summaryrefslogtreecommitdiffstats
path: root/src/man/ru/sssd.conf.5.xml
diff options
context:
space:
mode:
Diffstat (limited to 'src/man/ru/sssd.conf.5.xml')
-rw-r--r--src/man/ru/sssd.conf.5.xml4160
1 files changed, 4160 insertions, 0 deletions
diff --git a/src/man/ru/sssd.conf.5.xml b/src/man/ru/sssd.conf.5.xml
new file mode 100644
index 0000000..9911c1b
--- /dev/null
+++ b/src/man/ru/sssd.conf.5.xml
@@ -0,0 +1,4160 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
+"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"
+[
+<!ENTITY sssd_user_name SYSTEM "sssd_user_name.include">
+]>
+<reference>
+<title>Справка по SSSD</title>
+<refentry>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
+
+ <refmeta>
+ <refentrytitle>sssd.conf</refentrytitle>
+ <manvolnum>5</manvolnum>
+ <refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo>
+ </refmeta>
+
+ <refnamediv id='name'>
+ <refname>sssd.conf</refname>
+ <refpurpose>файл конфигурации SSSD</refpurpose>
+ </refnamediv>
+
+ <refsect1 id='file-format'>
+ <title>ФОРМАТ ФАЙЛА</title>
+
+ <para>
+ В файле используются синтаксические конструкции в стиле ini, он состоит из
+разделов и параметров. Раздел начинается с имени раздела в квадратных
+скобках и продолжается до начала нового раздела. Пример раздела с
+параметрами, которые имеют одно или несколько значений: <programlisting>
+<replaceable>[section]</replaceable>
+<replaceable>key</replaceable> = <replaceable>value</replaceable>
+<replaceable>key2</replaceable> = <replaceable>value2,value3</replaceable>
+ </programlisting>
+ </para>
+
+ <para>
+ Используемые типы данных: строка (кавычки не требуются), целое число и
+логическое значение (возможны два значения: <quote>TRUE</quote> или
+<quote>FALSE</quote>).
+ </para>
+
+ <para>
+ Строка комментария начинается со знака «решётка» (<quote>#</quote>) или
+точки с запятой (<quote>;</quote>). Поддержка встроенных комментариев не
+предусмотрена.
+ </para>
+
+ <para>
+ Для всех разделов предусмотрен необязательный параметр
+<replaceable>description</replaceable>. Он предназначен только для
+обозначения раздела.
+ </para>
+
+ <para>
+ <filename>sssd.conf</filename> должен быть обычным файлом, владельцем
+которого является пользователь root. Права на чтение этого файла или запись
+в него должен иметь только пользователь root.
+ </para>
+ </refsect1>
+
+ <refsect1 id='config-snippets'>
+ <title>ФРАГМЕНТЫ КОНФИГУРАЦИИ ИЗ КАТАЛОГА ВКЛЮЧЕНИЯ</title>
+
+ <para>
+ В файл конфигурации <filename>sssd.conf</filename> будут включены фрагменты
+конфигурации из каталога <filename>conf.d</filename>. Эта возможность
+доступна, если сборка SSSD была выполнена с библиотекой libini версии 1.3.0
+или более поздней.
+ </para>
+
+ <para>
+ Любой находящийся в каталоге <filename>conf.d</filename> файл, имя которого
+заканчивается расширением <quote><filename>.conf</filename></quote> и не
+начинается с точки (<quote>.</quote>), будет использоваться для настройки
+SSSD вместе с файлом <filename>sssd.conf</filename>.
+ </para>
+
+ <para>
+ Фрагменты конфигурации из каталога <filename>conf.d</filename> имеют более
+высокий приоритет, чем файл <filename>sssd.conf</filename>. В случае
+возникновения конфликтов они переопределят параметры, заданные в файле
+<filename>sssd.conf</filename>. Если в каталоге <filename>conf.d</filename>
+присутствуют несколько фрагментов, их включение выполняется в алфавитном
+порядке (на основе локали). Чем позже включён файл, тем выше его
+приоритет. Числовые префиксы (<filename>01_snippet.conf</filename>,
+<filename>02_snippet.conf</filename> и так далее) могут помочь
+визуализировать приоритет (чем больше число, тем выше приоритет).
+ </para>
+
+ <para>
+ Файлы фрагментов должны иметь того же владельца и те же права доступа, что и
+файл <filename>sssd.conf</filename>. По умолчанию: root:root и 0600.
+ </para>
+ </refsect1>
+
+ <refsect1 id='general-options'>
+ <title>ОБЩИЕ ПАРАМЕТРЫ</title>
+ <para>
+ Следующие параметры используются в нескольких разделах конфигурации.
+ </para>
+ <refsect2 id='all-section-options'>
+ <title>Параметры, используемые во всех разделах</title>
+ <para>
+ <variablelist>
+ <varlistentry>
+ <term>debug_level (целое число)</term>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" />
+ </varlistentry>
+ <varlistentry>
+ <term>debug (целое число)</term>
+ <listitem>
+ <para>
+ В SSSD 1.14 и более поздних версиях для параметра
+<replaceable>debug_level</replaceable> из соображений удобства предусмотрен
+псевдоним <replaceable>debug</replaceable>. Если указаны оба параметра,
+будет использовано значение <replaceable>debug_level</replaceable>.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>debug_timestamps (логическое значение)</term>
+ <listitem>
+ <para>
+ Добавить к сообщениям отладки отметку времени. Если для ведения журнала
+отладки SSSD включена служба journald, этот параметр будет игнорироваться.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>debug_microseconds (логическое значение)</term>
+ <listitem>
+ <para>
+ Добавить микросекунды в отметку времени в сообщениях отладки. Если для
+ведения журнала отладки SSSD включена служба journald, этот параметр будет
+игнорироваться.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>debug_backtrace_enabled (логическое значение)</term>
+ <listitem>
+ <para>
+ Включить обратную трассировку отладки.
+ </para>
+ <para>
+ Если SSSD работает со значением debug_level, которое меньше 9, весь журнал
+работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала
+при возникновении любой ошибки до уровня `min(0x0040, debug_level)`
+включительно (если для параметра debug_level явно указано значение 0 или 1,
+только ошибки соответствующих уровней вызовут обратную трассировку; в ином
+случае — до 2).
+ </para>
+ <para>
+ Возможность поддерживается только для `logger == files` (параметр не влияет
+на другие типы журнала).
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </refsect2>
+
+ <refsect2 id='services-and-domains-section-options'>
+ <title>Параметры, используемые в разделах SERVICE и DOMAIN</title>
+ <para>
+ <variablelist>
+ <varlistentry>
+ <term>timeout (целое число)</term>
+ <listitem>
+ <para>
+ Тайм-аут в секундах между пакетами пульса этой службы. Используется, чтобы
+убедиться в том, что процесс работает и может отвечать на запросы. Обратите
+внимание: после трёх пропущенных пакетов пульса процесс самостоятельно
+завершит свою работу.
+ </para>
+ <para>
+ По умолчанию: 10
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </refsect2>
+ </refsect1>
+
+ <refsect1 id='special-sections'>
+ <title>ОСОБЫЕ РАЗДЕЛЫ</title>
+
+ <refsect2 id='services'>
+ <title>Раздел [sssd]</title>
+ <para>
+ Отдельные функциональные возможности SSSD обеспечиваются специальными
+службами SSSD, которые запускаются и останавливаются вместе с SSSD. Эти
+службы находятся под управлением специальной службы, которую часто называют
+<quote>монитором</quote>. Настройка монитора и некоторых других важных
+параметров (например, доменов идентификации) выполняется в разделе
+<quote>[sssd]</quote>. <variablelist>
+ <title>Параметры раздела</title>
+ <varlistentry>
+ <term>config_file_version (целое число)</term>
+ <listitem>
+ <para>
+ Обозначает версию синтаксических конструкций файла конфигурации. Для SSSD
+0.6.0 и более поздних версий используется версия 2.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>services</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список служб, которые запускаются вместе с
+sssd. <phrase condition="have_systemd"> Список служб является необязательным
+на платформах, которые поддерживают systemd, так как эти службы при
+необходимости будут активированы с помощью сокета или D-Bus. </phrase>
+ </para>
+ <para>
+ Поддерживаемые службы: nss, pam <phrase condition="with_sudo">,
+sudo</phrase> <phrase condition="with_autofs">, autofs</phrase> <phrase
+condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">,
+pac</phrase> <phrase condition="with_ifp">, ifp</phrase>
+ </para>
+ <para>
+ <phrase condition="have_systemd"> По умолчанию все службы
+отключены. Администратор должен включить разрешённые для использования
+службы с помощью следующей команды: «systemctl enable
+sssd-@service@.socket». </phrase>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>reconnection_retries (целое число)</term>
+ <listitem>
+ <para>
+ Количество попыток восстановления подключения службами в случае сбоя или
+перезапуска поставщика данных
+ </para>
+ <para>
+ По умолчанию: 3
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>domains</term>
+ <listitem>
+ <para>
+ Домен — это база данных, содержащая сведения о пользователях. SSSD
+поддерживает использование сразу нескольких доменов, но необходимо настроить
+как минимум один — иначе запуск SSSD не будет выполнен. С помощью этого
+параметра можно указать список доменов в том порядке, в котором к ним
+следует отправлять запросы. Рекомендуется использовать в именах доменов
+только буквенно-цифровые символы ASCII, дефисы, точки и знаки
+подчёркивания. Символ «/» использовать нельзя.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>re_expression (строка)</term>
+ <listitem>
+ <para>
+ Регулярное выражение по умолчанию, которое задаёт способ обработки строки,
+содержащей имя пользователя и домен, для выделения этих частей.
+ </para>
+ <para>
+ Для каждого домена можно настроить отдельное регулярное выражение. Для
+некоторых поставщиков ID также предусмотрены регулярные выражения по
+умолчанию. Более подробные сведения об этих регулярных выражениях доступны в
+разделе справки «РАЗДЕЛЫ ДОМЕНА».
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>full_name_format (строка)</term>
+ <listitem>
+ <para>
+ Совместимый с <citerefentry> <refentrytitle>printf</refentrytitle>
+<manvolnum>3</manvolnum> </citerefentry> формат, который описывает способ
+создания полностью определённого имени из имени пользователя и имени домена.
+ </para>
+ <para>
+ Поддерживаются следующие расширения: <variablelist>
+ <varlistentry>
+ <term>%1$s</term>
+ <listitem><para>имя пользователя</para></listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>%2$s</term>
+ <listitem>
+ <para>
+ имя домена, указанное в файле конфигурации SSSD.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>%3$s</term>
+ <listitem>
+ <para>
+ плоское имя домена. Чаще всего используется для доменов Active Directory,
+как непосредственно настроенных, так и обнаруженных с помощью отношений
+доверия IPA.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Для каждого домена можно настроить отдельную строку формата. Более подробные
+сведения об этом параметре доступны в разделе справки «РАЗДЕЛЫ ДОМЕНОВ».
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>monitor_resolv_conf (логическое значение)</term>
+ <listitem>
+ <para>
+ Управляет тем, следует ли SSSD отслеживать состояние resolv.conf для
+определения момента, когда требуется обновить данные встроенного
+сопоставителя DNS.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>try_inotify (логическое значение)</term>
+ <listitem>
+ <para condition="have_inotify">
+ По умолчанию SSSD будет пытаться использовать inotify для отслеживания
+изменений файлов конфигурации. Если невозможно использовать inotify, вместо
+этого снова будет выполняться опрос каждые пять секунд.
+ </para>
+ <para condition="have_inotify">
+ В некоторых редких ситуациях не следует даже пытаться использовать
+inotify. В таких случаях в этот параметр следует установить значение «false»
+ </para>
+ <para condition="have_inotify">
+ По умолчанию: true на платформах, которые поддерживают inotify. False на
+других платформах.
+ </para>
+ <para>
+ Примечание: этот параметр ни на что не влияет на тех платформах, где
+недоступна подсистема inotify. На этих платформах всегда будет
+использоваться опрос.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>krb5_rcache_dir (строка)</term>
+ <listitem>
+ <para>
+ Каталог файловой системы, в котором SSSD следует сохранять файлы кэша
+повтора Kerberos.
+ </para>
+ <para>
+ Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое
+указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша
+повтора.
+ </para>
+ <para>
+ По умолчанию: зависит от дистрибутива и указывается при
+сборке. (__LIBKRB5_DEFAULTS__, если не настроено)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="with_non_root_user_support">
+ <term>user (строка)</term>
+ <listitem>
+ <para>
+ The user to drop the privileges to where appropriate to avoid running as the
+root user. Currently the only supported value is '&sssd_user_name;'.
+ </para>
+
+ <para condition="have_systemd">
+ This option does not work when running socket-activated services, as the
+user set up to run the processes is set up during compilation time. The way
+to override the systemd unit files is by creating the appropriate files in
+/etc/systemd/system/. Keep in mind that any change in the socket user,
+group or permissions may result in a non-usable SSSD. The same may occur in
+case of changes of the user running the NSS responder.
+ </para>
+
+ <para>
+ По умолчанию: не задано, процесс будет запущен от имени пользователя root
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>default_domain_suffix (строка)</term>
+ <listitem>
+ <para>
+ Эта строка будет использоваться как стандартное имя домена для всех имён без
+компонента имени домена. В основном, этот параметр применяется в средах, где
+основной домен предназначен для управления политиками узлов и все
+пользователи находятся в доверенном домене. Параметр позволяет этим
+пользователям входить в систему, предоставляя только своё имя пользователя и
+не указывая имя домена.
+ </para>
+ <para>
+ Please note that if this option is set all users from the primary domain
+have to use their fully qualified name, e.g. user@domain.name, to log
+in. Setting this option changes default of use_fully_qualified_names to
+True. It is not allowed to use this option together with
+use_fully_qualified_names set to False. <phrase
+condition="with_files_provider"> One exception from this rule are domains
+with <quote>id_provider=files</quote> that always try to match the behaviour
+of nss_files and therefore their output is not qualified even when the
+default_domain_suffix option is used. </phrase>
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>override_space (строка)</term>
+ <listitem>
+ <para>
+ С помощью этого параметра пробелы (клавиша «пробел») в именах пользователей
+и групп можно заменить указанным символом, например «_». Имя пользователя
+&quot;john doe&quot; превратится в &quot;john_doe&quot;. Эта возможность
+была добавлена для обеспечения совместимости со сценариями оболочки, у
+которых возникают проблемы при обработке пробелов из-за того, что в оболочке
+пробел является стандартным разделителем полей.
+ </para>
+ <para>
+ Обратите внимание, что использование заменяющего символа, который может
+использоваться в именах пользователей или групп, является ошибкой
+конфигурации. Если имя содержит заменяющий символ, SSSD выполнит попытку
+вернуть неизменённое имя, но в целом результат поиска будет не определён.
+ </para>
+ <para>
+ По умолчанию: не задано (пробелы не будут заменены)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>certificate_verification (строка)</term>
+ <listitem>
+ <para>
+ При установке этого параметра проверку сертификатов можно настроить с
+помощью разделённого запятыми списка параметров. Поддерживаемые параметры:
+<variablelist>
+ <varlistentry>
+ <term>no_ocsp</term>
+ <listitem>
+ <para>Отключает проверки OCSP. Это может потребоваться, если указанные в
+сертификате серверы OCSP недоступны со стороны клиента.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>soft_ocsp</term>
+ <listitem>
+ <para> Если соединение с ответчиком OCSP невозможно установить, проверка OCSP будет
+пропущена. Этот параметр следует использовать для того, чтобы разрешить
+проверку подлинности, когда система находится в автономном режиме и нельзя
+связаться с ответчиком OCSP.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ocsp_dgst</term>
+ <listitem>
+ <para>Функция вычисления контрольной суммы (хэша), используемая для создания ID
+сертификата для запроса OCSP. Допустимые значения:
+ <itemizedlist>
+ <listitem><para>sha1</para></listitem>
+ <listitem><para>sha256</para></listitem>
+ <listitem><para>sha384</para></listitem>
+ <listitem><para>sha512</para></listitem>
+ </itemizedlist></para>
+ <para>
+ По умолчанию: sha1 (для обеспечения совместимости с ответчиком,
+соответствующим стандарту RFC5019)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>no_verification</term>
+ <listitem>
+ <para>Полностью отключает проверку. Этот параметр следует использовать только для
+тестирования.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>partial_chain</term>
+ <listitem>
+ <para>Разрешить признать проверку успешной даже в том случае, если не удаётся
+построить <replaceable>полную</replaceable> цепочку до самоподписанного
+якоря доверия, при условии, что возможно построить цепочку до доверенного
+сертификата, который может быть не самоподписанным.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ocsp_default_responder=URL</term>
+ <listitem>
+ <para>Задаёт стандартный ответчик OCSP, который следует использовать вместо
+ответчика, указанного в сертификате. URL необходимо заменить URL-адресом
+стандартного ответчика OCSP, например: http://example.com:80/ocsp.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ ocsp_default_responder_signing_cert=NAME</term>
+ <listitem>
+ <para>В настоящее время этот параметр игнорируется. Все необходимые сертификаты
+должны быть доступны в файле PEM, указанном параметром pam_cert_db_path.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>crl_file=/ПУТЬ/К/ФАЙЛУ/CRL</term>
+ <listitem>
+ <para>Использовать список отзыва сертификатов (CRL) из указанного файла при
+проверке этого сертификата. CRL должен быть указан в формате PEM. Подробнее:
+<citerefentry> <refentrytitle>crl</refentrytitle>
+<manvolnum>1ssl</manvolnum> </citerefentry>.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>soft_crl</term>
+ <listitem>
+ <para>
+ Если срок действия списка отзыва сертификатов (CRL) истёк, игнорировать
+проверки CRL для соответствующих сертификатов. Этот параметр следует
+использовать, чтобы разрешить проверку подлинности, когда система находится
+в автономном режиме и нельзя обновить CRL.</para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Неизвестные параметры передаются, но игнорируются.
+ </para>
+ <para>
+ По умолчанию: не задано, то есть не ограничивать проверку сертификатов
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>disable_netlink (логическое значение)</term>
+ <listitem>
+ <para>
+ SSSD подключается к интерфейсу netlink для отслеживания изменений в
+маршрутах,адресах, ссылках и вызова определённых действий.
+ </para>
+ <para>
+ Изменения состояния SSSD, вызванные событиями netlink, могут быть
+нежелательными. Чтобы их отключить, установите этот параметр в значение
+«true»
+ </para>
+ <para>
+ По умолчанию: false (изменения netlink обнаруживаются)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="with_files_provider">
+ <term>enable_files_domain (логическое значение)</term>
+ <listitem>
+ <para>
+ Когда этот параметр включён, SSSD добавляет перед всеми явно настроенными
+доменами неявный домен с<quote>id_provider=files</quote>.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>domain_resolution_order</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список доменов и поддоменов, который указывает порядок
+поиска. В список не требуется включать все возможные домены, так как поиск
+отсутствующих доменов будет выполняться на основе порядка, в котором они
+представлены в параметре конфигурации <quote>domains</quote>. Поиск
+поддоменов, которые не указаны в параметре <quote>lookup_order</quote>,
+будет выполняться в случайном порядке для каждого родительского домена.
+ </para>
+ <para>
+ Please, note that when this option is set the output format of all commands
+is always fully-qualified even when using short names for input <phrase
+condition="with_files_provider"> , for all users but the ones managed by the
+files provider </phrase>. In case the administrator wants the output not
+fully-qualified, the full_name_format option can be used as shown below:
+<quote>full_name_format=%1$s</quote> However, keep in mind that during
+login, login applications often canonicalize the username by calling
+<citerefentry> <refentrytitle>getpwnam</refentrytitle>
+<manvolnum>3</manvolnum> </citerefentry> which, if a shortname is returned
+for a qualified input (while trying to reach a user which exists in multiple
+domains) might re-route the login attempt into the domain which uses
+shortnames, making this workaround totally not recommended in cases where
+usernames may overlap between domains.
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>implicit_pac_responder (логическое значение)</term>
+ <listitem>
+ <para>
+ Ответчик PAC включается автоматически для поставщиков IPA и AD для оценки и
+проверки PAC. Если его необходимо отключить, установите для этого параметра
+значение «false».
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>core_dumpable (логическое значение)</term>
+ <listitem>
+ <para>
+ Этот параметр можно использовать для общей защиты системы: установка
+значения «false» запрещает создание дампов памяти для всех процессов SSSD,
+чтобы избежать утечки паролей в открытом виде. Дополнительные сведения
+доступны на справочной странице prctl:PR_SET_DUMPABLE.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="build_passkey">
+ <term>passkey_verification (string)</term>
+ <listitem>
+ <para>
+ With this parameter the passkey verification can be tuned with a comma
+separated list of options. Supported options are: <variablelist>
+ <varlistentry>
+ <term>user_verification (boolean)</term>
+ <listitem>
+ <para> Enable or disable the user verification (i.e. PIN, fingerprint) during
+authentication. If enabled, the PIN will always be requested.
+ </para>
+ <para>
+ The default is that the key settings decide what to do. In the IPA or
+kerberos pre-authentication case, this value will be overwritten by the
+server.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </refsect2>
+
+ </refsect1>
+
+ <refsect1 id='services-sections'>
+ <title>РАЗДЕЛЫ СЛУЖБ</title>
+ <para>
+ В этом разделе приводится описание параметров, которые можно использовать
+для настройки различных служб. Они должны находится в разделах с именами
+[<replaceable>$NAME</replaceable>]. Например, для службы NSS это будет
+раздел <quote>[nss]</quote>
+ </para>
+
+ <refsect2 id='general'>
+ <title>Общие параметры настройки служб</title>
+ <para>
+ Эти параметры можно использовать для настройки любых служб.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>reconnection_retries (целое число)</term>
+ <listitem>
+ <para>
+ Количество попыток восстановления подключения службами в случае сбоя или
+перезапуска поставщика данных
+ </para>
+ <para>
+ По умолчанию: 3
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>fd_limit</term>
+ <listitem>
+ <para>
+ Этот параметр задаёт максимальное количество файловых дескрипторов, которые
+может одновременно открыть этот процесс SSSD. В системах, где у SSSD имеется
+возможность CAP_SYS_RESOURCE, этот параметр будет использоваться независимо
+от других параметров системы. В системах без такой возможности количество
+дескрипторов будет определяться наименьшим значением этого параметра или
+ограничением «hard» в limits.conf.
+ </para>
+ <para>
+ По умолчанию: 8192 (или ограничение «hard» в limits.conf)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>client_idle_timeout</term>
+ <listitem>
+ <para>
+ Этот параметр задаёт количество секунд, в течение которого клиент процесса
+SSSD может удерживать файловый дескриптор без передачи данных. Это значение
+ограничено в целях предотвращения исчерпания ресурсов системы. Оно не может
+быть меньше 10 секунд. Если указано меньшее значение, оно будет исправлено
+на 10 секунд.
+ </para>
+ <para>
+ По умолчанию: 60, KCM: 300
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>offline_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Когда SSSD переключается в автономный режим, количество времени до
+выполнения попытки вернуться в сеть будет увеличиваться в соответствии со
+временем, проведённым без подключения. По умолчанию SSSD использует
+приращение для расчёта задержки между повторными попытками. Поэтому время
+ожидания для конкретной попытки будет больше, чем для предыдущих. После
+каждой неудачной попытки вернуться в сеть интервал будет пересчитываться по
+следующей формуле:
+ </para>
+ <para>
+ new_delay = Minimum(old_delay * 2, offline_timeout_max) +
+random[0...offline_timeout_random_offset]
+ </para>
+ <para>
+ Стандартное значение offline_timeout составляет 60. Стандартное значение
+offline_timeout_max — 3600. Стандартное значение
+offline_timeout_random_offset — 30. Конечный результат представляет собой
+количество секунд до следующей попытки.
+ </para>
+ <para>
+ Обратите внимание, что максимальная длительность каждого интервала задана
+параметром offline_timeout_max (кроме случайной части).
+ </para>
+ <para>
+ По умолчанию: 60
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>offline_timeout_max (целое число)</term>
+ <listitem>
+ <para>
+ Управляет тем, насколько можно увеличить время между попытками вернуться в
+сеть после неудачных попыток восстановления подключения.
+ </para>
+ <para>
+ Значение «0» отключает использование приращения.
+ </para>
+ <para>
+ Значение этого параметра следует устанавливать с учётом значения параметра
+offline_timeout.
+ </para>
+ <para>
+ Если параметр offline_timeout установлен в значение «60» (значение по
+умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение
+меньше 120, поскольку первый же шаг увеличения приведёт к его
+превышению. Общее правило таково: значение offline_timeout_max должно по
+крайней мере в 4 раза превышать значение offline_timeout.
+ </para>
+ <para>
+ Несмотря на то, что возможно указать значение от 0 до offline_timeout,
+результатом этого станет переопределение значения offline_timeout, что не
+имеет практического смысла.
+ </para>
+ <para>
+ По умолчанию: 3600
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>offline_timeout_random_offset (целое число)</term>
+ <listitem>
+ <para>
+ Когда сервис SSSD находится в автономном режиме, он продолжает обращаться к
+внутренним серверам через заданные промежутки времени:
+ </para>
+ <para>
+ new_delay = Minimum(old_delay * 2, offline_timeout_max) +
+random[0...offline_timeout_random_offset]
+ </para>
+ <para>
+ Этот параметр управляет значением случайной задержки, которое используется
+для приведённого выше уравнения. Итоговым значением random_offset будет
+случайное число, принадлежащее диапазону:
+ </para>
+ <para>
+ [0 - offline_timeout_random_offset]
+ </para>
+ <para>
+ Значение «0» отключает добавление случайной задержки.
+ </para>
+ <para>
+ По умолчанию: 30
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>responder_idle_timeout</term>
+ <listitem>
+ <para>
+ Этот параметр задаёт количество секунд, в течение которого процесс ответчика
+SSSD может работать без использования. Это значение ограничено в целях
+предотвращения исчерпания ресурсов системы. Минимально допустимое значение:
+60 секунд. Установка этого параметра в значение «0» (ноль) означает, что для
+ответчика не устанавливается тайм-аут. Этот параметр используется только в
+том случае, если сервис SSSD собран с поддержкой systemd и если службы
+активируются с помощью сокетов или D-Bus.
+ </para>
+ <para>
+ По умолчанию: 300
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>cache_first</term>
+ <listitem>
+ <para>
+ Этот параметр определяет, следует ли ответчику опрашивать все кэши перед
+опросом поставщиков данных.
+ </para>
+ <para condition="with_files_provider">
+ По умолчанию: false
+ </para>
+ <para condition="without_files_provider">
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2 id='NSS'>
+ <title>Параметры настройки NSS</title>
+ <para>
+ Эти параметры можно использовать для настройки службы диспетчера службы имён
+(NSS).
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>enum_cache_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Длительность хранения перечислений (запросов информации обо всех
+пользователях) в кэше nss_sss в секундах
+ </para>
+ <para>
+ По умолчанию: 120
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>entry_cache_nowait_percentage (целое число)</term>
+ <listitem>
+ <para>
+ Можно настроить кэш записей на автоматическое обновление записей в фоновом
+режиме, если запрос о них поступает в срок, определённый в процентах от
+значения entry_cache_timeout для домена.
+ </para>
+ <para>
+ Например, если параметр entry_cache_timeout домена установлен в значение
+«30s» (секунд), а параметр entry_cache_nowait_percentage установлен в
+значение «50» (процентов), записи, которые поступят через 15 секунд после
+последнего обновления кэша, будут возвращены сразу, но SSSD выполнит
+обновление кэша, поэтому будущим запросам не потребуется блокировка в
+ожидании обновления кэша.
+ </para>
+ <para>
+ Корректные значения этого параметра находятся в диапазоне 0-99 и
+представляют собой значение в процентах от entry_cache_timeout для каждого
+домена. Чтобы сохранить производительность, это значение никогда не
+уменьшает тайм-аут nowait так, что он становится меньше 10 секунд. Установка
+значения «0» отключает эту возможность.
+ </para>
+ <para>
+ По умолчанию: 50
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>entry_negative_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Означает количество секунд, в течение которого в кэше nss_sss будут
+храниться неудачные обращения к кэшу (запросы некорректных записей базы
+данных, например, несуществующих) перед повторным запросом к внутреннему
+серверу.
+ </para>
+ <para>
+ По умолчанию: 15
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>local_negative_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Означает количество секунд, в течение которого в негативном кэше nss_sss
+будут храниться локальные пользователи и группы перед попыткой повторного
+поиска на внутреннем сервере. Установка значения «0» отключает эту
+возможность.
+ </para>
+ <para>
+ По умолчанию: 14400 (4 часа)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>filter_users, filter_groups (строка)</term>
+ <listitem>
+ <para>
+ Исключить определённых пользователей или группы из списка получения данных
+из базы данных NSS sss. Эта возможность особенно полезна для системных
+учётных записей. Этот параметр также можно задать для каждого домена
+отдельно или включить в него полные имена, чтобы выполнить фильтрацию только
+пользователей из конкретного домена или по именам участников-пользователей
+(UPN).
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников
+вложенных групп, так как фильтрация выполняется после их распространения для
+возврата с помощью NSS. Например, в списке участников группы, вложенная
+группа которой была отфильтрована, останутся пользователи из этой
+отфильтрованной вложенной группы.
+ </para>
+ <para>
+ По умолчанию: root
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>filter_users_in_groups (логическое значение)</term>
+ <listitem>
+ <para>
+ Если отфильтрованные пользователи должны оставаться участниками групп,
+установите этот параметр в значение «false».
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
+ <varlistentry>
+ <term>fallback_homedir (строка)</term>
+ <listitem>
+ <para>
+ Установить стандартный шаблон для домашнего каталога пользователя, если он
+явно не указан поставщиком данных домена.
+ </para>
+ <para>
+ Допустимые значения этого параметра совпадают с допустимыми значениями
+параметра override_homedir.
+ </para>
+ <para>
+ пример: <programlisting>
+fallback_homedir = /home/%u
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: не задано (без замен для незаданных домашних каталогов)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>override_shell (строка)</term>
+ <listitem>
+ <para>
+ Переопределить командную оболочку входа для всех пользователей. Этот
+параметр имеет приоритет над любыми другими параметрами оболочки, когда
+действует. Его возможно установить либо в разделе [nss], либо для каждого
+домена отдельно.
+ </para>
+ <para>
+ По умолчанию: не задано (SSSD будет использовать значение, полученное от
+LDAP)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>allowed_shells (строка)</term>
+ <listitem>
+ <para>
+ Ограничить оболочку пользователя одним из указанных в списке
+значений. Порядок вычисления:
+ </para>
+ <para>
+ 1. Если оболочка присутствует в файле <quote>/etc/shells</quote>, будет
+использована она.
+ </para>
+ <para>
+ 2. Если оболочка присутствует в списке allowed_shells, но не в файле
+<quote>/etc/shells</quote>, использовать значение параметра shell_fallback.
+ </para>
+ <para>
+ 3. Если оболочка отсутствует в списке allowed_shells и файле
+<quote>/etc/shells</quote>, будет использована оболочка, которая не требует
+входа.
+ </para>
+ <para>
+ Чтобы разрешить использование любой оболочки, можно использовать
+подстановочный знак (*).
+ </para>
+ <para>
+ Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда
+оболочка пользователя отсутствует в файле <quote>/etc/shells</quote>, а
+ведение списка всех разрешённых оболочек в allowed_shells было бы излишним.
+ </para>
+ <para>
+ Пустая строка оболочки передаётся libc «как есть».
+ </para>
+ <para>
+ Чтение файла <quote>/etc/shells</quote> выполняется только при запуске
+SSSD. Следовательно, в случае установки новой оболочки потребуется
+перезапуск SSSD.
+ </para>
+ <para>
+ По умолчанию: не задано. Автоматически используется оболочка пользователя.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>vetoed_shells (строка)</term>
+ <listitem>
+ <para>
+ Заменять все экземпляры этих оболочек на shell_fallback
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>shell_fallback (строка)</term>
+ <listitem>
+ <para>
+ Оболочка по умолчанию, которую следует использовать, если разрешённая
+оболочка не установлена на компьютере.
+ </para>
+ <para>
+ По умолчанию: /bin/sh
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>default_shell</term>
+ <listitem>
+ <para>
+ Оболочка по умолчанию, которую следует использовать, если поставщик не
+вернул оболочку при поиске. Этот параметр можно указать как глобальный в
+разделе [nss] или для каждого домена отдельно.
+ </para>
+ <para>
+ По умолчанию: не задано (вернуть NULL, если оболочка не указана, и
+положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>get_domains_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Указывает время в секундах, в течение которого список поддоменов считается
+действительным.
+ </para>
+ <para>
+ По умолчанию: 60
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>memcache_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Указывает время в секундах, в течение которого записи кэша в памяти будут
+оставаться действительными. Установка этого параметра в значение «0»
+отключит кэш в памяти.
+ </para>
+ <para>
+ По умолчанию: 300
+ </para>
+ <para>
+ ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное
+воздействие на производительность SSSD. Этот параметр следует использовать
+только для тестирования.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в
+значение «NO», клиентские приложения не будут использовать быстрый кэш в
+памяти.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>memcache_size_passwd (целое число)</term>
+ <listitem>
+ <para>
+ Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в
+памяти для запросов passwd. Установка размера в значение «0» отключит кэш в
+памяти для запросов passwd.
+ </para>
+ <para>
+ По умолчанию: 8
+ </para>
+ <para>
+ ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет
+значительное негативное воздействие на производительность SSSD.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в
+значение «NO», клиентские приложения не будут использовать быстрый кэш в
+памяти.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>memcache_size_group (целое число)</term>
+ <listitem>
+ <para>
+ Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в
+памяти для запросов group. Установка размера в значение «0» отключит кэш в
+памяти для запросов group.
+ </para>
+ <para>
+ По умолчанию: 6
+ </para>
+ <para>
+ ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет
+значительное негативное воздействие на производительность SSSD.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в
+значение «NO», клиентские приложения не будут использовать быстрый кэш в
+памяти.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>memcache_size_initgroups (целое число)</term>
+ <listitem>
+ <para>
+ Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в
+памяти для запросов групп инициализации. Установка размера в значение «0»
+отключит кэш в памяти для запросов групп инициализации.
+ </para>
+ <para>
+ По умолчанию: 10
+ </para>
+ <para>
+ ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет
+значительное негативное воздействие на производительность SSSD.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в
+значение «NO», клиентские приложения не будут использовать быстрый кэш в
+памяти.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>memcache_size_sid (целое число)</term>
+ <listitem>
+ <para>
+ Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в
+памяти для связанных с SID запросов. В настоящее время кэширование в быстрой
+памяти предусмотрено только для запросов SID-по-ID и ID-по-SID. Установка
+размера в значение «0» отключит кэш SID в памяти.
+ </para>
+ <para>
+ По умолчанию: 6
+ </para>
+ <para>
+ ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет
+значительное негативное воздействие на производительность SSSD.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в
+значение «NO», клиентские приложения не будут использовать быстрый кэш в
+памяти.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>user_attributes (строка)</term>
+ <listitem>
+ <para>
+ Некоторые из дополнительных запросов ответчика NSS могут возвращать больше
+атрибутов, чем просто атрибуты POSIX, определённые интерфейсом NSS. Этот
+параметр управляет списком атрибутов. Обработка выполняется тем же способом,
+что и для параметра <quote>user_attributes</quote> ответчика InfoPipe
+(см. <citerefentry> <refentrytitle>sssd-ifp</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>), но без стандартных значений.
+ </para>
+ <para>
+ Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан
+ли он для ответчика NSS.
+ </para>
+ <para>
+ По умолчанию: не задано, использовать параметр InfoPipe
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pwfield (строка)</term>
+ <listitem>
+ <para>
+ Значение, которое операции NSS, возвращающие пользователей или группы,
+вернут для поля <quote>password</quote>.
+ </para>
+ <para>
+ По умолчанию: <quote>*</quote>
+ </para>
+ <para>
+ Примечание: этот параметр также можно задать для каждого домена отдельно,
+что будет иметь приоритет над значением в разделе [nss].
+ </para>
+ <para>
+ Default: <quote>not set</quote> (remote domains), <phrase
+condition="with_files_provider"> <quote>x</quote> (the files domain),
+</phrase> <quote>x</quote> (proxy domain with nss_files and sssd-shadowutils
+target)
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+ <refsect2 id='PAM'>
+ <title>Параметры настройки PAM</title>
+ <para>
+ Эти параметры можно использовать для настройки службы подключаемых модулей
+проверки подлинности (PAM).
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>offline_credentials_expiration (целое число)</term>
+ <listitem>
+ <para>
+ Определяет как долго следует разрешать вход по кэшированным данным, если
+поставщик данных для аутентификации находится в автономном режиме (в днях с
+момента последнего успешного входа).
+ </para>
+ <para>
+ По умолчанию: 0 (без ограничений)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>offline_failed_login_attempts (целое число)</term>
+ <listitem>
+ <para>
+ Если поставщик данных для проверки подлинности находится в автономном
+режиме, сколько следует допускать неудачных попыток входа.
+ </para>
+ <para>
+ По умолчанию: 0 (без ограничений)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>offline_failed_login_delay (целое число)</term>
+ <listitem>
+ <para>
+ Время в минутах, которое должно пройти после достижения значения
+offline_failed_login_attempts, прежде чем станет возможной новая попытка
+входа.
+ </para>
+ <para>
+ Если задано значение «0», пользователь не сможет пройти проверку подлинности
+в автономном режиме после достижения значения
+offline_failed_login_attempts. Для того, чтобы проверка подлинности в
+автономном режиме снова стала возможной, необходимо успешно пройти проверку
+подлинности в сетевом режиме.
+ </para>
+ <para>
+ По умолчанию: 5
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>pam_verbosity (целое число)</term>
+ <listitem>
+ <para>
+ Управляет тем, какие сообщения будут показаны пользователю во время проверки
+подлинности. Чем больше число, тем больше сообщений будет показано.
+ </para>
+ <para>
+ В настоящее время sssd поддерживает следующие значения:
+ </para>
+ <para>
+ <emphasis>0</emphasis>: не показывать никаких сообщений
+ </para>
+ <para>
+ <emphasis>1</emphasis>: показывать только важные сообщения
+ </para>
+ <para>
+ <emphasis>2</emphasis>: показывать информационные сообщения
+ </para>
+ <para>
+ <emphasis>3</emphasis>: показывать все сообщения и отладочную информацию
+ </para>
+ <para>
+ По умолчанию: 1
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>pam_response_filter (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список строк, который позволяет удалять (фильтровать)
+данные, отправленные ответчиком PAM модулю PAM pam_sss. Ответы, которые
+отправляются pam_sss, могут быть разного вида (например, сообщения, которые
+показываются пользователю, или переменные среды, которые должны быть
+установлены pam_sss).
+ </para>
+ <para>
+ Сообщениями можно управлять с помощью параметра pam_verbosity, а этот
+параметр позволяет отфильтровать также и другие типы ответов.
+ </para>
+ <para>
+ В настоящее время поддерживаются следующие фильтры: <variablelist>
+ <varlistentry><term>ENV</term>
+ <listitem><para>Не отправлять никаким службам никакие переменные среды.</para></listitem>
+ </varlistentry>
+ <varlistentry><term>ENV:var_name</term>
+ <listitem><para>Не отправлять переменную среды var_name никаким службам.</para></listitem>
+ </varlistentry>
+ <varlistentry><term>ENV:var_name:service</term>
+ <listitem><para>Не отправлять переменную среды var_name указанной службе.</para></listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Список строк может представлять собой список фильтров, который установит эти
+фильтры, перезаписав стандартные значения. Либо каждый элемент списка может
+предваряться символом «+» или «-», что, соответственно, добавит этот фильтр
+к существующим стандартным фильтрам или удалит его из стандартных
+фильтров. Обратите внимание, что следует либо использовать префикс «+» или
+«-» для всех элементов списка, либо не использовать его
+вообще. Использование префикса только для части элементов списка считается
+ошибкой.
+ </para>
+ <para>
+ По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i
+ </para>
+ <para>
+ Пример: -ENV:KRB5CCNAME:sudo-i удалит фильтр из списка стандартных
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>pam_id_timeout (целое число)</term>
+ <listitem>
+ <para>
+ При любом запросе PAM, поступающем во время работы SSSD в сети, SSSD
+выполняет попытку незамедлительно обновить кэшированные данные идентификации
+пользователя, чтобы при проверке подлинности использовались самые последние
+данные.
+ </para>
+ <para>
+ Полный обмен данными PAM может включать несколько запросов PAM (в частности,
+для управления учётными записями и открытия сеансов). Этот параметр
+управляет (для каждого клиента-приложения отдельно) длительностью (в
+секундах) кэширования данных идентификации, позволяющего избежать повторных
+обменов данными с поставщиком данных идентификации.
+ </para>
+ <para>
+ По умолчанию: 5
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>pam_pwd_expiration_warning (целое число)</term>
+ <listitem>
+ <para>
+ Показать предупреждение за N дней до истечения срока действия пароля.
+ </para>
+ <para>
+ Обратите внимание, что внутренний сервер должен предоставить информацию о
+времени истечения срока действия пароля. Если она отсутствует, sssd не
+сможет показать предупреждение.
+ </para>
+ <para>
+ Если указан ноль, этот фильтр не применяется: если от внутреннего сервера
+было получено предупреждение об истечении строка действия, оно будет
+показано автоматически.
+ </para>
+ <para>
+ Этот параметр можно переопределить, установив
+<emphasis>pwd_expiration_warning</emphasis> для конкретного домена.
+ </para>
+ <para>
+ По умолчанию: 0
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>get_domains_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Указывает время в секундах, в течение которого список поддоменов считается
+действительным.
+ </para>
+ <para>
+ По умолчанию: 60
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_trusted_users (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список значений UID или имён пользователей, которым
+разрешено выполнять обмен данными PAM с доверенными доменами. Пользователям,
+которые отсутствуют в этом списке, разрешён доступ только к доменам,
+отмеченным как общедоступные с помощью параметра
+<quote>pam_public_domains</quote>. Имена пользователей разрешаются в UID при
+запуске.
+ </para>
+ <para>
+ По умолчанию: все пользователи считаются доверенными по умолчанию
+ </para>
+ <para>
+ Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже
+если этот идентификатор пользователя отсутствует в списке pam_trusted_users.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_public_domains (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён доменов, которые доступны даже для
+недоверенных пользователей.
+ </para>
+ <para>
+ Для параметра pam_public_domains определены два специальных значения:
+ </para>
+ <para>
+ all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике
+PAM)
+ </para>
+ <para>
+ none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике
+PAM)
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_account_expired_message (строка)</term>
+ <listitem>
+ <para>
+ Позволяет задать пользовательское сообщение об истечении срока действия,
+которое заменит стандартное сообщение «Доступ запрещён».
+ </para>
+ <para>
+ Примечание: следует учитывать, что для службы SSH сообщение будет показано
+только при условии, что параметр pam_verbosity установлен в значение «3»
+(показывать все сообщения и отладочную информацию).
+ </para>
+ <para>
+ пример: <programlisting>
+pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки.
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_account_locked_message (строка)</term>
+ <listitem>
+ <para>
+ Позволяет задать пользовательское сообщение о блокировке, которое заменит
+стандартное сообщение «Доступ запрещён».
+ </para>
+ <para>
+ пример: <programlisting>
+pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки.
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="build_passkey">
+ <term>pam_passkey_auth (bool)</term>
+ <listitem>
+ <para>
+ Enable passkey device based authentication.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="build_passkey">
+ <term>passkey_debug_libfido2 (bool)</term>
+ <listitem>
+ <para>
+ Enable libfido2 library debug messages.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_cert_auth (логическое значение)</term>
+ <listitem>
+ <para>
+ Включить проверку подлинности на основе сертификата или смарт-карты. Так как
+для этого требуется дополнительный обмен данными со смарт-картой, который
+задержит процесс проверки подлинности, по умолчанию этот параметр отключён.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_cert_db_path (строка)</term>
+ <listitem>
+ <para>
+ Путь к базе данных сертификатов.
+ </para>
+ <para>
+ По умолчанию:
+ <itemizedlist>
+ <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами
+CA в формате PEM)
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_cert_verification (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр позволяет выполнить тонкую настройку проверки сертификатов PAM
+с помощью разделённого запятыми списка параметров. Эти параметры
+переопределяют значение <quote>certificate_verification</quote> в разделе
+<quote>[sssd]</quote>. Поддерживаются те же параметры, что и для
+<quote>certificate_verification</quote>.
+ </para>
+ <para>
+ пример: <programlisting>
+pam_cert_verification = partial_chain
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: не задано, то есть следует использовать стандартный параметр
+<quote>certificate_verification</quote>, указанный в разделе
+<quote>[sssd]</quote>.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>p11_child_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Разрешённое количество секунд, в течение которого pam_sss ожидает завершения
+работы p11_child.
+ </para>
+ <para>
+ По умолчанию: 10
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry condition="build_passkey">
+ <term>passkey_child_timeout (integer)</term>
+ <listitem>
+ <para>
+ How many seconds will the PAM responder wait for passkey_child to finish.
+ </para>
+ <para>
+ По умолчанию: 15
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_app_services (строка)</term>
+ <listitem>
+ <para>
+ Указывает, каким службам PAM разрешено устанавливать соединение с доменами
+типа <quote>application</quote>
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_p11_allowed_services (целое число)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён служб PAM, для которых будет разрешено
+использовать смарт-карты.
+ </para>
+ <para>
+ Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
+стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
+заменить стандартное имя службы PAM для проверки подлинности с помощью
+смарт-карт (например, <quote>login</quote>) на пользовательское имя службы
+PAM (например, <quote>my_pam_service</quote>), необходимо использовать
+следующую конфигурацию: <programlisting>
+pam_p11_allowed_services = +my_pam_service, -login
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: стандартный набор имён служб PAM включает:
+ <itemizedlist>
+ <listitem>
+ <para>
+ login
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ su-l
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-smartcard
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gdm-password
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ kdm
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ sudo-i
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ gnome-screensaver
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>p11_wait_for_card_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Когда требуется проверка подлинности по смарт-карте, этот параметр
+определяет, в течение какого количества секунд (в дополнение к значению
+p11_child_timeout) ответчик PAM должен ожидать вставки смарт-карты.
+ </para>
+ <para>
+ По умолчанию: 60
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>p11_uri (строка)</term>
+ <listitem>
+ <para>
+ URI PKCS#11 (подробное описание доступно в RFC-7512) для ограничения перечня
+устройств с проверкой подлинности по смарт-карте. По умолчанию p11_child
+SSSD выполняет поиск слота PKCS#11 (устройства чтения) с установленным
+флагом «removable» и затем чтение сертификатов со вставленного маркера из
+первого найденного слота. Если подключено несколько устройств чтения, с
+помощью p11_uri можно указать p11_child использовать конкретное устройство
+чтения.
+ </para>
+ <para>
+ Пример: <programlisting>
+p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader
+ </programlisting> или <programlisting>
+p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2
+ </programlisting> Чтобы найти подходящий URI, проверьте
+отладочный вывод p11_child. Либо можно использовать утилиту «p11tool»
+GnuTLS, например, с параметром «--list-all»: это тоже позволит просмотреть
+URI PKCS#11.
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_initgroups_scheme</term>
+ <listitem>
+ <para>
+ Ответчик PAM может принудительно запустить поиск в сети для получения данных
+об участии в группах того пользователя, который пытается войти в
+систему. Этот параметр управляет тем, когда это следует делать, и имеет
+следующие допустимые значения: <variablelist>
+ <varlistentry><term>always</term>
+ <listitem><para>Всегда выполнять поиск в сети (обратите внимание, что параметр
+pam_id_timeout всё равно применяется)</para></listitem>
+ </varlistentry>
+ <varlistentry><term>no_session</term>
+ <listitem><para>Выполнять поиск в сети только при отсутствии активного сеанса пользователя,
+то есть тогда, когда пользователь не находится в системе</para></listitem>
+ </varlistentry>
+ <varlistentry><term>never</term>
+ <listitem><para>Никогда не выполнять поиск в сети принудительно, использовать данные из кэша
+до тех пор, пока они не устареют</para></listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ По умолчанию: no_session
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_gssapi_services</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список служб PAM, которым разрешено пытаться выполнить
+проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so.
+ </para>
+ <para>
+ Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот
+параметр в значение <quote>-</quote> (дефис).
+ </para>
+ <para>
+ Примечание: этот параметр также можно задать для каждого домена отдельно,
+что будет иметь приоритет над значением в разделе [pam]. Также этот параметр
+можно задать для доверенного домена, что будет иметь приоритет над значением
+в разделе домена.
+ </para>
+ <para>
+ Пример: <programlisting>
+pam_gssapi_services = sudo, sudo-i
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: - (проверка подлинности с помощью GSSAPI отключена)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_gssapi_check_upn</term>
+ <listitem>
+ <para>
+ Если значение «True», SSSD будет требоваться наличие привязки
+участника-пользователя Kerberos, который успешно прошёл проверку подлинности
+с помощью GSSAPI, к пользователю, проверка подлинности которого
+выполняется. Если такой привязки нет, проверка подлинности завершится
+ошибкой.
+ </para>
+ <para>
+ Если значение «False», проверка подлинности будет выполняться для всех
+пользователей, получивших необходимый билет службы.
+ </para>
+ <para>
+ Примечание: этот параметр также можно задать для каждого домена отдельно,
+что будет иметь приоритет над значением в разделе [pam]. Также этот параметр
+можно задать для доверенного домена, что будет иметь приоритет над значением
+в разделе домена.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pam_gssapi_indicators_map</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список индикаторов проверки подлинности, которые должны
+присутствовать в билете Kerberos для получения доступа к службе PAM, которой
+разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля
+pam_sss_gss.so.
+ </para>
+ <para>
+ Каждый элемент списка может быть либо именем индикатора проверки
+подлинности, либо парой <quote>service:indicator</quote>. Индикаторы,
+которые не предваряются именем службы PAM, будут требоваться для доступа к
+любой службе PAM, настроенной на использование с
+<option>pam_gssapi_services</option>. Итоговый список индикаторов для
+отдельной службы PAM затем проверяется на соответствие индикаторам в билете
+Kerberos во время проверки подлинности с помощью pam_sss_gss.so. Доступ
+будет предоставлен, если в билете будет найден индикатор, совпадающий с
+индикатором из итогового списка индикаторов для соответствующей службы
+PAM. Доступ будет запрещён, если в списке не обнаружатся совпадающие
+индикаторы. Если итоговый список индикаторов для службы PAM пуст, проверка
+не закроет доступ.
+ </para>
+ <para>
+ Чтобы отключить проверку индикаторов для проверки подлинности с помощью
+GSSAPI, установите этот параметр в значение <quote>-</quote> (дефис). Чтобы
+отключить проверку индикаторов для определённой службы PAM, добавьте
+<quote>service:-</quote>.
+ </para>
+ <para>
+ Примечание: этот параметр также можно задать для каждого домена отдельно,
+что будет иметь приоритет над значением в разделе [pam]. Также этот параметр
+можно задать для доверенного домена, что будет иметь приоритет над значением
+в разделе домена.
+ </para>
+ <para>
+ В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих
+индикаторов проверки подлинности:
+ <itemizedlist>
+ <listitem>
+ <para>pkinit — предварительная проверка подлинности с помощью сертификатов X.509,
+которые хранятся в файлах или на смарт-картах.</para>
+ </listitem>
+ <listitem>
+ <para>hardened — предварительная проверка подлинности SPAKE или любая
+предварительная проверка подлинности, помещённая в канал FAST.</para>
+ </listitem>
+ <listitem>
+ <para>radius — предварительная проверка подлинности с помощью сервера RADIUS.</para>
+ </listitem>
+ <listitem>
+ <para>otp — предварительная проверка подлинности с помощью встроенной
+двухфакторной аутентификации (2FA или одноразовый пароль, OTP) в IPA.</para>
+ </listitem>
+ <listitem>
+ <para>idp -- предварительная аутентификация с использованием внешнего поставщика
+удостоверений.</para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Пример: чтобы доступ к службам SUDO предоставлялся только пользователям,
+которые получили свои билеты Kerberos с предварительной проверкой
+подлинности сертификата X.509 (PKINIT), укажите <programlisting>
+pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: не задано (использование индикаторов проверки подлинности не
+требуется)
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2 id='SUDO' condition="with_sudo">
+ <title>Параметры настройки SUDO</title>
+ <para>
+ Эти параметры можно использовать для настройки службы sudo. Подробные
+инструкции по настройке <citerefentry> <refentrytitle>sudo</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry> для работы с <citerefentry>
+<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>
+доступны на справочной странице <citerefentry>
+<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>sudo_timed (логическое значение)</term>
+ <listitem>
+ <para>
+ Следует ли обрабатывать атрибуты sudoNotBefore и sudoNotAfter,
+предназначенные для определения временных ограничений для записей sudoers.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>sudo_threshold (целое число)</term>
+ <listitem>
+ <para>
+ Максимальное количество устаревших правил, которые можно обновить за один
+раз. Если количество устаревших правил меньше заданного порогового значения,
+эти правила обновляются с помощью механизма <quote>обновления
+правил</quote>. Если пороговое значение превышено, будет использоваться
+механизм <quote>полного обновления</quote>. Это пороговое значение также
+применяется к поискам команд и групп команд sudo IPA.
+ </para>
+ <para>
+ По умолчанию: 50
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2 id='AUTOFS' condition="with_autofs">
+ <title>Параметры настройки AUTOFS</title>
+ <para>
+ Эти параметры можно использовать для настройки службы autofs.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>autofs_negative_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Означает количество секунд, в течение которого в кэше ответчика autofs будут
+храниться неудачные обращения к кэшу (запросы некорректных записей карты,
+например, несуществующих) перед повторным запросом к внутреннему серверу.
+ </para>
+ <para>
+ По умолчанию: 15
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" />
+ </refsect2>
+
+ <refsect2 id='SSH' condition="with_ssh">
+ <title>Параметры настройки SSH</title>
+ <para>
+ Эти параметры можно использовать для настройки службы SSH.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>ssh_hash_known_hosts (логическое значение)</term>
+ <listitem>
+ <para>
+ Следует ли хэшировать имена и адреса узлов в управляемом файле known_hosts.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ssh_known_hosts_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Разрешённое количество секунд, в течение которого узел хранится в
+управляемом файле known_hosts после запроса ключей этого узла.
+ </para>
+ <para>
+ По умолчанию: 180
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ssh_use_certificate_keys (логическое значение)</term>
+ <listitem>
+ <para>
+ Если задано значение «true», команда
+<command>sss_ssh_authorizedkeys</command> вернёт ключи SSH, производные от
+открытого ключа сертификатов X.509, которые также хранятся в записи
+пользователя. Подробнее: <citerefentry>
+<refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
+<manvolnum>1</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ По умолчанию: true
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ssh_use_certificate_matching_rules (строка)</term>
+ <listitem>
+ <para>
+ По умолчанию ответчик SSH использует все доступные правила сопоставления
+сертификатов для фильтрации сертификатов, поэтому ключи SSH будут
+создаваться на основе только тех сертификатов, для которых было установлено
+соответствие. Этот параметр позволяет ограничить используемые правила
+разделённым запятыми списком имён правил привязки и сопоставления. Все
+другие правила будут игнорироваться.
+ </para>
+ <para>
+ Два особых ключевых слова «all_rules» и «no_rules» позволяют,
+соответственно, включить все правила или не включать их вообще. Последнее
+означает, что фильтрация сертификатов не будет выполняться; следовательно,
+ключи SSH будут создаваться на основе всех действительных сертификатов.
+ </para>
+ <para>
+ Если не настроено никаких правил, использование «all_rules» приведёт к
+включению стандартного правила, которое разрешает использовать все
+сертификаты, подходящие для проверки подлинности клиента. Это поведение
+соответствует поведению ответчика PAM в том случае, когда включена проверка
+подлинности сертификатов.
+ </para>
+ <para>
+ Несуществующее имя правила считается ошибкой. Если в результате не будет
+выбрано ни одного правила, все сертификаты будут проигнорированы.
+ </para>
+ <para>
+ По умолчанию: не задано, равнозначно «all_rules», используются все найденные
+правила или правило по умолчанию
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ca_db (строка)</term>
+ <listitem>
+ <para>
+ Путь к хранилищу доверенных сертификатов CA. Параметр используется для
+проверки сертификатов пользователей перед получением из них открытых ключей
+SSH.
+ </para>
+ <para>
+ По умолчанию:
+ <itemizedlist>
+ <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами
+CA в формате PEM)
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2 id='PAC_RESPONDER' condition="with_pac_responder">
+ <title>Параметры настройки ответчика PAC</title>
+ <para>
+ Ответчик PAC работает совместно с модулем данных проверки подлинности
+sssd_pac_plugin.so для MIT Kerberos и поставщиком данных поддоменов. Этот
+модуль отправляет данные PAC ответчику PAC во время проверки подлинности с
+помощью GSSAPI. Поставщик данных поддоменов собирает данные по диапазонам
+SID и ID домена, к которому присоединён клиент, а также удалённых доверенных
+доменов с локального контроллера доменов. Если PAC расшифровывается и
+обрабатывается, выполняются некоторые из следующих операций:
+ <itemizedlist>
+ <listitem><para>Если запись удалённого пользователя отсутствует в кэше, она будет
+создана. UID определяется с помощью SID, у доверенных доменов будут UPG, а
+GID будет иметь то же значение, что и UID. Домашний каталог устанавливается
+на основе значения параметра subdomain_homedir. По умолчанию значение
+оболочки будет пустым, то есть будут использованы стандартные параметры
+системы, но их можно переопределить с помощью параметра default_shell.</para>
+ </listitem>
+ <listitem><para>Если имеются SID групп из известных SSSD доменов, пользователь будет
+добавлен в эти группы.
+ </para></listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Эти параметры можно использовать для настройки ответчика PAC.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>allowed_uids (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список значений UID или имён пользователей, которым
+разрешён доступ к ответчику PAC. Имена пользователей разрешаются в UID при
+запуске.
+ </para>
+ <para>
+ По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root)
+ </para>
+ <para>
+ Обратите внимание: несмотря на то, что в качестве стандартного значения
+используется UID 0, оно будет перезаписано этим параметром. Если всё равно
+требуется разрешить пользователю root доступ к ответчику PAC (типичный
+случай), будет необходимо добавить запись «0» в список UID, которым разрешён
+доступ.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pac_lifetime (целое число)</term>
+ <listitem>
+ <para>
+ Время жизни записи PAC (в секундах). Пока запись PAC действительна, данные
+PAC можно использовать для определения участия пользователя в группах.
+ </para>
+ <para>
+ По умолчанию: 300
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pac_check (строка)</term>
+ <listitem>
+ <para>
+ Если настроено, применить дополнительные проверки к PAC билету Kerberos,
+доступному в доменах Active Directory и FreeIPA. Обратите внимание, что для
+проверки PAC должна быть включена проверка билетов Kerberos, то есть для
+параметра krb5_validate должно быть установлено значение «True», которое
+является значением по умолчанию для поставщиков данных IPA и AD. Если для
+параметра krb5_validate установлено значение «False», проверка PAC будет
+пропущена.
+ </para>
+ <para>
+ Следующие параметры можно использовать отдельно или в виде разделённого
+запятыми списка: <variablelist>
+ <varlistentry>
+ <term>no_check</term>
+ <listitem>
+ <para>PAC не должен присутствовать, и даже если он имеется, никакие дополнительные
+проверки выполняться не будут.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pac_present</term>
+ <listitem>
+ <para>PAC должен присутствовать в билете службы, который SSSD запрашивает с
+помощью TGT пользователя. Если PAC недоступен, аутентификация завершится
+ошибкой.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>check_upn</term>
+ <listitem>
+ <para>Если PAC присутствует, проверить, что информация об основном имени
+пользователя (UPN) верна.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>check_upn_allow_missing</term>
+ <listitem>
+ <para>Этот параметр следует использовать вместе с 'check_upn' и он обрабатывает
+случай, когда для UPN установлено значение на стороне сервера, но не
+читается SSSD. Типичным примером является домен FreeIPA, в котором для
+'ldap_user_principal' установлено название не существующего атрибута. Обычно
+это делалось для обхода проблем при обработке корпоративных регистрационных
+записей. Но это исправлено довольно давно, и FreeIPA может обрабатывать
+корпоративные регистрационные записи, поэтому больше нет необходимости
+устанавливать 'ldap_user_principal'.</para>
+ <para>В настоящее время этот параметр установлен по умолчанию, чтобы избежать
+регрессии в подобных средах. В системный журнал и журнал отладки SSSD будет
+добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD. Чтобы
+избежать появления такого сообщения, проверьте, можно ли удалить параметр
+'ldap_user_principal'. Если это невозможно, удаление 'check_upn' приведет к
+пропуску проверки и сообщение не появится в журнале.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>upn_dns_info_present</term>
+ <listitem>
+ <para>PAC должен содержать буфер UPN-DNS-INFO, неявным образом устанавливает
+'check_upn'.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>check_upn_dns_info_ex</term>
+ <listitem>
+ <para>Если PAC присутствует и доступно расширение буфера UPN-DNS-INFO, проверить,
+согласованы ли данные в расширении.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>upn_dns_info_ex_present</term>
+ <listitem>
+ <para>PAC должен содержать расширение буфера UPN-DNS-INFO, неявным образом
+устанавливает 'check_upn_dns_info_ex', 'upn_dns_info_present' и 'check_upn'.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ По умолчанию: no_check (для поставщиков AD и IPA — 'check_upn,
+check_upn_allow_missing, check_upn_dns_info_ex')
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2 id='SESSION_RECORDING'>
+ <title>Параметры настройки записи сеансов</title>
+ <para>
+ Запись сеансов работает совместно с <citerefentry>
+<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum>
+</citerefentry>, частью пакета tlog, обеспечивая ведение журнала данных,
+которые пользователи видят и вводят после входа на текстовый
+терминал. См. также <citerefentry>
+<refentrytitle>sssd-session-recording</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ Эти параметры можно использовать для настройки записи сеансов.
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>scope (строка)</term>
+ <listitem>
+ <para>
+ Одна из следующих строк, которые определяют область записи сеанса:
+<variablelist>
+ <varlistentry>
+ <term>«none»</term>
+ <listitem>
+ <para>
+ Пользователи не записываются.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>«some»</term>
+ <listitem>
+ <para>
+ Записываются пользователи и группы, указанные с помощью параметров
+<replaceable>users</replaceable> и <replaceable>groups</replaceable>.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>«all»</term>
+ <listitem>
+ <para>
+ Записываются все пользователи.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ По умолчанию: «none»
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>users (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список пользователей, для которых включена запись
+сеансов. Соответствие списку устанавливается по именам пользователей,
+возвращённым NSS, то есть после возможной замены пробелов, смены регистра и
+так далее.
+ </para>
+ <para>
+ По умолчанию: пусто. Не соответствует ни одному пользователю.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>groups (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список групп, для участников которых включена запись
+сеансов. Соответствие списку устанавливается по именам групп, возвращённым
+NSS, то есть после возможной замены пробелов, смены регистра и так далее.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений)
+значительно сказывается на производительности, поскольку при каждом
+некэшированном запросе данных пользователя требуется выполнить получение и
+установление соответствия групп, участником которых он является.
+ </para>
+ <para>
+ По умолчанию: пусто. Не соответствует ни одной группе.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>exclude_users (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список пользователей, которые исключаются из записи;
+применимо только при «scope=all».
+ </para>
+ <para>
+ По умолчанию: пусто. Не исключается ни один пользователь.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>exclude_groups (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список групп, участники которых исключаются из записи;
+применимо только при «scope=all».
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений)
+значительно сказывается на производительности, поскольку при каждом
+некэшированном запросе данных пользователя требуется выполнить получение и
+установление соответствия групп, участником которых он является.
+ </para>
+ <para>
+ По умолчанию: пусто. Не исключается ни одна группа.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ </refsect1>
+
+ <refsect1 id='domain-sections'>
+ <title>РАЗДЕЛЫ ДОМЕНА</title>
+ <para>
+ Эти параметры конфигурации могут присутствовать в разделе конфигурации
+домена, то есть в разделе с именем
+<quote>[domain/<replaceable>NAME</replaceable>]</quote> <variablelist>
+ <varlistentry>
+ <term>enabled</term>
+ <listitem>
+ <para>
+ Явно включить или отключить домен. Если <quote>true</quote>, домен всегда
+<quote>включён</quote>. Если <quote>false</quote>, домен всегда
+<quote>отключён</quote>. Если значение параметра не задано, домен будет
+включён только в том случае, если он находится в списке, указанном с помощью
+параметра domains в разделе <quote>[sssd]</quote>.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>domain_type (строка)</term>
+ <listitem>
+ <para>
+ Указывает, предназначен ли домен для использования клиентами,
+поддерживающими POSIX (например, NSS), или приложениями, которым не
+требуется наличие или создание данных POSIX. Интерфейсам и утилитам
+операционной системы доступны только объекты из доменов POSIX.
+ </para>
+ <para>
+ Допустимые значение этого параметра: <quote>posix</quote> и
+<quote>application</quote>.
+ </para>
+ <para>
+ Домены POSIX доступны для всех служб. Домены приложений доступны только для
+ответчика InfoPipe (см. <citerefentry>
+<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>) и ответчика PAM.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений
+с <quote>id_provider=ldap</quote>.
+ </para>
+ <para>
+ Описание простого способа настройки доменов не-POSIX доступно в разделе
+<quote>Домены приложений</quote>.
+ </para>
+ <para>
+ По умолчанию: posix
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>min_id,max_id (целое число)</term>
+ <listitem>
+ <para>
+ Пределы диапазона UID и GID для домена. Если домен содержит запись,
+находящуюся вне указанного диапазона, она будет проигнорирована.
+ </para>
+ <para>
+ Что касается записей пользователей, этот параметр ограничивает диапазон
+основного GID. Запись пользователя не будет возвращена в NSS, если UID или
+основной GID находится за пределами диапазона. Находящиеся в пределах
+диапазона записи пользователей, которые не являются участниками основной
+группы, будут выведены в обычном режиме.
+ </para>
+ <para>
+ Эти пределы диапазона идентификаторов влияют даже на сохранение записей в
+кэш, а не только на их возврат по имени или идентификатору.
+ </para>
+ <para>
+ По умолчанию: 1 для min_id, 0 (без ограничений) для max_id
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>enumerate (логическое значение)</term>
+ <listitem>
+ <para>
+ Определяет, можно ли выполнить перечисление для домена, то есть может ли
+домен вывести перечень всех содержащихся в нём пользователей и
+групп. Обратите внимание, что перечисление не требуется включать для
+просмотра вторичных групп. Этот параметр может иметь одно из следующих
+значений:
+ </para>
+ <para>
+ TRUE = пользователи и группы перечисляются
+ </para>
+ <para>
+ FALSE = для этого домена не выполняется перечисление
+ </para>
+ <para>
+ По умолчанию: FALSE
+ </para>
+ <para>
+ Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и
+сохранить ВСЕ записи пользователей и групп с удалённого сервера.
+ </para>
+ <para>
+ Примечание: если включить перечисление, во время его выполнения
+производительность SSSD умеренно снижается. Перечисление может занять до
+нескольких минут после запуска SSSD. В это время отдельные запросы
+информации отправляются непосредственно в LDAP, хотя это может выполняться
+медленно из-за ресурсоёмкой обработки перечисления. Сохранение большого
+количества записей в кэш после завершения перечисления также может давать
+интенсивную вычислительную нагрузку на центральный процессор, так как данные
+об участии в группах требуется вычислить заново. Это может привести к тому,
+что процесс <quote>sssd_be</quote> перестанет отвечать или даже будет
+перезапущен внутренним сторожевым таймером.
+ </para>
+ <para>
+ Когда выполняется первое перечисление, запросы полных списков пользователей
+или групп могут не вернуть результатов до момента завершения перечисления.
+ </para>
+ <para>
+ Более того, включение перечисления может увеличить время, необходимое для
+обнаружения отсутствия подключения к сети, так как для успешного выполнения
+поисков перечисления требуются более длительные тайм-ауты. Дополнительные
+сведения доступны на man-страницах конкретного используемого поставщика
+идентификаторов (id_provider).
+ </para>
+ <para>
+ По вышеуказанным причинам не рекомендуется включать перечисление, особенно в
+средах большого размера.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>subdomain_enumerate (строка)</term>
+ <listitem>
+ <para>
+ Следует ли выполнять перечисление для каких-либо автоматически обнаруженных
+доверенных доменов. Поддерживаемые значения: <variablelist>
+ <varlistentry>
+ <term>all</term>
+ <listitem><para>Выполнить перечисление для всех обнаруженных доверенных доменов</para></listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>none</term>
+ <listitem><para>Не выполнять перечисление для обнаруженных доверенных доменов</para></listitem>
+ </varlistentry>
+ </variablelist> При необходимости можно указать список из
+одного или нескольких имён доверенных доменов, чтобы включить перечисление
+только для них.
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи
+действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ Отметки времени устаревания записей кэша хранятся как атрибуты отдельных
+объектов в кэше. Следовательно, изменение тайм-аута кэша повлияет только на
+новые добавленные или устаревшие записи. Следует запустить инструмент
+<citerefentry> <refentrytitle>sss_cache</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry> для принудительного обновления
+записей, которые уже были кэшированы.
+ </para>
+ <para>
+ По умолчанию: 5400
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_user_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи
+пользователей действительными, прежде чем снова обратиться к внутреннему
+серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_group_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи групп
+действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_netgroup_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи сетевых
+групп действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_service_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи служб
+действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_resolver_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого nss_sss следует считать записи узлов и
+сетей действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry condition="with_sudo">
+ <term>entry_cache_sudo_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого sudo следует считать правила
+действительными, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry condition="with_autofs">
+ <term>entry_cache_autofs_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого службе autofs следует считать карты
+автоматического монтирования действительными, прежде чем снова обратиться к
+внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry condition="with_ssh">
+ <term>entry_cache_ssh_host_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого ключ SSH узла хранится после
+обновления. Иными словами, параметр определяет длительность хранения ключа
+узла в кэше.
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>entry_cache_computer_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Количество секунд, в течение которого следует хранить запись локального
+компьютера, прежде чем снова обратиться к внутреннему серверу
+ </para>
+ <para>
+ По умолчанию: entry_cache_timeout
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>refresh_expired_interval (целое число)</term>
+ <listitem>
+ <para>
+ Указывает время ожидания SSSD (в секундах) перед активацией задания фонового
+обновления всех устаревших или почти устаревших записей.
+ </para>
+ <para>
+ При фоновом обновлении обрабатываются содержащиеся в кэше записи
+пользователей, групп и сетевых групп. Обновление как записи пользователя,
+так и участия в группах выполняется для тех пользователей, для которых ранее
+выполнялись действия по инициализации групп (получение данных об участии
+пользователя в группах, обычно выполняется при запуске).
+ </para>
+ <para>
+ Этот параметр автоматически наследуется для всех доверенных доменов.
+ </para>
+ <para>
+ Рекомендуется установить это значение равным 3/4 * entry_cache_timeout.
+ </para>
+ <para>
+ Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени
+ожидания устаревания кэша. Если в кэше уже есть записи, фоновое задание
+будет использовать значения времени ожидания устаревания исходных записей, а
+не текущее значение конфигурации. Может возникнуть ситуация, в которой будет
+казаться, что фоновое задание по обновлению записей не работает. Это сделано
+специально для усовершенствования работы в автономном режиме и повторного
+использования имеющихся корректных записей в кэше. Чтобы мгновенно выполнить
+изменение, пользователю следует вручную объявить недействительность
+существующего кэша.
+ </para>
+ <para>
+ По умолчанию: 0 (отключено)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>cache_credentials (логическое значение)</term>
+ <listitem>
+ <para>
+ Determines if user credentials are also cached in the local LDB cache. The
+cached credentials refer to passwords, which includes the first (long term)
+factor of two-factor authentication, not other authentication
+mechanisms. Passkey and Smartcard authentications are expected to work
+offline as long as a successful online authentication is recorded in the
+cache without additional configuration.
+ </para>
+ <para>
+ Take a note that while credentials are stored as a salted SHA512 hash, this
+still potentially poses some security risk in case an attacker manages to
+get access to a cache file (normally requires privileged access) and to
+break a password using brute force attack.
+ </para>
+ <para>
+ По умолчанию: FALSE
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>cache_credentials_minimal_first_factor_length (целое число)</term>
+ <listitem>
+ <para>
+ Если используется двухфакторная проверка подлинности (2FA) и следует
+сохранить учётные данные, это значение определяет минимальную длину первого
+фактора проверки подлинности (долговременного пароля), который должен быть
+сохранён в формате контрольной суммы SHA512 в кэше.
+ </para>
+ <para>
+ Таким образом удаётся предотвратить ситуацию, когда короткие PIN-коды
+основанной на PIN-кодах схемы 2FA хранятся в кэше и становятся лёгкой
+мишенью для атак методом подбора.
+ </para>
+ <para>
+ По умолчанию: 8
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>account_cache_expiration (целое число)</term>
+ <listitem>
+ <para>
+ Количество дней, в течение которого записи хранятся в кэше после последнего
+успешного входа, прежде чем будут удалены при очистке кэша. Значение «0»
+означает, что записи будут храниться вечно. Значение этого параметра должно
+быть больше или равно значению offline_credentials_expiration.
+ </para>
+ <para>
+ По умолчанию: 0 (без ограничений)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>pwd_expiration_warning (целое число)</term>
+ <listitem>
+ <para>
+ Показать предупреждение за N дней до истечения срока действия пароля.
+ </para>
+ <para>
+ Если указан ноль, этот фильтр не применяется: если от внутреннего сервера
+было получено предупреждение об истечении строка действия, оно будет
+показано автоматически.
+ </para>
+ <para>
+ Обратите внимание, что внутренний сервер должен предоставить информацию о
+времени истечения срока действия пароля. Если она отсутствует, sssd не
+сможет показать предупреждение. Кроме того, для этого сервера следует
+настроить поставщика данных проверки подлинности.
+ </para>
+ <para>
+ По умолчанию: 7 (Kerberos), 0 (LDAP)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>id_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных идентификации, который используется для
+домена. Поддерживаемые поставщики ID:
+ </para>
+ <para>
+ <quote>proxy</quote>: поддержка устаревшего поставщика NSS.
+ </para>
+ <para condition="with_files_provider">
+ <quote>files</quote>: поставщик данных ФАЙЛОВ. Дополнительные сведения о
+зеркалировании локальных пользователей и групп в SSSD: <citerefentry>
+<refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ldap</quote>: поставщик данных LDAP. Дополнительные сведения о
+настройке LDAP: <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See
+<citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> for more information on configuring
+FreeIPA.
+ </para>
+ <para>
+ <quote>ad</quote>: поставщик данных Active Directory. Дополнительные
+сведения о настройке Active Directory: <citerefentry>
+<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>use_fully_qualified_names (логическое значение)</term>
+ <listitem>
+ <para>
+ Использовать полные имя и домен (в формате, заданном full_name_format
+домена) в качестве имени для входа пользователя, которое сообщается NSS.
+ </para>
+ <para>
+ Если задано значение «TRUE», во всех запросах к домену должны использоваться
+полные имена. Например, если этот параметр используется в домене LOCAL,
+содержащем пользователя «test», с помощью команды <command>getent passwd
+test</command> его не удастся найти, а с помощью команды <command>getent
+passwd test@LOCAL</command> получится это сделать.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они
+зачастую включают вложенные сетевые группы без полных имён. Для сетевых
+групп выполняется поиск во всех доменах, когда запрашивается неполное имя.
+ </para>
+ <para>
+ По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае
+использования default_domain_suffix)
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>ignore_group_members (логическое значение)</term>
+ <listitem>
+ <para>
+ Не возвращать участников групп для поиска групп.
+ </para>
+ <para>
+ Если установлено значение «TRUE», атрибут участия в группах не запрашивается
+с сервера LDAP, а списки участников групп не возвращаются при обработке
+вызовов поиска групп, таких как <citerefentry>
+<refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum>
+</citerefentry> или <citerefentry> <refentrytitle>getgrgid</refentrytitle>
+<manvolnum>3</manvolnum> </citerefentry>. Как следствие, <quote>getent group
+$groupname</quote> вернёт запрошенную группу так, как будто она пуста.
+ </para>
+ <para>
+ Включение этого параметра также может значительно ускорить проверки участия
+в группах у поставщика доступа (особенно для групп, содержащих большое
+количество участников).
+ </para>
+ <para>
+ Этот параметр также может быть задан для каждого поддомена отдельно или
+унаследован с помощью <emphasis>subdomain_inherit</emphasis>.
+ </para>
+ <para>
+ По умолчанию: FALSE
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>auth_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных для проверки подлинности, который используется для
+домена. Поддерживаемые поставщики данных для проверки подлинности:
+ </para>
+ <para>
+ <quote>ldap</quote> — использовать собственную проверку подлинности
+LDAP. Дополнительные сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>krb5</quote> — использовать проверку подлинности
+Kerberos. Дополнительные сведения о настройке Kerberos: <citerefentry>
+<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See
+<citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> for more information on configuring
+FreeIPA.
+ </para>
+ <para>
+ <quote>ad</quote>: поставщик данных Active Directory. Дополнительные
+сведения о настройке Active Directory: <citerefentry>
+<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>proxy</quote> — передать проверку подлинности какой-либо другой цели
+PAM.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключить проверку подлинности.
+ </para>
+ <para>
+ По умолчанию: использовать <quote>id_provider</quote>, если этот параметр
+задан и поддерживает обработку запросов проверки подлинности.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>access_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик управления доступом, который используется для домена. Существуют
+два встроенных поставщика доступа (в дополнение к тем поставщикам, которые
+включены в установленные внутренние серверы). Внутренние особые поставщики:
+ </para>
+ <para>
+ <quote>permit</quote> — всегда разрешать доступ. Это единственный поставщик
+разрешённого доступа для локального домена.
+ </para>
+ <para>
+ <quote>deny</quote> — всегда отказывать в доступе.
+ </para>
+ <para>
+ <quote>ldap</quote> — использовать собственную проверку подлинности
+LDAP. Дополнительные сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See
+<citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> for more information on configuring
+FreeIPA.
+ </para>
+ <para>
+ <quote>ad</quote>: поставщик данных Active Directory. Дополнительные
+сведения о настройке Active Directory: <citerefentry>
+<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>simple</quote> — управление доступом на основе разрешающего или
+запрещающего списка. Дополнительные сведения о настройке модуля доступа
+simple: <citerefentry> <refentrytitle>sssd-simple</refentrytitle>
+<manvolnum>5</manvolnum></citerefentry>.
+ </para>
+ <para>
+ <quote>krb5</quote> — управление доступом на основе .k5login. Дополнительные
+сведения о настройке Kerberos: <citerefentry>
+<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>proxy</quote> — передать управление доступом другому модулю PAM.
+ </para>
+ <para>
+ По умолчанию: <quote>permit</quote>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>chpass_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который должен обрабатывать операции смены пароля для
+домена. Поддерживаемые поставщики данных смены пароля:
+ </para>
+ <para>
+ <quote>ldap</quote> — сменить пароль, который хранится на сервере
+LDAP. Дополнительные сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>krb5</quote> — сменить пароль Kerberos. Дополнительные сведения о
+настройке Kerberos: <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See
+<citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry> for more information on configuring
+FreeIPA.
+ </para>
+ <para>
+ <quote>ad</quote>: поставщик данных Active Directory. Дополнительные
+сведения о настройке Active Directory: <citerefentry>
+<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>proxy</quote> — передать смену пароля какой-либо другой цели PAM.
+ </para>
+ <para>
+ <quote>none</quote> — явно запретить смену пароля.
+ </para>
+ <para>
+ По умолчанию: использовать <quote>auth_provider</quote>, если этот параметр
+задан и поддерживает обработку запросов смены пароля.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry condition="with_sudo">
+ <term>sudo_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных SUDO, который используется для домена. Поддерживаемые
+поставщики данных SUDO:
+ </para>
+ <para>
+ <quote>ldap</quote> — для правил, которые хранятся в LDAP. Дополнительные
+сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote> — то же, что и <quote>ldap</quote>, но со стандартными
+параметрами IPA.
+ </para>
+ <para>
+ <quote>ad</quote> — то же, что и <quote>ldap</quote>, но со стандартными
+параметрами AD.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключить SUDO.
+ </para>
+ <para>
+ По умолчанию: использовать значение <quote>id_provider</quote>, если этот
+параметр задан.
+ </para>
+ <para>
+ Подробные инструкции по настройке sudo_provider доступны на справочной
+странице <citerefentry> <refentrytitle>sssd-sudo</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>. Предусмотрено много параметров,
+которыми можно воспользоваться для настройки поведения программы. Подробное
+описание доступно в разделах «ldap_sudo_*» <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <emphasis>ПРИМЕЧАНИЕ:</emphasis> загрузка правил sudo периодически
+выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был
+явно отключён). Укажите <emphasis>sudo_provider = None</emphasis> для
+отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не
+планируется использовать sudo.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>selinux_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который должен обрабатывать загрузку параметров
+SELinux. Обратите внимание, что этот поставщик будет вызываться сразу после
+окончания работы поставщика доступа. Поддерживаемые поставщики данных
+SELinux:
+ </para>
+ <para>
+ <quote>ipa</quote> — загрузить параметры SELinux с сервера
+IPA. Дополнительные сведения о настройке IPA: <citerefentry>
+<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключает получение параметров SELinux.
+ </para>
+ <para>
+ По умолчанию: использовать <quote>id_provider</quote>, если этот параметр
+задан и поддерживает обработку запросов загрузки параметров SELinux.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>subdomains_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который должен обрабатывать получение данных
+поддоменов. Это значение всегда должно совпадать со значением
+id_provider. Поддерживаемые поставщики данных поддоменов:
+ </para>
+ <para>
+ <quote>ipa</quote> — загрузить список поддоменов с сервера
+IPA. Дополнительные сведения о настройке IPA: <citerefentry>
+<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ad</quote> — загрузить список поддоменов с сервера Active
+Directory. Дополнительные сведения о настройке поставщика данных AD:
+<citerefentry> <refentrytitle>sssd-ad</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключает получение данных поддоменов.
+ </para>
+ <para>
+ По умолчанию: использовать значение <quote>id_provider</quote>, если этот
+параметр задан.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>session_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который настраивает задания, связанные с сеансами
+пользователей, и управляет ими. В настоящее время предоставляется только
+одно задание, связанное с сеансами пользователей: интеграция с Fleet
+Commander (работает только c IPA). Поддерживаемые поставщики данных сеансов:
+ </para>
+ <para>
+ <quote>ipa</quote> — разрешить выполнение заданий, связанных с сеансами
+пользователей.
+ </para>
+ <para>
+ <quote>none</quote> — не выполнять никакие задания, связанные с сеансами
+пользователей.
+ </para>
+ <para>
+ По умолчанию: использовать <quote>id_provider</quote>, если этот параметр
+задан и поддерживает выполнение заданий, связанных с сеансами.
+ </para>
+ <para>
+ <emphasis>ПРИМЕЧАНИЕ:</emphasis> чтобы эта возможность работала должным
+образом, SSSD необходимо запускать от имени пользователя root, а не от имени
+пользователя без привилегий.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry condition="with_autofs">
+ <term>autofs_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных autofs, который используется для домена. Поддерживаемые
+поставщики данных autofs:
+ </para>
+ <para>
+ <quote>ldap</quote> — загрузить карты, которые хранятся в
+LDAP. Дополнительные сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ipa</quote> — загрузить карты, которые хранятся на сервере
+IPA. Дополнительные сведения о настройке IPA: <citerefentry>
+<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ad</quote> — загрузить карты, которые хранятся на сервере
+AD. Дополнительные сведения о настройке поставщика данных AD: <citerefentry>
+<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключить autofs.
+ </para>
+ <para>
+ По умолчанию: использовать значение <quote>id_provider</quote>, если этот
+параметр задан.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>hostid_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который используется для получения данных идентификации
+узла. Поддерживаемые поставщики hostid:
+ </para>
+ <para>
+ <quote>ipa</quote> — загрузить данные идентификации узла, которые хранятся
+на сервере IPA. Дополнительные сведения о настройке IPA: <citerefentry>
+<refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключить hostid.
+ </para>
+ <para>
+ По умолчанию: использовать значение <quote>id_provider</quote>, если этот
+параметр задан.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>resolver_provider (строка)</term>
+ <listitem>
+ <para>
+ Поставщик данных, который должен обрабатывать поиск узлов и
+сетей. Поддерживаемые поставщики данных сопоставления:
+ </para>
+ <para>
+ <quote>proxy</quote> — перенаправлять поисковые запросы другой библиотеке
+NSS. См. <quote>proxy_resolver_lib_name</quote>
+ </para>
+ <para>
+ <quote>ldap</quote> — получить записи узлов и сетей, которые хранятся в
+LDAP. Дополнительные сведения о настройке LDAP: <citerefentry>
+<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>.
+ </para>
+ <para>
+ <quote>ad</quote> — получить записи узлов и сетей, которые хранятся на
+сервере AD. Дополнительные сведения о настройке поставщика данных AD:
+<citerefentry> <refentrytitle>sssd-ad</refentrytitle>
+<manvolnum>5</manvolnum> </citerefentry>.
+ </para>
+ <para>
+ <quote>none</quote> — явно отключает получение записей узлов и сетей.
+ </para>
+ <para>
+ По умолчанию: использовать значение <quote>id_provider</quote>, если этот
+параметр задан.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>re_expression (строка)</term>
+ <listitem>
+ <para>
+ Регулярное выражение для этого домена, которое описывает, как получить из
+строки, содержащей имя пользователя и домен, эти компоненты. «domain» может
+соответствовать либо имени домена в конфигурации SSSD, либо (в случае
+поддоменов доверия IPA и доменов Active Directory) плоскому (NetBIOS) имени
+домена.
+ </para>
+ <para>
+ Default:
+<quote>^((?P&lt;name&gt;.+)@(?P&lt;domain&gt;[^@]*)|(?P&lt;name&gt;[^@]+))$</quote>
+which allows two different styles for user names:
+ <itemizedlist>
+ <listitem>
+ <para>username</para>
+ </listitem>
+ <listitem>
+ <para>username@domain.name</para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Default for the AD and IPA provider:
+<quote>^(((?P&lt;domain&gt;[^\\]+)\\(?P&lt;name&gt;.+))|((?P&lt;name&gt;.+)@(?P&lt;domain&gt;[^@]+))|((?P&lt;name&gt;[^@\\]+)))$</quote>
+which allows three different styles for user names:
+ <itemizedlist>
+ <listitem>
+ <para>username</para>
+ </listitem>
+ <listitem>
+ <para>username@domain.name</para>
+ </listitem>
+ <listitem>
+ <para>domain\username</para>
+ </listitem>
+ </itemizedlist>
+ Первые два стиля соответствуют общим стандартным стилям, а третий введён для
+обеспечения простой интеграции пользователей из доменов Windows.
+ </para>
+ <para>
+ The default re_expression uses the <quote>@</quote> character as a separator
+between the name and the domain. As a result of this setting the default
+does not accept the <quote>@</quote> character in short names (as it is
+allowed in Windows group names). If a user wishes to use short names with
+<quote>@</quote> they must create their own re_expression.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>full_name_format (строка)</term>
+ <listitem>
+ <para>
+ Совместимый с <citerefentry> <refentrytitle>printf</refentrytitle>
+<manvolnum>3</manvolnum> </citerefentry> формат, который описывает способ
+создания полностью определённого имени из имени пользователя и имени домена.
+ </para>
+ <para>
+ Поддерживаются следующие расширения: <variablelist>
+ <varlistentry>
+ <term>%1$s</term>
+ <listitem><para>имя пользователя</para></listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>%2$s</term>
+ <listitem>
+ <para>
+ имя домена, указанное в файле конфигурации SSSD.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>%3$s</term>
+ <listitem>
+ <para>
+ плоское имя домена. Чаще всего используется для доменов Active Directory,
+как непосредственно настроенных, так и обнаруженных с помощью отношений
+доверия IPA.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ По умолчанию: <quote>%1$s@%2$s</quote>.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>lookup_family_order (строка)</term>
+ <listitem>
+ <para>
+ Предоставляет возможность выбрать предпочитаемое семейство адресов, которое
+следует использовать при выполнении запросов DNS.
+ </para>
+ <para>
+ Поддерживаемые значения:
+ </para>
+ <para>
+ ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти
+адрес IPv6
+ </para>
+ <para>
+ ipv4_only: пытаться разрешать имена узлов только в адреса IPv4.
+ </para>
+ <para>
+ ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти
+адрес IPv4
+ </para>
+ <para>
+ ipv6_only: пытаться разрешать имена узлов только в адреса IPv6.
+ </para>
+ <para>
+ По умолчанию: ipv4_first
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dns_resolver_server_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Определяет количество времени (в миллисекундах), в течение которого SSSD
+будет пытаться обменяться данными с сервером DNS перед переходом к
+следующему.
+ </para>
+ <para>
+ Поставщик данных AD также будет использовать этот параметр для ограничения
+времени проверки связи CLDAP.
+ </para>
+ <para>
+ Более подробные сведения о разрешении служб доступны в разделе
+<quote>ОБРАБОТКА ОТКАЗА</quote>.
+ </para>
+ <para>
+ По умолчанию: 1000
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dns_resolver_op_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Определяет количество времени (в секундах), в течение которого будет
+ожидаться разрешение одного запроса DNS (например, разрешение имени узла или
+записи SRV) перед попыткой перехода к следующему имени узла или поиску
+следующего DNS.
+ </para>
+ <para>
+ Более подробные сведения о разрешении служб доступны в разделе
+<quote>ОБРАБОТКА ОТКАЗА</quote>.
+ </para>
+ <para>
+ По умолчанию: 3
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dns_resolver_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Определяет количество времени (в секундах), в течение которого будет
+ожидаться ответ от внутренней службы отказоустойчивости, прежде служба будет
+считаться недоступной. Если это время ожидания истекло, домен продолжит
+работу в автономном режиме.
+ </para>
+ <para>
+ Более подробные сведения о разрешении служб доступны в разделе
+<quote>ОБРАБОТКА ОТКАЗА</quote>.
+ </para>
+ <para>
+ По умолчанию: 6
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dns_resolver_use_search_list (логическое значение)</term>
+ <listitem>
+ <para>
+ Обычно сопоставитель DNS выполняет поиск в списке доменов, указанных в
+директиве «search» в файле resolv.conf. Это может привести к задержкам в
+средах с неправильно настроенным DNS.
+ </para>
+ <para>
+ Если в конфигурации SSSD используются полные доменные имена (или _srv_),
+установка для этого параметра значения FALSE может предотвратить ненужные
+запросы DNS в таких средах.
+ </para>
+ <para>
+ По умолчанию: TRUE
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>dns_discovery_domain (строка)</term>
+ <listitem>
+ <para>
+ Если на внутреннем сервере используется обнаружение служб, указывает
+доменную часть запроса обнаружения служб DNS.
+ </para>
+ <para>
+ По умолчанию: использовать доменную часть имени узла компьютера
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>override_gid (целое число)</term>
+ <listitem>
+ <para>
+ Переопределить значение основного GID указанным значением.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>case_sensitive (строка)</term>
+ <listitem>
+ <para>
+ Учитывать регистр символов в именах пользователей и групп. Возможные
+значения: <variablelist>
+ <varlistentry>
+ <term>True</term>
+ <listitem>
+ <para>
+ С учётом регистра. Это значение не является корректным для поставщика данных
+AD.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>False</term>
+ <listitem>
+ <para>Без учёта регистра.</para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>Preserving</term>
+ <listitem>
+ <para>
+ То же, что «False» (без учёта регистра), но не переводит в нижний регистр
+имена в результатах операций NSS. Обратите внимание, что псевдонимы (а в
+случае служб также и имена протоколов) всё равно будут переведены в нижний
+регистр в выведенных данных.
+ </para>
+ <para>
+ Если требуется установить это значение для доверенного домена с поставщиком
+данных IPA, необходимо установить его как на стороне клиента, так и для SSSD
+на сервере.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Этот параметр также может быть задан для каждого поддомена отдельно или
+унаследован с помощью <emphasis>subdomain_inherit</emphasis>.
+ </para>
+ <para>
+ По умолчанию: True (False для поставщика данных AD)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>subdomain_inherit (строка)</term>
+ <listitem>
+ <para>
+ Позволяет указать список параметров конфигурации, которые должны
+наследоваться поддоменом. Обратите внимание, что наследоваться могут не все
+параметры. В настоящее время поддерживается наследование следующих
+параметров:
+ </para>
+ <para>
+ ldap_search_timeout
+ </para>
+ <para>
+ ldap_network_timeout
+ </para>
+ <para>
+ ldap_opt_timeout
+ </para>
+ <para>
+ ldap_offline_timeout
+ </para>
+ <para>
+ ldap_enumeration_refresh_timeout
+ </para>
+ <para>
+ ldap_enumeration_refresh_offset
+ </para>
+ <para>
+ ldap_purge_cache_timeout
+ </para>
+ <para>
+ ldap_purge_cache_offset
+ </para>
+ <para>
+ ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр
+ldap_krb5_keytab не задан явно)
+ </para>
+ <para>
+ ldap_krb5_ticket_lifetime
+ </para>
+ <para>
+ ldap_enumeration_search_timeout
+ </para>
+ <para>
+ ldap_connection_expire_timeout
+ </para>
+ <para>
+ ldap_connection_expire_offset
+ </para>
+ <para>
+ ldap_connection_idle_timeout
+ </para>
+ <para>
+ ldap_use_tokengroups
+ </para>
+ <para>
+ ldap_user_principal
+ </para>
+ <para>
+ ignore_group_members
+ </para>
+ <para>
+ auto_private_groups
+ </para>
+ <para>
+ case_sensitive
+ </para>
+ <para>
+ Пример: <programlisting>
+subdomain_inherit = ldap_purge_cache_timeout
+ </programlisting>
+ </para>
+ <para>
+ По умолчанию: none
+ </para>
+ <para>
+ Примечание: этот параметр работает только для поставщиков данных IPA и AD.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>subdomain_homedir (строка)</term>
+ <listitem>
+ <para>
+ Использовать этот домашний каталог как значение по умолчанию для всех
+поддоменов в пределах доверия AD IPA. Сведения о возможных значениях
+доступны в описании параметра <emphasis>override_homedir</emphasis>. В
+дополнение к этому, приведённое ниже расширение можно использовать только с
+<emphasis>subdomain_homedir</emphasis>. <variablelist>
+ <varlistentry>
+ <term>%F</term>
+ <listitem><para>плоское (NetBIOS) имя поддомена.</para></listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Это значение может быть переопределено параметром
+<emphasis>override_homedir</emphasis>.
+ </para>
+ <para>
+ По умолчанию: <filename>/home/%d/%u</filename>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>realmd_tags (строка)</term>
+ <listitem>
+ <para>
+ Различные метки, сохранённые службой настройки realmd для этого домена.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>cached_auth_timeout (целое число)</term>
+ <listitem>
+ <para>
+ Указывает время в секундах с момента последней успешной проверки подлинности
+в сетевом режиме, в течение которого пользователь будет распознан с помощью
+кэшированных учётных данных, когда SSSD находится в сетевом режиме. Если
+учётные данные некорректны, SSSD будет использовать проверку подлинности в
+сетевом режиме.
+ </para>
+ <para>
+ Значение этого параметра наследуется всеми доверенными доменами. В настоящее
+время невозможно устанавливать для отдельных доверенных доменов другие
+значения.
+ </para>
+ <para>
+ Специальное значение «0» подразумевает, что эта возможность отключена.
+ </para>
+ <para>
+ Обратите внимание: если <quote>cached_auth_timeout</quote> превышает
+<quote>pam_id_timeout</quote>, то может быть вызван внутренний сервер для
+обработки <quote>initgroups.</quote>
+ </para>
+ <para>
+ По умолчанию: 0
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>local_auth_policy (string)</term>
+ <listitem>
+ <para>
+ Local authentication methods policy. Some backends (i.e. LDAP, proxy
+provider) only support a password based authentication, while others can
+handle PKINIT based Smartcard authentication (AD, IPA), two-factor
+authentication (IPA), or other methods against a central instance. By
+default in such cases authentication is only performed with the methods
+supported by the backend.
+ </para>
+ <para>
+ There are three possible values for this option: match, only,
+enable. <quote>match</quote> is used to match offline and online states for
+Kerberos methods. <quote>only</quote> ignores the online methods and only
+offer the local ones. enable allows explicitly defining the methods for
+local authentication. As an example, <quote>enable:passkey</quote>, only
+enables passkey for local authentication. Multiple enable values should be
+comma-separated, such as <quote>enable:passkey, enable:smartcard</quote>
+ </para>
+ <para>
+ Please note that if local Smartcard authentication is enabled and a
+Smartcard is present, Smartcard authentication will be preferred over the
+authentication methods supported by the backend. I.e. there will be a PIN
+prompt instead of e.g. a password prompt.
+ </para>
+ <para>
+ The following configuration example allows local users to authenticate
+locally using any enabled method (i.e. smartcard, passkey). <programlisting>
+[domain/shadowutils]
+id_provider = proxy
+proxy_lib_name = files
+auth_provider = none
+local_auth_policy = only
+</programlisting>
+ </para>
+ <para condition="with_files_provider">
+ It is expected that the <quote>files</quote> provider ignores the
+local_auth_policy option and supports Smartcard authentication by default.
+ </para>
+ <para>
+ Default: match
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>auto_private_groups (строка)</term>
+ <listitem>
+ <para>
+ Этот параметр принимает одно из трёх допустимых значений: <variablelist>
+ <varlistentry>
+ <term>true</term>
+ <listitem>
+ <para>
+ Без проверки условий создавать закрытую группу пользователя на основе номера
+UID пользователя. Номер GID в этом случае игнорируется.
+ </para>
+ <para>
+ ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от
+номера UID, при использовании этого параметра не предусмотрена поддержка
+нескольких записей с одинаковым номером UID или GID. Иными словами,
+включение этого параметра принудительно устанавливает уникальность записей в
+пространстве идентификаторов.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>false</term>
+ <listitem>
+ <para>
+ Всегда использовать основной номер GID пользователя. Номер GID должен
+ссылаться на объект группы в базе данных LDAP.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>hybrid</term>
+ <listitem>
+ <para>
+ Основная группа автоматически генерируется для записей пользователей, номера
+UID и GID которых имеют одно и то же значение, и при этом номер GID не
+соответствует реальному объекту группы в LDAP. Если значения совпадают, но
+основной GID в записи пользователя также используется объектом группы,
+основной GID этого пользователя разрешается в этот объект группы.
+ </para>
+ <para>
+ Если UID и GID пользователя отличаются, GID должен соответствовать записи
+группы; в ином случае GID просто будет невозможно разрешить.
+ </para>
+ <para>
+ Эта возможность полезна для сред, где требуется прекратить поддерживать
+отдельные объекты групп для закрытых групп пользователей, но в то же время
+сохранить существующие закрытые группы пользователей.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ В случае поддоменов, «False» является значением по умолчанию для поддоменов,
+которые используют назначенные идентификаторы POSIX, а «True» — для
+поддоменов, которые используют автоматическое сопоставление идентификаторов.
+ </para>
+ <para>
+ Значение auto_private_groups можно установить либо на уровне отдельных
+поддоменов в подразделе, например: <programlisting>
+[domain/forest.domain/sub.domain]
+auto_private_groups = false
+</programlisting>, либо на глобальном уровне для всех поддоменов в разделе основного
+домена с помощью параметра subdomain_inherit: <programlisting>
+[domain/forest.domain]
+subdomain_inherit = auto_private_groups
+auto_private_groups = false
+</programlisting>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+
+ <para>
+ Параметры, которые являются действительными для доменов прокси.
+<variablelist>
+ <varlistentry>
+ <term>proxy_pam_target (строка)</term>
+ <listitem>
+ <para>
+ Цель, которой пересылает данные прокси PAM.
+ </para>
+ <para>
+ Default: not set by default, you have to take an existing pam configuration
+or create a new one and add the service name here. As an alternative you can
+enable local authentication with the local_auth_policy option.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>proxy_lib_name (строка)</term>
+ <listitem>
+ <para>
+ Имя библиотеки NSS, которую следует использовать в доменах прокси. Функции
+NSS, поиск которых выполняется в библиотеке, имеют вид
+_nss_$(libName)_$(function), например: _nss_files_getpwent.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>proxy_resolver_lib_name (строка)</term>
+ <listitem>
+ <para>
+ Имя библиотеки NSS, которую следует использовать для поиска узлов и сетей в
+доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют
+вид _nss_$(libName)_$(function), например: _nss_dns_gethostbyname2_r.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>proxy_fast_alias (логическое значение)</term>
+ <listitem>
+ <para>
+ Когда на поставщике данных прокси выполняется поиск пользователя или группы
+по имени, выполнять второй поиск по идентификатору для перевода имени в
+каноническую форму в случае, если запрашиваемое имя было псевдонимом. При
+установке этого параметра в значение «true» SSSD будет выполнять поиск
+идентификатора в кэше в целях ускорения предоставления результатов.
+ </para>
+ <para>
+ По умолчанию: false
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>proxy_max_children (целое число)</term>
+ <listitem>
+ <para>
+ Этот параметр задаёт количество предварительно ответвлённых дочерних
+прокси. Он полезен в средах SSSD с высокой нагрузкой, в которых у sssd могут
+закончиться доступные дочерние слоты, что может вызывать проблемы из-за
+постановки запросов в очередь.
+ </para>
+ <para>
+ По умолчанию: 10
+ </para>
+ </listitem>
+ </varlistentry>
+
+ </variablelist>
+ </para>
+
+ <refsect2 id='app_domains'>
+ <title>Домены приложений</title>
+ <para>
+ SSSD, с его интерфейсом D-Bus (см. <citerefentry>
+<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>), обращается к программам как шлюз в каталог LDAP, где
+хранятся данные пользователей и групп. Впрочем, в отличие от традиционного
+формата работы SSSD, где все пользователи и группы имеют либо атрибуты
+POSIX, либо атрибуты, производные от SID Windows, во многих случаях
+пользователи и группы в сценарии поддержки приложений не имеют атрибутов
+POSIX. Вместо установки раздела
+<quote>[domain/<replaceable>NAME</replaceable>]</quote> администратор может
+установить раздел
+<quote>[application/<replaceable>NAME</replaceable>]</quote>, который на
+внутреннем уровне представляет собой домен с типом
+<quote>application</quote>, который может наследовать параметры
+традиционного домена SSSD.
+ </para>
+ <para>
+ Обратите внимание: домен приложений всё равно должен быть явно включён с
+помощью параметра <quote>domains</quote>; это позволит корректно задать
+порядок поиска для домена приложений и его родственного домена POSIX.
+ </para>
+ <variablelist>
+ <title>Параметры доменов приложений</title>
+ <varlistentry>
+ <term>inherit_from (строка)</term>
+ <listitem>
+ <para>
+ Домен типа POSIX SSSD, от которого домен приложений наследует все
+параметры. Домен приложений также может добавить свои собственные параметры
+к параметрам приложений для расширения или переопределения параметров
+<quote>родственного</quote> домена.
+ </para>
+ <para>
+ По умолчанию: не задано
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <para>
+ В следующем примере показано использование домена приложений. В этой
+конфигурации домен POSIX подключён к серверу LDAP и используется ОС с
+помощью ответчика NSS. Кроме того, домен приложений также запрашивает
+атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает
+атрибут phone доступным через интерфейс D-Bus.
+ </para>
+<programlisting>
+[sssd]
+domains = appdom, posixdom
+
+[ifp]
+user_attributes = +phone
+
+[domain/posixdom]
+id_provider = ldap
+ldap_uri = ldap://ldap.example.com
+ldap_search_base = dc=example,dc=com
+
+[application/appdom]
+inherit_from = posixdom
+ldap_user_extra_attrs = phone:telephoneNumber
+</programlisting>
+ </refsect2>
+
+ </refsect1>
+
+ <refsect1 id='trusted-domains'>
+ <title>РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ</title>
+ <para>
+ Некоторые параметры, которые используются в разделе домена, также могут
+использоваться в разделе доверенного домена, то есть разделе с именем
+<quote>[domain/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>TRUSTED_DOMAIN_NAME</replaceable>]</quote>.
+DOMAIN_NAME — это фактический базовый домен, к которому выполнено
+присоединение. Объяснение приводится в примерах ниже. В настоящее время для
+раздела доверенного домена поддерживаются следующие параметры:
+ </para>
+ <para>ldap_search_base,</para>
+ <para>ldap_user_search_base,</para>
+ <para>ldap_group_search_base,</para>
+ <para>ldap_netgroup_search_base,</para>
+ <para>ldap_service_search_base,</para>
+ <para>ldap_sasl_mech,</para>
+ <para>ad_server,</para>
+ <para>ad_backup_server,</para>
+ <para>ad_site,</para>
+ <para>use_fully_qualified_names</para>
+ <para>pam_gssapi_services</para>
+ <para>pam_gssapi_check_upn</para>
+ <para>
+ Дополнительные сведения об этих параметрах доступны в их описаниях на
+справочной странице.
+ </para>
+ </refsect1>
+
+ <refsect1 id='certmap'>
+ <title>РАЗДЕЛ СОПОСТАВЛЕНИЯ СЕРТИФИКАТОВ</title>
+ <para>
+ Чтобы сделать возможной проверку подлинности по смарт-картам и сертификатам,
+SSSD необходима возможность сопоставления сертификатов пользователям. Это
+можно сделать путём добавления полного сертификата к объекту LDAP
+пользователя или к локальному переопределению. В то время как использование
+полного сертификата необходимо для использования функции проверки
+подлинности по смарт-картам SSH (см. <citerefentry>
+<refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
+<manvolnum>8</manvolnum> </citerefentry>), это может быть затруднительно или
+даже невозможно в общем случае, когда локальные службы используют PAM для
+проверки подлинности.
+ </para>
+ <para>
+ Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила
+привязки и сопоставления (см. <citerefentry>
+<refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum>
+</citerefentry>).
+ </para>
+ <para>
+ Правило привязки и сопоставления можно добавить в конфигурацию SSSD как
+отдельный раздел с именем наподобие
+<quote>[certmap/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>RULE_NAME</replaceable>]</quote>.
+В этом разделе допустимы следующие параметры:
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>matchrule (строка)</term>
+ <listitem>
+ <para>
+ Будут обрабатываться только те сертификаты со смарт-карты, которые
+соответствуют этому правилу. Все остальные будут игнорироваться.
+ </para>
+ <para>
+ По умолчанию: KRB5:&lt;EKU&gt;clientAuth, то есть только те сертификаты, в
+которых Extended Key Usage (расширенное использование ключа) равно
+<quote>clientAuth</quote>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>maprule (строка)</term>
+ <listitem>
+ <para>
+ Определяет способ поиска пользователя для указанного сертификата.
+ </para>
+ <para>
+ По умолчанию:
+ <itemizedlist>
+ <listitem>
+ <para>LDAP:(userCertificate;binary={cert!bin}) для поставщиков данных на основе
+LDAP, таких как <quote>ldap</quote>, <quote>AD</quote> или
+<quote>ipa</quote>.</para>
+ </listitem>
+ <listitem condition="with_files_provider">
+ <para>RULE_NAME для поставщика данных <quote>files</quote>, который пытается найти
+пользователя с таким же именем.</para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>domains (строка)</term>
+ <listitem>
+ <para>
+ Разделённый запятыми список имён доменов, к которым должно применяться
+правило. По умолчанию правило действительно только в домене, настроенном в
+sssd.conf. Если поставщик данных поддерживает поддомены, с помощью этого
+параметра можно добавить правило также и в поддомены.
+ </para>
+ <para>
+ По умолчанию: настроенный домен в sssd.conf
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>priority (целое число)</term>
+ <listitem>
+ <para>
+ Беззнаковое целое значение, которое определяет приоритет правила. Чем больше
+число, тем ниже приоритет. <quote>0</quote> означает самый высокий
+приоритет, а <quote>4294967295</quote> — самый низкий.
+ </para>
+ <para>
+ По умолчанию: самый низкий приоритет
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <para condition="with_files_provider">
+ Чтобы упростить настройку и уменьшить количество её параметров, для
+поставщика данных <quote>files</quote> предусмотрены некоторые особые
+свойства:
+ <itemizedlist>
+ <listitem>
+ <para>
+ Если значение maprule не задано, именем совпадающего пользователя считается
+RULE_NAME
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ Если используется maprule, необходимо заключать в скобки как отдельное имя
+пользователя, так и шаблон наподобие
+<quote>{subject_rfc822_name.short_name}</quote>. Например:
+<quote>(username)</quote> или
+<quote>({subject_rfc822_name.short_name})</quote>
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ параметр <quote>domains</quote> игнорируется
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ </refsect1>
+
+ <refsect1 id='prompting_configuration'>
+ <title>РАЗДЕЛ НАСТРОЙКИ ЗАПРОСОВ</title>
+ <para>
+ Если специальный файл
+(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>)
+существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать,
+какие способы проверки подлинности доступны для пользователя, который
+пытается выполнить вход. В зависимости от полученного ответа pam_sss
+запросит у пользователя соответствующие учётные данные.
+ </para>
+ <para>
+ Так как количество способов проверки подлинности растёт и есть вероятность,
+что для одного пользователя их имеется несколько, эвристика, которая
+используется pam_sss для выбора запроса, подходит не для всех
+случаев. Следующие параметры обеспечивают более гибкую настройку.
+ </para>
+ <para>
+ Each supported authentication method has its own configuration subsection
+under <quote>[prompting/...]</quote>. Currently there are: <variablelist>
+ <varlistentry>
+ <term>[prompting/password]</term>
+ <listitem>
+ <para>допустимые параметры настройки запроса пароля: <variablelist><varlistentry><term>password_prompt</term>
+ <listitem><para>изменить строку запроса пароля</para></listitem></varlistentry></variablelist>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist> <variablelist>
+ <varlistentry>
+ <term>[prompting/2fa]</term>
+ <listitem>
+ <para>допустимые параметры настройки запроса двухфакторной проверки подлинности:
+<variablelist><varlistentry><term>first_prompt</term>
+ <listitem><para>изменить строку запроса первого фактора </para></listitem>
+ </varlistentry>
+ <varlistentry><term>second_prompt</term>
+ <listitem><para>изменить строку запроса второго фактора </para></listitem>
+ </varlistentry>
+ <varlistentry><term>single_prompt</term>
+ <listitem><para>логическое значение, если «True», будет выполнен только один запрос с
+использованием значения first_prompt. Ожидается, что оба фактора будет
+введены как одна строка. Обратите внимание, что здесь необходимо ввести оба
+фактора, даже если второй фактор является необязательным.</para></listitem>
+ </varlistentry>
+ </variablelist> Если второй фактор является
+необязательным и должно быть возможно выполнить вход, указав либо только
+пароль, либо оба фактора, следует использовать двухэтапный запрос.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+<variablelist>
+ <varlistentry condition="build_passkey">
+ <term>[prompting/passkey]</term>
+ <listitem>
+ <para>to configure passkey authentication prompting, allowed options are:
+<variablelist>
+ <varlistentry>
+ <term>interactive</term>
+ <listitem>
+ <para>boolean value, if True prompt a message and wait before testing the presence
+of a passkey device. Recommended if your device doesn’t have a tactile
+trigger.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>interactive_prompt</term>
+ <listitem>
+ <para>to change the message of the interactive prompt.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>touch</term>
+ <listitem>
+ <para>boolean value, if True prompt a message to remind the user to touch the
+device.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>touch_prompt</term>
+ <listitem>
+ <para>to change the message of the touch prompt.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+ <para>
+ Возможно добавить подраздел для определённых служб PAM, например
+<quote>[prompting/password/sshd]</quote>; это позволяет изменить запрос
+конкретно для этой службы.
+ </para>
+ </refsect1>
+
+ <refsect1 id='example'>
+ <title>ПРИМЕРЫ</title>
+ <para>
+ 1. В следующем примере показана типичная конфигурация SSSD. Описание
+конфигурации самих доменов не приводится — оно доступно в соответствующей
+документации. <programlisting>
+[sssd]
+domains = LDAP
+services = nss, pam
+config_file_version = 2
+
+[nss]
+filter_groups = root
+filter_users = root
+
+[pam]
+
+[domain/LDAP]
+id_provider = ldap
+ldap_uri = ldap://ldap.example.com
+ldap_search_base = dc=example,dc=com
+
+auth_provider = krb5
+krb5_server = kerberos.example.com
+krb5_realm = EXAMPLE.COM
+cache_credentials = true
+
+min_id = 10000
+max_id = 20000
+enumerate = False
+</programlisting>
+ </para>
+ <para>
+ 2. В следующем примере показана конфигурация доверия AD IPA, где лес AD
+состоит из двух доменов структуры «родитель — потомок». Предположим, что
+домен IPA (ipa.com) имеет отношения доверия с доменом AD (ad.com). У ad.com
+есть дочерний домен (child.ad.com). Чтобы включить краткие имена в дочернем
+домене, следует использовать следующую конфигурацию. <programlisting>
+[domain/ipa.com/child.ad.com]
+use_fully_qualified_names = false
+</programlisting>
+ </para>
+ <para>
+ 3. The following example shows the configuration of a certificate mapping
+rule. It is valid for the configured domain <quote>my.domain</quote> and
+additionally for the subdomains <quote>your.domain</quote> and uses the full
+certificate in the search filter. <programlisting>
+[certmap/my.domain/rule_name]
+matchrule = &lt;ISSUER&gt;^CN=My-CA,DC=MY,DC=DOMAIN$
+maprule = (userCertificate;binary={cert!bin})
+domains = my.domain, your.domain
+priority = 10
+</programlisting>
+ </para>
+ </refsect1>
+
+ <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
+
+</refentry>
+</reference>
generated by cgit v1.2.3 (git 2.39.1) at 2024-11-22 06:53:30 +0000