diff options
Diffstat (limited to 'src/man/uk/sssd.conf.5.xml')
| -rw-r--r-- | src/man/uk/sssd.conf.5.xml | 4157 |
1 files changed, 4157 insertions, 0 deletions
diff --git a/src/man/uk/sssd.conf.5.xml b/src/man/uk/sssd.conf.5.xml new file mode 100644 index 0000000..4cc2fb8 --- /dev/null +++ b/src/man/uk/sssd.conf.5.xml @@ -0,0 +1,4157 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd" +[ +<!ENTITY sssd_user_name SYSTEM "sssd_user_name.include"> +]> +<reference> +<title>Сторінки підручника SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sssd.conf</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sssd.conf</refname> + <refpurpose>файл налаштування SSSD</refpurpose> + </refnamediv> + + <refsect1 id='file-format'> + <title>ФОРМАТ ФАЙЛА</title> + + <para> + Файл складено з використанням синтаксичний конструкцій у стилі ini, він +складається з розділів і окремих записів параметрів. Розділ починається з +рядка назви розділу у квадратних дужках і продовжується до початку нового +розділу. Приклад розділу з параметрами, які мають єдине і декілька значень: +<programlisting> +<replaceable>[розділ]</replaceable> +<replaceable>ключ</replaceable> = <replaceable>значення</replaceable> +<replaceable>ключ2</replaceable> = <replaceable>значення2,значення3</replaceable> + </programlisting> + </para> + + <para> + Типами даних є рядок (без символів лапок), ціле число і булеве значення +(можливі два значення — <quote>TRUE</quote> і <quote>FALSE</quote>). + </para> + + <para> + Рядок коментаря починається з символу решітки (<quote>#</quote>) або крапки +з комою (<quote>;</quote>). Підтримки вбудованих коментарів не передбачено. + </para> + + <para> + Для всіх розділів передбачено додатковий параметр +<replaceable>description</replaceable>. Його призначено лише для позначення +розділу. + </para> + + <para> + <filename>sssd.conf</filename> має бути звичайним файлом, власником якого є +користувач root. Права на читання та запис до цього файла повинен мати лише +користувач root. + </para> + </refsect1> + + <refsect1 id='config-snippets'> + <title>ФРАГМЕНТИ НАЛАШТУВАНЬ З КАТАЛОГУ ВКЛЮЧЕННЯ</title> + + <para> + До файла налаштувань <filename>sssd.conf</filename> буде включено фрагменти +налаштувань з каталогу <filename>conf.d</filename>. Цією можливістю можна +буде скористатися, якщо SSSD було зібрано із бібліотекою libini версії 1.3.0 +або новішою. + </para> + + <para> + Будь-який файл, розташований у <filename>conf.d</filename>, назва якого +завершується на <quote><filename>.conf</filename></quote> і не починається з +крапки (<quote>.</quote>), буде використано разом із +<filename>sssd.conf</filename> для налаштовування SSSD. + </para> + + <para> + Фрагменти налаштувань з <filename>conf.d</filename> мають вищий пріоритет за +<filename>sssd.conf</filename>, вони мають вищий пріоритет за +<filename>sssd.conf</filename>, якщо виникне конфлікт. Якщо у +<filename>conf.d</filename> буде виявлено декілька фрагментів, їх буде +включено за абеткою (на основі параметрів локалі). Файли, які включаються +пізніше, мають вищий пріоритет. Числові префікси +(<filename>01_фрагмент.conf</filename>, +<filename>02_фрагмент.conf</filename> тощо) можуть допомогти у візуалізації +пріоритетності (більше число означає вищу пріоритетність). + </para> + + <para> + Файли фрагментів мають належати одному користувачеві і мати однакові права +доступу із файлом <filename>sssd.conf</filename>. Типовим власником є +root:root, а типовими правами доступу — 0600. + </para> + </refsect1> + + <refsect1 id='general-options'> + <title>ЗАГАЛЬНІ ПАРАМЕТРИ</title> + <para> + Нижче наведено параметри, які можна використовувати у декількох розділах +налаштувань. + </para> + <refsect2 id='all-section-options'> + <title>Параметри, які можна використовувати у всіх розділах</title> + <para> + <variablelist> + <varlistentry> + <term>debug_level (ціле число)</term> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" /> + </varlistentry> + <varlistentry> + <term>debug (ціле число)</term> + <listitem> + <para> + У SSSD 1.14 і новіших версіях з міркувань зручності також передбачено +альтернативний варіант <replaceable>debug</replaceable> для +<replaceable>debug_level</replaceable>. Якщо вказано одразу обидва варіанти, +буде використано варіант <replaceable>debug_level</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_timestamps (булеве значення)</term> + <listitem> + <para> + Додати часову позначку до діагностичних повідомлень. Якщо для запису +діагностичного журналу у SSSD увімкнено journald, цей параметр буде +проігноровано. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_microseconds (булеве значення)</term> + <listitem> + <para> + Додати значення мікросекунд до часової позначки у діагностичних +повідомлення. Якщо для запису діагностичного журналу у SSSD увімкнено +journald, цей параметр буде проігноровано. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>debug_backtrace_enabled (булеве значення)</term> + <listitem> + <para> + Увімкнути діагностичне зворотне трасування. + </para> + <para> + Якщо SSSD запущено із debug_level меншим за 9, увесь журнал роботи буде +записано у кільцевий буфер у пам'яті і скинуто до файла журналу при +виявленні будь-якої помилки до рівня `min(0x0040, debug_level)` включно +(тобто якщо debug_level явним чином встановлено у значення 0 або 1, лише +помилки відповідних рівнів вмикатимуть зворотне трасування, інакше кажучи, +помилки рівнів до 2). + </para> + <para> + Підтримку цієї можливості передбачено лише для `logger == files` (тобто, +встановлення цього значення не впливає на інші типи журналювання). + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + <refsect2 id='services-and-domains-section-options'> + <title>Параметри які можна використовувати у розділах SERVICE та DOMAIN</title> + <para> + <variablelist> + <varlistentry> + <term>timeout (ціле число)</term> + <listitem> + <para> + Проміжок у секундах між циклами роботи цієї служби. Використовується для +перевірки працездатності процесу та його змоги відповідати на +запити. Зауважте, що після трьох пропущених циклів процес перерве своє +виконання самостійно. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + </refsect1> + + <refsect1 id='special-sections'> + <title>ОСОБЛИВІ РОЗДІЛИ</title> + + <refsect2 id='services'> + <title>Розділ [sssd]</title> + <para> + Окремі функції у SSSD виконуються особливими службами SSSD, які запускаються +і зупиняються разом SSSD. Ці служби керуються окремою службою, яку часто +називають «монітором». Розділ <quote>[sssd]</quote> використовується для +налаштування монітора та деяких інших важливих параметрів, зокрема доменів +профілів. <variablelist> + <title>Параметри розділу</title> + <varlistentry> + <term>config_file_version (ціле число)</term> + <listitem> + <para> + Визначає версію синтаксичних конструкцій файла налаштування. Для версій SSSD +0.6.0 та пізніших слід використовувати версію 2. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>services</term> + <listitem> + <para> + Список служб, відокремлених комами, які запускаються разом із sssd. <phrase +condition="have_systemd">Список служб є необов'язковим на платформах, де +передбачено підтримку systemd, оскільки там такі служби вмикаються за +допомогою сокетів або D-Bus.</phrase> + </para> + <para> + Підтримувані служби: nss, pam <phrase condition="with_sudo">, sudo</phrase> +<phrase condition="with_autofs">, autofs</phrase> <phrase +condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">, +pac</phrase> <phrase condition="with_ifp">, ifp</phrase> + </para> + <para> + <phrase condition="have_systemd">Типово усі служби вимкнено. Адміністратор +має увімкнути дозволені до використання служби за допомогою такої команди: +"systemctl enable sssd-@service@.socket". </phrase> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>reconnection_retries (ціле число)</term> + <listitem> + <para> + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains</term> + <listitem> + <para> + Домен — це база даних, у якій містяться дані щодо користувачів. SSSD може +одночасно використовувати декілька доменів. Вам слід вказати принаймні один +домен, інакше SSSD просто не запуститься. За допомогою цього параметра можна +вказати список доменів, впорядкованих за пріоритетністю під час надсилання +до них запитів щодо даних. Рекомендовано використовувати у назві домену лише +літери і цифри ASCII, дефіси, крапки та знаки підкреслювання. Не можна +використовувати символ «/». + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>re_expression (рядок)</term> + <listitem> + <para> + Типовий формальний вираз, який описує спосіб поділу рядка з іменем +користувача і доменом на його частини. + </para> + <para> + Для кожного з доменів можна налаштувати окремий формальний вираз. Для деяких +з засобів надання ідентифікаторів передбачено типові формальні +вирази. Докладніше про ці формальні вирази можна дізнатися з довідки до +РОЗДІЛІВ ДОМЕНІВ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (рядок)</term> + <listitem> + <para> + Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + </para> + <para> + Передбачено використання таких замінників: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>ім’я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + назва домену у форматі, вказаному у файлі налаштувань SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для кожного з доменів можна налаштувати окремий рядок формату. Докладніше +про ці рядки можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>monitor_resolv_conf (булеве значення)</term> + <listitem> + <para> + Керує тим, чи SSSD має спостерігати за станом resolv.conf для визначення +моменту, коли слід оновити дані вбудованого інструмента визначення DNS. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>try_inotify (булеве значення)</term> + <listitem> + <para condition="have_inotify"> + Типово, з метою спостереження за змінами у файлах налаштувань SSSD +намагається використати inotify. Якщо використати inotify не вдається, +виконуватиметься опитування resolv.conf кожні п’ять секунд. + </para> + <para condition="have_inotify"> + Зрідка бажано не вдаватися навіть до спроб скористатися inotify. У цих +рідкісних випадках слід встановити для цього параметра значення «false». + </para> + <para condition="have_inotify"> + Типове значення: «true» на платформах, де підтримується inotify. «false» на +інших платформах. + </para> + <para> + Зауваження: цей параметр ні на що не вплине на платформах, де inotify +недоступний. На цих платформах завжди використовуватиметься безпосереднє +опитування файла. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>krb5_rcache_dir (рядок)</term> + <listitem> + <para> + Каталог у файловій системі, де SSSD має зберігати файли кешу відтворення +Kerberos. + </para> + <para> + Цей параметр приймає особливе значення __LIBKRB5_DEFAULTS__, за допомогою +якого можна наказати SSSD надати змогу libkrb5 визначити відповідну адресу +для кешу відтворення. + </para> + <para> + Типове значення: визначається дистрибутивом та вказується під час +збирання. (__LIBKRB5_DEFAULTS__, якщо не вказано) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_non_root_user_support"> + <term>user (рядок)</term> + <listitem> + <para> + The user to drop the privileges to where appropriate to avoid running as the +root user. Currently the only supported value is '&sssd_user_name;'. + </para> + + <para condition="have_systemd"> + This option does not work when running socket-activated services, as the +user set up to run the processes is set up during compilation time. The way +to override the systemd unit files is by creating the appropriate files in +/etc/systemd/system/. Keep in mind that any change in the socket user, +group or permissions may result in a non-usable SSSD. The same may occur in +case of changes of the user running the NSS responder. + </para> + + <para> + Типове значення: не встановлено, процес буде запущено від імені root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_domain_suffix (рядок)</term> + <listitem> + <para> + Цей рядок буде використано як типову назву домену для всіх назв без +компонента назви домену. Основним призначенням використання цього рядка є +середовища, де основний домен призначено для керування правилами вузлів та +всіма користувачами, розташованими на надійному (довіреному) домені. За +допомогою цього параметра користувачі можуть входити до системи за допомогою +лише імені користувача без додавання до нього назви домену. + </para> + <para> + Please note that if this option is set all users from the primary domain +have to use their fully qualified name, e.g. user@domain.name, to log +in. Setting this option changes default of use_fully_qualified_names to +True. It is not allowed to use this option together with +use_fully_qualified_names set to False. <phrase +condition="with_files_provider"> One exception from this rule are domains +with <quote>id_provider=files</quote> that always try to match the behaviour +of nss_files and therefore their output is not qualified even when the +default_domain_suffix option is used. </phrase> + </para> + <para> + Типове значення: not set + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_space (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна змінити пробіли у іменах користувачів та +назвах груп вказаним симовлом, наприклад _. Ім’я користувача «john doe» буде +перетворено на «john_doe». Цю можливість було додано для сумісності із +скриптами командної оболонки, у яких виникають проблеми із обробкою пробілів +через типовий роздільник полів у оболонці. + </para> + <para> + Будь ласка, зауважте, що використання символу-замінника, який може бути +використано у іменах користувачів і назвах груп, є помилкою у +налаштуваннях. Якщо назва містить символ-замінник, SSSD спробує повернути +незмінену назву, але, загалом, результат пошуку буде невизначеним. + </para> + <para> + Типове значення: не встановлено (пробіли не замінятимуться) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>certificate_verification (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів на основі списку параметрів, відокремлених комами. Підтримувані +параметри: <variablelist> + <varlistentry> + <term>no_ocsp</term> + <listitem> + <para>Вимикає перевірки протоколу стану мережевої сертифікації (Online Certificate +Status Protocol або OCSP). Це може знадобитися, якщо сервери OCSP, визначені +у сертифікаті, є недоступними з клієнта.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_ocsp</term> + <listitem> + <para> Якщо не вдасться встановити з'єднання із відповідачем OCSP, перевірку OCSP +буде пропущено. Цим параметром слід користуватися для того, щоб дозволити +розпізнавання тоді, коли система працює автономно, отже відповідач OCSP є +недоступним.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_dgst</term> + <listitem> + <para>Функція обчислення контрольної суми (хешу), яку буде використано для +створення ідентифікатора сертифіката для запиту OCSP. Можливі значення: + <itemizedlist> + <listitem><para>sha1</para></listitem> + <listitem><para>sha256</para></listitem> + <listitem><para>sha384</para></listitem> + <listitem><para>sha512</para></listitem> + </itemizedlist></para> + <para> + Типове значення: sha1 (для уможливлення сумісності із відповідачем, який є +сумісним із RFC5019) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>no_verification</term> + <listitem> + <para>Повністю вимикає перевірку. Цим варіантом слід користуватися лише для +тестування.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>partial_chain</term> + <listitem> + <para>Уможливити успішну перевірку, навіть якщо не вдасться побудувати +<replaceable>повний</replaceable> ланцюжок до самопідписаної прив'язки +довіри, якщо можна побудувати ланцюжок до довіреного сертифіката, який може +бути не самопідписаним.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>ocsp_default_responder=URL</term> + <listitem> + <para>Встановлює типовий відповідач OCSP, який слід використовувати замість +визначеного у сертифікаті. Адресу слід замінити адресою типового +відповідача, наприклад http://example.com:80/ocsp.</para> + </listitem> + </varlistentry> + <varlistentry> + <term> + ocsp_default_responder_signing_cert=НАЗВА</term> + <listitem> + <para>У поточній версії програма ігнорує цей параметр. Усі потрібні сертифікати +мають бути у файлі PEM, який вказано параметром pam_cert_db_path.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>crl_file=/ШЛЯХ/ДО/ФАЙЛА/CRL</term> + <listitem> + <para>Використовувати список відкликання сертифікатів (CRL) з вказаного файла під +час перевірки сертифіката. CRL має бути вказано у форматі PEM, +див. <citerefentry> <refentrytitle>crl</refentrytitle> +<manvolnum>1ssl</manvolnum> </citerefentry>, щоб дізнатися більше.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>soft_crl</term> + <listitem> + <para> + Якщо строк дії списку відкликання сертифікатів (CRL) вичерпано, перевірки +CRL для відповідних сертифікатів буде проігноровано. Цим параметром слід +користуватися для уможливлення розпізнавання у системах, які працюють у +автономному режимі, коли оновлення CRL є неможливим.</para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Обробник параметрів повідомлятиме про невідомі параметри і просто +ігноруватиме їх. + </para> + <para> + Типове значення: не встановлено, тобто перевірка сертифікатів нічим не +обмежуватиметься + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>disable_netlink (булеве значення)</term> + <listitem> + <para> + Перехоплювачі SSSD у інтерфейсі netlink для стеження за змінами у маршрутах, +адресах, посилання та виконання певних дій. + </para> + <para> + Зміни стану SSSD, спричинені подіями netlink, можуть бути небажаними, їх +можна вимкнути встановленням для цього параметра значення «true» + </para> + <para> + Типове значення: false (виявлення змін у netlink) + </para> + </listitem> + </varlistentry> + <varlistentry condition="with_files_provider"> + <term>enable_files_domain (булеве значення)</term> + <listitem> + <para> + Якщо цю можливість увімкнено, SSSD дописуватиме неявний домен із +<quote>id_provider=files</quote> до усіх явним чином налаштованих доменів. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domain_resolution_order</term> + <listitem> + <para> + Список доменів і піддоменів, відокремлених комами, який визначає порядок +пошуку, який використовуватиметься. Список не обов'язково включатиме усі +можливі домени, оскільки пошук у пропущених доменах відбуватиметься у +порядку, у якому їх вказано у параметрі налаштування +<quote>domains</quote>. Пошук у піддоменах, яких немає у списку +<quote>lookup_order</quote>, відбуватиметься у випадковому порядку для +кожного батьківського домену. + </para> + <para> + Please, note that when this option is set the output format of all commands +is always fully-qualified even when using short names for input <phrase +condition="with_files_provider"> , for all users but the ones managed by the +files provider </phrase>. In case the administrator wants the output not +fully-qualified, the full_name_format option can be used as shown below: +<quote>full_name_format=%1$s</quote> However, keep in mind that during +login, login applications often canonicalize the username by calling +<citerefentry> <refentrytitle>getpwnam</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> which, if a shortname is returned +for a qualified input (while trying to reach a user which exists in multiple +domains) might re-route the login attempt into the domain which uses +shortnames, making this workaround totally not recommended in cases where +usernames may overlap between domains. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>implicit_pac_responder (булеве значення)</term> + <listitem> + <para> + Відповідач PAC буде автоматично увімкнено для надавачів IPA і AD для +обчислення і перевірки PAC. Якщо відповідач слід вимкнути, встановіть для +цього параметра значення «false». + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>core_dumpable (булеве значення)</term> + <listitem> + <para> + Цим параметром можна скористатися для загального забезпечення стійкості +системи: встановлення значення «false» забороняє дампи ядра для усіх +процесів SSSD з метою уникнення витоку паролів у форматі нешифрованого +тексту. Див. сторінку підручника щодо prctl:PR_SET_DUMPABLE, щоб дізнатися +більше. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_verification (string)</term> + <listitem> + <para> + With this parameter the passkey verification can be tuned with a comma +separated list of options. Supported options are: <variablelist> + <varlistentry> + <term>user_verification (boolean)</term> + <listitem> + <para> Enable or disable the user verification (i.e. PIN, fingerprint) during +authentication. If enabled, the PIN will always be requested. + </para> + <para> + The default is that the key settings decide what to do. In the IPA or +kerberos pre-authentication case, this value will be overwritten by the +server. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + + </refsect1> + + <refsect1 id='services-sections'> + <title>РОЗДІЛИ СЛУЖБ</title> + <para> + У цьому розділі описано параметри, якими можна скористатися для налаштування +різноманітних служб. Ці параметри має бути зібрано у розділах з назвами +[<replaceable>$NAME</replaceable>]. Наприклад, параметри служби NSS зібрано +у розділі <quote>[nss]</quote> + </para> + + <refsect2 id='general'> + <title>Загальні параметри налаштування служб</title> + <para> + Цими параметрами можна скористатися для налаштування будь-яких служб. + </para> + <variablelist> + <varlistentry> + <term>reconnection_retries (ціле число)</term> + <listitem> + <para> + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>fd_limit</term> + <listitem> + <para> + За допомогою цього параметра можна визначити максимальну кількість +дескрипторів файлів, які одночасно може бути відкрито цим процесом SSSD. У +системах, де SSSD надано можливості CAP_SYS_RESOURCE, цей параметр +використовуватиметься незалежно від інших параметрів системи. У системах без +цієї можливості, кількість дескрипторів визначатиметься найменшим зі значень +цього параметра і обмеженням "hard" у limits.conf. + </para> + <para> + Типове значення: 8192 (або обмеження у limits.conf "hard") + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>client_idle_timeout</term> + <listitem> + <para> + За допомогою цього параметра можна визначити кількість секунд, протягом яких +клієнтська частина SSSD може утримувати дескриптор файла без здійснення за +його допомогою обміну даними. Таке обмеження потрібне для того, щоб уникнути +вичерпання ресурсів системи. Час очікування не може бути меншим за 10 +секунд. Якщо у налаштуваннях вказано менше значення, його буде скориговано +до 10 секунд. + </para> + <para> + Типове значення: 60, KCM: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout (ціле число)</term> + <listitem> + <para> + Коли SSSD перемикається на автономний режим роботи, час, який має минути, +перш ніж буде здійснено спробу повернутися до режиму у мережі, +збільшуватиметься, відповідно до часу, проведеного у режимі +від’єднання. Типово, SSSD використовує нарощувальну поведінку для обчислення +затримки між повторними спробами. Тому час очікування для повторної спроби +буде довшим за час очікування попередньої спроби. Після кожної невдалої +спроби з'єднатися із мережею нове значення обчислюється за такою формулою: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Типовим значенням offline_timeout є 60. Типовим значенням +offline_timeout_max є 3600. Типовим значенням offline_timeout_random_offset +є 30. Кінцевий результат є кількістю секунд до наступної повторної спроби. + </para> + <para> + Зауважте, що максимальна тривалість кожного з інтервалів визначається +offline_timeout_max (окрім випадкової частини). + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_max (ціле число)</term> + <listitem> + <para> + Керує тим, на скільки можна збільшувати проміжок часу між спробами відновити +з'єднання із мережею після неуспішних спроби відновити з'єднання. + </para> + <para> + Значення 0 вимикає збільшення проміжку часу. + </para> + <para> + Значення цього параметра слід встановлювати у поєднанні зі значенням +параметра offline_timeout. + </para> + <para> + Якщо для offline_timeout встановлено значення 60 (типове значення), немає +сенсу встановлювати для offlinet_timeout_max значення, яке є меншим за 120, +оскільки перший же крок збільшення призведе до перевищення максимального +значення. Загальним правилом у цьому випадку має бути встановлення значення +offline_timeout_max, яке є принаймні учетверо більшим за offline_timeout. + </para> + <para> + Хоча можна вказати будь-яке значення від 0 до offline_timeout, результатом +стане перевизначення значення offline_timeout, тому не варто цього робити. + </para> + <para> + Типове значення: 3600 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>offline_timeout_random_offset (ціле число)</term> + <listitem> + <para> + Якщо SSSD працює в автономному режимі, програма виконує зондування +серверів-обробників із вказаними інтервалами часу: + </para> + <para> + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + </para> + <para> + Цей параметр керує значенням випадкового зсуву, яке буде використано у +наведеному вище рівнянні. Остаточне значення random_offset буде випадковим +числом у такому діапазоні: + </para> + <para> + [0 - offline_timeout_random_offset] + </para> + <para> + Значення 0 призводить до вимикання додавання випадкового зсуву. + </para> + <para> + Типове значення: 30 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>responder_idle_timeout</term> + <listitem> + <para> + Цей параметр визначає кількість секунд, протягом яких процес відповідача +SSSD може працювати без використання. Це значення обмежено з метою уникнення +вичерпання ресурсів системи. Мінімальним прийнятним значенням для цього +параметра є 60 секунд. Встановлення для цього параметра значення 0 (нуль) +означає, що для відповідача не встановлюватиметься ніякого часу +очікування. Цей параметр враховуватиметься, лише якщо SSSD зібрано з +підтримкою systemd і якщо служби активуються за допомогою або сокетів або +D-Bus. + </para> + <para> + Типове значення: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cache_first</term> + <listitem> + <para> + Цей параметр визначає, чи слід відповідачеві опитати усі кеші до надсилання +запису до модулів засобів надання даних. + </para> + <para condition="with_files_provider"> + Типове значення: false + </para> + <para condition="without_files_provider"> + Типове значення: true + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='NSS'> + <title>Параметри налаштування NSS</title> + <para> + Цими параметрами можна скористатися для налаштування служби Name Service +Switch (NSS або перемикання служби визначення назв). + </para> + <variablelist> + <varlistentry> + <term>enum_cache_timeout (ціле число)</term> + <listitem> + <para> + Тривалість зберігання переліків (запитів щодо даних всіх користувачів) у +кеші nss_sss у секундах + </para> + <para> + Типове значення: 120 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_cache_nowait_percentage (ціле число)</term> + <listitem> + <para> + Можна встановити кеш записів для автоматичного оновлення записів у фоновому +режимі, якщо запит щодо них надходить у визначений у відсотках від +entry_cache_timeout для домену період часу. + </para> + <para> + Наприклад, якщо entry_cache_timeout домену встановлено у значення 30s, а +entry_cache_nowait_percentage — у значення 50 (у відсотках), записи, які +надійдуть за 15 секунд після останнього оновлення кешу, буде повернуто +одразу, але SSSD оновить власний кеш, отже наступні запити очікуватимуть на +розблокування після оновлення кешу. + </para> + <para> + Коректними значеннями цього параметра є 0-99. Ці значення відповідають +відсоткам entry_cache_timeout для кожного з доменів. З міркувань покращення +швидкодії це відсоткове значення ніколи не зменшуватиме час очікування +nowait до значення, меншого за 10 секунд. Визначення значення 0 вимкне цю +можливість. + </para> + <para> + Типове значення: 50 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>entry_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких nss_sss має кешувати негативні +результати пошуку у кеші (тобто запити щодо некоректних записів у базі +даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких nss_sss має зберігати негативні +результати пошуку у кеші користувачів і груп, перші ніж намагатися знову +шукати їх за допомогою модуля надання даних. Встановлення значення 0 вимикає +цю можливість. + </para> + <para> + Типове значення: 14400 (4 години) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users, filter_groups (рядок)</term> + <listitem> + <para> + Виключити певних користувачів або групи зі списку отримання даних з бази +даних NSS sss. Таке виключення може бути корисним для облікових записів +керування системою. Цей параметр також можна встановлювати для кожного з +доменів окремо або включити до нього імена користувачів повністю для +обмеження списку користувачами лише з певного домену або за назвою +реєстраційного запису користувача (UPN). + </para> + <para> + ЗАУВАЖЕННЯ: параметр filter_groups не впливає на успадкованість вкладених +записів групи, оскільки фільтрування відбувається після їх передавання для +повернення за допомогою NSS. Наприклад, у списку групи, що містить вкладену +групу, яку відфільтровано, залишатимуться записи користувачів +відфільтрованої групи. + </para> + <para> + Типове значення: root + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>filter_users_in_groups (булеве значення)</term> + <listitem> + <para> + Якщо ви хочете, щоб фільтровані користувачі залишалися учасниками груп, +встановіть для цього параметра значення «false». + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" /> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" /> + <varlistentry> + <term>fallback_homedir (рядок)</term> + <listitem> + <para> + Встановити типовий шаблон назви домашнього каталогу користувача, якщо цей +каталог не вказано явним чином засобом надання даних домену. + </para> + <para> + Можливі варіанти значень для цього параметра збігаються з варіантами значень +для параметра override_homedir. + </para> + <para> + приклад: <programlisting> +fallback_homedir = /home/%u + </programlisting> + </para> + <para> + Типове значення: не встановлено (без замін для невстановлених домашніх +каталогів) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>override_shell (рядок)</term> + <listitem> + <para> + Перевизначити командну оболонку входу до системи для усіх користувачів. Цей +параметр має пріоритет над будь-якими іншими параметрами визначення +командної оболонки, якщо він діє. Його можна встановити або у розділі [nss] +або для кожного з доменів окремо. + </para> + <para> + Типове значення: не встановлено (SSSD використовуватиме значення, отримане +від LDAP) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>allowed_shells (рядок)</term> + <listitem> + <para> + Обмежити перелік можливих командних оболонок користувачів вказаними. Порядок +визначення оболонки є таким: + </para> + <para> + 1. Якщо оболонку вказано у <quote>/etc/shells</quote>, її буде використано. + </para> + <para> + 2. Якщо оболонку вказано у списку allowed_shells, але її немає у списку +<quote>/etc/shells</quote>, буде використано значення параметра +shell_fallback. + </para> + <para> + 3. Якщо оболонку не вказано у списку allowed_shells і її немає у списку +<quote>/etc/shells</quote>, буде використано оболонку nologin. + </para> + <para> + Для визначення будь-якої командної оболонки можна скористатися шаблоном +заміни (*). + </para> + <para> + Значенням (*) варто користуватися, якщо ви хочете скористатися +shell_fallback, коли командної оболонки користувача немає у «/etc/shells», а +супровід списку усіх командних оболонок у allowed_shells є надто марудною +справою. + </para> + <para> + Порожній рядок оболонки буде передано без обробки до libc. + </para> + <para> + Читання <quote>/etc/shells</quote> виконується лише під час запуску SSSD, +тобто у разі встановлення нової оболонки слід перезапустити SSSD. + </para> + <para> + Типове значення: не встановлено. Автоматично використовується оболонка +користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>vetoed_shells (рядок)</term> + <listitem> + <para> + Замінити всі записи цих оболонок на shell_fallback + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>shell_fallback (рядок)</term> + <listitem> + <para> + Типова оболонка, яку слід використовувати, якщо дозволеної оболонки у +системі не встановлено. + </para> + <para> + Типове значення: /bin/sh + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>default_shell</term> + <listitem> + <para> + Типова командна оболонка, яку буде використано, якщо засобом надання даних +не було повернуто назви оболонки під час пошуку. Цей параметр можна вказати +або на загальному рівні у розділі [nss], або окремо для кожного з доменів. + </para> + <para> + Типове значення: не встановлено (повернути NULL, якщо оболонку не +встановлено і покластися на libc у визначенні потрібного програмі значення, +зазвичай /bin/sh) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. Встановлення для цього параметра нульового значення вимикає кеш у +пам'яті. + </para> + <para> + Типове значення: 300 + </para> + <para> + Попередження: вимикання кешу у пам'яті значно погіршить швидкодію SSSD, ним +варто користуватися лише для тестування. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_passwd (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів passwd. Встановлення розміру 0 вимкне кеш у пам'яті для passwd. + </para> + <para> + Типове значення: 8 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_group (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів group. Встановлення розміру 0 вимкне кеш у пам'яті для group. + </para> + <para> + Типове значення: 6 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_initgroups (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів initgroups. Встановлення розміру 0 вимкне кеш у пам'яті для +initgroups. + </para> + <para> + Типове значення: 10 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>memcache_size_sid (ціле число)</term> + <listitem> + <para> + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для пов'язаних із SID запитів. У поточній версії передбачено кешування у +швидкій пам'яті лише для запитів SID-за-ID і ID-за-SID. Встановлення розміру +0 вимкне кеш у пам'яті для SID. + </para> + <para> + Типове значення: 6 + </para> + <para> + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + </para> + <para> + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>user_attributes (рядок)</term> + <listitem> + <para> + Деякі із додаткових запитів до відповідача NSS можуть повертати більшу +кількість атрибутів, ніж це визначено POSIX для інтерфейсу NSS. Списком +атрибутів можна керувати за допомогою цього параметра. Обробка виконується у +той самий спосіб, що і для параметра «user_attributes» відповідача InfoPipe +(див. <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше), але без +типових значень. + </para> + <para> + Щоб полегшити налаштовування відповідач NSS перевірятиме параметр InfoPipe +на те, чи не встановлено його для відповідача NSS. + </para> + <para> + Типове значення: не встановлено, резервне значення визначається за +параметром InfoPipe + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwfield (рядок)</term> + <listitem> + <para> + Значення, яке повертають операції NSS, які повертають записи користувачів чи +груп, для поля <quote>password</quote>. + </para> + <para> + Типове значення: <quote>*</quote> + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо. При цьому це значення матиме вищий пріоритет за значення у +розділі [nss]. + </para> + <para> + Default: <quote>not set</quote> (remote domains), <phrase +condition="with_files_provider"> <quote>x</quote> (the files domain), +</phrase> <quote>x</quote> (proxy domain with nss_files and sssd-shadowutils +target) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + <refsect2 id='PAM'> + <title>Параметри налаштування PAM</title> + <para> + Цими параметрами можна скористатися для налаштування служби Pluggable +Authentication Module (PAM або блокового модуля розпізнавання). + </para> + <variablelist> + <varlistentry> + <term>offline_credentials_expiration (ціле число)</term> + <listitem> + <para> + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +тривалість зберігання кешованих входів (у днях з часу останнього успішного +входу до системи). + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_attempts (ціле число)</term> + <listitem> + <para> + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +дозволену кількість спроб входу з визначенням помилкового пароля. + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>offline_failed_login_delay (ціле число)</term> + <listitem> + <para> + Час у хвилинах, який має пройти між досягненням значення +offline_failed_login_attempts і повторним вмиканням можливості входу до +системи. + </para> + <para> + Якщо встановлено значення 0, користувач не зможе пройти розпізнавання у +автономному режимі, якщо буде досягнуто значення +offline_failed_login_attempts. Лише успішне розпізнавання може знову +увімкнути можливість автономного розпізнавання. + </para> + <para> + Типове значення: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_verbosity (ціле число)</term> + <listitem> + <para> + Керує типами повідомлень, які буде показано користувачеві під час +розпізнавання. Чим більшим є значення, тим більше повідомлень буде показано. + </para> + <para> + У поточній версії sssd передбачено підтримку таких значень: + </para> + <para> + <emphasis>0</emphasis>: не показувати жодних повідомлень + </para> + <para> + <emphasis>1</emphasis>: показувати лише важливі повідомлення + </para> + <para> + <emphasis>2</emphasis>: показувати всі інформаційні повідомлення + </para> + <para> + <emphasis>3</emphasis>: показувати всі повідомлення та діагностичні дані + </para> + <para> + Типове значення: 1 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_response_filter (рядок)</term> + <listitem> + <para> + Список рядків, відокремлених комами, за допомогою якого можна вилучати +(фільтрувати) дані, які надсилаються відповідачем PAM до модуля PAM +pam_sss. Існують різні тип відповідей, які надсилаються до pam_sss, +наприклад повідомлення, які показуються користувачеві, або змінні +середовища, які слід встановлювати за допомогою pam_sss. + </para> + <para> + Хоча повідомленнями вже можна керувати за допомогою параметра pam_verbosity, +за допомогою цього параметра можна відфільтрувати також інші типи +повідомлень. + </para> + <para> + У поточній версії передбачено підтримку таких фільтрів: <variablelist> + <varlistentry><term>ENV</term> + <listitem><para>Не надсилати жодних змінних середовища до жодної служби.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:назва_змінної</term> + <listitem><para>Не надсилати змінної середовища назва_змінної до жодної служби.</para></listitem> + </varlistentry> + <varlistentry><term>ENV:назва_змінної:служба</term> + <listitem><para>Не надсилати змінної середовища назва_змінної до вказаної служби.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Список рядків може бути або списком фільтрів, які встановлюють список +фільтрування і перевизначають типові фільтри, або до кожного елемента списку +може бути додано префікс «+» або «-», який додасть фільтр до наявного +типового фільтрування або вилучить його з наявного типового фільтрування, +відповідно. Будь ласка, зауважте, або що усі елементи списку повинні мати +префікси «+» або «-», або усі елементи списку не повинні містити +префіксів. Змішування стилів вважається помилкою. + </para> + <para> + Типове значення: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i + </para> + <para> + Приклад: -ENV:KRB5CCNAME:sudo-i вилучає фільтр зі списку типових + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_id_timeout (ціле число)</term> + <listitem> + <para> + Для кожного з запитів PAM під час роботи SSSD система SSSD зробить спробу +негайно оновити кешовані дані щодо профілю користувача з метою переконатися, +що розпізнавання виконується на основі найсвіжіших даних. + </para> + <para> + Повний обмін даними сеансу PAM може включати декілька запитів PAM, зокрема +для керування обліковими записами та відкриття сеансів. За допомогою цього +параметра можна керувати (для окремих клієнтів-програм) тривалістю (у +секундах) кешування даних профілю з метою уникнути повторних викликів засобу +надання даних профілів. + </para> + <para> + Типове значення: 5 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>pam_pwd_expiration_warning (ціле число)</term> + <listitem> + <para> + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + </para> + <para> + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. + </para> + <para> + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + </para> + <para> + Цей параметр може бути перевизначено встановленням параметра +<emphasis>pwd_expiration_warning</emphasis> для окремого домену. + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>get_domains_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_trusted_users (рядок)</term> + <listitem> + <para> + Визначає список відокремлених комами значень UID або імен користувачів, яким +дозволено виконувати обмін даними PAM із довіреними доменами. Користувачі, +яких не включено до цього списку, можуть отримувати доступ лише до доменів, +які позначено як загальнодоступні (public) за допомогою +<quote>pam_public_domains</quote>. Імена користувачів перетворюються на UID +під час запуску системи. + </para> + <para> + Типове значення: типово усі користувачі вважаються надійними (довіреними) + </para> + <para> + Будь ласка, зауважте, що користувачеві з UID 0 завжди мають доступ до +відповідача PAM, навіть якщо користувача немає у списку pam_trusted_users. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_public_domains (рядок)</term> + <listitem> + <para> + Визначає список назв доменів, відокремлених комами, доступ до яких можуть +отримувати навіть ненадійні користувачі. + </para> + <para> + Визначено два спеціальних значення параметра pam_public_domains: + </para> + <para> + all (Ненадійним користувачам відкрито доступ до усіх доменів у відповідачі +PAM.) + </para> + <para> + none (Ненадійним користувачам заборонено доступ до усіх доменів PAM у +відповідачі.) + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_expired_message (рядок)</term> + <listitem> + <para> + Надає змогу встановити нетипове повідомлення щодо завершення строку дії, яке +замінити типове повідомлення «Доступ заборонено» («Permission denied»). + </para> + <para> + Зауваження: будь ласка, зверніть увагу на те, що повідомлення буде виведено +для служби SSH, лише якщо pam_verbosity не встановлено у значення 3 +(показувати усі повідомлення і діагностичні дані). + </para> + <para> + приклад: <programlisting> +pam_account_expired_message = Account expired, please contact help desk. + </programlisting> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_account_locked_message (рядок)</term> + <listitem> + <para> + Надає змогу встановити нетипове повідомлення щодо блокування, яке замінити +типове повідомлення «Доступ заборонено» («Permission denied»). + </para> + <para> + приклад: <programlisting> +pam_account_locked_message = Account locked, please contact help desk. + </programlisting> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>pam_passkey_auth (bool)</term> + <listitem> + <para> + Enable passkey device based authentication. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_debug_libfido2 (bool)</term> + <listitem> + <para> + Enable libfido2 library debug messages. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_auth (булеве значення)</term> + <listitem> + <para> + Увімкнути сертифікацію на основі розпізнавання за смарткартками. Оскільки це +потребує додаткового обміну даним із смарткарткою, що затримує процес +розпізнавання, типово таку сертифікацію вимкнено. + </para> + <para> + Типове значення: False + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_db_path (рядок)</term> + <listitem> + <para> + Шлях до бази даних сертифікатів. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_cert_verification (рядок)</term> + <listitem> + <para> + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів PAM на основі списку параметрів, відокремлених комами. Ці +параметри перевизначають значення <quote>certificate_verification</quote> у +розділі <quote>[sssd]</quote>. Підтримуваними параметрами є ті самі, що і у +<quote>certificate_verification</quote>. + </para> + <para> + приклад: <programlisting> +pam_cert_verification = partial_chain + </programlisting> + </para> + <para> + Типове значення: не встановлено, тобто слід використовувати типовий параметр +<quote>certificate_verification</quote>, який визначено у розділі +<quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_child_timeout (ціле число)</term> + <listitem> + <para> + Час у секундах, протягом якого pam_sss очікуватиме на завершення роботи +p11_child. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + <varlistentry condition="build_passkey"> + <term>passkey_child_timeout (integer)</term> + <listitem> + <para> + How many seconds will the PAM responder wait for passkey_child to finish. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_app_services (рядок)</term> + <listitem> + <para> + Визначає, яким службам PAM дозволено встановлювати з'єднання із доменами +типу <quote>application</quote> + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_p11_allowed_services (ціле число)</term> + <listitem> + <para> + Список назв служб PAM, відокремлених комами, для яких буде дозволено +використання смарткарток. + </para> + <para> + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для розпізнавання за смарткарткою +(наприклад, «login») з нетиповою назвою служби PAM (наприклад, +«my_pam_service»), вам слід скористатися такими налаштуваннями: <programlisting> +pam_p11_allowed_services = +my_pam_service, -login + </programlisting> + </para> + <para> + Типове значення: типовий набір назв служб PAM складається з таких значень: + <itemizedlist> + <listitem> + <para> + login + </para> + </listitem> + <listitem> + <para> + su + </para> + </listitem> + <listitem> + <para> + su-l + </para> + </listitem> + <listitem> + <para> + gdm-smartcard + </para> + </listitem> + <listitem> + <para> + gdm-password + </para> + </listitem> + <listitem> + <para> + kdm + </para> + </listitem> + <listitem> + <para> + sudo + </para> + </listitem> + <listitem> + <para> + sudo-i + </para> + </listitem> + <listitem> + <para> + gnome-screensaver + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_wait_for_card_timeout (ціле число)</term> + <listitem> + <para> + Якщо обов'язковим є розпізнавання за смарткарткою, кількість додаткових +секунд, які буде додано до p11_child_timeout, протягом яких відповідача PAM +має чекати на вставлення смарткартки. + </para> + <para> + Типове значення: 60 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>p11_uri (рядок)</term> + <listitem> + <para> + Адреса PKCS#11 (докладніший опис можна знайти у RFC-7512), якою можна +скористатися для обмеження переліку пристроїв, які використовуються для +розпізнавання за допомогою смарткартки. Типово, p11_child зі складу SSSD +виконуватиме пошук слоту PKCS#11 (зчитувача), для якого встановлено прапорці +«removable» («портативний») і читатиме сертифікати із першого знайденого +слоту вставленого ключа. Якщо з комп'ютером буде з'єднано декілька +зчитувачів, можна скористатися p11_uri для повідомлення p11_child про те, що +слід використовувати вказаний зчитувач. + </para> + <para> + Приклади: <programlisting> +p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader + </programlisting> або <programlisting> +p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2 + </programlisting> Для визначення відповідної адреси, +ознайомтеся із файлом діагностичних даних p11_child. Крім того, можна +скористатися програмою GnuTLS p11tool, наприклад, із параметром --list-all, +який покаже і адреси PKCS#11. + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_initgroups_scheme</term> + <listitem> + <para> + Відповідач PAM може примусово застосувати пошук у мережі, щоб отримати +поточну групу членства користувача, який намагається увійти до системи. Цей +параметр керує тим, коли це слід робити. Передбачено можливість встановлення +таких значень: <variablelist> + <varlistentry><term>always</term> + <listitem><para>Завжди виконувати пошук у мережі. Будь ласка, зауважте, що pam_id_timeout +буде все одно застосовано</para></listitem> + </varlistentry> + <varlistentry><term>no_session</term> + <listitem><para>Виконувати пошук у мережі, лише якщо немає активного сеансу користувача, +тобто якщо користувач не працює у системі</para></listitem> + </varlistentry> + <varlistentry><term>never</term> + <listitem><para>Ніколи не виконувати пошук у мережі примусово, використовувати дані з кешу, +аж доки вони не застаріють</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: no_session + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_services</term> + <listitem> + <para> + Відокремлений комами список служб PAM, яким дозволено намагатися виконати +розпізнавання за GSSAPI за допомогою модуля pam_sss_gss.so. + </para> + <para> + Щоб вимкнути розпізнавання за GSSAPI, встановіть для цього параметра +значення <quote>-</quote> (дефіс). + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + Приклад: <programlisting> +pam_gssapi_services = sudo, sudo-i + </programlisting> + </para> + <para> + Типове значення: - (розпізнавання за GSSAPI вимкнено) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_check_upn</term> + <listitem> + <para> + Якщо має значення True, SSSD потребуватиме можливості прив'язки +реєстраційних даних користувача Kerberos, якого успішно розпізнано за +допомогою GSSAPI, до користувача, якого розпізнано. Розпізнавання +вважатиметься неуспішним, якщо перевірку не буде пройдено. + </para> + <para> + Якщо має значення False, розпізнаними вважатимуться усі користувачі, які +зможуть отримати бажаний квиток служби. + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + Типове значення: True + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pam_gssapi_indicators_map</term> + <listitem> + <para> + Для доступу до служби PAM, у якій можна спробувати розпізнавання GSSAPI з +використанням модуля pam_sss_gss.so, у квитку Kerberos має бути список +відокремлених комами індикаторів розпізнавання. + </para> + <para> + Кожен з елементів списку може бути або назвою індикатора розпізнавання, або +парою <quote>служба:індикатор</quote>. Для доступу до будь-якої служби PAM, +яку налаштовано на використання з <option>pam_gssapi_services</option> +будуть потрібні індикатори без префіксів назв служб PAM. Список-результат +індикаторів для окремої служби PAM буде перевірено за індикаторами у квитку +Kerberos під час розпізнавання у pam_sss_gss.so. Буд-який індикатор з +квитка, який відповідає списку-результату індикаторів для служби PAM, +отримає доступ. Якщо відповідність не буде встановлено для жодного з +індикаторів, доступ буде заборонено. Якщо список-результат індикаторів для +служби PAM є порожнім, перевірка не закриватиме доступ для жодного запису. + </para> + <para> + Щоб вимкнути перевірку за індикаторами для розпізнавання за GSSAPI, +встановіть для цього параметра значення <quote>-</quote> (дефіс). Щоб +вимкнути перевірку для певної служби PAM, додайте <quote>служба:-</quote>. + </para> + <para> + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + </para> + <para> + У розгорнутих системах IPA з Kerberos передбачено підтримку таких +індикаторів розпізнавання: + <itemizedlist> + <listitem> + <para>pkinit — попереднє розпізнавання за допомогою сертифікатів X.509, які +зберігаються у файлах або на смарткартках.</para> + </listitem> + <listitem> + <para>hardened — попереднє розпізнавання SPAKE або будь-яке попереднє +розпізнавання у обгортці каналу FAST.</para> + </listitem> + <listitem> + <para>radius — попереднє розпізнавання за допомогою сервера RADIUS.</para> + </listitem> + <listitem> + <para>otp — попереднє розпізнавання за допомогою інтегрованого двофакторного +розпізнавання (2FA або одноразовий пароль, OTP) в IPA.</para> + </listitem> + <listitem> + <para>idp — попереднє розпізнавання за допомогою зовнішнього надавача даних +профілів.</para> + </listitem> + </itemizedlist> + </para> + <para> + Приклад: щоб встановити обов'язковість для доступу до служб SUDO отримання +користувачами їхніх квитків Kerberos із попереднім розпізнаванням за +сертифікатом X.509 (PKINIT), встановіть <programlisting> +pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit + </programlisting> + </para> + <para> + Типове значення: не встановлено (немає потреби у використанні індикаторів +розпізнавання) + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SUDO' condition="with_sudo"> + <title>Параметри налаштування SUDO</title> + <para> + Цими параметрами можна скористатися для налаштовування служби sudo. Докладні +настанови щодо налаштовування <citerefentry> +<refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> +на роботу з <citerefentry> <refentrytitle>sssd</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry> можна знайти на сторінці довідника +<citerefentry> <refentrytitle>sssd-sudo</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <variablelist> + <varlistentry> + <term>sudo_timed (булеве значення)</term> + <listitem> + <para> + Визначає, чи слід обробляти атрибути sudoNotBefore і sudoNotAfter, +призначені для визначення часових обмежень для записів sudoers. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + </variablelist> + <variablelist> + <varlistentry> + <term>sudo_threshold (ціле число)</term> + <listitem> + <para> + Максимальна кількість застарілих правил, які можна оновлювати за один +крок. Якщо кількість застарілих правил є нижчою за це порогове значення, +правила буде оновлено за допомогою механізму <quote>rules +refresh</quote>. Якщо порогове значення перевищено, замість нього буде +використано <quote>full refresh</quote> з правил sudo. Це порогове значення +також стосується команди sudo IPA та групових пошуків команд. + </para> + <para> + Типове значення: 50 + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='AUTOFS' condition="with_autofs"> + <title>Параметри налаштування AUTOFS</title> + <para> + Цими параметрами можна скористатися для налаштування служби autofs. + </para> + <variablelist> + <varlistentry> + <term>autofs_negative_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких відповідач autofs має кешувати +негативні результати пошуку у кеші (тобто запити щодо некоректних записів у +базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + </para> + <para> + Типове значення: 15 + </para> + </listitem> + </varlistentry> + </variablelist> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" /> + </refsect2> + + <refsect2 id='SSH' condition="with_ssh"> + <title>Параметри налаштувань SSH</title> + <para> + Цими параметрами можна скористатися для налаштування служби SSH. + </para> + <variablelist> + <varlistentry> + <term>ssh_hash_known_hosts (булеве значення)</term> + <listitem> + <para> + Чи слід хешувати назви та адреси вузлів у керованому файлі known_hosts. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_known_hosts_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких запису вузла зберігатиметься у керованому +файлі known_hosts після надсилання запиту щодо ключів вузла. + </para> + <para> + Типове значення: 180 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_keys (булеве значення)</term> + <listitem> + <para> + Якщо встановлено значення true, <command>sss_ssh_authorizedkeys</command> +поверне ключі ssh, які походять від відкритого ключа сертифікатів X.509, які +також зберігаються у записі користувача. Докладніше про це на сторінці +підручника <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>1</manvolnum> </citerefentry>. + </para> + <para> + Типове значення: true + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ssh_use_certificate_matching_rules (рядок)</term> + <listitem> + <para> + Типово, відповідач SSH буде використовувати усі доступні правила +встановлення відповідності сертифікатів для фільтрування сертифікатів, тому +ключі SSH будуть створюватися лише на основі відповідних правилам +сертифікатів. За допомогою цього параметра можна обмежити перелік +використаних правил на основі списку назв правил прив'язки і відповідності, +відокремлених комами. Усі інші правила буде проігноровано. + </para> + <para> + Передбачено два спеціальних ключових слова «all_rules» та «no_rules», які +вмикають або вимикають усі правила, відповідно. Останній випадок означає, що +сертифікати не фільтруватимуться, а ключі ssh буде створено з усіх коректних +сертифікатів. + </para> + <para> + Якщо не налаштовано жодного правила, «all_rules» увімкне типове правило, яке +дозволяє використання усіх сертифікатів, які придатні для розпізнавання +клієнта. Це та сама поведінка, що для відповідача PAM, якщо увімкнено +розпізнавання за сертифікатом. + </para> + <para> + Визначення назви правила, якої не існує, вважатиметься помилкою. Якщо в +результаті не буде вибрано жодного правила, усі сертифікати буде +проігноровано. + </para> + <para> + Типове значення: не встановлено, рівнозначне до «all_rules» — буде +використано усі знайдені правила або типове правило + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ca_db (рядок)</term> + <listitem> + <para> + Шлях до сховища довірених сертифікатів CA. Параметр використовується для +перевірки сертифікатів користувачів до отримання з них відкритих ключів ssh. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + </para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='PAC_RESPONDER' condition="with_pac_responder"> + <title>Параметри налаштування відповідача PAC</title> + <para> + Відповідач PAC працює разом з додатком даних уповноваження для +sssd_pac_plugin.so зі складу MIT Kerberos та засобу надання даних +піддоменів. Цей додаток надсилає до відповідача PAC дані PAC під час +розпізнавання за допомогою GSSAPI. Засіб надання даних піддоменів збирає +дані щодо діапазонів SID і ID домену, до якого долучено клієнт, та +віддалених надійних доменів з локального контролера доменів. Якщо PAC +декодовано і визначено, виконуються деякі з таких дій: + <itemizedlist> + <listitem><para>Якщо у кеші немає даних віддаленого користувача, запис цих даних буде +створено. UID буде визначено за допомогою SID, надійні домени матимуть UPG, +а gid матиме те саме значення, що і UID. Дані домашнього каталогу буде +засновано на значенні параметра subdomain_homedir. Типово, для командної +оболонки буде вибрано порожнє значення, тобто використовуватимуться типові +параметри системи. Значення для оболонки можна змінити за допомогою +параметра default_shell.</para> + </listitem> + <listitem><para>Якщо існують SID груп з доменів, про які відомо SSSD, запис користувача буде +додано до цих груп. + </para></listitem> + </itemizedlist> + </para> + <para> + Цими параметрами можна скористатися для налаштовування відповідача PAC. + </para> + <variablelist> + <varlistentry> + <term>allowed_uids (рядок)</term> + <listitem> + <para> + Визначає список значень UID або імен користувачів, відокремлених +комами. Користувачам з цього списку буде дозволено доступ до відповідача +PAC. UID за іменами користувачів визначатимуться під час запуску. + </para> + <para> + Типове значення: 0 (доступ до відповідача PAC має лише адміністративний +користувач (root)) + </para> + <para> + Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID +буде перевизначено на основі цього параметра. Якщо ви хочете надати +адміністративному користувачеві (root) доступ до відповідача PAC, що може +бути типовим варіантом, вам слід додати до списку UID з правами доступу +запис 0. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_lifetime (ціле число)</term> + <listitem> + <para> + Строк дії запису PAC у секундах. Якщо PAC є чинним, дані PAC можна +використовувати для визначення членства користувача у групі. + </para> + <para> + Типове значення: 300 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_check (рядок)</term> + <listitem> + <para> + Застосувати додаткові перевірки до PAC квитка Kerberos, який доступний у +доменах Active Directory і FreeIPA, якщо це налаштовано. Будь ласка, +зауважте, що має бути увімкнено перевірку квитка Kerberos, щоб мати змогу +перевірити PAC, тобто для параметра krb5_validate має бути встановлено +значення «True», яке є типовим для надавачів даних IPA і AD. Якщо для +krb5_validate встановлено значення «False», перевірки PAC буде пропущено. + </para> + <para> + Вказаними нижче параметрами можна скористатися окремо або у форматі списку +відокремлених комами значень: <variablelist> + <varlistentry> + <term>no_check</term> + <listitem> + <para>PAC не повинно бути, і навіть якщо він є, ніяких додаткових перевірок +виконано не буде.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>pac_present</term> + <listitem> + <para>PAC має бути наявним у квитку служби, запит щодо якого SSSD надсилає за +допомогою TGT користувача. Якщо PAC є недоступним, спроба розпізнавання +зазнає невдачі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn</term> + <listitem> + <para>Якщо PAC є, перевірити, чи є узгодженими дані назви реєстраційного запису +користувача (UPN).</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_allow_missing</term> + <listitem> + <para>Цей параметр слід використовувати разом і «check_upn» і обробляє випадок, +коли для UPN встановлено значення на боці сервера, але його не прочитано +SSSD. Типовим прикладом є домен FreeIPA, де для «ldap_user_principal» +встановлено назву атрибуту, якого не існує. Так типово роблять для того, щоб +обійти проблеми в обробці промислових реєстраційних записів. Втім, це +виправлено вже певний час, і FreeIPA може обробляти промислові реєстраційні +записи без проблем. У встановленні «ldap_user_principal» більше немає +потреби.</para> + <para>У поточній версії цей параметр типово увімкнено, щоб уникнути регресій у +подібних середовищах. До системного журналу та діагностичного журналу SSSD +буде додано повідомлення у випадку виявлення UPN у PAC, але не у кеші +SSSD. Щоб уникнути появи такого повідомлення, слід перевірити, чи можна +вилучити параметр «ldap_user_principal». Якщо це неможливо, вилучення +«check_upn» призведе до пропускання перевірки, і повідомлення зникне з +журналу.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_present</term> + <listitem> + <para>PAC має містити буфер UPN-DNS-INFO; неявним чином встановлює «check_upn».</para> + </listitem> + </varlistentry> + <varlistentry> + <term>check_upn_dns_info_ex</term> + <listitem> + <para>Якщо є PAC і доступним є розширення буфера UPN-DNS-INFO, перевірити, чи є +узгодженими дані у розширенні.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>upn_dns_info_ex_present</term> + <listitem> + <para>PAC має містити розширення буфера UPN-DNS-INFO; неявним чином встановлює +«check_upn_dns_info_ex», «upn_dns_info_present» і «check_upn». + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: no_check (для надавачів AD та IPA — «check_upn, +check_upn_allow_missing, check_upn_dns_info_ex») + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + <refsect2 id='SESSION_RECORDING'> + <title>Параметри налаштовування запису сеансів</title> + <para> + Запис сеансів працює у зв'язці з <citerefentry> +<refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> +</citerefentry>, частиною пакунка tlog, для запису даних, які бачать і +вводять користувачі після входу до текстового термінала. Див. також +<citerefentry> <refentrytitle>sssd-session-recording</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + Цими параметрами можна скористатися для налаштовування запису сеансів. + </para> + <variablelist> + <varlistentry> + <term>scope (рядок)</term> + <listitem> + <para> + Один із вказаних нижче рядків, що визначають область запису сеансів: +<variablelist> + <varlistentry> + <term>"none"</term> + <listitem> + <para> + Користувачі не записуються. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"some"</term> + <listitem> + <para> + Запис вестиметься для користувачів і груп, вказаних параметрами +<replaceable>користувачі</replaceable> і <replaceable>групи</replaceable>. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>"all"</term> + <listitem> + <para> + Усі користувачі записуються. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, для яких увімкнено +записування сеансів. Належність до списку визначатиметься за іменами, +повернутими NSS, тобто після можливих замін пробілів, змін регістру символів +тощо. + </para> + <para> + Типове значення: порожнє. Не відповідає жодному користувачу. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, для користувачів яких буде +увімкнено записування сеансів. Належність до списку визначатиметься за +назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру +символів тощо. + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не відповідає жодній групі. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_users (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів користувачів, яких має бути виключено із +записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Типове значення: порожнє. Не виключати жодного користувача. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>exclude_groups (рядок)</term> + <listitem> + <para> + Список відокремлених комами записів груп, учасників яких має бути виключено +із записування. Може бути застосовано лише разом із «scope=all». + </para> + <para> + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + </para> + <para> + Типове значення: порожнє. Не виключати жодної групи. + </para> + </listitem> + </varlistentry> + </variablelist> + </refsect2> + + </refsect1> + + <refsect1 id='domain-sections'> + <title>РОЗДІЛИ ДОМЕНІВ</title> + <para> + Ці параметри налаштування може бути вказано у розділі налаштування домену, +тобто у розділі з назвою +<quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> <variablelist> + <varlistentry> + <term>enabled</term> + <listitem> + <para> + Явним чином увімкнути або вимкнути домен. Якщо має значення +<quote>true</quote>, домен завжди <quote>увімкнено</quote>. Якщо має +значення <quote>false</quote>, домен завжди <quote>вимкнено</quote>. Якщо +значення цього параметра не встановлено, домен увімкнено, лише якщо його +вказано у параметрі доменів у розділі <quote>[sssd]</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>domain_type (рядок)</term> + <listitem> + <para> + Визначає, чи призначено домен для використання клієнтами у стандарті POSIX, +зокрема NSS, або програмами, які не потребують наявності або створення даних +POSIX. Інтерфейсам та інструментам операційних систем доступні лише об'єкти +з доменів POSIX. + </para> + <para> + Дозволеними значеннями цього параметра є <quote>posix</quote> і +<quote>application</quote>. + </para> + <para> + Домени POSIX доступні для усіх служб. Домени програм доступні лише з +відповідача InfoPipe (див. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) і відповідача PAM. + </para> + <para> + ЗАУВАЖЕННЯ: належне тестування у поточній версії виконано лише для доменів +application з <quote>id_provider=ldap</quote>. + </para> + <para> + Щоб ознайомитися із простим способом налаштовування не-POSIX доменів, будь +ласка, ознайомтеся із розділом <quote>Домени програм</quote>. + </para> + <para> + Типове значення: posix + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>min_id,max_id (ціле значення)</term> + <listitem> + <para> + Обмеження UID і GID для домену. Якщо у домені міститься запис, що не +відповідає цим обмеженням, його буде проігноровано. + </para> + <para> + Для користувачів зміна цього параметра вплине на основне обмеження +GID. Запис користувача не буде повернуто до NSS, якщо UID або основний GID +не належать вказаному діапазону. Записи користувачів, які не є учасниками +основної групи і належать діапазону, буде виведено у звичайному режимі. + </para> + <para> + Ці обмеження на ідентифікатори стосуються і збереження записів до кешу, не +лише повернення записів за назвою або ідентифікатором. + </para> + <para> + Типові значення: 1 для min_id, 0 (без обмежень) для max_id + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>enumerate (булеве значення)</term> + <listitem> + <para> + Визначає, чи можна нумерувати домен, тобто, чи може домен створити список +усіх користувачів і груп, які у ньому містяться. Зауважте, що вмикання +нумерування не є обов'язковим для показу вторинних груп. Цей параметр може +мати такі значення: + </para> + <para> + TRUE = користувачі і групи нумеруються + </para> + <para> + FALSE = не використовувати нумерацію для цього домену + </para> + <para> + Типове значення: FALSE + </para> + <para> + Нумерування домену потребує від SSSD отримання і зберігання усіх записів +користувачів і груп із віддаленого сервера. + </para> + <para> + Зауваження: вмикання нумерації помірно знизить швидкодію SSSD на час +виконання нумерації. Нумерація може тривати до декількох хвилин після +запуску SSSD. Протягом виконання нумерації окремі запити щодо даних буде +надіслано безпосередньо до LDAP, хоча і з уповільненням через навантаження +системи виконанням нумерації. Збереження великої кількості записів до кешу +після завершення нумерації може також значно навантажити процесор, оскільки +повторне визначення параметрів участі також іноді є складним завданням. Це +може призвести до проблем із отриманням відповіді від процесу +<quote>sssd_be</quote> або навіть перезапуску усього засобу стеження. + </para> + <para> + Під час першого виконання нумерації запити щодо повних списків користувачів +та груп можуть не повертати жодних результатів, аж доки нумерацію не буде +завершено. + </para> + <para> + Крім того, вмикання нумерації може збільшити час, потрібний для виявлення +того, що мережеве з’єднання розірвано, оскільки потрібне буде збільшення +часу очікування для забезпечення успішного завершення пошуків нумерації. Щоб +отримати додаткову інформацію, зверніться до сторінок довідника (man) +відповідного використаного засобу обробки ідентифікаторів (id_provider). + </para> + <para> + З вказаних вище причин не рекомендуємо вам вмикати нумерацію, особливо у +об’ємних середовищах. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_enumerate (рядок)</term> + <listitem> + <para> + Визначає, чи слід нумерувати усі автоматично виявлені надійні (довірені) +домени. Підтримувані значення: <variablelist> + <varlistentry> + <term>all</term> + <listitem><para>Усі виявлені надійні домени буде пронумеровано</para></listitem> + </varlistentry> + <varlistentry> + <term>none</term> + <listitem><para>Нумерація виявлених надійних доменів не виконуватиметься</para></listitem> + </varlistentry> + </variablelist> +Якщо потрібно, можна вказати список з однієї або декількох назв надійних +доменів, для яких буде увімкнено нумерацію. + </para> + <para> + Типове значення: none + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи чинними, перш ніж +надсилати повторний запит до сервера + </para> + <para> + Дані щодо часових позначок завершення строку дії записів кешу зберігаються +як атрибути окремих об’єктів у кеші. Тому зміна часу очікування на дані у +кеші впливає лише на нові записи та записи, строк дії яких вичерпано. Для +примусового оновлення записів, які вже було кешовано, вам слід запустити +програму <citerefentry> <refentrytitle>sss_cache</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>. + </para> + <para> + Типове значення: 5400 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_user_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи користувачів +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_group_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи груп чинними, перш +ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_netgroup_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи мережевих груп +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_service_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи служб чинними, перш +ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_resolver_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких nss_sss вважатиме записи вузлів і мереж +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>entry_cache_sudo_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких sudo вважатиме правила чинними, перш ніж +надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>entry_cache_autofs_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких служба autofs вважатиме карти автомонтування +чинними, перш ніж надсилати повторний запит до сервера + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_ssh"> + <term>entry_cache_ssh_host_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких слід зберігати ключ ssh вузла після +оновлення. Іншими словами, параметр визначає тривалість зберігання ключа +вузла у кеші. + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>entry_cache_computer_timeout (ціле число)</term> + <listitem> + <para> + Кількість секунд, протягом яких слід зберігати запис локального комп'ютера, +перш ніж надсилати запит до модуля обробки даних знову + </para> + <para> + Типове значення: entry_cache_timeout + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>refresh_expired_interval (ціле число)</term> + <listitem> + <para> + Визначає кількість секунд, протягом яких SSSD має очікувати до запуску +завдання з оновлення у фоновому режимі записів кешу, строк дії яких +вичерпано або майже вичерпано. + </para> + <para> + Під час фонового оновлення виконуватиметься обробка записів користувачів, +груп та мережевих груп у кеші. для записів користувачів, для яких +виконувалися дії з ініціювання груп (отримання даних щодо участі користувача +у групах, які типово виконуються під час входу до системи), буде оновлено і +запис користувача, і дані щодо участі у групах. + </para> + <para> + Цей параметр автоматично успадковується для усіх довірених доменів. + </para> + <para> + Варто визначити для цього параметра значення 3/4 * entry_cache_timeout. + </para> + <para> + Запис кешу буде оновлено фоновим завданням, якщо минуло 2/3 часу очікування +на застарівання кешу. Якщо у кеші вже є записи, фонове завдання звернеться +до значень часу очікування на застарівання початкових записів, а не +поточного значення у налаштуваннях. Це може призвести до ситуації, у якій +здаватиметься, що фонове завдання із оновлення записів не працює. Так +зроблено спеціально для удосконалення роботи в автономному режимі і +повторного використання наявних коректних записів у кеші. Щоб зробити +використання внесеної зміни постійним, користувачу варто вручну скасувати +чинність наявного кешу. + </para> + <para> + Типове значення: 0 (вимкнено) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials (булеве значення)</term> + <listitem> + <para> + Determines if user credentials are also cached in the local LDB cache. The +cached credentials refer to passwords, which includes the first (long term) +factor of two-factor authentication, not other authentication +mechanisms. Passkey and Smartcard authentications are expected to work +offline as long as a successful online authentication is recorded in the +cache without additional configuration. + </para> + <para> + Take a note that while credentials are stored as a salted SHA512 hash, this +still potentially poses some security risk in case an attacker manages to +get access to a cache file (normally requires privileged access) and to +break a password using brute force attack. + </para> + <para> + Типове значення: FALSE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>cache_credentials_minimal_first_factor_length (ціле число)</term> + <listitem> + <para> + Якщо використано двофакторне розпізнавання (2FA) і реєстраційні дані мають +зберігатися, це значення визначає мінімальну довжину першого фактора +розпізнавання (довготривалого пароля), який має бути збережено у форматі +контрольної суми SHA512 у кеші. + </para> + <para> + Таким чином забезпечується уникнення випадку, коли короткі PIN-коди +заснованої на PIN-кодах схеми 2FA зберігаються у кеші, що робить їх простою +мішенню атак із перебиранням паролів. + </para> + <para> + Типове значення: 8 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>account_cache_expiration (ціле число)</term> + <listitem> + <para> + Кількість днів, протягом яких записи залишатимуться у кеші після успішного +входу до системи до вилучення під час спорожнення кешу. 0 — не вилучати +записи. Значення цього параметра має бути більшим або рівним значенню +offline_credentials_expiration. + </para> + <para> + Типове значення: 0 (без обмежень) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>pwd_expiration_warning (ціле число)</term> + <listitem> + <para> + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + </para> + <para> + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + </para> + <para> + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. Крім того для цього сервера може бути вказано службу надання +даних розпізнавання. + </para> + <para> + Типове значення: 7 (Kerberos), 0 (LDAP) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>id_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних ідентифікації, який використовується для цього +домену. Серед підтримуваних засобів такі: + </para> + <para> + «proxy»: підтримка застарілого модуля надання даних NSS. + </para> + <para condition="with_files_provider"> + <quote>files</quote>: засіб надання даних FILES. Докладніше про те, як +працює віддзеркалення локальних користувачів і груп у SSSD, можна дізнатися +зі сторінки підручника <citerefentry> +<refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ldap</quote>: засіб LDAP. Докладніше про налаштовування LDAP можна +дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>use_fully_qualified_names (булеве значення)</term> + <listitem> + <para> + Використовувати ім’я та домен повністю (у форматі, визначеному +full_name_format домену) як ім’я користувача у системі, що повідомляється +NSS. + </para> + <para> + Якщо встановлено значення TRUE, всі запити до цього домену мають +використовувати повні назви. Наприклад, якщо використано домен LOCAL, який +містить запис користувача «test» user, <command>getent passwd test</command> +не покаже користувача, а <command>getent passwd test@LOCAL</command> покаже. + </para> + <para> + ЗАУВАЖЕННЯ: цей параметр не впливатиме на пошук у мережевих групах через +тенденцію до включення до таких груп вкладених мережевих груп. Для мережевих +груп, якщо задано неповну назву, буде виконано пошук у всіх доменах. + </para> + <para> + Типове значення: FALSE (TRUE для довірених доменів і піддоменів або якщо +використано default_domain_suffix) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>ignore_group_members (булеве значення)</term> + <listitem> + <para> + Не повертати записи учасників груп для пошуків груп. + </para> + <para> + Якщо встановлено значення TRUE, сервер LDAP не запитуватиме дані щодо +атрибутів участі у групах, а списки учасників груп не повертаються під час +обробки запитів щодо пошуку груп, зокрема <citerefentry> +<refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum> +</citerefentry> або <citerefentry> <refentrytitle>getgrgid</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry>. Отже, <quote>getent group +$groupname</quote> поверне запитану групу так, наче вона була порожня. + </para> + <para> + Вмикання цього параметра може також значно пришвидшити перевірки засобу +надання доступу для участі у групі, особливо для груп, у яких багато +учасників. + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: FALSE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auth_provider (рядок)</term> + <listitem> + <para> + Служба розпізнавання, яку використано для цього домену. Серед підтримуваних +служб розпізнавання: + </para> + <para> + <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>krb5</quote> — вбудоване розпізнавання Kerberos. Докладніші відомості +щодо налаштовування Kerberos викладено у довіднику з <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — трансльоване розпізнавання у іншій системі PAM. + </para> + <para> + <quote>none</quote> — вимкнути розпізнавання повністю. + </para> + <para> + Типове значення: буде використано <quote>id_provider</quote>, якщо цей +спосіб встановлено і можлива обробка запитів щодо розпізнавання. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>access_provider (рядок)</term> + <listitem> + <para> + Програма керування доступом для домену. Передбачено дві вбудованих програми +керування доступом (окрім всіх встановлених додаткових +серверів). Вбудованими програмами є: + </para> + <para> + <quote>permit</quote> дозволяти доступ завжди. Єдиний дозволений засіб +доступу для локального домену. + </para> + <para> + <quote>deny</quote> — завжди забороняти доступ. + </para> + <para> + <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>simple</quote> — керування доступом на основі списків дозволу або +заборони. Докладніші відомості щодо налаштовування модуля доступу simple +можна знайти у довідці до <citerefentry> +<refentrytitle>sssd-simple</refentrytitle> +<manvolnum>5</manvolnum></citerefentry>. + </para> + <para> + <quote>krb5</quote> — керування доступом на основі .k5login. Докладніші +відомості щодо налаштовування Kerberos викладено у довіднику з +<citerefentry> <refentrytitle>sssd-krb5</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>proxy</quote> — для трансляції керування доступом до іншого модуля +PAM. + </para> + <para> + Типове значення: <quote>permit</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>chpass_provider (рядок)</term> + <listitem> + <para> + Система, яка має обробляти дії зі зміни паролів для домену. Передбачено +підтримку таких систем зміни паролів: + </para> + <para> + <quote>ldap</quote> — змінити пароль, що зберігається на сервері +LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>krb5</quote> — змінити пароль Kerberos. Докладніші відомості щодо +налаштовування Kerberos викладено у довіднику з <citerefentry> +<refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote>: FreeIPA and Red Hat Identity Management provider. See +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry> for more information on configuring +FreeIPA. + </para> + <para> + <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з <citerefentry> +<refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>proxy</quote> — трансльована зміна пароля у іншій системі PAM. + </para> + <para> + <quote>none</quote> — явно вимкнути можливість зміни пароля. + </para> + <para> + Типове значення: використовується «auth_provider», якщо встановлено значення +цього параметра і якщо система здатна обробляти запити щодо паролів. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_sudo"> + <term>sudo_provider (рядок)</term> + <listitem> + <para> + Служба SUDO, яку використано для цього домену. Серед підтримуваних служб +SUDO: + </para> + <para> + <quote>ldap</quote> для правил, що зберігаються у LDAP. Докладніше про +налаштовування LDAP можна дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — те саме, що і <quote>ldap</quote>, але з типовими +параметрами IPA. + </para> + <para> + <quote>ad</quote> — те саме, що і <quote>ldap</quote>, але з типовими +параметрами AD. + </para> + <para> + <quote>none</quote> явним чином вимикає SUDO. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + <para> + З докладними настановами щодо налаштовування sudo_provider можна +ознайомитися за допомогою сторінки підручника (man) <citerefentry> +<refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. Передбачено доволі багато параметрів налаштовування, якими +можна скористатися для коригування поведінки програми. Докладніший опис +можна знайти у розділах щодо «ldap_sudo_*»" у підручнику з <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <emphasis>Зауваження:</emphasis> правила sudo періодично отримуються у +фоновому режимі, якщо постачальник даних sudo не вимкнено явним +чином. Встановіть значення <emphasis>sudo_provider = None</emphasis>, щоб +вимкнути усі дії, пов'язані із sudo у SSSD, якщо ви взагалі не хочете +використовувати sudo у SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>selinux_provider (рядок)</term> + <listitem> + <para> + Засіб, який має відповідати за завантаження параметрів SELinux. Зауважте, що +цей засіб буде викликано одразу після завершення роботи служби надання +доступу. Передбачено підтримку таких засобів надання даних SELinux: + </para> + <para> + <quote>ipa</quote> для завантаження параметрів selinux з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> явним чином забороняє отримання даних щодо параметрів +SELinux. + </para> + <para> + Типове значення: буде використано <quote>id_provider</quote>, якщо цей +спосіб встановлено і можлива обробка запитів щодо завантаження SELinux. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>subdomains_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних, який має обробляти отримання даних піддоменів. Це +значення має завжди збігатися зі значенням id_provider. Передбачено +підтримку таких засобів надання даних піддоменів: + </para> + <para> + <quote>ipa</quote> для завантаження списку піддоменів з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + «ad», з якої слід завантажувати список піддоменів з сервера Active +Directory. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> забороняє ячним чином отримання даних піддоменів. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>session_provider (рядок)</term> + <listitem> + <para> + Постачальник даних, який налаштовує завдання, пов'язані із сеансами +користувачів, і керує ними. Єдиним завданням сеансів користувача у поточній +версії є інтеграція із Fleet Commander, який працює лише з IPA. Підтримувані +постачальники даних сеансів: + </para> + <para> + <quote>ipa</quote>, щоб дозволити пов'язані із сеансами користувачів +завдання. + </para> + <para> + <quote>none</quote> — не виконувати жодних пов'язаних із сеансами +користувачів завдань. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено і дозволено виконувати пов'язані із сеансами завдання. + </para> + <para> + <emphasis>Зауваження:</emphasis> щоб ця можливість працювала як слід, SSSD +має бути запущено від імені користувача root, а не якогось іншого +непривілейованого користувача. + </para> + </listitem> + </varlistentry> + + <varlistentry condition="with_autofs"> + <term>autofs_provider (рядок)</term> + <listitem> + <para> + Служба autofs, яку використано для цього домену. Серед підтримуваних служб +autofs: + </para> + <para> + <quote>ldap</quote> — завантажити карти, що зберігаються у LDAP. Докладніше +про налаштовування LDAP можна дізнатися з довідки до <citerefentry> +<refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>. + </para> + <para> + <quote>ipa</quote> — завантажити карти, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>ad</quote> — завантажити карти, що зберігаються на сервері +AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> вимикає autofs повністю. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>hostid_provider (рядок)</term> + <listitem> + <para> + Засіб надання даних, який використовується для отримання даних щодо профілю +вузла. Серед підтримуваних засобів надання hostid: + </para> + <para> + <quote>ipa</quote> — завантажити профіль системи, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з +<citerefentry> <refentrytitle>sssd-ipa</refentrytitle> +<manvolnum></manvolnum> </citerefentry>. + </para> + <para> + <quote>none</quote> вимикає hostid повністю. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>resolver_provider (рядок)</term> + <listitem> + <para> + Система, яка має обробляти дії зі пошуку вузлів та мереж. Передбачено +підтримку таких надавачів даних для визначення: + </para> + <para> + <quote>proxy</quote> для переспрямовування пошуків до іншої бібліотеки +NSS. Див. <quote>proxy_resolver_lib_name</quote> + </para> + <para> + <quote>ldap</quote> — отримати записи вузлів і мереж, які зберігаються у +LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до +<citerefentry> <refentrytitle>sssd-ldap</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>. + </para> + <para> + <quote>ad</quote> — отримати записи вузлів і мереж, які зберігаються на +сервері AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle> +<manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про +налаштовування засобу надання даних AD. + </para> + <para> + <quote>none</quote> забороняє ячним чином отримання даних вузлів і мереж. + </para> + <para> + Типове значення: використовується значення <quote>id_provider</quote>, якщо +його встановлено. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>re_expression (рядок)</term> + <listitem> + <para> + Формальний вираз для цього домену, який описує спосіб поділи рядка, що +містить ім’я користувача та назву домену на ці компоненти. «Домен» може +відповідати назві домену налаштувань SSSD або, у випадку піддоменів довіри +IPA та доменів Active Directory, простій назві (NetBIOS) домену. + </para> + <para> + Default: +<quote>^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$</quote> +which allows two different styles for user names: + <itemizedlist> + <listitem> + <para>користувач</para> + </listitem> + <listitem> + <para>користувач@назва.домену</para> + </listitem> + </itemizedlist> + </para> + <para> + Default for the AD and IPA provider: +<quote>^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$</quote> +which allows three different styles for user names: + <itemizedlist> + <listitem> + <para>користувач</para> + </listitem> + <listitem> + <para>користувач@назва.домену</para> + </listitem> + <listitem> + <para>домен\користувач</para> + </listitem> + </itemizedlist> + Перші два стилі відповідають загальним типовим стилям, а третій введено для +того, щоб полегшити інтеграцію користувачів з доменів Windows. + </para> + <para> + The default re_expression uses the <quote>@</quote> character as a separator +between the name and the domain. As a result of this setting the default +does not accept the <quote>@</quote> character in short names (as it is +allowed in Windows group names). If a user wishes to use short names with +<quote>@</quote> they must create their own re_expression. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>full_name_format (рядок)</term> + <listitem> + <para> + Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle> +<manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + </para> + <para> + Передбачено використання таких замінників: <variablelist> + <varlistentry> + <term>%1$s</term> + <listitem><para>ім’я користувача</para></listitem> + </varlistentry> + <varlistentry> + <term>%2$s</term> + <listitem> + <para> + назва домену у форматі, вказаному у файлі налаштувань SSSD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>%3$s</term> + <listitem> + <para> + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Типове значення: <quote>%1$s@%2$s</quote>. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>lookup_family_order (рядок)</term> + <listitem> + <para> + Надає можливість вибрати бажане сімейство адрес, яке слід використовувати +під час виконання пошуків у DNS. + </para> + <para> + Передбачено підтримку таких значень: + </para> + <para> + ipv4_first: спробувати визначити адресу у форматі IPv4, у разі невдачі +спробувати формат IPv6 + </para> + <para> + ipv4_only: намагатися визначити назви вузлів лише у форматі адрес IPv4. + </para> + <para> + ipv6_first: спробувати визначити адресу у форматі IPv6, у разі невдачі +спробувати формат IPv4 + </para> + <para> + ipv6_only: намагатися визначити назви вузлів лише у форматі адрес IPv6. + </para> + <para> + Типове значення: ipv4_first + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_server_timeout (ціле число)</term> + <listitem> + <para> + Визначає проміжок часу (у мілісекундах), протягом якого SSSD намагатиметься +обмінятися даними із сервером DNS, перш ніж пробувати наступний сервер DNS. + </para> + <para> + Надавач даних AD використовуватиме цей параметр також для визначення часу +очікування на відгук на луна-імпульс CLDAP. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 1000 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_op_timeout (ціле число)</term> + <listitem> + <para> + Визначає тривалість (у секундах) періоду, протягом якого програма чекатиме +на завершення виконання окремого запиту DNS (наприклад встановлення назви +вузла або запису SRV), перш ніж перейти до наступної назви вузла або пошуку +наступного DNS. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 3 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_timeout (ціле число)</term> + <listitem> + <para> + Визначає кількість часу (у секундах) очікування відповіді від внутрішньої +служби перемикання на резервний ресурс, перш ніж службу буде визначено +недоступним. Якщо час очікування буде перевищено, домен продовжуватиме +роботу у автономному режимі. + </para> + <para> + Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + </para> + <para> + Типове значення: 6 + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_resolver_use_search_list (булеве значення)</term> + <listitem> + <para> + Зазвичай, розв'язувач адрес DNS виконує пошук у списку доменів, який +визначено інструкцією «search» у файлі resolv.conf. Це може призвести до +затримок у середовищах, де DNS не налаштовано належним чином. + </para> + <para> + Якщо у налаштуваннях SSSD використано повні назви доменів (або _srv_), +встановлення для цього параметра значення FALSE може запобігти непотрібним +пошукам DNS у таких середовищах. + </para> + <para> + Типове значення: TRUE + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>dns_discovery_domain (рядок)</term> + <listitem> + <para> + Якщо у модулі обробки використовується визначення служб, вказує доменну +частину запиту визначення служб DNS. + </para> + <para> + Типова поведінка: використовувати назву домену з назви вузла комп’ютера. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>override_gid (ціле число)</term> + <listitem> + <para> + Замірити значення основного GID на вказане. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>case_sensitive (рядок)</term> + <listitem> + <para> + Зважати на регістр символів у назвах записів користувачів і груп. Можливі +значення: <variablelist> + <varlistentry> + <term>True</term> + <listitem> + <para> + Враховується регістр. Це значення є некоректним для засобу надання даних AD. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>False</term> + <listitem> + <para>Без врахування регістру.</para> + </listitem> + </varlistentry> + <varlistentry> + <term>Preserving</term> + <listitem> + <para> + Те саме, що і False (без врахування регістру символів), але без переведення +у нижній регістр імен у результатах дій NSS. Зауважте, що альтернативні +імена (у випадку служб також назви протоколів) у виведених даних все одно +буде переведено у нижній регістр. + </para> + <para> + Якщо ви хочете встановити це значення для довіреного домену із надавачем +даних IPA, вам доведеться встановити його на боці клієнта і SSSD на сервері. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою <emphasis>subdomain_inherit</emphasis>. + </para> + <para> + Типове значення: True (False для засобу надання даних AD) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_inherit (рядок)</term> + <listitem> + <para> + Визначає список параметрів налаштування, які слід успадковувати для +піддомену. Будь ласка, зауважте, що успадковуватимуться лише вказані +параметри. У поточній версії передбачено можливість успадковування таких +параметрів: + </para> + <para> + ldap_search_timeout + </para> + <para> + ldap_network_timeout + </para> + <para> + ldap_opt_timeout + </para> + <para> + ldap_offline_timeout + </para> + <para> + ldap_enumeration_refresh_timeout + </para> + <para> + ldap_enumeration_refresh_offset + </para> + <para> + ldap_purge_cache_timeout + </para> + <para> + ldap_purge_cache_offset + </para> + <para> + ldap_krb5_keytab (значення krb5_keytab буде використано, якщо +ldap_krb5_keytab не встановлено явним чином) + </para> + <para> + ldap_krb5_ticket_lifetime + </para> + <para> + ldap_enumeration_search_timeout + </para> + <para> + ldap_connection_expire_timeout + </para> + <para> + ldap_connection_expire_offset + </para> + <para> + ldap_connection_idle_timeout + </para> + <para> + ldap_use_tokengroups + </para> + <para> + ldap_user_principal + </para> + <para> + ignore_group_members + </para> + <para> + auto_private_groups + </para> + <para> + case_sensitive + </para> + <para> + Приклад: <programlisting> +subdomain_inherit = ldap_purge_cache_timeout + </programlisting> + </para> + <para> + Типове значення: none + </para> + <para> + Зауваження: цей параметр працює лише для засобів надання даних IPA і AD. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>subdomain_homedir (рядок)</term> + <listitem> + <para> + Використовувати вказаний домашній каталог як типовий для всіх піддоменів у +цьому домені у межах довіри AD IPA. Дані щодо можливих значень наведено у +описі параметра <emphasis>override_homedir</emphasis>. Крім того, +розгортання можна використовувати лише з +<emphasis>subdomain_homedir</emphasis>. <variablelist> + <varlistentry> + <term>%F</term> + <listitem><para>спрощена (NetBIOS) назва піддомену.</para></listitem> + </varlistentry> + </variablelist> + </para> + <para> + Це значення може бути перевизначено параметром +<emphasis>override_homedir</emphasis>. + </para> + <para> + Типове значення: <filename>/home/%d/%u</filename> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>realmd_tags (рядок)</term> + <listitem> + <para> + Різноманітні теґи, що зберігаються службою налаштовування realmd для цього +домену. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>cached_auth_timeout (ціле число)</term> + <listitem> + <para> + Визначає час у секундах з моменту останнього успішного розпізнавання у +мережі, для якого користувача буде розпізнано за допомогою кешованих +реєстраційних даних, доки SSSD перебуває у режимі «у мережі». Якщо +реєстраційні дані є помилковими, SSSD повертається до інтерактивного +розпізнавання. + </para> + <para> + Значення цього параметра успадковується усіма довіреними доменами. У +поточній версії не передбачено можливості встановлювати окремі різні +значення для різних довірених доменів. + </para> + <para> + Спеціальне значення 0 означає, що цю можливість вимкнено. + </para> + <para> + Будь ласка, зауважте, що якщо <quote>cached_auth_timeout</quote> має більше +значення за <quote>pam_id_timeout</quote>, модуль може бути викликано для +обробки <quote>initgroups</quote>. + </para> + <para> + Типове значення: 0 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>local_auth_policy (string)</term> + <listitem> + <para> + Local authentication methods policy. Some backends (i.e. LDAP, proxy +provider) only support a password based authentication, while others can +handle PKINIT based Smartcard authentication (AD, IPA), two-factor +authentication (IPA), or other methods against a central instance. By +default in such cases authentication is only performed with the methods +supported by the backend. + </para> + <para> + There are three possible values for this option: match, only, +enable. <quote>match</quote> is used to match offline and online states for +Kerberos methods. <quote>only</quote> ignores the online methods and only +offer the local ones. enable allows explicitly defining the methods for +local authentication. As an example, <quote>enable:passkey</quote>, only +enables passkey for local authentication. Multiple enable values should be +comma-separated, such as <quote>enable:passkey, enable:smartcard</quote> + </para> + <para> + Please note that if local Smartcard authentication is enabled and a +Smartcard is present, Smartcard authentication will be preferred over the +authentication methods supported by the backend. I.e. there will be a PIN +prompt instead of e.g. a password prompt. + </para> + <para> + The following configuration example allows local users to authenticate +locally using any enabled method (i.e. smartcard, passkey). <programlisting> +[domain/shadowutils] +id_provider = proxy +proxy_lib_name = files +auth_provider = none +local_auth_policy = only +</programlisting> + </para> + <para condition="with_files_provider"> + It is expected that the <quote>files</quote> provider ignores the +local_auth_policy option and supports Smartcard authentication by default. + </para> + <para> + Default: match + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>auto_private_groups (рядок)</term> + <listitem> + <para> + Цей параметр приймає будь-яке з таких трьох доступних значень: <variablelist> + <varlistentry> + <term>true</term> + <listitem> + <para> + Безумовно створює приватну групу користувача на основі номера UID +користувача. У цьому випадку номер GID буде проігноровано. + </para> + <para> + Зауваження: оскільки номер GID і приватна група користувача успадковуються з +номера UID, підтримки декількох записів із однаковим номером UID або GID у +цьому параметрі не передбачено. Іншими словами, вмикання цього параметра +примусово встановлює унікальність записів у просторі ідентифікаторів. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>false</term> + <listitem> + <para> + Завжди використовувати номер основної GID користувача. Номер GID має +вказувати на об'єкт групи у базі даних LDAP. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>hybrid</term> + <listitem> + <para> + Основна група створюється автоматично для записів користувача, значення UID +і GID яких збігаються і, одночасно, номер GID не відповідає справжньому +об'єкту групи у LDAP. Якщо значення є однаковими, але основне значення GID у +записі користувача також використовується як об'єкт групи, основний GID +цього користувача визначатиме цей об'єкт групи. + </para> + <para> + Якщо UID і GID користувача є різними, значення GID має відповідати запису +групи, інакше надійне визначення GID буде просто неможливим. + </para> + <para> + Ця можливість є корисною для середовищ, де бажаним є усування потреби у +супроводі окремих об'єктів груп для користувачів у приватних групах, але зі +збереженням наявних приватних груп для користувачів. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Для піддоменів типовим значенням є False для тих піддоменів, які пов'язано +із ідентифікаторами POSIX, і True для тих піддоменів, для яких +використовується автоматична прив'язка до ідентифікаторів. + </para> + <para> + Значення параметра auto_private_groups може встановлюватися або на рівні +окремих піддоменів у підрозділі, приклад: <programlisting> +[domain/forest.domain/sub.domain] +auto_private_groups = false +</programlisting> або на загальному рівні для усіх піддоменів у основному розділі +домену за допомогою параметра subdomain_inherit: <programlisting> +[domain/forest.domain] +subdomain_inherit = auto_private_groups +auto_private_groups = false +</programlisting> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + + <para> + Параметри, які є чинними для доменів проксі. <variablelist> + <varlistentry> + <term>proxy_pam_target (рядок)</term> + <listitem> + <para> + Комп’ютер, для якого виконує проксі-сервер PAM. + </para> + <para> + Default: not set by default, you have to take an existing pam configuration +or create a new one and add the service name here. As an alternative you can +enable local authentication with the local_auth_policy option. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_lib_name (рядок)</term> + <listitem> + <para> + Назва бібліотеки NSS для використання у доменах з проксі-серверами. Функції +NSS шукаються у бібліотеці у форматі _nss_$(назва_бібліотеки)_$(функція), +наприклад _nss_files_getpwent. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_resolver_lib_name (рядок)</term> + <listitem> + <para> + Назва бібліотеки NSS для використання для пошуку вузлів і мереж у доменах з +проксі-серверами. Функції NSS шукаються у бібліотеці у форматі +_nss_$(назва_бібліотеки)_$(функція), наприклад _nss_dns_gethostbyname2_r. + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_fast_alias (булеве значення)</term> + <listitem> + <para> + Під час пошуку запису користувача чи групи за назвою у системі надання даних +переадресації виконується вторинний пошук за ідентифікатором з метою +визначення «канонічної» форми назви, якщо результат знайдено за +альтернативною назвою (псевдонімом). Встановлення для цього параметра +значення «true» призведе до того, що SSSD виконуватиме пошук ідентифікатора +у кеші, щоб пришвидшити надання результатів. + </para> + <para> + Типове значення: false + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>proxy_max_children (ціле число)</term> + <listitem> + <para> + Цей параметр визначає кількість попередньо розгалужених дочірніх проксі. Він +корисний для високонавантажених середовищ SSSD, де sssd може вичерпати +кількість доступних дочірніх слотів, що може спричинити деякі вади через +використання черги запитів. + </para> + <para> + Типове значення: 10 + </para> + </listitem> + </varlistentry> + + </variablelist> + </para> + + <refsect2 id='app_domains'> + <title>Домени програм (application)</title> + <para> + SSSD, з його інтерфейсом D-Bus (див. <citerefentry> +<refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>) є привабливим для програм як шлюз до каталогу LDAP, де +зберігаються дані користувачів і груп. Втім, на відміну від традиційного +формату роботи SSSD, де усі користувачі і групи або мають атрибути POSIX, +або ці атрибути може бути успадковано з SID Windows, у багатьох випадках +користувачі і групи у сценарії підтримки роботи програм не мають атрибутів +POSIX. Замість визначення розділу +<quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> адміністратор може +визначити розділ +<quote>[application/<replaceable>НАЗВА</replaceable>]</quote>, який на +внутрішньому рівні представляє домен типу <quote>application</quote>, який +може успадковувати параметр з традиційного домену SSSD. + </para> + <para> + Будь ласка, зауважте, що домен програм має так само явним чином увімкнено у +параметрі <quote>domains</quote>, отже порядок пошуку між доменом програм і +його доменом-близнюком у POSIX має бути встановлено належним чином. + </para> + <variablelist> + <title>Параметри доменів програм</title> + <varlistentry> + <term>inherit_from (рядок)</term> + <listitem> + <para> + Домен типу POSIX SSSD, з якого домен програм успадковує усі параметри. Далі, +домен програм поже додавати власні параметри до параметрів програми, які +розширюють або перевизначають параметри домену-<quote>близнюка</quote>. + </para> + <para> + Типове значення: не встановлено + </para> + </listitem> + </varlistentry> + </variablelist> + <para> + У наведеному нижче прикладі проілюстровано використання домену програм. У +цій конфігурації домен POSIX з'єднано із сервером LDAP, він використовується +операційною системою через відповідач NSS. Крім того, домен програм також +надсилає запит щодо атрибута telephoneNumber, зберігає його як атрибут phone +у кеші і робить атрибут phone доступним через інтерфейс D-Bus. + </para> +<programlisting> +[sssd] +domains = appdom, posixdom + +[ifp] +user_attributes = +phone + +[domain/posixdom] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +[application/appdom] +inherit_from = posixdom +ldap_user_extra_attrs = phone:telephoneNumber +</programlisting> + </refsect2> + + </refsect1> + + <refsect1 id='trusted-domains'> + <title>РОЗДІЛ ДОВІРЕНИХ ДОМЕНІВ</title> + <para> + Деякі параметри, які використовуються у розділі домену, можна також +використовувати у розділі довіреного домену, тобто у розділі, який +називається +<quote>[domain/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ДОВІРЕНОГО_ДОМЕНУ</replaceable>]</quote>. +Де НАЗВА_ДОМЕНУ є справжнім базовим доменом для долучення. Приклади наведено +нижче. У поточній версії підтримуваними параметрами у розділі довіреного +домену є такі параметри: + </para> + <para>ldap_search_base,</para> + <para>ldap_user_search_base,</para> + <para>ldap_group_search_base,</para> + <para>ldap_netgroup_search_base,</para> + <para>ldap_service_search_base,</para> + <para>ldap_sasl_mech,</para> + <para>ad_server,</para> + <para>ad_backup_server,</para> + <para>ad_site,</para> + <para>use_fully_qualified_names</para> + <para>pam_gssapi_services</para> + <para>pam_gssapi_check_upn</para> + <para> + Докладніший опис цих параметрів можна знайти у окремих описах на сторінці +підручника. + </para> + </refsect1> + + <refsect1 id='certmap'> + <title>РОЗДІЛ ПРИВ'ЯЗКИ СЕРТИФІКАТІВ</title> + <para> + Щоб уможливити розпізнавання за смарткартками та сертифікатами, SSSD повинна +мати можливість пов'язувати сертифікати із записами +користувачів. Забезпечити таку можливість можна додаванням повного +сертифіката до об'єкта LDAP користувача або локальним перевизначенням. Хоча +використання повного сертифіката є обов'язковим для використання можливості +розпізнавання за смарткарткою у (див. <citerefentry> +<refentrytitle>sss_ssh_authorizedkeys</refentrytitle> +<manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше), додавання +таких сертифікатів може бути марудною або навіть неможливою справою для +загального випадку, коли локальні служби використовують для розпізнавання +PAM. + </para> + <para> + Для додавання гнучкості прив'язкам у SSSD додано правила прив'язки і +встановлення відповідності (докладніше про це у розділі <citerefentry> +<refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> +</citerefentry>). + </para> + <para> + Правила пов'язування та відповідності можна додати до налаштувань SSSD у +окремий розділ із назвою, подібною до +<quote>[certmap/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ПРАВИЛА</replaceable>]</quote>. +У цьому розділі можна використовувати такі параметри: + </para> + <variablelist> + <varlistentry> + <term>matchrule (рядок)</term> + <listitem> + <para> + Буде виконано обробку лише тих сертифікатів зі смарткартки, які відповідають +цьому правилу. Усі інші сертифікати буде проігноровано. + </para> + <para> + Типове значення: KRB5:<EKU>clientAuth, тобто лише сертифікати, у яких +Extended Key Usage (розширене використання ключа) дорівнює +<quote>clientAuth</quote> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>maprule (рядок)</term> + <listitem> + <para> + Визначає спосіб пошуку користувача для вказаного сертифіката. + </para> + <para> + Типове значення: + <itemizedlist> + <listitem> + <para>LDAP:(userCertificate;binary={cert!bin}) для заснованих на LDAP надавачів +даних, зокрема <quote>ldap</quote>, <quote>AD</quote> та <quote>ipa</quote>.</para> + </listitem> + <listitem condition="with_files_provider"> + <para>RULE_NAME для надавача даних <quote>files</quote>, який намагається знайти +запис користувача і такою самою назвою.</para> + </listitem> + </itemizedlist> + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>domains (рядок)</term> + <listitem> + <para> + Список відокремлених комами назв доменів, до яких слід застосовувати +правило. Типово, правило стосуватиметься лише домену, який налаштовано у +sssd.conf. Якщо для надавача даних передбачено підтримку піддоменів, цей +параметр можна використати і для додавання правила до піддоменів. + </para> + <para> + Типове значення: домен, який налаштовано у sssd.conf + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>priority (ціле число)</term> + <listitem> + <para> + Ціле невід'ємне значення, яке визначає пріоритетність правила. Чим більшим є +значення, тим нижчою є пріоритетність. <quote>0</quote> — найвища +пріоритетність, а <quote>4294967295</quote> — найнижча. + </para> + <para> + Типове значення: найнижча пріоритетність + </para> + </listitem> + </varlistentry> + </variablelist> + <para condition="with_files_provider"> + Щоб спростити налаштовування із зменшити кількість параметрів +налаштовування, у надавачі даних <quote>files</quote> передбачено декілька +спеціальних властивостей: + <itemizedlist> + <listitem> + <para> + якщо не встановлено maprule, припускається, що значенням RULE_NAME є назва +відповідного облікового запису користувача + </para> + </listitem> + <listitem> + <para> + якщо maprule використовує обидва, назву облікового запису окремого +користувача або шаблон, подібний до +<quote>{назва_об'єкта_rfc822.коротка_назва}</quote>, слід брати у дужки, +наприклад <quote>(користувач)</quote> або +<quote>({назва_об'єкта_rfc822.коротка_назва})</quote> + </para> + </listitem> + <listitem> + <para> + параметр <quote>domains</quote> буде проігноровано + </para> + </listitem> + </itemizedlist> + </para> + </refsect1> + + <refsect1 id='prompting_configuration'> + <title>РОЗДІЛ НАЛАШТОВУВАННЯ ЗАПИТІВ</title> + <para> + Якщо існує спеціальний файл +(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>), модуль +PAM SSSD pam_sss надсилатиме запит до SSSD для визначення того, які методи +розпізнавання доступні для користувача, який намагається увійти до +системи. На основі отриманих результатів pam_sss надсилатиме запит до +користувача щодо відповідних реєстраційних даних. + </para> + <para> + Зростання кількості способів розпізнавання та можливість того, що для +окремого користувача передбачено декілька способів, призводить до того, що +евристика, яка використовується pam_sss для вибору запиту може не +спрацьовувати в усіх можливих випадках. Підвищення гнучкості системи у таких +випадках мають забезпечити описані нижче параметри. + </para> + <para> + Each supported authentication method has its own configuration subsection +under <quote>[prompting/...]</quote>. Currently there are: <variablelist> + <varlistentry> + <term>[prompting/password]</term> + <listitem> + <para>для налаштовування запиту щодо пароля; дозволені параметри: <variablelist><varlistentry><term>password_prompt</term> + <listitem><para>для зміни рядка запиту пароля</para></listitem></varlistentry></variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> <variablelist> + <varlistentry> + <term>[prompting/2fa]</term> + <listitem> + <para>для налаштовування запитів щодо двофакторного розпізнавання. Можливі +варіанти значень: <variablelist><varlistentry><term>first_prompt</term> + <listitem><para>для зміни рядка запиту для першого фактора </para></listitem> + </varlistentry> + <varlistentry><term>second_prompt</term> + <listitem><para>для зміни рядка запиту для другого фактора </para></listitem> + </varlistentry> + <varlistentry><term>single_prompt</term> + <listitem><para>булеве значення. Якщо True, буде виконано лише один запит із використанням +значення first_prompt. Припускатиметься, що обидва фактори введено як один +рядок. Будь ласка, зауважте, що тут може бути введено обидва фактори, навіть +якщо другий фактор не є обов'язковим.</para></listitem> + </varlistentry> + </variablelist> Якщо другий +фактор є необов'язковим і має бути збережено можливість входу або лише за +паролем, або за двома факторами, має бути використано двокроковий запит. + </para> + </listitem> + </varlistentry> + </variablelist> +<variablelist> + <varlistentry condition="build_passkey"> + <term>[prompting/passkey]</term> + <listitem> + <para>to configure passkey authentication prompting, allowed options are: +<variablelist> + <varlistentry> + <term>interactive</term> + <listitem> + <para>boolean value, if True prompt a message and wait before testing the presence +of a passkey device. Recommended if your device doesn’t have a tactile +trigger. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>interactive_prompt</term> + <listitem> + <para>to change the message of the interactive prompt. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch</term> + <listitem> + <para>boolean value, if True prompt a message to remind the user to touch the +device. + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>touch_prompt</term> + <listitem> + <para>to change the message of the touch prompt. + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <para> + Передбачено можливість додавання підрозділу для специфічних служб PAM, +наприклад <quote>[prompting/password/sshd]</quote>, для окремої зміни запиту +для цієї служби. + </para> + </refsect1> + + <refsect1 id='example'> + <title>ПРИКЛАДИ</title> + <para> + 1. Нижче наведено приклад типових налаштувань SSSD. Налаштування самого +домену не наведено, — щоб дізнатися більше про неї, ознайомтеся з +документацією щодо налаштовування доменів. <programlisting> +[sssd] +domains = LDAP +services = nss, pam +config_file_version = 2 + +[nss] +filter_groups = root +filter_users = root + +[pam] + +[domain/LDAP] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +auth_provider = krb5 +krb5_server = kerberos.example.com +krb5_realm = EXAMPLE.COM +cache_credentials = true + +min_id = 10000 +max_id = 20000 +enumerate = False +</programlisting> + </para> + <para> + 2. У наведеному нижче прикладі показано налаштування довіри AD у IPA, де ліс +AD складається з двох доменів у структурі батьківський-дочірній. Нехай домен +IPA (ipa.com) має стосунки довіри з доменом AD (ad.com). ad.com має дочірній +домен (child.ad.com). Щоб увімкнути скорочені назви у дочірньому домені, +слід скористатися наведеними нижче налаштуваннями. <programlisting> +[domain/ipa.com/child.ad.com] +use_fully_qualified_names = false +</programlisting> + </para> + <para> + 3. The following example shows the configuration of a certificate mapping +rule. It is valid for the configured domain <quote>my.domain</quote> and +additionally for the subdomains <quote>your.domain</quote> and uses the full +certificate in the search filter. <programlisting> +[certmap/my.domain/rule_name] +matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ +maprule = (userCertificate;binary={cert!bin}) +domains = my.domain, your.domain +priority = 10 +</programlisting> + </para> + </refsect1> + + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" /> + +</refentry> +</reference> |