zugriff allen Benutzern verboten, sofern sie nicht auf der Liste erscheinen. + </para> + </listitem> + <listitem> + <para> + Falls nur »Verbotslisten« bereitgestellt werden, wird der Zugriff allen +Benutzern gewährt, sofern sie nicht auf der Liste stehen. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSOPTIONEN</title> + <para>Einzelheiten über die Konfiguration einer SSSD-Domain finden Sie im +Abschnitt »DOMAIN-ABSCHNITTE« der Handbuchseite <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term>simple_allow_users (Zeichenkette)</term> + <listitem> + <para> + Durch Kommata getrennte Liste von Benutzern, die sich anmelden dürfen. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (Zeichenkette)</term> + <listitem> + <para> + Durch Kommata getrennte Liste von Benutzern, denen der Zugriff explizit +verwehrt wird. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (Zeichenkette)</term> + <listitem> + <para> + Durch Kommata getrennte Liste von Gruppen, die sich anmelden dürfen. Dies +gilt nur für Gruppen innerhalb dieser SSSD-Domain. Lokale Gruppen werden +nicht ausgewertet. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (Zeichenkette)</term> + <listitem> + <para> + Durch Kommata getrennte Liste von Gruppen, denen der Zugriff explizit +verwehrt wird. Dies gilt nur für Gruppen innerhalb dieser +SSSD-Domain. Lokale Gruppen werden nicht ausgewertet. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Keine Werte für eine der Listen anzugeben ist so, als ob sie ganz +übersprungen würde. Hüten Sie sich davor, solange Parameter für den +einfachen Anbieter mittels automatischer Skripte erzeugt werden. + </para> + <para> + Bitte beachten Sie, das es ein Konfigurationsfehler ist, wenn sowohl +»simple_allow_users« als auch »simple_deny_users« definiert sind. + </para> + </refsect1> + + <refsect1 id='example'> + <title>BEISPIEL</title> + <para> + Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert ist und +example.com eine der im Abschnitt <replaceable>[sssd]</replaceable> +erwähnten Domains ist. Die Beispiele zeigen nur die anbieterspezifischen +Optionen des einfachen Anbieters. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>ANMERKUNGEN</title> + <para> + Die vollständige Hierarchie der Gruppenmitgliedschaft wird aufgelöst, bevor +die Zugriffsprüfung ausgeführt wird. Daher können selbst verschachtelte +Gruppen Teil der Zugriffslisten werden. Bitte beachten Sie, dass die Option +<quote>ldap_group_nesting_level</quote> die Ergebnisse beeinflussen kann und +daher auf einen ausreichenden Wert gesetzt werden sollte. Siehe +(<citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>). + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/de/sssd-sudo.5.xml b/src/man/de/sssd-sudo.5.xml new file mode 100644 index 0000000..964a73a --- /dev/null +++ b/src/man/de/sssd-sudo.5.xml @@ -0,0 +1,229 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD-Handbuchseiten</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-sudo</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Dateiformate und Konventionen</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-sudo</refname> + <refpurpose>Sudo mit dem SSSD-Backend konfigurieren</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESCHREIBUNG</title> + <para> + Diese Handbuchseite beschreibt, wie <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +konfiguriert wird, damit es zusammen mit <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +funktioniert und wie SSSD Sudo-Regeln zwischenspeichert. + </para> + </refsect1> + + <refsect1 id='sudo'> + <title>Sudo so konfigurieren, dass es mit SSSD zusammenarbeitet</title> + <para> + Um SSSD als eine Quelle von Sudo-Regeln zu aktivieren, fügen Sie dem Eintrag +<emphasis>sudoers</emphasis> in <citerefentry> +<refentrytitle>nsswitch.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <emphasis>sss</emphasis> hinzu. + </para> + <para> + Um zum Beispiel Sudo so zu konfigurieren, dass es zuerst die Regeln in der +Standarddatei <citerefentry> <refentrytitle>sudoers</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> nachschlägt (diese sollten Regeln +umfassen, die für lokale Benutzer gelten) und dann die in SSSD, sollte die +Datei »nsswitch.conf« die folgende Zeile enthalten: + </para> + <para> +<programlisting> +sudoers: files sss +</programlisting> + </para> + <para> + Weitere Informationen über die Konfiguration der Suchreihenfolge der +»sudoers« aus der Datei »nsswitch.conf« sowie das LDAP-Schema, das zum +Speichern von Sudo-Regeln im Verzeichnis benutzt wird, können Sie unter +<citerefentry> <refentrytitle>sudoers.ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> finden. + </para> + <para> + <emphasis>Hinweis</emphasis>: Um Netzgruppen oder IPA-Hostgruppen in +sudo-Regeln verwenden zu können, muss <citerefentry> +<refentrytitle>nisdomainname</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry> korrekt auf den entsprechenden NIS-Domainnamen gesetzt +werden. Dieser entspricht dem IPA-Domainnamen, wenn Hostgruppen verwendet +werden. + </para> + </refsect1> + + <refsect1 id='sssd'> + <title>SSSD zum Abrufen von Sudo-Regeln konfigurieren</title> + <para> + Alle auf der SSSD-Seite erforderliche Konfiguration ist die Erweiterung der +Liste der <emphasis>Dienste</emphasis> mit "sudo" im Abschnitt [sssd] der +Handbuchseite zu <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Um LDAP-Suchvorgänge zu +beschleunigen, können Sie auch die Suchbasis für sudo-Regeln mit der Option +<emphasis>ldap_sudo_search_base</emphasis> festlegen. + </para> + <para> + Das folgende Beispiel zeigt, wie SSSD konfiguriert wird, damit es die +Sudo-Regeln von einem LDAP-Server herunterlädt. + </para> + <para> +<programlisting> +[sssd] +config_file_version = 2 +services = nss, pam, sudo +domains = EXAMPLE + +[domain/EXAMPLE] +id_provider = ldap +sudo_provider = ldap +ldap_uri = ldap://example.com +ldap_sudo_search_base = ou=sudoers,dc=example,dc=com +</programlisting> <phrase +condition="have_systemd"> It's important to note that on platforms where +systemd is supported there's no need to add the "sudo" provider to the list +of services, as it became optional. However, sssd-sudo.socket must be +enabled instead. </phrase> + </para> + <para> + When SSSD is configured to use IPA as the ID provider, the sudo provider is +automatically enabled. The sudo search base is configured to use the IPA +native LDAP tree (cn=sudo,$SUFFIX). If any other search base is defined in +sssd.conf, this value will be used instead. The compat tree +(ou=sudoers,$SUFFIX) is no longer required for IPA sudo functionality. + </para> + </refsect1> + + <refsect1 id='cache'> + <title>Der Zwischenspeichermechanismus für Sudo-Regeln</title> + <para> + Die größte Herausforderung bei der Entwicklung von Sudo-Unterstützung in +SSSD war es, sicherzustellen, dass beim Ausführen von Sudo mit SSSD die +Datenquelle dieselbe Benutzererfahrung bereitstellt und so schnell wie Sudo +ist, aber weiterhin so viele aktuelle Regelsätze wie möglich +bereitstellt. Um diesen Anforderungen zu genügen, verwendet SSSD drei Arten +von Aktualisierungen. Sie werden als vollständiges Aktualisieren, kluges +Aktualisieren und Regelaktualisierung bezeichnet. + </para> + <para> + Das <emphasis>kluge Aktualisieren</emphasis> lädt periodisch Regeln +herunter, die neu sind oder seit der letzten Aktualisierung geändert +wurden. Das Hauptziel hierbei ist es, die Datenbank anwachsen zu lassen, +indem nur kleine Erweiterungen abgerufen werden, die keinen großen +Netzwerkverkehr erzeugen. + </para> + <para> + Das <emphasis>vollständige Aktualisieren</emphasis> löscht einfach alle im +Zwischenspeicher abgelegten Regeln und ersetzt sie durch die auf dem Server +gespeicherten Regeln. Dies wird benutzt, um den Zwischenspeicher dadurch +konsistent zu halten, dass jede von Server gelöschte Regel entfernt +wird. Ein vollständiges Aktualisieren kann jedoch eine hohe Last erzeugen +und sollte daher nur gelegentlich abhängig von der Größe und Stabilität der +Sudo-Regeln ausgeführt werden. + </para> + <para> + Die <emphasis>Regelaktualisierung</emphasis> stellt sicher, dass dem +Benutzer nicht mehr Rechte als definiert gewährt werden. Es wird jedesmal +ausgelöst, wenn der Benutzer Sudo ausführt. Regelaktualisierung wird alle +Regeln suchen, die für diesen Benutzer gelten, ihren Ablaufzeitpunkt prüfen +und sie erneut herunterladen, falls sie erloschen sind. Im Fall, dass +irgendwelche der Regeln auf dem Server fehlen, wird SSSD außer der Reihe ein +vollständiges Aktualisieren durchführen, da möglicherweise weitere Regeln +(die für andere Benutzer gelten) gelöscht wurden. + </para> + <para> + SSSD wird, falls aktiviert, nur Regeln speichern, die auf diese Maschine +angewandt werden können. Das bedeutet, Regeln, die einen der folgenden Werte +im Attribut <emphasis>sudoHost</emphasis> enthalten: + </para> + <itemizedlist> + <listitem> + <para> + Schlüsselwort ALL + </para> + </listitem> + <listitem> + <para> + Platzhalter + </para> + </listitem> + <listitem> + <para> + Netzgruppe (in der Form »+Netzgruppe«) + </para> + </listitem> + <listitem> + <para> + Rechnername oder voll qualifizierter Domain-Namen dieser Maschine + </para> + </listitem> + <listitem> + <para> + eine der IP-Adressen dieser Maschine + </para> + </listitem> + <listitem> + <para> + eine der IP-Adressen des Netzwerks (in der Form »Adresse/Maske«) + </para> + </listitem> + </itemizedlist> + <para> + Es gibt viele Konfigurationsoptionen, die benutzt werden können, um das +Verhalten anzupassen. Bitte lesen Sie »ldap_sudo_*« in <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> und "sudo_*" in <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='performance'> + <title>Tuning the performance</title> + <para> + SSSD uses different kinds of mechanisms with more or less complex LDAP +filters to keep the cached sudo rules up to date. The default configuration +is set to values that should satisfy most of our users, but the following +paragraphs contain few tips on how to fine- tune the configuration to your +requirements. + </para> + <para> + 1. <emphasis>Index LDAP attributes</emphasis>. Make sure that following LDAP +attributes are indexed: objectClass, cn, entryUSN or modifyTimestamp. + </para> + <para> + 2. <emphasis>Set ldap_sudo_search_base</emphasis>. Set the search base to +the container that holds the sudo rules to limit the scope of the lookup. + </para> + <para> + 3. <emphasis>Set full and smart refresh interval</emphasis>. If your sudo +rules do not change often and you do not require quick update of cached +rules on your clients, you may consider increasing the +<emphasis>ldap_sudo_full_refresh_interval</emphasis> and +<emphasis>ldap_sudo_smart_refresh_interval</emphasis>. You may also consider +disabling the smart refresh by setting +<emphasis>ldap_sudo_smart_refresh_interval = 0</emphasis>. + </para> + <para> + 4. If you have large number of clients, you may consider increasing the +value of <emphasis>ldap_sudo_random_offset</emphasis> to distribute the load +on the server better. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |