diff options
Diffstat (limited to 'src/man/fr')
22 files changed, 1846 insertions, 0 deletions
diff --git a/src/man/fr/include/ad_modified_defaults.xml b/src/man/fr/include/ad_modified_defaults.xml new file mode 100644 index 0000000..6ee0537 --- /dev/null +++ b/src/man/fr/include/ad_modified_defaults.xml @@ -0,0 +1,104 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and AD provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>LDAP Provider</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@REALM (typically SHORTNAME$@REALM) + </para> + <para> + The AD provider looks for a different principal than the LDAP provider by +default, because in an Active Directory environment the principals are +divided into two groups - User Principals and Service Principals. Only User +Principal can be used to obtain a TGT and by default, computer object's +principal is constructed from its sAMAccountName and the AD realm. The +well-known host/hostname@REALM principal is a Service Principal and thus +cannot be used to get a TGT with. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>NSS configuration</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + The AD provider automatically sets "fallback_homedir = /home/%d/%u" to +provide personal home directories for users without the homeDirectory +attribute. If your AD Domain is properly populated with Posix attributes, +and you want to avoid this fallback behavior, you can explicitly set +"fallback_homedir = %o". + </para> + <para> + Note that the system typically expects a home directory in /home/%u +folder. If you decide to use a different directory structure, some other +parts of your system may need adjustments. + </para> + <para> + For example automated creation of home directories in combination with +selinux requires selinux adjustment, otherwise the home directory will be +created with wrong selinux context. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/fr/include/autofs_attributes.xml b/src/man/fr/include/autofs_attributes.xml new file mode 100644 index 0000000..2beae02 --- /dev/null +++ b/src/man/fr/include/autofs_attributes.xml @@ -0,0 +1,66 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (string)</term> + <listitem> + <para> + La classe d'objet d'une entrée de table de montage automatique dans LDAP. + </para> + <para> + Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (string)</term> + <listitem> + <para> + Le nom d'une entrée de table de montage automatique dans LDAP. + </para> + <para> + Default: nisMapName (rfc2307, autofs_provider=ad), otherwise +automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (string)</term> + <listitem> + <para> + The object class of an automount entry in LDAP. The entry usually +corresponds to a mount point. + </para> + <para> + Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (string)</term> + <listitem> + <para> + La clé d'une entrée de montage automatique dans LDAP. L'entrée correspond +généralement à un point de montage. + </para> + <para> + Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (string)</term> + <listitem> + <para> + La clé d'une entrée de montage automatique dans LDAP. L'entrée correspond +généralement à un point de montage. + </para> + <para> + Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/fr/include/autofs_restart.xml b/src/man/fr/include/autofs_restart.xml new file mode 100644 index 0000000..3873c56 --- /dev/null +++ b/src/man/fr/include/autofs_restart.xml @@ -0,0 +1,6 @@ +<para> + Veuillez noter que l'automounter ne lit que la carte maîtresse au +démarrage. Ainsi, si des modifications liées à autofs sont apportées à +sssd.conf, vous devrez généralement redémarrer le démon automounter après le +redémarrage de SSSD +</para> diff --git a/src/man/fr/include/debug_levels.xml b/src/man/fr/include/debug_levels.xml new file mode 100644 index 0000000..902be1b --- /dev/null +++ b/src/man/fr/include/debug_levels.xml @@ -0,0 +1,100 @@ +<listitem> + <para> + SSSD supports two representations for specifying the debug level. The +simplest is to specify a decimal value from 0-9, which represents enabling +that level and all lower-level debug messages. The more comprehensive option +is to specify a hexadecimal bitmask to enable or disable specific levels +(such as if you wish to suppress a level). + </para> + <para> + Please note that each SSSD service logs into its own log file. Also please +note that enabling <quote>debug_level</quote> in the <quote>[sssd]</quote> +section only enables debugging just for the sssd process itself, not for the +responder or provider processes. The <quote>debug_level</quote> parameter +should be added to all sections that you wish to produce debug logs from. + </para> + <para> + In addition to changing the log level in the config file using the +<quote>debug_level</quote> parameter, which is persistent, but requires SSSD +restart, it is also possible to change the debug level on the fly using the +<citerefentry> <refentrytitle>sss_debuglevel</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> tool. + </para> + <para> + Niveaux de débogage actuellement pris en charge : + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis> : défaillances +fatales. Tout ce qui empêcherait SSSD de démarrer ou provoquerait son arrêt. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis> : défaillances +graves. Une erreur qui annonce qu'une requête particulière ou une opération +a échoué. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis> : erreurs mineures. Ce +sont les erreurs qui seraient susceptibles d'empirer pour provoquer l'erreur +en 2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis> : paramètres de +configuration. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis> : données de +fonctionnement. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis> : traçage des fonctions +opérationnelles. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis> : traçage des fonctions +de contrôles internes. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis> : contenu des variables +internes de fonctions pouvent être intéressantes. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis> : informations de +traçage de bas niveau. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x20000</emphasis>: Performance and +statistical data, please note that due to the way requests are processed +internally the logged execution time of a request might be longer than it +actually was. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + To log required bitmask debug levels, simply add their numbers together as +shown in following examples: + </para> + <para> + <emphasis>Exemple</emphasis> : pour suivre erreurs fatales, critiques, +graves et les données de fonction, utiliser 0x0270. + </para> + <para> + <emphasis>Exemple</emphasis> : pour consigner les erreurs fatales, les +paramètres de configuration, les données de fonction, les messages de trace +pour les fonctions de contrôle interne, utiliser 0x1310. + </para> + <para> + <emphasis>Note</emphasis> : le format des niveaux de débogage a été +introduit dans la version 1.7.0. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/fr/include/debug_levels_tools.xml b/src/man/fr/include/debug_levels_tools.xml new file mode 100644 index 0000000..94ea6a8 --- /dev/null +++ b/src/man/fr/include/debug_levels_tools.xml @@ -0,0 +1,80 @@ +<listitem> + <para> + SSSD supports two representations for specifying the debug level. The +simplest is to specify a decimal value from 0-9, which represents enabling +that level and all lower-level debug messages. The more comprehensive option +is to specify a hexadecimal bitmask to enable or disable specific levels +(such as if you wish to suppress a level). + </para> + <para> + Niveaux de débogage actuellement pris en charge : + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis> : défaillances +fatales. Tout ce qui empêcherait SSSD de démarrer ou provoquerait son arrêt. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Critical failures. An +error that doesn't kill SSSD, but one that indicates that at least one major +feature is not going to work properly. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis> : défaillances +graves. Une erreur qui annonce qu'une requête particulière ou une opération +a échoué. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis> : erreurs mineures. Ce +sont les erreurs qui seraient susceptibles d'empirer pour provoquer l'erreur +en 2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis> : paramètres de +configuration. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis> : données de +fonctionnement. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis> : traçage des fonctions +opérationnelles. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis> : traçage des fonctions +de contrôles internes. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis> : contenu des variables +internes de fonctions pouvent être intéressantes. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis> : informations de +traçage de bas niveau. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Even more low-level +libldb tracing information. Almost never really required. + </para> + <para> + To log required bitmask debug levels, simply add their numbers together as +shown in following examples: + </para> + <para> + <emphasis>Exemple</emphasis> : pour suivre erreurs fatales, critiques, +graves et les données de fonction, utiliser 0x0270. + </para> + <para> + <emphasis>Exemple</emphasis> : pour consigner les erreurs fatales, les +paramètres de configuration, les données de fonction, les messages de trace +pour les fonctions de contrôle interne, utiliser 0x1310. + </para> + <para> + <emphasis>Note</emphasis> : le format des niveaux de débogage a été +introduit dans la version 1.7.0. + </para> + <para> + <emphasis>Default</emphasis>: 0x0070 (i.e. fatal, critical and serious +failures; corresponds to setting 2 in decimal notation) + </para> +</listitem> diff --git a/src/man/fr/include/failover.xml b/src/man/fr/include/failover.xml new file mode 100644 index 0000000..c702a49 --- /dev/null +++ b/src/man/fr/include/failover.xml @@ -0,0 +1,126 @@ +<refsect1 id='failover'> + <title>BASCULE</title> + <para> + La fonctionnalité de bascule autorise le moteur à basculer automatiquement +sur un serveur différent si le serveur actuel est défaillant. + </para> + <refsect2 id='failover_syntax'> + <title>Syntaxe de bascule</title> + <para> + La liste des serveurs est donnée sous forme de liste séparée par des +virgules ; un nombre quelconque d'espaces est autorisé autour de la +virgule. Les serveurs sont répertoriés par ordre de préférence. La liste +peut contenir un nombre quelconque de serveurs. + </para> + <para> + Pour chaque option de configuration alors que la bascule est activée, il +existe deux variantes : <emphasis>primary</emphasis> et +<emphasis>backup</emphasis>. L'idée est que les serveurs dans la liste +principale sont préférés et les serveurs de secours sont interrogés +uniquement si aucun serveur primaire ne peut être atteint. Si un serveur de +secours est sélectionné, un délai d'attente de 31 secondes est défini. Après +ce délai d'attente, SSSD tentera périodiquement de se reconnecter à un des +serveurs primaires. S'il réussit, il remplacera l'actuel serveur (de +secours) actif. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>Mécanisme de bascule</title> + <para> + Le mécanisme de bascule fait la distinction entre une machine et d'un +service. Le moteur tente d'abord de résoudre le nom d'hôte d'un ordinateur +donné ; en cas d'échec de cette tentative de résolution, la machine est +considérée comme hors ligne. Aucune autre tentative n'est faite pour se +connecter à cette machine pour tout autre service. Si la tentative de +résolution réussit, le serveur principal tente de se connecter à un service +sur cette machine. Si la tentative de connexion de service échoue, alors ce +seul service est considéré comme hors ligne et le moteur passe +automatiquement au service suivant. La machine est toujours considérée en +ligne et peut toujours être considérée pour une tentative d'accès à un autre +service. + </para> + <para> + Les tentatives de connexion ultérieures sont faites vers des machines ou des +services marqués comme hors connexion après un délai spécifié ; ce délai est +actuellement spécifié en dur à 30 secondes. + </para> + <para> + S'il n'y a plus aucune machine à essayer, le moteur dans son ensemble +bascule dans le mode hors connexion et tente ensuite de se reconnecter +toutes les 30 secondes. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Failover time outs and tuning</title> + <para> + Resolving a server to connect to can be as simple as running a single DNS +query or can involve several steps, such as finding the correct site or +trying out multiple host names in case some of the configured servers are +not reachable. The more complex scenarios can take some time and SSSD needs +to balance between providing enough time to finish the resolution process +but on the other hand, not trying for too long before falling back to +offline mode. If the SSSD debug logs show that the server resolution is +timing out before a live server is contacted, you can consider changing the +time outs. + </para> + <para> + This section lists the available tunables. Please refer to their description +in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, manual page. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Time in milliseconds that sets how long would SSSD talk to a single DNS +server before trying next one. + </para> + <para> + Par défaut : 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Time in seconds to tell how long would SSSD try to resolve single DNS query +(e.g. resolution of a hostname or an SRV record) before trying the next +hostname or discovery domain. + </para> + <para> + Par défaut : 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + How long would SSSD try to resolve a failover service. This service +resolution internally might include several steps, such as resolving DNS SRV +queries or locating the site. + </para> + <para> + Par défaut : 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + For LDAP-based providers, the resolve operation is performed as part of an +LDAP connection operation. Therefore, also the +<quote>ldap_opt_timeout</quote> timeout should be set to a larger value than +<quote>dns_resolver_timeout</quote> which in turn should be set to a larger +value than <quote>dns_resolver_op_timeout</quote> which should be larger +than <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/fr/include/homedir_substring.xml b/src/man/fr/include/homedir_substring.xml new file mode 100644 index 0000000..77e861a --- /dev/null +++ b/src/man/fr/include/homedir_substring.xml @@ -0,0 +1,17 @@ +<varlistentry> + <term>homedir_substring (chaîne)</term> + <listitem> + <para> + The value of this option will be used in the expansion of the +<emphasis>override_homedir</emphasis> option if the template contains the +format string <emphasis>%H</emphasis>. An LDAP directory entry can directly +contain this template so that this option can be used to expand the home +directory path for each client machine (or operating system). It can be set +per-domain or globally in the [nss] section. A value specified in a domain +section will override one set in the [nss] section. + </para> + <para> + Par défaut : /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/fr/include/ipa_modified_defaults.xml b/src/man/fr/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..4ad4b45 --- /dev/null +++ b/src/man/fr/include/ipa_modified_defaults.xml @@ -0,0 +1,123 @@ +<refsect1 id='modified-default-options'> + <title>MODIFIED DEFAULT OPTIONS</title> + <para> + Certain option defaults do not match their respective backend provider +defaults, these option names and IPA provider-specific defaults are listed +below: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5 Provider</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>LDAP Provider - General</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>LDAP Provider - User options</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>LDAP Provider - Group options</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/fr/include/krb5_options.xml b/src/man/fr/include/krb5_options.xml new file mode 100644 index 0000000..2d3dcd0 --- /dev/null +++ b/src/man/fr/include/krb5_options.xml @@ -0,0 +1,162 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (entier)</term> + <listitem> + <para> + Délai d'attente, en secondes, après l'annulation d'une requête +d'authentification en ligne ou de changement de mot de passe. La requête +d'authentification sera effectuée hors-ligne si cela est possible. + </para> + <para> + Par défaut : 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (booléen)</term> + <listitem> + <para> + Vérifie à l'aide de krb5_keytab que le TGT obtenu n'a pas été usurpé. Les +entrées d'un fichier keytab sont vérifiées dans l'ordre, et la première +entrée avec un domaine correspondant est utilisée pour la validation. Si +aucune entrée ne correspond au domaine, la dernière entrée dans le fichier +keytab est utilisée. Ce processus peut être utilisé pour valider des +environnements utilisant l'approbation entre domaines en plaçant l'entrée +keytab appropriée comme dernière ou comme seule entrée dans le fichier +keytab. + </para> + <para> + Default: false (IPA and AD provider: true) + </para> + <para> + Please note that the ticket validation is the first step when checking the +PAC (see 'pac_check' in the <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> manual page for details). If ticket validation is disabled +the PAC checks will be skipped as well. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (chaîne)</term> + <listitem> + <para> + Demande un ticket renouvelable avec une durée de vie totale, donnée par un +entier immédiatement suivi par une unité de temps : + </para> + <para> + <emphasis>s</emphasis> pour secondes + </para> + <para> + <emphasis>m</emphasis> pour minutes + </para> + <para> + <emphasis>h</emphasis> pour heures + </para> + <para> + <emphasis>d</emphasis> pour jours. + </para> + <para> + Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé. + </para> + <para> + NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée +de vie renouvelable de une heure et trente minutes, utiliser « 90m » au lieu +de « 1h30m ». + </para> + <para> + Par défaut : non défini, c'est-à-dire que le TGT n'est pas renouvelable + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (chaîne)</term> + <listitem> + <para> + Demande un ticket avec une durée de vie, donnée par un entier immédiatement +suivi par une unité de temps : + </para> + <para> + <emphasis>s</emphasis> pour secondes + </para> + <para> + <emphasis>m</emphasis> pour minutes + </para> + <para> + <emphasis>h</emphasis> pour heures + </para> + <para> + <emphasis>d</emphasis> pour jours. + </para> + <para> + Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé. + </para> + <para> + NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée +de vie de une heure et trente minutes, utiliser « 90m » au lieu de « 1h30m +». + </para> + <para> + Par défaut : non défini, c'est-à-dire la durée de vie par défaut configurée +dans le KDC. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (chaîne)</term> + <listitem> + <para> + La durée, en secondes, entre deux vérifications pour savoir si le TGT doit +être renouvelé. Les TGT sont renouvelés si environ la moitié de leur durée +de vie est dépassée. Indiquée par un entier immédiatement suivi d'une unité +de temps : + </para> + <para> + <emphasis>s</emphasis> pour secondes + </para> + <para> + <emphasis>m</emphasis> pour minutes + </para> + <para> + <emphasis>h</emphasis> pour heures + </para> + <para> + <emphasis>d</emphasis> pour jours. + </para> + <para> + Si aucune unité n'est spécifiée, <emphasis>s</emphasis> est utilisé. + </para> + <para> + NOTE : il n'est pas possible de mélanger les unités. Pour indiquer une durée +de vie renouvelable de une heure et trente minutes, utiliser « 90m » au lieu +de « 1h30m ». + </para> + <para> + Si cette option n'est pas définie ou définie à 0, le renouvellement +automatique est désactivé. + </para> + <para> + Par défaut : non défini + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (booléen)</term> + <listitem> + <para> + Spécifie si les principaux du système et de l'utilisateur doivent être +rendus canoniques. Cette fonctionnalité est disponible avec MIT Kerberos 1.7 +et versions suivantes. + </para> + + <para> + Par défaut : false + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/fr/include/ldap_id_mapping.xml b/src/man/fr/include/ldap_id_mapping.xml new file mode 100644 index 0000000..accab09 --- /dev/null +++ b/src/man/fr/include/ldap_id_mapping.xml @@ -0,0 +1,293 @@ +<refsect1 id='idmap'> + <title>CORRESPONDANCE D'IDENTIFIANTS</title> + <para> + La fonctionnalité de correspondance d'ID permet à SSSD d'agir comme un +client de Active Directory sans demander aux administrateurs d'étendre les +attributs utilisateur pour prendre en charge les attributs POSIX pour les +identifiants d'utilisateur et de groupe. + </para> + <para> + Remarque : Lorsque la mise en correspondance des ID est activée, les +attributs uidNumber et gidNumber sont ignorés. Ceci afin d'éviter les +risques de conflit entre les valeurs attribuées automatiquement et assignées +manuellement. Si vous avez besoin d'utiliser des valeurs attribuées +manuellement, TOUTES les valeurs doivent être assignées manuellement. + </para> + <para> + Please note that changing the ID mapping related configuration options will +cause user and group IDs to change. At the moment, SSSD does not support +changing IDs, so the SSSD database must be removed. Because cached passwords +are also stored in the database, removing the database should only be +performed while the authentication servers are reachable, otherwise users +might get locked out. In order to cache the password, an authentication must +be performed. It is not sufficient to use <citerefentry> +<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry> to remove the database, rather the process consists of: + <itemizedlist> + <listitem> + <para> + Making sure the remote servers are reachable + </para> + </listitem> + <listitem> + <para> + Arrêter le service SSSD + </para> + </listitem> + <listitem> + <para> + Supprimer la base de donnée + </para> + </listitem> + <listitem> + <para> + Démarrer le service SSSD + </para> + </listitem> + </itemizedlist> + Moreover, as the change of IDs might necessitate the adjustment of other +system properties such as file and directory ownership, it's advisable to +plan ahead and test the ID mapping configuration thoroughly. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Algorithme de correspondance</title> + <para> + Active Directory fournit un objectSID pour chaque objet d'utilisateur et de +groupe dans l'annuaire. Cet objectSID peut être divisé en composants qui +représentent l'identité de domaine Active Directory et l'identificateur +relatif (RID) de l'objet utilisateur ou groupe. + </para> + <para> + L'algorithme de mise en correspondance des ID de SSSD tient un éventail +d'uid disponibles et le divise en sections de même taille, appelées « +tranches ». Chaque tranche représente l'espace disponible dans un domaine +Active Directory. + </para> + <para> + Lorsqu'une entrée d'utilisateur ou de groupe pour un domaine particulier est +rencontrée pour la première fois, SSSD alloue une des plages disponibles +pour ce domaine. Afin de rendre cette affectation de plage reproductible sur +les ordinateurs clients différents, l'algorithme de sélection de plage +suivant est utilisé : + </para> + <para> + La chaîne du SID est passée par l'intermédiaire de l'algorithme murmurhash3 +pour le convertir en une valeur de hachage de 32 bits. Nous prenons ensuite +le modulo de cette valeur avec le nombre total des tranches disponibles pour +prendre la tranche. + </para> + <para> + Remarque : Il est possible de rencontrer les collisions dans le hachage et +le modulo en découlant. Dans ces situations, la tranche suivante disponible +sera sélectionnée, mais il n'est pas possible de reproduire le même jeu +exact des tranches sur d'autres machines (puisque l'ordre dans lequel elles +sont rencontrées déterminera leur tranche). Dans ce cas, il est recommandé +de passer à l'utilisation des attributs POSIX explicites dans Active +Directory (en désactivant la correspondance d'ID) ou configurer un domaine +par défaut afin de garantir qu'au moins un est toujours cohérent. Pour plus +d'informations, voir <quote>Configuration</quote>. + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Configuration</title> + <para> + Configuration minimale (dans la section <quote>[domain/DOMAINNAME]</quote>) +: + </para> + <para> +<programlisting> +ldap_id_mapping = True +ldap_schema = ad +</programlisting> + </para> + <para> + The default configuration results in configuring 10,000 slices, each capable +of holding up to 200,000 IDs, starting from 200,000 and going up to +2,000,200,000. This should be sufficient for most deployments. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Configuration avancée</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (integer)</term> + <listitem> + <para> + Specifies the lower (inclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +can be used for the mapping. + </para> + <para> + NOTE : Cette option est différente de <quote>min_id</quote> en ce sens que +<quote>min_id</quote> agit comme filtre sur le résultat des requêtes vers ce +domaine, alors que cette option contrôle les plages de correspondance +d'ID. Il s'agit d'une distinction subtile, mais les bonnes pratiques +conseillent d'avoir <quote>min_id</quote> inférieur ou égal à +<quote>ldap_idmap_range_min</quote> + </para> + <para> + Par défaut : 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (integer)</term> + <listitem> + <para> + Specifies the upper (exclusive) bound of the range of POSIX IDs to use for +mapping Active Directory user and group SIDs. It is the first POSIX ID which +cannot be used for the mapping anymore, i.e. one larger than the last one +which can be used for the mapping. + </para> + <para> + NOTE : Cette option est différente de <quote>max_id</quote> en ce sens que +<quote>max_id</quote> agit comme filtre sur le résultat des requêtes vers ce +domaine, alors que cette option contrôle les plages de correspondance +d'ID. Il s'agit d'une distinction subtile, mais les bonnes pratiques +conseillent d'avoir <quote>max_id</quote> supérieur ou égal à +<quote>ldap_idmap_range_max</quote> + </para> + <para> + Par défaut : 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (integer)</term> + <listitem> + <para> + Spécifie le nombre d'identifiants pour chaque tranche. Si la taille de la +plage ne divise pas uniformément dans les valeurs minimale et maximale, des +tranches complètes seront créées autant que possible. + </para> + <para> + NOTE: The value of this option must be at least as large as the highest user +RID planned for use on the Active Directory server. User lookups and login +will fail for any user whose RID is greater than this value. + </para> + <para> + For example, if your most recently-added Active Directory user has +objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +<quote>ldap_idmap_range_size</quote> must be at least 1108 as range size is +equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1). + </para> + <para> + It is important to plan ahead for future expansion, as changing this value +will result in changing all of the ID mappings on the system, leading to +users with different local IDs than they previously had. + </para> + <para> + Par défaut : 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (chaîne)</term> + <listitem> + <para> + Spécifier le SID de domaine du domaine par défaut. Cela garantira que ce +domaine est toujours affecté à la tranche zéro dans la carte d'ID, sans +passer par l'algorithme murmurhash décrit ci-dessus. + </para> + <para> + Par défaut : non défini + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (chaîne)</term> + <listitem> + <para> + Spécifier le nom de domaine par défaut. + </para> + <para> + Par défaut : non défini + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (boolean)</term> + <listitem> + <para> + Modifie le comportement de l'algorithme de mise en correspondance des ID +afin qu'il se comporte de manière identique à celui +<quote>idmap_autorid</quote> de winbind. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + Remarque : Cet algorithme n'est pas déterministe (il dépend de l'ordre dans +lequel utilisateurs et groupes sont invités). Si ce mode est nécessaire pour +assurer la compatibilité avec les ordinateurs qui utilisent winbind, il est +recommandé d'utiliser également l'option +<quote>ldap_idmap_default_domain_sid</quote> pour garantir qu'au moins un +domaine est systématiquement alloué à la tranche zéro. + </para> + <para> + Par défaut : False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (integer)</term> + <listitem> + <para> + Maximal number of secondary slices that is tried when performing mapping +from UNIX id to SID. + </para> + <para> + Note: Additional secondary slices might be generated when SID is being +mapped to UNIX id and RID part of SID is out of range for secondary slices +generated so far. If value of ldap_idmap_helper_table_size is equal to 0 +then no additional secondary slices are generated. + </para> + <para> + Par défaut : 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>SID bien connus</title> + <para> + SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a +special hardcoded meaning. Since the generic users and groups related to +those Well-Known SIDs have no equivalent in a Linux/UNIX environment no +POSIX IDs are available for those objects. + </para> + <para> + The SID name space is organized in authorities which can be seen as +different domains. The authorities for the Well-Known SIDs are + <itemizedlist> + <listitem><para>Null Authority</para></listitem> + <listitem><para>World Authority</para></listitem> + <listitem><para>Local Authority</para></listitem> + <listitem><para>Creator Authority</para></listitem> + <listitem><para>Mandatory Label Authority</para></listitem> + <listitem><para>Authentication Authority</para></listitem> + <listitem><para>NT Authority</para></listitem> + <listitem><para>Built-in</para></listitem> + </itemizedlist> + The capitalized version of these names are used as domain names when +returning the fully qualified name of a Well-Known SID. + </para> + <para> + Since some utilities allow to modify SID based access control information +with the help of a name instead of using the SID directly SSSD supports to +look up the SID by the name as well. To avoid collisions only the fully +qualified names can be used to look up Well-Known SIDs. As a result the +domain names <quote>NULL AUTHORITY</quote>, <quote>WORLD AUTHORITY</quote>, +<quote>LOCAL AUTHORITY</quote>, <quote>CREATOR AUTHORITY</quote>, +<quote>MANDATORY LABEL AUTHORITY</quote>, <quote>AUTHENTICATION +AUTHORITY</quote>, <quote>NT AUTHORITY</quote> and <quote>BUILTIN</quote> +should not be used as domain names in <filename>sssd.conf</filename>. + </para> + </refsect2> + +</refsect1> diff --git a/src/man/fr/include/ldap_search_bases.xml b/src/man/fr/include/ldap_search_bases.xml new file mode 100644 index 0000000..b75b30b --- /dev/null +++ b/src/man/fr/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ +<listitem> + <para> + Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de +restreindre les recherches LDAP pour ce type d'attribut. + </para> + <para> + syntaxe : <programlisting> +search_base[?scope?[filter][?search_base?scope?[filter]]*] +</programlisting> + </para> + <para> + La portée peut être l'une des « base », « onelevel » ou « subtree ». Les +fonctions de portée sont spécifiées dans la section 4.5.1.2 de +http://tools.ietf.org/html/rfc4511 + </para> + <para> + Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Pour obtenir des exemples de cette syntaxe, reportez-vous à la section +d'exemples <quote>ldap_search_base</quote>. + </para> + <para> + Par défaut : la valeur de <emphasis>ldap_search_base</emphasis> + </para> + <para> + Noter que la spécification de portée ou de filtre n'est pas prise en charge +pour les recherches sur un serveur Active Directory qui serait susceptible +de produire un grand nombre de résultats et de déclencher l'extension Range +Retrieval dans sa réponse. + </para> +</listitem> diff --git a/src/man/fr/include/local.xml b/src/man/fr/include/local.xml new file mode 100644 index 0000000..1a7c8a2 --- /dev/null +++ b/src/man/fr/include/local.xml @@ -0,0 +1,17 @@ +<refsect1 id='local'> + <title>LE DOMAINE LOCAL</title> + <para> + Pour fonctionner correctement, un domaine avec <quote>id_provider = +local</quote> doit être créé et SSSD doit s'exécuter. + </para> + <para> + L'administrateur peut vouloir utiliser les utilisateurs locaux SSSD au lieu +des utilisateurs UNIX traditionnels dans les cas où l'imbrication de groupes +(cf. <citerefentry><refentrytitle>sss_groupadd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) est nécessaire. Les utilisateurs +locaux sont également utiles pour les tests et le développement de SSSD sans +avoir à déployer un serveur distant complet. Les outils <command>sss_user +*</command> et <command>sss_group *</command> utilisent alors un stockage +local de type LDB pour les utilisateurs et les groupes. + </para> +</refsect1> diff --git a/src/man/fr/include/override_homedir.xml b/src/man/fr/include/override_homedir.xml new file mode 100644 index 0000000..9c35be0 --- /dev/null +++ b/src/man/fr/include/override_homedir.xml @@ -0,0 +1,79 @@ +<varlistentry> +<term>override_homedir (chaîne)</term> +<listitem> + <para> + Réécrit le répertoire personnel de l'utilisateur. Il est possible de fournir +une valeur absolue ou un patron. Dans le cas d'un patron, les séquences +suivantes sont substituées :<variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>identifiant de connexion</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>numéro d'UID</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>nom de domaine</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>nom d'utilisateur pleinement qualifié (utilisateur@domaine)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>The first letter of the login name.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN - Nom de principal d'utilisateur (User principal name, nom@ROYAUME)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + Le répertoire utilisateur original provenant du fournisseur d'identité. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + The original home directory retrieved from the identity provider, but in +lower case. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + La valeur de l'option de configuration +<emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>un « % » littéral</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Cette option peut aussi être définie pour chaque domaine. + </para> + <para> + exemple : <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + Par défaut : Indéfini (SSSD utilisera la valeur récupérée de LDAP) + </para> + <para> + Please note, the home directory from a specific override for the user, +either locally (see +<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) or centrally managed IPA +id-overrides, has a higher precedence and will be used instead of the value +given by override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/fr/include/param_help.xml b/src/man/fr/include/param_help.xml new file mode 100644 index 0000000..89c1343 --- /dev/null +++ b/src/man/fr/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + Affiche l'aide et quitte. + </para> + </listitem> +</varlistentry> diff --git a/src/man/fr/include/param_help_py.xml b/src/man/fr/include/param_help_py.xml new file mode 100644 index 0000000..22cd5fa --- /dev/null +++ b/src/man/fr/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + Affiche l'aide et quitte. + </para> + </listitem> +</varlistentry> diff --git a/src/man/fr/include/seealso.xml b/src/man/fr/include/seealso.xml new file mode 100644 index 0000000..828a941 --- /dev/null +++ b/src/man/fr/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>VOIR AUSSI</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/fr/include/service_discovery.xml b/src/man/fr/include/service_discovery.xml new file mode 100644 index 0000000..6ad86ae --- /dev/null +++ b/src/man/fr/include/service_discovery.xml @@ -0,0 +1,44 @@ +<refsect1 id='service_discovery'> + <title>DÉCOUVERTE DE SERVICE</title> + <para> + La fonctionnalité de découverte de services permet aux moteurs de trouver +automatiquement les serveurs appropriés auxquels se connecter à l'aide d'une +requête DNS spéciale. Cette fonctionnalité n'est pas pris en charge pour sur +les serveurs secondaires. + </para> + <refsect2 id='configuration'> + <title>Configuration</title> + <para> + Si aucun serveur n'est spécifié, le moteur utilise automatiquement la +découverte de services pour tenter de trouver un serveur. L'utilisateur peut +aussi choisir d'utiliser des adresses de serveur et de découverte de +services fixes en insérant un mot-clé spécial, <quote>_srv_</quote>, dans la +liste des serveurs. L'ordre de préférence est maintenu. Cette fonctionnalité +est utile si, par exemple, l'utilisateur préfère utiliser la découverte de +services chaque fois que possible et se replier vers un serveur spécifique +lorsqu'aucun serveur ne peut être découvert à l'aide du DNS. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>Le nom de domaine</title> + <para> + Se reporter au paramètre <quote>dns_discovery_domain</quote> dans la page de +manuel <citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> pour plus de détails. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>Le protocole</title> + <para> + Les requêtes spécifient généralement _tcp comme protocole. Les exceptions +sont documentées dans les descriptions respectives des options. + </para> + </refsect2> + <refsect2 id='reference'> + <title>Voir aussi</title> + <para> + Pour plus d'informations sur le mécanisme de découverte de services, se +reporter à la RFC 2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/fr/include/upstream.xml b/src/man/fr/include/upstream.xml new file mode 100644 index 0000000..2a4ad16 --- /dev/null +++ b/src/man/fr/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>The SSSD upstream - +https://github.com/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/fr/sss_obfuscate.8.xml b/src/man/fr/sss_obfuscate.8.xml new file mode 100644 index 0000000..4981237 --- /dev/null +++ b/src/man/fr/sss_obfuscate.8.xml @@ -0,0 +1,97 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Pages de manuel de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>obscurcir un mot de passe en clair</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>[PASSWORD]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>DESCRIPTION</title> + <para> + <command>sss_obfuscate</command> convertit un mot de passe donné en un +format illisible par un humain et le place dans la section de domaine +appropriée du fichier de configuration SSSD. + </para> + <para> + Le mot de passe en clair est lu dans l'entrée standard ou entré +interactivement. Les mots de passes chiffrés sont mis dans +<quote>ldap_default_authtok</quote> pour un domaine SSSD donné et le +paramètre <quote>ldap_default_authtok_type</quote> est défini à +<quote>obfuscated_password</quote>. Cf. <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> pour plus de détails sur ces paramètres. + </para> + <para> + Veuillez noter que les mots de passe chiffrés ne fournissent <emphasis>aucun +réel bénéfice de sécurité</emphasis> étant donné qu'il est possible de +retrouver le mot de passe par ingénierie-inverse. Utiliser un meilleur +mécanisme d'authentification tel que les certificats côté client ou GSSAPI +est <emphasis>très</emphasis> conseillé. + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONS</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + Le mot de passe chiffré sera lu sur l'entrée standard. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAINE</replaceable> + </term> + <listitem> + <para> + Le domaine SSSD auquel est lié le mot de passe. Le nom par défaut est +<quote>default</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> +<replaceable>FICHIER</replaceable> + </term> + <listitem> + <para> + Lit le fichier de configuration spécifié par le paramètre. + </para> + <para> + Par défaut : <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/fr/sss_seed.8.xml b/src/man/fr/sss_seed.8.xml new file mode 100644 index 0000000..89634ed --- /dev/null +++ b/src/man/fr/sss_seed.8.xml @@ -0,0 +1,169 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Pages de manuel de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>initialise le cache SSSD avec un utilisateur</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg choice='plain'>-D +<replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n +<replaceable>USER</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>DESCRIPTION</title> + <para> + <command>sss_seed</command> initialise le cache SSSD avec une entrée +d'utilisateur et le mot de passe temporaire. Si une entrée d'utilisateur est +déjà présente dans le cache de SSSD, l'entrée est mise à jour avec le mot de +passe temporaire. + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONS</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>DOMAIN</replaceable> + </term> + <listitem> + <para> + Indique le nom de domaine duquel l'utilisateur est membre. Le domaine est +également utilisé pour récupérer les informations sur l'utilisateur. Le +domaine doit être configuré dans sssd.conf. L'option +<replaceable>DOMAIN</replaceable> doit être fournie. Les informations +récupérées depuis le domaine prennent le pas sur ce qui est fourni dans les +options. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>USER</replaceable> + </term> + <listitem> + <para> + Le nom d'utilisateur de l'entrée devant être créée ou modifiée dans le +cache. L'option <replaceable>USER</replaceable> doit être fournie. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable> + </term> + <listitem> + <para> + Définit l'UID de l'utilisateur à <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + Définit le GID de l'utilisateur à <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>COMMENTAIRE</replaceable> + </term> + <listitem> + <para> + Toute chaîne de caractère décrivant l'utilisateur. Souvent utilisé comme +champ pour le nom entier de l'utilisateur. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>HOME_DIR</replaceable> + </term> + <listitem> + <para> + Définit le répertoire de l'utilisateur à +<replaceable>HOME_DIR</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> +<replaceable>SHELL</replaceable> + </term> + <listitem> + <para> + Définit l'interpréteur de commande de l'utilisateur à +<replaceable>SHELL</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Mode interactif pour la saisie des informations de l'utilisateur. Cette +option invite uniquement à la saisir des renseignements non fournis dans les +options ou non récupérés à partir du domaine. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>PASS_FILE</replaceable> + </term> + <listitem> + <para> + Spécifie le fichier dans lequel lire le mot de passe de l'utilisateur. (si +aucun mot de passe n'est spécifié, il sera demandé) + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>NOTES</title> + <para> + La taille du mot de passe (ou la taille du fichier spécifié avec l'option -p +ou --password-file) doit être inférieure ou égale à PASS_MAX octets (64 +octets sur les systèmes sans valeur globale définie de PASS_MAX). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/fr/sss_ssh_knownhostsproxy.1.xml b/src/man/fr/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..74af794 --- /dev/null +++ b/src/man/fr/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,107 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Pages de manuel de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_knownhostsproxy</refname> + <refpurpose>obtenir les clés d'hôtes OpenSSH</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> +<replaceable>options</replaceable> </arg> <arg +choice='plain'><replaceable>HOST</replaceable></arg> <arg +choice='opt'><replaceable>PROXY_COMMAND</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>DESCRIPTION</title> + <para> + <command>sss_ssh_knownhostsproxy</command> acquires SSH host public keys for +host <replaceable>HOST</replaceable>, stores them in a custom OpenSSH +known_hosts file (see the <quote>SSH_KNOWN_HOSTS FILE FORMAT</quote> section +of <citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> for more information) +<filename>/var/lib/sss/pubconf/known_hosts</filename> and establishes the +connection to the host. + </para> + <para> + Si <replaceable>PROXY_COMMAND</replaceable> est indiqué, elle est alors +utilisée pour établier la connexion vers le système au lieu d'ouvrir une +socket. + </para> + <para> + <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> peut être configuré pour utiliser +<command>sss_ssh_knownhostsproxy</command> pour l'authentication par clés en +utilisant les directives suivantes pour la configuration de +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> : <programlisting> +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts +</programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>OPTIONS</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable> + </term> + <listitem> + <para> + Utiliser le port <replaceable>PORT</replaceable> pour se connecter au +système. Par défaut, le port 22 est utilisé. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMAINE</replaceable> + </term> + <listitem> + <para> + Rechercher les clés publiques dans le domaine SSSD +<replaceable>DOMAINE</replaceable> hôte. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-k</option>,<option>--pubkey</option> + </term> + <listitem> + <para> + Print the host ssh public keys for host <replaceable>HOST</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>CODE RETOUR</title> + <para> + Dans le cas d'un opération achevée avec succès, une valeur de retour de 0 +est renvoyée. Dans le cas contraire, 1 est renvoyé. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/fr/sssd-simple.5.xml b/src/man/fr/sssd-simple.5.xml new file mode 100644 index 0000000..f8ebdc8 --- /dev/null +++ b/src/man/fr/sssd-simple.5.xml @@ -0,0 +1,151 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Pages de manuel de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formats de fichier et conventions</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>le fichier de configuration pour le fournisseur de contrôle d'accès « +simple » de SSSD.</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPTION</title> + <para> + Cette page de manuel décrit la configuration du fournisseur de contrôle +d'accès simple de <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Pour plus de détails sur la +syntaxe, cf. la section <quote>FORMAT DE FICHIER</quote> de la page de +manuel <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Le fournisseur d'accès simple autorise les accès à partir de listes +d'autorisation ou de refus de noms d'utilisateurs ou de groupes. Les règles +suivantes s'appliquent : + <itemizedlist> + <listitem> + <para>Si toutes les listes sont vides, l'accès est autorisé</para> + </listitem> + <listitem> + <para> + Si une liste est fournie, quelle qu'elle soit, l'ordre d'évaluation est +allow,deny. Autrement dit une règle de refus écrasera une règle +d'autorisation. + </para> + </listitem> + <listitem> + <para> + Si la ou les listes fournies sont seulement de type « allow », tous les +utilisateurs sont refusés à moins qu'ils ne soient dans la liste. + </para> + </listitem> + <listitem> + <para> + Si seulement les listes « deny » sont utilisées, tous les utlisateurs sont +autorisés à moins qu'ils ne soient dans la liste. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>OPTIONS DE CONFIGURATION</title> + <para>Se référer à la section <quote>SECTIONS DE DOMAINE</quote> de la page de +manuel <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> pour les détails sur la +configuration d'un domaine SSSD. <variablelist> + <varlistentry> + <term>simple_allow_users (chaîne)</term> + <listitem> + <para> + Liste séparée par des virgules d'utilisateurs autorisés à se connecter. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (chaîne)</term> + <listitem> + <para> + Liste séparée par des virgules d'utilisateurs dont l'accès sera refusé. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (chaîne)</term> + <listitem> + <para> + Liste séparée par des virgules de groupes autorisés à se connecter. Ceci ne +s'applique qu'à des groupes dans un domaine SSSD. Les groupes locaux ne sont +pas pris en compte. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (chaîne)</term> + <listitem> + <para> + Liste séparée par des virgules de groupes dont l'accès sera refusé. Ceci ne +s'applique qu'à des groupes dans un domaine SSSD. Les groupes locaux ne sont +pas pris en compte. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Ne spécifier aucune valeur pour aucune des listes revient à l'ignorer +complètement. Se méfier de ceci lors de la création des paramètres pour le +fournisseur simple à l'aide automatique de scripts. + </para> + <para> + Veuillez noter que la configuration simultanée de simple_allow_users et +simple_deny_users est une erreur. + </para> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPLE</title> + <para> + L'exemple suivant suppose que SSSD est correctement configuré et que +example.com est un des domaines dans la section +<replaceable>[sssd]</replaceable>. Ces exemples montrent seulement les +options spécifiques du fournisseur d'accès simple. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTES</title> + <para> + The complete group membership hierarchy is resolved before the access check, +thus even nested groups can be included in the access lists. Please be +aware that the <quote>ldap_group_nesting_level</quote> option may impact the +results and should be set to a sufficient value. (<citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>) option. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |