diff options
Diffstat (limited to 'src/man/uk/sss-certmap.5.xml')
| -rw-r--r-- | src/man/uk/sss-certmap.5.xml | 767 |
1 files changed, 767 insertions, 0 deletions
diff --git a/src/man/uk/sss-certmap.5.xml b/src/man/uk/sss-certmap.5.xml new file mode 100644 index 0000000..c9807bf --- /dev/null +++ b/src/man/uk/sss-certmap.5.xml @@ -0,0 +1,767 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>Правила встановлення відповідності і прив'язування сертифікатів SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>ОПИС</title> + <para> + На цій сторінці підручника описано правила, якими можна скористатися у SSSD +та інших компонентах для встановлення відповідності сертифікатів X.509 та +прив'язування їх до облікових записів. + </para> + <para> + У кожного правила чотири компоненти — <quote>пріоритетність</quote>, +<quote>правило встановлення відповідності</quote>, <quote>правило +прив'язки</quote> і <quote>список доменів</quote>. Усі компоненти є +необов'язковими. Якщо не вказано <quote>пріоритетність</quote>, буде додано +правило із найнижчою пріоритетністю. Типове <quote>правило встановлення +відповідності</quote> встановлює відповідність сертифікатів із використанням +ключів digitalSignature і розширеним використанням ключів clientAuth. Якщо +<quote>правило прив'язки</quote> є порожнім, сертифікати шукатимуться у +атрибуті userCertificate у форматі закодованих двійкових даних DER. Якщо не +буде вказано доменів, пошук відбуватиметься у локальному домені. + </para> + <para> + Щоб дозволити розширення або зовсім інший стиль правила, +<quote>прив'язки</quote> та <quote>правила відповідності</quote> можуть +містити префікс відокремлений символом «:» від основної частини +правила. Префікс може містити лише літери верхнього регістру ASCII і +цифри. Якщо префікс пропущено, буде використано стандартний тип, яким є +«KRB5» для правил відповідності і «LDAP» для правил прив'язки. + </para> + <para> + Допоміжна програма «sssctl» надає доступ до команди «cert-eval-rule», яку +призначено для перевірки, чи відповідає вказаний сертифікат правилам +відповідності, і визначає, як виглядатиме виведення правила прив'язки. + </para> + </refsect1> + + <refsect1 id='components'> + <title>КОМПОНЕНТИ ПРАВИЛ</title> + <refsect2 id='priority'> + <title>ПРІОРИТЕТНІСТЬ</title> + <para> + Правила оброблятимуться за пріоритетністю, номер «0» (нуль) відповідає +найвищому рівню пріоритетності. Чим більшим є значення, тим нижчою є +пріоритетність. Якщо значення не вказано, пріоритетність вважається +найнижчою. Обробку правил буде зупинено, якщо вдасться знайти відповідність +правилу, подальші правила не оброблятимуться. + </para> + <para> + На внутрішньому рівні пріоритетність визначається 32-бітовим цілим числом +без знаку. Використання значення пріоритетності, що перевищує 4294967295, +призводитиме до виведення повідомлення про помилку. + </para> + <para> + Якщо однакову пріоритетність мають декілька правил, а застосовувати можна +лише одне із пов'язаних відповідних правил, буде вибрано це правило. Якщо +існує декілька відповідних правил із однаковою пріоритетністю, буде вибрано +одне, але яке само не визначено. Щоб уникнути цієї невизначеної поведінки +або використовуйте різні пріоритетності, або зробіть правила відповідності +специфічнішими, наприклад, скориставшись явними взірцями <ISSUER>. + </para> + </refsect2> + <refsect2 id='match'> + <title>ПРАВИЛО ВІДПОВІДНОСТІ</title> + <para> + Правило встановлення відповідності використовується для вибору сертифіката, +до якого слід застосовувати правило прив'язки. У цьому використовується +система, подібна до використаної у параметрі +<quote>pkinit_cert_match</quote> Kerberos MIT. Правило складається з +ключового слова між символами «<» і «>», яке визначає певну частину +сертифіката, і взірцем, який має бути знайдено, для встановлення +відповідності правила. Декілька пар ключове слово-взірець можна сполучати за +допомогою логічних операторів «&&» (та) або «||» (або). + </para> + <para> + Якщо задано подібність до MIT Kerberos, префіксом для цього правила є +«KRB5». Втім, «KRB5» також буде типовим для <quote>правил +відповідності</quote>, тому «<SUBJECT>.*,DC=MY,DC=DOMAIN» і +«KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN» є рівнозначними. + </para> + <para> + Доступні варіанти: <variablelist> + <varlistentry> + <term><SUBJECT>формальний-вираз</term> + <listitem> + <para> + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису призначення. Для встановлення відповідності використовується +синтаксис розширених формальних виразів POSIX. Докладніший опис синтаксису +можна знайти на сторінці підручника regex(7). + </para> + <para> + Для встановлення відповідності запис призначення, що зберігається у +сертифікаті у форматі кодованого DER ASN.1, буде перетворено на текстовий +рядок відповідно до RFC 4514. Це означає, що першою у рядку буде +найспецифічніша компонента. Будь ласка, зауважте, що у RFC 4514 описано не +усі можливі назви атрибутів. Включеними вважаються такі назви: «CN», «L», +«ST», «O», «OU», «C», «STREET», «DC» і «UID». Назви інших атрибутів може +бути показано у різний спосіб на різних платформах і у різних +інструментах. Щоб уникнути двозначностей, не варто використовувати ці +атрибути і вживати їх у відповідних формальних виразах. + </para> + <para> + Приклад: <SUBJECT>.*,DC=MY,DC=DOMAIN + </para> + <para> + Будь ласка, зауважте, що символи «^.[$()|*+?{\» мають спеціальне значення у +формальних виразах, тому їх має бути екрановано за допомогою символу «\», +щоб програма сприймала їх як звичайні символи. + </para> + <para> + Приклад: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>формальний-вираз</term> + <listitem> + <para> + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису видавця. Цього запису стосуються усі коментарі щодо +<SUBJECT>. + </para> + <para> + Приклад: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>використання-ключа</term> + <listitem> + <para> + За допомогою цього параметра можна визначити значення використання ключа, +які повинен містити сертифікат. У списку значень, відокремлених комами, +можна використовувати такі значення: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Для спеціальних випадків можна також використати числове значення у +діапазоні 32-бітових цілих чисел без знаку. + </para> + <para> + Приклад: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>розширене-використання-ключа</term> + <listitem> + <para> + За допомогою цього параметра можна визначити значення розширеного +використання ключа, які повинен містити сертифікат. У списку значень, +відокремлених комами, можна використовувати такі значення: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + Розширені використання ключа, які не потрапили до вказаного вище списку, +можна визначити за допомогою їхнього OID у точково-десятковому позначенні. + </para> + <para> + Приклад: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>формальний-вираз</term> + <listitem> + <para> + Для сумісності із використанням Kerberos MIT цей параметр встановлюватиме +відповідність реєстраційних даних Kerberos у PKINIT або AD NT Principal SAN +так, як це робить <SAN:Principal>. + </para> + <para> + Приклад: <SAN>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos у PKINIT або AD NT +Principal SAN. + </para> + <para> + Приклад: <SAN:Principal>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos з AD NT Principal SAN. + </para> + <para> + Приклад: <SAN:ntPrincipalName>.*@MY.AD.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність реєстраційних даних Kerberos з SAN PKINIT. + </para> + <para> + Приклад: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>формальний-вираз</term> + <listitem> + <para> + Отримати значення компонента SAN otherName, яке задано OID у +крапково-десятковому позначенні, обробити його як рядок і спробувати +встановити відповідність формальному виразу. + </para> + <para> + Приклад: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-string</term> + <listitem> + <para> + Виконати спробу встановлення двійкової відповідності блоку у кодуванні +base64 із усіма компонентами SAN otherName. За допомогою цього параметра +можна встановлювати відповідність із нетиповими компонентами otherName із +особливими кодуваннями, які не можна обробляти як рядки. + </para> + <para> + Приклад: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN rfc822Name. + </para> + <para> + Приклад: <SAN:rfc822Name>.*@email\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN dNSName. + </para> + <para> + Приклад: <SAN:dNSName>.*\.my\.dns\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>рядок-base64</term> + <listitem> + <para> + Встановити двійкову відповідність значення SAN x400Address. + </para> + <para> + Приклад: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN directoryName. Цього параметра +стосуються ті самі коментарі, які було вказано для параметрів <ISSUER> +та <SUBJECT>. + </para> + <para> + Приклад: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>рядок-base64</term> + <listitem> + <para> + Встановити двійкову відповідність значення SAN ediPartyName. + </para> + <para> + Приклад: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN uniformResourceIdentifier. + </para> + <para> + Приклад: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>формальний-вираз</term> + <listitem> + <para> + Встановити відповідність значення SAN iPAddress. + </para> + <para> + Приклад: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>формальний-вираз</term> + <listitem> + <para> + Встановити значення SAN registeredID у форматі точково-десяткового рядка. + </para> + <para> + Приклад: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>ПРАВИЛО ПРИВʼЯЗУВАННЯ</title> + <para> + Правило прив'язки використовується для пов'язування сертифіката із одним або +декількома обліковими записами. Далі, смарткарткою із сертифікатом та +відповідним закритим ключем можна скористатися для розпізнавання за одним з +цих облікових записів. + </para> + <para> + У поточній версії SSSD на базовому рівні підтримує пошук даних користувачів +лише у LDAP (винятком є лише засіб надання проксі, який у цьому контексті є +недоречним). Через це правило прив'язки засновано на синтаксисі фільтрування +пошуку LDAP з шаблонами для додавання вмісту сертифікатів до +фільтра. Очікується, що цей фільтр міститиме лише специфічні дані, потрібні +для прив'язки, яку функція виклику вбудовуватиме до іншого фільтра для +виконання справжнього пошуку. Через це рядок фільтрування має починатися із +завершуватися «(» і «)», відповідно. + </para> + <para> + Загалом, рекомендується використовувати атрибути з сертифіката і додати їх +до спеціальних атрибутів об'єкта користувача LDAP. Наприклад, можна +скористатися атрибутом «altSecurityIdentities» у AD або атрибутом +«ipaCertMapData» для IPA. + </para> + <para> + Бажаним шляхом є читання із сертифіката специфічних для користувача даних, +наприклад адреси електронної пошти, і пошук цих даних на сервері +LDAP. Причиною є те, що специфічні для користувача дані у LDAP можу бути з +різних причин змінено, що розірве прив'язку. З іншого боку, якщо +скористатися бажаним шляхом, розірвати прив'язку буде важко. + </para> + <para> + Стандартним типом <quote>правила прив'язки</quote> є «LDAP». Цей запис може +бути додано як префікс до правила. Ось так, наприклад: +«LDAP:(userCertificate;binary={cert!bin})». Передбачено розширення, яке має +назву «LDAPU1», і яке надає додаткові шаблони для збільшення гнучкості. Щоб +дозволити застарілим версіям цієї бібліотеки ігнорувати розширення, при +використанні нових шаблонів у <quote>правилі прив'язки</quote> має бути +використано префікс «LDAPU1», інакше роботу застарілої версії цієї +бібліотеки буде завершено із повідомленням про помилку при обробці вхідних +даних. Нові шаблони описано у розділі <xref linkend="map_ldapu1"/>. + </para> + <para> + Шаблони для додавання даних сертифікатів до фільтра пошуку засновано на +рядках форматування у стилі Python. Воли складаються з ключового слова у +фігурних дужках із додатковим підкомпонентом-специфікатором, відокремленим +«.», або додатковим параметром перетворення-форматування, відокремленим +«!». Дозволені значення: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть повний DN видавця, перетворений на рядок відповідно до +RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + </para> + <para> + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + </para> + <para> + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + </para> + <para> + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + </para> + <para> + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть повний DN призначення, перетворений на рядок відповідно +до RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + </para> + <para> + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + </para> + <para> + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + </para> + <para> + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + </para> + <para> + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Цей шаблон додасть увесь сертифікат у кодуванні DER як рядок до фільтра +пошуку. Залежно від параметра перетворення, двійковий сертифікат або буде +преетворено на екрановану послідовність шістнадцяткових чисел у форматі +«\xx», або на код base64. Типовим варіантом є екранована шістнадцяткова +послідовність, її може бути, наприклад, використано з атрибутом LDAP +«userCertificate;binary». + </para> + <para> + Приклад: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде взято або з SAN, +який використовується pkinit, або з реєстраційних даних AD. Компонент +«short_name» відповідає першій частині реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується pkinit. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується AD. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + </para> + <para> + Приклад: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть рядок, який зберігається у компоненті rfc822Name SAN, +типово, адресу електронної пошти. Компонент «short_name» відповідає першій +частині адреси до символу «@». + </para> + <para> + Приклад: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Цей шаблон додасть рядок, який зберігається у компоненті dNSName SAN, +типово, повну назву вузла. Компонент «short_name» відповідає першій частині +назви до першого символу «.». + </para> + <para> + Приклад: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Цей шаблон додає рядок, який зберігається у компоненті +uniformResourceIdentifier SAN. + </para> + <para> + Приклад: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Цей шаблон додає рядок, який зберігається у компоненті iPAddress SAN. + </para> + <para> + Приклад: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Цей шаблон додає значення, яке зберігається у компоненті x400Address SAN як +послідовність екранованих шістнадцяткових чисел. + </para> + <para> + Приклад: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Цей шаблон додасть рядок DN значення, яке зберігається у компоненті +directoryName SAN. + </para> + <para> + Приклад: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Цей шаблон додає значення, яке зберігається у компоненті ediPartyName SAN як +послідовність екранованих шістнадцяткових чисел. + </para> + <para> + Приклад: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Цей шаблон додає OID, який зберігається у компоненті registeredID SAN у +форматі точково-десяткового рядка. + </para> + <para> + Приклад: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>Розширення LDAPU1</title> + <para> + При використанні розширення LDAPU1 можна скористатися такими шаблонами: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + Цей шаблон додасть серійний номер сертифіката. Типово, його буде надруковано +як шістнадцяткове число літерами нижнього регістру. + </para> + <para> + Якщо використано параметр форматування «!dec», число буде виведено як +десятковий рядок. Виведені шістнадцяткові дані може бути показано за +допомогою літер верхнього регістру («!hex_u»), із двокрапкою, що відокремлює +шістнадцяткові байти («!hex_c»), або із шістнадцятковими байтами у +зворотному порядку («!hex_r»). Літер постфікса може бути поєднано, отже, +наприклад, «!hex_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(serial={серійний_номер}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + Цей шаблон додасть ідентифікатор ключа призначення сертифіката. Типово, його +буде надруковано як шістнадцяткове число літерами нижнього регістру. + </para> + <para> + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!hex_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!hex_c»), або із шістнадцятковими байтами у зворотному порядку +(«!hex_r»). Літер постфікса може бути поєднано, отже, наприклад, «!hex_uc» +призведе до виведення відокремленого двокрапками шістнадцяткового рядка із +літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(ski={ідентифікатор_ключа_призначення}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!DIGEST[_ucr]]}</term> + <listitem> + <para> + Цей шаблон додає шістнадцяткову контрольну суму або хеш до +сертифіката. Запис DIGEST має бути замінено назвою функції контрольної суми +або хешу, підтримку яких передбачено у OpenSSL, наприклад «sha512». + </para> + <para> + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!sha512_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!sha512_c»), або із шістнадцятковими байтами у зворотному порядку +(«!sha512_r») Літер постфікса може бути поєднано, отже, наприклад, +«!sha512_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + </para> + <para> + Приклад: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.назва_атрибуту|[число]]}</term> + <listitem> + <para> + Цей шаблон додасть значення атрибуту компонента DN призначення. Типовим +значенням є найспецифічніший компонент. + </para> + <para> + Можна вибрати інший компонент або за назвою атрибуту, наприклад, +{subject_dn_component.uid}, або за позицією, наприклад, +{subject_dn_component.[2]}, де додатні числа означають відлік від найбільш +специфічного компонента, а від'ємні числа — відлік від найменш специфічного +компонента. Назву атрибуту та позицію можна поєднувати. Приклад: +{subject_dn_component.uid[2]}, тобто назвою другого компонента має бути +«uid». + </para> + <para> + Приклад: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.назва_атрибуту|[число]]}</term> + <listitem> + <para> + Цей шаблон додасть значення атрибуту компонента DN видавця. Типовим +значенням є найспецифічніший компонент. + </para> + <para> + Див. «subject_dn_component», щоб дізнатися більше про назви атрибутів та +специфікатори позиції. + </para> + <para> + Приклад: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + Цей шаблон додасть SID, якщо відповідне розширення впроваджено Microsoft із +доступним OID 1.3.6.1.4.1.311.25.2. Якщо вказано «.rid», буде додано лише +останній компонент, тобто RID. + </para> + <para> + Приклад: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>СПИСОК ДОМЕНІВ</title> + <para> + Якщо список доменів не є порожнім, записи користувачів, прив'язані до +заданого сертифіката, шукаються не лише у локальному домені, а і у доменах +зі списку, якщо вони відомі SSSD. Домени, які не відомі SSSD, буде +проігноровано. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> |