From 74aa0bc6779af38018a03fd2cf4419fe85917904 Mon Sep 17 00:00:00 2001 From: Daniel Baumann Date: Fri, 19 Apr 2024 07:31:45 +0200 Subject: Adding upstream version 2.9.4. Signed-off-by: Daniel Baumann --- src/man/sv/sssd-ldap.5.xml | 1748 ++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 1748 insertions(+) create mode 100644 src/man/sv/sssd-ldap.5.xml (limited to 'src/man/sv/sssd-ldap.5.xml') diff --git a/src/man/sv/sssd-ldap.5.xml b/src/man/sv/sssd-ldap.5.xml new file mode 100644 index 0000000..c545327 --- /dev/null +++ b/src/man/sv/sssd-ldap.5.xml @@ -0,0 +1,1748 @@ + + + +SSSD manualsidor + + + + + sssd-ldap + 5 + Filformat och konventioner + + + + sssd-ldap + SSSD LDAP-leverantör + + + + BESKRIVNING + + Denna manualsida beskriver konfigurationen av LDAP-domäner för + sssd 8 +. Se avsnittet FILFORMAT av manualsidan + sssd.conf +5 för detaljerad syntaxinformation. + + Du kan konfigurera SSSD för att använda mer än en LDAP-domän. + + + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. sssd does not support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to ldap_access_filter config option +for more information about using LDAP as an access provider. + + + + + KONFIGURATIONSALTERNATIV + + Alla de vanliga konfigurationsflaggorna som gäller för SSSD-domäner gäller +även för LDAP-domäner. Se avsnittet DOMÄNSEKTIONER i +manualsidan sssd.conf +5 för fullständiga +detaljer. Observera att SSSD LDAP-avbildningsattribut beskrivs i manualsidan + sssd-ldap-attributes +5 . + + ldap_uri, ldap_backup_uri (sträng) + + + Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD +skall ansluta i prioritetsordning. Se avsnittet RESERVER för +mer information om reserver och serverredundans. Om ingendera alternativ är +angivet kommer tjänsteupptäckt användas. För mer information, se avsnittet +TJÄNSTEUPPTÄCKT. + + + Formatet på URI:n måste stämma med formatet som definieras i RFC 2732: + + + ldap[s]://<värd>[:port] + + + För explicita IPv6-adresser måste <host> vara omslutet av +hakparenteser [] + + + exempel: ldap://[fc00::126:25]:389 + + + + + + ldap_chpass_uri, ldap_chpass_backup_uri (sträng) + + + Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD +skall ansluta i prioritetsordning för att ändra lösenordet för en +användare. Se avsnittet RESERVER för mer information om +reserver och serverredundans. + + + För att aktivera tjänsteuppslagning måste ldap_chpass_dns_service_name vara +satt. + + + Standard: tomt, d.v.s. ldap_uri används. + + + + + + ldap_search_base (sträng) + + + Standard bas-DN att använda för att utföra LDAP-användaroperationer. + + + Med början med SSSD 1.7.0 stödjer SSSD flera sökbaser genom att använda +syntaxen: + + + sökbas[?räckvidd?[filter][?sökbas?räckvidd?[filter]]*] + + + Räckvidden kan vara en av ”base”, ”onelevel” eller ”subtree”. + + + Filtret måste vara ett korrekt LDAP-sökfilter som specificerat i +http://www.ietf.org/rfc/rfc2254.txt + + + Exempel: + + + ldap_search_base = dc=example,dc=com (vilket är ekvivalent med) +ldap_search_base = dc=example,dc=com?subtree? + + + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + + + Observera: det stödjs inte att ha flera sökbaser som refererar identiskt +namngivna objekt (till exempel, grupper med samma namn i två olika +sökbaser). Detta kommer medföra oförutsägbart beteende på klientmaskinerna. + + + Standard: om inte satt används värdet från attributet defaultNamingContext +eller namingContexts från RootDSE:n hos LDAP-servern. Om +defaultNamingContext inte finns eller har ett tomt värde används +namingContexts. Attributet namingContexts måste ha ett ensamt värde med +DN:n hos sökbasen hos LDAP-servern för att detta skall fungera. Flera +värden stödjs inte. + + + + + + ldap_schema (sträng) + + + Anger schematypen som används på mål-LDAP-servern. Beroende på det valda +schemat kan standardattributnamnen som hämtas från servrarna variera. +Sättet som en del attribut hanteras kan också skilja. + + + Fyra schematyper stödjs för närvarande: + + + + rfc2307 + + + + + rfc2307bis + + + + + IPA + + + + + AD + + + + + + Den huvudsakliga skillnaden mellan dessa schematyper är hur gruppmedlemskap +lagras i servern. Med rfc2307 listas gruppmedlemskap med namn i attributet +memberUid. Med rfc2307bis och IPA listas +gruppmedlemskap av DN och lagras i attributet member. +AD-schematypen sätter attributen till att motsvara Active Directory +2008r2-värden. + + + Standard: rfc2307 + + + + + + ldap_pwmodify_mode (sträng) + + + Ange operationen som används för att ändra användarens lösenord. + + + Två lägen stödjs för närvarande: + + + + exop - Password Modify Extended Operation (RFC 3062) + + + + + ldap_modify - Direkt ändring av userPassword (rekommenderas inte). + + + + + + Obs: först etableras en ny förbindelse för att verifiera det aktuella +lösenordet genom att binda som användaren som begärde lösenordsändringen. Om +det lyckas används denna förbindelse för att ändra lösenordet och därför +måste användaren ha skrivrätt på attributet userPassword. + + + Standard: exop + + + + + + ldap_default_bind_dn (sträng) + + + Standardbindnings-DN att använda för att utföra LDAP-operationer. + + + + + + ldap_default_authtok_type (sträng) + + + Typen på autentiseringstecknet hos standardbindnings-DN. + + + De två mekanismerna som stödjs för närvarande är: + + + password + + + obfuscated_password + + + Standard: password + + + Se manualsidan sss_obvuscate +8 för mer information. + + + + + + ldap_default_authtok (sträng) + + + Autentiseringstecknet hos standardbindnings-DN. + + + + + + ldap_force_upper_case_realm (boolean) + + + Några katalogservrar, till exempel Active Directory, kan leverera delen rike +av UPN:en i gemener, vilket kan få autentiseringen att misslyckas. Sätt +detta alternativ till ett värde skilt från noll ifall du vill använda ett +rike i versaler. + + + Standard: false + + + + + + ldap_enumeration_refresh_timeout (heltal) + + + Anger hur många sekunder SSSD måste vänta före den uppdaterar sin cache av +uppräknade poster. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 300 + + + + + + ldap_purge_cache_timeout (heltal) + + + Bestäm hur ofta cachen skall kontrolleras för inaktiva poster (såsom grupper +utan medlemmar och användare som aldrig har loggat in) och ta bort dem för +att spara utrymme. + + + Att sätta detta alternativ till noll kommer avaktivera rensningsoperationen +för cachen. Observera att om uppräkning är aktiverat krävs rensningsjobbet +för att upptäcka poster som tas bort från servern och inte kan +avaktiveras. Som standard kör rensningsjobbet var 3:e timma när uppräkning +är aktiverat. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 0 (avaktiverat) + + + + + + ldap_group_nesting_level (heltal) + + + Om ldap_schema är satt till ett schemaformat som stödjer nästade grupper +(t.ex. RFC2307bis), då styr detta alternativ hur många nivåer av nästning +SSSD kommer följa. Detta alternativ har ingen effekt på schemat RFC2307. + + + Obs: detta alternativ anger den garanterade nivån av nästade grupper som +skall bearbetas för en godtycklig uppslagning. Dock +kan nästade grupper utöver denna gräns returneras om +tidigare uppslagningar redan har slagit upp de djupare nästningsnivåerna. +Följande uppslagningar för andra grupper kan också utöka resultatmängden för +den ursprungliga uppslagningen om den slås upp igen. + + + Om ldap_group_nesting_level sätts till 0 bearbetas inga nästade grupper +alls. Dock krävs det dessutom att användningen av Token-Groups avaktiveras +vid anslutning till Active-Directory Server 2008 och senare vid användning +av id_provider=ad genom att sätta ldap_use_tokengroups till +false för att begränsa gruppnästning. + + + Standard: 2 + + + + + + ldap_use_tokengroups + + + Detta alternativ aktiverar eller avaktiverar användningen av attributet +Token-Groups när initgroup utförs för användare från Active Directory Server +2008 och senare. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: true för AD och IPA annars false. + + + + + + ldap_host_search_base (sträng) + + + Frivillig. Använd den givna strängen som en sökbas för värdobjekt. + + + Se ldap_search_base för information om konfiguration av +multipla sökbaser. + + + Standard: värdet på ldap_search_base + + + + + + ldap_service_search_base (sträng) + + + + + ldap_iphost_search_base (sträng) + + + + + ldap_ipnetwork_search_base (sträng) + + + + + ldap_search_timeout (heltal) + + + Anger tiden (i sekunder) som ldap-sökningar tillåts köra före de annulleras +och cachade resultat returneras (och går in i frånkopplat läge) + + + Obs: detta alternativ kan komma att ändras i framtida versioner av SSSD. Det +kommer sannolikt ersättas vid någon tidpunkt med en serie tidsgränser för +specifika uppslagningstyper. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 6 + + + + + + ldap_enumeration_search_timeout (heltal) + + + Anger tiden (i sekunder) som ldap-sökningar för användar- och +gruppuppräkningar tillåts köra före de annulleras och cachade resultat +returneras (och går in i frånkopplat läge) + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 60 + + + + + + ldap_network_timeout (heltal) + + + Anger tidsgränsen (i sekunder) efter vilken +poll 2 +/ select +2 som följer efter en +connect 2 + returnerar om inget händer. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 6 + + + + + + ldap_opt_timeout (heltal) + + + Anger en tid (i sekunder) efter vilken anrop till synkrona LDAP API:er +kommer avbrytas om det inte kommer något svar. Styr även tidsgränsen vid +kommunikation med KDC:n i fallet SASL-bindningar, tidsgränsen för en +LDAP-bindningsoperation, utökad operation för lösenordsändring och +StartTLS-operationen. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 8 + + + + + + ldap_connection_expire_timeout (heltal) + + + Anger en tidsgräns (i sekunder) som en förbindelse med en LDAP-server kommer +underhållas. Efter den tiden kommer förbindelsen återetableras. Om den +används parallellt med SASL/GSSAPI kommer det tidigare av de två värdena +(detta värde eller TGT-livslängden) användas. + + + Om anslutningen är inaktiv (inte aktivt kör en åtgärd) under +ldap_opt_timeout sekunders utgångstid, då kommer den +att stängas i förväg för att säkerställa att en ny begäran inte kan kräva +att förbindelsen skall hållas öppen utöver dess utgångstid. Detta implicerar +att anslutningar alltid kommer stängas omedelbart och aldrig kommer +återanvändas om ldap_connection_expire_timoute ≤ +ldap_opt_timeout + + + Tidsgränsen kan utökas med ett slumpvärde angivet av +ldap_connection_expire_offset + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 900 (15 minuter) + + + + + + ldap_connection_expire_offset (heltal) + + + En slumptillägg mellan 0 och ett konfigurerat värde läggs till +tillldap_connection_expire_timeout. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 0 + + + + + + ldap_connection_idle_timeout (heltal) + + + Anger en tidsgräns (i sekunder) som en inaktiv förbindelse med en +LDAP-server kommer underhållas. Om anslutningen är inaktiv längre än denna +tid kommer förbindelsen att stängas. + + + Man kan avaktivera denna tidsgräns genom att sätta värdet till 0. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 900 (15 minuter) + + + + + + ldap_page_size (heltal) + + + Ange antalet poster som skall hämtas från LDAP i en enskild begäran. Några +LDAP-servrar framtvingar en maximal gräns per begäran. + + + Standard: 1000 + + + + + + ldap_disable_paging (boolean) + + + Avaktivera flödesstyrningen (paging) av LDAP. Detta alternativ bör användas +om LDAP-servern rapporterar att den stödjer LDAP-flödesstyrning i sin +RootDSE men det inte är aktiverat eller inte fungerar som det skall. + + + Exempel: OpenLDAP-servrar med flödesstyrningsmodulen installerad på servern +men inte aktiverad kommer rapportera det i RootDSE:n men inte kunna använda +den. + + + Exempel: 389 DS har ett fel där den endast kan stödja en flödesstyrning åt +gången på en enskild förbindelse. På aktiva klienter kan detta resultera i +att några begäranden nekas. + + + Standard: False + + + + + + ldap_disable_range_retrieval (boolean) + + + Avaktivera Active Directory intervallhämtning. + + + Active Directory begränsar antalet medlemmar som kan hämtas i en enskild +uppslagning med policyn MaxValRange (vilket som standard är 1500 +medlemmar). Om en grupp innehåller fler medlemmar skulle svaret innehålla en +AD-specifik intervallutökning. Detta alternativ avaktiverar tolkning av +intervallutökningar, därför kommer stora grupper förefalla inte ha några +medlemmar. + + + Standard: False + + + + + + ldap_sasl_minssf (heltal) + + + Vid kommunikation med en LDAP-server med SASL, ange den minsta +säkerhetsnivån som är nödvändig för att etablera förbindelsen. Värdet på +detta alternativ är definierat av OpenLDAP. + + + Standard: använd systemstandard (vanligen angivet i ldap.conf) + + + + + + ldap_sasl_maxssf (heltal) + + + Vid kommunikation med en LDAP-server med SASL, ange den masimala +säkerhetsnivån som är nödvändig för att etablera förbindelsen. Värdet på +detta alternativ är definierat av OpenLDAP. + + + Standard: använd systemstandard (vanligen angivet i ldap.conf) + + + + + + ldap_deref_threshold (heltal) + + + Ange antalet gruppmedlemmar som måste saknas i den interna cachen för att +orsaka en derefereringsuppslagning. Om färre medlemmar saknas slås de upp +individuellt. + + + Du kan slå av derefereringsuppslagningar helt genom att sätta värdet till +0. Observera att det finns några kodvägar i SSSD, som IPA HBAC-leverantören, +som endast är implementerade med derefereringsanropet, så att även med +dereferens uttryckligen avaktiverat kommer dessa delar ändå använda +dereferenser om servern stödjer det och annonserar derefereringsstyrning i +rootDSE-objektet. + + + En derefereringsuppslagning är ett sätt att hämta alla gruppmedlemmar i ett +enda LDAP-anrop. Olika LDAP-servrar kan implementera olika +derefereringsmetoder. De servrar som stödjs för närvarande är 389/RHDS, +OpenLDAP och Active Directory. + + + Obs: om någon av sökbaserna anger ett sökfilter, då +kommer prestandaförbättringen med derefereringsuppslagningar avaktiveras +oavsett denna inställning. + + + Standard: 10 + + + + + + ldap_ignore_unreadable_references (bool) + + + Ignorera oläsbara LDAP-poster refererade i gruppens medlemsattribut. Om +denna parameter sätts till falskt kommer ett fel returneras och åtgärden +misslyckas istället för att den oläsbara posten bara ignoreras. + + + Denna parameter kan vara användbar när man använder AD-leverantören och +datorkontot som sssd använder för att ansluta till AD inte har tillgång till +en viss post eller ett visst LDAP-underträd av säkerhetsskäl. + + + Standard: False + + + + + + ldap_tls_reqcert (sträng) + + + Anger vilka kontroller som utförs av servercertifikat i en TLS-session, om +några. Det kan anges som ett av följande värden: + + + never = Klienten kommer inte begära eller kontrollera +några servercertifikat. + + + allow = Servercertifikatet begärs. Om inget certifikat +tillhandahålls fortsätter sessionen normalt. Om ett felaktigt certifikat +tillhandahålls kommer det ignoreras och sessionen fortsätta normalt. + + + try = Servercertifikatet begärs. Om inget certifikat +tillhandahålls fortsätter sessionen normalt. Om ett felaktigt certifikat +tillhandahålls avslutas sessionen omedelbart. + + + demand = Servercertifikatet begärs. Om inget certifikat +tillhandahålls eller ett felaktigt certifikat tillhandahålls avslutas +sessionen omedelbart. + + + hard = Samma som demand + + + Standard: hard + + + + + + ldap_tls_cacert (sträng) + + + Anger filen som innehåller certifikat för alla Certifikatauktoriteterna som +sssd kommer godkänna. + + + Standard: använd standardvärden för OpenLDAP, typiskt i +/etc/openldap/ldap.conf + + + + + + ldap_tls_cacertdir (sträng) + + + Anger sökvägen till en katalog som innehåller certifikat för +Certifikatauktoriteter i individuella filer. Typiskt måste filnamnen vara +kontrollsummor av certifikaten följda av ”.0”. Om det är tillgängligt kan +cacertdir_rehash användas för att skapa de korrekta +namnen. + + + Standard: använd standardvärden för OpenLDAP, typiskt i +/etc/openldap/ldap.conf + + + + + + ldap_tls_cert (sträng) + + + Anger filen som innehåller certifikatet för klientens nyckel. + + + Standard: inte satt + + + + + + ldap_tls_key (sträng) + + + Anger filen som innehåller klientens nyckel. + + + Standard: inte satt + + + + + + ldap_tls_cipher_suite (sträng) + + + Anger acceptabla chiffersviter. Typiskt är detta en kolonseparerad lista. +Se ldap.conf +5 för formatet. + + + Standard: använd standardvärden för OpenLDAP, typiskt i +/etc/openldap/ldap.conf + + + + + + ldap_id_use_start_tls (boolean) + + + Specifies that the id_provider connection must also use tls to protect the channel. +true is strongly recommended for security reasons. + + + Standard: false + + + + + + ldap_id_mapping (boolean) + + + Anger att SSSD skall försöka översätta användar- och grupp-ID:n från +attributen ldap_user_objectsid och ldap_group_objectsid istället för att +förlita sig på ldap_user_uid_number och ldap_group_gid_number. + + + För närvarande stödjer denna funktion endast ActiveDirectory objectSID. + + + Standard: false + + + + + + ldap_min_id, ldap_max_id (heltal) + + + I kontrast mot den SID-baserade ID-översättningen som används om +ldap_id_mapping är satt till sant är det tillåtna ID-intervallet för +ldap_user_uid_number och ldap_group_gid_number obegränsat. I en uppsättning +med underdomäner/betrodda domäner kan detta leda till ID-kollisioner. För +att undvika kollisioner kan ldap_min_id och ldap_max_id sättas till att +begränsa det tillåtna intervallet för ID:na som läses direkt från +servern. Underdomäner kan sedan välja andra intervall för att översätta +ID:n. + + + Standard: inte satt (båda alternativen är satta till 0) + + + + + + ldap_sasl_mech (sträng) + + + Ange SASL-mekanismen att använda. För närvarande testas och stödjs endast +GSSAPI och GSS-SPNEGO. + + + Om bakänden stödjer underdomäner ärvs automatiskt värdet av ldap_sasl_mech +till underdomänerna. Om ett annat värde behövs för en underdomän kan det +skrivas över genom att sätta ldap_sasl_mech för denna underdomän explicit. +Se avsnittet SEKTIONEN BETRODDA DOMÄNER i +sssd.conf +5 för detaljer. + + + Standard: inte satt + + + + + + ldap_sasl_authid (sträng) + + + Ange SASL-auktoriserings-id:t att använda. När GSSAPI/GSS-SPNEGO används +representerar detta Kerberos-huvudmannen som används för autentisering till +katalogen. Detta alternativ kan antingen innehålla den fullständiga +huvudmannen (till exempel host/minvärd@EXAMPLE.COM) eller bara +huvudmannanamnet (till exempel host/minvärd). Som standard är värdet inte +satt och följande huvudmän används: +värdnamn@RIKE +netbiosnamn$@RIKE +host/värdnamn@RIKE +*$@RIKE +host/*@RIKE +host/* + Om ingen av dem kan hittas returneras den första huvudmannen i +keytab. + + + Standard: host/värdnamn@RIKE + + + + + + ldap_sasl_realm (sträng) + + + Ange SASL-riket att använda. När det inte anges får detta alternativ +standardvärdet från krb5_realm. Om ldap_sasl_authid också innehåller riket +ignoreras detta alternativ. + + + Standard: värdet på krb5_realm. + + + + + + ldap_sasl_canonicalize (boolean) + + + Om satt till sant kommer LDAP-biblioteket utföra en omvänd uppslagning för +att ta fram värdnamnets kanoniska form under en SASL-bindning. + + + Standard: false; + + + + + + ldap_krb5_keytab (sträng) + + + Ange den keytab som skall användas vid användning av SASL/GSSAPI/GSS-SPNEGO. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: Systemets keytab, normalt /etc/krb5.keytab + + + + + + ldap_krb5_init_creds (boolean) + + + Anger att id-leverantören skall initiera Kerberoskreditiv (TGT). Denna +åtgärd utförs endast om SASL används och den valda mekanismen är GSSAPI +eller GSS-SPNEGO. + + + Standard: true + + + + + + ldap_krb5_ticket_lifetime (heltal) + + + Anger livslängden i sekunder på TGT:n om GSSAPI eller GSS-SPNEGO används. + + + Detta alternativ kan även sättas per underdomän eller ärvt via +subdomain_inherit. + + + Standard: 86400 (24 timmar) + + + + + + krb5_server, krb5_backup_server (sträng) + + + Anger en kommaseparerad lista av IP-adresser eller värdnamn till +Kerberosservrar till vilka SSSD skall ansluta i prioritetsordning. För mer +information om reserver och serverredundans se avsnittet +RESERVER. Ett frivilligt portnummer (föregånget av ett +kolon) kan läggas till till adresserna eller värdnamnen. Om tomt aktiveras +tjänsteupptäckt – för mer information, se avsnittet +TJÄNSTEUPPTÄCKT. + + + När tjänsteupptäckt används för KDC eller kpasswd-servrar söker SSSD först +efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget +hittas. + + + Detta alternativ hade namnet krb5_kdcip i tidigare utgåvor av +SSSD. Medan det äldre namnet känns igen tills vidare rekommenderas användare +att migrera sina konfigurationsfiler till att använda +krb5_server istället. + + + + + + krb5_realm (sträng) + + + Ange Kerberos-RIKE (för SASL/GSSAPI/GSS-SPNEGO aut). + + + Standard: Systemstandard, se /etc/krb5.conf + + + + + + krb5_canonicalize (boolean) + + + Anger om värdens huvudman skall göras kanonisk vid anslutning till +LDAP-servern. Denna funktion är tillgänglig med MIT Kerberos ≥ 1.7 + + + + Standard: false + + + + + + krb5_use_kdcinfo (boolean) + + + Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka +KDC:er som skall användas. Detta alternativ är på som standard, om du +avaktiverar det behöver du konfigurera Kerberos-biblioteket i +konfigurationsfilen krb5.conf +5 . + + + Se manualsidan +sssd_krb5_locator_plugin +8 för mer information om +lokaliseringsinsticksmodulen. + + + Standard: true + + + + + + ldap_pwd_policy (sträng) + + + Välj policyn för att utvärdera utgång av lösenord på klientsidan. Följande +värden är tillåtna: + + + none – Ingen utvärdering på klientsidan. Detta +alternativ kan inte avaktivera lösenordspolicyer på serversidan. + + + shadow – Använd attribut i stilen +shadow +5 för att utvärdera om lösenordet har +gått ut. Se även alternativet ”ldap_chpass_update_last_change”. + + + mit_kerberos – Använd attributen som används av MIT +Kerberos för att avgöra om lösenordet har gått ut. Använd +chpass_provider=krb5 för att uppdatera dessa attribut när lösenordet ändras. + + + Standard: none + + + Obs: om en lösenordspolicy konfigureras på serversidan +kommer den alltid gå före framför policyn som sätts med detta alternativ. + + + + + + ldap_referrals (boolean) + + + Anger huruvida automatisk uppföljning av referenser skall aktiveras. + + + Observera att sssd endast stödjer uppföljning av referenser när den är +kompilerad med OpenLDAP version 2.4.13 eller senare. + + + Att följa upp referenser kan orsaka en prestandaförlust i miljöer som +använder dem mycket, ett notabelt exempel är Microsoft Active Directory. Om +din uppsättning inte faktiskt behöver använda referenser kan att sätta detta +alternativ till falskt medföra en märkbar prestandaförbättring. Att sätta +denna flagga till falskt rekommenderas därför ifall SSSD LDAP-leverantören +används tillsammans med Microsoft Active Directory som bakände. Även om SSSD +skulle kunna följa referensen till en annan AD DC skulle inga ytterligare +data vara tillgängliga. + + + Standard: true + + + + + + ldap_dns_service_name (sträng) + + + Anger tjänstenamnet som skall användas när tjänsteupptäckt är aktiverat. + + + Standard: ldap + + + + + + ldap_chpass_dns_service_name (sträng) + + + Anger tjänstenamnet att använda för att hitta en LDAP-server som tillåter +lösenordsändringar när tjänsteupptäckt är aktiverat. + + + Standard: inte satt, d.v.s. tjänsteupptäckt är avaktiverat + + + + + + ldap_chpass_update_last_change (boolean) + + + Anger huruvida attributet ldap_user_shadow_last_change skall uppdateras med +dagar sedan epoken efter en ändring av lösenord. + + + Det rekommenderas att explicit sätta detta alternativ om ”ldap_pwd_policy = +shadow” används för att låta SSSD veta om LDAP-servern kommer uppdatera +LDAP-attributet shadowLastChange automatiskt efter en lösenordsändring eller +om SSSD måste uppdatera det. + + + Standard: False + + + + + + ldap_access_filter (sträng) + + + Om man använder access_provider = ldap och ldap_access_order = filter +(standard) är detta alternativ nödvändigt. Det anger ett +LDAP-sökfilterkriterium som måste uppfyllas för att användaren skall ges +åtkomst till denna värd. Om access_provider = ldap, ldap_access_order = +filter och detta alternativ inte är satt kommer det resultera i att alla +användare nekas åtkomst. Använd access_provider = permit för att ändra +detta standardbeteende. Observera att detta filter endast tillämpas på +LDAP-användarposten och därmed filter baserade på nästade grupper kanske +inte fungerar (t.ex. attributet memberOf i AD-poster pekar endast på direkta +föräldrar). Om filtrering baserad på nästade grupper behövs, se + +sssd-simple5 +. + + + Exempel: + + +access_provider = ldap +ldap_access_filter = (employeeType=admin) + + + Detta exempel betyder att åtkomst till denna värd är begränsad till +användare vars attribut employeeType är satt till ”admin”. + + + Frånkopplad cachning för denna funktion är begränsad till att avgöra +huruvida användarens senaste uppkopplade inloggning tilläts +åtkomsträttigheter. Om de tilläts vid senaste inloggningen kommer de +fortsätta ges åtkomst under frånkoppling, och vice versa. + + + Standard: Empty + + + + + + ldap_account_expire_policy (sträng) + + + Med detta alternativ kan en utvärdering på klientsidan av +åtkomststyrningsattribut aktiveras. + + + Observera att det alltid är rekommenderat att använda åtkomstkontroll på +serversidan, d.v.s. LDAP-servern skall neka bindningsbegäran med en passande +felkod även om lösenordet är korrekt. + + + Följande värden är tillåtna: + + + shadow: använd värdet på ldap_user_shadow_expire för +att avgöra om kontot har gått ut. + + + ad: använd värdet på 32-bitarsfältet +ldap_user_ad_user_account_control och tillåt åtkomst om den andra biten inte +är satt. Om attributet saknas tillåts åtkomst. Utgångstiden för kontot +kontrolleras också. + + + rhds, ipa, +389ds: använd värdet på ldap_ns_account_lock för att +avgöra om åtkomst tillåts eller inte. + + + nds: värdena på ldap_user_nds_login_allowed_time_map, +ldap_user_nds_login_disabled och ldap_user_nds_login_expiration_time används +för att avgöra om åtkomst tillåts. Om båda attributen saknas tillåts +åtkomst. + + + Observera att konfigurationsalternativet ldap_access_order +måste innehålla expire för att +alternativet ldap_account_expire_policy skall fungera. + + + Standard: Empty + + + + + + ldap_access_order (sträng) + + + Kommaseparerad lista över åtkomststyrningsalternativ. Tillåtna värden är: + + + filter: använd ldap_access_filter + + + lockout: använd kontolåsning. Om satt nekar detta +alternativ åtkomst ifall ldap-attributet ”pwdAccountLockedTime” finns och +har värdet ”000001010000Z”. Se alternativet ldap_pwdlockout_dn. Observera +att ”access_provider = ldap” måste vara satt för att denna funktion skall +fungera. + + + Observera att detta alternativ ersätts av alternativet +ppolicy och kan komma att tas bort i en framtida +utgåva. + + + ppolicy: använd kontolåsning. Om satt nekar detta +alternativ åtkomst ifall ldap-attributet ”pwdAccountLockedTime” finns och +har värdet ”000001010000Z” eller representerar en tidpunkt i det förgångna. +Värdet på attributet ”pwdAccountLockedTime” måste sluta med ”Z”, som +markerar tidszonen UTC. Andra tidszoner stödjs för närvarande inte och +kommer resultera i ”access-denied” när användare försöker logga in. Se +alternativet ldap_pwdlockout_dn. Observera att ”access_provider = ldap” +måste vara satt för att denna funktion skall fungera. + + + + expire: använd ldap_account_expire_policy + + + pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: Dessa alternativ är användbara om +användare vill bli varnade att lösenordet är på gång att gå ut och +autentisering är baserat på användning av en annan metod än lösenord – till +exempel SSH-nycklar. + + + The difference between these options is the action taken if user password is +expired: + + + + pwd_expire_policy_reject - user is denied to log in, + + + + + pwd_expire_policy_warn - user is still able to log in, + + + + + pwd_expire_policy_renew - user is prompted to change their password +immediately. + + + + + + Observera att ”access_provider = ldap” måste vara satt för att denna +funktion skall fungera. ”ldap_pwd_policy” måste också vara satt till en +lämplig lösenordspolicy. + + + authorized_service: använd attributet authorizedService +för att avgöra åtkomst + + + host: använd attributet host för att avgöra åtkomst + + + rhost: använd attributet rhost för att avgöra huruvida +fjärrvärdar kan få åtkomst + + + Observera, rhost-fältet i pam sätts av programmet, det är bättre att +kontrollera vad programmet skickar till pam, före detta alternativ för +åtkomstkontroll aktiveras + + + Standard: filter + + + Observera att det är ett konfigurationsfel om ett värde används mer än en +gång. + + + + + + ldap_pwdlockout_dn (sträng) + + + Detta alternativ anger DN för lösenordspolicyposten på LDAP-servern. Notera +att frånvaro av detta alternativ i sssd.conf när kontroll av kontolåsning är +aktiverat kommer att resultera i nekad åtkomst eftersom ppolicy-attribut på +LDAP-servern inte kan kontrolleras ordentligt. + + + Exempel: cn=ppolicy,ou=policies,dc=example,dc=com + + + Standard: cn=ppolicy,ou=policies,$ldap_search_base + + + + + + ldap_deref (sträng) + + + Anger hur dereferering av alias görs när sökningar utförs. Följande +alternativ är tillåtna: + + + never: Alias är aldrig derefererade. + + + searching: Alias derefereras i underordnade till +basobjektet, men inte vid lokalisering av basobjektet för sökningen. + + + finding: Alias derefereras endast vid lokalisering av +basobjektet för sökningen. + + + always: Alias derefereras både i sökning och i +lokalisering av basobjektet för sökningen. + + + Standard: Tomt (detta hanteras som never av +LDAP-klientbiblioteken) + + + + + + ldap_rfc2307_fallback_to_local_users (boolean) + + + Tillåter att behålla lokala användare som medlemmar i en LDAP-grupp för +servrar som använder schemat RFC2307. + + + I en del miljöer där schemat RFC2307 används görs lokala användare till +medlemmar i LDAP-grupper genom att lägga till deras namn till attributet +memberUid. Den interna konsistensen i domänen bryts när detta görs, så SSSD +skulle normalt ta bort de ”saknade” användarna från de cachade +gruppmedlemskapen så fort nsswitch försöker hämta information om användaren +via anrop av getpw*() eller initgroups(). + + + Detta alternativ faller tillbaka på att kontrollera om lokala användare är +refererade, och cachar dem så att senare anrop av initgroups() kommer utöka +de lokala användarna med de extra LDAP-grupperna. + + + Standard: false + + + + + + wildcard_limit (heltal) + + + Anger en övre gräns på antalet poster som hämtas under en uppslagning med +jokertecken. + + + För närvarande stödjer endast respondenten InfoPipe jokeruppslagningar. + + + Standard: 1000 (ofta storleken på en sida) + + + + + + ldap_library_debug_level (heltal) + + + Slår på libldap-felsökning med den angivna nivån. Libldap-felmeddelanden +kommer skrivas oberoende av den allmänna debug_level. + + + OpenLDAP använder en bitavbildning för att aktivera felsökning för specifika +komponenter, -1 kommer aktivera fullständig felsökningsutmatning. + + + Standard: 0 (libldap-felsökning avaktiverat) + + + + + + + + + + SUDOALTERNATIV + + De detaljerade instruktionerna för att konfigurera sudo-leverantören finns i +manualsidan sssd-sudo +5 . + + + + + + ldap_sudo_full_refresh_interval (heltal) + + + Hur många sekunder SSSD kommer vänta mellan körningar av fullständiga +uppdateringar av sudo-regler (som hämtar alla regler som är lagrade på +servern). + + + Värdet måste vara större än ldap_sudo_smart_refresh_interval + + + + Man kan avaktivera fullständig uppdatering genom att sätta denna flagga till +0. Dock måste antingen smart eller fullständig uppdatering aktiveras. + + + Standard: 21600 (6 timmar) + + + + + + ldap_sudo_smart_refresh_interval (heltal) + + + Hur många sekunder SSSD måste vänta mellan körningar av en smart uppdatering +av sudo-regler (som hämtar alla regler som har USN högre än serverns högsta +USN-värde som för närvarande är känt av SSSD). + + + Om USN-attribut inte stödjs av servern används attributet modifyTimestamp +istället. + + + Obs: det högsta USN-värdet kan uppdateras av tre +uppgifter: 1) Genom fullständig och smart sudo-uppdatering (om det finns +uppdaterade regler), 2) genom uppräkning av användare och grupper (om det +finns aktiverade och uppdaterade användare eller grupper) och 3) genom att +återansluta till servern (som standard var 15:e minut, se +ldap_connection_expire_timeout). + + + Man kan avaktivera smart uppdatering genom att sätta denna flagga till +0. Dock måste antingen smart eller fullständig uppdatering aktiveras. + + + Standard: 900 (15 minuter) + + + + + + ldap_sudo_random_offset (heltal) + + + En slumptillägg mellan 0 och ett konfigurerat värde läggs till till smart +och fullständig uppdateringsperioder varje gång den periodiska uppgiften +schemaläggs. Värdet är i sekunder. + + + Observera att detta slumpvisa tilläg även används på den första SSSD-starten +vilked fördröjer den första uppdateringen av sudo-regler. Detta förlänger +tiden under vilken sudo-reglerna inte är tillgängliga för användning. + + + Man kan avaktivera denna fördröjning genom att sätta värdet till 0. + + + Standard: 0 (avaktiverat) + + + + + + ldap_sudo_use_host_filter (boolean) + + + Om sann kommer SSSD hämta endast regler som är tillämpliga för denna maskin +(genom användning av IPv4- och IPv6-värd-/-nätverksadresser och värdnamn). + + + Standard: true + + + + + + ldap_sudo_hostnames (sträng) + + + Mellanrumsseparerad lista över värdnamn eller fullständigt kvalificerade +domännamn som skall användas för att filtrera reglerna. + + + Om detta alternativ är tomt kommer SSSD försöka upptäcka värdnamnet och det +fullständigt kvalificerade domännamnet automatiskt. + + + Om ldap_sudo_use_host_filter är +false har detta alternativ ingen effekt. + + + Standard: inte angivet + + + + + + ldap_sudo_ip (sträng) + + + Mellanrumsseparerad lista över IPv4- eller IPv6 värd-/nätverksadresser som +skall användas för att filtrera reglerna. + + + Om detta alternativ är tomt kommer SSSD försöka upptäcka adresser +automatiskt. + + + Om ldap_sudo_use_host_filter är +false har detta alternativ ingen effekt. + + + Standard: inte angivet + + + + + + ldap_sudo_include_netgroups (boolean) + + + Om sant kommer SSSD hämta varje regel som innehåller en nätgrupp i +attributet sudoHost. + + + Om ldap_sudo_use_host_filter är +false har detta alternativ ingen effekt. + + + Standard: true + + + + + + ldap_sudo_include_regexp (boolean) + + + Om sant kommer SSSD hämta varje regel som innehåller ett jokertecken i +attributet sudoHost. + + + Om ldap_sudo_use_host_filter är +false har detta alternativ ingen effekt. + + + + Att använda jokertecken är en operation som är väldigt dyr att evaluera på +LDAP-serversidan! + + + + Standard: false + + + + + + + Denna manualsida beskriver endast attributnamnsöversättningar. För +detaljerade beskrivningar av semantiken hos sudo-relaterade attribut, se + +sudoers.ldap5 + + + + + + AUTOFSALTERNATIV + + Några av standardvärdena för parametrar nedan är beroende på LDAP-schemat. + + + + + ldap_autofs_map_master_name (sträng) + + + Namnet på automount master-kartan i LDAP. + + + Standard: auto.master + + + + + + + + + + + AVANCERADE ALTERNATIV + + Dessa alternativ stödjs av LDAP-domäner, men de skall användas med +försiktighet. Inkludera dem endast i din konfiguration om du vet vad du +gör. + + ldap_netgroup_search_base (sträng) + + + + + ldap_user_search_base (sträng) + + + + + ldap_group_search_base (sträng) + + + + + + Om alternativet ldap_use_tokengroups är aktiverat kommer +sökningarna i Active Directory inte vara begränsade och returnera alla +gruppmedlemskap, även utan någon GID-översättning. Det rekommenderas att +avaktivera denna funktion om gruppnamn inte visas korrekt. + + + + ldap_sudo_search_base (sträng) + + + + + ldap_autofs_search_base (sträng) + + + + + + + + + + + + + + + EXEMPEL + + Följande exempel antar att SSSD är korrekt konfigurerat och att LDAP är satt +till en av domänerna i avsnittet [domains]. + + + +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mindomän.se +ldap_search_base = dc=mindomän,dc=se +ldap_tls_reqcert = demand +cache_credentials = true + + + + + LDAP-ÅTKOMSTFILTEREXEMPEL + + Följande exempel antar att SSSD är korrekt konfigurerat och att +ldap_access_order=lockout används. + + + +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mindomän,dc=se +ldap_uri = ldap://ldap.mindomän.se +ldap_search_base = dc=mindomän,dc=se +ldap_tls_reqcert = demand +cache_credentials = true + + + + + + NOTER + + Beskrivningarna av en del konfigurationsalternativ i denna manualsida är +baserade på manualsidan +ldap.conf 5 + från distributionen OpenLDAP 2.4. + + + + + + + -- cgit v1.2.3