diff options
Diffstat (limited to 'src/man/sv')
47 files changed, 15588 insertions, 0 deletions
diff --git a/src/man/sv/idmap_sss.8.xml b/src/man/sv/idmap_sss.8.xml new file mode 100644 index 0000000..ff69be5 --- /dev/null +++ b/src/man/sv/idmap_sss.8.xml @@ -0,0 +1,76 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>idmap_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>idmap_sss</refname> + <refpurpose>SSSD:s idmap_sss-bakände för Winbind</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Modulen idmap_sss tillhandahåller ett sätt att anropa SSSD för att översätta +AID:er/GID:er och SID:er. Ingen databas behövs i detta fall eftersom +översättningen görs av SSSD. + </para> + </refsect1> + + <refsect1> + <title>IDMAP-ALTERNATIV</title> + + <variablelist> + <varlistentry> + <term>range = låg - hög</term> + <listitem><para> + Definierar de tillgängliga matchnings-UID- och GID-intervallen som bakänden +är auktoritativ för. + </para></listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>EXEMPEL</title> + <para> + Detta exempel visar hur man konfigurerar idmap_sss som +standardöversättningsmodulen. + </para> + + <programlisting format="linespecific"> +[global] +security = ads +workgroup = <AD-DOMÄNKORTNAMN> + +idmap config <AD-DOMÄNKORTNAMN> : backend = sss +idmap config <AD-DOMÄNKORTNAMN> : range = 200000-2147483647 + +idmap config * : backend = tdb +idmap config * : range = 100000-199999 + </programlisting> + + <para> + Ersätt <AD-DOMÄNKORTNAMN> med NetBIOS-domännamnet för AD-domänen. Om +flera AD-domäner skall användas behöver varje domän en <literal>idmap +config</literal>-rad med <literal>backend = sss</literal> och en rad med ett +lämpligt <literal>range</literal>. + </para> + <para> + Eftersom Winbind kräver en skrivbar standardbakände och idmap_sss endast är +läsbar inkluderar exemplet <literal>backend = tdb</literal> som standard. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/include/ad_modified_defaults.xml b/src/man/sv/include/ad_modified_defaults.xml new file mode 100644 index 0000000..e6a2e15 --- /dev/null +++ b/src/man/sv/include/ad_modified_defaults.xml @@ -0,0 +1,104 @@ +<refsect1 id='modified-default-options'> + <title>ÄNDRADE STANDARDALTERNATIV</title> + <para> + Vissa alternativs standardvärde stämmer inte med deras respektive bakändars +standardvärden, dessa alternativnamn och AD-leverantörspecifika +standardvärden är uppräknade nedan: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5-leverantör</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_enterprise_principal = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_modifications'> + <title>LDAP-leverantör</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ad + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_id_mapping = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSS-SPNEGO + </para> + </listitem> + <listitem> + <para> + ldap_referrals = false + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ad + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_authid = sAMAccountName@RIKE (typiskt KORTNAMN$@RIKE) + </para> + <para> + AD-leverantören letar efter en annan huvudman än LDAP-leverantören som +standard, eftersom huvudmännen i en Active Directory-miljö är uppdelade i +två grupper – användarhuvudmän och tjänstehuvudmän. Endast +användarhuvudmannen kan användas för att hämta en TGT och som standard är +datorobjekts huvudman konstruerade från dess sAMAccountName och AD-riket. +Den välkända huvudmannen för värd/värdnamn@RIKE är en tjänstehuvudman och +kan därmed inte användas för att hämta en TGT. + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='nss_modifications'> + <title>NSS-konfiguration</title> + <itemizedlist> + <listitem> + <para> + fallback_homedir = /home/%d/%u + </para> + <para> + AD-leverantören sätter automatiskt ”fallback_homedir = /home/%d/%u” för att +tillhandahålla personliga hemkataloger för användare utan attributet +homeDirectory. Om ens AD-domän är vederbörligen populerad med +Posix-attribut, och man vill undvika att falla tillbaka på detta beteende, +kan man uttryckligen sätta ”fallback_homedir = %o”. + </para> + <para> + Observera att systemet typiskt förväntar sig en hemkatalog i mappen +/home/%u. Om man bestämmer sig för att använda en annan katalogstruktur kan +några andra delar av ens system behöva justeras. + </para> + <para> + Till exempel kräver automatiserat skapande av hemkataloger i kombination med +selinux anpassningar av selinux, annars kommer hemkatalogen skapas med fel +selinux-kontext. + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/sv/include/autofs_attributes.xml b/src/man/sv/include/autofs_attributes.xml new file mode 100644 index 0000000..204303a --- /dev/null +++ b/src/man/sv/include/autofs_attributes.xml @@ -0,0 +1,65 @@ +<variablelist> + <varlistentry> + <term>ldap_autofs_map_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en automatmonteringskartepost i LDAP. + </para> + <para> + Standard: nisMap (rfc2307, autofs_provider=ad), annars automountMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_map_name (sträng)</term> + <listitem> + <para> + Namnet på en automatmonteringskartepost i LDAP. + </para> + <para> + Standard: nisMapName (rfc2307, autofs_provider=ad), annars automountMapName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en automatmonteringspost i LDAP. Posten motsvarar +vanligen en monteringspunkt. + </para> + <para> + Standard: nisObject (rfc2307, autofs_provider=ad), annars automount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_key (sträng)</term> + <listitem> + <para> + Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en +monteringspunkt. + </para> + <para> + Standard: cn (rfc2307, autofs_provider=ad), annars automountKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_autofs_entry_value (sträng)</term> + <listitem> + <para> + Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en +monteringspunkt. + </para> + <para> + Standard: nisMapEntry (rfc2307, autofs_provider=ad), annars +automountInformation + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/sv/include/autofs_restart.xml b/src/man/sv/include/autofs_restart.xml new file mode 100644 index 0000000..46437be --- /dev/null +++ b/src/man/sv/include/autofs_restart.xml @@ -0,0 +1,5 @@ +<para> + Observera att automounter:n bara läser master-kartan vid uppstart, så om +några autofs-relaterade ändringar görs av sssd.conf behöver du normalt även +starta om automounter-demonen efter att ha startat om SSSD. +</para> diff --git a/src/man/sv/include/debug_levels.xml b/src/man/sv/include/debug_levels.xml new file mode 100644 index 0000000..9c4c4dc --- /dev/null +++ b/src/man/sv/include/debug_levels.xml @@ -0,0 +1,99 @@ +<listitem> + <para> + SSSD stödjer två representationer för att ange felsökningsnivå. Det +enklaste är att ange ett decimalt värde från 0-9 som representerar +aktivering av den nivån och alla lägre nivåer av felsökningsmeddelanden. +Det mer fullständiga alternativet är att ange en hexadecimal bitmask för att +aktivera eller avaktivera specifika nivåer (såsom om du önskar undertrycka +en nivå). + </para> + <para> + Observera att varje SSSD-tjänst loggar till sin egen loggfil. Observera +också att aktivering av <quote>debug_level</quote> i avsnittet +<quote>[sssd]</quote> bara aktiverar felsökning just för själva +sssd-processen, inte för respondent- eller leverantörsprocesser. Parametern +<quote>debug_level</quote> skall läggas till i alla sektioner som man vill +producera felsökningsloggar ifrån. + </para> + <para> + Utöver att ändra loggnivån i konfigurationsfilen med parametern +<quote>debug_level</quote>, som är bestående, men kräver omstart av SSSD, är +det även möjligt att ändra felsökningsnivån i farten med verktyget +<citerefentry> <refentrytitle>sss_debuglevel</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + Felsökningsnivåer som för närvarande stödjs: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Ödesdigra fel. Allt +som skulle hindra SSSD från att starta upp eller får den att sluta köra. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Kritiska fel. Ett fel +som inte dödar SSSD, men ett som indikerar att åtminstone en viktig funktion +inte kommer fungera korrekt. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Allvarliga fel. Ett +fel som rapporterar att en viss begäran eller operation har misslyckats. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Smärre fel. Detta är +fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: +Konfigurationsinställningar. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Funktionsdata. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Spårmeddelanden för +åtgärdsfunktioner. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Spårmeddelanden för +interna styrfunktioner. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Innehållet i interna +variabler som kan vara intressant. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Spårningsinformation på +extremt låg nivå. + </para> + <para> + <emphasis>9</emphasis>,<emphasis>0x20000</emphasis>: Prestanda och +statistiska data, observera att på grund av hur förfrågningar behandlas +internt kan den loggade exekveringstiden för en förfrågan vara längre än den +faktiskt var. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Ännu mer lågnivå +spårningsinformation om libldb. Det behövs nästan aldrig. + </para> + <para> + För att logga begärda bitmaskfelsökningsnivåer, lägg helt enkelt ihop deras +tal som visas i följande exempel: + </para> + <para> + <emphasis>Exempel</emphasis>: För att logga ödesdigra fel, kritiska fel, +allvarliga fel och funktionsdata, använd 0x0270. + </para> + <para> + <emphasis>Exempel</emphasis>: För att logga ödesdigra fel, +konfigurationsinställningar, funktionsdata och spårmeddelanden för interna +styrfunktioner, använd 0x1310. + </para> + <para> + <emphasis>Observera</emphasis>: bitmaskformatet för felsökningsnivåer +introducerades i 1.7.0. + </para> + <para> + <emphasis>Standard</emphasis>: 0x0070 (d.v.s. ödesdigra, kritiska och +allvarliga fel; motsvarar inställningen 2 i decimal notation) + </para> +</listitem> diff --git a/src/man/sv/include/debug_levels_tools.xml b/src/man/sv/include/debug_levels_tools.xml new file mode 100644 index 0000000..1eae3fa --- /dev/null +++ b/src/man/sv/include/debug_levels_tools.xml @@ -0,0 +1,78 @@ +<listitem> + <para> + SSSD stödjer två representationer för att ange felsökningsnivå. Det +enklaste är att ange ett decimalt värde från 0-9 som representerar +aktivering av den nivån och alla lägre nivåer av felsökningsmeddelanden. +Det mer fullständiga alternativet är att ange en hexadecimal bitmask för att +aktivera eller avaktivera specifika nivåer (såsom om du önskar undertrycka +en nivå). + </para> + <para> + Felsökningsnivåer som för närvarande stödjs: + </para> + <para> + <emphasis>0</emphasis>, <emphasis>0x0010</emphasis>: Ödesdigra fel. Allt +som skulle hindra SSSD från att starta upp eller får den att sluta köra. + </para> + <para> + <emphasis>1</emphasis>, <emphasis>0x0020</emphasis>: Kritiska fel. Ett fel +som inte dödar SSSD, men ett som indikerar att åtminstone en viktig funktion +inte kommer fungera korrekt. + </para> + <para> + <emphasis>2</emphasis>, <emphasis>0x0040</emphasis>: Allvarliga fel. Ett +fel som rapporterar att en viss begäran eller operation har misslyckats. + </para> + <para> + <emphasis>3</emphasis>, <emphasis>0x0080</emphasis>: Smärre fel. Detta är +fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2. + </para> + <para> + <emphasis>4</emphasis>, <emphasis>0x0100</emphasis>: +Konfigurationsinställningar. + </para> + <para> + <emphasis>5</emphasis>, <emphasis>0x0200</emphasis>: Funktionsdata. + </para> + <para> + <emphasis>6</emphasis>, <emphasis>0x0400</emphasis>: Spårmeddelanden för +åtgärdsfunktioner. + </para> + <para> + <emphasis>7</emphasis>, <emphasis>0x1000</emphasis>: Spårmeddelanden för +interna styrfunktioner. + </para> + <para> + <emphasis>8</emphasis>, <emphasis>0x2000</emphasis>: Innehållet i interna +variabler som kan vara intressant. + </para> + <para> + <emphasis>9</emphasis>, <emphasis>0x4000</emphasis>: Spårningsinformation på +extremt låg nivå. + </para> + <para> + <emphasis>10</emphasis>, <emphasis>0x10000</emphasis>: Ännu mer lågnivå +spårningsinformation om libldb. Det behövs nästan aldrig. + </para> + <para> + För att logga begärda bitmaskfelsökningsnivåer, lägg helt enkelt ihop deras +tal som visas i följande exempel: + </para> + <para> + <emphasis>Exempel</emphasis>: För att logga ödesdigra fel, kritiska fel, +allvarliga fel och funktionsdata, använd 0x0270. + </para> + <para> + <emphasis>Exempel</emphasis>: För att logga ödesdigra fel, +konfigurationsinställningar, funktionsdata och spårmeddelanden för interna +styrfunktioner, använd 0x1310. + </para> + <para> + <emphasis>Observera</emphasis>: bitmaskformatet för felsökningsnivåer +introducerades i 1.7.0. + </para> + <para> + <emphasis>Standard</emphasis>: 0x0070 (d.v.s. ödesdigra, kritiska och +allvarliga fel; motsvarar inställningen 2 i decimal notation) + </para> +</listitem> diff --git a/src/man/sv/include/failover.xml b/src/man/sv/include/failover.xml new file mode 100644 index 0000000..b77ae69 --- /dev/null +++ b/src/man/sv/include/failover.xml @@ -0,0 +1,120 @@ +<refsect1 id='failover'> + <title>RESERVER</title> + <para> + Reservfunktionen gör att bakändar automatiskt kan byta till en annan server +om den nuvarande servern slutar fungera. + </para> + <refsect2 id='failover_syntax'> + <title>Reservsyntax</title> + <para> + Listan av servrar ges som en kommaseparerad lista; godtyckligt antal +mellanslag tillåts runt kommatecknet. Servrarna listas i preferensordning. +Listan kan innehålla obegränsat antal servrar. + </para> + <para> + För varje reservaktiverat konfigurationsalternativ finns det två varianter: +<emphasis>primary</emphasis> och <emphasis>backup</emphasis>. Tanken är att +servrar i den primära listan föredras och backup-servrar bara provas om inga +primära servrar kan nås. Om en backup-server väljs sätts en tidsgräns på 31 +sekunder. Efter denna tidsgräns kommer SSSD periodiskt att försöka +återansluta till en av de primära servrarna. Om det lyckas kommer den +ersätta den nu aktiva (backup-)servern. + </para> + </refsect2> + <refsect2 id='failover_mechanism'> + <title>Reservmekanismen</title> + <para> + Reservmekanismen gör skillnad mellan en maskin och en tjänst. Bakänden +försöker först att slå upp värdnamnet för en given maskin; om denna +uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare +försök görs att ansluta till denna maskin för någon annan tjänst. Om +uppslagningsförsöket lyckas försöker bakänden ansluta till en tjänst på +denna maskin. Om tjänsteanslutningen misslyckas anses bara just denna +tjänst frånkopplad och bakänden byter automatiskt till nästa tjänst. +Maskinen betraktas fortfarande som uppkopplad och kan användas vid försök +att nå en annan tjänst. + </para> + <para> + Ytterligare försök att ansluta görs till maskiner eller tjänster som +markerats som frånkopplade efter en viss tidsperiod, detta är för närvarande +hårdkodat till 30 sekunder. + </para> + <para> + Om det inte finns några fler maskiner att prova byter bakänden i sin helhet +till frånkopplat läge, och försöker sedan återansluta var 30:e sekund. + </para> + </refsect2> + <refsect2 id='failover_tuning'> + <title>Tidsgränser och trimning av reservfunktioner</title> + <para> + Att slå upp en server att ansluta till kan vara så enkelt som att göra en +enstaka DNS-fråga eller kan innebära flera steg, såsom att hitta den rätta +sajten eller försöka med flera värdnamn ifall några av de konfigurerade +servrarna inte kan nås. De mer komplexa scenariona kan ta en stund och SSSD +behöver balansera mellan att tillhandahålla tillräckligt med tid för att +färdigställa upplösningsprocessen men å andra sidan inte försöka för länge +före den faller tillbaka på frånkopplat läge. Om SSSD:s felsökningsloggar +visar att serverns upplösning överskrider tidsgränsen före en aktiv server +nås kan du överväga att ändra tidsgränserna. + </para> + <para> + Detta avsnitt listar tillgängliga trimningsvariabler. Se deras beskrivning +i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. <variablelist> + <varlistentry> + <term> + dns_resolver_server_timeout + </term> + <listitem> + <para> + Tid i millisekunder som anger hur länge SSSD skall tala med en viss +DNS-server före den provar nästa. + </para> + <para> + Standard: 1000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_op_timeout + </term> + <listitem> + <para> + Tid i sekunder hur länge SSSD skall försöka slå upp en viss DNS-fråga +(t.ex. uppslagning av ett värdnamn eller en SRV-post) före den provar nästa +värdnamn eller upptäcktsdomän. + </para> + <para> + Standard: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + dns_resolver_timeout + </term> + <listitem> + <para> + Hur länge skall SSSD försöka slå upp en reservtjänst. Denna +tjänsteuppslagning kan internt bestå av flera steg, såsom att slå upp DNS +SRV-frågor och lokalisera sajten. + </para> + <para> + Standard: 6 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + För LDAP-baserade leverantörer utförs uppslagningsoperationen som en del av +LDAP-anslutningsoperationen. Därför skall även tidsgränsen +<quote>ldap_opt_timeout</quote> sättas till ett större värde än +<quote>dns_resolver_timeout</quote> som i sin tur skall sättas till ett +större värde än <quote>dns_resolver_op_timeout</quote> som skall vara större +än <quote>dns_resolver_server_timeout</quote>. + </para> + </refsect2> +</refsect1> diff --git a/src/man/sv/include/homedir_substring.xml b/src/man/sv/include/homedir_substring.xml new file mode 100644 index 0000000..a4951f4 --- /dev/null +++ b/src/man/sv/include/homedir_substring.xml @@ -0,0 +1,17 @@ +<varlistentry> + <term>homedir_substring (sträng)</term> + <listitem> + <para> + Värdet på detta alternativ kommer användas i expansionen av alternativet +<emphasis>override_homedir</emphasis> om mallen innehåller formatsträngen +<emphasis>%H</emphasis>. En LDAP-katalogpost kan innehålla denna mall +direkt så att detta alternativ kan användas för att expandera sökvägen till +hemkatalogen för varje klientmaskin (eller operativsystem). Den kan sättas +per domän eller globalt i avsnittet [nss]. Ett värde som anges i ett +domänavsnitt kommer åsidosätta ett som är satt i avsnittet [nss]. + </para> + <para> + Standard: /home + </para> + </listitem> +</varlistentry> diff --git a/src/man/sv/include/ipa_modified_defaults.xml b/src/man/sv/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..7635d4d --- /dev/null +++ b/src/man/sv/include/ipa_modified_defaults.xml @@ -0,0 +1,123 @@ +<refsect1 id='modified-default-options'> + <title>ÄNDRADE STANDARDALTERNATIV</title> + <para> + Vissa alternativs standardvärde stämmer inte med deras respektive bakändars +standardvärden, dessa alternativnamn och IPA-leverantörspecifika +standardvärden är uppräknade nedan: + </para> + <refsect2 id='krb5_modifications'> + <title>KRB5-leverantör</title> + <itemizedlist> + <listitem> + <para> + krb5_validate = true + </para> + </listitem> + <listitem> + <para> + krb5_use_fast = try + </para> + </listitem> + <listitem> + <para> + krb5_canonicalize = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_general_modifications'> + <title>LDAP-leverantör – allmänt</title> + <itemizedlist> + <listitem> + <para> + ldap_schema = ipa_v1 + </para> + </listitem> + <listitem> + <para> + ldap_force_upper_case_realm = true + </para> + </listitem> + <listitem> + <para> + ldap_sasl_mech = GSSAPI + </para> + </listitem> + <listitem> + <para> + ldap_sasl_minssf = 56 + </para> + </listitem> + <listitem> + <para> + ldap_account_expire_policy = ipa + </para> + </listitem> + <listitem> + <para> + ldap_use_tokengroups = true + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_user_modifications'> + <title>LDAP-leverantör – användaralternativ</title> + <itemizedlist> + <listitem> + <para> + ldap_user_member_of = memberOf + </para> + </listitem> + <listitem> + <para> + ldap_user_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_user_ssh_public_key = ipaSshPubKey + </para> + </listitem> + <listitem> + <para> + ldap_user_auth_type = ipaUserAuthType + </para> + </listitem> + </itemizedlist> + </refsect2> + <refsect2 id='ldap_group_modifications'> + <title>LDAP-leverantör – gruppalternativ</title> + <itemizedlist> + <listitem> + <para> + ldap_group_object_class = ipaUserGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_object_class_alt = posixGroup + </para> + </listitem> + <listitem> + <para> + ldap_group_member = member + </para> + </listitem> + <listitem> + <para> + ldap_group_uuid = ipaUniqueID + </para> + </listitem> + <listitem> + <para> + ldap_group_objectsid = ipaNTSecurityIdentifier + </para> + </listitem> + <listitem> + <para> + ldap_group_external_member = ipaExternalMember + </para> + </listitem> + </itemizedlist> + </refsect2> +</refsect1> diff --git a/src/man/sv/include/krb5_options.xml b/src/man/sv/include/krb5_options.xml new file mode 100644 index 0000000..f14ce46 --- /dev/null +++ b/src/man/sv/include/krb5_options.xml @@ -0,0 +1,158 @@ +<variablelist> + <varlistentry> + <term>krb5_auth_timeout (heltal)</term> + <listitem> + <para> + Tidsgräns i sekunder efter vilken en uppkopplad begäran om autentisering +eller begäran om lösenordsändring avbryts. Om möjligt fortsätts begäran om +autentisering frånkopplat. + </para> + <para> + Standard: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_validate (boolean)</term> + <listitem> + <para> + Verifiera med hjälp av krb5_keytab att den TGT om hämtats inte har +förfalskats. I keytab:en kontrolleras poster sekventiellt, och den första +posten med ett matchande rike används för validering. Om ingen post matchar +riket används den sista posten i keytab:en. Denna process kan användas för +att validera miljöer genom att använda förtroenden mellan riken genom att +placera den motsvarande keytab-posten som sista post eller den enda posten i +keytab-filen. + </para> + <para> + Standard: false (IPA- och AD-leverantör: true) + </para> + <para> + Observera att biljettvalideringen är första steget vid kontroll av PAC:n (se +”pac_check” i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer). Om biljettvalideringen är avaktiverad kommer +PAC-kontrollerna också att hoppas över. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renewable_lifetime (sträng)</term> + <listitem> + <para> + Begär en förnybar biljett med en total livslängd, given som ett heltal +omedelbart följd av en tidsenhet: + </para> + <para> + <emphasis>s</emphasis> för sekunder + </para> + <para> + <emphasis>m</emphasis> för minuter + </para> + <para> + <emphasis>h</emphasis> för timmar + </para> + <para> + <emphasis>d</emphasis> för dagar. + </para> + <para> + Om ingen enhet anges antas <emphasis>s</emphasis>. + </para> + <para> + OBSERVERA: det är inte möjligt att blanda enheter. För att sätta den +förnybara livslängden till en och en halv timma, använd ”90m” istället för +”1h30m”. + </para> + <para> + Standard: inte satt, d.v.s. TGT:en är inte förnybar + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_lifetime (sträng)</term> + <listitem> + <para> + Begär en biljett med en livslängd, given som ett heltal omedelbart följd av +en tidsenhet: + </para> + <para> + <emphasis>s</emphasis> för sekunder + </para> + <para> + <emphasis>m</emphasis> för minuter + </para> + <para> + <emphasis>h</emphasis> för timmar + </para> + <para> + <emphasis>d</emphasis> för dagar. + </para> + <para> + Om ingen enhet anges antas <emphasis>s</emphasis>. + </para> + <para> + OBSERVERA: det är inte möjligt att blanda enheter. För att sätta +livslängden till en och en halv timma, använd ”90m” istället för ”1h30m”. + </para> + <para> + Standard: inte satt, d.v.s. biljettens standardlivslängd konfigurerad på +KDC:n. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_renew_interval (sträng)</term> + <listitem> + <para> + Tiden i sekunder mellan två kontroller om TGT:en skall förnyas. TGT:er +förnyas om ungefär halva deras livstid har överskridits, givet som ett +heltal omedelbart följt av en tidsenhet: + </para> + <para> + <emphasis>s</emphasis> för sekunder + </para> + <para> + <emphasis>m</emphasis> för minuter + </para> + <para> + <emphasis>h</emphasis> för timmar + </para> + <para> + <emphasis>d</emphasis> för dagar. + </para> + <para> + Om ingen enhet anges antas <emphasis>s</emphasis>. + </para> + <para> + OBSERVERA: det är inte möjligt att blanda enheter. För att sätta den +förnybara livslängden till en och en halv timma, använd ”90m” istället för +”1h30m”. + </para> + <para> + Om detta alternativ inte är satt eller är 0 är den automatiska förnyelsen +avaktiverad. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (boolean)</term> + <listitem> + <para> + Anger om värdens och användarens huvudman skall göras kanonisk. Denna +funktion är tillgänglig med MIT Kerberos 1.7 och senare versioner. + </para> + + <para> + Standard: false + </para> + </listitem> + </varlistentry> +</variablelist> diff --git a/src/man/sv/include/ldap_id_mapping.xml b/src/man/sv/include/ldap_id_mapping.xml new file mode 100644 index 0000000..3ae41ad --- /dev/null +++ b/src/man/sv/include/ldap_id_mapping.xml @@ -0,0 +1,292 @@ +<refsect1 id='idmap'> + <title>ID-MAPPNING</title> + <para> + ID-mappningsfunktionen låter SSSD fungera som en klient till Active +Directory utan att kräva att administratörer utökar användarattribut till +att stödja POSIX-attribut för användar- och gruppidentifierare. + </para> + <para> + OBSERVERA: När ID-mappning aktiveras ignoreras attributen uidNumber och +gidNumber. Detta är för att undvika möjligheten av konflikt mellan +automatiskt tilldelade och manuellt tilldelade värden. Om du behöver +använda manuellt tilldelade värden måste ALLA värden tilldelas manuellt. + </para> + <para> + Observera att byte av ID-mappnings relaterade konfigurationsalternativ +kommer få användar- och grupp-ID:n att ändras. För närvarande stödjer inte +SSSD byte av ID:n, så SSSD-databasen måste tas bort. Eftersom cachade +lösenord också lagras i databasen skall databasen bara tas bort när +autentiseringsservrarna kan nås, annars kan användare låsas ute. För att +cacha lösenordet måste en autentisering göras. Det är inte tillräckligt att +använda <citerefentry> <refentrytitle>sss_cache</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för att ta bort databasen, istället +består processen av: + <itemizedlist> + <listitem> + <para> + Se till att fjärrservrarna är nåbara + </para> + </listitem> + <listitem> + <para> + Stoppa tjänsten SSSD + </para> + </listitem> + <listitem> + <para> + Ta bort databasen + </para> + </listitem> + <listitem> + <para> + Starta tjänsten SSSD + </para> + </listitem> + </itemizedlist> + Dessutom, eftersom ändringen av ID:n kan göra det nödvändigt att justera +andra systemegenskaper såsom ägare av filer och kataloger, är det lämpligt +att planera i förväg och testa konfigurationen av ID-översättningar +noggrant. + </para> + + <refsect2 id='idmap_algorithm'> + <title>Översättningsalgoritm</title> + <para> + Active Directory tillhandahåller ett objectSID för varje användar- och +gruppobjekt i katalogen. Detta objectSID kan delas upp i komponenter som +representerar Active Directorys domänidentitet och den relativa +identifieraren (RID) till användar- eller gruppobjektet. + </para> + <para> + SSSD ID-översättningsalgoritmen tar ett intervall av tillgängliga AID:er och +delar upp det i lika stora komponentavsnitt – kallade ”skivor” (”slices”) +–. Varje skiva representerar utrymmet som är tillgängligt för en Active +Directory-domän. + </para> + <para> + När en användar- eller gruppost för en viss domän påträffas för första +gången allokerar SSSD en av de tillgängliga skivorna för den domänen. För +att göra denna skivtilldelning upprepbar på olika klientmaskiner väljer vi +skivan baserat på följande algoritm: + </para> + <para> + SID-strängen skickas genom algoritmen murmurhash3 för att konvertera den +till ett 32-bitars hash-värde. Vi tar sedan modulo på detta värde med det +totala antalet tillgängliga skivor och väljer den skivan. + </para> + <para> + OBSERVERA: Det är möjligt att träffa på kollisioner i hash:en och den +påföljande moduloberäkningen. I dessa situationer kommer vi välja nästa +tillgängliga skiva, men det är kanske inte möjligt att reproducera exakt +samma uppsättning av skivor på andra maskiner (eftersom ordningen som de +påträffas kommer avgöra deras skiva). I den här situationen rekommenderas +det att antingen byta till att använda explicita POSIX-attribut i Active +Directory (avaktivera ID-mappningen) eller konfigurera en standarddomän för +att garantera att åtminstone en alltid är konsistent. Se +<quote>Konfiguration</quote> för detaljer. + </para> + </refsect2> + + <refsect2 id='idmap_config'> + <title>Konfiguration</title> + <para> + Minimikonfiguration (i avsnittet <quote>[domain/DOMÄNNAMN]</quote>): + </para> + <para> +<programlisting> +ldap_id_mapping = True +ldap_schema = ad +</programlisting> + </para> + <para> + Standardkonfigurationen resulterar i konfiguration av 10 000 skivor, som var +och en kan innehålla upp till 200 000 ID:n, med början på 200 000 och upp +till 2 000 200 000. Detta bör vara tillräckligt för de flesta +installationer. + </para> + <refsect3 id='idmap_advanced_config'> + <title>Avancerad konfiguration</title> + <variablelist> + <varlistentry> + <term>ldap_idmap_range_min (heltal)</term> + <listitem> + <para> + Anger den lägre (inklusiva) gränsen för intervallet av POSIX ID:n att +använda för översättning av användar- och grupp-SID:n från Active +Directory. Det är det första POSIX-ID:t som kan användas för översättning. + </para> + <para> + OBSERVERA: Detta alternativ är inte detsamma som <quote>min_id</quote> +eftersom <quote>min_id</quote> fungerar som ett filter av utmatade +begäranden till denna domän, medan detta alternativ styr intervallet av +ID-tilldelningen. Detta är en subtil distinktion, men det allmänna goda +rådet skulle vara att ha <quote>min_id</quote> mindre än eller lika med +<quote>ldap_idmap_range_min</quote> + </para> + <para> + Standard: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_max (heltal)</term> + <listitem> + <para> + Anger den övre (exklusiva) gränsen för intervallet av POSIX ID:n att använda +för översättning av användar- och grupp-SID:n från Active Directory. Det är +det första POSIX-ID:t som inte kan användas för översättning längre, +d.v.s. ett mer än det sista som kan användas för översättningen. + </para> + <para> + OBSERVERA: Detta alternativ är inte detsamma som <quote>max_id</quote> +eftersom <quote>max_id</quote> fungerar som ett filter av utmatade +begäranden till denna domän, medan detta alternativ styr intervallet av +ID-tilldelningen. Detta är en subtil distinktion, men det allmänna goda +rådet skulle vara att ha <quote>max_id</quote> större än eller lika med +<quote>ldap_idmap_range_max</quote> + </para> + <para> + Standard: 2000200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_range_size (heltal)</term> + <listitem> + <para> + Anger antalet ID:n som är tillgängliga för varje skiva. Om storleken på +intervallet inte delas jämnt mellan min- och maxvärdena kommer den skapa så +många fullständiga skivor den kan. + </para> + <para> + OBSERVERA: Värdet på detta alternativ måste vara åtminstone så stort som den +högsta RID som planeras användas i Active Directory-servern. +Användaruppslagningar och inloggningar kommer misslyckas för eventuella +användare vars RID är större än detta värde. + </para> + <para> + Till exempel, om den senaste tillagda Active Directory-användaren har +objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, måste +<quote>ldap_idmap_range_size</quote> vara åtminstone 1108 eftersom +intervallstorleken är lika med maximal SID minus minimal SID plus ett +(t.ex. 1108 = 1107 - 0 + 1). + </para> + <para> + Det är viktigt att planera i förväg för framtida expansioner, eftersom +ändring av detta värde skulle resultera i att ändra alla ID-översättningar +på systemet, vilket skulle leda till användare med andra lokala ID:n än de +tidigare hade. + </para> + <para> + Standard: 200000 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain_sid (sträng)</term> + <listitem> + <para> + Ange domän-SID:n för standarddomänen. Detta kommer garantera att denna +domän alltid kommer tilldelas till skiva noll i ID-översättningen, och +undviker murmurhash-algoritmen som beskrivs ovan. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_default_domain (sträng)</term> + <listitem> + <para> + Ange namnet på standarddomänen. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_autorid_compat (boolean)</term> + <listitem> + <para> + Ändrar beteendet på ID-översättningsalgoritmen till att bete sig mer likt +winbind:s <quote>idmap_autorid</quote>-algoritm. + </para> + <para> + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + </para> + <para> + OBSERVERA: Denna algoritm är inte deterministisk (den beror på ordningen som +användare och grupper efterfrågas). Om detta läge krävs för kompatibilitet +med maskiner som kör winbind rekommenderas det att även använda alternativet +<quote>ldap_idmap_default_domain_sid</quote> för att garantera att +åtminstone en domän är konsekvent allokerat till skiva noll. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_idmap_helper_table_size (heltal)</term> + <listitem> + <para> + Maximalt antal sekundära skivor som provas när mappningen från UNIX id till +SID utförs. + </para> + <para> + Observera: ytterligare sekundära skivor kan genereras när en SID översätts +till UNIX-id och RID-delen av SID:n är utanför intervallet för sekundära +skivor som genererats hittills. Om värdet på ldap_idmap_helper_table_size +är lika med 0 genereras inga ytterligare sekundära skivor. + </para> + <para> + Standard: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect3> + </refsect2> + + <refsect2 id='well_known_sids'> + <title>Välkända SID:er</title> + <para> + SSSD stödjer uppslagning av namnen på välkända SID:er, d.v.s. SID:er med en +speciell hårdkodad betydelse. Eftersom de allmänna användarna och grupperna +relaterade till dessa välkända SID:er inte har någon motsvarighet i en +Linux-/UNIX-miljö är inga POSIX-ID:n tillgängliga för dessa objekt. + </para> + <para> + SID-namnrymden är organiserad i auktoriteter som kan ses som olika domäner. +Auktoriteterna för välkända SID:er är + <itemizedlist> + <listitem><para>Null-auktoritet</para></listitem> + <listitem><para>Världsauktoritet</para></listitem> + <listitem><para>Lokal auktoritet</para></listitem> + <listitem><para>Skaparauktoritet</para></listitem> + <listitem><para>Tvingande etikettsauktoritet</para></listitem> + <listitem><para>Autentiseringsauktoritet</para></listitem> + <listitem><para>NT-auktoritet</para></listitem> + <listitem><para>Inbyggd</para></listitem> + </itemizedlist> + Den versala versionen av dessa namn används som domännamn när det +fullständigt kvalificerade namnet på en välkänd SID returneras. + </para> + <para> + Eftersom några verktyg tillåter att man ändrar SID-baserad +åtkomststyrningsinformation med hjälp av ett namn istället för att använda +SID:en direkt stödjer SSSD uppslagning av SID:en med detta namn också. För +att undvika kollisioner kan bara de fullständigt kvalificerade namnen +användas för att slå upp välkända SID:er. Som ett resultat skall domännamnen +<quote>NULL AUTHORITY</quote>, <quote>WORLD AUTHORITY</quote>, <quote>LOCAL +AUTHORITY</quote>, <quote>CREATOR AUTHORITY</quote>, <quote>MANDATORY LABEL +AUTHORITY</quote>, <quote>AUTHENTICATION AUTHORITY</quote>, <quote>NT +AUTHORITY</quote> och <quote>BUILTIN</quote> inte användas som domännamn i +<filename>sssd.conf</filename>. + </para> + </refsect2> + +</refsect1> diff --git a/src/man/sv/include/ldap_search_bases.xml b/src/man/sv/include/ldap_search_bases.xml new file mode 100644 index 0000000..10404b5 --- /dev/null +++ b/src/man/sv/include/ldap_search_bases.xml @@ -0,0 +1,32 @@ +<listitem> + <para> + En valfri bas-DN, sökräckvidd och LDAP-filter för att begränsa +LDAP-sökningar för denna attributtyp. + </para> + <para> + syntax: <programlisting> +search_base[?räckvidd?[filter][?search_base?räckvidd?[filter]]*] +</programlisting> + </para> + <para> + Räckvidden kan vara en av ”base”, ”onelevel” eller ”subtree”. +Räckviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av +http://tools.ietf.org/html/rfc4511 + </para> + <para> + Filtret måste vara ett korrekt LDAP-sökfilter som specificerat i +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + För exempel på denna syntax, se exempelsektionen av +<quote>ldap_search_base</quote>. + </para> + <para> + Standard: värdet på <emphasis>ldap_search_base</emphasis> + </para> + <para> + Observera att angivelse av räckvidd eller filter inte stödjs för sökningar i +en Active Directory-server som kan resultera i ett stort antal resultat och +trigga utökningen Range Retrieval i svaret. + </para> +</listitem> diff --git a/src/man/sv/include/local.xml b/src/man/sv/include/local.xml new file mode 100644 index 0000000..ab13737 --- /dev/null +++ b/src/man/sv/include/local.xml @@ -0,0 +1,17 @@ +<refsect1 id='local'> + <title>DEN LOKALA DOMÄNEN</title> + <para> + För att fungera korrekt måste en domän med <quote>id_provider=local</quote> +skapas och SSSD måste köra. + </para> + <para> + Administratören kan vilja använda SSSD:s lokala användare istället för +traditionella UNIX-användare i fall när nästning av grupper (se +<citerefentry> <refentrytitle>sss_groupadd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>) behövs. De lokala användarna är +också användbara för att testa och utveckla SSSD utan att behöva installera +en fullständig fjärrserver. Verktygen <command>sss_user*</command> och +<command>sss_group*</command> använder en lokal LDB-lagring för att lagra +användare och grupper. + </para> +</refsect1> diff --git a/src/man/sv/include/override_homedir.xml b/src/man/sv/include/override_homedir.xml new file mode 100644 index 0000000..35d28f1 --- /dev/null +++ b/src/man/sv/include/override_homedir.xml @@ -0,0 +1,77 @@ +<varlistentry> +<term>override_homedir (sträng)</term> +<listitem> + <para> + Åsidosätt användarens hemkatalog. Du kan antingen ge ett absolut värde +eller en mall. I mallen ersätts följande sekvenser: <variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>inloggningsnamn</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>AID-nummer</para></listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>domännamn</para></listitem> + </varlistentry> + <varlistentry> + <term>%f</term> + <listitem><para>fullständigt kvalificerat användarnamn (användare@domän)</para></listitem> + </varlistentry> + <varlistentry> + <term>%l</term> + <listitem><para>Första bokstaven i inloggningsnamnet.</para></listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>UPN – Användarens Huvudmansnamn (namn@RIKE)</para></listitem> + </varlistentry> + <varlistentry> + <term>%o</term> + <listitem><para> + Den ursprungliga hemkatalogen som hämtades från identitetsleverantören. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para> + Den ursprungliga hemkatalogen som hämtades från identitetsleverantören, men +i gemener. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%H</term> + <listitem><para> + Värdet på konfigurationsalternativet <emphasis>homedir_substring</emphasis>. + </para></listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>ett bokstavligt ”%”</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Detta alternativ kan även sättas per domän. + </para> + <para> + exempel: <programlisting> +override_homedir = /home/%u + </programlisting> + </para> + <para> + Standard: Inte satt (SSSD kommer använda värdet som hämtas från LDAP) + </para> + <para> + Observera att hemkatalog från ett specifikt åsidosättande för användaren, +antingen lokalt (se +<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>) eller centralt hanterat +IPA-id-åsidosättande, har en högre precedens och kommer användas istället +för värdet gom ges av override_homedir. + </para> +</listitem> +</varlistentry> diff --git a/src/man/sv/include/param_help.xml b/src/man/sv/include/param_help.xml new file mode 100644 index 0000000..c6f0794 --- /dev/null +++ b/src/man/sv/include/param_help.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-?</option>,<option>--help</option> + </term> + <listitem> + <para> + Visa ett hjälpmeddelande och avsluta. + </para> + </listitem> +</varlistentry> diff --git a/src/man/sv/include/param_help_py.xml b/src/man/sv/include/param_help_py.xml new file mode 100644 index 0000000..dea0987 --- /dev/null +++ b/src/man/sv/include/param_help_py.xml @@ -0,0 +1,10 @@ +<varlistentry> + <term> + <option>-h</option>,<option>--help</option> + </term> + <listitem> + <para> + Visa ett hjälpmeddelande och avsluta. + </para> + </listitem> +</varlistentry> diff --git a/src/man/sv/include/seealso.xml b/src/man/sv/include/seealso.xml new file mode 100644 index 0000000..122a80b --- /dev/null +++ b/src/man/sv/include/seealso.xml @@ -0,0 +1,49 @@ + <refsect1 id='see_also'> + <title>SE ÄVEN</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ldap-attributes</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ipa</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd-ad</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, <phrase condition="with_files_provider"> <citerefentry> +<refentrytitle>sssd-files</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, </phrase> <phrase condition="with_sudo"> <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, </phrase> <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_cache</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_debuglevel</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_obfuscate</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sss_seed</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <phrase condition="with_ssh"> <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, <citerefentry> +<refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, </phrase> <phrase +condition="with_ifp"> <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, </phrase> <citerefentry> +<refentrytitle>pam_sss</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>. <citerefentry> +<refentrytitle>sss_rpcidmapd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> <phrase condition="with_stap"> <citerefentry> +<refentrytitle>sssd-systemtap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> </phrase> + </para> + </refsect1> diff --git a/src/man/sv/include/service_discovery.xml b/src/man/sv/include/service_discovery.xml new file mode 100644 index 0000000..7b59f71 --- /dev/null +++ b/src/man/sv/include/service_discovery.xml @@ -0,0 +1,41 @@ +<refsect1 id='service_discovery'> + <title>TJÄNSTEUPPTÄCKT</title> + <para> + Tjänsteupptäcktsfunktionen gör att bakändar automatiskt kan hitta en lämplig +server att ansluta till med en speciell DNS-fråga. Denna funktion stödjs +inte för backup-servrar. + </para> + <refsect2 id='configuration'> + <title>Konfiguration</title> + <para> + Om inga servrar anges använder bakänden automatiskt tjänsteupptäckt för att +försöka hitta en server. Användaren kan om så önskas välja att använda både +en bestämd serveradress och tjänsteupptäckt genom att infoga ett speciellt +nyckelord, <quote>_srv_</quote>, i listan av servrar. Preferensordningen +bibehålls. Denna funktion är användbar om, till exempel, användaren +föredrar att använda tjänsteupptäckt närhelst det är möjligt, och falla +tillbaka på en specifik server när inga servrar kan upptäckas med DNS. + </para> + </refsect2> + <refsect2 id='domain_name'> + <title>Domännamnet</title> + <para> + Se parametern <quote>dns_discovery_domain</quote> i manualsidan +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för fler detaljer. + </para> + </refsect2> + <refsect2 id='search_protocol'> + <title>Protokollet</title> + <para> + Frågorna anger vanligen _tcp som protokoll. Undantag är dokumenterade i +respektive alternativs beskrivning. + </para> + </refsect2> + <refsect2 id='reference'> + <title>Se även</title> + <para> + För mer information om tjänsteupptäcktsmekanismen, se RFC 2782. + </para> + </refsect2> +</refsect1> diff --git a/src/man/sv/include/upstream.xml b/src/man/sv/include/upstream.xml new file mode 100644 index 0000000..cb9ba38 --- /dev/null +++ b/src/man/sv/include/upstream.xml @@ -0,0 +1,3 @@ +<refentryinfo> +<productname>SSSD</productname> <orgname>SSSD uppströms – +https://github.com/SSSD/sssd/</orgname></refentryinfo> diff --git a/src/man/sv/pam_sss.8.xml b/src/man/sv/pam_sss.8.xml new file mode 100644 index 0000000..a81d292 --- /dev/null +++ b/src/man/sv/pam_sss.8.xml @@ -0,0 +1,444 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss</refname> + <refpurpose>PAM-modul för SSSD</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss.so</command> <arg choice='opt'> +<replaceable>quiet</replaceable> </arg> <arg choice='opt'> +<replaceable>forward_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'> +<replaceable>use_authtok</replaceable> </arg> <arg choice='opt'> +<replaceable>retry=N</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'> +<replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'> +<replaceable>domains=X</replaceable> </arg> <arg choice='opt'> +<replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'> +<replaceable>prompt_always</replaceable> </arg> <arg choice='opt'> +<replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'> +<replaceable>require_cert_auth</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para><command>pam_sss.so</command> är PAM-gränssnittet till System Security +Services daemon (SSSD). Fel och resultat loggas via +<command>syslog(3)</command> med funktionen LOG_AUTHPRIV.</para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>quiet</option> + </term> + <listitem> + <para>Undertryck loggmeddelanden om okända användare.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>forward_pass</option> + </term> + <listitem> + <para>Om <option>forward_pass</option> är satt läggs det inskrivna lösenordet på +stacken så att andra PAM-moduler kan använda det. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_first_pass</option> + </term> + <listitem> + <para>Argumentet use_first_pass tvingar modulen att använda tidigare stackade +modulers lösenord och kommer aldrig fråga användaren – om inget lösenord är +tillgängligt eller lösenordet inte stämmer kommer användaren nekas åtkomst.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>use_authtok</option> + </term> + <listitem> + <para>Vid lösenordsändring tvinga modulen till att sätta det nya lösenordet till +det som gavs av en tidigare stackad lösenordsmodul.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>retry=N</option> + </term> + <listitem> + <para>Om angivet frågas användaren ytterligare N gånger om ett lösenord ifall +autentiseringen misslyckas. Standard är 0.</para> + <para>Observera att detta alternativ kanske inte fungerar som förväntat ifall +programmet som anropar PAM hanterar användardialogen själv. Ett typiskt +exempel är <command>sshd</command> med +<option>PasswordAuthentication</option>.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_unknown_user</option> + </term> + <listitem> + <para>Om detta alternativ anges och användaren inte finns kommer PAM-modulen +returnera PAM_IGNORE. Detta får PAM-ramverket att ignorera denna modul.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>ignore_authinfo_unavail</option> + </term> + <listitem> + <para> + Anger att PAM-modulen skall returnera PAM_IGNORE om det inte kan kontakta +SSSD-demonen. Detta får PAM-ramverket att ignorera denna modul.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>domains</option> + </term> + <listitem> + <para> + Tillåter administratören att begränsa domänerna en viss PAM-tjänst tillåts +autentisera emot. Formatet är en kommaseparerad lista över SSSD-domännamn +som de specificeras i filen sssd.conf. + </para> + <para> + OBS: om detta används för en tjänst som inte kör som root-användaren, +t.ex. en webb-server, måste det användas tillsammans med flaggorna +<quote>pam_trusted_users</quote> och <quote>pam_public_domains</quote>. Se +manualsidan <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om dessa två +PAM-respondentalternativ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>allow_missing_name</option> + </term> + <listitem> + <para> + Huvudsyftet med denna flagga är att låta SSSD avgöra användarnamnet baserat +på ytterligare information, t.ex. certifikatet från ett smartkort. + </para> + <para> + Det aktuella användningsfallet är inloggningshanterare som kan övervaka en +smartkortläsare om korthändelser. Ifall en smartkort sätts in kommer +inloggningshanteraren anropa en PAM-stack som innehåller en rad som +<programlisting> +auth sufficient pam_sss.so allow_missing_name + </programlisting> I detta fall kommer SSSD försöka +avgöra användarnamnet baserat på innehållet på smartkortet, returnerar det +till pam_sss som slutligen kommer lägga det på PAM-stacken. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>prompt_always</option> + </term> + <listitem> + <para> + Fråga alltid användaren om kreditiv. Med denna flagga kommer kreditiv +begärda av andra PAM-moduler, typiskt ett lösenord, ignoreras och pam_sss +kommer fråga efter kreditiv igen. Baserat på förautentiseringssvaret från +SSSD kan pam_sss komma att fråga efter ett lösenord, ett smartkorts-PIN +eller andra kreditiv. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>try_cert_auth</option> + </term> + <listitem> + <para> + Försök använda certifikatbaserad smartkortsautentisering, +d.v.s. autentisering med smartkort eller liknande enheter. Om ett smartkort +är tillgängligt och tjänsten tillåter smartkortsautentisering kommer +användaren frågas om ett PIN och certifikatbaserad autentisering kommer +fortsätta + </para> + <para> + Om inget smartkort är tillgängligt eller certifikatbaserad autentisering +inte är tillåten för den aktuella tjänsten returneras PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>require_cert_auth</option> + </term> + <listitem> + <para> + Använd certifikatbaserad autentisering, d.v.s. autentisering med smartkort +eller liknande enheter. Om ett smartkort inte är tillgängligt ombeds +användaren att sätta in ett. SSSD kommer att vänta på ett smartkort tills +tidsgränsen definierad av p11_wait_for_card_timeout har passerats, se +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för detaljer. + </para> + <para> + Om inget smartkort är tillgängligt efter att tidsgränsen passerats eller om +certifikatbaserad autentisering inte är tillåten för den aktuella tjänsten +returneras PAM_AUTHINFO_UNAVAIL. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>TILLHANDAHÅLLNA MODULTYPER</title> + <para>Alla modultyper (<option>account</option>, <option>auth</option>, +<option>password</option> och <option>session</option>) tillhandahålls. + </para> + <para>Om SSSD:s PAM-respondent inte kör, t.ex. om PAM-respondentens uttag (socket) +inte är tillgängligt kommer pam_sss returnera PAM_USER_UNKNOWN när det +anropas som modulen <option>account</option> för att undvika problem med +användare från andra källor under åtkomstkontroll.</para> + </refsect1> + + <refsect1 id="return_values"> + <title>RETURVÄRDEN</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + PAM-åtgärden avslutades framgångsrikt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Användaren är inte känd av autentiseringstjänsten eller så kör inte SSSD:s +PAM-respondent. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Misslyckad autentisering. Kan också returneras när det är problem med att +hämta certifikatet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_PERM_DENIED</term> + <listitem> + <para> + Åtkomst nekas. SSSD-loggfilerna kan innehålla ytterligare information om +felet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_IGNORE</term> + <listitem> + <para> + Se flaggorna <option>ignore_unknown_user</option> och +<option>ignore_authinfo_unavail</option>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_ERR</term> + <listitem> + <para> + Kan inte hämta det nya autentiseringstecknet. Kan också returneras när +användaren autentiserar med certifikat och flera certifikat är tillgängliga, +men den installerade versionen av GDM inte stödjer val bland flera +certifikat. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett +nätverks- eller hårdvarufel. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BUF_ERR</term> + <listitem> + <para> + Ett minnesfel uppstod. Kan också returneras när flagga use_first_pass eller +use_authtok är satt, men inget lösenord hittades från den tidigare stackade +PAM-modulen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare +information om felet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_ERR</term> + <listitem> + <para> + Kan inte sätta kreditiv för användaren. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_INSUFFICIENT</term> + <listitem> + <para> + Programmet har inte tillräckliga kreditiv för att autentisera +användaren. Till exempel saknas PIN under smartkortsautentisering eller en +saknad faktor under tvåfaktorautentisering. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SERVICE_ERR</term> + <listitem> + <para> + Fel i tjänstemodul. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NEW_AUTHTOK_REQD</term> + <listitem> + <para> + Användarens autentiseringstecken har gått ut. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ACCT_EXPIRED</term> + <listitem> + <para> + Användarkontot har gått ut. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SESSION_ERR</term> + <listitem> + <para> + Kan inte hämta IPA-skrivbordsprofilsregler eller -användarinformation. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CRED_UNAVAIL</term> + <listitem> + <para> + Kan inte hämta Kerberos-användarkreditiv. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_NO_MODULE_DATA</term> + <listitem> + <para> + Ingen autentiseringsmetod hittades av Kerberos. Detta kan inträffa om +användaren har ett smartkort tilldelat men insticksmodulen pkint inte är +tillgänglig på klienten. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_CONV_ERR</term> + <listitem> + <para> + Konversationsfel. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHTOK_LOCK_BUSY</term> + <listitem> + <para> + Ingen KDC lämpad för lösenordsändringar finns tillgänglig. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_ABORT</term> + <listitem> + <para> + Okänt PAM-anrop. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_MODULE_UNKNOWN</term> + <listitem> + <para> + PAM-uppgift eller -kommando som inte stödjs. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_BAD_ITEM</term> + <listitem> + <para> + Autentiseringsmodulen kan inte hantera smartkortskreditiv. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='files'> + <title>FILER</title> + <para>Om en återställning av lösenord av root misslyckas, för att motsvarande +SSSD-leverantör inte stödjer återställning av lösenord, kan ett individuellt +meddelande visas. Detta meddelande kan t.ex. innehålla instruktioner hur man +återställer ett lösenord.</para> + + <para>Meddelandet läses från filen +<filename>pam_sss_pw_reset_message.LOK</filename> där LOK står för en +lokalsträng som den returneras av <citerefentry> +<refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum> +</citerefentry>. Om det inte finns någon matchande fil visas innehållet i +<filename>pam_sss_pw_reset_message.txt</filename>. Root måste vara ägaren av +filerna och endast root får ha läs- och skrivrättigheter medan alla andra +användare endast får ha läsrättigheter.</para> + + <para>Dessa filer söks efter i katalogen +<filename>/etc/sssd/customize/DOMÄNNAMN/</filename>. Om ingen matchande fil +finns visas ett allmänt meddelande.</para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/pam_sss_gss.8.xml b/src/man/sv/pam_sss_gss.8.xml new file mode 100644 index 0000000..c439419 --- /dev/null +++ b/src/man/sv/pam_sss_gss.8.xml @@ -0,0 +1,212 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" + href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>pam_sss_gss</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>pam_sss_gss</refname> + <refpurpose>PAM-modul för SSSD GSSAPI-autentisering</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>pam_sss_gss.so</command> <arg choice='opt'> +<replaceable>felsökning</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>pam_sss_gss.so</command> autentiserar användaren över GSSAPI i +samarbete med SSSD. + </para> + <para> + Denna modul kommer försöka autentisera användaren med det värdbaserade +GSSAPI-tjänstenamnet värd@värdnamn vilket översätts till +Kerberos-huvudmannen värd/värdnamn@RIKE. Delen <emphasis>RIKE</emphasis> av +Kerberos-huvudmannanamnet härleds av Kerberos interna mekanismer och det kan +sättas uttryckligen i konfigurationen av sektionen [domain_realm] i +/etc/krb5.conf. + </para> + <para> + SSSD används för att tillhandahålla det önskade tjänstenamnet och för att +validera användarens kreditiv med GSSAPI-anrop. Om tjänstebiljetten redan är +tillgänglig i Kerberos kreditiv-cache eller om användarens +biljettgivarbiljett kan användas för att få det korrekta tjänstebiljetten, i +så fall kommer användaren autentiseras. + </para> + <para> + Om <option>pam_gssapi_check_upn</option> är sant (standard) kräver SSSD att +kreditiven som använts till att få denna tjänstebiljett kan associeras med +användaren. Detta betydera tt huvudmannen som äger Kerberos-kreditiven måste +stämma med användarens huvudmannanamn så som det definieras i LDAP. + </para> + <para> + För att aktivera GSSAPI-autentisering i SSSD, sätt alternativet +<option>pam_gssapi_services</option> i [pam] eller domänsektionen i +sssd.conf. Tjänstekreditiven behöver lagras i SSSD:s keytab (de finns där +redan om man använder leverantören ipa eller ad). Keytab-platsen kan anges +med alternativet <option>krb5_keytab</option>. Se <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> och <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för fler detaljer om dessa +alternativ. + </para> + <para> + Några Kerberos-installationer tillåter associationen av +autentiseringsindikatorer med en viss förautentiseringsmetod använd för att +hämta biljettgivarbiljetten av användaren. <command>pam_sss_gss.so</command> +gör att man kan kräva närvaron av autentiseringsindikatorer i +tjänstebiljetten för en viss PAM-tjänst kan nås. + </para> + <para> + Om <option>pam_gssapi_indicators_map</option> är satt i sektionen [pam] +eller domänsektionen i sssd.conf kommer SSSD utföra en kontroll av närvaron +av några konfigurerade indikatorer i tjänstebiljetten. + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>debug</option> + </term> + <listitem> + <para>Skriv ut felsökningsinformation.</para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='module_types_provides'> + <title>TILLHANDAHÅLLNA MODULTYPER</title> + <para>Endast modulen <option>auth</option> tillhandahålls.</para> + </refsect1> + + <refsect1 id="return_values"> + <title>RETURVÄRDEN</title> + <variablelist> + <varlistentry> + <term>PAM_SUCCESS</term> + <listitem> + <para> + PAM-åtgärden avslutades framgångsrikt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_USER_UNKNOWN</term> + <listitem> + <para> + Användaren är inte känd av autentiseringstjänsten eller så stödjs inte +autentisering med GSSAPI. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTH_ERR</term> + <listitem> + <para> + Autentiseringsfel. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_AUTHINFO_UNAVAIL</term> + <listitem> + <para> + Kan inte komma åt autentiseringsinformationen. Detta kan bero på ett +nätverks- eller hårdvarufel. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>PAM_SYSTEM_ERR</term> + <listitem> + <para> + Ett systemfel uppstod. SSSD-loggfilerna kan innehålla ytterligare +information om felet. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='examples'> + <title>EXEMPEL</title> + <para> + Det huvudsakliga användningsfallet är att tillhandahålla lösenordsfri +autentisering i sudo men utan behovet av att avaktivera autentisering +helt. För att uppnå detta, aktivera först GSSAPI-autentisering av sudo i +sssd.conf: + </para> + <programlisting> +[domain/MINDOMÄN] +pam_gssapi_services = sudo, sudo-i + </programlisting> + <para> + Aktivera sedan modulen i den önskande PAM-stacken (t.ex. /etc/pam.d/sudo och +/etc/pam.d/sudo-i). + </para> + <programlisting> +… +auth sufficient pam_sss_gss.so +… + </programlisting> + </refsect1> + + <refsect1 id='troubleshooting'> + <title>FELSÖKNING</title> + <para> + SSSD-loggar, pam_sss_gss felsökningsutmatning och syslog kan innehålla +användbar information om felet. Här är några vanliga problem: + </para> + <para> + 1. Jag har miljövariabeln KRB5CCNAME satt och autentiseringen fungerar inte: +beroende på din sudo-versionär det möjligt att sudo inte skickar denna +variabel till PAM-miljön. Försök lägga till KRB5CCNAME till +<option>env_keep</option> i /etc/sudoers eller i dina LDAP-sudo-reglers +standardalternativ. + </para> + <para> + 2. Autentiseringen fungerar inte och syslog innehåller ”Server not found in +Kerberos database”: Kerberos kan förmodligen inte lösa upp det korrekta +riket för tjänstebiljetten baserat på värdnamnet. Försök att lägga till +värdnamnet direk till <option>[domain_realm[</option> i /etc/krb5.conf så +här: + </para> + <para> + 3. Autentiseringen fungerar inte och syslog innehåller ”No Kerberos +credentials available”: du har inte några kreditiv som kan användas för att +få den önskade tjänstebiljetten. Använd kinit eller autentisera över SSSD +för att få dessa kreditiv. + </para> + <para> + 4. Autentisering fungerar inte och SSSD sssd-pam-loggen innehåller ”User +with UPN [$UPN] was not found.” eller ”UPN [$UPN] does not match target user +[$username].”: du använder kreditiv som inte kan kopplas till användaren som +autentiseras. Försök att använda kswitch för att välja en annan huvudman, se +till att du autentiserade med SSSD eller överväg att avaktivera +<option>pam_gssapi_check_upn</option>. + </para> + <programlisting> +[domain_realm] +.myhostname = MITTRIKE + </programlisting> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss-certmap.5.xml b/src/man/sv/sss-certmap.5.xml new file mode 100644 index 0000000..6e52350 --- /dev/null +++ b/src/man/sv/sss-certmap.5.xml @@ -0,0 +1,753 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>SSSD:s certifikatmatchnings- och -mappningsregler</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Manualsidan beskriver reglerna som kan användas av SSSD och andra +komponenter för att matcha X.509-certifikat och koppla dem till konton. + </para> + <para> + Varje regel har fyra komponenter, en <quote>prioritet</quote>, en +<quote>matchningsregel</quote>, en <quote>mappningsregel</quote> och en +<quote>domänlista</quote>. Alla komponenter är frivilliga. En saknad +<quote>prioritet</quote> kommer lägga till regeln med den lägsta +prioriteten. Standard-<quote>matchningsregeln</quote> kommer matcha +certifikat med digitalSignature-nyckelanvändning och +clientAuth-utökadnyckelanvändning. Om <quote>mappningsregeln</quote> är tom +kommer certifikaten sökas efter i attributet userCertificate som DER-kodade +binärer. Om inga domäner anges kommer endast den lokala domänen sökas. + </para> + <para> + För att tillåta utökningar eller helt annorluda regelstil kan +<quote>mapping</quote> och <quote>matching rules</quote> innehålla ett +prefix separerat med ett ”:” från huvuddelen av regeln. Prefixet får bara +innehålla versala ASCII-bokstäver och siffror. Om prefixet utelämnas kommer +standardtypen användas vilken är ”KRB5” för matchningsregler och ”LDAP” för +avbildningsregler. + </para> + <para> + Verktyget ”sssctl” tillhandahåller kommandot ”cert-eval-rule” för att +kontrollera om ett givet certifikat stämmer med en matchningsregel och hur +utdata från en avbildningsregel skulle se ut. + </para> + </refsect1> + + <refsect1 id='components'> + <title>REGELKOMPONENTER</title> + <refsect2 id='priority'> + <title>PRIORITET</title> + <para> + Reglerna bearbetas i prioritetsordning där ”0” (noll) indikerar den högsta +prioriteten. Ju högre talet är desto lägre är prioriteten. Ett saknat +värde indikerar den lägsta prioriteten. Regelbearbetningen stoppas när en +regel som matchar hittas och inga ytterligare regler kontrolleras. + </para> + <para> + Internt behandlas prioriteten som teckenlösa 32-bitars heltal, att använda +ett prioritetsvärde större än 4294967295 kommer orsaka ett fel. + </para> + <para> + Om flera regler har samma prioritet och bara en av de relaterade +matchningsreglerna gäller kommer denna regel att väljas. Om det finns flera +regler med samma prioritet som matchar väljs en men vilken av den är +odefinierat. För att undvika detta beteende, använd antingen olika +prioriteter eller gör matchningsregeln mer specifik, t.ex. genom att använda +olika <ISSUER>-mönster. + </para> + </refsect2> + <refsect2 id='match'> + <title>MATCHNINGSREGEL</title> + <para> + Matchningsregeln används för att välja ett certifikat som +översättningsregeln skall tillämpas på. Det använder ett system liknande det +som används av alternativet <quote>pkinit_cert_match</quote> i MIT +Kerberos. Det består av ett nyckelord omgivet av ”<” och ”>” som +identifierar en specifik del av certifikatet och ett mönster som skall +finnas för att regeln skall matcha. Flera nyckelord/mönster-par kan antingen +sammanfogas med ”&&” (och) eller ”||” (eller). + </para> + <para> + Givet likheten med MIT Kerberos är typprefixet för denna regel ”KRB5”. Men +”KRB5” kommer även vara standardvärdet för <quote>matching rules</quote> så +att ”<SUBJEKT>.*,DC=MIN,DC=DOMÄN” och +”KRB5:<SUBJEKT>.*,DC=MIN,DC=DOMÄN” är likvärdiga. + </para> + <para> + De tillgängliga alternativen är: <variablelist> + <varlistentry> + <term><SUBJECT>reguljärt-uttryck</term> + <listitem> + <para> + Med denna kan en del eller hela certifikatets subject-namn matchas. För +matchningen används POSIX syntax för utökade reguljära uttryck, se regex(7) +för detaljer. + </para> + <para> + För matchningen konverteras subject-namnet lagrat i certifikatet i DER-kodad +ASN.1 till en sträng i enlighet med RFC 4514. Detta betyder att den mest +specifika namnkomponenten kommer först. Observera att inte alla möjliga +attributnamn täcks av RFC 4514. De inkluderade namnen är ”CN”, ”L”, ”ST”, +”O”, ”OU”, ”C”, ”STREET”, ”DC” och ”UID”. Andra attributnamn kan visas olika +på olika plattformar och av olika verktyg. För att undvika förvirring är det +bäst att dessa attributnamn inte används eller täcks av ett lämpligt +reguljärt uttryck. + </para> + <para> + Exempel: <SUBJECT>.*,DC=MIN,DC=DOMÄN + </para> + <para> + Observera att tecknen ”^.[$()|*+?{\” har en särskild betydelse i reguljära +uttryck och måste skyddas med hjälp av tecknet ”\” så att de kan matchas som +vanliga tecken. + </para> + <para> + Exempel: <SUBJECT>^CN=.* \(Admin\),DC=MIN,DC=DOMÄN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>reguljärt-uttryck</term> + <listitem> + <para> + Med denna kan en del eller hela certifikatets issuer-namn matchas. Alla +kommentarer för <SUBJECT> är tillämpliga här också. + </para> + <para> + Exempel: <ISSUER>^CN=Min-CA,DC=MIN,DC=DOMÄN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>nyckelanvändning</term> + <listitem> + <para> + Detta alternativ kan användas för att specificera vilka +nyckelanvändningsvärden certifikatet skall ha. Följande värden kan användas +i en kommaseparerad lista: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Ett numeriskt värde i intervallet hos ett 32-bitars teckenlöst heltal kan +användas också för att täcka speciella användningsfall. + </para> + <para> + Exempel: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>utökad-nyckel-användning</term> + <listitem> + <para> + Detta alternativ kan användas för att specificera vilka +utökade-nyckel-användningsvärden certifikatet skall ha. Följande värden kan +användas i en kommaseparerad lista: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + Användningar av utökade nycklar som inte listas ovanför kan specificeras med +sina OID:er i punktad decimal notation. + </para> + <para> + Exempel: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>reguljärt-uttryck</term> + <listitem> + <para> + För att vara kompatibel med användningen av MIT Kerberos kommer detta +alternativ matcha Kerberos-huvudmän i PKINIT eller AD NT-Principal SAN som +<SAN:Principal> gör. + </para> + <para> + Exempel: <SAN>.*@MITT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmännen i PKINIT eller AD NT Principal SAN. + </para> + <para> + Exempel: <SAN:Principal>.*@MITT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmän från AD NT Principal SAN. + </para> + <para> + Exempel: <SAN:ntPrincipalName>.*@MITT.AD.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmän från PKINIT SAN. + </para> + <para> + Exempel: <SAN:ntPrincipalName>.*@MITT\.PKINIT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>reguljärt-uttryck</term> + <listitem> + <para> + Ta värdet från otherName SAN-komponenten som anges av OID:n i punktad +decimal notation, tolka den som en sträng och försök att matcha den mot det +reguljära uttrycket. + </para> + <para> + Exempel: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-sträng</term> + <listitem> + <para> + Gör en binär matchning med den base64-kodade klicken mot alla otherName +SAN-komponenter. Med detta alternativ är det möjligt att matcha mot +anpassade otherName-komponenter med speciella kodningar som inte kan +hanteras som strängar. + </para> + <para> + Exempel: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på rfc822Name SAN. + </para> + <para> + Exempel: <SAN:rfc822Name>.*@epost\.domän + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på dNSName SAN. + </para> + <para> + Exempel: <SAN:dNSName>.*\.min\.dns\.domän + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>base64-sträng</term> + <listitem> + <para> + Matcha binärt värdet på x400Address SAN. + </para> + <para> + Exempel: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på directoryName SAN. Samma kommentarer som gavs för +<ISSUER> och <SUBJECT> gäller här också. + </para> + <para> + Exempel: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>base64-sträng</term> + <listitem> + <para> + Matcha binärt värdet på ediPartyName SAN. + </para> + <para> + Exempel: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på uniformResourceIdentifier SAN. + </para> + <para> + Exempel: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på iPAddress SAN. + </para> + <para> + Exempel: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på registeredID SAN som punktad decimal sträng. + </para> + <para> + Exempel: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>MAPPNINGSREGEL</title> + <para> + Mappningsregeln används för att koppla ett certifikat med ett eller flera +konton. Ett smartkort med certifikat och den matchande privata nyckeln kan +då användas för autentisering som ett av dessa konton. + </para> + <para> + För närvarande stödjer SSSD egentligen bara LDAP för att slå upp +användarinformation (undantaget är proxy-leverantören som inte är relevant +här. På grund av detta är mappningsregeln baserad på syntaxen för +LDAP-sökfilter med mallar för att lägga till certifikatinnehåll till +filtret. Det antas att filtret endast kommer innehålla de specifika data +som behövs för mappningen och att anroparen kommer bädda in dem i ett annat +filter för att göra den egentliga sökningen. Därför skall filtersträngen +börja och sluta med ”(” respektive ”)”. + </para> + <para> + I allmänhet rekommenderas det att använda attribut från certifikatet och +lägga till dem till speciella attribut till LDAP-användarobjektet. +T.ex. kan attributet ”altSecurityIdentities” i AD eller attributet +”ipaCertMapData” i IPA användas. + </para> + <para> + Detta bör hellre användas än att läsa användarspecifik data från +certifikatet som t.ex. en e-postadress och söka efter den i LDAP-servern. +Anledningen är att användarspecifika data i LDAP kan ändras av olika +anledningar vilket skulle göra sönder mappningen. Å andra sidan skulle det +vara svårt att bryta mappningen avsiktligt för en specifik användare. + </para> + <para> + Standardtypen för <quote>mapping rule</quote> är ”LDAP” vilket kan läggas +till som ett prefix till en regel som +t.ex. ”LDAP:(userCertificate;binary={cert!bin})”. Det finns en utökning som +heter ”LDAPU1” som erbjuder fler mallar för mer flexibilitet. För att +tillåta äldre versioner av detta bibliotek att ignorera utökningen måste +prefixet ”LDAPU1” användas när de nya mallarna i en <quote>mapping +rule</quote> används annars kommer den gamla versionen av biblioteket +misslyckas med ett tolkningsfel. Den nya mallarna beskrivs i avsnittet <xref +linkend="map_ldapu1"/>. + </para> + <para> + Mallarna för att lägga till certifikatdata till sökfiltret baseras på +formateringssträngar i Python-stil. De består av ett nyckelord i +krullparenteser med en valfri underkomponentspecificerare separerad av en +”.” eller ett valfritt konverterings-/formateringsalternativ separerat av +ett ”!”. Tillåtna värden är: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Mallen kommer lägga till den fullständiga utgivar-DN:en konverterad till en +sträng enligt RFC 4514. Om X.500-ordning (mest specifik RDN kommer sist) +skall ett alternativ med prefixet ”_x500” användas. + </para> + <para> + Konverteringsalternativen som börjar med ”ad_” kommer använda attribut som +de används av AD, t.ex. ”S” istället för ”ST”. + </para> + <para> + Konverteringsalternativen som börjar med ”nss_” kommer använda attributnamn +som de används av NSS. + </para> + <para> + Standard för konverteringsalternativ är ”nss”, d.v.s. attributnamn enligt +NSS och LDAP/RFC 4514-ordning. + </para> + <para> + Exempel: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Mallen kommer lägga till den fullständiga subjekt-DN:en konverterad till en +sträng enligt RFC 4514. Om X.500-ordning (mest specifik RDN kommer sist) +skall ett alternativ med prefixet ”_x500” användas. + </para> + <para> + Konverteringsalternativen som börjar med ”ad_” kommer använda attribut som +de används av AD, t.ex. ”S” istället för ”ST”. + </para> + <para> + Konverteringsalternativen som börjar med ”nss_” kommer använda attributnamn +som de används av NSS. + </para> + <para> + Standard för konverteringsalternativ är ”nss”, d.v.s. attributnamn enligt +NSS och LDAP/RFC 4514-ordning. + </para> + <para> + Exempel: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Denna mall kommer lägga till hela det DER-kodade certifikatet som än sträng +till sökfiltret. Beroende på konverteringsalternativen konverteras antingen +certifikatet till en hex-sekvens med styrtecken ”\xx” eller till base64. +Hex-strängen med styrtecken är standard och kan t.ex. användas med +LDAP-attributet ”userCertificate;binary”. + </para> + <para> + Exempel: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas antingen från +den SAN som används av pkinit eller den som används av AD. Komponenten +”short_name” representerar första delen av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas från den SAN +som används av pkinit. Komponenten ”short_name” representerar första delen +av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas från den SAN +som används av AD. Komponenten ”short_name” representerar första delen av +huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten rfc822Name i +SAN:en, normalt en e-postadress. Komponenten ”short_name” representerar +första delen av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten dNSName i +SAN:en, normalt ett fullständigt kvalificerat värdnamn. Komponenten +”short_name” representerar första delen av huvudmannen före det första +”.”-tecknet. + </para> + <para> + Exempel: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten +uniformResourceIdentifier i SAN:en. + </para> + <para> + Exempel: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten iPAddress i +SAN:en. + </para> + <para> + Exempel: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Denna mall kommer lägga till värdet som lagras i komponenten x400Address i +SAN:en som en hex-sekvens med styrtecken. + </para> + <para> + Exempel: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Denna mall kommer lägga till DN-strängen för värdet som lagras i komponenten +directoryName i SAN:en. + </para> + <para> + Exempel: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Denna mall kommer lägga till värdet som lagras i komponenten ediPartyName i +SAN:en som en hex-sekvens med styrtecken. + </para> + <para> + Exempel: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Denna mall kommer lägga till OID:n som lagras i komponenten registeredID i +SAN:en som en punktad decimal sträng. + </para> + <para> + Exempel: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>LDAPU1-utvidgningen</title> + <para> + Följande mall är tillgänglig när utökningen ”LDAPU1” används: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + Denna mall kommer lägga till certifikatets serienummer. Som standard kommer +det skrivas som ett hexadecimalt tal med gemena bokstäver. + </para> + <para> + Med formateringsalternativet ”!dec” kommer numret skrivas som en decimal +sträng. Den exadecimala utdatan kan skrivas med versala bokstäver +(”!hex_u”), med ett kolon som separator mellan hexadecimala byte (”!hex_c”) +eller med de hexadecimala byten i omvänd ordning +(”!hex_r”). Postfixbokstäverna kan kombineras så att t.ex. ”!hex_uc" kommer +producera en kolonseparerad hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(serial={serial_number}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + Denna mall kommer lägga till certifikatets subjektnyckel-id. Som standard +kommer det skrivas som ett hexadecimalt tal med gemena bokstäver. + </para> + <para> + Den hexadecimala utdatan kan skrivas med versala bokstäver (”!hex_u”), med +ett kolon som separator mellan hexadecimala byte (”!hex_c”) eller med de +hexadecimala byten i omvänd ordning (”!hex_r”). Postfixbokstäverna kan +kombineras så att t.ex. ”!hex_uc" kommer producera en kolonseparerad +hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(ski={subject_key_id}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!KONTROLLSUMMA[_ucr]]}</term> + <listitem> + <para> + Denna mall kommer läga till certifikatets hexadecimala kontrollsumma/hash +där KONTROLLSUMMA måste ersättas med namnet på en +kontrollsumme-/hash-funktion som stödjs av OpenSSL, t.ex. ”sha512”. + </para> + <para> + Den hexadecimala utdatan kan skrivas med versala bokstäver (”!sha512_u”), +med ett kolon som separator mellan hexadecimala byte (”!sha512_c”) eller med +de hexadecimala byten i omvänd ordning (”!sha512_r”). Postfixbokstäverna kan +kombineras så att t.ex. ”!sha512_uc" kommer producera en kolonseparerad +hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + Denna mall kommer lägga till ett av komponentens attributvärden från +subjekt-DN, som standard värdet på den mest specifika komponenten. + </para> + <para> + En annan komponent kan antingen väljas via attributnamnet, +t.ex. {subject_dn_component.uid} eller via position, +t.ex. {subject_dn_component.[2]} där positiva tal börjar räknas från den +mest specifika komponenten och negativa tal börjar räkna från den minst +specifika komponenten Attributnamn och positionen kan kombineras, +t.ex. {subject_dn_component.uid[2]} vilket betyder att namnet på den andra +komponenten måste vara ”uid”. + </para> + <para> + Exempel: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.attr_namn|[tal]]}</term> + <listitem> + <para> + Denna mall kommer lägga till ett av komponentens attributvärden från +utgivar-DN, som standard värdet på den mest specifika komponenten. + </para> + <para> + Se ”subject_dn_component” för detaljer om attributnamn och +positionsangivelser. + </para> + <para> + Exempel: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + Denna mall kommer lägga till SID:n om den motsvarande utökningen +introducerad av Microsoft med OID 1.3.6.1.4.1.311.25.2 är tillgänglig. Med +selektorn ”.rid” kommer endast den sista komponenten, d.v.s RID:n, att +läggas till. + </para> + <para> + Exempel: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>DOMÄNLISTA</title> + <para> + Om domänlistan inte är tom söks användare mappade till ett givet certifikat +inte bara i den lokala domänen utan i de listade domänerna också förutsatt +att de är kända av SSSD. Domäner som SSSD inte känner till kommer +ignoreras. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> diff --git a/src/man/sv/sss_cache.8.xml b/src/man/sv/sss_cache.8.xml new file mode 100644 index 0000000..f6778ee --- /dev/null +++ b/src/man/sv/sss_cache.8.xml @@ -0,0 +1,259 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_cache</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_cache</refname> + <refpurpose>utför cacherensning</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_cache</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_cache</command> invaliderar poster i SSSD-cachen. Invaliderade +poster måste hämtas om från servern så fort den tillhörande SSSD-bakänden är +ansluten. Flaggor som invaliderar ett enstaka objekt tar bara ett ensamt +argument. + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-E</option>,<option>--everything</option> + </term> + <listitem> + <para> + Invalidera alla cachade poster. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--user</option> +<replaceable>inloggning</replaceable> + </term> + <listitem> + <para> + Invalidera en viss användare. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-U</option>,<option>--users</option> + </term> + <listitem> + <para> + Invalidera alla användarposter. Detta alternativ åsidosätter invalidering +av en viss användare om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--group</option> +<replaceable>grupp</replaceable> + </term> + <listitem> + <para> + Invalidera en viss grupp. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-G</option>,<option>--groups</option> + </term> + <listitem> + <para> + Invalidera alla grupposter. Detta alternativ åsidosätter invalidering av en +viss grupp om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--netgroup</option> +<replaceable>nätgrupp</replaceable> + </term> + <listitem> + <para> + Invalidera en viss nätgrupp. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-N</option>,<option>--netgroups</option> + </term> + <listitem> + <para> + Invalidera alla nätgruppsposter. Detta alternativ åsidosätter invalidering +av en viss nätgrupp om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--service</option> +<replaceable>tjänst</replaceable> + </term> + <listitem> + <para> + Invalidera en viss tjänst. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-S</option>,<option>--services</option> + </term> + <listitem> + <para> + Invalidera alla tjänsteposter. Detta alternativ åsidosätter invalidering av +en viss tjänst om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-a</option>,<option>--autofs-map</option> +<replaceable>autofs-översättning</replaceable> + </term> + <listitem> + <para> + Invalidera specifika autofs-översättningar. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_autofs"> + <term> + <option>-A</option>,<option>--autofs-maps</option> + </term> + <listitem> + <para> + Invalidera alla autofs-översättningar. Detta alternativ åsidosätter +invalidering av en viss översättning om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-h</option>,<option>--ssh-host</option> +<replaceable>värdnamn</replaceable> + </term> + <listitem> + <para> + Invalidera publika SSH-nycklar för en viss värd. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_ssh"> + <term> + <option>-H</option>,<option>--ssh-hosts</option> + </term> + <listitem> + <para> + Invalidera publika SSH-nycklar för alla värdar. Detta alternativ +åsidosätter invalidering av SSH-nycklar för en viss värd om det också +angavs. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-r</option>,<option>--sudo-rule</option> +<replaceable>regel</replaceable> + </term> + <listitem> + <para> + Invalidera en viss sudo-regel. + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_sudo"> + <term> + <option>-R</option>,<option>--sudo-rules</option> + </term> + <listitem> + <para> + Invalidera alla cachade sudo-regler. Detta alternativ åsidosätter +invalidering av en viss sudo-regel om det också angavs. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>domän</replaceable> + </term> + <listitem> + <para> + Begränsa invalideringsprocessen till endast en viss domän. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='memcache'> + <title>EFFEKTER PÅ DEN SNABBA MINNESCACHEN</title> + <para> + <command>sss_cache</command> invaliderar även minnescachen. Eftersom +minnescachen är en fil som avbildas in i minnet för varje process som +anropar SSSD för att slå upp användare eller grupper kan filen inte huggas +av. En speciell flagga sätts i huvudet på filen för att indikera att +innehållet är ogiltigt och sedan tas länken bort av SSSD:s NSS-respondent +och en ny cache-fil skapas. När än en process nu gör en ny uppslagning av en +användare eller en grupp kommer den att se flaggan, stänga den gamla +minnescachfilen och avbilda in den ny in i sitt minne. När alla processer +som har öppnat den gamla minnescachefilen har stängt den under uppslagning +av en användare eller grupp kan kärnan släppa det använda diskutrymmet och +den gamla minnescachefilen är slutligen helt borttagen. + </para> + <para> + Ett särskilt fall är långlivade processer som gör användar- eller +gruppuppslagningar endast vid uppstart, t.ex. för att avgöra namnet på +användaren processen kör som. För dessa uppslagningar är minnescachfilen +avbildad in i processens minne. Men eftersom det inte kommer vara några +ytterligare uppslagningar skulle dessa processer aldrig upptäcka om +minnescachefilen invalideras och därmed kommer den hållas kvar i minnet och +kommer den att använda diskutrymme tills processen slutar. Som ett resultat +kan att anropa <command>sss_cache</command> öka diskanvändningen eftersom +gamla minnescachefiler inte kan tas bort från disken eftersom de fortfarande +är avbildade av långlivade processer. + </para> + <para> + Ett möjligt sätt att gå runt problemet för långlivade processer som slår upp +användare och grupper endast vid uppstart eller väldigt sällan är att köra +dem med miljövariabeln SSS_NSS_USE_MEMCACHE satt till ”NO” så att de inte +kommer använda minnescachen alls och inte avbilda minnescachefilen in i +minnet. I allmänhet är en bättre lösning att trimma parametrarna för cachens +tidsgräns så att de stämmer med lokala förväntningar och det inte är +nödvändigt att anropa <command>sss_cache</command>. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_debuglevel.8.xml b/src/man/sv/sss_debuglevel.8.xml new file mode 100644 index 0000000..89856e9 --- /dev/null +++ b/src/man/sv/sss_debuglevel.8.xml @@ -0,0 +1,38 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_debuglevel</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_debuglevel</refname> + <refpurpose>[FÖRÅLDRAD] ändra felsökningsnivå medan SSSD kör</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_debuglevel</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg> <arg +choice='plain'><replaceable>NY_FELSÖKNINGSNIVÅ</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_debuglevel</command> är föråldrat och ersatt av kommandot +sssctl debug-level. Se manualsidan <command>sssctl</command> för mer +information om användning av sssctl. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_obfuscate.8.xml b/src/man/sv/sss_obfuscate.8.xml new file mode 100644 index 0000000..c5f0af0 --- /dev/null +++ b/src/man/sv/sss_obfuscate.8.xml @@ -0,0 +1,96 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_obfuscate</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_obfuscate</refname> + <refpurpose>fördunkla ett klartextlösenord</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_obfuscate</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg> <arg +choice='plain'><replaceable>[LÖSENORD]</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_obfuscate</command> konverterar ett givet lösenord till ett +format oläsbart för människor och placerar det i det passande domänavsnittet +av SSSD-konfigurationsfilen. + </para> + <para> + Klartextlösenordet läses från standard in eller skrivs interaktivt. Det +fördunklade lösenordet läggs in i parametern +<quote>ldap_default_authtok</quote> av en given SSSD-domän och parametern +<quote>ldap_default_authtok_type</quote> sätts till +<quote>obfuscated_password</quote>. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för fler detaljer om dessa parametrar. + </para> + <para> + Observera att fördunklandet av lösenord ger <emphasis>ingen riktigt +säkerhetsförbättring</emphasis> eftersom det fortfarande är möjligt för en +anfallare att återskapa lösenordet. Det rekommenderas +<emphasis>starkt</emphasis> att använda en bättre autentiseringsmekanism +såsom klientsidecertifikat eller GSSAPI. + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help_py.xml" /> + <varlistentry> + <term> + <option>-s</option>,<option>--stdin</option> + </term> + <listitem> + <para> + Lösenordet att fördunkla kommer läsas från standard in. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMÄN</replaceable> + </term> + <listitem> + <para> + SSSD-domäner att använda lösenordet i. Standardnamnet är +<quote>default</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-f</option>,<option>--file</option> <replaceable>FIL</replaceable> + </term> + <listitem> + <para> + Läs konfigurationsfilen som anges av positionsparametern. + </para> + <para> + Standard: <filename>/etc/sssd/sssd.conf</filename> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_override.8.xml b/src/man/sv/sss_override.8.xml new file mode 100644 index 0000000..a6c08b5 --- /dev/null +++ b/src/man/sv/sss_override.8.xml @@ -0,0 +1,260 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_override</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_override</refname> + <refpurpose>skapa lokala åsidosättanden av användar- och gruppattribut</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_override</command> <arg +choice='plain'><replaceable>KOMMANDO</replaceable></arg> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_override</command> gör det möjligt att skapa en klientsidevy +och tillåter att man ändrar valda värden på specifika användare och +grupper. Denna ändring gäller endast på den lokala maskinen. + </para> + <para> + Data om åsidosättanden lagras i SSSD-cachen. Om cachen raderas förloras +alla lokala åsidosättanden. Observera att efter det första åsidosättandet +har skapats med något av följande kommandon <emphasis>user-add</emphasis>, +<emphasis>group-add</emphasis>, <emphasis>user-import</emphasis> eller +<emphasis>group-import</emphasis> behöver SSSD startas om för att det skall +få effekt. <emphasis>sss_override</emphasis> skriver ett meddelande när en +omstart behövs. + </para> + <para> + <emphasis>OBSERVERA:</emphasis> alternativen som ges i denna manualsida +fungerar endast med <quote>id_provider</quote> <quote>ldap</quote> och +<quote>AD</quote>. IPA-åsidosättanden kan hanteras centralt på IPA-servern. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>TILLGÄNGLIGA KOMMANDON</title> + <para> + Argumentet <emphasis>NAMN</emphasis> är namnet på originalobjektet i alla +kommandon. Det är inte möjligt att åsidosätta <emphasis>uid</emphasis> +eller <emphasis>gid</emphasis> till 0. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>user-add</option> <emphasis>NAMN</emphasis> +<optional><option>-n,--name</option> NAMN</optional> +<optional><option>-u,--uid</option> AID</optional> +<optional><option>-g,--gid</option> GID</optional> +<optional><option>-h,--home</option> HEM</optional> +<optional><option>-s,--shell</option> SKAL</optional> +<optional><option>-c,--gecos</option> GECOS</optional> +<optional><option>-x,--certificate</option> BASE64-KODAT +CERTIFIKAT</optional> + </term> + <listitem> + <para> + Åsidosätt attribut på en användare. Var medveten om att anropa detta +kommando kommer ersätta eventuella tidigare åsidosättanden för (den +NAMNgivna) användaren. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-del</option> <emphasis>NAMN</emphasis> + </term> + <listitem> + <para> + Ta bort användaråsidosättanden. Var dock medveten om att åsidosatta +attribut kan returneras från minnescachen. Se SSSD-alternativet +<emphasis>memcache_timeout</emphasis> för fler detaljer. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-find</option> <optional><option>-d,--domain</option> +DOMÄN</optional> + </term> + <listitem> + <para> + Lista alla användare med satta åsidosättanden. Om parametern +<emphasis>DOMÄN</emphasis> är satt listas endast användare från den domänen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-show</option> <emphasis>NAMN</emphasis> + </term> + <listitem> + <para> + Visa användaråsidosättanden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-import</option> <emphasis>FIL</emphasis> + </term> + <listitem> + <para> + Importera användaråsidosättanden från <emphasis>FIL</emphasis>. +Dataformatet liknar den vanliga passwd-filen. Formatet är: + </para> + <para> + ursprungligt_namn:namn:aid:gid:gecos:hem:skal:bas64-kodat_certifikat + </para> + <para> + där ursprungligt_namn är användarens originalnamn vars attribut skall +åsidosättas. Resten av fälten motsvarar nya värden. Man kan utelämna ett +värde helt enkelt genom att lämna motsvarande fält tomt. + </para> + <para> + Exempel: + </para> + <para> + kwalker:fantomen:::::: + </para> + <para> + kwalker@bangalla.com::501:501:Fantomen:/home/bangalla:/bin/bash: + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>user-export</option> <emphasis>FIL</emphasis> + </term> + <listitem> + <para> + Exportera alla åsidosatta attribut och spara dem i +<emphasis>FIL</emphasis>. Se <emphasis>user-import</emphasis> för +dataformatet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-add</option> <emphasis>NAMN</emphasis> +<optional><option>-n,--name</option> NAMN</optional> +<optional><option>-g,--gid</option> GID</optional> + </term> + <listitem> + <para> + Åsidosätt attribut på en grupp. Var medveten om att anropa detta kommando +kommer ersätta eventuella tidigare åsidosättanden för (den NAMNgivna) +gruppen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-del</option> <emphasis>NAMN</emphasis> + </term> + <listitem> + <para> + Ta bort gruppåsidosättanden. Var dock medveten om att åsidosatta attribut +kan returneras från minnescachen. Se SSSD-alternativet +<emphasis>memcache_timeout</emphasis> för fler detaljer. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-find</option> <optional><option>-d,--domain</option> +DOMÄN</optional> + </term> + <listitem> + <para> + Lista alla grupper med satta åsidosättanden. Om parametern +<emphasis>DOMÄN</emphasis> är satt listas endast grupper från den domänen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-show</option> <emphasis>NAMN</emphasis> + </term> + <listitem> + <para> + Visa gruppåsidosättanden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>grupp-import</option> <emphasis>FIL</emphasis> + </term> + <listitem> + <para> + Importera gruppåsidosättanden från <emphasis>FIL</emphasis>. Dataformatet +liknar den vanliga group-filen. Formatet är: + </para> + <para> + ursprungligt_namn:namn:gid + </para> + <para> + där ursprungligt_namn är gruppens originalnamn vars attribut skall +åsidosättas. Resten av fälten motsvarar nya värden. Man kan utelämna ett +värde helt enkelt genom att lämna motsvarande fält tomt. + </para> + <para> + Exempel: + </para> + <para> + admin:administratorer: + </para> + <para> + Domain Users:Users:501 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>group-export</option> <emphasis>FIL</emphasis> + </term> + <listitem> + <para> + Exportera alla åsidosatta attribut och spara dem i +<emphasis>FIL</emphasis>. Se <emphasis>group-import</emphasis> för +dataformatet. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='options'> + <title>GEMENSAMMA FLAGGOR</title> + <para> + Dessa flaggor är tillgängliga med alla kommandon. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>NIVÅ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_rpcidmapd.5.xml b/src/man/sv/sss_rpcidmapd.5.xml new file mode 100644 index 0000000..75378b3 --- /dev/null +++ b/src/man/sv/sss_rpcidmapd.5.xml @@ -0,0 +1,112 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <refentryinfo> +<productname>sss rpc.idmapd plugin</productname> <author> +<firstname>Noam</firstname> <surname>Meltzer</surname> <affiliation> +<orgname>Primary Data Inc.</orgname> </affiliation> <contrib>Utvecklare +(2013-2014)</contrib> </author> <author> <firstname>Noam</firstname> +<surname>Meltzer</surname> <contrib>Utvecklare (2014-)</contrib> +<email>tsnoam@gmail.com</email> </author></refentryinfo> + + <refmeta> + <refentrytitle>sss_rpcidmapd</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss_rpcidmapd</refname> + <refpurpose>sss insticksmoduls konfigurationsdirektiv för rpc.idmapd</refpurpose> + </refnamediv> + + <refsect1 id='conf-file'> + <title>KONFIGURATIONSFIL</title> + <para> + rpc.idmapd konfigurationsfil finns vanligen som +<emphasis>/etc/idmapd.conf</emphasis>. Se <citerefentry> +<refentrytitle>idmapd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information. + </para> + </refsect1> + + <refsect1 id='sss-conf-extension'> + <title>SSS-KONFIGURATIONSUTVIDGNING</title> + <refsect2 id='enable-sss'> + <title>Aktivera SSS-insticksmodul</title> + <para> + I avsnittet <quote>[Translation]</quote>, ändra/sätt attributet +<quote>Method</quote> till att innehålla <emphasis>sss</emphasis>. + </para> + </refsect2> + <refsect2 id='sss-conf-sect'> + <title>[sss] konfigurationsavsnitt</title> + <para> + För att ändra standardvärdet på ett av konfigurationsattributen för +insticksmodulen <emphasis>sss</emphasis> som räknas upp nedan behöver man +skapa ett konfigurationsavsnitt för den, med namnet <quote>[sss]</quote>. + </para> + <variablelist> + <title>Konfigurationsattribut</title> + <varlistentry> + <term>memcache (bool)</term> + <listitem> + <para> + Indikerar huruvida optimeringstekniken memcache skall användas eller inte. + </para> + <para> + Standard: True + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + </refsect1> + + <refsect1 id='sssd-integration'> + <title>SSSD-INTEGRATION</title> + <para> + Insticksmodulen sss kräver att <emphasis>NSS-respondenten</emphasis> är +aktiverad i sssd. + </para> + <para> + Attributet <quote>use_fully_qualified_names</quote> måste aktiveras i alla +domäner (NFSv4-klienter förväntar sig att ett fullständigt kvalificerat namn +skickas över tråden). + </para> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel visar en minimal idmapd.conf som använder insticksmodulen +sss. <programlisting> +[General] +Verbosity = 2 +# domänen måste synkroniseras mellan NFSv4-servern och -klienter +# Solaris/Illumos/AIX använder "localdomain" som standard! +Domain = default + +[Mapping] +Nobody-User = nfsnobody +Nobody-Group = nfsnobody + +[Translation] +Method = sss +</programlisting> + </para> + </refsect1> + + <refsect1 id='see_also'> + <title>SE ÄVEN</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> <refentrytitle>idmapd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/sv/sss_seed.8.xml b/src/man/sv/sss_seed.8.xml new file mode 100644 index 0000000..dbc77e9 --- /dev/null +++ b/src/man/sv/sss_seed.8.xml @@ -0,0 +1,163 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_seed</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_seed</refname> + <refpurpose>initiera SSSD-cachen med en användare</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_seed</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg> <arg choice='plain'>-D +<replaceable>DOMÄN</replaceable></arg> <arg choice='plain'>-n +<replaceable>ANVÄNDARE</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_seed</command> initierar SSSD-cachen med en användarpost och +tillfälligt lösenord. Om en användarpost redan finns i SSSD-cachen +uppdateras den posten med det tillfälliga lösenordet. + </para> + <para> + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-D</option>,<option>--domain</option> +<replaceable>DOMÄN</replaceable> + </term> + <listitem> + <para> + Ange namnet på domänen i vilken användaren är en medlem. Domänen används +också för att hämta användarinformation. Domänen måste vara konfigurerad i +sssd.conf. Alternativet <replaceable>DOMÄN</replaceable> måste anges. +Information som hämtas från domänen åsidosätter vad som anges i flaggorna. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-n</option>,<option>--username</option> +<replaceable>ANVÄNDARE</replaceable> + </term> + <listitem> + <para> + Användarnamnet på posten som skall skapas eller ändras i cachen. Flaggan +<replaceable>ANVÄNDARE</replaceable> måste anges. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-u</option>,<option>--uid</option> <replaceable>AID</replaceable> + </term> + <listitem> + <para> + Sätt användarens UID till <replaceable>UID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable> + </term> + <listitem> + <para> + Sätt användarens GID till <replaceable>GID</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--gecos</option> +<replaceable>KOMMENTAR</replaceable> + </term> + <listitem> + <para> + Godtycklig textsträng som beskriver användaren. Ofta använt som ett fält +för användarens fullständiga namn. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-h</option>,<option>--home</option> +<replaceable>HEMKATALOG</replaceable> + </term> + <listitem> + <para> + Sätt användarens hemkatalog till <replaceable>HEMKAT</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--shell</option> <replaceable>SKAL</replaceable> + </term> + <listitem> + <para> + Sätt användarens inloggningsskal till <replaceable>SKAL</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Interaktivt läge för att ange användarinformation. Detta alternativ kommer +bara att fråga efter information som inte angavs med flaggor eller hämtades +från domänen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-p</option>,<option>--password-file</option> +<replaceable>LÖSENFIL</replaceable> + </term> + <listitem> + <para> + Ange filen att läsa användarnas lösenord ifrån. (om inte angivet +efterfrågas lösenord) + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Längden på lösenordet (eller storleken på filen som anges med flaggan -p +eller --password-file) måste vara mindre eller lika med PASS_MAX byte (64 +byte på system utan något globalt definierat PASS_MAX-värde). + </para> + <para> + </para> + </refsect1> + + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_ssh_authorizedkeys.1.xml b/src/man/sv/sss_ssh_authorizedkeys.1.xml new file mode 100644 index 0000000..86f9d36 --- /dev/null +++ b/src/man/sv/sss_ssh_authorizedkeys.1.xml @@ -0,0 +1,142 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_authorizedkeys</refname> + <refpurpose>hämta auktoriserade OpenSSH-nycklar</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_authorizedkeys</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg> <arg +choice='plain'><replaceable>ANVÄNDARE</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_ssh_authorizedkeys</command> hämtar publika SSH-nycklar för +användaren <replaceable>ANVÄNDARE</replaceable> och skriver ut dem i +formatet för OpenSSH authorized_keys (se avsnittet +<quote>AUTHORIZED_KEYS-FILFORMAT</quote> i +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> för mer information). + </para> + <para> + <citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> kan konfigureras till att använda +<command>sss_ssh_authorizedkeys</command> för autentisering med användares +publika nyckel om den är kompilerad med stöd för alternativet +<quote>AuthorizedKeysCommand</quote>. Se manualsidan <citerefentry> +<refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för mer detaljer om detta +alternativ. + </para> + <para> + Om <quote>AuthorizedKeysCommand</quote> stödjs kan +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> konfigureras för att använda den +genom att lägga in följande direktiv <citerefentry> +<refentrytitle>sshd_config</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>: <programlisting> + AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys + AuthorizedKeysCommandUser nobody +</programlisting> + </para> + + <refsect2 id='cert_keys'> + <title>NYCKLAR FRÅN CERTIFIKAT</title> + <para> + Utöver de publika SSH-nycklarna för användaren +<replaceable>ANVÄNDARE</replaceable> kan +<command>sss_ssh_authorizedkeys</command> även returnera publika SSH-nycklar +härledda från den publika nyckeln i ett X.509-certifikat. + </para> + <para> + För att aktivera detta måste alternativet +<quote>ssh_use_certificate_keys</quote> sättas till true (standard) i +avsnittet [ssh] av <filename>sssd.conf</filename>. Om användarposten +innehåller certifikat (se <quote>ldap_user_certificate</quote> i +<citerefentry><refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för detaljer) eller det finns ett +certifikat i en åsidosättande post för användaren (se +<citerefentry><refentrytitle>sss_override</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> eller +<citerefentry><refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för detaljer) och certifikatet är +giltigt kommer SSSD extrahera den publika nyckeln från certifikatet och +konvertera den till formatet som sshd förväntar sig. + </para> + <para> + Vid sidan av <quote>ssh_use_certificate_keys</quote> kan alternativen + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + användas för att styra hur certifikaten valideras (se +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för detaljer). + </para> + <para> + Valideringen är fördelen med att använda X.509-certifikat istället för att +använda SSH-nycklar direkt för att det t.ex. ger en bättre kontroll över +livslängden hos nycklarna. När ssh-klienten är konfigurerad att använda de +privata nycklarna från ett smartkort med hjälp av det delade +PKCS#11-biblioteket (se <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> för detaljer) kan det vara +irriterande att autentiseringen fortfarande fungerar även om det tillhörande +X.509-certifikatet på smartkortet redan har gått ut eftersom varken +<command>ssh</command> eller <command>sshd</command> kommer titta på +certifikatet över huvud taget. + </para> + <para> + Det måste påpekas att den härledda publika SSH-nyckeln fortfarande kan +läggas till i användarens fil <filename>authorized_keys</filename> för att +gå runt certifikatvalideringen om konfigurationen av <command>sshd</command> +tillåter detta. + </para> + </refsect2> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMÄN</replaceable> + </term> + <listitem> + <para> + Sök efter användares publika nycklar i SSSD-domänen +<replaceable>DOMÄN</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>SLUTSTATUS</title> + <para> + Om det lyckas returneras 0 som slutstatus. Annars returneras 1. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sss_ssh_knownhostsproxy.1.xml b/src/man/sv/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..04f9eb7 --- /dev/null +++ b/src/man/sv/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,107 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss_ssh_knownhostsproxy</refentrytitle> + <manvolnum>1</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sss_ssh_knownhostsproxy</refname> + <refpurpose>hämta OpenSSH-värdnycklar</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg> <arg +choice='plain'><replaceable>VÄRD</replaceable></arg> <arg +choice='opt'><replaceable>PROXY-KOMMANDO</replaceable></arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sss_ssh_knownhostsproxy</command> hämtar publika SSH-värdnycklar +för värden <replaceable>VÄRD</replaceable>, lagrar dem i en anpassad +OpenSSH-known_hosts-fil (se avsnittet +<quote>SSH_KNOWN_HOSTS-FILFORMAT</quote> i +<citerefentry><refentrytitle>sshd</refentrytitle> +<manvolnum>8</manvolnum></citerefentry> för mer information) +<filename>/var/lib/sss/pubconf/known_hosts</filename> och upprättar +anslutningen till värden. + </para> + <para> + Om <replaceable>PROXY-KOMMANDO</replaceable> anges används det för att skapa +anslutningen till värden istället för att öppna ett uttag. + </para> + <para> + <citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry> kan konfigureras till att använda +<command>sss_ssh_knownhostsproxy</command> för värdnyckelautentisering genom +att använda följande direktiv i konfigurationen av +<citerefentry><refentrytitle>ssh</refentrytitle> +<manvolnum>1</manvolnum></citerefentry>: <programlisting> +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts +</programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable> + </term> + <listitem> + <para> + Använd porten <replaceable>PORT</replaceable> för att ansluta till värden. +Som standard används port 22. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-d</option>,<option>--domain</option> +<replaceable>DOMÄN</replaceable> + </term> + <listitem> + <para> + Sök efter värdars publika nycklar i SSSD-domänen +<replaceable>DOMÄN</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-k</option>,<option>--pubkey</option> + </term> + <listitem> + <para> + Skriv ut värdens publika ssh-nycklar för värden +<replaceable>VÄRD</replaceable>. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + </variablelist> + </refsect1> + + <refsect1 id='exit_status'> + <title>SLUTSTATUS</title> + <para> + Om det lyckas returneras 0 som slutstatus. Annars returneras 1. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssctl.8.xml b/src/man/sv/sssctl.8.xml new file mode 100644 index 0000000..30db1ed --- /dev/null +++ b/src/man/sv/sssctl.8.xml @@ -0,0 +1,64 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssctl</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssctl</refname> + <refpurpose>SSSD kontroll- och statusverktyg</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssctl</command> <arg +choice='plain'><replaceable>KOMMANDO</replaceable></arg> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>sssctl</command> tillhandahåller ett enkelt och enhetligt sätt att +få information om SSSD:s status, såsom aktiv server, automatupptäckta +servrar, domäner och cachade objekt. Dessutom kan det hantera SSSD:s +datafiler för felsökning på ett sådant sätt att det är säkert att hantera +medan SSSD kör. + </para> + </refsect1> + + <refsect1 id='commands'> + <title>TILLGÄNGLIGA KOMMANDON</title> + <para> + För att lista alla tillgängliga kommandon, kör <command>sssctl</command> +utan några parametrar. För att skriva ut hjälp om ett valt kommando, kör +<command>sssctl KOMMANDO --help</command>. + </para> + </refsect1> + + <refsect1 id='options'> + <title>GEMENSAMMA FLAGGOR</title> + <para> + Dessa flaggor är tillgängliga med alla kommandon. + </para> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>--debug</option> <replaceable>NIVÅ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels_tools.xml" /> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-ad.5.xml b/src/man/sv/sssd-ad.5.xml new file mode 100644 index 0000000..3d69532 --- /dev/null +++ b/src/man/sv/sssd-ad.5.xml @@ -0,0 +1,1287 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ad</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ad</refname> + <refpurpose>SSSD Active Directory-leverantör</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av leverantören AD till +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. För en detaljerad referens om syntaxen, se avsnittet +<quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Leverantören AD är en bakände som används för att ansluta till en Active +Directory-server. Leverantören kräver att maskinen läggs in i AD-domänen +och att en keytab är tillgänglig. Bakändekommunikationen sker över en +GSSAPI-krypterad kanal, SSL/TLS-alternativ skall inte användas tillsammans +med AD-leverantören och kommer ersättas av Kerberos-användning. + </para> + <para> + AD-leverantören stödjer anslutning till Active Directory 2008 R2 eller +senare. Tidigare versioner kan fungera, men stödjs inte. + </para> + <para> + AD-leverantören kan användas för att få användarinformation och autentisera +användare från betrodda domäner. För närvarande känns endast betrodda +domäner i samma skog igen. Dessutom automatupptäcks alltid servrar från +betrodda domäner. + </para> + <para> + AD-leverantören gör att SSSD kan använda identitetsleverantören +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> och autentiseringsleverantören +<citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> med optimeringar för Active +Directory-miljöer. AD-leverantören tar samma alternativ som används av +leverantörerna sssd-ldap och sssd-krb5 med några undantag. Dock är det +varken nödvändigt eller lämpligt att sätta dessa alternativ. + </para> + <para> + AD-leverantören kopierar i huvudsak standardalternativen för de +traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna +listas i avsnittet <quote>ÄNDRADE STANDARDINSTÄLLNINGAR</quote>. + </para> + <para> + AD-leverantören kan även användas som en åtkomst-, chpass-, sudo- och +autofs-leverantör. Ingen konfiguration av åtkomstleverantören behövs på +klientsidan. + </para> + <para> + Om <quote>auth_provider=ad</quote> eller <quote>access_provider=ad</quote> +konfigureras i sssd.conf måste id-leverantören också sättas till +<quote>ad</quote>. + </para> + <para> + Som standard kommer AD-leverantören översätta AID- och GID-värden från +parametern objectSID i Active Directory. För detaljer om detta se avsnittet +<quote>ID-ÖVERSÄTTNING</quote> nedan. Om du vill avaktivera ID-översättning +och istället lita på POSIX-attribut definierade i Active Directory skall du +sätta <programlisting> +ldap_id_mapping = False + </programlisting>. Om POSIX-attribut skall +användas rekommenderas det av prestandaskäl att attributen även replikeras +till den globala katalogen. Om POSIX-attribut replikeras kommer SSSD +försöka att hitta domänen för den begärda numeriska ID:n med hjälp av den +globala katalogen och endast söka i den domänen. Om POSIX-attribut däremot +inte replikeras till den globala katalogen måste SSSD söka i alla domänerna +i skogen sekventiellt. Observera att alternativet +<quote>cache_first</quote> också kan vara till hjälp för att snabba upp +domänlösa sökningar. Observera att om endast en delmängd av +POSIX-attributen finns i den globala katalogen läses för närvarande inte de +attribut som inte replikeras från LDAP-porten. + </para> + <para> + Användare, grupper och andra enheter som servas av SSSD behandlas alltid som +skiftlägesokänsliga i AD-leverantören för kompatibilitet med Active +Directorys LDAP-implementation. + </para> + <para> + SSSD slår endast up Active Directory Security Groups. För mer information om +AD-grupptyper se: <ulink +url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups">Active +Directory security grouips</ulink> + </para> + <para> + SSSD filtrerar ut domänlokala grupper från fjärrdomäner i AD-skogen. Som +standard filtreras de ut t.ex. när man följer en nästad grupphierarki i +fjärrdomäner för att de inte är giltiga i den lokala domänen. Detta görs för +att stämma med Active Directorys gruppmedlemskapstilldelning vilken kan ses +i Kerberosbiljettens PAC för en användare utgiven av Active Directory. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para>Se <quote>DOMÄNSEKTIONER</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer om konfigurationen av en SSSD-domän. +<variablelist> + <varlistentry> + <term>ad_domain (sträng)</term> + <listitem> + <para> + Anger namnet på Active Directory-domänen. Detta är frivilligt. Om det inte +anges används namnet på den konfigurerade domänen. + </para> + <para> + För att fungera ordentligt skall detta alternativ anges som den gemena +versionen av den långa versionen av Active Directorys domän. + </para> + <para> + Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet) +detekteras automatiskt av SSSD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enabled_domains (sträng)</term> + <listitem> + <para> + A comma-separated list of enabled Active Directory domains. If provided, +SSSD will ignore any domains not listed in this option. If left unset, all +discovered domains from the AD forest will be available. + </para> + <para> + During the discovery of the domains SSSD will filter out some domains where +flags or attributes indicate that they do not belong to the local forest or +are not trusted. If ad_enabled_domains is set, SSSD will try to enable all +listed domains. + </para> + <para> + För att fungera ordentligt bör detta alternativ anges helt i gemener och som +det fullständigt kvalificerade namnet på Active Directory-domänen. Till +exempel: <programlisting> +ad_enabled_domains = marknad.example.com, tekn.example.com + </programlisting> + </para> + <para> + Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet) +kommer detekteras automatiskt av SSSD. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_server, ad_backup_server (sträng)</term> + <listitem> + <para> + Den kommaseparerade listan av värdnamn till AD-servrar till vilka SSSD skall +ansluta i prioritetsordning. För mer information om reserver och +serverredundans se avsnittet <quote>RESERVER</quote>. + </para> + <para> + Detta är frivilligt om automatupptäckt är aktiverat. För mer information om +tjänsteupptäckt se avsnittet <quote>TJÄNSTEUPPTÄCKT</quote>. + </para> + <para> + Observera: betrodda domäner kommer alltid automatiskt upptäcka servrar även +om den primära servern definieras uttryckligen i alternativet ad_server. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_hostname (sträng)</term> + <listitem> + <para> + Valfri. På maskiner där hostname(5) inte avspeglar det fullständigt +kvalificerade namnet kommer sssd försöka expandera det korta namnet. Om det +inte är möjligt eller det korta namnet verkligen skall användas istället, +sätt då denna parameter uttryckligen. + </para> + <para> + Detta fält används för att avgöra värd-huvudmannen som används i keytab:en +och utföra dynamiska DNS-uppdateringar. Det måste stämma med värdnamnet som +keytab:en gavs ut för. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_dns_sites (boolean)</term> + <listitem> + <para> + Aktiverar DNS-sajter – platsbaserat tjänsteupptäckt. + </para> + <para> + Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av +manualsidan) är aktiverat kommer SSSD först att försöka hitta en Active +Directory-server att ansluta till med Active Directory Site Discovery och +sedan falla tillbaka på traditionell SRV-upptäckt om ingen AD-sajt hittas. +Konfigurationen av DNS SRV, inklusive upptäcktsdomänen, används också under +sajtupptäckten. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_access_filter (sträng)</term> + <listitem> + <para> + Detta alternativ anger LDAP:s åtkomstkontrollfilter som användaren måste +matcha för att tillåtas åtkomst. Observera att alternativet +<quote>access_provider</quote> måste vara uttryckligen satt till +<quote>ad</quote> för att detta alternativ skall ha någon effekt. + </para> + <para> + Alternativet stödjer också att ange olika filter per domän eller skog. +Detta utökade filter skulle bestå av: <quote>NYCKELORD:NAMN:FILTER</quote>. +Nyckelordet kan vara antingen <quote>DOM</quote>, <quote>FOREST</quote> +eller utelämnas. + </para> + <para> + Om nyckelordet är lika med <quote>DOM</quote> eller saknas anger +<quote>NAMN</quote> domänen eller underdomänen filtret gäller för. Om +nyckelordet är lika med <quote>FOREST</quote> är filtret lika för alla +domäner från skogen som anges av <quote>NAMN</quote>. + </para> + <para> + Flera filter kan avgränsas med tecknet <quote>?</quote>, i likhet med hur +sökbaser fungerar. + </para> + <para> + Nästade gruppmedlemskap måste sökas efter med en speciell OID +<quote>:1.2.840.113556.1.4.1941:</quote> utöver den fullständiga syntaxen +DOM:domän.example.com: för att säkerställa att tolken inte försöker tolka +kolontecknen som hör till OID:n. Om man inte använder denna OID kommer +nästade gruppmedlemskap inte slås upp. Se användningsexempel nedan och se +här för ytterligare information om OID:n: <ulink +url="https://msdn.microsoft.com/en-us/library/cc223367.aspx"> [MS-ADTS] +avsnittet LDAP-utökningar</ulink> + </para> + <para> + Den mest specifika matchningen används alltid. Till exempel, om +alternativet angav filter för en domän användaren är medlem i och ett +globalt filter skulle det domänspecifika filtret tillämpas. Om det finns +fler matchningar med samma specifikation används den första. + </para> + <para> + Exempel: + </para> + <programlisting> +# tillämpa endast filtret på en domän som heter dom1: +dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com) + +# tillämpa endast filtret på en domän som heter dom2: +DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com) + +# tillämpa endast filtret på en skog som heter EXAMPLE.COM: +FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com) + +# tillämpa filtret på en medlem av en nästad grupp i dom1: +DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com) + </programlisting> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_site (sträng)</term> + <listitem> + <para> + Ange en AD-sajt som klienten skall försöka ansluta till. Om detta +alternativ inte anges kommer AD-sajten att automatupptäckas. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_enable_gc (boolean)</term> + <listitem> + <para> + Som standard ansluter SSSD till den globala katalogen först för att hämta +användare från betrodda domäner och använder LDAP-porten för att hämta +gruppmedlemskap som en reserv. Att avaktivera detta alternativ gör att SSSD +endast ansluter till LDAP-porten på den aktuella AD-servern. + </para> + <para> + Observera att att avaktivera stöd för den globala katalogen inte avaktiverar +att hämta användare från betrodda domäner. SSSD skulle ansluta till +LDAP-porten på den betrodda domänen istället. Dock måste den globala +katalogen användas för att slå upp gruppmedlemskap över domäner. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_access_control (sträng)</term> + <listitem> + <para> + Detta alternativ anger arbetsläget för GPO-baserad +åtkomstkontrollsfunktionalitet: huruvida det arbetar i avaktiverat läge, +tvingande läge eller tillåtande läge. Observera att alternativet +<quote>access_provider</quote> måste vara uttryckligen satt till +<quote>ad</quote> för att detta alternativ skall ha någon effekt. + </para> + <para> + Funktionalitet för GPO-baserad åtkomststyrning använder +GPO-policyinställningar för att avgöra huruvida en viss användare tillåts +logga in på värden eller inte. För mer information om de stödda +policyinställningarna se flaggan <quote>ad_gpo_map</quote>. + </para> + <para> + Observera att den aktuella versionen av SSSD inte stöjder Active Directorys +inbyggda grupper. Inbyggda grupper (såsom administratörer med SID +S-1-5-32-544) i GPO-åtkomststyrningsregler kommer ignoreras av SSSD. Se +uppströms ärendehanterare https://github.com/SSSD/sssd/issues/5063 . + </para> + <para> + Före åtkomstkontroll utförs tillämpar SSSD säkerhetsfiltrering enligt +gruppolicy på GPO:erna. För varje enskild användares inloggning kontrolleras +tillämpligheten av GPO:erna som är länkade till värden. För att en GPO skall +vara tillämplig på en användare måste användaren eller åtminstone en av de +grupper den tillhör ha följande rättigheter på GPO:n: + <itemizedlist> + <listitem> + <para> + Läs: användaren eller en av dess grupper måste ha läsrättigheter till +egenskaperna hos GPO:n (RIGHT_DS_READ_PROPERTY) + </para> + </listitem> + <listitem> + <para> + Verkställ gruppolicy: användaren eller åtminstone en av dess grupper måste +ha tillåtelse att verkställa GPO:n (RIGHT_DS_CONTROL_ACCESS). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Som standard fins en autentiserad användares grupp på en GPO och denna grupp +har både Läs- och Verkställ gruppolicy-åtkomsträttigheter. Eftersom +autentisering av en användare måste ha fullgjorts framgångsrikt före +GPO-säkerhetsfiltrering och åtkomstkontroll börjar gäller alltid även den +autentiserade användarens grupprättigheter på GPO:n för användaren. + </para> + <para> + OBS: Om åtgärdsläget är satt till tvingande är det möjligt att användarna +som tidigare var tillåtna inloggningsåtkomst nu kommer nekast +inloggningsåtkomst (som det dikteras av GPO-policyinställningar). För att +möjliggöra en smidig övergång för administratörer finns ett tillåtande läge +tillgängligt som inte kommer genomdriva åtkomststyrningsreglerna, utan +kommer beräkna deom och skriva ut ett syslog-meddelande om åtkomst skulle ha +nekats. Genom att granska loggarna kan administratörer sedan göra de +nödvändiga ändringarna före läget ställs in som tvingande. För att logga +felsökningsnivå av GPO-baserad åtkomstkontroll krävs ”trace functions” (se +manualsidan <citerefentry><refentrytitle>sssctl</refentrytitle> +<manvolnum>8</manvolnum></citerefentry>). + </para> + <para> + Det finns tre stödda värden för detta alternativ: + <itemizedlist> + <listitem> + <para> + disabled: GPO-baserade åtkomstkontrollsregler varken evalueras eller +påtvingas. + </para> + </listitem> + <listitem> + <para> + enforcing: GPO-baserade åtkomstkontrollregler evalueras och påtvingas. + </para> + </listitem> + <listitem> + <para> + permissive: GPO-baserade åtkomstkontrollregler evalueras men påtvingas +inte. Istället skickas ett syslog-meddelande ut som indikerar att +användaren skulle ha nekats åtkomst om detta alternativs värde vore satt +till enforcing. + </para> + </listitem> + </itemizedlist> + </para> + <para condition="gpo_default_permissive"> + Standard: permissive + </para> + <para condition="gpo_default_enforcing"> + Standard: enforcing + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_implicit_deny (boolean)</term> + <listitem> + <para> + Normalt när inga tillämpliga GPO:er finns tillåts användarna åtkomst. När +detta alternativ är satt till True kommer användare att tillåtas åtkomst +endast när det uttryckligen tillåts av en GPO-regel. Annars kommer +användare nekas åtkomst. Detta kan användas för att stärka säkerheten men +var försiktig när detta alternativ används för det kan neka åtkomst även +till användare i den inbyggda administratörsgruppen om inga GPO-regler är +tillämpliga på dem. + </para> + + <para> + Standard: False + </para> + + <para> + Följande 2 tabeller bör illustrera när en användare tillåts eller nekas +baserat på de tillåtande eller nekande inloggningsrättigheterna definierade +på serversidan och inställningen av ad_gpo_implicit_deny. + </para> + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = False (standard)</entry></row> + <row><entry>tillåtelseregler</entry><entry>nekanderegler</entry> + <entry>resultat</entry></row> + </thead> + <tbody> + <row><entry>saknas</entry><entry>saknas</entry> + <entry><para>alla användare tillåts</para> + </entry></row> + <row><entry>saknas</entry><entry>finns</entry> + <entry><para>endast användare som inte finns i nekanderegler tillåts</para></entry></row> + <row><entry>finns</entry><entry>saknas</entry> + <entry><para>endast användare i tillåtelseregler tillåts</para></entry></row> + <row><entry>finns</entry><entry>finns</entry> + <entry><para>endast användare i tillåtelse och inte i nekanderegler tillåts</para></entry></row> + </tbody></tgroup></informaltable> + + <informaltable frame='all'> + <tgroup cols='3'> + <colspec colname='c1' align='center'/> + <colspec colname='c2' align='center'/> + <colspec colname='c3' align='center'/> + <thead> + <row><entry namest='c1' nameend='c3' align='center'> + ad_gpo_implicit_deny = True</entry></row> + <row><entry>tillåtelseregler</entry><entry>nekanderegler</entry> + <entry>resultat</entry></row> + </thead> + <tbody> + <row><entry>saknas</entry><entry>saknas</entry> + <entry><para>inga användare tillåts</para> + </entry></row> + <row><entry>saknas</entry><entry>finns</entry> + <entry><para>inga användare tillåts</para> + </entry></row> + <row><entry>finns</entry><entry>saknas</entry> + <entry><para>endast användare i tillåtelseregler tillåts</para></entry></row> + <row><entry>finns</entry><entry>finns</entry> + <entry><para>endast användare i tillåtelse och inte i nekanderegler tillåts</para></entry></row> + </tbody></tgroup></informaltable> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_ignore_unreadable (boolean)</term> + <listitem> + <para> + Normalt när några gruppolicybehållare (AD-objekt) av några tillämpliga +gruppolicyobjekt inte är läsbara av SSSD så nekas användare åtkomst. Detta +alternativ tillåter att man ignorerar gruppolicybehållare och med dem +tillhörande policyer om deras attribut i gruppolicybehållare inte är läsbara +för SSSD. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + + + <varlistentry> + <term>ad_gpo_cache_timeout (heltal)</term> + <listitem> + <para> + Tiden mellan uppslagningar av GPO-policyfiler mot AD-servern. Detta kommer +reducera tidsfördröjningen och lasten på AD-servern om det görs många +begäranden om åtkomstkontroll under en kort tid. + </para> + <para> + Standard: 5 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_interactive (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad +åtkomstkontroll beräknas baserat på policyinställningarna +InteractiveLogonRight och DenyInteractiveLogonRight. Endast de GPO:er +beräknas för vilka användaren har Läs- eller Verkställ +gruppolicy-rättigheter (se flaggan <quote>ad_gpo_access_control</quote>). Om +en beräknad GPO innehåller inställningen neka interaktiv inloggning för +användaren eller en av dess grupper nekas användaren lokal åtkomst. Om ingen +av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad +ges användaren lokal åtkomst. Om åtminstone en beräknad GPO innehåller +inställningen interaktiv inloggningsrättighet ges användaren lokal åtkomst +endast om denne eller åtminstone en av dess grupper är del av den +policyinställningen. + </para> + <para> + Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde +”Tillåt inloggning lokalt” och ”Neka inloggning lokalt”. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta +ut ett standard-PAM-tjänstenamn för denna inloggningsrätt +(t.ex. <quote>login</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +ad_gpo_map_interactive = +min_pam-tjänst, -login + </programlisting> + </para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-fingerprint + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + lightdm + </para> + </listitem> + <listitem> + <para> + lxdm + </para> + </listitem> + <listitem> + <para> + sddm + </para> + </listitem> + <listitem> + <para> + unity + </para> + </listitem> + <listitem> + <para> + xdm + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_remote_interactive (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad +åtkomstkontroll beräknas baserat på policyinställningarna +RemoteInteractiveLogonRight och DenyRemoteInteractiveLogonRight. Endast de +GPO:er beräknas för vilka användaren har Läs- eller Verkställ +gruppolicy-rättigheter (se flaggan <quote>ad_gpo_access_control</quote>). Om +en beräknad GPO innehåller inställningen neka fjärrinloggning för användaren +eller en av dess grupper nekas användaren interaktiv fjärråtkomst. Om ingen +av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad +ges användaren interaktiv fjärråtkomst. Om åtminstone en beräknad GPO +innehåller inställningen interaktiv fjärrinloggningsrättighet ges användaren +fjärråtkomst endast om denne eller åtminstone en av dess grupper är del av +den policyinställningen. + </para> + <para> + Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde +”Tillåt inloggning via fjärrskrivbordstjänster” och ”Neka inloggning via +fjärrinloggningstjänster”. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta +ut ett standard-PAM-tjänstenamn för denna inloggningsrätt +(t.ex. <quote>sshd</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +ad_gpo_map_remote_interactive = +min_pam-tjänst, -sshd + </programlisting> + </para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + sshd + </para> + </listitem> + <listitem> + <para> + cockpit + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_network (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad +åtkomstkontroll beräknas baserat på policyinställningarna NetworkLogonRight +och DenyNetworkLogonRight. Endast de GPO:er beräknas för vilka användaren +har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan +<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller +inställningen neka nätverksinloggning för användaren eller en av dess +grupper nekas användaren nätverksåtkomst. Om ingen av de evaluerade GPO:erna +har en nätverksinloggningsrättighet definierad ges användaren +inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen +nätverksinloggningsrättighet ges användaren inloggningsåtkomst endast om +denne eller åtminstone en av dess grupper är del av den policyinställningen. + </para> + <para> + Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde +”Kom åt denna dator från nätverket” och ”Neka åtkomst till denna dator från +nätverket”. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta +ut ett standard-PAM-tjänstenamn för denna inloggningsrätt +(t.ex. <quote>ftp</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +ad_gpo_map_network = +min_pam-tjänst, -ftp + </programlisting> + </para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + ftp + </para> + </listitem> + <listitem> + <para> + samba + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_batch (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad +åtkomstkontroll beräknas baserat på policyinställningarna BatchLogonRight +och DenyBatchLogonRight. Endast de GPO:er beräknas för vilka användaren har +Läs- eller Verkställ gruppolicy-rättigheter (se flaggan +<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller +inställningen neka satsvis inloggning för användaren eller en av dess +grupper nekas användaren satsvis inloggningsåtkomst. Om ingen av de +evaluerade GPO:erna har en satsvis inloggningsrättighet definierad ges +användaren inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller +inställningen satsvis inloggningsrättighet ges användaren inloggningsåtkomst +endast om denne eller åtminstone en av dess grupper är del av den +policyinställningen. + </para> + <para> + Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde +”Tillåt inloggning som ett batch-jobb” och ”Neka inloggning som ett +batch-jobb”. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta +ut ett standard-PAM-tjänstenamn för denna inloggningsrätt +(t.ex. <quote>crond</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +ad_gpo_map_batch = +min_pam-tjänst, -crond + </programlisting> + </para> + <para>Obs: cron-tjänstenamn kan skilja beroende på vilken Linuxdistribution som +används.</para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + crond + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_service (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad +åtkomstkontroll beräknas baserat på policyinställningarna ServiceLogonRight +och DenyServiceLogonRight. Endast de GPO:er beräknas för vilka användaren +har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan +<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller +inställningen neka tjänsteinloggning för användaren eller en av dess grupper +nekas användaren tjänsteinloggningsåtkomst. Om ingen av de evaluerade +GPO:erna har en tjänsteinloggningsrättighet definierad ges användaren +inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen +tjänsteinloggningsrättighet ges användaren inloggningsåtkomst endast om +denne eller åtminstone en av dess grupper är del av den policyinställningen. + </para> + <para> + Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde +”Tillåt inloggning som en tjänst” och ”Neka inloggning som en tjänst”. + </para> + <para> + Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen +genom att använda <quote>+tjänstenamn</quote>. Eftersom +standarduppsättningen är tom är det inte möjligt att ta bort ett +PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga +till ett anpassat PAM-tjänstenamn (t.ex. <quote>min_pam-tjänst</quote>) +skulle man använda följande konfiguration: <programlisting> +ad_gpo_map_service = +min_pam-tjänst + </programlisting> + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_permit (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst +alltid tillåts, oavsett några andra GPO-inloggningsrättigheter. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta +ut ett standard-PAM-tjänstenamn för ovillkorligt tillåten åtkomst +(t.ex. <quote>sudo</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +ad_gpo_map_permit = +min_pam-tjänst, -sudo + </programlisting> + </para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + polkit-1 + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + systemd-user + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_map_deny (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst +alltid nekas, oavsett några andra GPO-inloggningsrättigheter. + </para> + <para> + Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen +genom att använda <quote>+tjänstenamn</quote>. Eftersom +standarduppsättningen är tom är det inte möjligt att ta bort ett +PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga +till ett anpassat PAM-tjänstenamn (t.ex. <quote>min_pam-tjänst</quote>) +skulle man använda följande konfiguration: <programlisting> +ad_gpo_map_deny = +min_pam-tjänst + </programlisting> + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_gpo_default_right (sträng)</term> + <listitem> + <para> + Detta alternativ definierar hur åtkomstkontroll beräknas för PAM-tjänstenamn +som inte är uttryckligen listade i en av alternativen ad_gpo_map_*. Detta +alternativ kan anges på två olika sätt. Antingen kan detta alternativ +sättas till att ange standardinloggningsrättigheter. Till exempel, om detta +alternativ är satt till ”interactive” betyder det att omappade +PAM-tjänstenamn kommer bearbetas baserat på policyinställningarna +InteractiveLogonRight och DenyInteractiveLogonRight. Alternativt kan detta +alternativ sättas till att antingen alltid tillåta eller alltid neka åtkomst +för omappade PAM-tjänstenamn. + </para> + <para> + Värden som stödjs för detta alternativ inkluderar: + <itemizedlist> + <listitem> + <para> + interactive + </para> + </listitem> + <listitem> + <para> + remote_interactive + </para> + </listitem> + <listitem> + <para> + network + </para> + </listitem> + <listitem> + <para> + batch + </para> + </listitem> + <listitem> + <para> + service + </para> + </listitem> + <listitem> + <para> + permit + </para> + </listitem> + <listitem> + <para> + deny + </para> + </listitem> + </itemizedlist> + </para> + <para> + Standard: deny + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_maximum_machine_account_password_age (heltal)</term> + <listitem> + <para> + SSSD kommer en gång om dagen kontrollera om maskinkontolösenordet är äldre +än den givna åldern i dagar och försöka förnya det. Ett värde på 0 kommer +förhindra förnyelseförsöket. + </para> + <para> + Standard: 30 dagar + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_machine_account_password_renewal_opts (sträng)</term> + <listitem> + <para> + Detta alternativ skall endast användas för att testa +maskinkontoförnyelsefunktionen. Alternativet förväntar sig 2 heltal +separerade av ett kolon (”:”). Det första heltalet anger intervallet i +sekunder hur ofta funktionen körs. Det andra anger den initiala tidsgränsen +i sekunder före funktionen körs för första gången efter uppstart. + </para> + <para> + Standard: 86400:750 (24h och 15m) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_update_samba_machine_account_password (boolean)</term> + <listitem> + <para> + Om aktiverat kommer lösenordet i Sambas databas också uppdateras när SSSD +förnyar maskinkontolösenordet. Detta förhindrar Sambas exemplar av +maskinkontolösenordet från att bli inaktuellt när det är uppsatt att använda +AD för autentisering. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_use_ldaps (bool)</term> + <listitem> + <para> + Som standard använder SSSD den enkla LDAP-porten 389 porten 3628 för den +globala katalogen. Om denna flagga är satt till sant kommer SSSD använda +LDAPS-porten 636 och porten 3629 för den globala katalogen med +LDAPS-skydd. Eftersom AD inte tillåter att ha flera krypteringsnivåer på en +ensam förbindelse och vi fortfarande vill använda SASL/GSSAPI eller +SASL/GSS-SPNEGO till autentisering är SASL-säkerhetsegenskapen maxssf satt +till 0 (noll) för dessa förbindelser. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ad_allow_remote_domain_local_groups (boolean)</term> + <listitem> + <para> + Om detta alternativ är satt till <quote>sant</quote> kommer SSSD inte att +filtrera ut domänlokala grupper från fjärrdomäner i AD-skogen. Som standard +filtreras de ut t.ex. när man följer en nästad grupphierarki i fjärrdomäner +för att de inte är giltiga i den lokala domänen. För att vara kompatibel med +andra lösningar som gör AD-användare och -grupper tillgängliga i +Linuxklienter lades detta alternativ till. + </para> + <para> + Observera att sätta detta alternativ till <quote>sant</quote> kommer strida +mot avsikten med domänlokala grupper i Active Directory och <emphasis>SKALL +ENDAST ANVÄNDAS FÖR ATT MÖJLIGGÖRA MIGRERING FRÅN ANDRA +LÖSNINGAR</emphasis>. Även om grruppen finns och användaren kan vara medlem +av gruppen är avsikten att gruppen endast skall användas i domänen den är +definierad och inte i några andra. Eftersom det endast finns en typ av +POSIX-grupper är det enda sättet att uppnå detta på Linuxsidan att ignorera +dessa grupper. Detta görs också av Active Directory som kan ses i PAC:en i +Kerberosbiljetten för en lokal tjänst sller i tokenGroups-begäranden där +också de domänlokala fjärrgrupperna saknas. + </para> + <para> + Givet ovanstående kommentarer, om detta alternativ är satt till +<quote>sant</quote> måste tokenGroups-begäranden avaktiveras genom att sätta +<quote>ldap_use_tokengroups</quote> till <quote>falskt</quote> för att få +konsistenta gruppmedlemskap för en användare. Dessutom skall uppslagningar i +Global Catalog också hoppas över genom att sätta <quote>ad_enable_gc</quote> +till <quote>falskt</quote>. Slutligen kan det vara nödvändigt att ändra +<quote>ldap_group_nesting_level</quote> om de domänlokala fjärrgurpperna +endast finns med en djupare nästningsnivå. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (boolean)</term> + <listitem> + <para> + Valfritt. Detta alternativ säger till SSSD att automatiskt uppdatera +DNS-servern i Active Directory med IP-adressen för denna klient. +Uppdateringen säkras med GSS-TSIG. Som en konsekvens av det behöver Active +Directory-administratören bara tillåta säkra uppdateringar för DNS-zonen. +IP-adressen för AD-LDAP-förbindelsen används för uppdateringar, om det inte +specificeras på annat sätt med alternativet <quote>dyndns_iface</quote>. + </para> + <para> + OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas +i /etc/krb5.conf för att detta beteende skall fungera pålitligt + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (heltal)</term> + <listitem> + <para> + TTL:en att använda för klientens DNS-post vid uppdatering. Om dyndns_update +är falsk har detta ingen effekt. Detta kommer åsidosätta TTL på serversidan +om det är satt av en administratör. + </para> + <para> + Standard: 3600 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (sträng)</term> + <listitem> + <para> + Valfri. Endast tillämpligt när dyndns_update är sann. Välj gränssnittet +eller en lista av gränssnitt vars IP-adresser skall användas för dynamiska +DNS-uppdateringar. Specialvärdet <quote>*</quote> betyder att IP:n från +alla gränssnitt skall användas. + </para> + <para> + Standard: använd IP-adresser för gränssnittet som används för AD +LDAP-förbindelsen + </para> + <para> + Exempel: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (heltal)</term> + <listitem> + <para> + Hur ofta bakänden skall utföra periodiska DNS-uppdateringar utöver den +automatiska uppdateringen som utförs när bakänden kopplar upp. Detta +alternativ är valfritt och tillämpligt endast när dyndns_update är sann. +Observera att det lägsta möjliga värdet är 60 sekunder, ifall ett värde +mindre än 60 ges kommer parametern endast anta det lägsta värdet. + </para> + <para> + Standard: 86400 (24 timmar) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (bool)</term> + <listitem> + <para> + Huruvida PTR-posten också skall uppdateras explicit när klientens DNS-post +uppdateras. Tillämpligt endast när dyndns_update är sann. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + Standard: True + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (bool)</term> + <listitem> + <para> + Huruvida nsupdate-verktyget som standard skall använda TCP för kommunikation +med DNS-servern. + </para> + <para> + Standard: False (låt nsupdate välja protokollet) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (sträng)</term> + <listitem> + <para> + Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra +uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att +sätta detta alternativ till ”none”. + </para> + <para> + Standard: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (sträng)</term> + <listitem> + <para> + Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra +PTR-uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att +sätta detta alternativ till ”none”. + </para> + <para> + Standard: samma som dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (sträng)</term> + <listitem> + <para> + DNS-servern som skall användas när en uppdatering av DNS utförs. I de +flesta uppsättningar rekommenderas det att låta detta alternativ vara osatt. + </para> + <para> + Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är +skild från identitetsservern. + </para> + <para> + Observera att detta alternativ bara kommer användas i försök att falla +tillbaka på när tidigare försök som använder automatiskt upptäckta +inställningar misslyckas. + </para> + <para> + Standard: Ingen (låt nsupdate välja servern) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (boolean)</term> + <listitem> + <para> + DNS-uppdateringar utförs som standard i två steg – IPv4-uppdatering och +sedan IPv6-uppdatering. I några fall kan det vara önskvärt att utföra IPv4- +och IPv6-uppdateringar i ett enda steg. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + + <varlistentry> + <term>krb5_confd_path (sträng)</term> + <listitem> + <para> + Absolut sökväg till en katalog där SSSD skall placera konfigurationsstycken +för Kerberos. + </para> + <para> + För att förhindra att konfigurationsstycken skapas, sätt parametern till +”none”. + </para> + <para> + Standard: inte satt (underkatalogen krb5.include.d till SSSD:s +pubconf-katalog) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att example.com +är en av domänerna i avsnittet <replaceable>[sssd]</replaceable>. Detta +exempel visar endast alternativ som är specifika för leverantören AD. + </para> + <para> +<programlisting> +[domain/EXEMPEL] +id_provider = ad +auth_provider = ad +access_provider = ad +chpass_provider = ad + +ad_server = dc1.example.com +ad_hostname = client.example.com +ad_domain = example.com +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Leverantören AD av åtkomstkontroll kontrollerar om kontot har gått ut. Det +har samma effekt som följande konfiguration av LDAP-leverantören: +<programlisting> +access_provider = ldap +ldap_access_order = expire +ldap_account_expire_policy = ad +</programlisting> + </para> + <para> + Dock, om inte åtkomstleverantören <quote>ad</quote> är konfigurerad explicit +är standardåtkomstleverantören <quote>permit</quote>. Observera att om man +konfigurerar en annan åtkomstleverantör än <quote>ad</quote> behöver man +sätta alla anslutningsparametrarna (såsom LDAP URI:er och +krypteringsdetaljer) manuellt. + </para> + <para> + När autofs-leverantören är satt till <quote>ad</quote> används +översättningen av schemaattribut enligt RFC2307 (nisMap, nisObject, …), för +att dessa attribut inkluderas i standardschemat för Active Directory. + </para> + <para> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-files.5.xml b/src/man/sv/sssd-files.5.xml new file mode 100644 index 0000000..c690768 --- /dev/null +++ b/src/man/sv/sssd-files.5.xml @@ -0,0 +1,156 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-files</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-files</refname> + <refpurpose>SSSD:s filleverantör</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver filleverantören till <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. För en detaljerad referens om syntaxen, se avsnittet +<quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Filleverantören speglar innehållet i filerna <citerefentry> +<refentrytitle>passwd</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> och <citerefentry> <refentrytitle>group</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Syftet med filleverantören är att +göra användarna och grupperna som traditionellt bara är tillgängliga via +NSS-gränssnitt även tillgängliga via SSSD-gränssnitten såsom <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Ett annat skäl är att tillhandahålla effektiv cachning av lokala användare +och grupper. + </para> + <para> + Please note that besides explicit domain definition the files provider can +be configured also implicitly using 'enable_files_domain' option. See +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for details. + </para> + <para> + SSSD hanterar aldrig uppslagning av användaren/gruppen ”root”. +Uppslagningen av AID/GID 0 hanteras inte heller av SSSD. Sådana begäranden +skickas till nästa NSS-modul (vanligen filer). + </para> + <para> + När SSSD inte kör eller svarar returnerar nss_sss koden UNAVAIL som får +begäran att skickas vidare till nästa modul. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Utöver de alternativ som räknas upp nedan kan generella SSSD-domänalternativ +sättas där de är tillämpliga. Se <quote>DOMÄNSEKTIONER</quote> i +manualsidan <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för detaljer om konfigurationen av +en SSSD-domän. Men syftet med leverantören files är att exponera samma data +som UNIX-filerna, bara via gränssnitten för SSSD. Därför stödjs inte alla +generella domänalternativ. På samma sätt har några globala alternativ, +såsom att åsidosätta skalet i avsnittet <quote>nss</quote> för alla domäner +ingen effekt på domänen files om det inte anges uttryckligen per domän. +<variablelist> + <varlistentry> + <term>passwd_files (sträng)</term> + <listitem> + <para> + Kommaseparerad lista av ett eller flera namn på lösenordsfiler att läsa och +räkna upp av filleverantören, inotify-övervakningsvakter kommer att sättas +på varje fil för att upptäcka ändringar dynamiskt. + </para> + <para> + Standard: /etc/passwd + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>group_files (sträng)</term> + <listitem> + <para> + Kommaseparerad lista av ett eller flera namn på gruppfiler att läsa och +räkna upp av filleverantören, inotify-övervakningsvakter kommer att sättas +på varje fil för att upptäcka ändringar dynamiskt. + </para> + <para> + Standard: /etc/group + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>fallback_to_nss (boolean)</term> + <listitem> + <para> + Under uppdatering av interna data kommer SSSD att returnera ett fel och låta +klienten fortsätta med nästa NSS-modul. Detta hjälper till att undvika +fördröjningar vid användning systemet standardfiler +<filename>/etc/passwd</filename> och <filename>/etc/group</filename> och när +NSS-konfigurationen har ”sss” före ”files” för avbildningarna ”passwd” och +”group”. + </para> + <para> + Om filleverantören är konfigurerad att övervaka andra filer är det vettigt +att sätta detta alternativ till ”False” för att undvika inkonsistent +beteende eftersom det i allmänhet inte skulle finnas någon annan NSS-modul +som kan användas att falla tillbaka på. + </para> + <para> + Standard: True + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att files är en +av domänerna i avsnittet <replaceable>[sssd]</replaceable>. + </para> + <para> +<programlisting> +[domain/files] +id_provider = files +</programlisting> + </para> + <para> + För att dra nytta av SSSD:s cachning av lokala användare och grupper måste +modulen nss_sss listas före modulen nss_files i /etc/nsswitch.conf. + </para> + <para> +<programlisting> +passwd: sss files +group: sss files +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-ifp.5.xml b/src/man/sv/sssd-ifp.5.xml new file mode 100644 index 0000000..dfdafce --- /dev/null +++ b/src/man/sv/sssd-ifp.5.xml @@ -0,0 +1,151 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ifp</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ifp</refname> + <refpurpose>SSSD InfoPipe-respondent</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av InfoPipe-respondenten till +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. För en detaljerad referens om syntaxen, se avsnittet +<quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + InfoPipe-respondenten tillhandahåller ett publikt D-Bus-gränssnitt åtkomligt +över systembussen. Gränssnittet låter användaren att fråga efter +information om fjärranvändare och -grupper över systembussen. + </para> + + <refsect2 id='valid_certificate'> + <title>HITTA MED GILTIGT CERTIFIKAT</title> + <para> + Följande alternativ kan användas för att styra hur certifikat valideras när +API:et FindByValidCertificate() används: + <itemizedlist> + <listitem><para>ca_db</para></listitem> + <listitem><para>p11_child_timeout</para></listitem> + <listitem><para>certificate_verification</para></listitem> + </itemizedlist> + För fler detaljer om alternativet, se +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + </refsect2> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Dessa alternativ kan användas för att konfigurera InfoPipe-respondenten. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (sträng)</term> + <listitem> + <para> + Anger den kommaseparerade listan av AID-värden eller användarnamn som +tillåts använda InfoPipe-respondenten. Användarnamn slås upp till AID:er +vid uppstart. + </para> + <para> + Standard: 0 (endast root-användaren tillåts komma åt InfoPipe-respondenten) + </para> + <para> + Observera att även om AID 0 används som standard kommer det att skrivas över +av detta alternativ. Om du fortfarande vill tillåta root-användaren att +komma åt InfoPipe-respondenten, vilket man typiskt vill, måste du lägga till +även 0 i listan av tillåtna AID:er. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>user_attributes (sträng)</term> + <listitem> + <para> + Anger den kommaseparerade listan över vit- eller svartlistade attribut. + </para> + <para> + Som standard tillåter bara InfoPipe-respondenten att standarduppsättningen +av POSIX-attribut begärs. Denna uppsättning är densamma som returneras av +<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> och inkluderar: <variablelist> + <varlistentry> + <term>name</term> + <listitem><para>användarens inloggningsnamn</para></listitem> + </varlistentry> + <varlistentry> + <term>uidNumber</term> + <listitem><para>användar-ID</para></listitem> + </varlistentry> + <varlistentry> + <term>gidNumber</term> + <listitem><para>primär grupps ID</para></listitem> + </varlistentry> + <varlistentry> + <term>gecos</term> + <listitem><para>användarinformation, normalt fullständigt namn</para></listitem> + </varlistentry> + <varlistentry> + <term>homeDirectory</term> + <listitem><para>hemkatalog</para></listitem> + </varlistentry> + <varlistentry> + <term>loginShell</term> + <listitem><para>användarens skal</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Det är möjligt att lägga till ett annat attribut till denna uppsättning +genom att använda <quote>+attrnamn</quote> eller uttryckligen ta bort ett +attribut genom att använda <quote>-attrnamn</quote>. Till exempel, för att +tillåta <quote>telephoneNumber</quote> men neka <quote>loginShell</quote> +skulle man använda följande konfiguration: <programlisting> +user_attributes = +telephoneNumber, -loginShell + </programlisting> + </para> + <para> + Standard: inte satt. Endast standarduppsättningen av POSIX-attribut är +tillåtna. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (heltal)</term> + <listitem> + <para> + Anger en övre gräns på antalet poster som hämtas under en uppslagning med +jokertecken som åsidosätter gränsen anroparen tillhandahåller. + </para> + <para> + Standard: 0 (låt anroparen sätta en övre gräns) + </para> + </listitem> + </varlistentry> + + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-ipa.5.xml b/src/man/sv/sssd-ipa.5.xml new file mode 100644 index 0000000..3163110 --- /dev/null +++ b/src/man/sv/sssd-ipa.5.xml @@ -0,0 +1,860 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ipa</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ipa</refname> + <refpurpose>SSSD IPA-leverantör</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av leverantören IPA till +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. För en detaljerad referens om syntaxen, se avsnittet +<quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + IPA-leverantören är en bakände som används för att ansluta till en +IPA-server. (Se webbsidan freeipa.org för information om IPA-servrar.) +Leverantören förutsätter att maskinen är inlagt i IPA-domänen; +konfigurationen är nästan helt självupptäckande och hämtas direkt från +servern. + </para> + <para> + IPA-leverantören gör att SSSD kan använda identitetsleverantören +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> och autentiseringsleverantören +<citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> med optimeringar för IPA-miljöer. +IPA-leverantören tar samma alternativ som används av leverantörerna +sssd-ldap och sssd-krb5 med några undantag. Dock är det varken nödvändigt +eller lämpligt att sätta dessa alternativ. + </para> + <para> + IPA-leverantören kopierar i huvudsak standardalternativen för de +traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna +listas i avsnittet <quote>ÄNDRADE STANDARDINSTÄLLNINGAR</quote>. + </para> + <para> + As an access provider, the IPA provider has a minimal configuration (see +<quote>ipa_access_order</quote>) as it mainly uses HBAC (host-based access +control) rules. Please refer to freeipa.org for more information about HBAC. + </para> + <para> + Om <quote>auth_provider=ipa</quote> eller <quote>access_provider=ipa</quote> +konfigureras i sssd.conf måste id-leverantören också sättas till +<quote>ipa</quote>. + </para> + <para> + IPA-leverantörer kommer använda PAC-respondenten om Kerberos-biljetter för +användare för betrodda riken innehåller en PAC. För att göra +konfigurationen enklare startas PAC-respondenten automatiskt om +ID-leverantören IPA är konfigurerad. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para>Se <quote>DOMÄNSEKTIONER</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer om konfigurationen av en SSSD-domän. +<variablelist> + <varlistentry> + <term>ipa_domain (sträng)</term> + <listitem> + <para> + Anger namnet på IPA-domänen. Detta är frivilligt. Om det inte anges +används namnet på den konfigurerade domänen. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server, ipa_backup_server (sträng)</term> + <listitem> + <para> + Den kommaseparerade listan av IP-adresser eller värdnamn till IPA-servrar +till vilka SSSD skall ansluta i prioritetsordning. För mer information om +reserver och serverredundans se avsnittet <quote>RESERVER</quote>. Detta är +frivilligt om automatupptäckt är aktiverat. För mer information om +tjänsteupptäckt, se avsnittet <quote>TJÄNSTEUPPTÄCKT</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hostname (sträng)</term> + <listitem> + <para> + Valfri. Kan sättas på maskiner där hostname(5) inte avspeglar det +fullständigt kvalificerade namnet som används i IPA-domänen för att +identifiera denna värd. Värdnamnet måste vara fullständigt kvalificerat. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update (boolean)</term> + <listitem> + <para> + Valfritt. Detta alternativ säger till SSSD att automatiskt uppdatera +DNS-servern som är inbyggd i FreeIPA med IP-adressen för denna klient. +Uppdateringen säkras med GSS-TSIG. IP-adressen för IPA-LDAP-förbindelsen +används för uppdateringar, om det inte specificeras på annat sätt med +alternativet <quote>dyndns_iface</quote>. + </para> + <para> + OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas +i /etc/krb5.conf för att detta beteende skall fungera pålitligt + </para> + <para> + OBS: även om det fortfarande är möjligt att använda det gamla alternativet +<emphasis>ipa_dyndns_update</emphasis> bör användare migrera till att +använda <emphasis>dyndns_update</emphasis> i sin konfigurationsfil. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_ttl (heltal)</term> + <listitem> + <para> + TTL:en att använda för klientens DNS-post vid uppdatering. Om dyndns_update +är falsk har detta ingen effekt. Detta kommer åsidosätta TTL på serversidan +om det är satt av en administratör. + </para> + <para> + OBS: även om det fortfarande är möjligt att använda det gamla alternativet +<emphasis>ipa_dyndns_ttl</emphasis> bör användare migrera till att använda +<emphasis>dyndns_ttl</emphasis> i sin konfigurationsfil. + </para> + <para> + Standard: 1200 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_iface (sträng)</term> + <listitem> + <para> + Valfri. Endast tillämpligt när dyndns_update är sann. Välj gränssnittet +eller en lista av gränssnitt vars IP-adresser skall användas för dynamiska +DNS-uppdateringar. Specialvärdet <quote>*</quote> betyder att IP:n från +alla gränssnitt skall användas. + </para> + <para> + OBS: även om det fortfarande är möjligt att använda det gamla alternativet +<emphasis>ipa_dyndns_iface</emphasis> bör användare migrera till att använda +<emphasis>dyndns_iface</emphasis> i sin konfigurationsfil. + </para> + <para> + Standard: använd IP-adresser för gränssnittet som används för IPA +LDAP-förbindelsen + </para> + <para> + Exempel: dyndns_iface = em1, vnet1, vnet2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth (sträng)</term> + <listitem> + <para> + Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra +uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att +sätta detta alternativ till ”none”. + </para> + <para> + Standard: GSS-TSIG + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_auth_ptr (sträng)</term> + <listitem> + <para> + Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra +PTR-uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att +sätta detta alternativ till ”none”. + </para> + <para> + Standard: samma som dyndns_auth + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_enable_dns_sites (boolean)</term> + <listitem> + <para> + Aktiverar DNS-sajter – platsbaserat tjänsteupptäckt. + </para> + <para> + Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av +manualsidan) är aktiverat kommer SSSD först att försöka med platsbaserad +upptäckt med en fråga som innehåller ”_location.hostname.example.com” och +sedan falla tillbaka på traditionell SRV-upptäckt. Om platsbaserad upptäckt +lyckas betraktas IPA-servrarna som lokaliserats med platsbaserad upptäckt +som primära servrar och IPA-servrarna som hittas med den traditionella +SRV-upptäckten används som backup-servrar + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_refresh_interval (heltal)</term> + <listitem> + <para> + Hur ofta bakänden skall utföra periodiska DNS-uppdateringar utöver den +automatiska uppdateringen som utförs när bakänden kopplar upp. Detta +alternativ är valfritt och tillämpligt endast när dyndns_update är sann. + </para> + <para> + Standard: 0 (avaktiverat) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_ptr (bool)</term> + <listitem> + <para> + Huruvida PTR-posten också skall uppdateras explicit när klientens DNS-post +uppdateras. Tillämpligt endast när dyndns_update är sann. + </para> + <para> + Detta alternativ är False i de flesta IPA-installationer eftersom +IPA-servern genererar PTR-posterna automatiskt när framåtposterna ändras. + </para> + <para> + Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not +apply for PTR record updates. Those updates are always sent separately. + </para> + <para> + Standard: False (avaktiverat) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_force_tcp (bool)</term> + <listitem> + <para> + Huruvida nsupdate-verktyget som standard skall använda TCP för kommunikation +med DNS-servern. + </para> + <para> + Standard: False (låt nsupdate välja protokollet) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_server (sträng)</term> + <listitem> + <para> + DNS-servern som skall användas när en uppdatering av DNS utförs. I de +flesta uppsättningar rekommenderas det att låta detta alternativ vara osatt. + </para> + <para> + Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är +skild från identitetsservern. + </para> + <para> + Observera att detta alternativ bara kommer användas i försök att falla +tillbaka på när tidigare försök som använder automatiskt upptäckta +inställningar misslyckas. + </para> + <para> + Standard: Ingen (låt nsupdate välja servern) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dyndns_update_per_family (boolean)</term> + <listitem> + <para> + DNS-uppdateringar utförs som standard i två steg – IPv4-uppdatering och +sedan IPv6-uppdatering. I några fall kan det vara önskvärt att utföra IPv4- +och IPv6-uppdateringar i ett enda steg. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_access_order (string)</term> + <listitem> + <para> + Kommaseparerad lista över åtkomststyrningsalternativ. Tillåtna värden är: + </para> + <para> + <emphasis>expire</emphasis>: use IPA's account expiration policy. + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Dessa alternativ är användbara om +användare vill bli varnade att lösenordet är på gång att gå ut och +autentisering är baserat på användning av en annan metod än lösenord – till +exempel SSH-nycklar. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Please note that 'access_provider = ipa' must be set for this feature to +work. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som sökbas för +skrivbordsprofilrelaterade objekt. + </para> + <para> + Standard: använd bas-DN + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_subid"> + <term>ipa_subid_ranges_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som sökbas för +underordningsintervallsrelaterade objekt. + </para> + <para> + Standard: värdet på <emphasis>cn=subids,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som sökbas för HBAC-relaterade objekt. + </para> + <para> + Standard: använd bas-DN + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_host_search_base (sträng)</term> + <listitem> + <para> + Undanbedes. Använd ldap_host_search_base istället. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_selinux_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som en sökbas för +SELinux-användaröversättningar. + </para> + <para> + Se <quote>ldap_search_base</quote> för information om konfiguration av +multipla sökbaser. + </para> + <para> + Standard: värdet på <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_subdomains_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som en sökbas för betrodda domäner. + </para> + <para> + Se <quote>ldap_search_base</quote> för information om konfiguration av +multipla sökbaser. + </para> + <para> + Standard: värdet på <emphasis>cn=trusts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_master_domain_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som en sökbas för huvuddomänobjekt. + </para> + <para> + Se <quote>ldap_search_base</quote> för information om konfiguration av +multipla sökbaser. + </para> + <para> + Standard: värdet av <emphasis>cn=ad,cn=etc,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_views_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som en sökbas för vybehållare. + </para> + <para> + Se <quote>ldap_search_base</quote> för information om konfiguration av +multipla sökbaser. + </para> + <para> + Standard: värdet av <emphasis>cn=views,cn=accounts,%basedn</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (sträng)</term> + <listitem> + <para> + Namnet på Kerberos-riket. Detta är frivilligt och som standard blir det +värdet av <quote>ipa_domain</quote>. + </para> + <para> + Namnet på Kerberos-riket har en speciell betydelse i IPA – det konverteras +till bas-DN:en för att användas när LDAP-operationer utförs. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_confd_path (sträng)</term> + <listitem> + <para> + Absolut sökväg till en katalog där SSSD skall placera konfigurationsstycken +för Kerberos. + </para> + <para> + För att förhindra att konfigurationsstycken skapas, sätt parametern till +”none”. + </para> + <para> + Standard: inte satt (underkatalogen krb5.include.d till SSSD:s +pubconf-katalog) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_refresh (heltal)</term> + <listitem> + <para> + Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern. +Detta kommer reducera tidsfördröjningen och lasten på IPA-servern om det +görs många begäranden om skrivbordsprofiler under en kort tid. + </para> + <para> + Standard: 5 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_deskprofile_request_interval (heltal)</term> + <listitem> + <para> + Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern ifall +den senaste förfrågan inte returnerade någon regel. + </para> + <para> + Standard: 60 (minuter) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_refresh (heltal)</term> + <listitem> + <para> + Tiden mellan uppslagningar av HBAC-regler mot IPA-servern. Detta kommer +reducera tidsfördröjningen och lasten på IPA-servern om det görs många +begäranden om åtkomstkontroll under en kort tid. + </para> + <para> + Standard: 5 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_hbac_selinux (heltal)</term> + <listitem> + <para> + Tiden mellan uppslagningar av SELinux-översättningar mot IPA-servern. Detta +kommer reducera tidsfördröjningen och lasten på IPA-servern om det görs +många begäranden om användarinloggningar under en kort tid. + </para> + <para> + Standard: 5 (sekunder) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_server_mode (boolean)</term> + <listitem> + <para> + Detta alternativ sätts automatiskt av IPA-installeraren (ipa-server-install) +och markerar om SSSD kör på en IPA-server eller inte. + </para> + <para> + På en IPA-server kommer SSSD slå upp användare och grupper från betrodda +domäner direkt medan på en klient kommer den att fråga en IPA-server. + </para> + <para> + OBS: det finns för närvarande några antaganden som måste uppfyllas när SSSD +kör på en IPA-server. + <itemizedlist> + <listitem> + <para> + Alternativet <quote>ipa_server</quote> måste konfigureras till att peka på +själva IPA-servern. Detta är redan standardvärdet som sätts av +IPA-installeraren, så det behövs inga manuella ändringar. + </para> + </listitem> + <listitem> + <para> + Alternativet <quote>full_name_format</quote> får inte ändras till att bara +skriva korta namn på användare från betrodda domäner. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ipa_automount_location (sträng)</term> + <listitem> + <para> + Automonteringsplatsen denna IPA-klient kommer använda + </para> + <para> + Standard: platsen som heter ”default” + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect2 id='views'> + <title>VYER OCH ÅSIDOSÄTTANDEN</title> + <para> + SSSD kan hantera vyer och åsidosättanden som erbjuds av FreeIPA 4.1 och +senare versioner. Eftersom alla sökvägar och objektklasser är fasta på +serversidan finns det egentligen inget behov av att konfigurera något. För +fullständighets skull är de tillhörande alternativen listade här med sina +standardvärden. <variablelist> + <varlistentry> + <term>ipa_view_class (sträng)</term> + <listitem> + <para> + Objektklass för vybehållaren. + </para> + <para> + Standard: nsContainer + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_view_name (sträng)</term> + <listitem> + <para> + Namn på attributet som har namnet på vyn. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_override_object_class (sträng)</term> + <listitem> + <para> + Objektklass för åsidosättande objekt. + </para> + <para> + Standard: ipaOverrideAnchor + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_anchor_uuid (sträng)</term> + <listitem> + <para> + Namn på attributet som innehåller referensen till originalobjektet i en +fjärrdomän. + </para> + <para> + Standard: ipaAnchorUUID + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_user_override_object_class (sträng)</term> + <listitem> + <para> + Namn på objektklassen för användaråsidosättanden. Det används för att +avgöra om det funna åsidosättande objektet är relaterat till en användare +eller en grupp. + </para> + <para> + Användaråsidosättanden kan innehålla attribut givna av + <itemizedlist> + <listitem> + <para>ldap_user_name</para> + </listitem> + <listitem> + <para>ldap_user_uid_number</para> + </listitem> + <listitem> + <para>ldap_user_gid_number</para> + </listitem> + <listitem> + <para>ldap_user_gecos</para> + </listitem> + <listitem> + <para>ldap_user_home_directory</para> + </listitem> + <listitem> + <para>ldap_user_shell</para> + </listitem> + <listitem> + <para>ldap_user_ssh_public_key</para> + </listitem> + </itemizedlist> + </para> + <para> + Standard: ipaUserOverride + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ipa_group_override_object_class (sträng)</term> + <listitem> + <para> + Namn på objektklassen för gruppåsidosättanden. Det används för att avgöra +om det funna åsidosättandeobjektet är relaterat till en användare eller en +grupp. + </para> + <para> + Gruppåsidosättanden kan innehålla attribut givna av + <itemizedlist> + <listitem> + <para>ldap_group_name</para> + </listitem> + <listitem> + <para>ldap_group_gid_number</para> + </listitem> + </itemizedlist> + </para> + <para> + Standard: ipaGroupOverride + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ipa_modified_defaults.xml" /> + + <refsect1 id='subdomains_provider'> + <title>UNDERDOMÄNSLEVERANTÖR</title> + <para> + IPA-underdomänsleverantören beter sig något annorlunda om den konfigureras +explicit eller implicit. + </para> + <para> + Om alternativet ”subdomains_provider = ipa” finns i domänavsnittet i +sssd.conf konfigureras IPA-underdomänsleverantören explicit, och alla +begäranden av underdomäner skickas till IPA-servern om nödvändigt. + </para> + <para> + Om alternativet ”subdomains_provider” inte är satt i domänavsnittet av +sssd.conf men alternativet ”id_provider = ipa” finns konfigureras +IPA-underdomänsleverantören implicit. I det fallet, om en +underdomänsbegäran misslyckas och indikerar att servern inte stödjer +underdomäner, d.v.s. den är inte konfigurerad för förtroenden, avaktiveras +IPA-underdomänsleverantören. Efter en timma eller efter att +IPA-leverantören blir uppkopplad aktiveras underdomänsleverantören igen. + </para> + </refsect1> + + <refsect1 id='trusted_domains'> + <title>KONFIGURATION AV BETRODDA DOMÄNER</title> + <para> + Några konfigurationflaggor kan även sättas för betrodda domäner. En betrodd +domämns konfiguration kan sättas med den betrodda domänens undersektion som +visas i exemplet nedan. Alternativt kan flaggan +<quote>subdomain_inherit</quote> användas i föräldradomänen. <programlisting> +[domain/ipa.domain.com/ad.domain.com] +ad_server = dc.ad.domain.com +</programlisting> + </para> + <para> + För fler detaljer, se manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Olika konfigurationsalternativ kan ställas in för en betrodd domän beroende +på huruvida man konfigurerar SSSD på en IPA-server eller en IPA-klient. + </para> + <refsect2 id='server_configuration'> + <title>ALTERNATIV ATT STÄLLA IN PÅ IPA-MASTRAR</title> + <para> + Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-master: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_backup_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + <listitem> + <para>ldap_search_base</para> + </listitem> + <listitem> + <para>ldap_user_search_base</para> + </listitem> + <listitem> + <para>ldap_group_search_base</para> + </listitem> + <listitem> + <para>use_fully_qualified_names</para> + </listitem> + </itemizedlist> + </para> + </refsect2> + <refsect2 id='client_configuration'> + <title>ALTERNATIV ATT STÄLLA IN PÅ IPA-KLIENTER</title> + <para> + Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-klient: + <itemizedlist> + <listitem> + <para>ad_server</para> + </listitem> + <listitem> + <para>ad_site</para> + </listitem> + </itemizedlist> + </para> + <para> + Observera att om båda alternativen sätts evalueras endast +<quote>ad_server</quote>. + </para> + <para> + Eftersom alla begäranden om en användar- eller en gruppidentitet från en +betrodd domän startad från en IPA-klient löses upp av IPA-servern, påverkar +alternativen <quote>ad_server</quote> och <quote>ad_site</quote> bara vilken +AD DC autentiseringen kommer utföras emot. I synnerhet kommer adresserna +som löses upp från dessa listor att skrivas till +<quote>kdcinfo</quote>-filer som läses av +Kerberos-lokaliseringsinsticksmodulen. För fler detaljer om +Kerberos-lokaliseringsinsticksmodulen hänvisas till manualsidan +<citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + </refsect2> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att example.com +är en av domänerna i avsnittet <replaceable>[sssd]</replaceable>. Dessa +exempel visar endast alternativ som är specifika för leverantören ipa. + </para> + <para> +<programlisting> +[domain/example.com] +id_provider = ipa +ipa_server = ipaserver.example.com +ipa_hostname = minvärd.example.com +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-kcm.8.xml b/src/man/sv/sssd-kcm.8.xml new file mode 100644 index 0000000..362b8ee --- /dev/null +++ b/src/man/sv/sssd-kcm.8.xml @@ -0,0 +1,290 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-kcm</refentrytitle> + <manvolnum>8</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-kcm</refname> + <refpurpose>SSSD Kerberos cache-hanterare</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av SSSD:s Kerberos +cache-hanterare (KCM). KCM är en process som lagrar, spårar och hanterar +Kerberoskreditiv-cachar. Det kommer från projektet Heimdal Kerberos, fast +biblioteket MIT Kerberos tillhandahåller även stöd för klientsidan (mer +detaljer om det nedan) av KCM-kreditiv-cachen. + </para> + <para> + I en uppsättning där Kerberos cachar hanteras av KCM är Kerberosbiblioteket +(typiskt använt via ett program, som t.ex., <citerefentry> +<refentrytitle>kinit</refentrytitle><manvolnum>1</manvolnum> +</citerefentry>, en <quote>”KCM-klient"</quote> och KCMdemonen refereras +till som en <quote>”KCM-server"</quote>. Klienten och servern kommunicerar +via ett UNIX-uttag. + </para> + <para> + KCM-servern håller reda på ägaren till varje kreditiv-cache och utför +åtkomstkontroller baserat på AID:t och GID:t på KCM-klienten. +Root-användaren har åtkomst till alla kreditiv-cachar. + </para> + <para> + KCM-kreditiv-cachen har flera intressanta egenskaper: + <itemizedlist> + <listitem> + <para> + eftersom processen kör i användarrymden är den föremål för AID-namnrymder, +till skillnad mot kärnans nyckelring + </para> + </listitem> + <listitem> + <para> + till skillnad mot kärnans nyckelringsbaserade cache, som delas mellan alla +behållare, är KCM-servern en separat process vars ingångspunkt är ett +UNIX-uttag + </para> + </listitem> + <listitem> + <para> + SSSD-implementationen sparar ccache:rna i en databas, vanligen placerad i +<replaceable>/var/lib/sss/secrets</replaceable>, vilket gör att ccache:rna +kan överleva att KCM-servern eller hela maskinen startas om. + </para> + </listitem> + </itemizedlist> + Detta gör att systemet kan använda en samlingsmedveten kreditiv-cache, och +ändå dela kreditivcachen mellan några eller inga behållare genom +bindmontering av uttaget. + </para> + <para> + KCM-standardklientens tidsgräns för inaktivitet är 5 minuter, detta ger mer +tid för användarinteraktion med kommandoradsverktyg såsom kinit. + </para> + </refsect1> + + <refsect1 id='usage'> + <title>ATT ANVÄNDA KCM-KREDITIV-CACHEN</title> + <para> + För att använda KCM-kreditiv-cachen måste den väljas som +standardkreditivtypen i <citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. Kreditiv-cachens namn skall bara vara <quote>KCM:</quote> +utan några mallexpansioner. Till exempel: <programlisting> +[libdefaults] + default_ccache_name = KCM: + </programlisting> + </para> + <para> + Se därefter till att Kerberos-klientbiblioteken och KCM-servern är överens +om sökvägen till UNIX-uttaget. Som standard använder båda samma sökväg +<replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable>. För att +konfigurera Kerberos-biblioteket, ändra dess alternativ +<quote>kcm_socket</quote> som beskrivs i manualsidan <citerefentry> +<refentrytitle>krb5.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Se slutligen till att SSSD KCM-servern kan kontaktas. KCM-tjänsten är +normalt uttagsaktiverad av <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry>. Till skillnad mot andra SSSD-tjänster kan den inte startas +genom att lägga till strängen <quote>kcm</quote> till direktivet +<quote>service</quote>. <programlisting> +systemctl start sssd-kcm.socket +systemctl enable sssd-kcm.socket + </programlisting> +Observera att din distribution kanske redan konfigurerar enheterna åt dig. + </para> + </refsect1> + + <refsect1 id='storage'> + <title>KREDITIV-CACHE-LAGRINGEN</title> + <para> + Kreditiv-cachen lagras i en databas, snarlikt hur SSSD cachar användar- +eller grupposter. Databasen finns normalt i +<quote>/var/lib/sss/secrets</quote>. + </para> + </refsect1> + + <refsect1 id='debugging'> + <title>ATT FÅ TAG I FELSÖKNINGSLOGGAR</title> + <para> + Tjänsten sssd-kcm är normalt uttagsaktiverad av <citerefentry> +<refentrytitle>systemd</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry>. För att skapa felsökningsloggar, lägg till följande +antingen direkt till filen <filename>/etc/sssd/sssd.conf</filename> eller +som en konfigurationssnutt till katalogen +<filename>/etc/sssd/conf.d/</filename>: <programlisting> +[kcm] +debug_level = 10 + </programlisting> Starta sedan om tjänsten sssd-kcm: <programlisting> +systemctl restart sssd-kcm.service + </programlisting> Kör slutligen det användningsfall som inte +fungerar. KCM-loggarna kommer skapas i +<filename>/var/log/sssd/sssd_kcm.log</filename>. Det rekommenderas att +avaktivera felsökningsloggarna när man inte längre behöver informationen +aktiverad eftersom tjänsten sssd-kcm kan skapa en ganska stor mängd +felsökningsinformation. + </para> + <para> + Observera att konfigurationssnuttar för närvarande endast behandlas om +huvudkonfigurationsfilen på <filename>/etc/sssd/sssd.conf</filename> över +huvud taget finns. + </para> + </refsect1> + + <refsect1 id='renewals' condition="enable_kcm_renewal"> + <title>FÖRNYELSER</title> + <para> + Tjänsten sssd-kcm kan konfigureras till att försöka göra TGT-förnyelser med +förnybara TGT:er lagrade i KCM-ccachen. Förnyelseförsök görs bara när halva +biljettens livstid har uppnåtts. KCM-förnyelser konfigureras när följande +alternativ sätts i sektionen [kcm]: <programlisting> +tgt_renewal = true +krb5_renew_interval = 60m + </programlisting> + </para> + <para> + SSSD kan även ärva krb5-alternativ för förnyelser från en befintlig domän. + </para> + <programlisting> +tgt_renewal = true +tgt_renewal_inherit = domännamn + </programlisting> + <para> + Följande krb5-alternativ kan konfigureras i sektionen [kcm] för att styra +förnyelsebeteendet, dessa alternativ beskrivs i detalj nedan <programlisting> +krb5_renew_interval +krb5_renewable_lifetime +krb5_lifetime +krb5_validate +krb5_canonicalize +krb5_auth_timeout + </programlisting> + </para> + </refsect1> + + <refsect1 id='options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Tjänsten KCM är konfigurerad i sektionen <quote>kcm</quote> av filen +sssd.conf. Observera att eftersom tjänsten KCM typiskt är uttagsaktiverad är +det tillräckligt att bara starta om tjänsten <quote>sssd-kcm</quote> efter +att ha ändrat flaggorna i sektionen <quote>kcm</quote> av sssd.conf: +<programlisting> +systemctl restart sssd-kcm.service + </programlisting> + </para> + <para> + Tjänsten KCM konfigureras i <quote>kcm</quote> För en detaljeras +syntaxreferens, se avsnittet <quote>FILFORMAT</quote> i manualsidan +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + De allmänna alternativen för tjänsten SSSD såsom <quote>debug_level</quote> +eller <quote>fd_limit</quote> accepteras av tjänsten kcm. Se manualsidan +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för en fullständig lista. Dessutom +finns det några KCM-specifika alternativ också. + </para> + <variablelist> + <varlistentry> + <term>socket_path (sträng)</term> + <listitem> + <para> + Uttaget tjänsten KCM kommer lyssna på. + </para> + <para> + Standard: <replaceable>/var/run/.heim_org.h5l.kcm-socket</replaceable> + </para> + <para> + <phrase condition="have_systemd"> Observera: på plattformar där systemd +stödjs skrivs uttagssökvägen över av den som definieras i enhetsfilen +sssd-kcm.socket. </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccaches (heltal)</term> + <listitem> + <para> + Hur många kreditivcacher KCM-databasen tillåter för alla användare. + </para> + <para> + Standard: 0 (obegränsad, endast kvot per AID upprätthålls) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_uid_ccaches (heltal)</term> + <listitem> + <para> + Hur många kreditiv-cachningar KCM-databasen tillåter per AID. Detta är +ekvivalent med <quote>med hur många huvudmän man kan kinit:a</quote>. + </para> + <para> + Standard: 64 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>max_ccache_size (heltal)</term> + <listitem> + <para> + Hor stor kan en kreditivcach vara per ccache. Varje tjänsteärende räknas in +i denna kvot. + </para> + <para> + Standard: 65536 + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal (bool)</term> + <listitem> + <para> + Aktiverar TGT-förnyelsefunktionalitet. + </para> + <para> + Standard: False (Automatiska förnyelser avaktiverade) + </para> + </listitem> + </varlistentry> + <varlistentry condition="enable_kcm_renewal"> + <term>tgt_renewal_inherit (sträng)</term> + <listitem> + <para> + Domän att ärva krb5_*-alternativ ifrån, att användas med TGT-förnyelser. + </para> + <para> + Standard: NULL + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include condition="enable_kcm_renewal" xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </refsect1> + + <refsect1 id='see_also'> + <title>SE ÄVEN</title> + <para> + <citerefentry> <refentrytitle>sssd</refentrytitle><manvolnum>8</manvolnum> +</citerefentry>, <citerefentry> +<refentrytitle>sssd.conf</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>, + </para> + </refsect1> +</refentry> +</reference> diff --git a/src/man/sv/sssd-krb5.5.xml b/src/man/sv/sssd-krb5.5.xml new file mode 100644 index 0000000..fbd3a4f --- /dev/null +++ b/src/man/sv/sssd-krb5.5.xml @@ -0,0 +1,446 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-krb5</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-krb5</refname> + <refpurpose>SSSD:s Kerberos-leverantör</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av bakänden för Kerberos +5-autentisering för <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. För en detaljerad syntaxreferens, +se avsnittet <quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Kerberos 5-autentiseringsbakänden innehåller auth- och chpass-leverantörer. +Den måste paras ihop med en identitetsleverantör för att fungera korrekt +(till exempel, id_provider = ldap). En del information krävs av Kerberos +5-autentiseringsbakänden måste tillhandahållas av identitetsleverantören, +såsom användarens Kerberos huvudmannanamn (UPN). Konfigurationen av +identitetsleverantören skall ha en post för att ange UPN:en. Se manualsidan +för den tillämpliga identitetsleverantören för detaljer om hur man +konfigurerar detta. + </para> + <para> + Denna bakände tillhandahåller även åtkomstkontroll baserad på filen .k5login +i användarens hemkatalog Se <citerefentry> +<refentrytitle>k5login</refentrytitle><manvolnum>5</manvolnum> +</citerefentry> för mer detaljer. Observera att en tom .k5login-fil kommer +neka all åtkomst till denna användare. För att aktivera denna funktion, +använd ”access_provider = krb5” i din SSSD-konfiguration. + </para> + <para> + I situationer där UPN:en inte är tillgänglig i identitetsbakänden kommer +<command>sssd</command> konstruera en UPN genom att använda formatet +<replaceable>username</replaceable>@<replaceable>krb5_realm</replaceable>. + </para> + + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Om autentiseringsmodulen krb5 används i en SSSD-domän måste följande +alternativ användas. Se manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>, avsnittet <quote>DOMÄNSEKTIONER</quote> för detaljer om +konfigurationen av en SSSD-domän. <variablelist> + <varlistentry> + <term>krb5_server, krb5_backup_server (sträng)</term> + <listitem> + <para> + Anger en kommaseparerad lista av IP-adresser eller värdnamn till +Kerberosservrar till vilka SSSD skall ansluta, i prioritetsordning. För mer +information om reserver och serverredundans se avsnittet +<quote>RESERVER</quote>. Ett frivilligt portnummer (föregånget av ett +kolon) kan läggas till till adresserna eller värdnamnen. Om tomt aktiveras +tjänsteupptäckt; för mer information, se avsnittet +<quote>TJÄNSTEUPPTÄCKT</quote>. + </para> + <para> + När tjänsteupptäckt används för KDC eller kpasswd-servrar söker SSSD först +efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget +hittas. + </para> + <para> + Detta alternativ hade namnet <quote>krb5_kdcip</quote> i tidigare utgåvor av +SSSD. Medan det äldre namnet känns igen tills vidare rekommenderas användare +att migrera sina konfigurationsfiler till att använda +<quote>krb5_server</quote> istället. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (sträng)</term> + <listitem> + <para> + Namnet på Kerberos-riket. Detta alternativ är nödvändigt och måste anges. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kpasswd, krb5_backup_kpasswd (sträng)</term> + <listitem> + <para> + Om tjänsten för att ändra lösenord inte kör på KDC:n kan alternativa servrar +definieras här. Ett frivilligt portnummer (föregått av ett kolon) kan +läggas till efter adresser eller värdnamn. + </para> + <para> + För mer information om reserver och serverredundans se avsnittet +<quote>RESERVER</quote>. OBSERVERA: även om det inte finns några fler +kpasswd-servrar att försöka med byter inte bakänden till att köra +frånkopplat om autentisering mot KDC:n fortfarande är möjligt. + </para> + <para> + Standard: använd KDC:n + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccachedir (sträng)</term> + <listitem> + <para> + Katalog att lagra kreditiv-cachar i. Alla substitutionssekvenserna i +krb5_ccname_template kan användas här också, utom %d och %P. Katalogen +skapas som privat och ägd av användaren, med rättigheterna satta till 0700. + </para> + <para> + Standard: /tmp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_ccname_template (sträng)</term> + <listitem> + <para> + Platsen för användarens kreditiv-cache. Tre typer av kreditiv-cachar stödjs +för närvarande: <quote>FILE</quote>, <quote>DIR</quote> och +<quote>KEYRING:persistent</quote>. Cachen kan anges antingen som +<replaceable>TYP:ÅTERSTOD</replaceable>, eller som en absolut sökväg, vilket +implicerar typen <quote>FILE</quote>. I mallen ersätts följande sekvenser: +<variablelist> + <varlistentry> + <term>%u</term> + <listitem><para>inloggningsnamn</para></listitem> + </varlistentry> + <varlistentry> + <term>%U</term> + <listitem><para>inloggnings-AID</para></listitem> + </varlistentry> + <varlistentry> + <term>%p</term> + <listitem><para>huvudmannanamn</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%r</term> + <listitem><para>namn på rike</para></listitem> + </varlistentry> + <varlistentry> + <term>%h</term> + <listitem><para>hemkatalog</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%d</term> + <listitem><para>värdet på krb5_ccachedir + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%P</term> + <listitem><para>process-ID:t på SSSD-klienten</para> + </listitem> + </varlistentry> + <varlistentry> + <term>%%</term> + <listitem><para>ett bokstavligt ”%”</para> + </listitem> + </varlistentry> + </variablelist> Om mallen slutar med ”XXXXXX” +används mkstemp(3) för att skapa ett unikt filnamn på ett säkert sätt. + </para> + <para> + När KEYRING-typer används är den enda mekanismen som stödjs +<quote>KEYRING:persistent:%U</quote>, vilket använder Linuxkärnans +nyckelring för att lagra kreditiv på per-AID-bas. Detta är också det +rekommenderade valet, eftersom det är den säkraste och mest förutsägbara +metoden. + </para> + <para> + Standardvärdet för namnet på kreditiv-cachen läses från profilen som fil +sparad i den systemtäckande konfigurationsfilen krb5.conf i avsnittet +[libdefaults]. Alternativnamnet är default_ccache_name. Se krb5.conf(5)s +avsnitt PARAMETEREXPANSION för mer information om expansionsformatet som +definieras av krb5.conf. + </para> + <para> + OBSERVERA: var medveten om att ccache-expansionsmallen för libkrb5 från +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> använder andra expansionssekvenser +än SSSD. + </para> + <para> + Standard: (från libkrb5) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_keytab (sträng)</term> + <listitem> + <para> + Platsen där keytab:en som skall användas för validering av kreditiv som tas +emot från KDC:er finns. + </para> + <para> + Standard: Systemets keytab, normalt <filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_store_password_if_offline (boolean)</term> + <listitem> + <para> + Spara lösenordet för användaren om leverantören är frånkopplad och använd +det för att begära en TGT när leverantören blir uppkopplad igen. + </para> + <para> + OBS: denna funktion är endast tillgänglig på Linux. Lösenord som lagras på +detta sätt hålls i klartext i kärnans nyckelring och är potentiellt +åtkomliga för root-användaren (med svårighet). + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_fast (sträng)</term> + <listitem> + <para> + Aktiverar flexibel autentisering via säker tunnling (flexible authentication +secure tunneling, FAST) för Kerberos förautentisering. Följande alternativ +stödjs: + </para> + <para> + <emphasis>never</emphasis> använd aldrig FAST. Detta är ekvivalent med att +inte ställa in detta alternativ alls. + </para> + <para> + <emphasis>try</emphasis> försök använda FAST. Om servern inte stödjer FAST, +fortsätt då autentiseringen utan den. + </para> + <para> + <emphasis>demand</emphasis> kräv användning av FAST. Autentiseringen +misslyckas om servern inte begär fast. + </para> + <para> + Standard: inte satt, d.v.s. FAST används inte. + </para> + <para> + OBSERVERA: en keytab eller stöd för anonym PKINIT krävs för att använda +FAST. + </para> + <para> + OBSERVERA: SSSD stödjer endast FAST med MIT Kerberos version 1.8 och +senare. Om SSSD används med en äldre version av MIT Kerberos är det ett +konfigurationsfel att använda detta alternativ. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_principal (sträng)</term> + <listitem> + <para> + Anger serverhuvudmannen att använda för FAST. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_fast_use_anonymous_pkinit (boolean)</term> + <listitem> + <para> + Om satt till sant, försök använda anonym PKINIT istället för en keytab för +att få de begärda kreditiven för FAST. Alternativet krb5_fast_prinicpal +ignoreras i detta fall. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (boolean)</term> + <listitem> + <para> + Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka +KDC:er som skall användas. Detta alternativ är på som standard, om du +avaktiverar det behöver du konfigurera Kerberos-biblioteket i +konfigurationsfilen <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Se manualsidan <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för mer information om +lokaliseringsinsticksmodulen. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_kdcinfo_lookahead (sträng)</term> + <listitem> + <para> + När krb5_use_kdcinfo är satt till true kan man begränsa mängden servrar som +skickas till <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. Detta kan vara användbart när det +finns för många servrar som upptäcks med hjälp av SRV-poster. + </para> + <para> + Alternativet krb5_kdcinfo_lookahead innehåller två tal separerade av ett +kolon. Det första talet representerar antalet primärservrar som används och +det andra talet anger antalet reservservrar. + </para> + <para> + Till exempel betyder <emphasis>10:0</emphasis> att upp till 10 primärservrar +kommer lämnas till <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> men inga reservservrar. + </para> + <para> + Standard: 3:1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_enterprise_principal (boolean)</term> + <listitem> + <para> + Anger om användarens huvudman skall behandlas som företagshuvudman. Se +avsnitt 5 i RFC 6806 för mer detaljer om företagshuvudmän. + </para> + + <para> + Standard: false (AD-leverantör: true) + </para> + <para> + IPA-leverantören kommer sätta detta alternativ till ”true” om den upptäcker +att servern klarar av att hantera företagshuvudmän och alternativet inte är +uttryckligen satt i konfigurationsfilen. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_subdomain_realm (boolean)</term> + <listitem> + <para> + Anger att använda underdomänriken för autentiseringen av användare från +betrodda domäner. Detta alternativ kan sättas till ”sant” om +företagshuvudmän används med upnSuffixes vilka inte är kända av +föräldradomänens KDC:er. Om alternativet sätts till ”sant” kommer SSSD +försöka skicka begäran direkt till en KDC för den betrodda domänen +användaren kommer ifrån. + </para> + + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_map_user (sträng)</term> + <listitem> + <para> + Listan av mappningar anges som en kommaseparerad lista av par +<quote>användarnamn:primär</quote> där <quote>användarnamn</quote> är ett +UNIX-användarnamn och <quote>primär</quote> är en användardel av en +kerberoshuvudman. Denna mappning används när användaren autentiserar med +<quote>auth_provider = krb5</quote>. + </para> + + <para> + exempel: <programlisting> +krb5_realm = RIKE +krb5_map_user = maria:manvnd,hasse:hans +</programlisting> + </para> + <para> + <quote>maria</quote> och <quote>hasse</quote> är UNIX-användarnamn och +<quote>manvnd</quote> och <quote>hans</quote> är primärer i +kerberoshuvudmän. För användaren <quote>maria</quote> resp. +<quote>hasse</quote> kommer SSSD försöka att göra kinit som +<quote>manvnd@RIKE</quote> resp. <quote>hans@RIKE</quote>. + </para> + + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/krb5_options.xml" /> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerad och att APA är en av +domänerna i avsnittet <replaceable>[sssd]</replaceable>. Detta exempel +visar endast konfigurationen av Kerberosautentisering; det inkluderar inte +någon identitetsleverantör. + </para> + <para> +<programlisting> +[domain/APA] +auth_provider = krb5 +krb5_server = 192.168.1.1 +krb5_realm = EXAMPLE.COM +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-ldap-attributes.5.xml b/src/man/sv/sssd-ldap-attributes.5.xml new file mode 100644 index 0000000..fe7d77e --- /dev/null +++ b/src/man/sv/sssd-ldap-attributes.5.xml @@ -0,0 +1,1179 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap-attributes</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap-attributes</refname> + <refpurpose>SSSD LDAP-leverantör: Avbildningsattribut</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver avbildningsattributen till SSSD LDAP-leverantören +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Se manualsidan <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för fullständiga detaljer om SSSD LDAP-leverantörens +konfigurationsflaggor. + </para> + </refsect1> + + <refsect1 id='mapping-attributes'> + <title>ANVÄNDARATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_user_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en användarpost i LDAP. + </para> + <para> + Standard: posixAccount + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarens inloggningsnamn. + </para> + <para> + Standard: uid (rfc2307, rfc2307bis och IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uid_number (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarens id. + </para> + <para> + Standard: uidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gid_number (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarens primära grupp-id. + </para> + <para> + Standard: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_primary_group (sträng)</term> + <listitem> + <para> + Active Directorys primära gruppattribut för ID-mappning. Observera att +detta attribut skall bara sättas manuellt om du kör +<quote>ldap</quote>-leverantören med ID-mappning. + </para> + <para> + Standard: ej satt (LDAP), primaryGroupID (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_gecos (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarens gecos-fält. + </para> + <para> + Standard: gecos + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_home_directory (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnet på användarens hemkatalog. + </para> + <para> + Standard: homeDirectory (LDAP och IPA), unixHomeDirectory (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shell (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller sökvägen till användarens standardskal. + </para> + <para> + Standard: loginShell + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_uuid (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller UUID/GUID för ett LDAP-användarobjekt. + </para> + <para> + Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID +för IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_objectsid (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller objectSID för ett LDAP-användarobjekt. Detta +är normalt bara nödvändigt för Active Directory-servrar. + </para> + <para> + Standard: objectSid för Active Directory, inte satt för andra servrar. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_modify_timestamp (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av +föräldraobjektet. + </para> + <para> + Standard: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_last_change (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (tidpunkt för senaste lösenordsändring). + </para> + <para> + Standard: shadowLastChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_min (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (minsta lösenordsålder). + </para> + <para> + Standard: shadowMin + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_max (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (största lösenordsålder). + </para> + <para> + Standard: shadowMax + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_warning (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (varningsperiod för lösenord). + </para> + <para> + Standard: shadowWarning + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_inactive (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (inaktivitetsperiod för lösenord). + </para> + <para> + Standard: shadowInactive + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_shadow_expire (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett +LDAP-attribut som utgör dess motsvarighet i <citerefentry> +<refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> (tid då kontot går ut). + </para> + <para> + Standard: shadowExpire + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_last_pwd_change (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet +på ett LDAP-attribut som lagrar dag och tid för senaste lösenordsändring i +kerberos. + </para> + <para> + Standard: krbLastPwdChange + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_krb_password_expiration (sträng)</term> + <listitem> + <para> + När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet +på ett LDAP-attribut som lagrar dag och tid när det nuvarande lösenordet går +ut. + </para> + <para> + Standard: krbPasswordExpiration + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_account_expires (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=ad används innehåller denna parameter namnet +på ett LDAP-attribut som lagrar tidpunkten när kontot går ut. + </para> + <para> + Standard: accountExpires + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_ad_user_account_control (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=ad används innehåller denna parameter namnet +på ett LDAP-attribut som lagrar användarkontots styrbitfält. + </para> + <para> + Standard: userAccountControl + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ns_account_lock (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=rhds eller likvärdigt används avgör denna +parameter om åtkomst skall tillåtas eller inte. + </para> + <para> + Standard: nsAccountLock + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_disabled (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=nds används avgör detta attribut om åtkomst +skall tillåtas eller inte. + </para> + <para> + Standard: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_expiration_time (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=nds används avgör detta attribut till vilket +datum åtkomst tillåts. + </para> + <para> + Standard: loginDisabled + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_nds_login_allowed_time_map (sträng)</term> + <listitem> + <para> + När ldap_account_expire_policy=nds används avgör detta attribut vilka timmar +på dagen i en vecka åtkomst tillåts. + </para> + <para> + Standard: loginAllowedTimeMap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_principal (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller användarens användarhuvudmansnamn i Kerberos +(UPN). + </para> + <para> + Standard: krbPrincipalName + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_extra_attrs (sträng)</term> + <listitem> + <para> + Kommaseparerad lista av LDAP-attribut som SSSD skall hämta tillsammans med +den vanliga uppsättningen av användarattribut. + </para> + <para> + Listan kan antingen innehålla endast LDAP-attributnamn, eller +kolonseparerade tupler av SSSD-cacheattribut och LDAP-attributnamn. Ifall +endast LDAP-attributnamn anges sparas attributet i cachen ordagrant. Att +använda ett anpassat SSSD-attributnamn kan vara nödvändigt i miljöer som +konfigurerar flera SSSD-domäner med olika LDAP-scheman. + </para> + <para> + Observera att flera attributnamn är reserverade av SSSD, speciellt +attributet <quote>name</quote>. SSSD rapporterar ett fel om något av de +reserverade attributnamnen används som ett extra attributnamn. + </para> + <para> + Exempel: + </para> + <para> + ldap_user_extra_attrs = telephoneNumber + </para> + <para> + Spara attributet <quote>telephoneNumber</quote> från LDAP som +<quote>telephoneNumber</quote> i cachen. + </para> + <para> + ldap_user_extra_attrs = phone:telephoneNumber + </para> + <para> + Spara attributet <quote>telephoneNumber</quote> från LDAP som +<quote>phone</quote> i cachen. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_user_ssh_public_key (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller användarens publika SSH-nycklar. + </para> + <para> + Standard: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_fullname (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarens fullständiga namn. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_member_of (sträng)</term> + <listitem> + <para> + LDAP-attributet som räknar upp användarens gruppmedlemskap. + </para> + <para> + Standard: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_service (sträng)</term> + <listitem> + <para> + Om access_provider=ldap och ldap_access_order=authorized_service kommer SSSD +använda förekomsten av attributet authorizedService i användarens LDAP-post +för att avgöra åtkomstprivilegier. + </para> + <para> + Ett explicit nekande (!svc) avgörs först. Därefter söker SSSD efter +explicit tillåtelse (svc) och slutligen efter allow_all (*). + </para> + <para> + Observera att konfigurationsalternativet ldap_access_order +<emphasis>måste</emphasis> innehålla <quote>authorized_service</quote> för +att alternativet ldap_user_authorized_service skall fungera. + </para> + <para> + Några distributioner (såsom Fedora-29+ eller RHEL-8) inkluderar alltid +PAM-tjänsten <quote>systemd-user</quote> som en del av +inloggningsprocessen. Därför kan när tjänstebaserad åtkomstkontroll används +tjänsten <quote>systemd-user</quote> behöva läggas till till listan av +tillåtna tjänster. + </para> + <para> + Standard: authorizedService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_host (sträng)</term> + <listitem> + <para> + Om access_provider=ldap och ldap_access_order=host kommer SSSD använda +förekomsten av attributet host i användarens LDAP-post för att avgöra +åtkomstprivilegier. + </para> + <para> + Ett explicit nekande (!host) avgörs först. Därefter söker SSSD efter +explicit tillåtelse (host) och slutligen efter allow_all (*). + </para> + <para> + Observera att konfigurationsalternativet ldap_access_order +<emphasis>måste</emphasis> innehålla <quote>host</quote> för att +alternativet ldap_user_authorized_host skall fungera. + </para> + <para> + Standard: host + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_authorized_rhost (sträng)</term> + <listitem> + <para> + Om access_provider=ldap och ldap_access_order=rhost kommer SSSD använda +förekomsten av attributet rhost i användarens LDAP-post för att avgöra +åtkomstprivilegier. Liknande värdverifieringsprocessen. + </para> + <para> + Ett explicit nekande (!rhost) avgörs först. Därefter söker SSSD efter +explicit tillåtelse (rhost) och slutligen efter allow_all (*). + </para> + <para> + Observera att konfigurationsalternativet ldap_access_order +<emphasis>måste</emphasis> innehålla <quote>rhost</quote> för att +alternativet ldap_user_authorized_rhost skall fungera. + </para> + <para> + Standard: rhost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_certificate (sträng)</term> + <listitem> + <para> + Namnet på LDAP-attributet som innehåller användarens X509-certifikat. + </para> + <para> + Standard: userCertificate;binary + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_user_email (sträng)</term> + <listitem> + <para> + Namnet på LDAP-attributet som innehåller användarens e-postadress. + </para> + <para> + Observera: om en e-postadress för användaren står i konflikt med en +e-postadress eller fullt kvalificerat namn för en annan användare, då kommer +SSSD inte kunna serva dessa användare ordentligt. Om flera användare av +något skäl behöver dela samma e-postadress, sätt då detta attributnamn till +ett som inte finns för att avaktivera uppslagning/inloggning av användare +via e-post. + </para> + <para> + Standard: mail + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>ldap_user_passkey (string)</term> + <listitem> + <para> + Name of the LDAP attribute containing the passkey mapping data of the user. + </para> + <para> + Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='group-attributes'> + <title>GRUPPATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_group_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en gruppost i LDAP. + </para> + <para> + Standard: posixGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_name (sträng)</term> + <listitem> + <para> + The LDAP attribute that corresponds to the group name. In an environment +with nested groups, this value must be an LDAP attribute which has a unique +name for every group. This requirement includes non-POSIX groups in the tree +of nested groups. + </para> + <para> + Standard: cn (rfc2307, rfc2307bis och IPA), sAMAccountName (AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_gid_number (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar gruppens id. + </para> + <para> + Standard: gidNumber + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_member (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnen på gruppens medlemmar. + </para> + <para> + Standard: memberuid (rfc2307) / member (rfc2307bis) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_uuid (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller UUID/GUID för ett LDAP-gruppobjekt. + </para> + <para> + Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID +för IPA + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_objectsid (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller objectSID för ett LDAP-gruppobjekt. Detta är +normalt bara nödvändigt för Active Directory-servrar. + </para> + <para> + Standard: objectSid för Active Directory, inte satt för andra servrar. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_modify_timestamp (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av +föräldraobjektet. + </para> + <para> + Standard: modifyTimestamp + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_type (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller ett heltalsvärde som indikerar grupptypen och +kanske andra flaggor. + </para> + <para> + Detta attribut används för närvarande bara av AD-leverantören för att avgöra +om en grupp är en domänlokal grupp och behöver filtreras bort för betrodda +domäner. + </para> + <para> + Standard: groupType i AD-leverantören, inte satt annars + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_external_member (sträng)</term> + <listitem> + <para> + LDAP-attributet som refererar gruppmedlemmar som är definierade i en extern +domän. För närvarande stödjs endast IPA:s externa medlemmar. + </para> + <para> + Standard: ipaExternalMember i IPA-leverantören, inte satt annars. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='netgroup-attributes'> + <title>NÄTGRUPPSATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_netgroup_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en nätgruppspost i LDAP. + </para> + <para> + I IPA-leverantören skall ipa_netgroup_object_class användas istället. + </para> + <para> + Standard: nisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar nätgruppnamnet. + </para> + <para> + I IPA-leverantören skall ipa_netgroup_name användas istället. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_member (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnen på nätgruppens medlemmar. + </para> + <para> + I IPA-leverantören skall ipa_netgroup_member användas istället. + </para> + <para> + Standard: memberNisNetgroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_triple (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller nätgrupptrippeln (värd, användare, domän). + </para> + <para> + Detta alternativ är inte tillgängligt i IPA-leverantören. + </para> + <para> + Standard: nisNetgroupTriple + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_netgroup_modify_timestamp (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av +föräldraobjektet. + </para> + <para> + Detta alternativ är inte tillgängligt i IPA-leverantören. + </para> + <para> + Standard: modifyTimestamp + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='host-attributes'> + <title>VÄRDATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_host_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en värdpost i LDAP. + </para> + <para> + Standard: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar värdens namn. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_fqdn (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar värdens fullständigt kvalificerade domännamn. + </para> + <para> + Standard: fqdn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_serverhostname (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar värdens namn. + </para> + <para> + Standard: serverHostname + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_member_of (sträng)</term> + <listitem> + <para> + LDAP-attributet som räknar upp värdens gruppmedlemskap. + </para> + <para> + Standard: memberOf + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>ldap_host_ssh_public_key (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller värdens publika SSH-nycklar. + </para> + <para> + Standard: sshPublicKey + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_uuid (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller UUID/GUID för ett LDAP-värdobjekt. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='service-attributes'> + <title>TJÄNSTEATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_service_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en servicepost i LDAP. + </para> + <para> + Standard: ipService + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnet på tjänsteattribut och deras alias. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_port (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller porten som hanteras av denna tjänst. + </para> + <para> + Standard: ipServicePort + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_proto (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller protokollen som denna tjänst förstår. + </para> + <para> + Standard: ipServiceProtocol + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-attributes'> + <title>SUDO-ATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_sudorule_object_class (sträng)</term> + <listitem> + <para> + Objektklassen hos en sudo-regelpost i LDAP. + </para> + <para> + Standard: sudoRole + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar sudo-regelnamnet. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_command (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar kommandonamnet. + </para> + <para> + Standard: sudoCommand + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_host (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar värdnamnet (eller värdens IP-adress, värdens +IP-nätverk eller värdens nätgrupp) + </para> + <para> + Standard: sudoHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_user (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarnamnet (eller AID, gruppnamnet eller +användarens nätgrupp) + </para> + <para> + Standard: sudoUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_option (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar sudo-alternativen. + </para> + <para> + Standard: sudoOption + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasuser (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar användarnamnet som kommandon får köras som. + </para> + <para> + Standard: sudoRunAsUser + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_runasgroup (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar gruppnamnet eller grupp-GID:t som kommandon +får köras som. + </para> + <para> + Standard: sudoRunAsGroup + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notbefore (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar startdagen/-tiden då sudo-regeln är giltig. + </para> + <para> + Standard: sudoNotBefore + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_notafter (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar utgångsdagen/-tiden då sudo-regeln inte längre +är giltig. + </para> + <para> + Standard: sudoNotAfter + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudorule_order (sträng)</term> + <listitem> + <para> + LDAP-attributet som motsvarar ordningsindexet för regeln. + </para> + <para> + Standard: sudoOrder + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='autofs-attributes'> + <title>AUTOFS-ATTRIBUT</title> + <para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + </refsect1> + + <refsect1 id='iphost-attributes'> + <title>IP-VÄRDATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_iphost_object_class (sträng)</term> + <listitem> + <para> + Objektklassen för en iphost-post i LDAP. + </para> + <para> + Standard: ipHost + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnet på IP-värdattributen och deras alias. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_number (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller IP-värdadressen. + </para> + <para> + Standard: ipHostNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <refsect1 id='ipnetwork-attributes'> + <title>IP-NÄTVERKSATTRIBUT</title> + <para> + <variablelist> + <varlistentry> + <term>ldap_ipnetwork_object_class (sträng)</term> + <listitem> + <para> + Objektklassen för en ipnetwork-post i LDAP. + </para> + <para> + Standard: ipNetwork + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_name (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller namnet på IP-nätverksattributen och deras +alias. + </para> + <para> + Standard: cn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_number (sträng)</term> + <listitem> + <para> + LDAP-attributet som innehåller IP-nätverksadressen. + </para> + <para> + Standard: ipNetworkNumber + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-ldap.5.xml b/src/man/sv/sssd-ldap.5.xml new file mode 100644 index 0000000..c545327 --- /dev/null +++ b/src/man/sv/sssd-ldap.5.xml @@ -0,0 +1,1748 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-ldap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-ldap</refname> + <refpurpose>SSSD LDAP-leverantör</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av LDAP-domäner för +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. Se avsnittet <quote>FILFORMAT</quote> av manualsidan +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för detaljerad syntaxinformation.</para> + <para> + Du kan konfigurera SSSD för att använda mer än en LDAP-domän. + </para> + <para> + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. <command>sssd</command> <emphasis>does not</emphasis> support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to <quote>ldap_access_filter</quote> config option +for more information about using LDAP as an access provider. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Alla de vanliga konfigurationsflaggorna som gäller för SSSD-domäner gäller +även för LDAP-domäner. Se avsnittet <quote>DOMÄNSEKTIONER</quote> i +manualsidan <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för fullständiga +detaljer. Observera att SSSD LDAP-avbildningsattribut beskrivs i manualsidan +<citerefentry> <refentrytitle>sssd-ldap-attributes</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. <variablelist> + <varlistentry> + <term>ldap_uri, ldap_backup_uri (sträng)</term> + <listitem> + <para> + Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD +skall ansluta i prioritetsordning. Se avsnittet <quote>RESERVER</quote> för +mer information om reserver och serverredundans. Om ingendera alternativ är +angivet kommer tjänsteupptäckt användas. För mer information, se avsnittet +<quote>TJÄNSTEUPPTÄCKT</quote>. + </para> + <para> + Formatet på URI:n måste stämma med formatet som definieras i RFC 2732: + </para> + <para> + ldap[s]://<värd>[:port] + </para> + <para> + För explicita IPv6-adresser måste <host> vara omslutet av +hakparenteser [] + </para> + <para> + exempel: ldap://[fc00::126:25]:389 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_uri, ldap_chpass_backup_uri (sträng)</term> + <listitem> + <para> + Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD +skall ansluta i prioritetsordning för att ändra lösenordet för en +användare. Se avsnittet <quote>RESERVER</quote> för mer information om +reserver och serverredundans. + </para> + <para> + För att aktivera tjänsteuppslagning måste ldap_chpass_dns_service_name vara +satt. + </para> + <para> + Standard: tomt, d.v.s. ldap_uri används. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_search_base (sträng)</term> + <listitem> + <para> + Standard bas-DN att använda för att utföra LDAP-användaroperationer. + </para> + <para> + Med början med SSSD 1.7.0 stödjer SSSD flera sökbaser genom att använda +syntaxen: + </para> + <para> + sökbas[?räckvidd?[filter][?sökbas?räckvidd?[filter]]*] + </para> + <para> + Räckvidden kan vara en av ”base”, ”onelevel” eller ”subtree”. + </para> + <para> + Filtret måste vara ett korrekt LDAP-sökfilter som specificerat i +http://www.ietf.org/rfc/rfc2254.txt + </para> + <para> + Exempel: + </para> + <para> + ldap_search_base = dc=example,dc=com (vilket är ekvivalent med) +ldap_search_base = dc=example,dc=com?subtree? + </para> + <para> + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + </para> + <para> + Observera: det stödjs inte att ha flera sökbaser som refererar identiskt +namngivna objekt (till exempel, grupper med samma namn i två olika +sökbaser). Detta kommer medföra oförutsägbart beteende på klientmaskinerna. + </para> + <para> + Standard: om inte satt används värdet från attributet defaultNamingContext +eller namingContexts från RootDSE:n hos LDAP-servern. Om +defaultNamingContext inte finns eller har ett tomt värde används +namingContexts. Attributet namingContexts måste ha ett ensamt värde med +DN:n hos sökbasen hos LDAP-servern för att detta skall fungera. Flera +värden stödjs inte. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_schema (sträng)</term> + <listitem> + <para> + Anger schematypen som används på mål-LDAP-servern. Beroende på det valda +schemat kan standardattributnamnen som hämtas från servrarna variera. +Sättet som en del attribut hanteras kan också skilja. + </para> + <para> + Fyra schematyper stödjs för närvarande: + <itemizedlist> + <listitem> + <para> + rfc2307 + </para> + </listitem> + <listitem> + <para> + rfc2307bis + </para> + </listitem> + <listitem> + <para> + IPA + </para> + </listitem> + <listitem> + <para> + AD + </para> + </listitem> + </itemizedlist> + </para> + <para> + Den huvudsakliga skillnaden mellan dessa schematyper är hur gruppmedlemskap +lagras i servern. Med rfc2307 listas gruppmedlemskap med namn i attributet +<emphasis>memberUid</emphasis>. Med rfc2307bis och IPA listas +gruppmedlemskap av DN och lagras i attributet <emphasis>member</emphasis>. +AD-schematypen sätter attributen till att motsvara Active Directory +2008r2-värden. + </para> + <para> + Standard: rfc2307 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwmodify_mode (sträng)</term> + <listitem> + <para> + Ange operationen som används för att ändra användarens lösenord. + </para> + <para> + Två lägen stödjs för närvarande: + <itemizedlist> + <listitem> + <para> + exop - Password Modify Extended Operation (RFC 3062) + </para> + </listitem> + <listitem> + <para> + ldap_modify - Direkt ändring av userPassword (rekommenderas inte). + </para> + </listitem> + </itemizedlist> + </para> + <para> + Obs: först etableras en ny förbindelse för att verifiera det aktuella +lösenordet genom att binda som användaren som begärde lösenordsändringen. Om +det lyckas används denna förbindelse för att ändra lösenordet och därför +måste användaren ha skrivrätt på attributet userPassword. + </para> + <para> + Standard: exop + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_bind_dn (sträng)</term> + <listitem> + <para> + Standardbindnings-DN att använda för att utföra LDAP-operationer. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok_type (sträng)</term> + <listitem> + <para> + Typen på autentiseringstecknet hos standardbindnings-DN. + </para> + <para> + De två mekanismerna som stödjs för närvarande är: + </para> + <para> + password + </para> + <para> + obfuscated_password + </para> + <para> + Standard: password + </para> + <para> + Se manualsidan <citerefentry> <refentrytitle>sss_obvuscate</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för mer information. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_default_authtok (sträng)</term> + <listitem> + <para> + Autentiseringstecknet hos standardbindnings-DN. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_force_upper_case_realm (boolean)</term> + <listitem> + <para> + Några katalogservrar, till exempel Active Directory, kan leverera delen rike +av UPN:en i gemener, vilket kan få autentiseringen att misslyckas. Sätt +detta alternativ till ett värde skilt från noll ifall du vill använda ett +rike i versaler. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_refresh_timeout (heltal)</term> + <listitem> + <para> + Anger hur många sekunder SSSD måste vänta före den uppdaterar sin cache av +uppräknade poster. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 300 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_purge_cache_timeout (heltal)</term> + <listitem> + <para> + Bestäm hur ofta cachen skall kontrolleras för inaktiva poster (såsom grupper +utan medlemmar och användare som aldrig har loggat in) och ta bort dem för +att spara utrymme. + </para> + <para> + Att sätta detta alternativ till noll kommer avaktivera rensningsoperationen +för cachen. Observera att om uppräkning är aktiverat krävs rensningsjobbet +för att upptäcka poster som tas bort från servern och inte kan +avaktiveras. Som standard kör rensningsjobbet var 3:e timma när uppräkning +är aktiverat. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 0 (avaktiverat) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_group_nesting_level (heltal)</term> + <listitem> + <para> + Om ldap_schema är satt till ett schemaformat som stödjer nästade grupper +(t.ex. RFC2307bis), då styr detta alternativ hur många nivåer av nästning +SSSD kommer följa. Detta alternativ har ingen effekt på schemat RFC2307. + </para> + <para> + Obs: detta alternativ anger den garanterade nivån av nästade grupper som +skall bearbetas för en godtycklig uppslagning. Dock +<emphasis>kan</emphasis> nästade grupper utöver denna gräns returneras om +tidigare uppslagningar redan har slagit upp de djupare nästningsnivåerna. +Följande uppslagningar för andra grupper kan också utöka resultatmängden för +den ursprungliga uppslagningen om den slås upp igen. + </para> + <para> + Om ldap_group_nesting_level sätts till 0 bearbetas inga nästade grupper +alls. Dock krävs det dessutom att användningen av Token-Groups avaktiveras +vid anslutning till Active-Directory Server 2008 och senare vid användning +av <quote>id_provider=ad</quote> genom att sätta ldap_use_tokengroups till +false för att begränsa gruppnästning. + </para> + <para> + Standard: 2 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_use_tokengroups</term> + <listitem> + <para> + Detta alternativ aktiverar eller avaktiverar användningen av attributet +Token-Groups när initgroup utförs för användare från Active Directory Server +2008 och senare. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: true för AD och IPA annars false. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_host_search_base (sträng)</term> + <listitem> + <para> + Frivillig. Använd den givna strängen som en sökbas för värdobjekt. + </para> + <para> + Se <quote>ldap_search_base</quote> för information om konfiguration av +multipla sökbaser. + </para> + <para> + Standard: värdet på <emphasis>ldap_search_base</emphasis> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_service_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_iphost_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_ipnetwork_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_search_timeout (heltal)</term> + <listitem> + <para> + Anger tiden (i sekunder) som ldap-sökningar tillåts köra före de annulleras +och cachade resultat returneras (och går in i frånkopplat läge) + </para> + <para> + Obs: detta alternativ kan komma att ändras i framtida versioner av SSSD. Det +kommer sannolikt ersättas vid någon tidpunkt med en serie tidsgränser för +specifika uppslagningstyper. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_enumeration_search_timeout (heltal)</term> + <listitem> + <para> + Anger tiden (i sekunder) som ldap-sökningar för användar- och +gruppuppräkningar tillåts köra före de annulleras och cachade resultat +returneras (och går in i frånkopplat läge) + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 60 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_network_timeout (heltal)</term> + <listitem> + <para> + Anger tidsgränsen (i sekunder) efter vilken <citerefentry> +<refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> +<manvolnum>2</manvolnum> </citerefentry> som följer efter en <citerefentry> +<refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> +</citerefentry> returnerar om inget händer. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_opt_timeout (heltal)</term> + <listitem> + <para> + Anger en tid (i sekunder) efter vilken anrop till synkrona LDAP API:er +kommer avbrytas om det inte kommer något svar. Styr även tidsgränsen vid +kommunikation med KDC:n i fallet SASL-bindningar, tidsgränsen för en +LDAP-bindningsoperation, utökad operation för lösenordsändring och +StartTLS-operationen. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_timeout (heltal)</term> + <listitem> + <para> + Anger en tidsgräns (i sekunder) som en förbindelse med en LDAP-server kommer +underhållas. Efter den tiden kommer förbindelsen återetableras. Om den +används parallellt med SASL/GSSAPI kommer det tidigare av de två värdena +(detta värde eller TGT-livslängden) användas. + </para> + <para> + Om anslutningen är inaktiv (inte aktivt kör en åtgärd) under +<emphasis>ldap_opt_timeout</emphasis> sekunders utgångstid, då kommer den +att stängas i förväg för att säkerställa att en ny begäran inte kan kräva +att förbindelsen skall hållas öppen utöver dess utgångstid. Detta implicerar +att anslutningar alltid kommer stängas omedelbart och aldrig kommer +återanvändas om <emphasis>ldap_connection_expire_timoute ≤ +ldap_opt_timeout</emphasis> + </para> + <para> + Tidsgränsen kan utökas med ett slumpvärde angivet av +<emphasis>ldap_connection_expire_offset</emphasis> + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 900 (15 minuter) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_expire_offset (heltal)</term> + <listitem> + <para> + En slumptillägg mellan 0 och ett konfigurerat värde läggs till +till<emphasis>ldap_connection_expire_timeout</emphasis>. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 0 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_connection_idle_timeout (heltal)</term> + <listitem> + <para> + Anger en tidsgräns (i sekunder) som en inaktiv förbindelse med en +LDAP-server kommer underhållas. Om anslutningen är inaktiv längre än denna +tid kommer förbindelsen att stängas. + </para> + <para> + Man kan avaktivera denna tidsgräns genom att sätta värdet till 0. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 900 (15 minuter) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_page_size (heltal)</term> + <listitem> + <para> + Ange antalet poster som skall hämtas från LDAP i en enskild begäran. Några +LDAP-servrar framtvingar en maximal gräns per begäran. + </para> + <para> + Standard: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_paging (boolean)</term> + <listitem> + <para> + Avaktivera flödesstyrningen (paging) av LDAP. Detta alternativ bör användas +om LDAP-servern rapporterar att den stödjer LDAP-flödesstyrning i sin +RootDSE men det inte är aktiverat eller inte fungerar som det skall. + </para> + <para> + Exempel: OpenLDAP-servrar med flödesstyrningsmodulen installerad på servern +men inte aktiverad kommer rapportera det i RootDSE:n men inte kunna använda +den. + </para> + <para> + Exempel: 389 DS har ett fel där den endast kan stödja en flödesstyrning åt +gången på en enskild förbindelse. På aktiva klienter kan detta resultera i +att några begäranden nekas. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_disable_range_retrieval (boolean)</term> + <listitem> + <para> + Avaktivera Active Directory intervallhämtning. + </para> + <para> + Active Directory begränsar antalet medlemmar som kan hämtas i en enskild +uppslagning med policyn MaxValRange (vilket som standard är 1500 +medlemmar). Om en grupp innehåller fler medlemmar skulle svaret innehålla en +AD-specifik intervallutökning. Detta alternativ avaktiverar tolkning av +intervallutökningar, därför kommer stora grupper förefalla inte ha några +medlemmar. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_minssf (heltal)</term> + <listitem> + <para> + Vid kommunikation med en LDAP-server med SASL, ange den minsta +säkerhetsnivån som är nödvändig för att etablera förbindelsen. Värdet på +detta alternativ är definierat av OpenLDAP. + </para> + <para> + Standard: använd systemstandard (vanligen angivet i ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_maxssf (heltal)</term> + <listitem> + <para> + Vid kommunikation med en LDAP-server med SASL, ange den masimala +säkerhetsnivån som är nödvändig för att etablera förbindelsen. Värdet på +detta alternativ är definierat av OpenLDAP. + </para> + <para> + Standard: använd systemstandard (vanligen angivet i ldap.conf) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref_threshold (heltal)</term> + <listitem> + <para> + Ange antalet gruppmedlemmar som måste saknas i den interna cachen för att +orsaka en derefereringsuppslagning. Om färre medlemmar saknas slås de upp +individuellt. + </para> + <para> + Du kan slå av derefereringsuppslagningar helt genom att sätta värdet till +0. Observera att det finns några kodvägar i SSSD, som IPA HBAC-leverantören, +som endast är implementerade med derefereringsanropet, så att även med +dereferens uttryckligen avaktiverat kommer dessa delar ändå använda +dereferenser om servern stödjer det och annonserar derefereringsstyrning i +rootDSE-objektet. + </para> + <para> + En derefereringsuppslagning är ett sätt att hämta alla gruppmedlemmar i ett +enda LDAP-anrop. Olika LDAP-servrar kan implementera olika +derefereringsmetoder. De servrar som stödjs för närvarande är 389/RHDS, +OpenLDAP och Active Directory. + </para> + <para> + <emphasis>Obs:</emphasis> om någon av sökbaserna anger ett sökfilter, då +kommer prestandaförbättringen med derefereringsuppslagningar avaktiveras +oavsett denna inställning. + </para> + <para> + Standard: 10 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_ignore_unreadable_references (bool)</term> + <listitem> + <para> + Ignorera oläsbara LDAP-poster refererade i gruppens medlemsattribut. Om +denna parameter sätts till falskt kommer ett fel returneras och åtgärden +misslyckas istället för att den oläsbara posten bara ignoreras. + </para> + <para> + Denna parameter kan vara användbar när man använder AD-leverantören och +datorkontot som sssd använder för att ansluta till AD inte har tillgång till +en viss post eller ett visst LDAP-underträd av säkerhetsskäl. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_reqcert (sträng)</term> + <listitem> + <para> + Anger vilka kontroller som utförs av servercertifikat i en TLS-session, om +några. Det kan anges som ett av följande värden: + </para> + <para> + <emphasis>never</emphasis> = Klienten kommer inte begära eller kontrollera +några servercertifikat. + </para> + <para> + <emphasis>allow</emphasis> = Servercertifikatet begärs. Om inget certifikat +tillhandahålls fortsätter sessionen normalt. Om ett felaktigt certifikat +tillhandahålls kommer det ignoreras och sessionen fortsätta normalt. + </para> + <para> + <emphasis>try</emphasis> = Servercertifikatet begärs. Om inget certifikat +tillhandahålls fortsätter sessionen normalt. Om ett felaktigt certifikat +tillhandahålls avslutas sessionen omedelbart. + </para> + <para> + <emphasis>demand</emphasis> = Servercertifikatet begärs. Om inget certifikat +tillhandahålls eller ett felaktigt certifikat tillhandahålls avslutas +sessionen omedelbart. + </para> + <para> + <emphasis>hard</emphasis> = Samma som <quote>demand</quote> + </para> + <para> + Standard: hard + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacert (sträng)</term> + <listitem> + <para> + Anger filen som innehåller certifikat för alla Certifikatauktoriteterna som +<command>sssd</command> kommer godkänna. + </para> + <para> + Standard: använd standardvärden för OpenLDAP, typiskt i +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cacertdir (sträng)</term> + <listitem> + <para> + Anger sökvägen till en katalog som innehåller certifikat för +Certifikatauktoriteter i individuella filer. Typiskt måste filnamnen vara +kontrollsummor av certifikaten följda av ”.0”. Om det är tillgängligt kan +<command>cacertdir_rehash</command> användas för att skapa de korrekta +namnen. + </para> + <para> + Standard: använd standardvärden för OpenLDAP, typiskt i +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cert (sträng)</term> + <listitem> + <para> + Anger filen som innehåller certifikatet för klientens nyckel. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_key (sträng)</term> + <listitem> + <para> + Anger filen som innehåller klientens nyckel. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_tls_cipher_suite (sträng)</term> + <listitem> + <para> + Anger acceptabla chiffersviter. Typiskt är detta en kolonseparerad lista. +Se <citerefentry><refentrytitle>ldap.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för formatet. + </para> + <para> + Standard: använd standardvärden för OpenLDAP, typiskt i +<filename>/etc/openldap/ldap.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_use_start_tls (boolean)</term> + <listitem> + <para> + Specifies that the id_provider connection must also use <systemitem +class="protocol">tls</systemitem> to protect the channel. +<emphasis>true</emphasis> is strongly recommended for security reasons. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_id_mapping (boolean)</term> + <listitem> + <para> + Anger att SSSD skall försöka översätta användar- och grupp-ID:n från +attributen ldap_user_objectsid och ldap_group_objectsid istället för att +förlita sig på ldap_user_uid_number och ldap_group_gid_number. + </para> + <para> + För närvarande stödjer denna funktion endast ActiveDirectory objectSID. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_min_id, ldap_max_id (heltal)</term> + <listitem> + <para> + I kontrast mot den SID-baserade ID-översättningen som används om +ldap_id_mapping är satt till sant är det tillåtna ID-intervallet för +ldap_user_uid_number och ldap_group_gid_number obegränsat. I en uppsättning +med underdomäner/betrodda domäner kan detta leda till ID-kollisioner. För +att undvika kollisioner kan ldap_min_id och ldap_max_id sättas till att +begränsa det tillåtna intervallet för ID:na som läses direkt från +servern. Underdomäner kan sedan välja andra intervall för att översätta +ID:n. + </para> + <para> + Standard: inte satt (båda alternativen är satta till 0) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_mech (sträng)</term> + <listitem> + <para> + Ange SASL-mekanismen att använda. För närvarande testas och stödjs endast +GSSAPI och GSS-SPNEGO. + </para> + <para> + Om bakänden stödjer underdomäner ärvs automatiskt värdet av ldap_sasl_mech +till underdomänerna. Om ett annat värde behövs för en underdomän kan det +skrivas över genom att sätta ldap_sasl_mech för denna underdomän explicit. +Se avsnittet SEKTIONEN BETRODDA DOMÄNER i +<citerefentry><refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för detaljer. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_authid (sträng)</term> + <listitem> + <para> + Ange SASL-auktoriserings-id:t att använda. När GSSAPI/GSS-SPNEGO används +representerar detta Kerberos-huvudmannen som används för autentisering till +katalogen. Detta alternativ kan antingen innehålla den fullständiga +huvudmannen (till exempel host/minvärd@EXAMPLE.COM) eller bara +huvudmannanamnet (till exempel host/minvärd). Som standard är värdet inte +satt och följande huvudmän används: <programlisting> +värdnamn@RIKE +netbiosnamn$@RIKE +host/värdnamn@RIKE +*$@RIKE +host/*@RIKE +host/* + </programlisting> Om ingen av dem kan hittas returneras den första huvudmannen i +keytab. + </para> + <para> + Standard: host/värdnamn@RIKE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_realm (sträng)</term> + <listitem> + <para> + Ange SASL-riket att använda. När det inte anges får detta alternativ +standardvärdet från krb5_realm. Om ldap_sasl_authid också innehåller riket +ignoreras detta alternativ. + </para> + <para> + Standard: värdet på krb5_realm. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sasl_canonicalize (boolean)</term> + <listitem> + <para> + Om satt till sant kommer LDAP-biblioteket utföra en omvänd uppslagning för +att ta fram värdnamnets kanoniska form under en SASL-bindning. + </para> + <para> + Standard: false; + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_keytab (sträng)</term> + <listitem> + <para> + Ange den keytab som skall användas vid användning av SASL/GSSAPI/GSS-SPNEGO. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: Systemets keytab, normalt <filename>/etc/krb5.keytab</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_init_creds (boolean)</term> + <listitem> + <para> + Anger att id-leverantören skall initiera Kerberoskreditiv (TGT). Denna +åtgärd utförs endast om SASL används och den valda mekanismen är GSSAPI +eller GSS-SPNEGO. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_krb5_ticket_lifetime (heltal)</term> + <listitem> + <para> + Anger livslängden i sekunder på TGT:n om GSSAPI eller GSS-SPNEGO används. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: 86400 (24 timmar) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_server, krb5_backup_server (sträng)</term> + <listitem> + <para> + Anger en kommaseparerad lista av IP-adresser eller värdnamn till +Kerberosservrar till vilka SSSD skall ansluta i prioritetsordning. För mer +information om reserver och serverredundans se avsnittet +<quote>RESERVER</quote>. Ett frivilligt portnummer (föregånget av ett +kolon) kan läggas till till adresserna eller värdnamnen. Om tomt aktiveras +tjänsteupptäckt – för mer information, se avsnittet +<quote>TJÄNSTEUPPTÄCKT</quote>. + </para> + <para> + När tjänsteupptäckt används för KDC eller kpasswd-servrar söker SSSD först +efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget +hittas. + </para> + <para> + Detta alternativ hade namnet <quote>krb5_kdcip</quote> i tidigare utgåvor av +SSSD. Medan det äldre namnet känns igen tills vidare rekommenderas användare +att migrera sina konfigurationsfiler till att använda +<quote>krb5_server</quote> istället. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_realm (sträng)</term> + <listitem> + <para> + Ange Kerberos-RIKE (för SASL/GSSAPI/GSS-SPNEGO aut). + </para> + <para> + Standard: Systemstandard, se <filename>/etc/krb5.conf</filename> + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_canonicalize (boolean)</term> + <listitem> + <para> + Anger om värdens huvudman skall göras kanonisk vid anslutning till +LDAP-servern. Denna funktion är tillgänglig med MIT Kerberos ≥ 1.7 + </para> + + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>krb5_use_kdcinfo (boolean)</term> + <listitem> + <para> + Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka +KDC:er som skall användas. Detta alternativ är på som standard, om du +avaktiverar det behöver du konfigurera Kerberos-biblioteket i +konfigurationsfilen <citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Se manualsidan <citerefentry> +<refentrytitle>sssd_krb5_locator_plugin</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för mer information om +lokaliseringsinsticksmodulen. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwd_policy (sträng)</term> + <listitem> + <para> + Välj policyn för att utvärdera utgång av lösenord på klientsidan. Följande +värden är tillåtna: + </para> + <para> + <emphasis>none</emphasis> – Ingen utvärdering på klientsidan. Detta +alternativ kan inte avaktivera lösenordspolicyer på serversidan. + </para> + <para> + <emphasis>shadow</emphasis> – Använd attribut i stilen +<citerefentry><refentrytitle>shadow</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för att utvärdera om lösenordet har +gått ut. Se även alternativet ”ldap_chpass_update_last_change”. + </para> + <para> + <emphasis>mit_kerberos</emphasis> – Använd attributen som används av MIT +Kerberos för att avgöra om lösenordet har gått ut. Använd +chpass_provider=krb5 för att uppdatera dessa attribut när lösenordet ändras. + </para> + <para> + Standard: none + </para> + <para> + <emphasis>Obs</emphasis>: om en lösenordspolicy konfigureras på serversidan +kommer den alltid gå före framför policyn som sätts med detta alternativ. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_referrals (boolean)</term> + <listitem> + <para> + Anger huruvida automatisk uppföljning av referenser skall aktiveras. + </para> + <para> + Observera att sssd endast stödjer uppföljning av referenser när den är +kompilerad med OpenLDAP version 2.4.13 eller senare. + </para> + <para> + Att följa upp referenser kan orsaka en prestandaförlust i miljöer som +använder dem mycket, ett notabelt exempel är Microsoft Active Directory. Om +din uppsättning inte faktiskt behöver använda referenser kan att sätta detta +alternativ till falskt medföra en märkbar prestandaförbättring. Att sätta +denna flagga till falskt rekommenderas därför ifall SSSD LDAP-leverantören +används tillsammans med Microsoft Active Directory som bakände. Även om SSSD +skulle kunna följa referensen till en annan AD DC skulle inga ytterligare +data vara tillgängliga. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_dns_service_name (sträng)</term> + <listitem> + <para> + Anger tjänstenamnet som skall användas när tjänsteupptäckt är aktiverat. + </para> + <para> + Standard: ldap + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_dns_service_name (sträng)</term> + <listitem> + <para> + Anger tjänstenamnet att använda för att hitta en LDAP-server som tillåter +lösenordsändringar när tjänsteupptäckt är aktiverat. + </para> + <para> + Standard: inte satt, d.v.s. tjänsteupptäckt är avaktiverat + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_chpass_update_last_change (boolean)</term> + <listitem> + <para> + Anger huruvida attributet ldap_user_shadow_last_change skall uppdateras med +dagar sedan epoken efter en ändring av lösenord. + </para> + <para> + Det rekommenderas att explicit sätta detta alternativ om ”ldap_pwd_policy = +shadow” används för att låta SSSD veta om LDAP-servern kommer uppdatera +LDAP-attributet shadowLastChange automatiskt efter en lösenordsändring eller +om SSSD måste uppdatera det. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_filter (sträng)</term> + <listitem> + <para> + Om man använder access_provider = ldap och ldap_access_order = filter +(standard) är detta alternativ nödvändigt. Det anger ett +LDAP-sökfilterkriterium som måste uppfyllas för att användaren skall ges +åtkomst till denna värd. Om access_provider = ldap, ldap_access_order = +filter och detta alternativ inte är satt kommer det resultera i att alla +användare nekas åtkomst. Använd access_provider = permit för att ändra +detta standardbeteende. Observera att detta filter endast tillämpas på +LDAP-användarposten och därmed filter baserade på nästade grupper kanske +inte fungerar (t.ex. attributet memberOf i AD-poster pekar endast på direkta +föräldrar). Om filtrering baserad på nästade grupper behövs, se +<citerefentry> +<refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Exempel: + </para> + <programlisting> +access_provider = ldap +ldap_access_filter = (employeeType=admin) + </programlisting> + <para> + Detta exempel betyder att åtkomst till denna värd är begränsad till +användare vars attribut employeeType är satt till ”admin”. + </para> + <para> + Frånkopplad cachning för denna funktion är begränsad till att avgöra +huruvida användarens senaste uppkopplade inloggning tilläts +åtkomsträttigheter. Om de tilläts vid senaste inloggningen kommer de +fortsätta ges åtkomst under frånkoppling, och vice versa. + </para> + <para> + Standard: Empty + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_account_expire_policy (sträng)</term> + <listitem> + <para> + Med detta alternativ kan en utvärdering på klientsidan av +åtkomststyrningsattribut aktiveras. + </para> + <para> + Observera att det alltid är rekommenderat att använda åtkomstkontroll på +serversidan, d.v.s. LDAP-servern skall neka bindningsbegäran med en passande +felkod även om lösenordet är korrekt. + </para> + <para> + Följande värden är tillåtna: + </para> + <para> + <emphasis>shadow</emphasis>: använd värdet på ldap_user_shadow_expire för +att avgöra om kontot har gått ut. + </para> + <para> + <emphasis>ad</emphasis>: använd värdet på 32-bitarsfältet +ldap_user_ad_user_account_control och tillåt åtkomst om den andra biten inte +är satt. Om attributet saknas tillåts åtkomst. Utgångstiden för kontot +kontrolleras också. + </para> + <para> + <emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, +<emphasis>389ds</emphasis>: använd värdet på ldap_ns_account_lock för att +avgöra om åtkomst tillåts eller inte. + </para> + <para> + <emphasis>nds</emphasis>: värdena på ldap_user_nds_login_allowed_time_map, +ldap_user_nds_login_disabled och ldap_user_nds_login_expiration_time används +för att avgöra om åtkomst tillåts. Om båda attributen saknas tillåts +åtkomst. + </para> + <para> + Observera att konfigurationsalternativet ldap_access_order +<emphasis>måste</emphasis> innehålla <quote>expire</quote> för att +alternativet ldap_account_expire_policy skall fungera. + </para> + <para> + Standard: Empty + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_access_order (sträng)</term> + <listitem> + <para> + Kommaseparerad lista över åtkomststyrningsalternativ. Tillåtna värden är: + </para> + <para> + <emphasis>filter</emphasis>: använd ldap_access_filter + </para> + <para> + <emphasis>lockout</emphasis>: använd kontolåsning. Om satt nekar detta +alternativ åtkomst ifall ldap-attributet ”pwdAccountLockedTime” finns och +har värdet ”000001010000Z”. Se alternativet ldap_pwdlockout_dn. Observera +att ”access_provider = ldap” måste vara satt för att denna funktion skall +fungera. + </para> + <para> + <emphasis>Observera att detta alternativ ersätts av alternativet +<quote>ppolicy</quote> och kan komma att tas bort i en framtida +utgåva.</emphasis> + </para> + <para> + <emphasis>ppolicy</emphasis>: använd kontolåsning. Om satt nekar detta +alternativ åtkomst ifall ldap-attributet ”pwdAccountLockedTime” finns och +har värdet ”000001010000Z” eller representerar en tidpunkt i det förgångna. +Värdet på attributet ”pwdAccountLockedTime” måste sluta med ”Z”, som +markerar tidszonen UTC. Andra tidszoner stödjs för närvarande inte och +kommer resultera i ”access-denied” när användare försöker logga in. Se +alternativet ldap_pwdlockout_dn. Observera att ”access_provider = ldap” +måste vara satt för att denna funktion skall fungera. + </para> + + <para> + <emphasis>expire</emphasis>: använd ldap_account_expire_policy + </para> + <para> + <emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: </emphasis> Dessa alternativ är användbara om +användare vill bli varnade att lösenordet är på gång att gå ut och +autentisering är baserat på användning av en annan metod än lösenord – till +exempel SSH-nycklar. + </para> + <para> + The difference between these options is the action taken if user password is +expired: + <itemizedlist> + <listitem> + <para> + pwd_expire_policy_reject - user is denied to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_warn - user is still able to log in, + </para> + </listitem> + <listitem> + <para> + pwd_expire_policy_renew - user is prompted to change their password +immediately. + </para> + </listitem> + </itemizedlist> + </para> + <para> + Observera att ”access_provider = ldap” måste vara satt för att denna +funktion skall fungera. ”ldap_pwd_policy” måste också vara satt till en +lämplig lösenordspolicy. + </para> + <para> + <emphasis>authorized_service</emphasis>: använd attributet authorizedService +för att avgöra åtkomst + </para> + <para> + <emphasis>host</emphasis>: använd attributet host för att avgöra åtkomst + </para> + <para> + <emphasis>rhost</emphasis>: använd attributet rhost för att avgöra huruvida +fjärrvärdar kan få åtkomst + </para> + <para> + Observera, rhost-fältet i pam sätts av programmet, det är bättre att +kontrollera vad programmet skickar till pam, före detta alternativ för +åtkomstkontroll aktiveras + </para> + <para> + Standard: filter + </para> + <para> + Observera att det är ett konfigurationsfel om ett värde används mer än en +gång. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_pwdlockout_dn (sträng)</term> + <listitem> + <para> + Detta alternativ anger DN för lösenordspolicyposten på LDAP-servern. Notera +att frånvaro av detta alternativ i sssd.conf när kontroll av kontolåsning är +aktiverat kommer att resultera i nekad åtkomst eftersom ppolicy-attribut på +LDAP-servern inte kan kontrolleras ordentligt. + </para> + <para> + Exempel: cn=ppolicy,ou=policies,dc=example,dc=com + </para> + <para> + Standard: cn=ppolicy,ou=policies,$ldap_search_base + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_deref (sträng)</term> + <listitem> + <para> + Anger hur dereferering av alias görs när sökningar utförs. Följande +alternativ är tillåtna: + </para> + <para> + <emphasis>never</emphasis>: Alias är aldrig derefererade. + </para> + <para> + <emphasis>searching</emphasis>: Alias derefereras i underordnade till +basobjektet, men inte vid lokalisering av basobjektet för sökningen. + </para> + <para> + <emphasis>finding</emphasis>: Alias derefereras endast vid lokalisering av +basobjektet för sökningen. + </para> + <para> + <emphasis>always</emphasis>: Alias derefereras både i sökning och i +lokalisering av basobjektet för sökningen. + </para> + <para> + Standard: Tomt (detta hanteras som <emphasis>never</emphasis> av +LDAP-klientbiblioteken) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_rfc2307_fallback_to_local_users (boolean)</term> + <listitem> + <para> + Tillåter att behålla lokala användare som medlemmar i en LDAP-grupp för +servrar som använder schemat RFC2307. + </para> + <para> + I en del miljöer där schemat RFC2307 används görs lokala användare till +medlemmar i LDAP-grupper genom att lägga till deras namn till attributet +memberUid. Den interna konsistensen i domänen bryts när detta görs, så SSSD +skulle normalt ta bort de ”saknade” användarna från de cachade +gruppmedlemskapen så fort nsswitch försöker hämta information om användaren +via anrop av getpw*() eller initgroups(). + </para> + <para> + Detta alternativ faller tillbaka på att kontrollera om lokala användare är +refererade, och cachar dem så att senare anrop av initgroups() kommer utöka +de lokala användarna med de extra LDAP-grupperna. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>wildcard_limit (heltal)</term> + <listitem> + <para> + Anger en övre gräns på antalet poster som hämtas under en uppslagning med +jokertecken. + </para> + <para> + För närvarande stödjer endast respondenten InfoPipe jokeruppslagningar. + </para> + <para> + Standard: 1000 (ofta storleken på en sida) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_library_debug_level (heltal)</term> + <listitem> + <para> + Slår på libldap-felsökning med den angivna nivån. Libldap-felmeddelanden +kommer skrivas oberoende av den allmänna debug_level. + </para> + <para> + OpenLDAP använder en bitavbildning för att aktivera felsökning för specifika +komponenter, -1 kommer aktivera fullständig felsökningsutmatning. + </para> + <para> + Standard: 0 (libldap-felsökning avaktiverat) + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <refsect1 id='sudo-options' condition="with_sudo"> + <title>SUDOALTERNATIV</title> + <para> + De detaljerade instruktionerna för att konfigurera sudo-leverantören finns i +manualsidan <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + + <para> + <variablelist> + <varlistentry> + <term>ldap_sudo_full_refresh_interval (heltal)</term> + <listitem> + <para> + Hur många sekunder SSSD kommer vänta mellan körningar av fullständiga +uppdateringar av sudo-regler (som hämtar alla regler som är lagrade på +servern). + </para> + <para> + Värdet måste vara större än <emphasis>ldap_sudo_smart_refresh_interval +</emphasis> + </para> + <para> + Man kan avaktivera fullständig uppdatering genom att sätta denna flagga till +0. Dock måste antingen smart eller fullständig uppdatering aktiveras. + </para> + <para> + Standard: 21600 (6 timmar) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_smart_refresh_interval (heltal)</term> + <listitem> + <para> + Hur många sekunder SSSD måste vänta mellan körningar av en smart uppdatering +av sudo-regler (som hämtar alla regler som har USN högre än serverns högsta +USN-värde som för närvarande är känt av SSSD). + </para> + <para> + Om USN-attribut inte stödjs av servern används attributet modifyTimestamp +istället. + </para> + <para> + <emphasis>Obs:</emphasis> det högsta USN-värdet kan uppdateras av tre +uppgifter: 1) Genom fullständig och smart sudo-uppdatering (om det finns +uppdaterade regler), 2) genom uppräkning av användare och grupper (om det +finns aktiverade och uppdaterade användare eller grupper) och 3) genom att +återansluta till servern (som standard var 15:e minut, se +<emphasis>ldap_connection_expire_timeout</emphasis>). + </para> + <para> + Man kan avaktivera smart uppdatering genom att sätta denna flagga till +0. Dock måste antingen smart eller fullständig uppdatering aktiveras. + </para> + <para> + Standard: 900 (15 minuter) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_random_offset (heltal)</term> + <listitem> + <para> + En slumptillägg mellan 0 och ett konfigurerat värde läggs till till smart +och fullständig uppdateringsperioder varje gång den periodiska uppgiften +schemaläggs. Värdet är i sekunder. + </para> + <para> + Observera att detta slumpvisa tilläg även används på den första SSSD-starten +vilked fördröjer den första uppdateringen av sudo-regler. Detta förlänger +tiden under vilken sudo-reglerna inte är tillgängliga för användning. + </para> + <para> + Man kan avaktivera denna fördröjning genom att sätta värdet till 0. + </para> + <para> + Standard: 0 (avaktiverat) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_use_host_filter (boolean)</term> + <listitem> + <para> + Om sann kommer SSSD hämta endast regler som är tillämpliga för denna maskin +(genom användning av IPv4- och IPv6-värd-/-nätverksadresser och värdnamn). + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_hostnames (sträng)</term> + <listitem> + <para> + Mellanrumsseparerad lista över värdnamn eller fullständigt kvalificerade +domännamn som skall användas för att filtrera reglerna. + </para> + <para> + Om detta alternativ är tomt kommer SSSD försöka upptäcka värdnamnet och det +fullständigt kvalificerade domännamnet automatiskt. + </para> + <para> + Om <emphasis>ldap_sudo_use_host_filter</emphasis> är +<emphasis>false</emphasis> har detta alternativ ingen effekt. + </para> + <para> + Standard: inte angivet + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_ip (sträng)</term> + <listitem> + <para> + Mellanrumsseparerad lista över IPv4- eller IPv6 värd-/nätverksadresser som +skall användas för att filtrera reglerna. + </para> + <para> + Om detta alternativ är tomt kommer SSSD försöka upptäcka adresser +automatiskt. + </para> + <para> + Om <emphasis>ldap_sudo_use_host_filter</emphasis> är +<emphasis>false</emphasis> har detta alternativ ingen effekt. + </para> + <para> + Standard: inte angivet + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_netgroups (boolean)</term> + <listitem> + <para> + Om sant kommer SSSD hämta varje regel som innehåller en nätgrupp i +attributet sudoHost. + </para> + <para> + Om <emphasis>ldap_sudo_use_host_filter</emphasis> är +<emphasis>false</emphasis> har detta alternativ ingen effekt. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>ldap_sudo_include_regexp (boolean)</term> + <listitem> + <para> + Om sant kommer SSSD hämta varje regel som innehåller ett jokertecken i +attributet sudoHost. + </para> + <para> + Om <emphasis>ldap_sudo_use_host_filter</emphasis> är +<emphasis>false</emphasis> har detta alternativ ingen effekt. + </para> + <note> + <para> + Att använda jokertecken är en operation som är väldigt dyr att evaluera på +LDAP-serversidan! + </para> + </note> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Denna manualsida beskriver endast attributnamnsöversättningar. För +detaljerade beskrivningar av semantiken hos sudo-relaterade attribut, se +<citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry> + </para> + </refsect1> + + <refsect1 id='autofs-options' condition="with_autofs"> + <title>AUTOFSALTERNATIV</title> + <para> + Några av standardvärdena för parametrar nedan är beroende på LDAP-schemat. + </para> + <para> + <variablelist> + <varlistentry> + <term>ldap_autofs_map_master_name (sträng)</term> + <listitem> + <para> + Namnet på automount master-kartan i LDAP. + </para> + <para> + Standard: auto.master + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_attributes.xml" /> + </para> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect1> + + <refsect1 id='advanced-options'> + <title>AVANCERADE ALTERNATIV</title> + <para> + Dessa alternativ stödjs av LDAP-domäner, men de skall användas med +försiktighet. Inkludera dem endast i din konfiguration om du vet vad du +gör. <variablelist> + <varlistentry> + <term>ldap_netgroup_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_user_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry> + <term>ldap_group_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + </variablelist> <variablelist> + <note> + <para> + Om alternativet <quote>ldap_use_tokengroups</quote> är aktiverat kommer +sökningarna i Active Directory inte vara begränsade och returnera alla +gruppmedlemskap, även utan någon GID-översättning. Det rekommenderas att +avaktivera denna funktion om gruppnamn inte visas korrekt. + </para> + </note> + <varlistentry condition="with_sudo"> + <term>ldap_sudo_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>ldap_autofs_search_base (sträng)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_search_bases.xml" /> + </varlistentry> + + </variablelist> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" /> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" /> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att LDAP är satt +till en av domänerna i avsnittet <replaceable>[domains]</replaceable>. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mindomän.se +ldap_search_base = dc=mindomän,dc=se +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + <refsect1 id='ldap_access_filter_example'> + <title>LDAP-ÅTKOMSTFILTEREXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att +ldap_access_order=lockout används. + </para> + <para> +<programlisting> +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mindomän,dc=se +ldap_uri = ldap://ldap.mindomän.se +ldap_search_base = dc=mindomän,dc=se +ldap_tls_reqcert = demand +cache_credentials = true +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Beskrivningarna av en del konfigurationsalternativ i denna manualsida är +baserade på manualsidan <citerefentry> +<refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> från distributionen OpenLDAP 2.4. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-session-recording.5.xml b/src/man/sv/sssd-session-recording.5.xml new file mode 100644 index 0000000..51824f9 --- /dev/null +++ b/src/man/sv/sssd-session-recording.5.xml @@ -0,0 +1,178 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-session-recording</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-session-recording</refname> + <refpurpose>Konfigurera sessionsinspelning med SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver hur man konfigurerar <citerefentry> +<refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +att fungera med <citerefentry> +<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, en del av paketet tlog, för att implementera inspelning av +användarsessioner på en textterminal. För en detaljerad referens till +konfigurationssyntaxen, se avsnittet <quote>FILE FORMAT</quote> av +manualsidan <citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + SSSD kan sättas upp för att möjliggöra inspelning av allting specifika +användare ser eller skriver under sina sessioner på en textterminal. T.ex., +när användare loggar in på konsolen, eller via SSH. SSSD själv spelar inte +in någonting, men ser till att tlog-rec-session startas när användaren +loggar in, så att den kan spela in enligt sin konfiguration. + </para> + <para> + För användare med sessionsinspelning aktiverad ersätter SSSD användarens +skal med tlog-rec-session i NSS-svar, och lägger till en variabel som anger +det ursprungliga skalet till användarens miljö när PAM sätter upp +sessionen. På detta sätt kan tlog-rec-session startas istället för +användarens skal, och veta vilket faktiskt skal som skall startas när den +satt upp inspelningen. + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para> + Dessa alternativ kan användas för att konfigurera sessionsinspelning. + </para> + <variablelist> + <varlistentry> + <term>scope (sträng)</term> + <listitem> + <para> + En av följande strängar anger utsträckningen för inspelning av sessioner: +<variablelist> + <varlistentry> + <term>”none”</term> + <listitem> + <para> + Inga användare spelas in. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>”some”</term> + <listitem> + <para> + Användare/grupper angivna i alternativen <replaceable>users</replaceable> +och <replaceable>groups</replaceable> spelas in. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>”all”</term> + <listitem> + <para> + Alla användare spelas in. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Standard: ”none” + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (sträng)</term> + <listitem> + <para> + En kommaseparerad lista över användare vilka skall ha inspelning av +sessioner aktiverat. Matchar användarnamn som de returneras av +NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, +etc. + </para> + <para> + Standard: Tomt. Matchar inte några användare. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (sträng)</term> + <listitem> + <para> + En kommaseparerad lista över gruppmedlemmar vilka skall ha inspelning av +sessioner aktiverat. Matchar gruppnamn som de returneras av +NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, +etc. + </para> + <para> + OBSERVERA: att använda detta alternativ (ha det satt till något) har en +betydande prestandakostnad, ty varje begäran som inte cachas för en +användare måste hämtas och matchas mot grupperna användaren är en medlem i. + </para> + <para> + Standard: Tom. Matchar inga grupper. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av användare att undanta från inspelning, endast +tillämpligt med ”scope=all”. + </para> + <para> + Standard: Tomt. Inga användare uteslutna. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av grupper vars medlemmar skall undantas från +inspelning. Endast tillämpligt med ”scope=all”. + </para> + <para> + OBSERVERA: att använda detta alternativ (ha det satt till något) har en +betydande prestandakostnad, ty varje begäran som inte cachas för en +användare måste hämtas och matchas mot grupperna användaren är en medlem i. + </para> + <para> + Standard: Tom. Inga grupper uteslutna. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande snutt från sssd.conf gör det möjligt att spela in sessioner för +användarna ”konsult1” och ”konsult2” och gruppen ”studenter”. + </para> + <para> +<programlisting> +[session_recording] +scope = some +users = konsult1,konsult2 +groups = studenter +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-simple.5.xml b/src/man/sv/sssd-simple.5.xml new file mode 100644 index 0000000..754929d --- /dev/null +++ b/src/man/sv/sssd-simple.5.xml @@ -0,0 +1,148 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-simple</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-simple</refname> + <refpurpose>konfigurationsfilen för SSSD:s åtkomststyrningsleverantör ”simple”</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver konfigurationen av åtkomststyrningsleverantören +simple till <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. För en detaljerad referens om +syntaxen, se avsnittet <quote>FILFORMAT</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + Åtkomstleverantören simple tillåter eller nekar åtkomst baserat på en +åtkomst- eller nekandelista över användar- eller gruppnamn. Följande regler +är tillämpliga: + <itemizedlist> + <listitem> + <para>Om alla listor är tomma tillåts åtkomst</para> + </listitem> + <listitem> + <para> + Om någon lista tillhandahålls är evalueringsordningen allow,deny. Detta +betyder att en deny-regel som matchar kommer gå före en eventuell matchande +allow-regel. + </para> + </listitem> + <listitem> + <para> + Om antingen den ena eller båda ”tillåtelselistorna” tillhandahålls nekas +alla användare om de inte förekommer i listan. + </para> + </listitem> + <listitem> + <para> + Om endast ”nekandelistor” tillhandahålls tillåts alla användare åtkomst om +de inte förekommer i listan. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='configuration-options'> + <title>KONFIGURATIONSALTERNATIV</title> + <para>Se <quote>DOMÄNSEKTIONER</quote> i manualsidan <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer om konfigurationen av en SSSD-domän. +<variablelist> + <varlistentry> + <term>simple_allow_users (sträng)</term> + <listitem> + <para> + Kommaseparerad lista över användare som tillåts att logga in. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_users (sträng)</term> + <listitem> + <para> + Kommaseparerad lista över användare som explicit nekas åtkomst. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>simple_allow_groups (sträng)</term> + <listitem> + <para> + Kommaseparerad lista över grupper som tillåts logga in. Detta är endast +tillämpligt på grupper i denna SSSD-domän. Lokala grupper utvärderas inte. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>simple_deny_groups (sträng)</term> + <listitem> + <para> + Kommaseparerad lista över grupper som nekas åtkomst. Detta är endast +tillämpligt på grupper i denna SSSD-domän. Lokala grupper utvärderas inte. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Att inte ange några värden för någon av listorna är likvärdigt med att hoppa +över det helt. Var medveten om detta när parametrar genereras för +leverantören simple med automatiserade skript. + </para> + <para> + Observera att det är ett konfigurationsfel om båda, simple_allow_users och +simple_deny_users, är definierade. + </para> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + Följande exempel antar att SSSD är korrekt konfigurerat och att example.com +är en av domänerna i avsnittet <replaceable>[sssd]</replaceable>. Dessa +exempel visar endast alternativ som är specifika för åtkomstleverantören +simple. + </para> + <para> +<programlisting> +[domain/example.com] +access_provider = simple +simple_allow_users = användare1, användare2 +</programlisting> + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Den fullständiga gruppmedlemskapshierarkin löses upp före åtkomstkontrollen, +alltså kan även nästade grupper inkluderas i åtkomstlistorna. Var medveten +om att alternativet <quote>ldap_group_nesting_level</quote> kan påverka +resultaten och skall sättas till ett tillräckligt värde. (<citerefentry> +<refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> +</citerefentry>). + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-sudo.5.xml b/src/man/sv/sssd-sudo.5.xml new file mode 100644 index 0000000..69e833c --- /dev/null +++ b/src/man/sv/sssd-sudo.5.xml @@ -0,0 +1,225 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-sudo</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-sudo</refname> + <refpurpose>Konfigurera sudo med SSSD-bakänden</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida beskriver hur man konfigurerar <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +till att fungera med <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> och hur SSSD cachar sudo-regler. + </para> + </refsect1> + + <refsect1 id='sudo'> + <title>Konfigurera sudo att samarbeta med SSSD</title> + <para> + För att aktivera SSSD som en källa för sudo-regler, lägg till +<emphasis>sss</emphasis> till posten <emphasis>sudoers</emphasis> i +<citerefentry> <refentrytitle>nsswitch.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Till exempel, för att konfigurera sudo till att först slå upp regler i +standardfilen <citerefentry> <refentrytitle>sudoers</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> (som bör innehålla regler som +gäller för lokala användare) och sedan i SSSD, skall filen nsswitch.conf +innehålla följande rad: + </para> + <para> +<programlisting> +sudoers: files sss +</programlisting> + </para> + <para> + Mer information om att konfigurera sökordningen för sudoers från filen +nsswitch.conf liksom information om LDAP-schemat som används för att spara +sudo-regler i katalogen finns i <citerefentry> +<refentrytitle>sudoers.ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>Observera</emphasis>: för att använda nätgrupper eller +IPA-värdgrupper i sudo-regler behöver man även sätta <citerefentry> +<refentrytitle>nisdomainname</refentrytitle> <manvolnum>1</manvolnum> +</citerefentry> korrekt till sitt NIS-domännamn (som är samma som +IPA-domännamnet när värdgrupper används). + </para> + </refsect1> + + <refsect1 id='sssd'> + <title>Konfigurera SSSD till att hämta sudo-regler</title> + <para> + All konfiguration som behövs på SSSD-sidan är att utöka listan över +<emphasis>tjänster</emphasis> med ”sudo” i avsnittet [sssd] i <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. För att snabba upp LDAP-uppslagningarna kan man även sätta +sökbasen för sudo-regler med alternativet +<emphasis>ldap_sudo_search_base</emphasis>. + </para> + <para> + Följande exempel visar hur man konfigurerar SSSD att hämta sudo-regler från +en LDAP-server. + </para> + <para> +<programlisting> +[sssd] +config_file_version = 2 +services = nss, pam, sudo +domains = EXEMPEL + +[domain/EXEMPEL] +id_provider = ldap +sudo_provider = ldap +ldap_uri = ldap://example.com +ldap_sudo_search_base = ou=sudoers,dc=example,dc=com +</programlisting> <phrase +condition="have_systemd"> Det är viktigt att observera att på plattformar +där systemd stödjs finns det inget behov av att lägga till +”sudo”-leverantören till listan av tjänster, eftersom det blev frivilligt. +Dock måste sssd-sudo.socket vara aktiverat istället. </phrase> + </para> + <para> + När SSSD är konfigurerat till att använda IPA som ID-leverantör aktiveras +sudo-leverantören automatiskt. Sudo-sökbasen konfigureras till att använda +IPA:s egna LDAP-träd (cn=sudo,$SUFFIX). Om någon annan sökbas är definierad +i sssd.conf kommer detta värde användas istället. Kompatibilitetsträdet +(ou=sudoers,$SUFFIX) behövs inte längre för IPA-sudo-funktionalitet. + </para> + </refsect1> + + <refsect1 id='cache'> + <title>Cachnings-mekanismen för SUDO-regler</title> + <para> + Den största utmaningen vid utvecklingen av stöd för sudo i SSSD var att +säkerställa att köra sudo med SSSD som datakälla ger samma +användarupplevelse och är lika snabbt som sudo men tillhandahåller de +senaste reglerna så mycket som möjligt. För att uppfylla dessa krav +använder SSSD tre sorters uppdateringar. De refereras till som fullständig +uppdatering, smart uppdatering och regeluppdatering. + </para> + <para> + Den <emphasis>smarta uppdateringen</emphasis> hämtar periodiskt regler som +är nya eller ändrades efter den senaste uppdateringen. Dess primära mål är +att se till att databasen växer genom att bara hämta små inkrementella steg +som inte genererar stora mängder med nätverkstrafik. + </para> + <para> + Den <emphasis>fullständiga uppdateringen</emphasis> raderar helt enkelt alla +sudo-regler som är lagrade i cachen och ersätter dem med alla regler som är +sparade på servern. Detta används för att hålla cachen konsistent genom att +ta bort varje regel som var raderad från servern. Dock kan en fullständig +uppdatering skapa mycket trafik och den bör alltså bara köras ibland +beroende på storleken och stabiliteten hos sudo-reglerna. + </para> + <para> + <emphasis>Regeluppdateringen</emphasis> säkerställer att vi inte ger +användaren fler rättigheter än definierat. Den triggas varje gång +användaren kör sudo. Regeluppdateringen kommer hitta alla regler som är +tillämpliga på den användaren, kontrollera deras utgångstidpunkt och hämta +om dem om de gått ut. Ifall att någon av dessa regler saknas på servern +kommer SSSD göra en fullständig uppdatering vid sidan av för att fler regler +(som är tillämpliga på andra användare) kan ha raderats. + </para> + <para> + Om aktiverat kommer SSSD endast lagra regler som kan tillämpas på denna +maskin. Detta betyder att regler som innehåller ett av följande värden i +attributet <emphasis>sudoHost</emphasis>: + </para> + <itemizedlist> + <listitem> + <para> + nyckelordet ALL + </para> + </listitem> + <listitem> + <para> + jokertecken (wildcard) + </para> + </listitem> + <listitem> + <para> + nätgrupp (i formen ”+nätgrupp”) + </para> + </listitem> + <listitem> + <para> + värdnamn eller fullständigt kvalificerat domännamn på denna maskin + </para> + </listitem> + <listitem> + <para> + en av IP-adresserna till denna maskin + </para> + </listitem> + <listitem> + <para> + en av IP-adresserna till nätverket (på formen ”adress/mask”) + </para> + </listitem> + </itemizedlist> + <para> + Det finns många konfigurationsalternativ som kan användas för att justera +beteendet. Se ”ldap_sudo_*” i <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> och ”sudo_*” i <citerefentry> +<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </refsect1> + + <refsect1 id='performance'> + <title>Trimning av prestandan</title> + <para> + SSSD använder olika mekanismer med mer eller mindre komplexa LDAP-filter för +att hålla de cachade sudo-reglerna uppdaterade. Standardkonfigurationen är +satt till värden som skall passa de flesta av våra användare, men följande +stycken innehåller några tips om hur man kan finjustera konfigurationen för +sina behov. + </para> + <para> + 1. <emphasis>Indexera LDAP-attribut</emphasis>. Se till att följande +LDAP-attribut är indexerade: objectClass, cn, entryUSN eller +modifyTimestamp. + </para> + <para> + 2. <emphasis>Sätt ldap_sudo_search_base</emphasis>. Sätt sökbasen till den +behållare som innehåller sudo-reglerna för att begränsa räckvidden för +uppslagningen. + </para> + <para> + 3. <emphasis>Sätt fullt och smart uppdateringsintervall</emphasis>. Om ens +sudo-regler inte ändras ofta och man inte behöver snabba uppdateringar av +cachade regler på sina klienter kan man avsevärt öka +<emphasis>ldap_sudo_full_refresh_interval</emphasis> och +<emphasis>ldap_sudo_smart_refresh_interval</emphasis>. Man kan också +överväga att avaktivera den smarta uppdateringen genom att sätta +<emphasis>ldap_sudo_smart_refresh_interval = 0</emphasis>. + </para> + <para> + 4. Om man har ett stort antal klienter kan man överväga att öka värdet på +<emphasis>ldap_sudo_random_offset</emphasis> för att fördela lasten på +servern bättre. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd-systemtap.5.xml b/src/man/sv/sssd-systemtap.5.xml new file mode 100644 index 0000000..0e1dc1d --- /dev/null +++ b/src/man/sv/sssd-systemtap.5.xml @@ -0,0 +1,435 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd-systemtap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd-systemtap</refname> + <refpurpose>SSSD systemtap-information</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Denna manualsida innehåller information om systemtap-funktionen i +<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>. + </para> + <para> + SystemTap-testpunkter har lagts till på diverse platser i SSSD-koden för att +hjälpa till i felsökning och analys av prestandarelaterade problem. + </para> + <para> + <itemizedlist> + <listitem> + <para> + Exempel på SystemTap-skript finns i /usr/share/sssd/systemtap/ + </para> + </listitem> + <listitem> + <para> + Testpunkter och diverse funktioner definieras i +/usr/share/systemtap/tapset/sssd.stp respektive +/usr/share/systemtap/tapset/sssd_functions.stp. + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='probe-points'> + <title>TESTPUNKTER</title> + <para> + Informationen nedan räknar upp testpunkterna och argumenten som är +tillgängliga i följande format: + </para> + <variablelist> + <varlistentry> + <term>probe $name</term> + <listitem> + <para> + Beskrivning av testpunkten + </para> + <programlisting> +variabel1:datatyp +variabel2:datatyp +variabel3:datatyp +… + </programlisting> + </listitem> + </varlistentry> + </variablelist> + + <refsect2 id='database-transaction-probes'> + <title>Databastransaktionstestpunkter</title> + <para> + <variablelist> + <varlistentry> + <term>probe sssd_transaction_start</term> + <listitem> + <para> + Start av en sysdb-transaktion, känner av funktionen +sysdb_transaction_start(). + </para> + <programlisting> +nesting:heltal +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_cancel</term> + <listitem> + <para> + Annullering av en sysdb-transaktion, känner av funktionen +sysdb_transaction_cancel(). + </para> + <programlisting> +nesting:heltal +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_commit_before</term> + <listitem> + <para> + Känner av funktionen sysdb_transaction_commit_before(). + </para> + <programlisting> +nesting:heltal +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sssd_transaction_commit_after</term> + <listitem> + <para> + Känner av funktionen sysdb_transaction_commit_after(). + </para> + <programlisting> +nesting:heltal +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-search-probes'> + <title>LDAP-sökningstestpunkter</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_search_send</term> + <listitem> + <para> + Känner av funktionen sdap_get_generic_ext_send(). + </para> + <programlisting> +base:sträng +scope:heltal +filter:sträng +attrs:sträng +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_recv</term> + <listitem> + <para> + Känner av funktionen sdap_get_generic_ext_recv(). + </para> + <programlisting> +base:sträng +scope:heltal +filter:sträng +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_parse_entry</term> + <listitem> + <para> + Känner av funktionen sdap_parse_entry(). Den anropas upprepat för varje +mottaget attribut. + </para> + <programlisting> +attr:sträng +value:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_parse_entry_done</term> + <listitem> + <para> + Känner av funktionen sdap_parse_entry(). Den anropas när tolkning av +mottagna objekt är klar. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_deref_send</term> + <listitem> + <para> + Känner av funktionen sdap_deref_search_send(). + </para> + <programlisting> +base_dn:sträng +deref_attr:sträng +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_deref_recv</term> + <listitem> + <para> + Känner av funktionen sdap_deref_search_recv(). + </para> + <programlisting> +base:sträng +scope:heltal +filter:sträng +probestr:sträng + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-account-req-probes'> + <title>Testpunkter av LDAP-kontobegäranden</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_acct_req_send</term> + <listitem> + <para> + Känner av funktionen sdap_acct_req_send(). + </para> + <programlisting> +entry_type:heltal +filter_type:heltal +filter_value:sträng +extra_value:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_acct_req_recv</term> + <listitem> + <para> + Känner av funktionen sdap_acct_req_recv(). + </para> + <programlisting> +entry_type:heltal +filter_type:heltal +filter_value:sträng +extra_value:sträng + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='ldap-user-search-probes'> + <title>Testpunkter av LDAP-användarsökningar</title> + <para> + <variablelist> + <varlistentry> + <term>probe sdap_search_user_send</term> + <listitem> + <para> + Känner av funktionen sdap_search_user_send(). + </para> + <programlisting> +filter:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_recv</term> + <listitem> + <para> + Känner av funktionen sdap_search_user_recv(). + </para> + <programlisting> +filter:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_save_begin</term> + <listitem> + <para> + Känner av funktionen sdap_search_user_save_begin(). + </para> + <programlisting> +filter:sträng + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe sdap_search_user_save_end</term> + <listitem> + <para> + Känner av funktionen sdap_search_user_save_end(). + </para> + <programlisting> +filter:sträng + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='data-provider-request-probes'> + <title>Testpunkter av dataleverantörsbegäranden</title> + <para> + <variablelist> + <varlistentry> + <term>probe dp_req_send</term> + <listitem> + <para> + En dataleverantörsbegäran skickas. + </para> + <programlisting> +dp_req_domain:sträng +dp_req_name:sträng +dp_req_target:heltal +dp_req_method:heltal + </programlisting> + </listitem> + </varlistentry> + <varlistentry> + <term>probe dp_req_done</term> + <listitem> + <para> + En dataleverantörsbegäran avslutas. + </para> + <programlisting> +dp_req_name:sträng +dp_req_target:heltal +dp_req_method:heltal +dp_ret:heltal +dp_errorstr:sträng + </programlisting> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='miscellaneous-functions'> + <title>DIVERSE FUNKTIONER</title> + <para> + Informationen nedan räknar upp testpunkterna och argumenten som är +tillgängliga i följande format: + </para> + <variablelist> + <varlistentry> + <term>funktionen acct_req_desc(posttyp)</term> + <listitem> + <para> + Konvertera posttyp till en sträng och returnera strängen + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>function sssd_acct_req_probestr(fc_namn, posttyp, filtertyp, filtervärde, +extravärde)</term> + <listitem> + <para> + Skapa testpunktsträng baserad på filtertyp + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>funktionen dp_target_str(mål)</term> + <listitem> + <para> + Konvertera målet till en sträng och returnera strängen + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>funktionen dp_method_str(mål)</term> + <listitem> + <para> + Konvertera metoden till en sträng och returnera strängen + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='sample-systemtap-scripts'> + <title>PROV PÅ SYSTEMTAP-SKRIPT</title> + <para> + Starta SystemTap-skriptet (<command>stap +/usr/share/sssd/systemtap/<skriptnamn>.stp</command>), utför sedan en +identitetsåtgärd och skriptet kommer samla information från sonder. + </para> + <para> + Levererade SystemTap-skript är: + </para> + <variablelist> + <varlistentry> + <term>dp_request.stp</term> + <listitem> + <para> + Övervakning av prestanda hos dataleverantörbegäranden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>id_perf.stp</term> + <listitem> + <para> + Övervakning av prestanda hos kommandot <command>id</command>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ldap_perf.stp</term> + <listitem> + <para> + Övervakning av LDAP-begäranden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>nested_group_perf.stp</term> + <listitem> + <para> + Prestanda vid uppslagning av nästade grupper. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd.8.xml b/src/man/sv/sssd.8.xml new file mode 100644 index 0000000..9ecb452 --- /dev/null +++ b/src/man/sv/sssd.8.xml @@ -0,0 +1,245 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd</refname> + <refpurpose>Demonen för systemsäkerhetstjänster</refpurpose> + </refnamediv> + + <refsynopsisdiv id='synopsis'> + <cmdsynopsis> +<command>sssd</command> <arg choice='opt'> +<replaceable>flaggor</replaceable> </arg></cmdsynopsis> + </refsynopsisdiv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + <command>SSSD</command> tillhandahåller en uppsättning demoner för att +hantera åtkomst till fjärrkataloger och autentiseringsmekanismer. Det +tillhandahåller ett NSS- och PAM-gränssnitt mot systemet och ett system med +insticksmoduler till bakänden för att ansluta till flera olika kontokällor, +såväl som ett D-Bus-gränssnitt. Det är också basen för att tillhandahålla +klientgranskning och policytjänster för projekt som FreeIPA. Det +tillhandahåller en mer robust databas att spara lokala användare såväl som +utökade användardata. + </para> + </refsect1> + + <refsect1 id='options'> + <title>FLAGGOR</title> + <variablelist remap='IP'> + <varlistentry> + <term> + <option>-d</option>,<option>--debug-level</option> +<replaceable>NIVÅ</replaceable> + </term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term> + <option>--debug-timestamps=</option><replaceable>läge</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: Lägg till en tidsstämpel till +felsökningsmeddelandena + </para> + <para> + <emphasis>0</emphasis>: Avaktivera tidsstämpeln i felsökningsmeddelanden + </para> + <para> + Standard: 1 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--debug-microseconds=</option><replaceable>läge</replaceable> + </term> + <listitem> + <para> + <emphasis>1</emphasis>: Lägg till mikrosekunder till tidsstämpeln i +felsökningsmeddelanden + </para> + <para> + <emphasis>0</emphasis>: Avaktivera mikrosekunder i tidsstämpeln + </para> + <para> + Standard: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>--logger=</option><replaceable>värde</replaceable> + </term> + <listitem> + <para> + Platsen dit SSSD kommer skicka loggmeddelanden. + </para> + <para> + <emphasis>stderr</emphasis>: Omdirigera felmeddelanden till standard +fel-utmatning. + </para> + <para> + <emphasis>files</emphasis>: Omdirigera felsökningsmeddelanden till +loggfilerna. Som standard lagras loggfilerna i +<filename>/var/log/sssd</filename> och det finns separata loggfiler för +varje SSSD-tjänst och domän. + </para> + <para> + <emphasis>journald</emphasis>: Omdirigera felsökningsmeddelanden till +systemd-journald + </para> + <para> + Standard: inte satt (fall tillbaka på journald om den är tillgänglig, annars +standard fel) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-D</option>,<option>--daemon</option> + </term> + <listitem> + <para> + Bli en demon efter att ha startat upp. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-i</option>,<option>--interactive</option> + </term> + <listitem> + <para> + Kör i förgrunden, bli inte en demon. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-c</option>,<option>--config</option> + </term> + <listitem> + <para> + Ange en annan konfigurationsfil än standard. Standard är +<filename>/etc/sssd/sssd.conf</filename>. För referens till +konfigurationsfilsyntaxen och -alternativ, konsultera manualsidan +<citerefentry> <refentrytitle>sssd.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-g</option>,<option>--genconf</option> + </term> + <listitem> + <para> + Starta inte SSSD, men uppdatera konfigurationsdatabasen från innehållet i +<filename>/etc/sssd/sssd.conf</filename> och avsluta sedan. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term> + <option>-s</option>,<option>--genconf-section</option> + </term> + <listitem> + <para> + Liknande <quote>--genconf</quote>, men uppdatera endast ett enskilt avsnitt +av konfigurationsfilen. Detta alternativt är huvudsakligen användbart för +att anropas från systemd:s unit-filer för att låta uttagsaktiverade +respondenter att uppdatera sina konfigurationer utan att kräva att +administratören startar om hela SSSD. + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/param_help.xml" /> + <varlistentry> + <term> + <option>--version</option> + </term> + <listitem> + <para> + Skriv ut versionsnumret och avsluta. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1> + <title>Signaler</title> + <variablelist remap='IP'> + <varlistentry> + <term>SIGTERM/SIGINT</term> + <listitem> + <para> + Säger till SSSD att snyggt avsluta alla dess barnprocesser och sedan stänga +av monitorn. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGHUP</term> + <listitem> + <para> + Säger till SSSD att sluta skriva till dess aktuella felsökningsfilbeskrivare +och stänga och öppna om dem. Detta är tänkt att möjliggöra loggrullning med +program som logrotate. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR1</term> + <listitem> + <para> + Säger till SSSD att simulera frånkopplad funktion under tiden hos parametern +<quote>offline_timeout</quote>. Detta är användbart för att testa. +Signalen kan skickas antingen till sssd-processen eller direkt till någon +sssd_be-process. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>SIGUSR2</term> + <listitem> + <para> + Säger till SSSD att gå till uppkopplat läge omedelbart. Detta är användbart +för att testa. Signalen kan skickas antingen till sssd-processen eller +direkt till någon sssd_be-process. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + <para condition="enable_lockfree_support"> + Om miljövariabeln SSS_LOCKFREE är satt till ”NO” kommer begäranden från +multipla trådar i ett enskilt program att seriaaliseras. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd.conf.5.xml b/src/man/sv/sssd.conf.5.xml new file mode 100644 index 0000000..b8aded6 --- /dev/null +++ b/src/man/sv/sssd.conf.5.xml @@ -0,0 +1,4039 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd" +[ +<!ENTITY sssd_user_name SYSTEM "sssd_user_name.include"> +]> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd.conf</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd.conf</refname> + <refpurpose>konfigurationsfilen för SSSD</refpurpose> + </refnamediv> + + <refsect1 id='file-format'> + <title>FILFORMAT</title> + + <para> + Filen har en syntax i ini-stil och består av sektioner och parametrar. En +sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills +nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda +parametrar: <programlisting> +<replaceable>[sektion]</replaceable> +<replaceable>nyckel</replaceable> = <replaceable>värde</replaceable> +<replaceable>nyckel2</replaceable> = <replaceable>värde2,värde3</replaceable> + </programlisting> + </para> + + <para> + Datatyperna som används är sträng (inga citationstecken behövs), heltal och +bool (med värdena <quote>TRUE/FALSE</quote>). + </para> + + <para> + En kommentarsrad börjar med ett nummertecken (<quote>#</quote>) eller ett +semikolon (<quote>;</quote>). Kommentarer inom raden stödjs inte. + </para> + + <para> + Alla sektioner kan valfritt ha en parameter +<replaceable>description</replaceable>. Dess funktion är endast som en +etikett för sektionen. + </para> + + <para> + <filename>sssd.conf</filename> måste vara en normal fil, ägd av root och +endast root får läsa från eller skriva till filen. + </para> + </refsect1> + + <refsect1 id='config-snippets'> + <title>KONFIGURATIONSSNUTTAR FRÅN EN INCLUDE-KATALOG</title> + + <para> + Konfigurationsfilen <filename>sssd.conf</filename> kommer inkludera +konfigurationssnuttar från include-katalogen +<filename>conf.d</filename>. Denna funktion är tillgänglig om SSSD +kompilerades med version 1.3.0 eller senare av libini. + </para> + + <para> + Filer lagda i <filename>conf.d</filename> som slutar med +<quote><filename>.conf</filename></quote> och inte börjar med en punkt +(<quote>.</quote>) kommer användas tillsammans med +<filename>sssd.conf</filename> för att konfigurera SSSD. + </para> + + <para> + Konfigurationssnuttarna från <filename>conf.d</filename> har högre prioritet +än <filename>sssd.conf</filename> och kommer åsidosätta +<filename>sssd.conf</filename> när konflikter uppstår. Om flera snuttar +finns i <filename>conf.d</filename> inkluderas de i alfabetisk ordning +(baserat på lokalen). Filer som inkluderas senare har högre prioritet. +Numeriska prefix (<filename>01_snutt.conf</filename>, +<filename>02_snutt.conf</filename> etc.) kan hjälpa till att visualisera +prioriteten (högre tals betyder högre prioritet). + </para> + + <para> + Snuttfilerna behöver samma ägare och rättigheter som +<filename>sssd.conf</filename>. Vilket som standard är root:root och 0600. + </para> + </refsect1> + + <refsect1 id='general-options'> + <title>ALLMÄNNA FLAGGOR</title> + <para> + Följande flaggor är användbara i mer än en konfigurationssektion. + </para> + <refsect2 id='all-section-options'> + <title>Flaggor användbara i alla sektioner</title> + <para> + <variablelist> + <varlistentry> + <term>debug_level (heltal)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term>debug (heltal)</term> + <listitem> + <para> + SSSD 1.14 och senare inkluderar också aliaset +<replaceable>debug</replaceable> för <replaceable>debug_level</replaceable> +som en bekvämlighetsfiness. Om båda anges kommer värdet +på<replaceable>debug_level</replaceable> användas. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_timestamps (bool)</term> + <listitem> + <para> + Lägg till en tidsstämpel till felsökningsmeddelanden. Om journald är +aktiverat för SSSD-felsökningsloggning ignoreras denna flagga. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_microseconds (bool)</term> + <listitem> + <para> + Lägg till mikrosekunder till tidsstämpeln till felsökningsmeddelanden. Om +journald är aktiverat för SSSD-felsökningsloggning ignoreras denna flagga. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_backtrace_enabled (bool)</term> + <listitem> + <para> + Aktivera felsökningsspårning. + </para> + <para> + Ifall SSSD körs med debug_level mindre än 9 loggas allting till en +ringbuffert i minnet och skrivs till en loggfil när nägot fel upp till och +inklusive ”min(0x0040, debug_level)” (d.v.s. om debug_level uttryckligen är +satt till 0 eller 1 kommer endast dessa felnivåer att orsaka en spårning, +annars upp till 2). + </para> + <para> + Funktionen stödjs endast för ”logger == files” (d.v.s. att sätta denna har +ingen effekt för andra loggningstyper). + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='services-and-domains-section-options'> + <title>Flaggor användbara i sektionerna SERVICE och DOMAIN</title> + <para> + <variablelist> + <varlistentry> + <term>timeout (heltal)</term> + <listitem> + <para> + Tidsgräns i sekunder mellan hjärtslag för denna tjänst. Detta används för +att säkerställa att processen lever och kan svara på begäranden. Observera +att efter tre missade hjärtslag kommer processen avsluta sig själv. + </para> + <para> + Standard: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <refsect1 id='special-sections'> + <title>SPECIALSEKTIONER</title> + + <refsect2 id='services'> + <title>Sektionen [sssd]</title> + <para> + Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella +SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna +hanteras av en speciell tjänst som ofta kallas <quote>monitor</quote>. +Sektionen <quote>[sssd]</quote> används för att konfigurera övervakaren +såväl som andra viktiga alternativ som identitetsdomänerna. <variablelist> + <title>Sektionsparametrar</title> + <varlistentry> + <term>config_file_version (heltal)</term> + <listitem> + <para> + Indikerar vilken syntaxen är i konfigurationsfilen. SSSD 0.6.0 och senare +använder version 2. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>services</term> + <listitem> + <para> + Kommaseparerad lista av tjänster som startas när sssd själv startas. +<phrase condition="have_systemd"> Tjänstelistan är frivillig på plattformar +där systemd stödjs, eftersom de antingen kommer vara uttags- eller +D-Bus-aktiverade vid behov. </phrase> + </para> + <para> + Tjänster som stödjs: nss, pam <phrase condition="with_sudo">, sudo</phrase> +<phrase condition="with_autofs">, autofs</phrase> <phrase +condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">, +pac</phrase> <phrase condition="with_ifp">, ifp</phrase> + </para> + <para> + <phrase condition="have_systemd"> Som standard är alla tjänster avaktiverade +och administratören måste aktivera de tillåtna genom att köra: ”systemctl +enable sssd-@service@.socket". </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>reconnection_retries (heltal)</term> + <listitem> + <para> + Antal gånger som tjänster skall försöka återansluta i händelse av en +dataleverantörskrasch eller -omstart innan de ger upp + </para> + <para> + Standard: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains</term> + <listitem> + <para> + En domän är en databas som innehåller användarinformation. SSSD kan använda +flera domäner på samma gång, men åtminstone en måste vara konfigurerad, +annars kommer inte SSSD starta. Denna parameter beskriver listan av domäner +i den ordning du vill att de skall tillfrågas. Ett domännamn rekommenderas +endast att bestå av alfanumeriska ASCII-tecken, bindestreck, punkter och +understrykningstecken. Tecknet ”/” är förbjudet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>re_expression (sträng)</term> + <listitem> + <para> + Reguljärt standarduttryck som beskriver hur man skall tolka strängen som +innehåller användarnamnet och domänen in i dessa komponenter. + </para> + <para> + Varje domän kan ha ett eget reguljärt uttryck konfigurerat. För några +ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER +för mer information om dessa reguljära uttryck. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (sträng)</term> + <listitem> + <para> + Ett <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>-kompatibelt format som beskriver +hur man sätter samman ett fullständigt kvalificerat namn från namn- och +domänkomponenter. + </para> + <para> + Följande utvidgningar stödjs: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>användarnamn</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + domännamn som det anges i SSSD-konfigurationsfilen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både +direkt konfigurerade eller hittade via IPA-förtroenden. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Varje domän kan ha en egen formatsträng konfigurerad. Se DOMÄNSEKTIONER för +mer information om detta alternativ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>monitor_resolv_conf (boolean)</term> + <listitem> + <para> + Styr om SSSD skall övervaka tillståndet för resolv.conf för att identifiera +när den behöver uppdatera sin interna DNS-uppslagare. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>try_inotify (boolean)</term> + <listitem> + <para condition="have_inotify"> + Som standard kommer SSSD försöka använda inotify för att övervaka ändringar +av konfigurationsfiler och kommer gå tillbaka till att polla var femte +sekund om inotify inte kan användas. + </para> + <para condition="have_inotify"> + Det finns vissa situationer när det är att föredra att vi skall hoppa över +att ens försöka att använda inotify. I dessa sällsynta fall skall detta +alternativ sättas till ”false” + </para> + <para condition="have_inotify"> + Standard: true på plattformar där inotify stödjs. False på andra +plattformar. + </para> + <para> + Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify +inte är tillgängligt. På dessa plattformar kommer pollning alltid användas. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>krb5_rcache_dir (sträng)</term> + <listitem> + <para> + Katalog i filsystemet där SSSD skall spara Kerberos-cachefiler för +återuppspelning. + </para> + <para> + Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer +instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för +cachefilerna för återuppspelning. + </para> + <para> + Standard: distributionsspecifikt och anges vid +byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_non_root_user_support"> + <term>user (sträng)</term> + <listitem> + <para> + The user to drop the privileges to where appropriate to avoid running as the +root user. Currently the only supported value is '&sssd_user_name;'. + </para> + + <para condition="have_systemd"> + This option does not work when running socket-activated services, as the +user set up to run the processes is set up during compilation time. The way +to override the systemd unit files is by creating the appropriate files in +/etc/systemd/system/. Keep in mind that any change in the socket user, +group or permissions may result in a non-usable SSSD. The same may occur in +case of changes of the user running the NSS responder. + </para> + + <para> + Standard: inte angivet, processer kommer köra som root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_domain_suffix (sträng)</term> + <listitem> + <para> + Strängen kommer användas som ett standardnamn för domänen för alla namn utan +en domännamnsdel. Det huvudsakliga användningsfallet är miljöer där +primärdomänen är avsedd för hantering av värdpolicyer och alla användare är +placerade i en betrodd domän. Alternativet låter dessa användare att logga +in med bara sitt användarnamn utan att dessutom ange ett domännamn. + </para> + <para> + Please note that if this option is set all users from the primary domain +have to use their fully qualified name, e.g. user@domain.name, to log +in. Setting this option changes default of use_fully_qualified_names to +True. It is not allowed to use this option together with +use_fully_qualified_names set to False. <phrase +condition="with_files_provider"> One exception from this rule are domains +with <quote>id_provider=files</quote> that always try to match the behaviour +of nss_files and therefore their output is not qualified even when the +default_domain_suffix option is used. </phrase> + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_space (sträng)</term> + <listitem> + <para> + Denna parameter kommer ersätta blanksteg (mellanslag) med det angivna +tecknet i användar- och gruppnamn, t.ex. (_). Användarnamnet "sven +svensson" blir "sven_svensson" Denna funktion lades till för +att hjälpa till med kompatibiliteten med skalskript som har svårigheter att +hantera blanka, på grund av att det är standardfältseparatorn i skalet. + </para> + <para> + Observera att det är ett konfigurationsfel att använda ett ersättningstecken +som kan användas i användar- eller gruppnamn. Om ett namn innehåller +ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i +allmänhet är resultatet av en uppslagning odefinierat. + </para> + <para> + Standard: inte satt (blanka kommer inte ersättas) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>certificate_verification (sträng)</term> + <listitem> + <para> + Med denna parameter kan verifieringen av certifikatet justeras med en +kommaseparerad lista av alternativ. Alternativ som stödjs är <variablelist> + <varlistentry> + <term>no_ocsp</term> + <listitem> + <para>Avaktiverar kontroller enligt Online Certificate Status Protocol +(OCSP). Detta kan behövas om OCSP-servrarna som definieras i certifikatet +inte är nåbara från klienten.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_ocsp</term> + <listitem> + <para> Om en anslutning inte kan etableras till en OCSP-respondent hoppas +OCSP-kontrollen över. Denna flagga skall användas för att tillåta +autentisering när systemet är frånkopplat och OCSP-respondenten inte kan +nås.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_dgst</term> + <listitem> + <para>Kontrollsumme- (hash-)funktion som används för att skapa certifikats-ID för +OCSP-begäran. Tillåtna värden är: + <itemizedlist> + <listitem><para>sha1</para></listitem> + <listitem><para>sha256</para></listitem> + <listitem><para>sha384</para></listitem> + <listitem><para>sha512</para></listitem> + </itemizedlist></para> + <para> + Standard: sha1 (för att tillåta kompatibilitet med respondenter som följer +RFC5019) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>no_verification</term> + <listitem> + <para>Avaktiverar helt verifiering. Detta alternativ skall endast användas för +testning.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>partial_chain</term> + <listitem> + <para>Tillåt verifikationen att lyckas även om en +<replaceable>fullständig</replaceable> kedja inte kan byggas till ett +självsignerat förtroendeankare, förutsatt att det är möjligt att konstruera +en kedja till ett betrott certifikat som inte behöver vara självsignerat.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_default_responder=URL</term> + <listitem> + <para>Anger standard-OCSP-respondent som skall användas istället för den som nämns +i certifikatet. URL:en måste ersättas med URL:en till +standard-OCSP-respondenten t.ex. http://example.com:80/ocsp.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + ocsp_default_responder_signing_cert=NAMN</term> + <listitem> + <para>Detta alternativ ignoreras för närvarande. Alla nödvändiga certifikat måste +vara tillgängliga i PEM-filen som anges av pam_cert_db_path.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>crl_file=/SÖKVÄG/TILL/CRL/FIL</term> + <listitem> + <para>Använd certifikatåterkallelselistan (Certificate Revocation List, CRL) från +den givna filen under verifikationen av certifikatet. CRL:en måste ges i +PEM-format, se <citerefentry> <refentrytitle>crl</refentrytitle> +<manvolnum>1ssl</manvolnum> </citerefentry> för detaljer.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_crl</term> + <listitem> + <para> + Om en certifikatåterkalleleselista (CRL) gått ut, ignorera CRL-kontroller +för de relaterade certifikaten. Denna flagga skall användas för att tillåta +autentisering när systemet är frånkopplat och CRL:en inte kan förnyas.</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Okända alternativ rapporteras men ignoreras. + </para> + <para> + Standard: inte satt, d.v.s begränsa inte certifikatverifieringen + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>disable_netlink (boolean)</term> + <listitem> + <para> + SSSD-hakar in i netlink-gränssnittet för att övervaka förändringar av +rutter, adresser, länkar och utlösa vissa åtgärder. + </para> + <para> + Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga +och kan avaktiveras genom att sätta detta alternativ till ”true” + </para> + <para> + Standard: false (netlink-förändringar detekteras) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_files_provider"> + <term>enable_files_domain (boolean)</term> + <listitem> + <para> + När detta alternativ är aktiverat skjuter SSSD in en implicit domän med +<quote>id_provider=files</quote> före några explicit konfigurerade domäner. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domain_resolution_order</term> + <listitem> + <para> + Kommaseparerad lista av domäner och underdomäner som representerar ordningen +av uppslagningar skall följa. Listan behöver inte innehålla alla möjliga +domäner eftersom de saknade domänerna kommer slås upp baserat på ordningen +de presenteras i konfigurationsalternativet <quote>domains</quote>. +Underdomäner som inte är listade som en del av <quote>lookup_order</quote> +kommer slås upp i en slumpvis ordning för varje föräldradomän. + </para> + <para> + Please, note that when this option is set the output format of all commands +is always fully-qualified even when using short names for input <phrase +condition="with_files_provider"> , for all users but the ones managed by the +files provider </phrase>. In case the administrator wants the output not +fully-qualified, the full_name_format option can be used as shown below: +<quote>full_name_format=%1$s</quote> However, keep in mind that during +login, login applications often canonicalize the username by calling +<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> which, if a shortname is returned +for a qualified input (while trying to reach a user which exists in multiple +domains) might re-route the login attempt into the domain which uses +shortnames, making this workaround totally not recommended in cases where +usernames may overlap between domains. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>implicit_pac_responder (boolean)</term> + <listitem> + <para> + PAC-respondenten aktiveras automatiskt för IPA- och AD-leverantörerna för +att utvärdera och kontrollera PAC:en. Om den måste avaktiveras sätt detta +alternativ till ”false”. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>core_dumpable (boolean)</term> + <listitem> + <para> + Detta alternativ kan användas för allmän förstärkning: att sätta det till +”false” förbjuder kärndumpar för alla SSSD-processer för att undvika att +klartextlösenord läcker. Se manualsidan prctl:PR_SET_DUMPABLE för detaljer. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_verification (string)</term> + <listitem> + <para> + With this parameter the passkey verification can be tuned with a comma +separated list of options. Supported options are: <variablelist> + <varlistentry> + <term>user_verification (boolean)</term> + <listitem> + <para> Enable or disable the user verification (i.e. PIN, fingerprint) during +authentication. If enabled, the PIN will always be requested. + </para> + <para> + The default is that the key settings decide what to do. In the IPA or +kerberos pre-authentication case, this value will be overwritten by the +server. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + </refsect1> + + <refsect1 id='services-sections'> + <title>TJÄNSTESEKTIONER</title> + <para> + Inställningar som kan användas för att konfigurera olika tjänster beskrivs i +detta avsnitt. De skall ligga i sektionen +[<replaceable>$NAME</replaceable>], till exempel, för tjänsten NSS skulle +sektionen vara <quote>[nss]</quote> + </para> + + <refsect2 id='general'> + <title>Allmänna alternativ för tjänstekonfiguration</title> + <para> + Dessa alternativ kan användas för att konfigurera alla tjänster. + </para> + <variablelist> + <varlistentry> + <term>reconnection_retries (heltal)</term> + <listitem> + <para> + Antal gånger som tjänster skall försöka återansluta i händelse av en +dataleverantörskrasch eller -omstart innan de ger upp + </para> + <para> + Standard: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>fd_limit</term> + <listitem> + <para> + Detta alternativ anger det maximala antalet filbeskrivare som kan öppnas på +en gång av denna SSSD-process. På system där SSSD ges förmågan +CAP_SYS_RESOURCE kommer detta vara en absolut inställning. På system utan +denna förmåga kommer det resulterande värdet vara det lägre av detta värde +och den ”hårda” gränsen i limits.conf. + </para> + <para> + Standard: 8192 (eller den ”hårda” gränsen i limits.conf) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>client_idle_timeout</term> + <listitem> + <para> + Detta alternativ anger antalet sekunder som en klient till en SSSD-process +kan hålla fast i en filbeskrivare utan att kommunicera över den. Detta värde +är begränsat för att undvika att resurserna på systemet tar +slut. Tidsgränsen kan inte vara kortare än 10 sekunder. Om ett lägre värde +konfigureras kommer det att justeras till 10 sekunder. + </para> + <para> + Standard: 60, KCM: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout (heltal)</term> + <listitem> + <para> + När SSSD byter till frånkopplat läge, kommer tiden före den försöker gå +tillbaka till uppkopplat läge öka baserat på tiden tillbringad frånkopplad. +Som standard använder SSSD ett inkrementellt beteende för att beräkna +fördröjningen mellan återförsök. Så, väntetiden för ett givet återförsök +kommer vara längre än väntetiden för det föregående. Efter varje misslyckat +försök att bli uppkopplat beräknas det nya intervallet om enligt följande: + </para> + <para> + ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + +slumpvärde[0…offline_timeout_random_offset] + </para> + <para> + Standardvärdet för offline_timeout är 60. Standardvärdet på +offline_timeout_max är 3600. Standardvärdet på offline_timeout_random_offset +är 30. Slutresultatet är antalet sekunder före nästa omförsök. + </para> + <para> + Observera att den maximala längde på varje intervall definieras av +offline_timeout_max (förutom slumpdelen). + </para> + <para> + Standard: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_max (heltal)</term> + <listitem> + <para> + Styr med hur mycket tiden mellan försök att ansluta kan ökas efter ett +misslyckat försök att koppla upp. + </para> + <para> + Ett värde på 0 avaktiverar det ökande beteendet. + </para> + <para> + Värdet på denna parameter skall sättas i korrelation med parametervärdet +offline_timeout. + </para> + <para> + Med offline_timout satt till 60 (standardvärdet) är det ingen poäng i att +sätta ofline_timeout_max till mindre än 120 eftersom det kommer mättas +omedelbart. En allmän regel här bör vara att sätta offline_timeout_max till +åtminstone 4 gånger offline_timeout. + </para> + <para> + Även om ett värde mellan 0 och offline_timeout kan anges har det effekten +att åsidosätta värdet offline_timeout så det är inte så användbart. + </para> + <para> + Standard: 3600 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_random_offset (heltal)</term> + <listitem> + <para> + När SSSD är i frånkopplat läge fortsätter den att prova bakändesservrar med +angivna tidsintervall: + </para> + <para> + ny_fördröjning = Minimum(gammal_fördröjning * 2, offline_timeout_max) + +slumpvärde[0…offline_timeout_random_offset] + </para> + <para> + Denna parameter styr värdet på den slumpvisa förskjutningen som används i +ovanstående ekvation. Det slutliga random_offset-värdet kommer vara ett +slumptal i intervallet: + </para> + <para> + [0 – offline_timeout_random_offset] + </para> + <para> + Ett värde på 0 avaktiverar tillägget av en slumpfördröjning. + </para> + <para> + Standard: 30 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>responder_idle_timeout</term> + <listitem> + <para> + Detta alternativ anger antalet sekunder som en SSSD-respondentprocess kan +vara uppe utan att användas. Detta värde är begränsat för att undvika att +resurserna på systemet tar slut. Det minsta acceptabla värdet för detta +alternativ är 60 sekunder. Att sätta detta alternativ till 0 (noll) betyder +att ingen tidsgräns kommer att sättas av respondenten. Detta alternativ har +bara effekt när SSSD är byggt med stöd för systemd och när tjänster är +antingen uttags- eller D-Bus-aktiverade. + </para> + <para> + Standard: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cache_first</term> + <listitem> + <para> + Detta alternativ anger huruvida respondenten skall fråga alla cachar före +den frågar dataleverantörerna. + </para> + <para condition="with_files_provider"> + Standard: false + </para> + <para condition="without_files_provider"> + Standard: true + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='NSS'> + <title>NSS-konfigurationsalternativ</title> + <para> + Dessa alternativ kan användas för att konfigurera tjänsten Name Service +Switch (NSS). + </para> + <variablelist> + <varlistentry> + <term>enum_cache_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder skall nss_sss cacha uppräkningar (begäranden för +information om alla användare) + </para> + <para> + Standard: 120 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_cache_nowait_percentage (heltal)</term> + <listitem> + <para> + Cachen över poster kan ställas in att automatiskt uppdatera poster i +bakgrunden om de begärs utöver en procentsats av värdet entry_cache_timeout +för domänen. + </para> + <para> + Till exempel, om domänens entry_cache_timeout är satt till 30 s och +entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som +kommer in 15 sekunder efter den sista cacheuppdateringen returneras +omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att +framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering. + </para> + <para> + Giltiga värden för detta alternativ är 0-99 och representerar en procentsats +av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna +procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. +(0 avaktiverar denna funktion) + </para> + <para> + Standard: 50 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_negative_timeout (heltal)</term> + <listitem> + <para> + Anger hur många sekunder nss_sss cachar negativa cacheträffar (det vill +säga, frågor om ogiltiga databasposter, som sådana som inte finns) innan +bakänden tillfrågas igen. + </para> + <para> + Standard: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_negative_timeout (heltal)</term> + <listitem> + <para> + Anger hur många sekunder nss_sss skall hålla lokala användare och grupper i +en negativ cache före den försöker slå upp dem i bakänden igen. Att ställa +in alternativet till 0 avaktiverar denna funktion. + </para> + <para> + Standard: 14400 (4 timmar) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users, filter_groups (sträng)</term> + <listitem> + <para> + Uteslut vissa användare eller grupper från att hämtas från sss +NSS-databasen. Detta är särskilt användbart för systemkonton. Detta +alternativ kan också anges per domän eller inkludera fullständigt +kvalificerade namn för att filtrera endast användare från den angivna +domänen eller efter ett användarhuvudmansnamn (UPN). + </para> + <para> + OBS: alternativet filter_groups påverkar inte arvet av nästade +gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att +returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad +kommer fortfarande ha medlemsanvändarna i den senare listade. + </para> + <para> + Standard: root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users_in_groups (bool)</term> + <listitem> + <para> + Om du vill att filtrerade användare fortfarande skall vara gruppmedlemmar +sätt då detta alternativ till false. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + <varlistentry> + <term>fallback_homedir (sträng)</term> + <listitem> + <para> + Ange en standardmall för en användares hemkatalog om ingen uttryckligen +anges av domänens dataleverantör. + </para> + <para> + De tillgängliga värdena för detta alternativ är samma som för +override_homedir. + </para> + <para> + exempel: <programlisting> +fallback_homedir = /home/%u + </programlisting> + </para> + <para> + Standard: inte satt (ingen ersättning för ej angivna hemkataloger) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_shell (sträng)</term> + <listitem> + <para> + Åsidosätt inloggningsskalet för alla användare. Detta alternativ går före +alla andra skalalternativ om det har effekt och kan sättas antingen i +sektionen [nss] eller per domän. + </para> + <para> + Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>allowed_shells (sträng)</term> + <listitem> + <para> + Begränsa användarskal till ett av de listade värdena. Beräkningsordningen +är: + </para> + <para> + 1. Om skalet finns i <quote>/etc/shells</quote> används det. + </para> + <para> + 2. Om skalet finns i listan allowed_shells men inte i +<quote>/etc/shells</quote>, använd värdet på parametern shell_fallback. + </para> + <para> + 3. Om skalet inte finns i listan allowed_shells och inte i +<quote>/etc/shells</quote> används ett nologin-skal. + </para> + <para> + Jokertecknet (*) kan användas för att tillåta godtyckligt skal. + </para> + <para> + (*) är användbart om du vill använda shell_fallback ifall den användarens +skal inte finns i <quote>/etc/shells</quote> och att underhålla listan över +alla skal i allowed_shells skulle vara för mycket overhead. + </para> + <para> + En tom sträng som skal skickas som den är till libc. + </para> + <para> + <quote>/etc/shells</quote> läses bara vid uppstart av SSSD, vilket betyder +att en omstart av SSSD behövs ifall ett nytt skal installeras. + </para> + <para> + Standard: inte satt. Användarens skal används automatiskt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>vetoed_shells (sträng)</term> + <listitem> + <para> + Ersätt alla instanser av dessa skal med shell_fallback + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>shell_fallback (sträng)</term> + <listitem> + <para> + Standardskalet att använda om ett tillåtet skal inte är installerat på +maskinen. + </para> + <para> + Standard: /bin/sh + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_shell</term> + <listitem> + <para> + Standardskalet att använda om leverantören inte returnerar något under +uppslagningen. Detta alternativ kan anges globalt i sektionen [nss] eller +per domän. + </para> + <para> + Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att +libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (heltal)</term> + <listitem> + <para> + Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas +som giltiga. + </para> + <para> + Standard: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_timeout (heltal)</term> + <listitem> + <para> + Anger tiden i sekunder under vilken poster i minnescachen kommer vara +giltiga. Att sätta detta alternativ till noll kommer avaktivera cachen i +minnet. + </para> + <para> + Standard: 300 + </para> + <para> + VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ +påverkan på SSSD:s prestanda och skall bara användas för testning. + </para> + <para> + OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_passwd (heltal)</term> + <listitem> + <para> + Storlek (i megabyte) på datatabellen som allokeras inuti en snabb +i-minnes-cache för lösenordsbegäranden. Att sätta storleken till 0 kommer +avaktivera lösenords-cachen i minnet. + </para> + <para> + Standard: 8 + </para> + <para> + VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant +negativ påverkan på SSSD:s prestanda. + </para> + <para> + OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_group (heltal)</term> + <listitem> + <para> + Storlek (i megabyte) på datatabellen som allokeras inuti en snabb +i-minnes-cache för gruppbegäranden. Att sätta storleken till 0 kommer +avaktivera grupp-cachen i minnet. + </para> + <para> + Standard: 6 + </para> + <para> + VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant +negativ påverkan på SSSD:s prestanda. + </para> + <para> + OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_initgroups (heltal)</term> + <listitem> + <para> + Storlek (i megabyte) på datatabellen som allokeras inuti en snabb +i-minnes-cache för initgruppbegäranden. Att sätta storleken till 0 kommer +avaktivera initgrupp-cachen i minnet. + </para> + <para> + Standard: 10 + </para> + <para> + VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant +negativ påverkan på SSSD:s prestanda. + </para> + <para> + OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_sid (integer)</term> + <listitem> + <para> + Storlek (i megabyte) på datatabellen som allokeras inuti en snabb +i-minnes-cache för SID-realterade begäranden. Endast SID-via-ID- och +ID-via-SID-begäranden sparas för närvarande i den snabba cachen i +minnet. Att sätta storleken till 0 kommer avaktivera SID-cachen i minnet. + </para> + <para> + Standard: 6 + </para> + <para> + VARNING: en avaktiverad eller för liten cache i minnet kan ha signifikant +negativ påverkan på SSSD:s prestanda. + </para> + <para> + OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer +klientprogram inte använda den snabba cachen i minnet. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>user_attributes (sträng)</term> + <listitem> + <para> + Några av de ytterligare NSS-respondentbegäranden kan returnera fler attribut +än bara de som definieras av POSIX via NSS-gränssnittet. Listan av attribut +styrs av detta alternativ. Det hanteras på samma sätt som alternativet +<quote>user_attributes</quote> för InfoPipe-respondenten (se <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer) men utan standardvärden. + </para> + <para> + För att förenkla konfigurationen kommer NSS-respondenten kontrollera +InfoPipe-alternativet om det inte är satt för NSS-respondenten. + </para> + <para> + Standard: inte satt, gå tillbaka till InfoPipe-alternativet + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwfield (sträng)</term> + <listitem> + <para> + Värdet som NSS-operationer som returnerar användare eller grupper kommer att +returnera i fältet <quote>password</quote>. + </para> + <para> + Standard: <quote>*</quote> + </para> + <para> + Observera: detta alternativ kan även sättas per domän vilket åsidosätter +värdet i [nss]-sektionen. + </para> + <para> + Default: <quote>not set</quote> (remote domains), <phrase +condition="with_files_provider"> <quote>x</quote> (the files domain), +</phrase> <quote>x</quote> (proxy domain with nss_files and sssd-shadowutils +target) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + <refsect2 id='PAM'> + <title>PAM-konfigurationsalternativ</title> + <para> + Dessa alternativ kan användas för att konfigurera tjänsten Pluggable +Authentication Module (PAM). + </para> + <variablelist> + <varlistentry> + <term>offline_credentials_expiration (heltal)</term> + <listitem> + <para> + Om autentiseringsleverantören inte är ansluten, hur länge skall vi tillåta +cachade inloggningar (i dagar efter den senaste lyckade uppkopplade +inloggningen). + </para> + <para> + Standard: 0 (ingen gräns) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_attempts (heltal)</term> + <listitem> + <para> + Om autentiseringsleverantören inte är ansluten, hur många misslyckade +inloggningsförsök är tillåtna. + </para> + <para> + Standard: 0 (ingen gräns) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_delay (heltal)</term> + <listitem> + <para> + Tiden i minuter som måste förflyta efter att offline_failed_login_attempts +har nåtts före ett nytt inloggningsförsök är möjligt. + </para> + <para> + Om satt till 0 kan inte användaren autentisera om +offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad +autentisering kan aktivera autentisering utan uppkoppling igen. + </para> + <para> + Standard: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_verbosity (heltal)</term> + <listitem> + <para> + Styr vilken sorts meddelanden som visas för användaren under +autentisering. Ju högre tal desto fler meddelanden visas. + </para> + <para> + För närvarande stödjs följande värden: + </para> + <para> + <emphasis>0</emphasis>: visa inte några meddelanden + </para> + <para> + <emphasis>1</emphasis>: visa endast viktiga meddelanden + </para> + <para> + <emphasis>2</emphasis>: visa informationsmeddelanden + </para> + <para> + <emphasis>3</emphasis>: visa alla meddelanden och felsökningsinformation + </para> + <para> + Standard: 1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_response_filter (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av strängar som möjliggör att ta bort (filtrera) +data skickat av PAM-respondenten till pam_sss-PAM-modulen. Det finns olika +sorters svar skickade till pam_sss, t.ex. meddelanden som visas för +användaren eller miljövariabler som skall sättas av pam_sss. + </para> + <para> + Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity +gör detta alternativ att man kan filtrera ut andra sorters svar dessutom. + </para> + <para> + För närvarande stödjs följande filter: <variablelist> + <varlistentry><term>ENV</term> + <listitem><para>Skicka inte några miljövariabler till någon tjänst.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:varnamn</term> + <listitem><para>Skicka inte miljövariabeln varnamn till någon tjänst.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:varnamn:tjänst</term> + <listitem><para>Skicka inte miljövariabeln varnamn till tjänst.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Listan av strängar kan antingen vara listan av filter vilka skulle sätta +denna lista av filter och åsidosätta standardvärdet. Eller så kan varje +element i listan ha ett tecken ”+” eller ”-” som prefix vilket skulle lägga +till filtret till det befintliga standardvärdet respektive ta bort det från +standardvärdet. Observera att antingen måste alla listelement ha ett ”+” +eller ”-” eller inget av dem. Det ses som ett fel att blanda båda sätten. + </para> + <para> + Standard: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i + </para> + <para> + Exempel: -ENV:KRB5CCNAME:sudo-i kommer ta bort det filtret från +standardlistan + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_id_timeout (heltal)</term> + <listitem> + <para> + För alla PAM-begäranden när SSSD är uppkopplat kommer SSSD försöka att +omedelbart uppdatera cachad identitetsinformation för användaren för att se +till att autentisering sker med den senaste informationen. + </para> + <para> + En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom +hantering av konto och öppning av en session. Detta alternativ styr (på +per-klientprogrambasis) hur länge (i sekunder) vi kan cacha +identitetsinformationen för att undvika överdrivna rundturer till +identitetsleverantören. + </para> + <para> + Standard: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_pwd_expiration_warning (heltal)</term> + <listitem> + <para> + Visa en varning N dagar före lösenordet går ut. + </para> + <para> + Observera att bakändeservern måste leverera information om utgångstiden för +lösenordet. Om denna information saknas kan sssd inte visa någon varning. + </para> + <para> + Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen +mottogs från bakändeserver kommer den automatiskt visas. + </para> + <para> + Denna inställning kan åsidosättas genom att sätta +<emphasis>pwd_expiration_warning</emphasis> för en viss domän. + </para> + <para> + Standard: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (heltal)</term> + <listitem> + <para> + Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas +som giltiga. + </para> + <para> + Standard: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_trusted_users (sträng)</term> + <listitem> + <para> + Anger den kommaseparerade listan av AID-värden eller användarnamn som +tillåts köra PAM-konverteringar mot betrodda domäner. Användare som inte är +inkluderade i denna lista kan endast komma åt domäner som är markerade som +publika med <quote>pam_public_domains</quote>. Användarnamn slås upp till +UID vid uppstart. + </para> + <para> + Standard: alla användare betraktas som betrodda som standard + </para> + <para> + Observera att AID 0 alltid tillåts komma åt PAM-respondenten även ifall den +inte är i listan pam_trusted_users. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_public_domains (sträng)</term> + <listitem> + <para> + Anger den kommaseparerade listan över domännamn som är åtkomliga även för ej +betrodda användare. + </para> + <para> + Två speciella värden för alternativet pam_public_domains är definierade: + </para> + <para> + all (Ej betrodda användare tillåts komma åt alla domäner i +PAM-respondenten.) + </para> + <para> + none (Ej betrodda användare tillåts inte att komma åt några domäner i +PAM-respondenten.) + </para> + <para> + Standard: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_expired_message (sträng)</term> + <listitem> + <para> + Gör att det går att ange ett anpassat utgångsmeddelande som ersätter +standardmeddelandet ”åtkomst nekas”. + </para> + <para> + Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om +inte pam_verbosity är satt till 3 (visa alla meddelanden och +felsökningsinformation). + </para> + <para> + exempel: <programlisting> +pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten. + </programlisting> + </para> + <para> + Standard: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_locked_message (sträng)</term> + <listitem> + <para> + Gör att det går att ange ett anpassat utlåsningsmeddelande som ersätter +standardmeddelandet ”åtkomst nekas”. + </para> + <para> + exempel: <programlisting> +pam_account_locked_message = Kontot är låst, kontakta kundtjänsten. + </programlisting> + </para> + <para> + Standard: none + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>pam_passkey_auth (bool)</term> + <listitem> + <para> + Enable passkey device based authentication. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_debug_libfido2 (bool)</term> + <listitem> + <para> + Enable libfido2 library debug messages. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_auth (bool)</term> + <listitem> + <para> + Aktivera certifikatbaserad smartkortsautentisering. Eftersom detta +förutsätter ytterligare kommunikation med smartkortet vilket kommer fördröja +autentiseringsprocessen är detta alternativ avaktiverat som standard. + </para> + <para> + Standard: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_db_path (sträng)</term> + <listitem> + <para> + Sökvägen till certifikatdatabasen. + </para> + <para> + Standard: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (sökväg till en fil med betrodda +CA-certifikat i PEM-format) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_verification (sträng)</term> + <listitem> + <para> + Med denna parameter kan verifieringen av PAM-certifikatet justeras med en +kommaseparerad lista av alternativ som åsidosätter värdet på +<quote>certificate_verification</quote> i sektionen +<quote>[sssd]</quote>. Flaggor som stödjs är samma som för +<quote>certificate_verification</quote>. + </para> + <para> + exempel: <programlisting> +pam_cert_verification = partial_chain + </programlisting> + </para> + <para> + Standard: inte satt, d.v.s. använd standardvärdet +<quote>certificate_verification</quote> definierat i sektionen +<quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_child_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder pam_sss kommer vänta på p11_child att avsluta. + </para> + <para> + Standard: 10 + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_child_timeout (integer)</term> + <listitem> + <para> + How many seconds will the PAM responder wait for passkey_child to finish. + </para> + <para> + Standard: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_app_services (sträng)</term> + <listitem> + <para> + Vilken PAM-tjänster tillåts att kontakta domäner av typen +<quote>application</quote> + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_p11_allowed_services (heltal)</term> + <listitem> + <para> + En kommaseparerad lista av PAM-tjänstenamn för vilka det kommer vara +tillåtet att använda smarta kort. + </para> + <para> + Det är möjligt att lägga till ett annat PAM-tjänstenamn till +standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller +att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen +genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta ut +ett standard-PAM-tjänstenamn för autentisering med smarta kort +(t.ex. <quote>login</quote>) mot ett anpassat PAM-tjänstenamn +(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande +konfiguration: <programlisting> +pam_p11_allowed_services = +min_pam-tjänst, -login + </programlisting> + </para> + <para> + Standard: standarduppsättningen av PAM-tjänstenamn innefattar: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + gnome-screensaver + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_wait_for_card_timeout (heltal)</term> + <listitem> + <para> + Om smartkortsautentisering krävs hur många extra sekunder utöver +p11_child_timeout PAM-respondenten skall vänta på att ett smartkort sätts +in. + </para> + <para> + Standard: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_uri (sträng)</term> + <listitem> + <para> + PKCS#11 URI (se RFC-7512 för detaljer) som kan användas för att begränsa +urvalet av enheter som används för smartkortsautentisering. Som standard +kommer SSSD:s p11_child söka efter ett PKCS#11-fack (läsare) där flaggan +”removable” är satt och läsa certifikaten från det insatta elementet från +det första facket som hittas. Om flera läsare är anslutna kan p11_uri +användas för att säga till p11_child att använda en specifik läsare. + </para> + <para> + Exempel: <programlisting> +p11_uri = pkcs11:slot-description=Min%20smartkortsläsare + </programlisting> eller <programlisting> +p11_uri = pkcs11:library-description=OpenSC%20smartkortsramverk;slot-id=2 + </programlisting> För att hitta en lämplig URI, kontrollera +felsökningsutdata från p11_child. Som ett alternativ kommer GnuTLS-verktyget +”p11tool” med t.ex. ”--list-all” visa även PKCS#11 URI:er. + </para> + <para> + Standard: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_initgroups_scheme</term> + <listitem> + <para> + PAM-respondenten kan framtvinga en uppkopplad uppslagning för att ta fram de +aktuella gruppmedlemskapen för användaren som försöker logga in. Denna +flagga styr när detta skall göras och följande värden är tillåtna: +<variablelist> + <varlistentry><term>always</term> + <listitem><para>Gör alltid en uppkopplad uppslagning, observera att pam_id_timeout +fortfarande gäller</para></listitem> + </varlistentry> + <varlistentry><term>no_session</term> + <listitem><para>Gör bara en uppkopplad uppslagning om det inte finns någon aktiv session för +användaren, d.v.s. om användaren inte är inloggad för närvarande</para></listitem> + </varlistentry> + <varlistentry><term>never</term> + <listitem><para>Gör aldrig uppkopplade uppslagningar, använd data från cachen så länge de +inte har gått ut</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Standard: no_session + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_services</term> + <listitem> + <para> + Kommaseparerad lista över PAM-tjänster som tillåts att försöka med +GSSAPI-autentisering med modulen pam_sss_gss.so. + </para> + <para> + För att avaktivera GSSAPI-autentisering, sätt denna lista till +<quote>-</quote> (streck). + </para> + <para> + Observera: denna flagga kan även sättas per domän vilket skriver över värdet +i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver +över värdet i domänsektionen. + </para> + <para> + Exempel: <programlisting> +pam_gssapi_services = sudo, sudo-i + </programlisting> + </para> + <para> + Standard: - (GSSAPI-autentisering är avaktiverat) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_check_upn</term> + <listitem> + <para> + Om sant kommer SSSD kräva att det Kerberos användarhuvudmansnamn som lyckats +autentisera via GSSAPI kan associeras med användaren som +autentiseras. Autentisering kommer misslyckas om kontrollen misslyckas. + </para> + <para> + Om falskt kommer varje användare som kan få den begärda biljetten att +autentiseras. + </para> + <para> + Observera: denna flagga kan även sättas per domän vilket skriver över värdet +i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver +över värdet i domänsektionen. + </para> + <para> + Standard: True + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_indicators_map</term> + <listitem> + <para> + Kommaseparerad lista över autentiseringsindikatorer som måste finnas i en +Kerberos-biljett för att komma åt en PAM-tjänst som får prova +GSSAPI-autentisering med modulen pam_sss_gss.so. + </para> + <para> + Varje element i listan kan antingen vara ett autentiseringsindikatornamn +eller ett par <quote>tjänst:indikator</quote>. Indikatorer som inte har +PAM-tjänsten som prefix kommer krävas för att komma åt någon PAM-tjänst alls +som är konfigurerad att användas med +<option>pam_gssapi_services</option>. En resulterande lista över indikatorer +per PAM-tjänst kontrolleras sedan mot indikatorer i Kerberos-biljetten under +autentisering via pam_sss_gss.so. Om någon indikator från biljetten matchar +den resulterande listan av indikatorer för PAM-tjänsten så ges åtkomst. Om +ingen av indikatorerna i listan matchar, kommer åtkomst nekas. Om den +resulterande listan av indikatorer för PAM-tjänsten är tom kommer kontrollen +inte att förhindra åtkomsten. + </para> + <para> + För att avaktivera indikatorkontrollen med GSSAPI-autentisering, sätt denna +flagga till <quote>-</quote> (streck). För att avaktivera kontrollen för en +specifik PAM-tjänst, lägg till <quote>tjänst:-</quote>. + </para> + <para> + Observera: denna flagga kan även sättas per domän vilket skriver över värdet +i sektionen [pam]. Det kan också sättas för betrodda domäner vilket skriver +över värdet i domänsektionen. + </para> + <para> + Följande autentiseringsindikatorer stödjs av IPA-Kerberosinstallationer: + <itemizedlist> + <listitem> + <para>pkinit — förautentisering med X.509-certifikat — oavsett om de lagrats i +filer eller på smarta kort.</para> + </listitem> + <listitem> + <para>hardened — SPAKE-förautentisering eller godtycklig förautentisering inslagen +i en FAST-kanal.</para> + </listitem> + <listitem> + <para>radius — förautentisering med hjälp av en RADIUS-server.</para> + </listitem> + <listitem> + <para>otp — förautentisering med användning av integrerad tvåfaktorautentisering +(2FA eller engångslösenord, OTP) i IPA.</para> + </listitem> + <listitem> + <para>idp — förautentisering med extern identitetsleverantör.</para> + </listitem> + </itemizedlist> + </para> + <para> + Exempel: för att begära åtkomst till SUDO-tjänster endast för användare som +fick sina Kerberos-biljetter med förautentisering med ett X.509-certifikat +(PKINIT), sätt <programlisting> +pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit + </programlisting> + </para> + <para> + Standard: inte satt (användning av autentiseringsindikatorer krävs inte) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SUDO' condition="with_sudo"> + <title>SUDO-konfigurationsalternativ</title> + <para> + Dessa alternativ kan användas för att konfigurera tjänsten sudo. De +detaljerade instruktionerna för konfiguration av <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +för att fungera med <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> finns i manualsidan <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <variablelist> + <varlistentry> + <term>sudo_timed (bool)</term> + <listitem> + <para> + Huruvida attributen sudoNotBefore och sudoNotAfter som implementerar +tidsberoende sudoers-poster skall evalueras eller inte. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + </variablelist> + <variablelist> + <varlistentry> + <term>sudo_threshold (heltal)</term> + <listitem> + <para> + Maximalt antal utgångna regler som kan uppdateras på en gång. Om antalet +utgångna regler är under gränsen uppdateras dessa regler med mekanismen +<quote>regeluppdatering</quote>. Om gränsen överskrids triggas en +<quote>fullständig uppdatering</quote> av sudo-regler istället. Detta +gränsvärde gäller även IPA-sudo-kommandon och kommandogruppsökningar. + </para> + <para> + Standard: 50 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='AUTOFS' condition="with_autofs"> + <title>AUTOFS-konfigurationsalternativ</title> + <para> + Dessa alternativ kan användas för att konfigurera tjänsten autofs. + </para> + <variablelist> + <varlistentry> + <term>autofs_negative_timeout (heltal)</term> + <listitem> + <para> + Anger hur många sekunder autofs-respondenten cachar negativa cacheträffar +(det vill säga, frågor om ogiltiga mappningsposter, som sådana som inte +finns) innan bakänden tillfrågas igen. + </para> + <para> + Standard: 15 + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect2> + + <refsect2 id='SSH' condition="with_ssh"> + <title>SSH-konfigurationsalternativ</title> + <para> + Dessa alternativ kan användas för att konfigurera tjänsten SSH. + </para> + <variablelist> + <varlistentry> + <term>ssh_hash_known_hosts (bool)</term> + <listitem> + <para> + Huruvida värdnamn och adresser i den hanterade filen known_hosts skall göras +till kontrollsummor eller inte. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_known_hosts_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder en värd behålls i den hanterade filen known_hosts efter +att dess värdnycklar begärdes. + </para> + <para> + Standard: 180 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_keys (bool)</term> + <listitem> + <para> + Om satt till true kommer <command>sss_ssh_authorizedkeys</command> returnera +ssh-nycklar härledda från den publika nyckeln i X.509-certifikat även +lagrade i användarposten. Se <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry> för detaljer. + </para> + <para> + Standard: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_matching_rules (sträng)</term> + <listitem> + <para> + Som standard kommer ssh-respondenten använda alla tillgängliga +certifikatmatchningsregler för att filtrera certifikaten så att ssh-nycklar +bara härleds från de matchande. Med denna flagga kan de använda reglerna +begränsas med en kommaseparerad lista av avbildningar och matchande +regelnamn. Alla andra regler kommer ignoreras. + </para> + <para> + Det finns två speciella nyckelord ”all_rules” och ”no_rules” som kommer +aktivera alla respektive inga regler. Det senare betyder att inga certifikat +kommer filtreras ut och att ssh-nycklar kommer genereras från alla giltiga +certifikat. + </para> + <para> + Om inga regler är konfigurerade kommer att använda ”all_rules” aktivera en +standardregel som aktiverar alla certifikat som passar +klientautentiseringen. Detta är samma beteende som för PAM-respondenten om +certifikatautentisering är aktiverat. + </para> + <para> + Ett namn på en regel som inte finns anses som ett fel. Om som ett resultat +ingen regel blir vald kommer alla certifikat ignoreras. + </para> + <para> + Standard: inte satt, likvärdigt med ”all_rules”, alla regler som finns eller +standardregeln används + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ca_db (sträng)</term> + <listitem> + <para> + Sökväg till lagring av betrodda CA-certifikat. Alternativet används för att +validera användarcertifikat före publika ssh-nycklar härleds från dem. + </para> + <para> + Standard: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (sökväg till en fil med betrodda +CA-certifikat i PEM-format) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='PAC_RESPONDER' condition="with_pac_responder"> + <title>PAC-respondentskonfigurationsalternativ</title> + <para> + PAC-respondenten fungerar tillsammans med insticksmodulen för +auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en +underdomänsleverantör. Insticksmodulen skickar PAC-data under en +GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar +domän-SID och ID-intervall för domänen klienten går med i och från betrodda +domäner från den lokala domänhanteraren. Om PAC:en är avkodad och beräknad +kommer några av följande operationer att göras: + <itemizedlist> + <listitem><para>Om fjärranvändaren inte finns i cachen skapas den. AID:t avgörs med hjälp av +SID:t, betrodda domäner kommer ha UPG:er och GID:t kommer ha samma värde som +AID:t. Hemkatalogen är satt baserat på parametern subdomain_homedir. Skalet +kommer vara tomt som standard, d.v.s. systemstandarden används, men kan +skrivas över med parametern default_shell.</para> + </listitem> + <listitem><para>Om det finns SID:er av grupper från domäner sssd känner till kommer +användaren läggas till i dessa grupper. + </para></listitem> + </itemizedlist> + </para> + <para> + Dessa alternativ kan användas för att konfigurera PAC-respondenten. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (sträng)</term> + <listitem> + <para> + Anger den kommaseparerade listan av AID-värden eller användarnamn som +tillåts använda PAC-respondenten. Användarnamn slås upp till AID:er vid +uppstart. + </para> + <para> + Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten) + </para> + <para> + Observera att även om AID 0 används som standard kommer det att skrivas över +av detta alternativ. Om du fortfarande vill tillåta root-användaren att +komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även +0 i listan av tillåtna AID:er. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_lifetime (heltal)</term> + <listitem> + <para> + Livslängd på PAC-posterna i sekunder. Så länge som PAC:en är giltig kan +PAC-datan användas för att avgöra gruppmedlemskap för en användare. + </para> + <para> + Standard: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_check (sträng)</term> + <listitem> + <para> + Använd ytterligare kontroller på PAC:en i Kerberosbiljetten som är +tillgängliga i Active Directory och FreeIPA-domäner, om +konfigurerat. Observera att validering av Kerberosbiljetten måste aktiveras +för att kunna kontrollera PAC:en, d.v.s. alternativet krb5_validate måste +vara satt till ”True” vilket är standardvärdet för leverantörerna IPA och +AD. Om krb5_validate är satt till ”False” kommer PAC-kontrollerna hoppas +över. + </para> + <para> + Följande alternativ kan användas ensamma eller i en kommaseparerad lista: +<variablelist> + <varlistentry> + <term>no_check</term> + <listitem> + <para>PAC:en får inte finnas och även om den finns kommer inga ytterligare +kontroller att göras.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_present</term> + <listitem> + <para>PAC:en måste finnas i tjänstebiljetten som SSSD kommer begära med hjälp av +användarens TGT. Om PAC:en inte är tillgänglig kommer autentiseringen att +misslyckas. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn</term> + <listitem> + <para>Om PAC:en finns kontrollera om informationen om användarens huvudmannanamn +(UPN) är konsistent.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_allow_missing</term> + <listitem> + <para>Detta alternativ skall användas tillsammans med ”check_upn” och haterar +fallet då en UPN är satt på serversidan men inte läses av SSSD. Det typiska +exemplet är en FreeIPA-domän där ”ldap_user_principal” är satt till ett +attributnamn som inte finns. Detta gjordes typiskt för att gå runt problem i +hanteringen av företagshuvudmän. Men detta är rättat sedan ganska lång tid +tillbaka och FreeIPA kan hantera företagshuvudmän utan problem och det finns +inte längre någon anledning att sätta ”ldap_user_principal”.</para> + <para>För närvarande är detta alternativ satt som standard för att undvika +regressioner i sådana miljöer. Ett loggmeddelande kommer läggas till i +systemloggen och SSSD:s felsökningslogg ifall en UPN finns i PAC:en men +inte i SSSD:s cache. För att undvika detta loggmeddelande vore det bäst att +avgöra om alternativet ”ldap_user_principal” kan tas bort. Om detta inte är +möjligt kommer att ta bort ”check_upn” hoppa över testen och undvika +loggmeddelandet.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_present</term> + <listitem> + <para>PAC:en måste innehålla bufferten UPN-DNS-INFO, implicerar ”check_upn”.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_dns_info_ex</term> + <listitem> + <para>Om PAC:en finns och utökningen till bufferten UPN-DNS-INFO är tillgänglig +kontrollera om informationen i utökningen är konsistent.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_ex_present</term> + <listitem> + <para>PAC:en måste innehålla utökningen av bufferten UPN-DNS-INFO, implicerar +”check_upn_dns_info_ex”, ”upn_dns_info_present” och ”check_upn”. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Standard: no_check (AD- och IPA-leverantörerna ”check_upn, +check_upn_allow_missing, check_upn_dns_info_ex”) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SESSION_RECORDING'> + <title>Konfigurationsalternativ för inspelning av sessioner</title> + <para> + Inspelning av sessioner fungerar tillsammans med <citerefentry> +<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, en del av paketet tlog, för att logga vad användaren ser +och skriver när de är inloggade på en textterminal. Se även <citerefentry> +<refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Dessa alternativ kan användas för att konfigurera inspelning av sessioner. + </para> + <variablelist> + <varlistentry> + <term>scope (sträng)</term> + <listitem> + <para> + En av följande strängar anger utsträckningen för inspelning av sessioner: +<variablelist> + <varlistentry> + <term>”none”</term> + <listitem> + <para> + Inga användare spelas in. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>”some”</term> + <listitem> + <para> + Användare/grupper angivna i alternativen <replaceable>users</replaceable> +och <replaceable>groups</replaceable> spelas in. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>”all”</term> + <listitem> + <para> + Alla användare spelas in. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Standard: ”none” + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (sträng)</term> + <listitem> + <para> + En kommaseparerad lista över användare vilka skall ha inspelning av +sessioner aktiverat. Matchar användarnamn som de returneras av +NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, +etc. + </para> + <para> + Standard: Tomt. Matchar inte några användare. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (sträng)</term> + <listitem> + <para> + En kommaseparerad lista över gruppmedlemmar vilka skall ha inspelning av +sessioner aktiverat. Matchar gruppnamn som de returneras av +NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, +etc. + </para> + <para> + OBSERVERA: att använda detta alternativ (ha det satt till något) har en +betydande prestandakostnad, ty varje begäran som inte cachas för en +användare måste hämtas och matchas mot grupperna användaren är en medlem i. + </para> + <para> + Standard: Tom. Matchar inga grupper. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av användare att undanta från inspelning, endast +tillämpligt med ”scope=all”. + </para> + <para> + Standard: Tomt. Inga användare uteslutna. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (sträng)</term> + <listitem> + <para> + En kommaseparerad lista av grupper vars medlemmar skall undantas från +inspelning. Endast tillämpligt med ”scope=all”. + </para> + <para> + OBSERVERA: att använda detta alternativ (ha det satt till något) har en +betydande prestandakostnad, ty varje begäran som inte cachas för en +användare måste hämtas och matchas mot grupperna användaren är en medlem i. + </para> + <para> + Standard: Tom. Inga grupper uteslutna. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='domain-sections'> + <title>DOMÄNSEKTIONER</title> + <para> + Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, +det vill säga en sektion som heter +<quote>[domain/<replaceable>NAMN</replaceable>]</quote> <variablelist> + <varlistentry> + <term>aktiverat</term> + <listitem> + <para> + Aktivera eller avaktivera uttryckligen domänen. Om <quote>true</quote> är +domänen alltid <quote>aktiverad</quote>. Om <quote>false</quote> är domänen +alltid <quote>avaktiverad</quote>. Om denna flagga inte är satt är domänen +aktiverad endast om den är listad i domänflaggan i sektionen +<quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>domain_type (sträng)</term> + <listitem> + <para> + Anger huruvida domänen är avsedd att användas av POSIX-kunniga klienter +såsom Name Service Switch eller av program som inte behöver att POSIX-data +finns eller genereras. Endast objekt från POSIX-domäner är tillgängliga för +operativsystemets gränssnitt och verktyg. + </para> + <para> + Tillåtna värden på detta alternativ är <quote>posix</quote> och +<quote>application</quote>. + </para> + <para> + POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från +InfoPipe-respondenten (se <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) och PAM-respondenten. + </para> + <para> + OBSERVERA: Programdomänerna är för närvarande bara vältestade med +<quote>id_provider=ldap</quote>. + </para> + <para> + För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet +<quote>Programdomäner</quote>. + </para> + <para> + Standard: posix + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>min_id,max_id (heltal)</term> + <listitem> + <para> + AID- och GID-gränser för domänen. Om en domän innehåller en post som ligger +utanför dessa gränser ignoreras den. + </para> + <para> + För användare påverkar detta gränsen för det primära GID:t. Användaren +kommer inte returneras till NSS om antingen AID:t eller det primära GID:t +ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som +ligger i intervallet rapporteras som förväntat. + </para> + <para> + Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast +när de returneras via namn eller ID. + </para> + <para> + Standard: 1 för min_id, 0 (ingen gräns) för max_id + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>enumerate (bool)</term> + <listitem> + <para> + Bestämmer om en domän kan räknas upp, det vill säga, huruvida domänen kan +lista alla användare och grupper den innehåller. Observera att det inte är +nödvändigt att aktivera uppräkning för att sekundära grupper skall +visas. Denna parameter kan ha ett av följande värden: + </para> + <para> + TRUE = Användare och grupper räknas upp + </para> + <para> + FALSE = Inga uppräkningar för denna domän + </para> + <para> + Standard: FALSE + </para> + <para> + Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och +grupposter från fjärrservern. + </para> + <para> + Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD +medan uppräkningen pågår. Det kan ta upp till flera minuter efter att SSSD +startat upp för att helt fullborda uppräkningar. Under denna tid kommer +enskilda begäranden om information att gå direkt till LDAP, fast det kan +vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att +spara ett stort antal poster i cachen efter att uppräkningen är klar kan +också vara CPU-intensivt eftersom medlemskap måste beräknas om. Detta kan +leda till att processen <quote>sssd_be</quote> blir oåtkomlig eller till och +med startas om av den interna vakthunden. + </para> + <para> + Medan den första uppräkningen körs kan begäranden om den fullständiga +användar- eller grupplistan returnera utan resultat tills den är färdig. + </para> + <para> + Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka +urkoppling av nätverk, eftersom längre tidsgränser behövs för att +säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer +information, se manualsidorna för den specifika id-leverantören som används. + </para> + <para> + Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i +stora miljöer. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_enumerate (sträng)</term> + <listitem> + <para> + Huruvida några av de automatiskt upptäckta betrodda domänerna skall räknas +upp. De värden som stödjs är <variablelist> + <varlistentry> + <term>all</term> + <listitem><para>Alla upptäckta betrodda domäner kommer räknas upp</para></listitem> + </varlistentry> + <varlistentry> + <term>none</term> + <listitem><para>Inga upptäckta betrodda domäner kommer räknas upp</para></listitem> + </varlistentry> + </variablelist> Om så +önskas kan en lista med en eller flera domännamn aktivera uppräkning bara +för dessa betrodda domäner. + </para> + <para> + Standard: none + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse poster giltiga före den frågar +bakänden igen + </para> + <para> + Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda +objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast +effekt för nyligen tillagda eller utgångna poster. Du skall köra verktyget +<citerefentry> <refentrytitle>sss_cache</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för att tvinga fram en uppdatering +av poster som redan har cachats. + </para> + <para> + Standard: 5400 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_user_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse användarposter giltiga före den frågar +bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_group_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse grupposter giltiga före den frågar +bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_netgroup_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse nätgruppsposter giltiga före den +frågar bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_service_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse tjänsteposter giltiga före den frågar +bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_resolver_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder nss_sss skall anse värd- och nätgruppsposter giltiga före +den frågar bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>entry_cache_sudo_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder sudo skall anse regler giltiga före den frågar bakänden +igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>entry_cache_autofs_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder tjänsten autofs skall anse automatmonteringskartor +giltiga före den frågar bakänden igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>entry_cache_ssh_host_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder en värds ssh-nyckel behålls efter en +uppdatering. D.v.s. hur länge värdnyckeln skall cachas. + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_computer_timeout (heltal)</term> + <listitem> + <para> + Hur många sekunder som den lokala datorns post sparas före bakänden frågas +igen + </para> + <para> + Standard: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>refresh_expired_interval (heltal)</term> + <listitem> + <para> + Anger hur många sekunder SSSD måste vänta före en uppdateringsuppgift +startas i bakgrunden som kommer uppdatera alla utgångna eller nästan +utgångna poster. + </para> + <para> + Bakgrundsuppdateringen kommer behandla användare, grupper och nätgrupper i +cachen. För användare som har utfört operationen initgroups (hämta +gruppmedlemskap för en användare, normalt kört vid inloggning) tidigare +uppdateras både användarposten och gruppmedlemskapet. + </para> + <para> + Denna flagga ärvs automatiskt för alla betrodda domäner. + </para> + <para> + Du kan överväga att sätta detta värde till ¾ · entry_cache_timeout. + </para> + <para> + Cacheposter kommer uppdateras av ett bakgrundsjobb när ⅔ av cachetidsgränsen +redan har gått. Om det finns cachade poster kommer bakgrundsjobbet referera +till deras urpsprungliga cachetidsgränsvärden istället för det aktuella +konfiguartionsvärdet. Detta kan leda till en situation där +bakgrundsuppdateringsjobbet förefaller inte fungera. Detta är gjort med +avsikt för att förbättra funktionen i frånkopplat läge och återanvändning av +giltiga cacheposter. För att göra denna ändring omedelbart kan användaren +vilja manuellt invalidera den befintliga cachen. + </para> + <para> + Standard: 0 (avaktiverat) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials (bool)</term> + <listitem> + <para> + Determines if user credentials are also cached in the local LDB cache. The +cached credentials refer to passwords, which includes the first (long term) +factor of two-factor authentication, not other authentication +mechanisms. Passkey and Smartcard authentications are expected to work +offline as long as a successful online authentication is recorded in the +cache without additional configuration. + </para> + <para> + Take a note that while credentials are stored as a salted SHA512 hash, this +still potentially poses some security risk in case an attacker manages to +get access to a cache file (normally requires privileged access) and to +break a password using brute force attack. + </para> + <para> + Standard: FALSE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials_minimal_first_factor_length (heltal)</term> + <listitem> + <para> + Om 2-faktorautentisering (2FA) används och kreditiv skall sparas avgör detta +värde den minsta längden den första autentiseringsfaktorn (långvarigt +lösenord) måste ha för att sparas som en SHA512-kontrollsumma i cachen. + </para> + <para> + Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang +sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande +attacker. + </para> + <para> + Standard: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>account_cache_expiration (heltal)</term> + <listitem> + <para> + Antal dagar poster sparas i cachen efter den senaste lyckade inloggningen +före de tas bort under en rensning av cachen. 0 betyder behåll för alltid. +Värdet på denna parameter måste vara större än eller lika med +offline_credentials_expiration. + </para> + <para> + Standard: 0 (obegränsat) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwd_expiration_warning (heltal)</term> + <listitem> + <para> + Visa en varning N dagar före lösenordet går ut. + </para> + <para> + Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen +mottogs från bakändeserver kommer den automatiskt visas. + </para> + <para> + Observera att bakändeservern måste leverera information om utgångstiden för +lösenordet. Om denna information saknas kan sssd inte visa någon varning. +Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden. + </para> + <para> + Standard: 7 (Kerberos), 0 (LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>id_provider (sträng)</term> + <listitem> + <para> + Identifikationsleverantören som används för domänen. ID-leverantörer som +stödjs är: + </para> + <para> + <quote>proxy</quote>: Stöd en tidigare NSS-leverantör. + </para> + <para condition="with_files_provider"> + <quote>files</quote>: FIL-leverantör. Se <citerefentry> +<refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om hur lokala användare och grupper kan +speglas in i SSSD. + </para> + <para> + <quote>ldap</quote>: LDAP-leverantör. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera LDAP. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: Active Directory-leverantör. Se <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Active Directory. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>use_fully_qualified_names (bool)</term> + <listitem> + <para> + Använd det fullständiga namnet och domänen (formaterat med domänens +full_name_format) som användarens inloggningsnamn rapporterat till NSS. + </para> + <para> + Om satt till TRUE måste alla begäranden till denna domän använda +fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL +som innehåller en användare ”test”, skulle <command>getent passwd +test</command> inte hitta användaren medan <command>getent passwd +test@LOKAL</command> skulle det. + </para> + <para> + OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på +grund av deras tendens att innehålla nästade nätgrupper utan kvalificerade +namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat +namn begärs. + </para> + <para> + Standard: FALSE (TRUE för betrodda domäner/underdomäner eller om +default_domain_suffix används) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ignore_group_members (bool)</term> + <listitem> + <para> + Returnera inte gruppmedlemmar för gruppuppslagningar. + </para> + <para> + Om satt till TRUE begärs inte attributet gruppmedlemskap från ldap-servern, +och gruppmedlemmar returneras inte vid behandling av gruppuppslagningsanrop, +såsom <citerefentry> <refentrytitle>getgrnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> eller <citerefentry> +<refentrytitle>getgrgid</refentrytitle> <manvolnum>3</manvolnum> +</citerefentry>. Som en effekt skulle <quote>getent group +$groupname</quote> returnera den begärda gruppen som om den vore tom. + </para> + <para> + Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap +hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som +innehåller många medlemmar. + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: FALSE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auth_provider (sträng)</term> + <listitem> + <para> + Autentiseringsleverantören som används för domänen. Leverantörer som stödjs +är: + </para> + <para> + <quote>ldap</quote> för inbyggd LDAP-autentisering. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera LDAP. + </para> + <para> + <quote>krb5</quote> för Kerberosautentisering. Se <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Kerberos. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: Active Directory-leverantör. Se <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Active Directory. + </para> + <para> + <quote>proxy</quote> för att skicka vidare autentiseringen till något annat +PAM-mål. + </para> + <para> + <quote>none</quote> avaktiverar explicit autentisering. + </para> + <para> + Standard: <quote>id_provider</quote> används om det är satt och kan hantera +autentiseringsbegäranden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>access_provider (sträng)</term> + <listitem> + <para> + Leverantören av åtkomstkontroll för domänen. Det finns två inbyggda +åtkomstleverantörer (utöver alla inkluderade i installerade bakändar). +Interna specialleverantörer är: + </para> + <para> + <quote>permit</quote> tillåt alltid åtkomst. Det är den enda tillåtna +åtkomstleverantören för en lokal domän. + </para> + <para> + <quote>deny</quote> neka alltid åtkomst. + </para> + <para> + <quote>ldap</quote> för inbyggd LDAP-autentisering. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera LDAP. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: Active Directory-leverantör. Se <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Active Directory. + </para> + <para> + <quote>simple</quote> åtkomstkontroll baserat på åtkomst- eller +nekandelistor. Se <citerefentry> <refentrytitle>sssd-simple</refentrytitle> +<manvolnum>5</manvolnum></citerefentry> för mer information om att +konfigurera åtkomstmodulen simple. + </para> + <para> + <quote>krb5</quote>: .k5login-baserad åtkomstkontroll. Se <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Kerberos. + </para> + <para> + <quote>proxy</quote> för att skicka vidare åtkomstkontroll till någon annan +PAM-modul. + </para> + <para> + Standard: <quote>permit</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>chpass_provider (sträng)</term> + <listitem> + <para> + Leverantören som skall hantera lösenordsändringar för domänen. Leverantörer +av lösenordsändring som stödjs är: + </para> + <para> + <quote>ldap</quote> för att ändra lösenord lagrade i en LDAP-server. Se +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera LDAP. + </para> + <para> + <quote>krb5</quote> för att ändra Kerberoslösenordet. Se <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Kerberos. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: Active Directory-leverantör. Se <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera Active Directory. + </para> + <para> + <quote>proxy</quote> för att skicka vidare lösenordsändringar till något +annat PAM-mål. + </para> + <para> + <quote>none</quote> tillåter uttryckligen inte lösenordsändringar. + </para> + <para> + Standard: <quote>auth_provider</quote> används om det är satt och kan +hantera begäranden om ändring av lösenord. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>sudo_provider (sträng)</term> + <listitem> + <para> + SUDO-leverantören som används för domänen. SUDO-leverantörer som stödjs är: + </para> + <para> + <quote>ldap</quote> för regler lagrade i LDAP. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera LDAP. + </para> + <para> + <quote>ipa</quote> samma som <quote>ldap</quote> men med +standardsinställningar för IPA. + </para> + <para> + <quote>ad</quote> samma som <quote>ldap</quote> men med +standardsinställningar för AD. + </para> + <para> + <quote>none</quote> avaktiverar explicit SUDO. + </para> + <para> + Standard: värdet på <quote>id_provider</quote> används om det är satt. + </para> + <para> + De detaljerade instruktionerna för att konfigurera sudo_provider finns i +manualsidan <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. Det finns många +konfigurationsalternativ som kan användas för att justera beteendet. Se +”ldap_sudo_*” i <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <emphasis>OBSERVERA:</emphasis> Sudo-regler hämtas periodiskt i bakgrunden +om inte sudo-leverantören uttryckligen avaktiverats. Ange +<emphasis>sudo_provider = None</emphasis> för att avaktivera all +sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>selinux_provider (sträng)</term> + <listitem> + <para> + Leverantören som skall hantera inläsning av selinux-inställningar. +Observera att denna leverantör kommer anropas direkt efter att +åtkomstleverantören avslutar. Selinux-leverantörer som stödjs är: + </para> + <para> + <quote>ipa</quote> för att läsa in selinux-inställningar från en +IPA-server. Se <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera IPA. + </para> + <para> + <quote>none</quote> tillåter uttryckligen inte att hämta +selinux-inställningar. + </para> + <para> + Standard: <quote>id_provider</quote> används om det är satt och kan hantera +begäranden om inläsning av selinux. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>subdomains_provider (sträng)</term> + <listitem> + <para> + Leverantören som skall hantera hämtandet av underdomäner. Detta värde skall +alltid vara samma som id_provider. Underdomänsleverantörer som stödjs är: + </para> + <para> + <quote>ipa</quote> för att läsa in en lista av underdomäner från en +IPA-server. Se <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera IPA. + </para> + <para> + <quote>ad</quote> för att läsa in en lista av underdomäner från en Active +Directory-server. Se <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera AD-leverantören. + </para> + <para> + <quote>none</quote> tillåter uttryckligen inte att hämta underdomäner. + </para> + <para> + Standard: värdet på <quote>id_provider</quote> används om det är satt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>session_provider (sträng)</term> + <listitem> + <para> + Leverantören som konfigurerar och hanterar uppgifter relaterade till +användarsessioner. De enda användarsessionsuppgifter som för närvarande +tillhandahålls är integration med Fleet Commander, vilket fungerar endast +med IPA. Sessionsleverantörer som stödjs är: + </para> + <para> + <quote>ipa</quote> för att utföra uppgifter relaterade till +användarsessioner. + </para> + <para> + <quote>none</quote> utför inte någon sorts uppgifter relaterade till +användarsessioner. + </para> + <para> + Standard: <quote>id_provider</quote> används om det är satt och kan utföra +sessionsrelaterade uppgifter. + </para> + <para> + <emphasis>OBSERVERA:</emphasis> För att denna funktion skall fungera som +förväntat måste SSSD köra som ”root” och inte som den oprivilegierade +användaren. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>autofs_provider (sträng)</term> + <listitem> + <para> + Autofs-leverantören som används för domänen. Autofs-leverantörer som stödjs +är: + </para> + <para> + <quote>ldap</quote> för att läsa mappar lagrade i LDAP. Se <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för mer information om att konfigurera LDAP. + </para> + <para> + <quote>ipa</quote> för att läsa mappar lagrade i en IPA-server. Se +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera IPA. + </para> + <para> + <quote>ad</quote> för att läsa mappar lagrade i en AD-server. Se +<citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera AD-leverantören. + </para> + <para> + <quote>none</quote> avaktiverar explicit autofs. + </para> + <para> + Standard: värdet på <quote>id_provider</quote> används om det är satt. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>hostid_provider (sträng)</term> + <listitem> + <para> + Leverantören som används för att hämta värdidentitetsinformation. +Värd-id-leverantörer som stödjs är: + </para> + <para> + <quote>ipa</quote> för att läsa värdidentiteter lagrade i en IPA-server. Se +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera IPA. + </para> + <para> + <quote>none</quote> avaktiverar explicit värd-id:n. + </para> + <para> + Standard: värdet på <quote>id_provider</quote> används om det är satt. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>resolver_provider (sträng)</term> + <listitem> + <para> + Leverantören som skall hantera värd- och +nätverksuppslagningar. Uppslagsleverantörer som stödjs är: + </para> + <para> + <quote>proxy</quote> för att vidarebefordra uppslagningar till ett annat +NSS-bibliotek. Se <quote>proxy_resolver_lib_name</quote> + </para> + <para> + <quote>ldap</quote> för att hämta värdar och nätverk lagrade i LDAP. Se +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera LDAP. + </para> + <para> + <quote>ldap</quote> för att hämta värdar och nätverk lagrade i AD. Se +<citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för mer information om att +konfigurera AD-leverantören. + </para> + <para> + <quote>none</quote> tillåter uttryckligen inte att hämta värdar och nätverk. + </para> + <para> + Standard: värdet på <quote>id_provider</quote> används om det är satt. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>re_expression (sträng)</term> + <listitem> + <para> + Reguljärt uttryck för denna domän som beskriver hur man skall tolka strängen +som innehåller användarnamnet och domänen in i dessa komponenter. Domänen +kan matcha antingen domännamnet i SSSD-konfigurationen eller, i fallet med +betrodda underdomäner i IPA och Active Directory-domäner, det platta +(NetBIOS) namnet på domänen. + </para> + <para> + Default: +<quote>^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$</quote> +which allows two different styles for user names: + <itemizedlist> + <listitem> + <para>användarnamn</para> + </listitem> + <listitem> + <para>användarnamn@domän.namn</para> + </listitem> + </itemizedlist> + </para> + <para> + Default for the AD and IPA provider: +<quote>^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$</quote> +which allows three different styles for user names: + <itemizedlist> + <listitem> + <para>användarnamn</para> + </listitem> + <listitem> + <para>användarnamn@domän.namn</para> + </listitem> + <listitem> + <para>domän\användarnamn</para> + </listitem> + </itemizedlist> + Medan de första två motsvarar det allmänna standardfallet introduceras den +tredje för att tillåta enkel integration av användare från Windows-domäner. + </para> + <para> + The default re_expression uses the <quote>@</quote> character as a separator +between the name and the domain. As a result of this setting the default +does not accept the <quote>@</quote> character in short names (as it is +allowed in Windows group names). If a user wishes to use short names with +<quote>@</quote> they must create their own re_expression. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (sträng)</term> + <listitem> + <para> + Ett <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>-kompatibelt format som beskriver +hur man sätter samman ett fullständigt kvalificerat namn från namn- och +domänkomponenter. + </para> + <para> + Följande utvidgningar stödjs: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>användarnamn</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + domännamn som det anges i SSSD-konfigurationsfilen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både +direkt konfigurerade eller hittade via IPA-förtroenden. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Standard: <quote>%1$s@%2$s</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>lookup_family_order (sträng)</term> + <listitem> + <para> + Ger möjligheten att välja föredragen adressfamilj att använda vid +DNS-uppslagningar. + </para> + <para> + Värden som stödjs: + </para> + <para> + ipv4_first: Försök slå upp IPv4-adresser, om det misslyckas, prova IPv6 + </para> + <para> + ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser. + </para> + <para> + ipv6_first: Försök slå upp IPv6-adresser, om det misslyckas, prova IPv4 + </para> + <para> + ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser. + </para> + <para> + Standard: ipv4_first + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_server_timeout (heltal)</term> + <listitem> + <para> + Definierar mängden tid (i millisekunder) SSSD skall försöka att tala med en +DNS-server före den provar nästa DNS-server. + </para> + <para> + AD-leverantören kommer även att använda detta alternativ för +CLDAP-pingtidsgränsen. + </para> + <para> + Se avsnittet <quote>RESERVER</quote> för mer information om tjänstevalet. + </para> + <para> + Standard: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_op_timeout (heltal)</term> + <listitem> + <para> + Definierar mängden tid (i sekunder) att vänta på att slå upp en viss +DNS-fråga (t.ex. uppslagning av ett värdnamn eller en SRV-post) före den +provar nästa värdnamn eller DNS-upptäckt. + </para> + <para> + Se avsnittet <quote>RESERVER</quote> för mer information om tjänstevalet. + </para> + <para> + Standard: 3 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_timeout (heltal)</term> + <listitem> + <para> + Definierar tiden (i sekunder) att vänta på ett svar från den interna +reservtjänsten före man antar att tjänsten inte kan nås. Om denna tidsgräns +nås kommer domänen fortsätta att fungera i frånkopplat läge. + </para> + <para> + Se avsnittet <quote>RESERVER</quote> för mer information om tjänstevalet. + </para> + <para> + Standard: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_use_search_list (bool)</term> + <listitem> + <para> + Normalt söker DNS-uppslagaren domänlistan som är definierad i direktivet +”search” från filen resolv.conf. Detta kan leda till fördröjningar i miljöer +med felaktigt konfigurerad DNS. + </para> + <para> + Om fullständigt kvalificerade domännamn (eller _srv_) används i +SSSD-konfigurationen kan att sätta detta alternativ till FALSE förhindra +onödiga DNS-uppslagningar i sådana miljöer. + </para> + <para> + Standard: TRUE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_discovery_domain (sträng)</term> + <listitem> + <para> + Om tjänsteupptäckt används i bakänden anger domändelen av tjänstens +DNS-fråga om tjänsteupptäckt. + </para> + <para> + Standard: använd domändelen av maskinens värdnamn + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>override_gid (heltal)</term> + <listitem> + <para> + Ersätt det primära GID-värdet med det angivna. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>case_sensitive (sträng)</term> + <listitem> + <para> + Behandla användar- och gruppnamn som skiftlägeskänsliga. De tillgängliga +värdena på alternativen är: <variablelist> + <varlistentry> + <term>True</term> + <listitem> + <para> + Skiftlägeskänsligt. Detta värde är inte giltigt för AD-leverantörer. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>False</term> + <listitem> + <para>Skiftlägesokänsligt.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>Preserving</term> + <listitem> + <para> + Samma som False (skiftlägesokänsligt), men skiftar inte ner namn i +resultaten från NSS-operationer. Observera att namnalias (och i fallet med +tjänster även protokollnamn) fortfarande skiftas ner i utdata. + </para> + <para> + Om du vill sätta detta värde för en betrodd domän med IPA-leverantör behöver +du sätta det på både klienten och SSSD på servern. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Detta alternativ kan även sättas per underdomän eller ärvt via +<emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Standard: True (False för AD-leverantören) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_inherit (sträng)</term> + <listitem> + <para> + Anger en lista av konfigurationsparametrar som skall ärvas av underdomänen. +Observera att endast valda parametrar kan ärvas. För närvarande kan +följande alternativ ärvas: + </para> + <para> + ldap_search_timeout + </para> + <para> + ldap_network_timeout + </para> + <para> + ldap_opt_timeout + </para> + <para> + ldap_offline_timeout + </para> + <para> + ldap_enumeration_refresh_timeout + </para> + <para> + ldap_enumeration_refresh_offset + </para> + <para> + ldap_purge_cache_timeout + </para> + <para> + ldap_purge_cache_offset + </para> + <para> + ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte +ldap_krb5_keytab sätts särskilt) + </para> + <para> + ldap_krb5_ticket_lifetime + </para> + <para> + ldap_enumeration_search_timeout + </para> + <para> + ldap_connection_expire_timeout + </para> + <para> + ldap_connection_expire_offset + </para> + <para> + ldap_connection_idle_timeout + </para> + <para> + ldap_use_tokengroups + </para> + <para> + ldap_user_principal + </para> + <para> + ignore_group_members + </para> + <para> + auto_private_groups + </para> + <para> + case_sensitive + </para> + <para> + Exempel: <programlisting> +subdomain_inherit = ldap_purge_cache_timeout + </programlisting> + </para> + <para> + Standard: none + </para> + <para> + Observera: detta alternativ fungerar endast med leverantörerna IPA och AD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_homedir (sträng)</term> + <listitem> + <para> + Använd denna hemkatalog som standardvärde för alla underdomäner inom denna +domän i IPA AD-förtroende. Se <emphasis>override_homedir</emphasis> för +information om möjliga värden. Utöver dessa kan expansionen nedan endast +användas med <emphasis>subdomain_homedir</emphasis>. <variablelist> + <varlistentry> + <term>%F</term> + <listitem><para>platt (NetBIOS) namn på en underdomän.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Värdet kan åsidosättas av alternativet +<emphasis>override_homedir</emphasis>. + </para> + <para> + Standard: <filename>/home/%d/%u</filename> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>realmd_tags (sträng)</term> + <listitem> + <para> + Diverse taggar lagrade av realmd-konfigurationstjänsten för denna domän. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cached_auth_timeout (heltal)</term> + <listitem> + <para> + Anger tiden i sekunder sedan senaste lyckade uppkopplade autentisering under +vilka användaren kommer autentiseras med cachade kreditiv medan SSSD är i +uppkopplat läge. Om kreditiven är felaktiga faller SSSD tillbaka till +uppkopplad autentisering. + </para> + <para> + Detta alternativs värde ärvs av alla betrodda domäner. För närvarande är det +inte möjligt att ange olika värden för varje betrodd domän. + </para> + <para> + Specialvärdet 0 betyder att denna funktion är avaktiverad. + </para> + <para> + Observera att om <quote>cached_auth_timeout</quote> är längre än +<quote>pam_id_timeout</quote> kan bakänden anropas för att hantera +<quote>initgroups.</quote> + </para> + <para> + Standard: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_auth_policy (string)</term> + <listitem> + <para> + Local authentication methods policy. Some backends (i.e. LDAP, proxy +provider) only support a password based authentication, while others can +handle PKINIT based Smartcard authentication (AD, IPA), two-factor +authentication (IPA), or other methods against a central instance. By +default in such cases authentication is only performed with the methods +supported by the backend. + </para> + <para> + There are three possible values for this option: match, only, +enable. <quote>match</quote> is used to match offline and online states for +Kerberos methods. <quote>only</quote> ignores the online methods and only +offer the local ones. enable allows explicitly defining the methods for +local authentication. As an example, <quote>enable:passkey</quote>, only +enables passkey for local authentication. Multiple enable values should be +comma-separated, such as <quote>enable:passkey, enable:smartcard</quote> + </para> + <para> + Please note that if local Smartcard authentication is enabled and a +Smartcard is present, Smartcard authentication will be preferred over the +authentication methods supported by the backend. I.e. there will be a PIN +prompt instead of e.g. a password prompt. + </para> + <para> + The following configuration example allows local users to authenticate +locally using any enabled method (i.e. smartcard, passkey). <programlisting> +[domain/shadowutils] +id_provider = proxy +proxy_lib_name = files +auth_provider = none +local_auth_policy = only +</programlisting> + </para> + <para condition="with_files_provider"> + It is expected that the <quote>files</quote> provider ignores the +local_auth_policy option and supports Smartcard authentication by default. + </para> + <para> + Default: match + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auto_private_groups (sträng)</term> + <listitem> + <para> + Detta alternativ tar något av tre tillgängliga värden: <variablelist> + <varlistentry> + <term>true</term> + <listitem> + <para> + Skapa användares privata grupp ovillkorligt från användarens AID-nummer. +GID-numret ignoreras i detta läge. + </para> + <para> + OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från +AID-numret stödjs det inte att ha flera poster med samma AID- eller +GID-nummer med detta alternativ. Med andra ord, att aktivera detta +alternativ framtvingar unika nummer över hela ID-rymden. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>false</term> + <listitem> + <para> + Använd alltid användarens primära GID-nummer. GID-numret måste referera till +ett gruppobjekt i LDAP-databasen. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>hybrid</term> + <listitem> + <para> + En primär grupp autogenereras för användarposter vars AID- och GID-nummer +har samma värde och GID-numret på samma gång inte motsvarar ett verkligt +gruppobjekt i LDAP. Om värdena är samma, men det primära GID:t i +användarposten även används av ett gruppobjekt slås användarens primära GID +upp till det gruppobjektet. + </para> + <para> + Om användarens AID och GID är olika måste GID:t motsvara en gruppost, annars +kan GID:t helt enkelt inte slås upp. + </para> + <para> + Denna funktion är användbar i miljöer som vill sluta underhålla separata +gruppobjekt för användares privata grupper, men även vill behålla de +befintliga användarnas privata grupper. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + För underdomäner är standardvärdet False för underdomäner som använder +tilldelade POSIX ID:n och True för underdomäner som använder automatisk +ID-översättning. + </para> + <para> + Värdet på auto_private_groups kan antingen anges per underdomän i en +undersektion, till exempel: <programlisting> +[domain/forest.domain/sub.domain] +auto_private_groups = false +</programlisting> +eller globalt för alla underdomäner i huvuddomänavsnittet genom att använda +alternativet subdomain_inherit: <programlisting> +[domain/forest.domain] +subdomain_inherit = auto_private_groups +auto_private_groups = false +</programlisting> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + + <para> + Giltiga alternativ för proxy-domäner. <variablelist> + <varlistentry> + <term>proxy_pam_target (sträng)</term> + <listitem> + <para> + Proxymålet PAM är en proxy för. + </para> + <para> + Default: not set by default, you have to take an existing pam configuration +or create a new one and add the service name here. As an alternative you can +enable local authentication with the local_auth_policy option. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_lib_name (sträng)</term> + <listitem> + <para> + Namnet på NSS-biblioteket att använda i proxy-domäner. NSS-funktioner som +letas efter i biblioteket har formen _nss_$(libName)_$(function), till +exempel _nss_files_getpwent. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_resolver_lib_name (sträng)</term> + <listitem> + <para> + Namnet på NSS-biblioteket att använda för uppslagning av värdar och nätverk +i proxy-domäner. NSS-funktioner som letas efter i biblioteket har formen +_nss_$(libName)_$(function), till exempel _nss_dns_gethostbyname2_r. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_fast_alias (boolean)</term> + <listitem> + <para> + När en användare eller grupp slås upp efter namn i proxy-leverantören görs +en andra uppslagning efter ID för att "kanonisera" namnet i händelse det +begärda namnet var ett alias. Att sätta detta alternativ till sant skulle få +SSSD att utföra ID-uppslagningen från cachen av prestandaskäl. + </para> + <para> + Standard: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_max_children (heltal)</term> + <listitem> + <para> + Detta alternativ anger antalet i förhand avgrenade proxy-barn. Det är +användbart för SSSD-miljöer med hög last där sssd kan få slut på +tillgängliga barnfack, vilket skulle orsaka problem på grund av att +begäranden skulle köas upp. + </para> + <para> + Standard: 10 + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + + <refsect2 id='app_domains'> + <title>Programdomäner</title> + <para> + SSSD, med sitt D-Bus-gränssnitt (se <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) är tilltalande för program som en portgång till en +LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den +traditionella SSSD-installationen där alla användare och grupper antingen +har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, +har i många fall användarna och grupperna i programstödsscenariot inga +POSIX-attribut. Istället för att göra en sektion +<quote>[domain/<replaceable>NAMN</replaceable>]</quote> kan administratören +skapa en sektion +<quote>[application/<replaceable>NAMN</replaceable>]</quote> som internt +representerar en domän med typen <quote>application</quote> och eventuellt +ärver inställningar från en traditionell SSSD-domän. + </para> + <para> + Observera att programdomänen fortfarande uttryckligen måste aktiveras i +parametern <quote>domains</quote> så att uppslagningsordningen mellan +programdomänen och dess POSIX-syskondomän sätts korrekt. + </para> + <variablelist> + <title>Programdomänparametrar</title> + <varlistentry> + <term>inherit_from (sträng)</term> + <listitem> + <para> + Den SSSD-domän av POSIX-typ som programdomänen ärver alla inställningar +ifrån. Programdomänen kan dessutom lägga till sina egna inställningar till +programinställningarna som kompletterar eller åsidosätter +<quote>syskon</quote>domänens inställningar. + </para> + <para> + Standard: inte satt + </para> + </listitem> + </varlistentry> + </variablelist> + <para> + Följande exempel illustrerar användningen av en programdomän. I denna +uppsättning är POSIX-domänen kopplad till en LDAP-server och används av +OS:et via NSS-respondenten. Dessutom begär programdomänen attributet +telephoneNumber, lagrar det som attributet telefon i cachen och gör +attributet telefon nåbart via D-Bus-gränssnittet. + </para> +<programlisting> +[sssd] +domains = progdom, posixdom + +[ifp] +user_attributes = +telefon + +[domain/posixdom] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +[application/progdom] +inherit_from = posixdom +ldap_user_extra_attrs = telefon:telephoneNumber +</programlisting> + </refsect2> + + </refsect1> + + <refsect1 id='trusted-domains'> + <title>SEKTIONEN BETRODDA DOMÄNER</title> + <para> + Några alternativ som används i domänsektionen kan även användas i sektionen +för betrodda domäner, det vill säga, i en sektion som heter +<quote>[domain/<replaceable>DOMÄNNAMN</replaceable>/<replaceable>NAMN_PÅ_BETRODD_DOMÄN</replaceable>]</quote>. +Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel +nedan för förklaring. För närvarande stödda alternativ i sektionen för +betrodda domäner är: + </para> + <para>ldap_search_base,</para> + <para>ldap_user_search_base,</para> + <para>ldap_group_search_base,</para> + <para>ldap_netgroup_search_base,</para> + <para>ldap_service_search_base,</para> + <para>ldap_sasl_mech,</para> + <para>ad_server,</para> + <para>ad_backup_server,</para> + <para>ad_site,</para> + <para>use_fully_qualified_names</para> + <para>pam_gssapi_services</para> + <para>pam_gssapi_check_upn</para> + <para> + För fler detaljer om dessa alternativ se deras individuella beskrivningar i +manualsidan. + </para> + </refsect1> + + <refsect1 id='certmap'> + <title>CERTIFIKATSMAPPNINGSSEKTION</title> + <para> + För att tillåta autentisering med smartkort och certifikat måste SSSD kunna +översätta certifikat till användare. Detta kan göras genom att lägga till +det fullständiga certifikatet till användarens LDAP-objekt eller till en +lokal ersättning. Medan det krävs att man använder det fullständiga +certifikatet för att använda funktionen smartkortsautentisering i SSH (se +<citerefentry> <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> för detaljer) kan det vara +besvärligt eller kanske inte ens möjligt att använda detta i det allmänna +fallet när lokala tjänster använder PAM för autentisering. + </para> + <para> + För att göra översättningen mer flexibel lades översättnings- och +matchningsregler till till SSSD (se <citerefentry> +<refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry> för detaljer). + </para> + <para> + En översättnings- och matchningsregel kan läggas till till +SSSD-konfigurationen i en egen sektion för sig själv med ett namn som +<quote>[certmap/<replaceable>DOMÄNNAMN</replaceable>/<replaceable>REGELNAMN</replaceable>]</quote>. +I denna sektion är följande alternativ tillåtna: + </para> + <variablelist> + <varlistentry> + <term>matchrule (sträng)</term> + <listitem> + <para> + Endast certifikat från smartkort som matchar denna regel kommer bearbetas, +alla andra ignoreras. + </para> + <para> + Standard: KRB5:<EKU>clientAuth, d.v.s. endast certifikat som har +Extended Key Usage <quote>clientAuth</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>maprule (sträng)</term> + <listitem> + <para> + Definierar hur användaren hittas för ett givet certifikat. + </para> + <para> + Standard: + <itemizedlist> + <listitem> + <para>LDAP:(userCertificate;binary={cert!bin}) för LDAP-baserade leverantörer som +<quote>ldap</quote>, <quote>AD</quote> eller <quote>ipa</quote>.</para> + </listitem> + <listitem condition="with_files_provider"> + <para>REGELNAMNet för leverantören <quote>files</quote> som försöker hitta en +användare med samma namn.</para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains (sträng)</term> + <listitem> + <para> + Kommaseparerad lista av domännamn regeln skall användas på. Som standard är +endast en regel giltig i domänen där den är konfigurerad i sssd.conf. Om +leverantören stödjer underdomäner kan detta alternativ användas för att +lägga till regeln till underdomäner också. + </para> + <para> + Standard: den konfigurerade domänen i sssd.conf + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>priority (heltal)</term> + <listitem> + <para> + Teckenlöst heltalsvärde som definierar prioriteten för regeln. Ju högre +talet är desto lägre är prioriteten. <quote>0</quote> står för den högsta +prioriteten medan <quote>4294967295</quote> är den lägsta. + </para> + <para> + Standard: den lägsta prioriteten + </para> + </listitem> + </varlistentry> + </variablelist> + <para condition="with_files_provider"> + För att göra konfigurationen enkel och reducera mängden +konfigurationsalternativ har leverantören <quote>files</quote> några +speciella egenskaper: + <itemizedlist> + <listitem> + <para> + om maprule inte är satt antas namnet REGELNAMN vara namnet på den matchande +användaren + </para> + </listitem> + <listitem> + <para> + om en maprule används måste både ett ensamt användarnamn eller en mall som +<quote>{subject_rfc822_name.short_name}</quote> vara i krullparenteser som +t.ex. <quote>(username)</quote> eller +<quote>({subject_rfc822_name.short_name})</quote> + </para> + </listitem> + <listitem> + <para> + alternativet <quote>domains</quote> ignoreras + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='prompting_configuration'> + <title>SEKTIONEN FÖR FRÅGEKONFIGURATION</title> + <para> + Om en särskild fil +(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>) finns +kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda på vilka +autentiseringsmetoder som är tillgängliga för användaren som försöker logga +in. Baserat på resultatet kommer pam_sss fråga användaren efter tillämpliga +kreditiv. + </para> + <para> + Med det växande antalet autentiseringsmetoder och möjligheten att det finns +flera olika för en enskild användare kan det hända att heuristiken som +används av pam_sss för att välja fråga inte är lämplig för alla +användarfall. Följande alternativ bör ge en bättre flexibilitet här. + </para> + <para> + Each supported authentication method has its own configuration subsection +under <quote>[prompting/...]</quote>. Currently there are: <variablelist> + <varlistentry> + <term>[prompting/password]</term> + <listitem> + <para>för att konfigurera lösenordsfråga är de tillåtna alternativen: <variablelist><varlistentry><term>password_prompt</term> + <listitem><para>för att ändra strängen i lösenordsfrågan</para></listitem></varlistentry></variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> <variablelist> + <varlistentry> + <term>[prompting/2fa]</term> + <listitem> + <para>för att konfigurera efterfrågan av tvåfaktorautentisering är de tillåtna +flaggorna: <variablelist><varlistentry><term>first_prompt</term> + <listitem><para>för att ändra strängen som frågar efter den första faktorn </para></listitem> + </varlistentry> + <varlistentry><term>second_prompt</term> + <listitem><para>för att ändra strängen som frågar efter den andra faktorn </para></listitem> + </varlistentry> + <varlistentry><term>single_prompt</term> + <listitem><para>booleskt värde, om True kommer det bara vara en fråga som använder värdet på +first_prompt där det förväntas att båda faktorerna matas in som en enda +sträng. Observera att båda faktorerna måste anges här, även om den andra +faktorn är frivillig.</para></listitem> + </varlistentry> + </variablelist> Om den andra faktorn är +frivillig och det skall vara möjligt att logga in antingen edast med +lösenordet eller med båda faktorerna måste tvåstegsförfrågan användas. + </para> + </listitem> + </varlistentry> + </variablelist> +<variablelist> + <varlistentry condition="build_passkey"> + <term>[prompting/passkey]</term> + <listitem> + <para>to configure passkey authentication prompting, allowed options are: +<variablelist> + <varlistentry> + <term>interactive</term> + <listitem> + <para>boolean value, if True prompt a message and wait before testing the presence +of a passkey device. Recommended if your device doesn’t have a tactile +trigger. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>interactive_prompt</term> + <listitem> + <para>to change the message of the interactive prompt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch</term> + <listitem> + <para>boolean value, if True prompt a message to remind the user to touch the +device. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch_prompt</term> + <listitem> + <para>to change the message of the touch prompt. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Det är möjligt att lägga till en undersektion för specifika PAM-tjänster som +t.ex. <quote>[prompting/password/sshd]</quote> för att ändra frågorna +enskilt för denna tjänst. + </para> + </refsect1> + + <refsect1 id='example'> + <title>EXEMPEL</title> + <para> + 1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte +konfigurationen av själva domänerna – se dokumentationen om att konfigurera +domäner för fler detaljer. <programlisting> +[sssd] +domains = LDAP +services = nss, pam +config_file_version = 2 + +[nss] +filter_groups = root +filter_users = root + +[pam] + +[domain/LDAP] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +auth_provider = krb5 +krb5_server = kerberos.example.com +krb5_realm = EXAMPLE.COM +cache_credentials = true + +min_id = 10000 +max_id = 20000 +enumerate = False +</programlisting> + </para> + <para> + 2. Följande exempel visar konfigurationen av IPA AD-förtroende i en +förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för +AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera +kortnamn i barndomänen skall följande konfiguration användas. <programlisting> +[domain/ipa.se/barn.ad.se] +use_fully_qualified_names = false +</programlisting> + </para> + <para> + 3. The following example shows the configuration of a certificate mapping +rule. It is valid for the configured domain <quote>my.domain</quote> and +additionally for the subdomains <quote>your.domain</quote> and uses the full +certificate in the search filter. <programlisting> +[certmap/my.domain/rule_name] +matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ +maprule = (userCertificate;binary={cert!bin}) +domains = my.domain, your.domain +priority = 10 +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd_krb5_localauth_plugin.8.xml b/src/man/sv/sssd_krb5_localauth_plugin.8.xml new file mode 100644 index 0000000..9d93108 --- /dev/null +++ b/src/man/sv/sssd_krb5_localauth_plugin.8.xml @@ -0,0 +1,66 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_localauth_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_localauth_plugin</refname> + <refpurpose>Kerberos lokala auktoriseringsinsticksmodul</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Kerberos lokala auktoriseringsinsticksmodul +<command>sssd_krb5_localauth_plugin</command> används av libkrb5 för att +antingen hitta det lokala namnet för en given Kerberoshuvudman eller för att +kontrollera om ett givet lokalt namn och en given Kerberoshuvudman relaterar +till varandra. + </para> + <para> + SSSD hanterar de lokala namnen för användare från fjärrkällor och kan även +läsa från Kerberos användarhuvudmannanamn från fjärrkällor. Med denna +information kan SSSD enkelt hantera avbildningarna nämnda ovan även om det +lokala namnet och Kerberoshuvudmannen skiljer avsevärt. + </para> + <para> + Dessutom kan SSSD med informationen som lästs från fjärrkällor hjälpa till +att förhindra oväntade eller oönskade avbildningar ifall användardelen av +Kerberoshuvudmannen oavsiktligt motsvarar ett lokalt namn på en annan +användare. Som standard kan libkrb5 bara plocka bort delen rike från +Kerberoshuvudmannen för att få det lokala namnet vilket skulle leda till +felaktiga avbildningar i detta fall. + </para> + </refsect1> + + <refsect1 id='configuration'> + <title>KONFIGURATION</title> + <para> + Kerberos lokala auktoriseringsinsticksmodul måste aktiveras explicit i +Kerberoskonfigurationen, se <citerefentry> +<refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. SSSD kommer automatiskt skapa en konfigurationssnutt med +innehållet som t.ex. <programlisting> +[plugins] + localauth = { + module = sssd:/usr/lib64/sssd/modules/sssd_krb5_localauth_plugin.so + } +</programlisting> i SSSD:s +publika katalog med Kerberoskonfigurationssnuttar. Om denna katalog är +inkluderad i den lokala Kerberoskonfigurationen kommer insticksmodulen +automatiskt aktiveras. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> diff --git a/src/man/sv/sssd_krb5_locator_plugin.8.xml b/src/man/sv/sssd_krb5_locator_plugin.8.xml new file mode 100644 index 0000000..32a68dc --- /dev/null +++ b/src/man/sv/sssd_krb5_locator_plugin.8.xml @@ -0,0 +1,109 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + + <refnamediv id='name'> + <refname>sssd_krb5_locator_plugin</refname> + <refpurpose>Kerberos lokaliseringsinsticksmodul</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Kerberos lokaliseringsinsticksmodul +<command>sssd_krb5_locator_plugin</command> används av libkrb5 för att hitta +KDC:er för ett givet Kerberos-rike. SSSD tillhandahåller en sådan +insticksmodul för att styra alla Kerberos-klienter på ett system till en +ensam KDC. I allmänhet skall det inte ha någon betydelse vilken KDC en +klientprocess pratar med. Men det finns fall, t.ex. efter en +lösenordsändring, då inte alla KDC:er är i samma tillstånd för att den nya +datan måste spridas först. För att undvika oväntade autentiseringsfel och +kanske även kontolåsningar kan det vara bra att prata med en enskild KDC så +länge som möjligt. + </para> + <para> + libkrb5 kommer söka efter lokaliseringsinsticksmodulen i underkatalogen +libkrb5 till Kerberos katalog för insticksmoduler, se plugin_base_dir i +<citerefentry> <refentrytitle>krb5.conf</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> för detaljer. Insticksmodulen kan +endast avaktiveras genom att ta bort filen med insticksmodulen. Det finns +ingen möjlighet att avaktivera den i Kerberos konfiguration. Men +miljövariabeln SSSD_KRB5_LOCATOR_DISABLE kan användas för att avaktivera +insticksmodulen för individuella kommandon. Alternativt kan +SSSD-alternativet krb5_use_kdcinfo=False användas för att inte generera de +data som behövs av insticksmodulen. Med denna anropas fortfarande +insticksmodulen men den tillhandahåller inga data till anroparen så att +libkrb5 kan falla tillbaka på andra metoder som är definierade i krb5.conf. + </para> + <para> + Insticksmodulen läser information om KDC:erna för ett givet rike från en fil +som heter <filename>kdcinfo.RIKE</filename>. Filen skall innehålla ett +eller flera DNS-namn eller IP-adresser antingen i punktad decimal +IPv4-notation eller den hexadecimala IPv6-notationen. Ett frivilligt +portnummer kan läggas till på slutet separerat av ett kolon, IPv6-adressen +måste inneslutas i hakparenteser i detta fall som vanligt. Giltiga poster +är: + <itemizedlist> + <listitem><para>kdc.example.com</para></listitem> + <listitem><para>kdc.example.com:321</para></listitem> + <listitem><para>1.2.3.4</para></listitem> + <listitem><para>5.6.7.8:99</para></listitem> + <listitem><para>2001:db8:85a3::8a2e:370:7334</para></listitem> + <listitem><para>[2001:db8:85a3::8a2e:370:7334]:321</para></listitem> + </itemizedlist> + SSSD:s krb5-autentiseringsleverantör som också används av IPA- och +AD-leverantörerna lägger till adresser till den aktuella KDC- eller +domänkontrollern SSSD använder till denna fil. + </para> + <para> + I miljöer med KDC:er som endast är för läsning och för läsning och skrivning +där klienter förväntas använda instanser endast för läsning för allmänna +operationer och endast KDC:n för läsning och skrivning för +konfigurationsändringar som lösenordsändringar används även en +<filename>kpasswdinfo.RIKE</filename> för att identifiera KDC:er för läsning +och skrivning. Om denna fil finns för det givna riket kommer innehållet +användas av insticksmodulen för att svara på begäranden om en kpasswd- eller +kadmin-server eller om huvud-KDC:n specifik för MIT Kerberos. Om adressen +innehåller ett portnummer kommer standard-KDC-porten 88 användas för det +senare. + </para> + </refsect1> + + <refsect1 id='notes'> + <title>NOTER</title> + <para> + Inte alla Kerberosimplementationer stödjer användningen av +insticksmoduler. Om <command>sssd_krb5_locator_plugin</command> inte är +tillgänglig på ditt system måste du redigera /etc/krb5.conf för att avspegla +din Kerberosuppsättning. + </para> + <para> + Om miljövariabeln SSSD_KRB5_LOCATOR_DEBUG är satt till något värde kommer +felsökningsmeddelanden skrivas till standard fel. + </para> + <para> + Om miljövariabeln SSSD_KRB5_LOCATOR_DISABLE är satt till något värde +avaktiveras insticksmodulen och kommer bara returnera KRB5_PLUGIN_NO_HANDLE +till anroparen. + </para> + <para> + Om miljövariabeln SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES är satt till något +värde kommer insticksmodulen försöka slå upp alla DNS-namn i filen +kdcinfo. Som standard returneras KRB5_PLUGIN_NO_HANDLE till anroparen +omedelbart vid den första misslyckade DNS-uppslagningen. + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |