From 74aa0bc6779af38018a03fd2cf4419fe85917904 Mon Sep 17 00:00:00 2001 From: Daniel Baumann Date: Fri, 19 Apr 2024 07:31:45 +0200 Subject: Adding upstream version 2.9.4. Signed-off-by: Daniel Baumann --- src/man/uk/idmap_sss.8.xml | 76 + src/man/uk/include/ad_modified_defaults.xml | 106 + src/man/uk/include/autofs_attributes.xml | 69 + src/man/uk/include/autofs_restart.xml | 6 + src/man/uk/include/debug_levels.xml | 104 + src/man/uk/include/debug_levels_tools.xml | 82 + src/man/uk/include/failover.xml | 129 + src/man/uk/include/homedir_substring.xml | 18 + src/man/uk/include/ipa_modified_defaults.xml | 124 + src/man/uk/include/krb5_options.xml | 164 + src/man/uk/include/ldap_id_mapping.xml | 297 ++ src/man/uk/include/ldap_search_bases.xml | 33 + src/man/uk/include/local.xml | 19 + src/man/uk/include/override_homedir.xml | 79 + src/man/uk/include/param_help.xml | 10 + src/man/uk/include/param_help_py.xml | 10 + src/man/uk/include/seealso.xml | 49 + src/man/uk/include/service_discovery.xml | 45 + src/man/uk/include/upstream.xml | 3 + src/man/uk/pam_sss.8.xml | 453 +++ src/man/uk/pam_sss_gss.8.xml | 217 ++ src/man/uk/sss-certmap.5.xml | 767 +++++ src/man/uk/sss_cache.8.xml | 269 ++ src/man/uk/sss_debuglevel.8.xml | 39 + src/man/uk/sss_obfuscate.8.xml | 98 + src/man/uk/sss_override.8.xml | 266 ++ src/man/uk/sss_rpcidmapd.5.xml | 110 + src/man/uk/sss_seed.8.xml | 168 ++ src/man/uk/sss_ssh_authorizedkeys.1.xml | 145 + src/man/uk/sss_ssh_knownhostsproxy.1.xml | 107 + src/man/uk/sssctl.8.xml | 65 + src/man/uk/sssd-ad.5.xml | 1320 ++++++++ src/man/uk/sssd-files.5.xml | 162 + src/man/uk/sssd-ifp.5.xml | 158 + src/man/uk/sssd-ipa.5.xml | 880 ++++++ src/man/uk/sssd-kcm.8.xml | 304 ++ src/man/uk/sssd-krb5.5.xml | 458 +++ src/man/uk/sssd-ldap-attributes.5.xml | 1187 ++++++++ src/man/uk/sssd-ldap.5.xml | 1805 +++++++++++ src/man/uk/sssd-session-recording.5.xml | 181 ++ src/man/uk/sssd-simple.5.xml | 152 + src/man/uk/sssd-sudo.5.xml | 233 ++ src/man/uk/sssd-systemtap.5.xml | 433 +++ src/man/uk/sssd.8.xml | 249 ++ src/man/uk/sssd.conf.5.xml | 4157 ++++++++++++++++++++++++++ src/man/uk/sssd_krb5_localauth_plugin.8.xml | 68 + src/man/uk/sssd_krb5_locator_plugin.8.xml | 108 + 47 files changed, 15982 insertions(+) create mode 100644 src/man/uk/idmap_sss.8.xml create mode 100644 src/man/uk/include/ad_modified_defaults.xml create mode 100644 src/man/uk/include/autofs_attributes.xml create mode 100644 src/man/uk/include/autofs_restart.xml create mode 100644 src/man/uk/include/debug_levels.xml create mode 100644 src/man/uk/include/debug_levels_tools.xml create mode 100644 src/man/uk/include/failover.xml create mode 100644 src/man/uk/include/homedir_substring.xml create mode 100644 src/man/uk/include/ipa_modified_defaults.xml create mode 100644 src/man/uk/include/krb5_options.xml create mode 100644 src/man/uk/include/ldap_id_mapping.xml create mode 100644 src/man/uk/include/ldap_search_bases.xml create mode 100644 src/man/uk/include/local.xml create mode 100644 src/man/uk/include/override_homedir.xml create mode 100644 src/man/uk/include/param_help.xml create mode 100644 src/man/uk/include/param_help_py.xml create mode 100644 src/man/uk/include/seealso.xml create mode 100644 src/man/uk/include/service_discovery.xml create mode 100644 src/man/uk/include/upstream.xml create mode 100644 src/man/uk/pam_sss.8.xml create mode 100644 src/man/uk/pam_sss_gss.8.xml create mode 100644 src/man/uk/sss-certmap.5.xml create mode 100644 src/man/uk/sss_cache.8.xml create mode 100644 src/man/uk/sss_debuglevel.8.xml create mode 100644 src/man/uk/sss_obfuscate.8.xml create mode 100644 src/man/uk/sss_override.8.xml create mode 100644 src/man/uk/sss_rpcidmapd.5.xml create mode 100644 src/man/uk/sss_seed.8.xml create mode 100644 src/man/uk/sss_ssh_authorizedkeys.1.xml create mode 100644 src/man/uk/sss_ssh_knownhostsproxy.1.xml create mode 100644 src/man/uk/sssctl.8.xml create mode 100644 src/man/uk/sssd-ad.5.xml create mode 100644 src/man/uk/sssd-files.5.xml create mode 100644 src/man/uk/sssd-ifp.5.xml create mode 100644 src/man/uk/sssd-ipa.5.xml create mode 100644 src/man/uk/sssd-kcm.8.xml create mode 100644 src/man/uk/sssd-krb5.5.xml create mode 100644 src/man/uk/sssd-ldap-attributes.5.xml create mode 100644 src/man/uk/sssd-ldap.5.xml create mode 100644 src/man/uk/sssd-session-recording.5.xml create mode 100644 src/man/uk/sssd-simple.5.xml create mode 100644 src/man/uk/sssd-sudo.5.xml create mode 100644 src/man/uk/sssd-systemtap.5.xml create mode 100644 src/man/uk/sssd.8.xml create mode 100644 src/man/uk/sssd.conf.5.xml create mode 100644 src/man/uk/sssd_krb5_localauth_plugin.8.xml create mode 100644 src/man/uk/sssd_krb5_locator_plugin.8.xml (limited to 'src/man/uk') diff --git a/src/man/uk/idmap_sss.8.xml b/src/man/uk/idmap_sss.8.xml new file mode 100644 index 0000000..19933e7 --- /dev/null +++ b/src/man/uk/idmap_sss.8.xml @@ -0,0 +1,76 @@ + + + +Сторінки підручника SSSD + + + + + idmap_sss + 8 + + + + idmap_sss + Модуль idmap_sss SSSD для Winbind + + + + ОПИС + + Модуль idmap_sss надає змогу викликати SSSD для прив'язки UID/GID і SID. У +цьому випадку база даних не потрібна, оскільки прив'язка виконується +засобами SSSD. + + + + + ПАРАМЕТРИ IDMAP + + + + діапазон = нижче - вище + + Визначає доступний для обробки модулем діапазон відповідності UID і GID. + + + + + + + ПРИКЛАДИ + + У цьому прикладі продемонстровано налаштовування idmap_sss як типового +модуля прив'язки. + + + +[global] +security = ads +workgroup = <AD-DOMAIN-SHORTNAME> + +idmap config <AD-DOMAIN-SHORTNAME> : backend = sss +idmap config <AD-DOMAIN-SHORTNAME> : range = 200000-2147483647 + +idmap config * : backend = tdb +idmap config * : range = 100000-199999 + + + + Будь ласка, замініть <AD-DOMAIN-SHORTNAME> на назву домену у NetBIOS +домену AD. Якщо має бути використано декілька доменів AD, для кожного домену +потрібен рядок idmap config із backend = +sss і рядок із відповідним range. + + + Оскільки для Winbind потрібен придатний до запису типовий модуль, а +idmap_sss є придатним лише для читання, до прикладу включено як типовий +модуль backend = tdb. + + + + + + + diff --git a/src/man/uk/include/ad_modified_defaults.xml b/src/man/uk/include/ad_modified_defaults.xml new file mode 100644 index 0000000..de1745d --- /dev/null +++ b/src/man/uk/include/ad_modified_defaults.xml @@ -0,0 +1,106 @@ + + ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ + + Деякі типові значення параметрів не збігаються із типовими значеннями +параметрів засобу надання даних. Із назвами відповідних параметрів та +специфічні для засобу надання даних AD значення цих параметрів можна +ознайомитися за допомогою наведеного нижче списку: + + + Модуль надання даних KRB5 + + + + krb5_validate = true + + + + + krb5_use_enterprise_principal = true + + + + + + Модуль надання даних LDAP + + + + ldap_schema = ad + + + + + ldap_force_upper_case_realm = true + + + + + ldap_id_mapping = true + + + + + ldap_sasl_mech = GSS-SPNEGO + + + + + ldap_referrals = false + + + + + ldap_account_expire_policy = ad + + + + + ldap_use_tokengroups = true + + + + + ldap_sasl_authid = sAMAccountName@ОБЛАСТЬ (типово SHORTNAME$@ОБЛАСТЬ) + + + Засіб надання даних AD типово шукає інші реєстраційні записи, ніж засіб +надання даних LDAP, оскільки у середовищі Active Directory реєстраційні +записи поділено на дві групи — реєстраційні записи користувачів і +реєстраційні записи служб. Для отримання TGT типово може бути використано +лише реєстраційний запис користувача, реєстраційні записи об'єктів +комп'ютерів будуються на основі sAMAccountName та області AD. Широко відомий +реєстраційний запис host/hostname@REALM є реєстраційним записом служби, отже +не може бути використаний для отримання TGT. + + + + + + Налаштування NSS + + + + fallback_homedir = /home/%d/%u + + + Засіб надання даних AD автоматично встановлює «fallback_homedir = +/home/%d/%u» для надання особистих домашніх каталогів для записів +користувачів без атрибута homeDirectory. Якщо ваш домен AD належним чином +заповнено щодо атрибутів Posix і ви хочете уникнути такої резервної +поведінки, ви можете явним чином вказати «fallback_homedir = %o». + + + Зауважте, що система типово очікує перебування домашнього каталогу у теці +/home/%u. Якщо ви вирішите скористатися іншою структурою каталогів, +коригування потребуватимуть деякі інші частини вашої системи. + + + Наприклад, автоматичне створення домашніх каталогів у поєднанні із selinux +потребує коригування параметрів selinux, інакше домашній каталог буде +створено у помилковому контексті selinux. + + + + + diff --git a/src/man/uk/include/autofs_attributes.xml b/src/man/uk/include/autofs_attributes.xml new file mode 100644 index 0000000..cc6cc33 --- /dev/null +++ b/src/man/uk/include/autofs_attributes.xml @@ -0,0 +1,69 @@ + + + ldap_autofs_map_object_class (рядок) + + + Клас об’єктів запису карти автоматичного монтування у LDAP. + + + Типове значення: nisMap (rfc2307, autofs_provider=ad), у інших випадках +automountMap + + + + + + ldap_autofs_map_name (рядок) + + + Назва запису карти автоматичного монтування у LDAP. + + + Типове значення: nisMapName (rfc2307, autofs_provider=ad), у інших випадках +automountMapName + + + + + + ldap_autofs_entry_object_class (рядок) + + + Клас об'єктів автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + + + Типове значення: nisObject (rfc2307, autofs_provider=ad), у інших випадках +automount + + + + + + ldap_autofs_entry_key (рядок) + + + Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + + + Типове значення: cn (rfc2307, autofs_provider=ad), у інших випадках +automountKey + + + + + + ldap_autofs_entry_value (рядок) + + + Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає +точні монтування. + + + Типове значення: nisMapEntry (rfc2307, autofs_provider=ad), у інших випадках +automountInformation + + + + diff --git a/src/man/uk/include/autofs_restart.xml b/src/man/uk/include/autofs_restart.xml new file mode 100644 index 0000000..e941c4b --- /dev/null +++ b/src/man/uk/include/autofs_restart.xml @@ -0,0 +1,6 @@ + + Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту +лише під час запуску, отже якщо до ssd.conf внесено будь-які пов’язані з +autofs зміни, типово слід перезапустити фонову службу автоматичного +монтування після перезапуску SSSD. + diff --git a/src/man/uk/include/debug_levels.xml b/src/man/uk/include/debug_levels.xml new file mode 100644 index 0000000..26264f6 --- /dev/null +++ b/src/man/uk/include/debug_levels.xml @@ -0,0 +1,104 @@ + + + У SSSD передбачено два представлення для визначення рівня +діагностики. Найпростішим є визначення десяткового значення у діапазоні +0-9. Кожному значенню відповідає вмикання відповідного рівня діагностики і +усіх нижчих рівнів. Точніше визначення вмикання або вимикання (якщо це +потрібно) специфічних рівнів можна встановити за допомогою шістнадцяткової +бітової маски. + + + Будь ласка, зауважте, що кожна служба SSSD веде журнал у власному +файлі. Також зауважте, що вмикання debug_level у розділі +[sssd] вмикає діагностику лише для самого процесу sssd, а не +для процесів відповідача чи надавача даних. Для отримання діагностичних +повідомлень слід додати параметр «debug_level» до усіх розділів, для яких +слід створювати журнал діагностичних повідомлень. + + + Окрім зміни рівня ведення журналу у файлі налаштувань за допомогою параметра +«debug_level», який не змінюється під час роботи, але зміна якого потребує +перезапуску SSSD, можна змінити режим діагностики без перезапуску за +допомогою програми +sss_debuglevel 8 +. + + + Рівні діагностики, передбачені у поточній версії: + + + 0, 0x0010: критичні помилки з +аварійним завершенням роботи. Всі помилки, які не дають SSSD змоги розпочати +або продовжувати роботу. + + + 1, 0x0020: критичні +помилки. Помилки, які не призводять до аварійного завершення роботи SSSD, +але означають, що одна з основних можливостей не працює належним чином. + + + 2, 0x0040: серйозні +помилки. Повідомлення про такі помилки означають, що не вдалося виконати +певний запит або дію. + + + 3, 0x0080: незначні помилки. Це +помилки які можуть призвести до помилок під час виконання дій. + + + 4, 0x0100: параметри налаштування. + + + 5, 0x0200: дані функцій. + + + 6, 0x0400: повідомлення трасування +для функцій дій. + + + 7, 0x1000: повідомлення трасування +для функцій внутрішнього трасування. + + + 8, 0x2000: вміст внутрішніх +змінних функцій, який може бути цікавим. + + + 9, 0x4000: дані трасування +найнижчого рівня. + + + 9, 0x20000: швидкодія і +статистичні дані; будь ласка, зауважте, що через спосіб, у яких програма +обробляє запити на внутрішньому рівні записаний до журналу час виконання +запиту може бути довшим за справжній. + + + 10, 0x10000: ще докладніші дані +трасування libldb низького рівня. Навряд чи коли знадобляться. + + + Щоб до журналу було записано дані потрібних бітових масок рівнів +діагностики, просто додайте відповідні числа, як це показано у наведених +нижче прикладах: + + + Example: щоб до журналу було записано дані щодо +критичних помилок з аварійним завершенням роботи, критичних помилок, +серйозних помилок та дані функцій, скористайтеся рівнем діагностики 0x0270. + + + Приклад: щоб до журналу було записано критичні помилки +з аварійним завершенням роботи, параметри налаштування, дані функцій та +повідомлення трасування для функцій внутрішнього керування, скористайтеся +рівнем 0x1310. + + + Зауваження: формат бітових масок для рівнів діагностики +впроваджено у версії 1.7.0. + + + Типове значення: 0x0070 (тобто фатальні, критичні та +серйозні помилки; відповідає встановленню значення 2 у десятковому записі) + + diff --git a/src/man/uk/include/debug_levels_tools.xml b/src/man/uk/include/debug_levels_tools.xml new file mode 100644 index 0000000..296615b --- /dev/null +++ b/src/man/uk/include/debug_levels_tools.xml @@ -0,0 +1,82 @@ + + + У SSSD передбачено два представлення для визначення рівня +діагностики. Найпростішим є визначення десяткового значення у діапазоні +0-9. Кожному значенню відповідає вмикання відповідного рівня діагностики і +усіх нижчих рівнів. Точніше визначення вмикання або вимикання (якщо це +потрібно) специфічних рівнів можна встановити за допомогою шістнадцяткової +бітової маски. + + + Рівні діагностики, передбачені у поточній версії: + + + 0, 0x0010: критичні помилки з +аварійним завершенням роботи. Всі помилки, які не дають SSSD змоги розпочати +або продовжувати роботу. + + + 1, 0x0020: критичні +помилки. Помилки, які не призводять до аварійного завершення роботи SSSD, +але означають, що одна з основних можливостей не працює належним чином. + + + 2, 0x0040: серйозні +помилки. Повідомлення про такі помилки означають, що не вдалося виконати +певний запит або дію. + + + 3, 0x0080: незначні помилки. Це +помилки які можуть призвести до помилок під час виконання дій. + + + 4, 0x0100: параметри налаштування. + + + 5, 0x0200: дані функцій. + + + 6, 0x0400: повідомлення трасування +для функцій дій. + + + 7, 0x1000: повідомлення трасування +для функцій внутрішнього трасування. + + + 8, 0x2000: вміст внутрішніх +змінних функцій, який може бути цікавим. + + + 9, 0x4000: дані трасування +найнижчого рівня. + + + 10, 0x10000: ще докладніші дані +трасування libldb низького рівня. Навряд чи коли знадобляться. + + + Щоб до журналу було записано дані потрібних бітових масок рівнів +діагностики, просто додайте відповідні числа, як це показано у наведених +нижче прикладах: + + + Example: щоб до журналу було записано дані щодо +критичних помилок з аварійним завершенням роботи, критичних помилок, +серйозних помилок та дані функцій, скористайтеся рівнем діагностики 0x0270. + + + Приклад: щоб до журналу було записано критичні помилки +з аварійним завершенням роботи, параметри налаштування, дані функцій та +повідомлення трасування для функцій внутрішнього керування, скористайтеся +рівнем 0x1310. + + + Зауваження: формат бітових масок для рівнів діагностики +впроваджено у версії 1.7.0. + + + Типове значення: 0x0070 (тобто фатальні, критичні та +серйозні помилки; відповідає встановленню значення 2 у десятковому записі) + + diff --git a/src/man/uk/include/failover.xml b/src/man/uk/include/failover.xml new file mode 100644 index 0000000..fa2bab5 --- /dev/null +++ b/src/man/uk/include/failover.xml @@ -0,0 +1,129 @@ + + РЕЗЕРВ + + Можливість резервування надає змогу модулям обробки автоматично перемикатися +на інші сервери, якщо спроба встановлення з’єднання з поточним сервером +зазнає невдачі. + + + Синтаксичні конструкції визначення резервного сервера + + Список записів серверів, відокремлених комами. Між комами можна +використовувати довільну кількість пробілів. Порядок у списку визначає +пріоритет. У списку може бути будь-яка кількість записів серверів. + + + Для кожного з параметрів налаштування з увімкненим резервним отриманням +існує два варіанти: основний і +резервний. Ідея полягає у тому, що сервери з основного +списку мають вищий пріоритет за резервні сервери, пошук же на резервних +серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних +серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування +у 31 секунду. Після завершення часу очікування SSSD періодично +намагатиметься повторно встановити з’єднання з основними серверами. Якщо +спроба буде успішною, поточний активний резервний сервер буде замінено на +основний. + + + + Механізм визначення резервного сервера + + Механізмом резервного використання розрізняються окремі комп’ютери і +служби. Спочатку модуль намагається визначити назву вузла вказаного +комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься +від’єднаним від мережі. Подальших спроб встановити з’єднання з цим +комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати +визначення, модуль зробити спробу встановити з’єднання зі службою на +визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до +успіху, непрацездатною вважатиметься лише служба, модуль автоматично +перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з +мережею, можливі подальші спроби використання інших служб. + + + Подальші спроби встановлення з’єднання з комп’ютерами або службами, +позначеними як такі, що перебувають поза мережею, буде виконано за певний +проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 +секундам. + + + Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим +автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд. + + + + Час очікування на перемикання на резервний ресурс та точне налаштовування + + Для визначення сервера для з'єднання достатньо одного запиту DNS або +декількох кроків, зокрема визначення відповідного сайта або спроба +використати декілька назв вузлів у випадку, якщо якісь із налаштованих +серверів недоступні. Складніші сценарії можуть потребувати додаткового часу, +а SSSD треба збалансувати надання достатнього часу для завершення процесу +визначення і використання притомного часу на виконання цього запиту перед +переходом до автономного режиму. Якщо діагностичний журнал SSSD показує, що +під час визначення сервера перевищено час очікування на з'єднання із +працездатним сервером, варто змінити значення параметрів часу очікування. + + + У цьому розділі наведено списки доступних для коригування параметрів. Будь +ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника + +sssd.conf5 +. + + + dns_resolver_server_timeout + + + + Час у мілісекундах, протягом якого SSSD має намагатися обмінятися даними із +окремим сервером DNS, перш ніж перейти до спроб зв'язатися із наступним. + + + Типове значення: 1000 + + + + + + dns_resolver_op_timeout + + + + Час у секундах, який визначає тривалість періоду, протягом якого SSSD +намагатиметься обробити окремий запит DNS (наприклад встановити назву вузла +або запис SRV), перш ніж перейти до наступної назви вузла або наступного +домену пошуку. + + + Типове значення: 3 + + + + + + dns_resolver_timeout + + + + Наскільки довго має чекати SSSD на визначення резервної служби надання +даних. На внутрішньому рівні визначення такої служби може включати декілька +кроків, зокрема визначення адрес запитів DNS SRV або пошук розташування +сайта. + + + Типове значення: 6 + + + + + + + Для заснованих на LDAP постачальників даних дія з визначення виконується як +частина дії зі встановлення з'єднання із LDAP. Тому слід також встановити +для часу очікування ldap_opt_timeout значення, яке +перевищуватиме значення dns_resolver_timeout, яке також має +перевищувати значення dns_resolver_op_timeout, яке має +перевищувати значення dns_resolver_server_timeout. + + + diff --git a/src/man/uk/include/homedir_substring.xml b/src/man/uk/include/homedir_substring.xml new file mode 100644 index 0000000..d8238bc --- /dev/null +++ b/src/man/uk/include/homedir_substring.xml @@ -0,0 +1,18 @@ + + homedir_substring (рядок) + + + Значення цього параметра буде використано під час розгортання параметра +override_homedir, якщо у шаблоні міститься рядок +форматування %H. Запис каталогу LDAP може безпосередньо +містити цей шаблон для розгортання шляху до домашнього каталогу на кожному з +клієнтських комп’ютерів (або у кожній з операційних систем). Значення +параметра можна вказати окремо для кожного з доменів або на загальному рівні +у розділі [nss]. Значення, вказане у розділі домену, має вищий пріоритет за +значення, встановлене за допомогою розділу [nss]. + + + Типове значення: /home + + + diff --git a/src/man/uk/include/ipa_modified_defaults.xml b/src/man/uk/include/ipa_modified_defaults.xml new file mode 100644 index 0000000..8f8f904 --- /dev/null +++ b/src/man/uk/include/ipa_modified_defaults.xml @@ -0,0 +1,124 @@ + + ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ + + Деякі типові значення параметрів не збігаються із типовими значеннями +параметрів засобу надання даних. Із назвами відповідних параметрів та +специфічні для засобу надання даних IPA значення цих параметрів можна +ознайомитися за допомогою наведеного нижче списку: + + + Модуль надання даних KRB5 + + + + krb5_validate = true + + + + + krb5_use_fast = try + + + + + krb5_canonicalize = true + + + + + + Модуль надання даних LDAP — Загальне + + + + ldap_schema = ipa_v1 + + + + + ldap_force_upper_case_realm = true + + + + + ldap_sasl_mech = GSSAPI + + + + + ldap_sasl_minssf = 56 + + + + + ldap_account_expire_policy = ipa + + + + + ldap_use_tokengroups = true + + + + + + Модуль надання даних LDAP — Параметри користувачів + + + + ldap_user_member_of = memberOf + + + + + ldap_user_uuid = ipaUniqueID + + + + + ldap_user_ssh_public_key = ipaSshPubKey + + + + + ldap_user_auth_type = ipaUserAuthType + + + + + + Модуль надання даних LDAP — Параметри груп + + + + ldap_group_object_class = ipaUserGroup + + + + + ldap_group_object_class_alt = posixGroup + + + + + ldap_group_member = member + + + + + ldap_group_uuid = ipaUniqueID + + + + + ldap_group_objectsid = ipaNTSecurityIdentifier + + + + + ldap_group_external_member = ipaExternalMember + + + + + diff --git a/src/man/uk/include/krb5_options.xml b/src/man/uk/include/krb5_options.xml new file mode 100644 index 0000000..0075582 --- /dev/null +++ b/src/man/uk/include/krb5_options.xml @@ -0,0 +1,164 @@ + + + krb5_auth_timeout (ціле число) + + + Час очікування, по завершенню якого буде перервано запит щодо розпізнавання +або зміни пароля у мережі. Якщо це можливо, обробку запиту щодо +розпізнавання буде продовжено у автономному режимі. + + + Типове значення: 6 + + + + + + krb5_validate (булеве значення) + + + Перевірити за допомогою krb5_keytab, чи отриманий TGT не було +підмінено. Перевірка записів у таблиці ключів виконується послідовно. Для +перевірки використовується перший запис з відповідним значенням +області. Якщо не буде знайдено жодного відповідного області запису, буде +використано останній запис з таблиці ключів. Цим процесом можна скористатися +для перевірки середовищ за допомогою зв’язків довіри між записами областей: +достатньо розташувати відповідний запис таблиці ключів на останньому місці +або зробити його єдиним записом у файлі таблиці ключів. + + + Типове значення: false (надається IPA та AD: true) + + + Будь ласка, зауважте, що перевірка квитка є першим кроком при перевірці PAC +(див. «pac_check» на сторінці підручника щодо +sssd.conf 5 +, щоб дізнатися більше). Якщо перевірку квитків вимкнено, +також буде вимкнено і перевірки PAC. + + + + + + krb5_renewable_lifetime (рядок) + + + Надіслати запит щодо поновлюваного квитка з загальним строком дії, вказаним +за допомогою цілого числа, за яким одразу вказано одиницю часу: + + + s — секунди + + + m — хвилини + + + h — години + + + d — дні. + + + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +s. + + + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + + + Типове значення: не встановлено, тобто TGT не є оновлюваним + + + + + + krb5_lifetime (рядок) + + + Надіслати запит щодо квитка з загальним строком дії, вказаним за допомогою +цілого числа, за яким одразу вказано одиницю часу: + + + s — секунди + + + m — хвилини + + + h — години + + + d — дні. + + + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +s. + + + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + + + Типове значення: не встановлено, тобто типовий строк дії квитка +визначатиметься у налаштуваннях KDC. + + + + + + krb5_renew_interval (рядок) + + + Час у секундах між двома послідовними перевірками того, чи слід оновлювати +записи TGT. Записи TGT оновлюються після завершення приблизно половини +їхнього строку дії, що задається як ціле число з наступним позначенням +одиниці часу: + + + s — секунди + + + m — хвилини + + + h — години + + + d — дні. + + + Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю +s. + + + Зауваження: не можна використовувати одразу декілька одиниць. Якщо вам +потрібно встановити строк дії у півтори години, слід вказати «90m», а не +«1h30m». + + + Якщо значення для цього параметра встановлено не буде або буде встановлено +значення 0, автоматичного оновлення не відбуватиметься. + + + Типове значення: not set + + + + + + krb5_canonicalize (булеве значення) + + + Визначає, чи слід перетворювати реєстраційний запис вузла і користувача у +канонічну форму. Цю можливість передбачено з версії MIT Kerberos 1.7. + + + + Типове значення: false + + + + diff --git a/src/man/uk/include/ldap_id_mapping.xml b/src/man/uk/include/ldap_id_mapping.xml new file mode 100644 index 0000000..5fb3523 --- /dev/null +++ b/src/man/uk/include/ldap_id_mapping.xml @@ -0,0 +1,297 @@ + + ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ + + Можливість встановлення відповідності ідентифікаторів надає SSSD змогу +працювати у режимі клієнта Active Directory без потреби для адміністраторів +розширювати атрибути користувача з метою підтримки атрибутів POSIX для +ідентифікаторів користувачів та груп. + + + Зауваження: якщо увімкнено встановлення відповідності ідентифікаторів, +атрибути uidNumber та gidNumber буде проігноровано. Так зроблено з метою +уникання конфліктів між автоматично визначеними та визначеними вручну +значеннями. Якщо вам потрібно призначити певні значення вручну, вручну +доведеться призначати ВСІ значення. + + + Будь ласка, зауважте, що зміна параметрів налаштувань, пов’язаних із +встановленням відповідності ідентифікаторів, призведе до зміни +ідентифікаторів користувачів і груп. У поточній версії SSSD зміни +ідентифікаторів не передбачено, отже, вам доведеться вилучити базу даних +SSSD. Оскільки кешовані паролі також зберігаються у базі даних, вилучення +бази даних слід виконувати, лише якщо сервери розпізнавання є доступними, +інакше користувачі не зможуть отримати потрібного їм доступу. З метою +кешування паролів слід виконати сеанс розпізнавання. Для вилучення бази +даних недостатньо використання команди +sss_cache 8 +, процедура має складатися з декількох кроків: + + + + Переконуємося, що віддалені сервери є доступними. + + + + + Зупиняємо роботу служби SSSD + + + + + Вилучаємо базу даних + + + + + Запускаємо службу SSSD + + + + Крім того, оскільки зміна ідентифікаторів може потребувати коригування інших +властивостей системи, зокрема прав власності на файли і каталоги, варто +спланувати усе наперед і ретельно перевірити налаштування встановлення +відповідності ідентифікаторів. + + + + Алгоритм встановлення відповідності + + Active Directory надає значення objectSID для всіх об’єктів користувачів і +груп у каталозі. Таке значення objectSID можна розбити на компоненти, які +відповідають профілю домену Active Directory та відносному ідентифікатору +(RID) об’єкта користувача або групи. + + + Алгоритмом встановлення відповідності ідентифікаторів SSSD передбачено поділ +діапазону доступних UID на розділи однакових розмірів, які називаються +«зрізами». Кожен зріз відповідає простору, доступному певному домену Active +Directory. + + + Коли SSSD вперше зустрічає запис користувача або групи певного домену, SSSD +віддає один з доступних зрізів під цей домен. З метою уможливлення +відтворення такого призначення зрізів на різних клієнтських системах, зріз +вибирається за таким алгоритмом: + + + Рядок SID передається алгоритмові murmurhash3 з метою перетворення його на +хешоване 32-бітове значення. Для вибору зрізу використовується ціла частина +від ділення цього значення на загальну кількість доступних зрізів. + + + Зауваження: за такого алгоритму можливі збіги за хешем та відповідною цілою +частиною від ділення. У разі виявлення таких збігів буде вибрано наступний +доступних зріз, але це може призвести до неможливості відтворити точно такий +самий набір зрізів на інших комп’ютерах (оскільки в такому разі на вибір +зрізів може вплинути порядок, у якому виконується обробка даних). Якщо ви +зіткнулися з подібною ситуацією, рекомендуємо вам або перейти на +використання явних атрибутів POSIX у Active Directory (вимкнути встановлення +відповідності ідентифікаторів) або налаштувати типовий домен з метою +гарантування того, що принаймні цей домен матиме еталонні дані. Докладніше +про це у розділі «Налаштування». + + + + + Налаштування + + Мінімальне налаштовування (у розділі [domain/НАЗВА_ДОМЕНУ]): + + + +ldap_id_mapping = True +ldap_schema = ad + + + + За типових налаштувань буде створено 10000 зрізів, кожен з яких може містити +до 200000 ідентифікаторів, починаючи з 2000000 і аж до 2000200000. Цього має +вистачити для більшості розгорнутих середовищ. + + + Додаткові налаштування + + + ldap_idmap_range_min (ціле число) + + + Визначає нижню (включну) межу діапазону ідентифікаторів POSIX, які слід +використовувати для встановлення відповідності SID користувачів і груп +Active Directory. Це перший ідентифікатор POSIX, яким можна скористатися для +прив'язки. + + + Зауваження: цей параметр відрізняється від min_id тим, що +min_id працює як фільтр відповідей на запити щодо цього +домену, а цей параметр керує діапазоном призначення ідентифікаторів. Ця +відмінність є мінімальною, але загалом варто визначати min_id +меншим або рівним ldap_idmap_range_min + + + Типове значення: 200000 + + + + + ldap_idmap_range_max (ціле число) + + + Визначає верхню (виключну) межу діапазону ідентифікаторів POSIX, які слід +використовувати для встановлення відповідності SID користувачів і груп +Active Directory. Це перший ідентифікатор POSIX, яким не можна скористатися +для прив'язки, тобто ідентифікатор, який на одиницю більший за останній, +яким можна скористатися для прив'язки. + + + Зауваження: цей параметр відрізняється від max_id тим, що +max_id працює як фільтр відповідей на запити щодо цього +домену, а цей параметр керує діапазоном призначення ідентифікаторів. Ця +відмінність є мінімальною, але загалом варто визначати max_id +більшим або рівним ldap_idmap_range_max + + + Типове значення: 2000200000 + + + + + ldap_idmap_range_size (ціле число) + + + Визначає кількість ідентифікаторів доступних на кожному зі зрізів. Якщо +розмір діапазону не ділиться націло на мінімальне і максимальне значення, +буде створено якомога більше повних зрізів. + + + ЗАУВАЖЕННЯ: значення цього параметра має бути не меншим за значення +максимального запланованого до використання RID на сервері Active +Directory. Пошук даних та вхід для будь-яких користувачів з RID, що +перевищує це значення, буде неможливим. + + + Приклад: якщо найсвіжішим доданим користувачем Active Directory є користувач +з objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, +«ldap_idmap_range_size» повинне мати значення, яке є не меншим за 1108, +оскільки розмір діапазону дорівнює максимальному SID мінус мінімальний SID +плюс 1. (Наприклад, 1108 = 1107 - 0 + 1). + + + Для майбутнього можливого розширення важливо все спланувати наперед, +оскільки зміна цього значення призведе до зміни усіх прив’язок +ідентифікаторів у системі, отже зміни попередніх локальних ідентифікаторів +користувачів. + + + Типове значення: 200000 + + + + + ldap_idmap_default_domain_sid (рядок) + + + Визначає SID типового домену. За допомогою цього параметра можна гарантувати +те, що цей домен буде завжди призначено до нульового зрізу у карті +ідентифікаторів без використання алгоритму murmurhash описаного вище. + + + Типове значення: not set + + + + + ldap_idmap_default_domain (рядок) + + + Вказати назву типового домену. + + + Типове значення: not set + + + + + ldap_idmap_autorid_compat (булеве значення) + + + Змінює поведінку алгоритму встановлення відповідності ідентифікаторів так, +щоб обчислення відбувалися за алгоритмом подібним до алгоритму +idmap_autorid winbind. + + + When this option is configured, domains will be allocated starting with +slice zero and increasing monotonically with each additional domain. + + + Зауваження: цей алгоритм є недетерміністичним (залежить від порядку записів +користувачів та груп). Якщо з метою сумісності з системою, у якій запущено +winbind, буде використано цей алгоритм, варто також скористатися параметром +ldap_idmap_default_domain_sid з метою гарантування +послідовного призначення принаймні одного домену до нульового зрізу. + + + Типове значення: False + + + + + ldap_idmap_helper_table_size (ціле число) + + + Максимальна кількість вторинних зрізів, яку можна використовувати під час +виконання прив'язки ідентифікатора UNIX до SID. + + + Зауваження: під час прив'язування SID до ідентифікатора UNIX може бути +створено додаткові вторинні зрізи, якщо частини RID SID перебувають поза +межами діапазону вже створених вторинних зрізів. Якщо значенням +ldap_idmap_helper_table_size буде 0, додаткові вторинні зрізи не +створюватимуться. + + + Типове значення: 10 + + + + + + + + + Добре відомі SID + + У SSSD передбачено підтримку пошуку назв за добре відомими (Well-Known) SID, +тобто SID із особливим запрограмованим призначенням. Оскільки типові +користувачі і групи, пов’язані із цими добре відомими SID не мають +еквівалентів у середовищі Linux/UNIX, ідентифікаторів POSIX для цих об’єктів +немає. + + + Простір назв SID упорядковано службами сертифікації, які виглядають як інші +домени. Службами сертифікації для добре відомих (Well-Known) SID є + + Фіктивна служба сертифікації (Null Authority) + Загальна служба сертифікації (World Authority) + Локальна служба сертифікації (Local Authority) + Авторська служба сертифікації (Creator Authority) + Обов'язкова служба сертифікації міток + Служба розпізнавання + Служба сертифікації NT (NT Authority) + Вбудована (Built-in) + + Написані літерами верхнього регістру ці назви буде використано як назви +доменів для повернення повних назв добре відомих (Well-Known) SID. + + + Оскільки деякі з програм надають змогу змінювати дані щодо керування +доступом на основі SID за допомогою назви, а не безпосереднього +використання, у SSSD передбачено підтримку пошуку SID за назвою. Щоб +уникнути конфліктів, для пошуку добре відомих (Well-Known) SID приймаються +лише повні назви. Отже, не можна використовувати як назви доменів у +sssd.conf такі назви: «NULL AUTHORITY», «WORLD +AUTHORITY», «LOCAL AUTHORITY», «CREATOR AUTHORITY», «MANDATORY LABEL +AUTHORITY», «AUTHENTICATION AUTHORITY», «NT AUTHORITY» та «BUILTIN». + + + + diff --git a/src/man/uk/include/ldap_search_bases.xml b/src/man/uk/include/ldap_search_bases.xml new file mode 100644 index 0000000..7261348 --- /dev/null +++ b/src/man/uk/include/ldap_search_bases.xml @@ -0,0 +1,33 @@ + + + Додатковий основний DN, область пошуку і фільтр LDAP для обмеження пошуків +LDAP цим типом атрибутів. + + + синтаксис: +search_base[?scope?[filter][?search_base?scope?[filter]]*] + + + + Діапазоном може бути одне зі значень, «base» (основа), «onelevel» (окремий +рівень) або «subtree» (піддерево). Докладніший опис діапазонів наведено у +розділі 4.5.1.2 документа http://tools.ietf.org/html/rfc4511 + + + Фільтром має бути коректний запис фільтрування LDAP, відповідно до +специфікації http://www.ietf.org/rfc/rfc2254.txt + + + Приклади використання цих синтаксичних конструкцій можна знайти у розділі +прикладів «ldap_search_base». + + + Типове значення: значення ldap_search_base + + + Будь ласка, зауважте, що підтримки визначення області або фільтра для +пошуків на сервері Active Directory не передбачено. Це може призвести до +отримання значної кількості результатів і викликати реакцію з боку +розширення діапазону отримання (Range Retrieval). + + diff --git a/src/man/uk/include/local.xml b/src/man/uk/include/local.xml new file mode 100644 index 0000000..d26290f --- /dev/null +++ b/src/man/uk/include/local.xml @@ -0,0 +1,19 @@ + + ЛОКАЛЬНИЙ ДОМЕН + + З метою забезпечення належної роботи слід створити домен з +id_provider=local та запустити SSSD. + + + Адміністратор може надати перевагу використанню локальних записів +користувачів SSSD замість традиційних записів користувачів UNIX, якщо для +роботи потрібна вкладеність груп (див. +sss_groupadd 8 +). Використання локальних записів може також бути корисним +для тестування та розробки програмного забезпечення з підтримкою SSSD (у +такому разі не потрібно розгортати повноцінний віддалений +сервер). Інструменти sss_user* та +sss_group* використовують для зберігання записів +користувачів і груп локальне сховище даних LDB. + + diff --git a/src/man/uk/include/override_homedir.xml b/src/man/uk/include/override_homedir.xml new file mode 100644 index 0000000..6407471 --- /dev/null +++ b/src/man/uk/include/override_homedir.xml @@ -0,0 +1,79 @@ + +override_homedir (рядок) + + + Перевизначити домашній каталог користувача. Ви можете вказати абсолютне +значення або шаблон. У шаблоні можна використовувати такі замінники: + + + %u + ім'я користувача + + + %U + номер UID + + + %d + назва домену + + + %f + ім’я користувача повністю (користувач@домен) + + + %l + Перша літера назви облікового запису. + + + %P + UPN - User Principal Name (ім’я@ОБЛАСТЬ) + + + %o + + Початкова домашня тека, отримана від служби профілів. + + + + %h + + Початкова домашня тека, отримана від служби профілів, але літерами нижнього +регістру. + + + + %H + + Значення параметра налаштовування homedir_substring. + + + + %% + символ відсотків («%») + + + + + + Значення цього параметра можна встановлювати для кожного з доменів окремо. + + + приклад: +override_homedir = /home/%u + + + + Типове значення: не встановлено (SSSD використовуватиме значення, отримане +від LDAP) + + + Будь ласка, зауважте, що домашній каталог для певного перевизначення для +користувача, локально +(див. sss_override +8) або централізовано керованих +перевизначень ідентифікаторів IPA, має вищий пріоритет, і його буде +використано замість значення, вказаного в override_homedir. + + + diff --git a/src/man/uk/include/param_help.xml b/src/man/uk/include/param_help.xml new file mode 100644 index 0000000..2905109 --- /dev/null +++ b/src/man/uk/include/param_help.xml @@ -0,0 +1,10 @@ + + + , + + + + Показати довідкове повідомлення і завершити роботу. + + + diff --git a/src/man/uk/include/param_help_py.xml b/src/man/uk/include/param_help_py.xml new file mode 100644 index 0000000..8870e8f --- /dev/null +++ b/src/man/uk/include/param_help_py.xml @@ -0,0 +1,10 @@ + + + , + + + + Показати довідкове повідомлення і завершити роботу. + + + diff --git a/src/man/uk/include/seealso.xml b/src/man/uk/include/seealso.xml new file mode 100644 index 0000000..cd6383c --- /dev/null +++ b/src/man/uk/include/seealso.xml @@ -0,0 +1,49 @@ + + ТАКОЖ ПЕРЕГЛЯНЬТЕ + + sssd8 +, +sssd.conf5 +, +sssd-ldap5 +, +sssd-ldap-attributes5 +, +sssd-krb55 +, +sssd-simple5 +, +sssd-ipa5 +, +sssd-ad5 +, +sssd-files5 +, +sssd-sudo 5 +, +sssd-session-recording +5 , +sss_cache8 +, +sss_debuglevel8 +, +sss_obfuscate8 +, +sss_seed8 +, +sssd_krb5_locator_plugin8 +, +sss_ssh_authorizedkeys +8 , +sss_ssh_knownhostsproxy +8 , sssd-ifp +5 , +pam_sss8 +. +sss_rpcidmapd 5 + +sssd-systemtap 5 + + + diff --git a/src/man/uk/include/service_discovery.xml b/src/man/uk/include/service_discovery.xml new file mode 100644 index 0000000..8452639 --- /dev/null +++ b/src/man/uk/include/service_discovery.xml @@ -0,0 +1,45 @@ + + ПОШУК СЛУЖБ + + За допомогою можливості виявлення служб основні модулі мають змогу +автоматично визначати відповідні сервери для встановлення з’єднання на +основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки +цієї можливості для резервних серверів не передбачено. + + + Налаштування + + Якщо серверів не буде вказано, модуль автоматично використає визначення +служб для пошуку сервера. Крім того, користувач може використовувати і +фіксовані адреси серверів і виявлення служб. Для цього слід вставити +особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається +за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач +надає перевагу використанню виявлення служб, якщо це можливо, з поверненням +до використання певного сервера, якщо за допомогою DNS не вдасться виявити +жодного сервера. + + + + Назва домену + + З докладнішими відомостями щодо параметра «dns_discovery_domain» можна +ознайомитися на сторінці підручника (man) +sssd.conf 5 +. + + + + Протокол + + Запитами зазвичай визначається протокол _tcp. Виключення документовано у +описі відповідного параметра. + + + + Також прочитайте + + Докладніші відомості щодо механізмів визначення служб можна знайти у RFC +2782. + + + diff --git a/src/man/uk/include/upstream.xml b/src/man/uk/include/upstream.xml new file mode 100644 index 0000000..4b0c243 --- /dev/null +++ b/src/man/uk/include/upstream.xml @@ -0,0 +1,3 @@ + +SSSD Основна гілка розробки SSSD — +https://pagure.io/SSSD/sssd/ diff --git a/src/man/uk/pam_sss.8.xml b/src/man/uk/pam_sss.8.xml new file mode 100644 index 0000000..49dcf5a --- /dev/null +++ b/src/man/uk/pam_sss.8.xml @@ -0,0 +1,453 @@ + + + +Сторінки підручника SSSD + + + + + pam_sss + 8 + + + + pam_sss + модуль PAM для SSSD + + + + +pam_sss.so +quiet +forward_pass +use_first_pass +use_authtok +retry=N +ignore_unknown_user +ignore_authinfo_unavail +domains=X +allow_missing_name +prompt_always +try_cert_auth +require_cert_auth + + + + ОПИС + pam_sss.so — інтерфейс PAM до System Security Services +daemon (SSSD). Помилки та результати роботи записуються за допомогою +syslog(3) до запису LOG_AUTHPRIV. + + + + ПАРАМЕТРИ + + + + + + + Не показувати у журналі повідомлень для невідомих користувачів. + + + + + + + + Якщо встановлено значення , введений пароль +буде збережено у стосі паролів для використання іншими модулями PAM. + + + + + + + + + Використання аргументу use_first_pass примушує модуль до використання пароля +з модулів попереднього рівня. Ніяких запитів до користувача не +надсилатиметься, — якщо пароль не буде виявлено або пароль виявиться +непридатним, доступ користувачеві буде заборонено. + + + + + + + + Визначає ситуацію, коли зміна пароля примушує модуль встановлювати новий +пароль на основі пароля, наданого попереднім модулем обробки паролів зі +стосу модулів. + + + + + + + + Якщо вказано, користувача запитуватимуть про пароль ще N разів, якщо перший +раз розпізнавання зазнає невдачі. Типовим значенням є 0. + Будь ласка, зауважте, що цей параметр може працювати не так, як очікується, +якщо програма, яка викликає PAM, має власний обробник діалогових вікон +взаємодії з користувачем. Типовим прикладом є sshd з +. + + + + + + + + Якщо вказано цей параметр і облікового запису не існує, модуль PAM поверне +PAM_IGNORE. Це призводить до ігнорування цього модуля оболонкою PAM. + + + + + + + + + Визначає, що модуль PAM має повертати PAM_IGNORE, якщо не вдається +встановити зв’язок із фоновою службою SSSD. У результаті набір інструментів +PAM ігнорує цей модуль. + + + + + + + + + Надає змогу адміністратору обмежити домен певною службою PAM, за допомогою +якої можна буде виконувати розпізнавання. Формат значення: список назв +доменів SSSD, відокремлених комами, так, як їх вказано у файлі sssd.conf. + + + Зауваження: Якщо використовується для служби, яку запущено не від імені +користувача root, наприклад вебсервера, слід використовувати разом із +параметрами «pam_trusted_users» і «pam_public_domains». Будь ласка, +ознайомтеся із сторінкою підручника +sssd.conf 5 +, щоб дізнатися більше про ці два параметри відповідача PAM. + + + + + + + + + + Основним призначенням цього параметра є надання SSSD змоги визначати ім'я +користувача на основі додаткових даних, наприклад сертифіката зі +смарткартки. + + + Поточним основним призначенням є засоби керування входом до системи, які +можуть спостерігати за подіями обробки карток на засобі читання +смарткарток. Щойно буде вставлено смарткартку, засіб керування входом до +системи викличе стос PAM, до якого включено рядок, подібний до +auth sufficient pam_sss.so allow_missing_name + Якщо SSSD спробує визначити ім'я користувача +на основі вмісту смарткартки, повертає його до pam_sss, який, нарешті, +передасть його стосу PAM. + + + + + + + + + + Завжди запитувати у користувача реєстраційні дані. Якщо використано цей +параметр, реєстраційні дані, запит на які надійшов від інших модулів PAM, +типово, пароль, буде проігноровано, а pam_sss надсилатиме запит щодо +реєстраційних даних знову. На основі відповіді на попереднє розпізнавання +від SSSD pam_sss може надіслати запит щодо пароля, пін-коду смарткартки або +інших реєстраційних даних. + + + + + + + + + + Спробувати скористатися розпізнаванням на основі сертифікатів, тобто +розпізнаванням за допомогою смарткартки або подібного пристрою. Якщо +доступною є смарткартка і уможливлено розпізнавання за смарткарткою для +служби, система надішле запит щодо пін-коду і буде продовжено процедуру +розпізнавання за сертифікатом. + + + Якщо смарткартка виявиться недоступною або розпізнавання за сертифікатом +буде заборонено для поточної служби, буде повернуто PAM_AUTHINFO_UNAVAIL. + + + + + + + + + + Виконати розпізнавання на основі сертифікатів, тобто розпізнавання за +допомогою смарткартки або подібного пристрою. Якщо смарткартка виявиться +недоступною, система попросить користувача вставити її. SSSD чекатиме на +смарткартку, аж доки не завершиться час очікування, визначений переданим +значенням +p11_wait_for_card_timeout. +Див. sssd.conf +5, щоб дізнатися більше. + + + Якщо смарткартка виявиться недоступною на момент завершення часу очікування +або розпізнавання за сертифікатом буде заборонено для поточної служби, буде +повернуто PAM_AUTHINFO_UNAVAIL. + + + + + + + + ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ + Передбачено всі типи модулів (, +, і +). + + Якщо відповідач PAM SSSD не запущено, наприклад, якщо сокет відповідача PAM +є недоступним, pam_sss поверне PAM_USER_UNKNOWN при виклику з модуля +, щоб уникнути проблем із записами користувачів із +інших джерел під час керування доступом. + + + + ПОВЕРНЕНІ ЗНАЧЕННЯ + + + PAM_SUCCESS + + + Дію PAM завершено успішно. + + + + + PAM_USER_UNKNOWN + + + Користувач є невідомим службі розпізнавання або відповідач PAM SSSD не +запущено. + + + + + PAM_AUTH_ERR + + + Помилка розпізнавання. Також може бути повернено, якщо виникла проблема із +отриманням сертифіката. + + + + + PAM_PERM_DENIED + + + Доступ заборонено. Додаткові відомості щодо помилки можуть міститися у +файлах журналів SSSD. + + + + + PAM_IGNORE + + + Див. параметри і +. + + + + + PAM_AUTHTOK_ERR + + + Не вдалося отримати новий ключ розпізнавання. Крім того, може бути +повернуто, якщо користувач проходить розпізнавання за допомогою +сертифікатів, доступними є декілька сертифікатів, але у встановленій версії +GDM не передбачено можливості вибору одного з декількох сертифікатів. + + + + + PAM_AUTHINFO_UNAVAIL + + + Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути +помилка у роботі мережі або обладнання. + + + + + PAM_BUF_ERR + + + Сталася помилка при роботі з пам'яттю. Також може бути повернуто, якщо було +встановлено параметр use_first_pass або use_authtok, але не було знайдено +пароля у попередньому модулі PAM зі стосу обробки. + + + + + PAM_SYSTEM_ERR + + + Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть +міститися у файлах журналів SSSD. + + + + + PAM_CRED_ERR + + + Не вдалося встановити реєстраційні дані користувача. + + + + + PAM_CRED_INSUFFICIENT + + + У програми немає достатніх реєстраційних даних для розпізнавання +користувача. Наприклад, може не вистачати PIN-коду при розпізнаванні за +смарткарткою або якогось фактора при двофакторному розпізнаванні. + + + + + PAM_SERVICE_ERR + + + Помилка у службовому модулі. + + + + + PAM_NEW_AUTHTOK_REQD + + + Строк дії ключа розпізнавання користувача вичерпано. + + + + + PAM_ACCT_EXPIRED + + + Строк дії облікового запису користувача вичерпано. + + + + + PAM_SESSION_ERR + + + Не вдалося отримати правила профілю стільниці IPA або дані користувача. + + + + + PAM_CRED_UNAVAIL + + + Не вдалося отримати реєстраційні дані користувача Kerberos. + + + + + PAM_NO_MODULE_DATA + + + Kerberos не вдалося знайти метод розпізнавання. Таке може трапитися, якщо із +записом користувача пов'язано смарткартку, але додаток pkint є недоступним +на клієнті. + + + + + PAM_CONV_ERR + + + Помилка обміну даними. + + + + + PAM_AUTHTOK_LOCK_BUSY + + + Немає доступних придатних KDC для зміни пароля. + + + + + PAM_ABORT + + + Невідомий виклик PAM. + + + + + PAM_MODULE_UNKNOWN + + + Непідтримувана команда або завдання PAM. + + + + + PAM_BAD_ITEM + + + Модулю розпізнавання не вдалося обробити реєстраційні дані з смарткартки. + + + + + + + + ФАЙЛИ + Якщо спроба скидання пароля від імені адміністративного користувача (root) +зазнає невдачі, оскільки у відповідному засобі обробки SSSD не передбачено +скидання паролів, може бути показано певне повідомлення. У цьому +повідомленні, наприклад, можуть міститися настанови щодо скидання пароля. + + Текст повідомлення буде прочитано з файла +pam_sss_pw_reset_message.LOC, де «LOC» — рядок локалі у +форматі, повернутому +setlocale3 +. Якщо відповідного файла знайдено не буде, буде показано +вміст файла pam_sss_pw_reset_message.txt. Власником +файлів має бути адміністративний користувач (root). Доступ до запису файлів +також повинен мати лише адміністративний користувач. Всім іншим користувачам +може бути надано лише право читання файлів. + + Пошук цих файлів виконуватиметься у каталозі +/etc/sssd/customize/НАЗВА_ДОМЕНУ/. Якщо відповідний +файл не буде знайдено, буде показано типове повідомлення. + + + + + + diff --git a/src/man/uk/pam_sss_gss.8.xml b/src/man/uk/pam_sss_gss.8.xml new file mode 100644 index 0000000..9f07372 --- /dev/null +++ b/src/man/uk/pam_sss_gss.8.xml @@ -0,0 +1,217 @@ + + + +Сторінки підручника SSSD + + + + + pam_sss_gss + 8 + + + + pam_sss_gss + модуль PAM для розпізнавання за GSSAPI у SSSD + + + + +pam_sss_gss.so +debug + + + + ОПИС + + pam_sss_gss.so розпізнає користувача за допомогою GSSAPI +у поєднанні із SSSD. + + + Цей модуль намагатиметься виконати розпізнавання користувача за допомогою +служби на основі вузла GSSAPI із назвою вузол@назва_вузла, яка транслюватиме +дані до реєстраційного запису Kerberos вузол/назва_вузла@ОБЛАСТЬ. Частину +ОБЛАСТЬ назви реєстраційного запису Kerberos буде +визначено за внутрішніми механізмами Kerberos. Її можна встановити явним +чином у налаштуваннях розділу [domain_realm] у /etc/krb5.conf. + + + SSSD використовується для отримання бажаної назви служби і для перевірки +реєстраційних даних користувача за допомогою викликів GSSAPI. Якщо у кеші +реєстраційних даних Kerberos вже є квиток служби або якщо похідний квиток +квитка користувача можна використати для отримання належного квитка служби, +користувача буде розпізнано. + + + Якщо матиме значення True (типове +значення), SSSD вимагатиме, щоб реєстраційні дані, які використовуватимуться +для отримання квитків служби, можна було пов'язати із користувачем. Це +означає, що реєстраційний запис, який є власником реєстраційних даних +Kerberos, має відповідати назві реєстраційного запису користувача, яку +визначено у LDAP. + + + Щоб увімкнути розпізнавання GSSAPI у SSSD, встановіть значення + у розділі [pam] або домену в +sssd.conf. Реєстраційні дані служби має бути збережено у сховищі ключів SSSD +(його вже збережено там, якщо ви користуєтеся надавачем даних ipa або +ad). Розташування сховища ключів можна встановити за допомогою параметра +. Див. +sssd.conf 5 + і sssd-krb5 +5 , щоб дізнатися більше про ці +параметри. + + + Деякі розгорнуті екземпляри Kerberos дозволяють пов'язувати індикатори +розпізнавання із певним методом попереднього розпізнавання, який +використовується для отримання квитка, який надає квиток користувача. +pam_sss_gss.so надає змогу примусово встановити потребу у +наявності індикаторів розпізнавання у квитках служби, перш ніж буде надано +доступ до певної служби PAM. + + + Якщо встановлено у розділі [pam] +або домену sssd.conf, SSSD виконає перевірку наявності будь-яких +налаштованих індикаторів у квитку служби. + + + + + ПАРАМЕТРИ + + + + + + + Вивести діагностичні дані. + + + + + + + ПЕРЕДБАЧЕНІ ТИПИ МОДУЛІВ + Передбачено лише тип модулів + + + + ПОВЕРНЕНІ ЗНАЧЕННЯ + + + PAM_SUCCESS + + + Дію PAM завершено успішно. + + + + + PAM_USER_UNKNOWN + + + Користувач є невідомим службі розпізнавання або підтримки розпізнавання за +GSSAPI не передбачено. + + + + + PAM_AUTH_ERR + + + Помилка під час спроби розпізнавання. + + + + + PAM_AUTHINFO_UNAVAIL + + + Не вдалося отримати доступ до даних щодо розпізнавання. Причиною може бути +помилка у роботі мережі або обладнання. + + + + + PAM_SYSTEM_ERR + + + Сталася загальносистемна помилка. Додаткові відомості щодо помилки можуть +міститися у файлах журналів SSSD. + + + + + + + + ПРИКЛАДИ + + Основним випадком використання є забезпечення розпізнавання без пароля у +sudo, але без потреби у повному вимиканні розпізнавання. Для досягнення +потрібного результату спочатку увімкніть розпізнавання за GSSAPI для sudo в +sssd.conf: + + +[domain/MYDOMAIN] +pam_gssapi_services = sudo, sudo-i + + + Потім увімкніть модуль у бажаному стосі PAM (наприклад у /etc/pam.d/sudo і +/etc/pam.d/sudo-i). + + +... +auth sufficient pam_sss_gss.so +... + + + + + ДІАГНОСТИКА + + У журналі SSSD, діагностичних повідомленнях pam_sss_gss та syslog можуть +міститися корисні дані щодо помилки. Ось деякі з типових проблем: + + + 1. Встановлено змінну середовища KRB5CCNAME, а розпізнавання не працює: +залежно від вашої версії sudo, можливо, sudo не передає цю змінну до +середовища PAM. Спробуйте додати KRB5CCNAME до в +/etc/sudoers або до типових параметрів у ваших правилах sudo для LDAP. + + + 2. Розпізнавання не працює, а у syslog міститься повідомлення «Server not +found in Kerberos database»: Kerberos, ймовірно, не може визначити належну +область для квитка служби на основі назви вузла. Спробуйте додати назву +вузла безпосередньо у розділ в +/etc/krb5.conf, ось так: + + + 3. Розпізнавання не працює, а у syslog міститься повідомлення «No Kerberos +credentials available»: у вас немає реєстраційних даних, якими можна було б +скористатися для отримання потрібного квитка служби. Скористайтеся kinit або +пройдіть розпізнавання за допомогою SSSD, щоб отримати відповідні +реєстраційні дані. + + + 4. Розпізнавання не працює, а у журналі sssd-pam SSSD міститься повідомлення +«User with UPN [$UPN] was not found.» або «UPN [$UPN] does not match target +user [$username].»: ви використовуєте реєстраційні дані, які не можна +пов'язати із користувачем, розпізнавання якого відбувається. Спробуйте +скористатися kswitch для вибору іншого реєстраційного запису, переконайтеся, +що вас розпізнано за допомогою засобів SSSD або спробуйте вимкнути +. + + +[domain_realm] +.myhostname = MYREALM + + + + + + + diff --git a/src/man/uk/sss-certmap.5.xml b/src/man/uk/sss-certmap.5.xml new file mode 100644 index 0000000..c9807bf --- /dev/null +++ b/src/man/uk/sss-certmap.5.xml @@ -0,0 +1,767 @@ + + + +Сторінки підручника SSSD + + + + + sss-certmap + 5 + Формати файлів та правила + + + + sss-certmap + Правила встановлення відповідності і прив'язування сертифікатів SSSD + + + + ОПИС + + На цій сторінці підручника описано правила, якими можна скористатися у SSSD +та інших компонентах для встановлення відповідності сертифікатів X.509 та +прив'язування їх до облікових записів. + + + У кожного правила чотири компоненти — пріоритетність, +правило встановлення відповідності, правило +прив'язки і список доменів. Усі компоненти є +необов'язковими. Якщо не вказано пріоритетність, буде додано +правило із найнижчою пріоритетністю. Типове правило встановлення +відповідності встановлює відповідність сертифікатів із використанням +ключів digitalSignature і розширеним використанням ключів clientAuth. Якщо +правило прив'язки є порожнім, сертифікати шукатимуться у +атрибуті userCertificate у форматі закодованих двійкових даних DER. Якщо не +буде вказано доменів, пошук відбуватиметься у локальному домені. + + + Щоб дозволити розширення або зовсім інший стиль правила, +прив'язки та правила відповідності можуть +містити префікс відокремлений символом «:» від основної частини +правила. Префікс може містити лише літери верхнього регістру ASCII і +цифри. Якщо префікс пропущено, буде використано стандартний тип, яким є +«KRB5» для правил відповідності і «LDAP» для правил прив'язки. + + + Допоміжна програма «sssctl» надає доступ до команди «cert-eval-rule», яку +призначено для перевірки, чи відповідає вказаний сертифікат правилам +відповідності, і визначає, як виглядатиме виведення правила прив'язки. + + + + + КОМПОНЕНТИ ПРАВИЛ + + ПРІОРИТЕТНІСТЬ + + Правила оброблятимуться за пріоритетністю, номер «0» (нуль) відповідає +найвищому рівню пріоритетності. Чим більшим є значення, тим нижчою є +пріоритетність. Якщо значення не вказано, пріоритетність вважається +найнижчою. Обробку правил буде зупинено, якщо вдасться знайти відповідність +правилу, подальші правила не оброблятимуться. + + + На внутрішньому рівні пріоритетність визначається 32-бітовим цілим числом +без знаку. Використання значення пріоритетності, що перевищує 4294967295, +призводитиме до виведення повідомлення про помилку. + + + Якщо однакову пріоритетність мають декілька правил, а застосовувати можна +лише одне із пов'язаних відповідних правил, буде вибрано це правило. Якщо +існує декілька відповідних правил із однаковою пріоритетністю, буде вибрано +одне, але яке само не визначено. Щоб уникнути цієї невизначеної поведінки +або використовуйте різні пріоритетності, або зробіть правила відповідності +специфічнішими, наприклад, скориставшись явними взірцями <ISSUER>. + + + + ПРАВИЛО ВІДПОВІДНОСТІ + + Правило встановлення відповідності використовується для вибору сертифіката, +до якого слід застосовувати правило прив'язки. У цьому використовується +система, подібна до використаної у параметрі +pkinit_cert_match Kerberos MIT. Правило складається з +ключового слова між символами «<» і «>», яке визначає певну частину +сертифіката, і взірцем, який має бути знайдено, для встановлення +відповідності правила. Декілька пар ключове слово-взірець можна сполучати за +допомогою логічних операторів «&&» (та) або «||» (або). + + + Якщо задано подібність до MIT Kerberos, префіксом для цього правила є +«KRB5». Втім, «KRB5» також буде типовим для правил +відповідності, тому «<SUBJECT>.*,DC=MY,DC=DOMAIN» і +«KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN» є рівнозначними. + + + Доступні варіанти: + + <SUBJECT>формальний-вираз + + + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису призначення. Для встановлення відповідності використовується +синтаксис розширених формальних виразів POSIX. Докладніший опис синтаксису +можна знайти на сторінці підручника regex(7). + + + Для встановлення відповідності запис призначення, що зберігається у +сертифікаті у форматі кодованого DER ASN.1, буде перетворено на текстовий +рядок відповідно до RFC 4514. Це означає, що першою у рядку буде +найспецифічніша компонента. Будь ласка, зауважте, що у RFC 4514 описано не +усі можливі назви атрибутів. Включеними вважаються такі назви: «CN», «L», +«ST», «O», «OU», «C», «STREET», «DC» і «UID». Назви інших атрибутів може +бути показано у різний спосіб на різних платформах і у різних +інструментах. Щоб уникнути двозначностей, не варто використовувати ці +атрибути і вживати їх у відповідних формальних виразах. + + + Приклад: <SUBJECT>.*,DC=MY,DC=DOMAIN + + + Будь ласка, зауважте, що символи «^.[$()|*+?{\» мають спеціальне значення у +формальних виразах, тому їх має бути екрановано за допомогою символу «\», +щоб програма сприймала їх як звичайні символи. + + + Приклад: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + + + + + <ISSUER>формальний-вираз + + + За допомогою цього компонент можна встановлювати відповідність частини або +усього запису видавця. Цього запису стосуються усі коментарі щодо +<SUBJECT>. + + + Приклад: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + + + + + <KU>використання-ключа + + + За допомогою цього параметра можна визначити значення використання ключа, +які повинен містити сертифікат. У списку значень, відокремлених комами, +можна використовувати такі значення: + + digitalSignature + nonRepudiation + keyEncipherment + dataEncipherment + keyAgreement + keyCertSign + cRLSign + encipherOnly + decipherOnly + + + + Для спеціальних випадків можна також використати числове значення у +діапазоні 32-бітових цілих чисел без знаку. + + + Приклад: <KU>digitalSignature,keyEncipherment + + + + + <EKU>розширене-використання-ключа + + + За допомогою цього параметра можна визначити значення розширеного +використання ключа, які повинен містити сертифікат. У списку значень, +відокремлених комами, можна використовувати такі значення: + + serverAuth + clientAuth + codeSigning + emailProtection + timeStamping + OCSPSigning + KPClientAuth + pkinit + msScLogin + + + + Розширені використання ключа, які не потрапили до вказаного вище списку, +можна визначити за допомогою їхнього OID у точково-десятковому позначенні. + + + Приклад: <EKU>clientAuth,1.3.6.1.5.2.3.4 + + + + + <SAN>формальний-вираз + + + Для сумісності із використанням Kerberos MIT цей параметр встановлюватиме +відповідність реєстраційних даних Kerberos у PKINIT або AD NT Principal SAN +так, як це робить <SAN:Principal>. + + + Приклад: <SAN>.*@MY\.REALM + + + + + <SAN:Principal>формальний-вираз + + + Встановити відповідність реєстраційних даних Kerberos у PKINIT або AD NT +Principal SAN. + + + Приклад: <SAN:Principal>.*@MY\.REALM + + + + + <SAN:ntPrincipalName>формальний-вираз + + + Встановити відповідність реєстраційних даних Kerberos з AD NT Principal SAN. + + + Приклад: <SAN:ntPrincipalName>.*@MY.AD.REALM + + + + + <SAN:pkinit>формальний-вираз + + + Встановити відповідність реєстраційних даних Kerberos з SAN PKINIT. + + + Приклад: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + + + + + <SAN:dotted-decimal-oid>формальний-вираз + + + Отримати значення компонента SAN otherName, яке задано OID у +крапково-десятковому позначенні, обробити його як рядок і спробувати +встановити відповідність формальному виразу. + + + Приклад: <SAN:1.2.3.4>test + + + + + <SAN:otherName>base64-string + + + Виконати спробу встановлення двійкової відповідності блоку у кодуванні +base64 із усіма компонентами SAN otherName. За допомогою цього параметра +можна встановлювати відповідність із нетиповими компонентами otherName із +особливими кодуваннями, які не можна обробляти як рядки. + + + Приклад: <SAN:otherName>MTIz + + + + + <SAN:rfc822Name>формальний-вираз + + + Встановити відповідність значення SAN rfc822Name. + + + Приклад: <SAN:rfc822Name>.*@email\.domain + + + + + <SAN:dNSName>формальний-вираз + + + Встановити відповідність значення SAN dNSName. + + + Приклад: <SAN:dNSName>.*\.my\.dns\.domain + + + + + <SAN:x400Address>рядок-base64 + + + Встановити двійкову відповідність значення SAN x400Address. + + + Приклад: <SAN:x400Address>MTIz + + + + + <SAN:directoryName>формальний-вираз + + + Встановити відповідність значення SAN directoryName. Цього параметра +стосуються ті самі коментарі, які було вказано для параметрів <ISSUER> +та <SUBJECT>. + + + Приклад: <SAN:directoryName>.*,DC=com + + + + + <SAN:ediPartyName>рядок-base64 + + + Встановити двійкову відповідність значення SAN ediPartyName. + + + Приклад: <SAN:ediPartyName>MTIz + + + + + <SAN:uniformResourceIdentifier>формальний-вираз + + + Встановити відповідність значення SAN uniformResourceIdentifier. + + + Приклад: <SAN:uniformResourceIdentifier>URN:.* + + + + + <SAN:iPAddress>формальний-вираз + + + Встановити відповідність значення SAN iPAddress. + + + Приклад: <SAN:iPAddress>192\.168\..* + + + + + <SAN:registeredID>формальний-вираз + + + Встановити значення SAN registeredID у форматі точково-десяткового рядка. + + + Приклад: <SAN:registeredID>1\.2\.3\..* + + + + + + + + ПРАВИЛО ПРИВʼЯЗУВАННЯ + + Правило прив'язки використовується для пов'язування сертифіката із одним або +декількома обліковими записами. Далі, смарткарткою із сертифікатом та +відповідним закритим ключем можна скористатися для розпізнавання за одним з +цих облікових записів. + + + У поточній версії SSSD на базовому рівні підтримує пошук даних користувачів +лише у LDAP (винятком є лише засіб надання проксі, який у цьому контексті є +недоречним). Через це правило прив'язки засновано на синтаксисі фільтрування +пошуку LDAP з шаблонами для додавання вмісту сертифікатів до +фільтра. Очікується, що цей фільтр міститиме лише специфічні дані, потрібні +для прив'язки, яку функція виклику вбудовуватиме до іншого фільтра для +виконання справжнього пошуку. Через це рядок фільтрування має починатися із +завершуватися «(» і «)», відповідно. + + + Загалом, рекомендується використовувати атрибути з сертифіката і додати їх +до спеціальних атрибутів об'єкта користувача LDAP. Наприклад, можна +скористатися атрибутом «altSecurityIdentities» у AD або атрибутом +«ipaCertMapData» для IPA. + + + Бажаним шляхом є читання із сертифіката специфічних для користувача даних, +наприклад адреси електронної пошти, і пошук цих даних на сервері +LDAP. Причиною є те, що специфічні для користувача дані у LDAP можу бути з +різних причин змінено, що розірве прив'язку. З іншого боку, якщо +скористатися бажаним шляхом, розірвати прив'язку буде важко. + + + Стандартним типом правила прив'язки є «LDAP». Цей запис може +бути додано як префікс до правила. Ось так, наприклад: +«LDAP:(userCertificate;binary={cert!bin})». Передбачено розширення, яке має +назву «LDAPU1», і яке надає додаткові шаблони для збільшення гнучкості. Щоб +дозволити застарілим версіям цієї бібліотеки ігнорувати розширення, при +використанні нових шаблонів у правилі прив'язки має бути +використано префікс «LDAPU1», інакше роботу застарілої версії цієї +бібліотеки буде завершено із повідомленням про помилку при обробці вхідних +даних. Нові шаблони описано у розділі . + + + Шаблони для додавання даних сертифікатів до фільтра пошуку засновано на +рядках форматування у стилі Python. Воли складаються з ключового слова у +фігурних дужках із додатковим підкомпонентом-специфікатором, відокремленим +«.», або додатковим параметром перетворення-форматування, відокремленим +«!». Дозволені значення: + + {issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} + + + Цей шаблон додасть повний DN видавця, перетворений на рядок відповідно до +RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + + + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + + + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + + + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + + + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + + + + + {subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} + + + Цей шаблон додасть повний DN призначення, перетворений на рядок відповідно +до RFC 4514. Якщо використано упорядковування X.500 (найспецифічніший RDN +стоїть останнім), буде використано параметр із префіксом «_x500». + + + У варіантах перетворення, назви яких починаються з «ad_», +використовуватимуться назви атрибутів, які використовуються AD, наприклад +«S», замість «ST». + + + У варіантах перетворення, назви яких починаються з «nss_», +використовуватимуться назви атрибутів, які використовуються NSS. + + + Типовим варіантом перетворення є «nss», тобто назви атрибутів відповідно до +NSS і упорядковування за LDAP/RFC 4514. + + + Приклад: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + + + + + {cert[!(bin|base64)]} + + + Цей шаблон додасть увесь сертифікат у кодуванні DER як рядок до фільтра +пошуку. Залежно від параметра перетворення, двійковий сертифікат або буде +преетворено на екрановану послідовність шістнадцяткових чисел у форматі +«\xx», або на код base64. Типовим варіантом є екранована шістнадцяткова +послідовність, її може бути, наприклад, використано з атрибутом LDAP +«userCertificate;binary». + + + Приклад: (userCertificate;binary={cert!bin}) + + + + + {subject_principal[.short_name]} + + + Цей шаблон додасть реєстраційні дані Kerberos, які буде взято або з SAN, +який використовується pkinit, або з реєстраційних даних AD. Компонент +«short_name» відповідає першій частині реєстраційного запису до символу «@». + + + Приклад: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + + + + + {subject_pkinit_principal[.short_name]} + + + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується pkinit. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + + + Приклад: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + + + + + {subject_nt_principal[.short_name]} + + + Цей шаблон додасть реєстраційні дані Kerberos, які буде передано SAN, що +використовується AD. Компонент «short_name» відповідає першій частині +реєстраційного запису до символу «@». + + + Приклад: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + + + + + {subject_rfc822_name[.short_name]} + + + Цей шаблон додасть рядок, який зберігається у компоненті rfc822Name SAN, +типово, адресу електронної пошти. Компонент «short_name» відповідає першій +частині адреси до символу «@». + + + Приклад: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + + + + + {subject_dns_name[.short_name]} + + + Цей шаблон додасть рядок, який зберігається у компоненті dNSName SAN, +типово, повну назву вузла. Компонент «short_name» відповідає першій частині +назви до першого символу «.». + + + Приклад: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + + + + + {subject_uri} + + + Цей шаблон додає рядок, який зберігається у компоненті +uniformResourceIdentifier SAN. + + + Приклад: (uri={subject_uri}) + + + + + {subject_ip_address} + + + Цей шаблон додає рядок, який зберігається у компоненті iPAddress SAN. + + + Приклад: (ip={subject_ip_address}) + + + + + {subject_x400_address} + + + Цей шаблон додає значення, яке зберігається у компоненті x400Address SAN як +послідовність екранованих шістнадцяткових чисел. + + + Приклад: (attr:binary={subject_x400_address}) + + + + + {subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} + + + Цей шаблон додасть рядок DN значення, яке зберігається у компоненті +directoryName SAN. + + + Приклад: (orig_dn={subject_directory_name}) + + + + + {subject_ediparty_name} + + + Цей шаблон додає значення, яке зберігається у компоненті ediPartyName SAN як +послідовність екранованих шістнадцяткових чисел. + + + Приклад: (attr:binary={subject_ediparty_name}) + + + + + {subject_registered_id} + + + Цей шаблон додає OID, який зберігається у компоненті registeredID SAN у +форматі точково-десяткового рядка. + + + Приклад: (oid={subject_registered_id}) + + + + + + + Розширення LDAPU1 + + При використанні розширення LDAPU1 можна скористатися такими шаблонами: + + + + + {serial_number[!(dec|hex[_ucr])]} + + + Цей шаблон додасть серійний номер сертифіката. Типово, його буде надруковано +як шістнадцяткове число літерами нижнього регістру. + + + Якщо використано параметр форматування «!dec», число буде виведено як +десятковий рядок. Виведені шістнадцяткові дані може бути показано за +допомогою літер верхнього регістру («!hex_u»), із двокрапкою, що відокремлює +шістнадцяткові байти («!hex_c»), або із шістнадцятковими байтами у +зворотному порядку («!hex_r»). Літер постфікса може бути поєднано, отже, +наприклад, «!hex_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + + + Приклад: LDAPU1:(serial={серійний_номер}) + + + + + + {subject_key_id[!hex[_ucr]]} + + + Цей шаблон додасть ідентифікатор ключа призначення сертифіката. Типово, його +буде надруковано як шістнадцяткове число літерами нижнього регістру. + + + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!hex_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!hex_c»), або із шістнадцятковими байтами у зворотному порядку +(«!hex_r»). Літер постфікса може бути поєднано, отже, наприклад, «!hex_uc» +призведе до виведення відокремленого двокрапками шістнадцяткового рядка із +літер верхнього регістру. + + + Приклад: LDAPU1:(ski={ідентифікатор_ключа_призначення}) + + + + + + {cert[!DIGEST[_ucr]]} + + + Цей шаблон додає шістнадцяткову контрольну суму або хеш до +сертифіката. Запис DIGEST має бути замінено назвою функції контрольної суми +або хешу, підтримку яких передбачено у OpenSSL, наприклад «sha512». + + + Виведені шістнадцяткові дані може бути показано за допомогою літер верхнього +регістру («!sha512_u»), із двокрапкою, що відокремлює шістнадцяткові байти +(«!sha512_c»), або із шістнадцятковими байтами у зворотному порядку +(«!sha512_r») Літер постфікса може бути поєднано, отже, наприклад, +«!sha512_uc» призведе до виведення відокремленого двокрапками +шістнадцяткового рядка із літер верхнього регістру. + + + Приклад: LDAPU1:(dgst={cert!sha256}) + + + + + + {subject_dn_component[(.назва_атрибуту|[число]]} + + + Цей шаблон додасть значення атрибуту компонента DN призначення. Типовим +значенням є найспецифічніший компонент. + + + Можна вибрати інший компонент або за назвою атрибуту, наприклад, +{subject_dn_component.uid}, або за позицією, наприклад, +{subject_dn_component.[2]}, де додатні числа означають відлік від найбільш +специфічного компонента, а від'ємні числа — відлік від найменш специфічного +компонента. Назву атрибуту та позицію можна поєднувати. Приклад: +{subject_dn_component.uid[2]}, тобто назвою другого компонента має бути +«uid». + + + Приклад: LDAPU1:(uid={subject_dn_component.uid}) + + + + + + {issuer_dn_component[(.назва_атрибуту|[число]]} + + + Цей шаблон додасть значення атрибуту компонента DN видавця. Типовим +значенням є найспецифічніший компонент. + + + Див. «subject_dn_component», щоб дізнатися більше про назви атрибутів та +специфікатори позиції. + + + Приклад: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + + + + + {sid[.rid]} + + + Цей шаблон додасть SID, якщо відповідне розширення впроваджено Microsoft із +доступним OID 1.3.6.1.4.1.311.25.2. Якщо вказано «.rid», буде додано лише +останній компонент, тобто RID. + + + Приклад: LDAPU1:(objectsid={sid}) + + + + + + + + + СПИСОК ДОМЕНІВ + + Якщо список доменів не є порожнім, записи користувачів, прив'язані до +заданого сертифіката, шукаються не лише у локальному домені, а і у доменах +зі списку, якщо вони відомі SSSD. Домени, які не відомі SSSD, буде +проігноровано. + + + + + diff --git a/src/man/uk/sss_cache.8.xml b/src/man/uk/sss_cache.8.xml new file mode 100644 index 0000000..31d7fbf --- /dev/null +++ b/src/man/uk/sss_cache.8.xml @@ -0,0 +1,269 @@ + + + +Сторінки підручника SSSD + + + + + sss_cache + 8 + + + + sss_cache + виконати спорожнення кешу + + + + +sss_cache +параметри + + + + ОПИС + + sss_cache скасовує визначення записів у кеші SSSD. Дані +записів зі скасованими визначеннями буде перезавантажено з сервера у +примусовому порядку, щойно відповідний модуль SSSD отримає до них +доступ. Параметри, які скасовують визначення окремого об'єкта приймають лише +один аргумент. + + + + + ПАРАМЕТРИ + + + + , + + + + Скасувати чинність усіх кешованих записів. + + + + + + , реєстраційні +дані + + + + Скасувати визначення вказаного користувача. + + + + + + , + + + + Скасувати визначення всіх записів. Цей параметр має вищий пріоритет за +параметр скасування визначення для будь-якого користувача, якщо такий +параметр вказано. + + + + + + , +група + + + + Скасувати визначення вказаної групи. + + + + + + , + + + + Скасувати визначення записів для всіх груп. Цей параметр має вищий пріоритет +за параметр скасування визначення для будь-якої групи, якщо такий параметр +вказано. + + + + + + , мережева +група + + + + Скасувати визначення вказаної мережевої групи. + + + + + + , + + + + Скасувати визначення всіх записів мережевих груп. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якої мережевої групи, +якщо такий параметр вказано. + + + + + + , +служба + + + + Скасувати визначення вказаної служби. + + + + + + , + + + + Скасувати визначення всіх записів служб. Цей параметр має вищий пріоритет за +параметр скасування визначення для будь-якої служби, якщо такий параметр +вказано. + + + + + + , карта +autofs + + + + Скасувати визначення певної карти autofs. + + + + + + , + + + + Скасувати визначення всіх записів карт autofs. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якої карти, якщо такий +параметр вказано. + + + + + + , назва +вузла + + + + Скасувати чинність відкритих ключів SSH певного вузла. + + + + + + , + + + + Скасувати чинність усіх відкритих ключів SSH усіх вузлів. Цей параметр +перевизначає скасовування чинності ключів SSH певних вузлів, якщо для них +було використано таке скасовування. + + + + + + , +правило + + + + Скасувати чинність певного правила sudo. + + + + + + , + + + + Скасувати визначення усіх кешованих правил sudo. Цей параметр має вищий +пріоритет за параметр скасування визначення для будь-якого правила sudo, +якщо такий параметр вказано. + + + + + + , +домен + + + + Обмежити процедуру скасування визначення лише певним доменом. + + + + + + + + + ВПЛИВ НА ШВИДКИЙ КЕШ У ПАМ'ЯТІ + + Крім того, sss_cache вимикає кеш у пам'яті. Оскільки кеш +у пам'яті є файлом, копію якого програма створює у пам'яті кожного процесу, +який викликає SSSD для визначення користувачів або груп, файл не може бути +обрізано. У заголовку файла встановлюють спеціальний прапорець для +позначення некоректності вмісту, а потім файл від'єднується відповідачем NSS +SSSD і створюється новий файл кешу. Після цього, кожного разу, коли процес +виконує новий пошук користувача або групи, він бачить цей прапорець, +закриває старий файл кешу у пам'яті і відтворює новий файл у своїй +пам'яті. Коли усі процеси, які відкривали старий файл кешу у пам'яті, +закриють його під час пошуку користувача або групи, ядро може звільнити +зайняте ним місце на диску і нарешті повністю вилучити застарілий файл кешу +у пам'яті. + + + Особливим випадком є процеси довготривалої дії, які виконують пошук +користувачів або груп лише під час запуску, наприклад, щоб визначити назву +облікового запису користувача, від імені якого запущено процес. Для таких +пошуків файл кешу у пам'яті відображається до пам'яті процесу. Але оскільки +подальших пошуків виконано не буде, цей процес ніколи не зможе визначити +втрату чинності файлом кешу у пам'яті, а отже, файл лишатиметься у пам'яті і +займатиме місце на диску аж до завершення процесом роботи. У результаті +виклик sss_cache може збільшити обсяг використаного +програмою місця на диску, оскільки вилучення застарілих файлів кешу у +пам'яті виявиться неможливим, оскільки їх буде пов'язано із процесами +довготривалої дії. + + + Можливим обхідним маневром у випадках процесів довготривалої дії, які +виконують пошук користувачів та груп лише під час запуску або дуже нечасто, +є запуск процесів із встановленим для змінної середовища +SSS_NSS_USE_MEMCACHE значенням «NO», щоб вони взагалі не використовували кеш +у пам'яті або не відображали файл кешу до своєї пам'яті. Загалом, кращим +варіантом є коригування параметрів часу очікування кешування так, щоб вони +відповідали конкретному випадку. Тоді виклик sss_cache +стане непотрібним. + + + + + + + diff --git a/src/man/uk/sss_debuglevel.8.xml b/src/man/uk/sss_debuglevel.8.xml new file mode 100644 index 0000000..b7b4df8 --- /dev/null +++ b/src/man/uk/sss_debuglevel.8.xml @@ -0,0 +1,39 @@ + + + +Сторінки підручника SSSD + + + + + sss_debuglevel + 8 + + + + sss_debuglevel + [ЗАСТАРІЛИЙ] змінити рівень діагностики протягом сеансу роботи з SSSD + + + + +sss_debuglevel +options НОВИЙ_РІВЕНЬ_ДІАГНОСТИКИ + + + + ОПИС + + sss_debuglevel вважається застарілим, його замінено +командою debug-level sssctl. Будь ласка, зверніться до сторінки підручника +щодо sssctl, щоб дізнатися більше про використання +sssctl. + + + + + + + diff --git a/src/man/uk/sss_obfuscate.8.xml b/src/man/uk/sss_obfuscate.8.xml new file mode 100644 index 0000000..8686367 --- /dev/null +++ b/src/man/uk/sss_obfuscate.8.xml @@ -0,0 +1,98 @@ + + + +Сторінки підручника SSSD + + + + + sss_obfuscate + 8 + + + + sss_obfuscate + заплутування пароля у форматі звичайного тексту + + + + +sss_obfuscate +параметри [ПАРОЛЬ] + + + + ОПИС + + sss_obfuscate перетворює вказаний пароль на пароль у +форматі зручному для читання і розташовує його у розділі відповідного домену +файла налаштувань SSSD. + + + Пароль у форматі звичайного тексту буде прочитано зі стандартного джерела +вхідних даних або введено інтерактивно. Заплутану версію пароля буде +збережено у параметрі з назвою «ldap_default_authtok» вказаного домену SSSD, +параметру «ldap_default_authtok_type» буде надано значення +«obfuscated_password». Докладніший опис цих параметрів можна знайти на +сторінці підручника (man) +sssd-ldap 5 +. + + + Будь ласка, зауважте, що заплутування паролів не є справжнім +захистом, оскільки зловмисник може визначити алгоритм +заплутування за кодом програми. Наполегливо радимо вам +скористатися кращими механізмами захисту даних розпізнавання, зокрема +клієнтськими сертифікатами або GSSAPI. + + + + + ПАРАМЕТРИ + + + + + , + + + + Пароль для заплутування буде прочитано зі стандартного джерела вхідних +даних. + + + + + + , +ДОМЕН + + + + Домен SSSD, для якого буде використано пароль. Типовою назвою є +default. + + + + + + , ФАЙЛ + + + + Прочитати дані з файла налаштувань, вказаного позиційним параметром. + + + Типове значення: /etc/sssd/sssd.conf + + + + + + + + + + diff --git a/src/man/uk/sss_override.8.xml b/src/man/uk/sss_override.8.xml new file mode 100644 index 0000000..cb015f6 --- /dev/null +++ b/src/man/uk/sss_override.8.xml @@ -0,0 +1,266 @@ + + + +Сторінки підручника SSSD + + + + + sss_override + 8 + + + + sss_override + створити локальні перевизначення атрибутів користувача і групи + + + + +sss_override КОМАНДА +параметри + + + + ОПИС + + sss_override надає змогу створювати перегляди на боці +клієнта і змінювати вибрані значення для певного користувача і груп. Ці +зміни буде застосовано лише на локальному комп'ютері. + + + Дані перевизначень зберігаються у кеші SSSD. Якщо кеш вилучено, усі локальні +перевизначення буде втрачено. Будь ласка, зауважте, що після першого +створення перевизначення за допомогою команди user-add, +group-add, user-import або +group-import SSSD слід перезапустити, щоб зміни набули +чинності. Якщо потрібен перезапуск, sss_override виведе +відповідне повідомлення. + + + Зауваження: параметри, які описано на цій сторінці +підручника працюють лише для значень ldap і AD +параметра id_provider. Перевизначеннями IPA можна керувати +централізовано на сервері IPA. + + + + + ДОСТУПНІ КОМАНДИ + + Аргумент НАЗВА в усіх командах є назвою початкового +об'єкта. Не можна перевизначити uid або +gid на 0. + + + + + НАЗВА + НАЗВА + UID + GID + ДОМІВКА + ОБОЛОНКА + GECOS + СЕРТИФІКАТ У КОДУВАННІ +BASE64 + + + + Перевизначити атрибути запису користувача. Будь ласка, зверніть увагу, що +виклик цієї команди замінить усі попередні перевизначення для вказаного за +назвою облікового запису користувача. + + + + + + НАЗВА + + + + Вилучити перевизначення користувача. Втім, слід мати на увазі, що +перевизначені атрибути може бути повернено з кешу у пам'яті. Будь ласка, +ознайомтеся із документацією до параметра SSSD +memcache_timeout, щоб дізнатися більше. + + + + + + +ДОМЕН + + + + Вивести список усіх користувачів, для яких встановлено перевизначення. Якщо +встановлено параметр ДОМЕН, буде показано лише +користувачів з відповідного домену. + + + + + + НАЗВА + + + + Показати перевизначення користувача. + + + + + + ФАЙЛ + + + + Імпортувати перевизначення користувачів з файла +ФАЙЛ. Формат даних у файлі має бути таким самим, як у +стандартному файлі passwd. Приклад: + + + початкова_назва:назва:uid:gid:gecos:домівка:оболонка:сертифікат_у_кодуванні_base64 + + + де «початкова_назва» — початкова назва запису користувача, чиї атрибути має +бути перевизначено. Решта полів відповідає новим значенням. Ви можете +пропустити значення, не заповнюючи відповідного поля. + + + Приклади: + + + ckent:superman:::::: + + + ckent@krypton.com::501:501:Superman:/home/earth:/bin/bash: + + + + + + ФАЙЛ + + + + Експортувати усі перевизначені атрибути і зберегти їх у файлі +ФАЙЛ. Див. user-import, щоб +дізнатися більше про формат даних. + + + + + + НАЗВА + НАЗВА + GID + + + + Перевизначити атрибути запису групи. Будь ласка, зверніть увагу, що виклик +цієї команди замінить усі попередні перевизначення для вказаної за назвою +групи. + + + + + + НАЗВА + + + + Вилучити перевизначення групи. Втім, слід мати на увазі, що перевизначені +атрибути може бути повернено з кешу у пам'яті. Будь ласка, ознайомтеся із +документацією до параметра SSSD memcache_timeout, щоб +дізнатися більше. + + + + + + +ДОМЕН + + + + Вивести список усіх груп, для яких встановлено перевизначення. Якщо +встановлено параметр ДОМЕН, буде показано лише групи з +відповідного домену. + + + + + + НАЗВА + + + + Показати перевизначення групи. + + + + + + ФАЙЛ + + + + Імпортувати перевизначення груп з файла ФАЙЛ. Формат +даних у файлі має бути таким самим, як у стандартному файлі group. Приклад: + + + початкова_назва:назва:gid + + + де «початкова_назва» — початкова назва групи, чиї атрибути має бути +перевизначено. Решта полів відповідає новим значенням. Ви можете пропустити +значення, не заповнюючи відповідного поля. + + + Приклади: + + + admins:administrators: + + + Domain Users:Users:501 + + + + + + ФАЙЛ + + + + Експортувати усі перевизначені атрибути і зберегти їх у файлі +ФАЙЛ. Див. group-import, щоб +дізнатися більше про формат даних. + + + + + + + + ЗАГАЛЬНІ ПАРАМЕТРИ + + Ці параметри можна використовувати з усіма командами. + + + + + РІВЕНЬ + + + + + + + + + + diff --git a/src/man/uk/sss_rpcidmapd.5.xml b/src/man/uk/sss_rpcidmapd.5.xml new file mode 100644 index 0000000..9ca9b7b --- /dev/null +++ b/src/man/uk/sss_rpcidmapd.5.xml @@ -0,0 +1,110 @@ + + + +Сторінки підручника SSSD + + +sss rpc.idmapd plugin +Noam Meltzer +Primary Data Inc. Розробник +(2013-2014) Noam +Meltzer Розробник (2014-) +tsnoam@gmail.com + + + sss_rpcidmapd + 5 + Формати файлів та правила + + + + sss_rpcidmapd + Директиви налаштовування додатка sss для rpc.idmapd + + + + ФАЙЛ НАЛАШТУВАНЬ + + Файл налаштувань rpc.idmapd зазвичай зберігається тут: +/etc/idmapd.conf. Див. підручник з +idmapd.conf 5 +, щоб дізнатися більше. + + + + + РОЗШИРЕННЯ НАЛАШТОВУВАННЯ SSS + + Вмикання додатка SSS + + У розділі «[Translation]» змініть або додайте атрибут «Method» із вмістом +sss. + + + + Розділ налаштовування [sss] + + Якщо вам потрібно змінити типове значення одного з атрибутів налаштувань, +перелічених нижче, додатка sss, вам слід створити +розділ налаштувань для нього з назвою «[sss]». + + + Атрибути налаштувань + + memcache (булеве значення) + + + Визначає, чи слід використовувати методику оптимізації кешу у пам’яті. + + + Типове значення: True + + + + + + + + + ІНТЕГРАЦІЯ З SSSD + + Додаток sss потребує вмикання Відповідача NSS у sssd. + + + Атрибут «use_fully_qualified_names» має бути увімкнено для усіх доменів +(клієнти NFSv4 очікують на те, що надсилається назва повністю). + + + + + ПРИКЛАД + + У наведеному нижче прикладі показано мінімальний вигляд idmapd.conf, де +використовується додаток sss. +[General] +Verbosity = 2 +# домен має бути синхронізовано між сервером NFSv4 та клієнтами +# У Solaris/Illumos/AIX типово використовується "локальний домен"! +Domain = default + +[Mapping] +Nobody-User = nfsnobody +Nobody-Group = nfsnobody + +[Translation] +Method = sss + + + + + + ТАКОЖ ПЕРЕГЛЯНЬТЕ + + sssd8 +, idmapd.conf +5 + + + + diff --git a/src/man/uk/sss_seed.8.xml b/src/man/uk/sss_seed.8.xml new file mode 100644 index 0000000..d45a440 --- /dev/null +++ b/src/man/uk/sss_seed.8.xml @@ -0,0 +1,168 @@ + + + +Сторінки підручника SSSD + + + + + sss_seed + 8 + + + + sss_seed + надсилає дані кешу SSSD щодо користувача + + + + +sss_seed +параметри -D +ДОМЕН -n +КОРИСТУВАЧ + + + + ОПИС + + sss_seed розповсюджує кеш SSSD з записом користувача і +тимчасовим паролем. Якщо запис користувача вже є у кеші SSSD, запис буде +оновлено зі встановленням тимчасового пароля. + + + + + + + ПАРАМЕТРИ + + + + , +ДОМЕН + + + + Визначає назву домену, учасником якого є користувач. Домен використовується +для отримання даних щодо користувачів. Домен має бути налаштовано у +sssd.conf. Має бути надано аргумент ДОМЕН. Дані, +отримані з домену, матимуть вищий пріоритет за дані, вказані за допомогою +параметрів. + + + + + + , +КОРИСТУВАЧ + + + + Ім’я користувача, запис якого слід створити або змінити у кеші. Має бути +вказано аргумент КОРИСТУВАЧ. + + + + + + , ідентифікатор +користувача + + + + Встановити UID користувача у значення UID. + + + + + + , GID + + + + Встановити GID користувача у значення GID. + + + + + + , +КОМЕНТАР + + + + Будь-який рядок тексту, що описує користувача. Часто використовується для +зберігання паспортного імені користувача. + + + + + + , +ДОМАШНІЙ_КАТАЛОГ + + + + Встановити домашній каталог користувача у значення +ДОМАШНІЙ_КАТАЛОГ. + + + + + + , +ОБОЛОНКА + + + + Встановити оболонку реєстрації користувача у значення +ОБОЛОНКА. + + + + + + , + + + + Інтерактивний режим для введення даних користувача. У разі використання +цього параметра програма надсилатиме запит лише щодо даних, які не було +отримано з параметрів команди або домену. + + + + + + , +ФАЙЛ_ПАРОЛІВ + + + + Вказати файл, звідки слід читати дані щодо паролів користувачів. Якщо пароль +не буде знайдено, програма надішле запит на його введення. + + + + + + + + + ЗАУВАЖЕННЯ + + Довжина пароля (або розмір файла, визначеного за допомогою параметра -p або +--password-file) має бути меншою або рівною PASS_MAX байтів (64 байти у +системах без визначеного на загальному рівні значення PASS_MAX). + + + + + + + + + + diff --git a/src/man/uk/sss_ssh_authorizedkeys.1.xml b/src/man/uk/sss_ssh_authorizedkeys.1.xml new file mode 100644 index 0000000..93529f1 --- /dev/null +++ b/src/man/uk/sss_ssh_authorizedkeys.1.xml @@ -0,0 +1,145 @@ + + + +Сторінки підручника SSSD + + + + + sss_ssh_authorizedkeys + 1 + + + + sss_ssh_authorizedkeys + отримати уповноважені ключі OpenSSH + + + + +sss_ssh_authorizedkeys +параметри КОРИСТУВАЧ + + + + ОПИС + + sss_ssh_authorizedkeys отримує відкриті ключі SSH для +користувача КОРИСТУВАЧ і виводить їх у форматі +authorized_keys OpenSSH (щоб дізнатися більше, див. розділ ФОРМАТ +ФАЙЛІВ AUTHORIZED_KEYS на сторінці підручника (man) з +sshd +8). + + + sshd +8 можна налаштувати на використання +sss_ssh_authorizedkeys для розпізнавання користувачів за +відкритими ключами, якщо програму зібрано із підтримкою параметра +AuthorizedKeysCommand. Будь ласка, зверніться до сторінки +підручника sshd_config +5, щоб дізнатися більше про цей +параметр. + + + Якщо передбачено підтримку AuthorizedKeysCommand, +sshd +8 можна налаштувати на використання +ключів за допомогою таких інструкцій у +sshd_config +5: + AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys + AuthorizedKeysCommandUser nobody + + + + + КЛЮЧІ З СЕРТИФІКАТІВ + + Окрім відкрити ключів SSH для користувача +КОРИСТУВАЧ, +sss_ssh_authorizedkeys може повертати ключі SSH, які +походять від відкритого ключа сертифіката X.509. + + + Щоб уможливити це, слід встановити для параметра +ssh_use_certificate_keys значення true (типове значення) у +розділі [ssh] файла sssd.conf. Якщо запис користувача +містить сертифікати (див ldap_user_certificate на сторінці +sssd-ldap +5, щоб дізнатися більше) або існує +сертифікат у записі перевизначення для користувача +(див. sss_override +8 або +sssd-ipa +5, щоб дізнатися більше), а сертифікат +є чинним, SSSD видобуде відкритий ключі з сертифіката і перетворить його до +формату, який може використовувати sshd. + + + Окрім ssh_use_certificate_keys, може бути використано +параметри + + ca_db + p11_child_timeout + certificate_verification + + для керування способом встановлення чинності сертифікатів (докладніше +див. sssd.conf +5). + + + Перевірка чинності є перевагою використання сертифікатів X.509 замість +ключів SSH безпосередньо, оскільки, наприклад, це поліпшує можливості +керування часом придатності ключів. Якщо клієнт ssh налаштовано не +використання закритих ключів з смарткартки за допомогою бібліотеки PKCS#11 +спільного використання +(див. ssh +1, щоб дізнатися більше), може +дратувати те, що розпізнавання залишається працездатним, навіть якщо +пов'язаний із ним сертифікат X.509 на смарткартці вже втратив чинність, +оскільки ні ssh, ні sshd не братимуть +сертифікат до уваги взагалі. + + + Слід зауважити, що похідний відкритий ключ SSH все одно можна додати до +файла authorized_keys користувача, щоб обійти перевірку +чинності сертифіката, якщо налаштування sshd надають +змогу це робити. + + + + + + ПАРАМЕТРИ + + + + , +ДОМЕН + + + + Шукати відкриті ключі користувачів у домені SSSD +ДОМЕН. + + + + + + + + + СТАН ВИХОДУ + + У випадку успіху значення стану виходу дорівнює 0. У всіх інших випадках +програма повертає 1. + + + + + + + diff --git a/src/man/uk/sss_ssh_knownhostsproxy.1.xml b/src/man/uk/sss_ssh_knownhostsproxy.1.xml new file mode 100644 index 0000000..d3365ed --- /dev/null +++ b/src/man/uk/sss_ssh_knownhostsproxy.1.xml @@ -0,0 +1,107 @@ + + + +Сторінки підручника SSSD + + + + + sss_ssh_knownhostsproxy + 1 + + + + sss_ssh_knownhostsproxy + отримати ключі вузла OpenSSH + + + + +sss_ssh_knownhostsproxy +параметри ВУЗОЛ КОМАНДА_ПРОКСІ + + + + ОПИС + + sss_ssh_knownhostsproxy отримує відкриті ключі вузла SSH +для вузла ВУЗОЛ, зберігає їх до нетипового файла +OpenSSH known_hosts (щоб дізнатися більше, ознайомтеся з розділом +ФОРМАТ ФАЙЛІВ SSH_KNOWN_HOSTS сторінки підручника (man) +sshd +8) за адресою +/var/lib/sss/pubconf/known_hosts і встановлює з’єднання +з вузлом. + + + Якщо вказано параметр КОМАНДА_ПРОКСІ, замість +відкриття сокета для створення з’єднання буде використано відповідну +команду. + + + ssh +1 можна налаштувати на використання +sss_ssh_knownhostsproxy для розпізнавання вузлів за +ключами за допомогою таких інструкцій у налаштуваннях +ssh +1: +ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h +GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts + + + + + + ПАРАМЕТРИ + + + + , ПОРТ + + + + Використовувати для встановлення з’єднання з вузлом порт +ПОРТ. Типовим портом є порт 22. + + + + + + , +ДОМЕН + + + + Шукати відкриті ключі вузлів у домені SSSD ДОМЕН. + + + + + + , + + + + Вивести відкриті ключі SSH для вузла HOST. + + + + + + + + + СТАН ВИХОДУ + + У випадку успіху значення стану виходу дорівнює 0. У всіх інших випадках +програма повертає 1. + + + + + + + diff --git a/src/man/uk/sssctl.8.xml b/src/man/uk/sssctl.8.xml new file mode 100644 index 0000000..745197b --- /dev/null +++ b/src/man/uk/sssctl.8.xml @@ -0,0 +1,65 @@ + + + +Сторінки підручника SSSD + + + + + sssctl + 8 + + + + sssctl + Засіб керування і визначення стану SSSD + + + + +sssctl КОМАНДА +параметри + + + + ОПИС + + sssctl є простим і уніфікованим засобом отримання даних +щодо стану SSSD, зокрема активного сервера, серверів автоматичного +визначення, доменів і кешованих об'єктів. Крім того, програма здатна +керувати файлами даних SSSD для усування вад у такий спосіб, щоб з ними +можна було безпечно працювати, доки працює SSSD. + + + + + ДОСТУПНІ КОМАНДИ + + Щоб ознайомитися зі списком усіх доступних команд, віддайте команду +sssctl без параметрів. Щоб програма вивела довідкове +повідомлення щодо певної команди, віддайте команду sssctl КОМАНДА +--help. + + + + + ЗАГАЛЬНІ ПАРАМЕТРИ + + Ці параметри можна використовувати з усіма командами. + + + + + РІВЕНЬ + + + + + + + + + + diff --git a/src/man/uk/sssd-ad.5.xml b/src/man/uk/sssd-ad.5.xml new file mode 100644 index 0000000..cbf0ba3 --- /dev/null +++ b/src/man/uk/sssd-ad.5.xml @@ -0,0 +1,1320 @@ + + + +Сторінки підручника SSSD + + + + + sssd-ad + 5 + Формати файлів та правила + + + + sssd-ad + Модуль надання даних Active Directory SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування засобу керування доступом AD +для sssd +8 . Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника + sssd.conf +5 . + + + Засіб надання даних AD є модулем, який використовується для встановлення +з'єднання із сервером Active Directory. Для роботи цього засобу надання +даних потрібно, щоб комп'ютер було долучено до домену AD і щоб було +доступним сховище ключів. Обмін даними із модулем відбувається за допомогою +каналу із шифруванням GSSAPI. Із засобом надання даних AD не слід +використовувати параметри SSL/TLS, оскільки їх перекриває використання +Kerberos. + + + У засобі надання даних AD передбачено підтримку встановлення з’єднання з +Active Directory 2008 R2 або пізнішою версією. Робота з попередніми версіями +можлива, але не підтримується. + + + Засобом надання даних AD можна скористатися для отримання даних щодо +користувачів і розпізнавання користувачів за допомогою довірених доменів. У +поточній версії передбачено підтримку використання лише довірених доменів з +того самого лісу. Крім того автоматично визначаються сервери із довірених +доменів. + + + Засіб надання даних AD уможливлює для SSSD використання засобу надання даних +профілів sssd-ldap +5 та засобу надання даних +розпізнавання sssd-krb5 +5 з оптимізацією для середовищ Active +Directory. Засіб надання даних AD приймає ті самі параметри, які +використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими +виключеннями. Втім, встановлювати ці параметри не обов'язково і не +рекомендовано. + + + Засіб надання даних AD в основному копіює типові параметри традиційних +засобів надання даних ldap і krb5 із деякими виключенням. Відмінності +наведено у розділі ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ. + + + Інструментом надання даних AD також можна скористатися для доступу, зміни +паролів запуску від імені користувача (sudo) та використання autofs. У +налаштовуванні керування доступом на боці клієнта немає потреби. + + + Якщо у sssdconf вказано auth_provider=ad або +access_provider=ad, для id_provider також має бути вказано +ad. + + + Типово, модуль надання даних AD виконуватиме прив’язку до значень UID та GID +з параметра objectSID у Active Directory. Докладніший опис наведено у +розділі «ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ». Якщо вам потрібно +вимкнути встановлення відповідності ідентифікаторів і покладатися на +атрибути POSIX, визначені у Active Directory, вам слід встановити + +ldap_id_mapping = False + Якщо має бути використано +атрибути POSIX, рекомендуємо з міркувань швидкодії виконувати також +реплікацію атрибутів до загального каталогу. Якщо виконується реплікація +атрибутів POSIX, SSSD намагатиметься знайти домен числового ідентифікатора +із запиту за допомогою загального каталогу і шукатиме лише цей домен. І +навпаки, якщо реплікація атрибутів POSIX до загального каталогу не +відбувається, SSSD доводиться шукати на усіх доменах у лісі послідовно. Будь +ласка, зауважте, що для пришвидшення пошуку без доменів також може бути +корисним використання параметра cache_first. Зауважте, що +якщо у загальному каталозі є лише підмножина атрибутів POSIX, у поточній +версії невідтворювані атрибути з порту LDAP не читатимуться. + + + Дані щодо користувачів, груп та інших записів, які обслуговуються SSSD, у +модулі надання даних AD завжди обробляються із врахуванням регістру символів +для забезпечення сумісності з реалізацією Active Directory у LDAP. + + + SSSD може встановлювати відповідність лише груп захисту Active +Directory. Щоб дізнатися більше про типи груп AD, ознайомтеся із +підручником з груп захисту Active Directory + + + SSSD відфільтровуватиме локальні для домену групи від віддалених доменів у +лісі AD. Типово, групи буде відфільтровано, наприклад при слідуванні за +вкладеною ієрархією груп у віддалених доменах, оскільки вони не є чинними у +локальних доменах. Так зроблено для забезпечення узгодженості з призначенням +груп і участі у них Active Directory, яку можна переглянути у PAC квитка +Kerberos користувача, який видано Active Directory. + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) + sssd.conf +5 , щоб дізнатися більше про +налаштування домену SSSD. + + ad_domain (рядок) + + + Визначає назву домену Active Directory. Є необов’язковим. Якщо не вказано, +буде використано назву домену з налаштувань. + + + Для забезпечення належної роботи цей параметр слід вказати у форматі запису +малими літерами повної версії назви домену Active Directory. + + + Скорочена назва домену (також відома як назва NetBIOS або проста назва) +автоматично визначається засобами SSSD. + + + + + + ad_enabled_domains (рядок) + + + A comma-separated list of enabled Active Directory domains. If provided, +SSSD will ignore any domains not listed in this option. If left unset, all +discovered domains from the AD forest will be available. + + + During the discovery of the domains SSSD will filter out some domains where +flags or attributes indicate that they do not belong to the local forest or +are not trusted. If ad_enabled_domains is set, SSSD will try to enable all +listed domains. + + + Для належного функціонування значення цього параметра має бути вказано +малими літерами у форматі повної назви домену Active Directory. Приклад: + +ad_enabled_domains = sales.example.com, eng.example.com + + + + Скорочена назва домену (також відома як назва NetBIOS або проста назва) +автоматично визначається засобами SSSD. + + + Типове значення: не встановлено + + + + + + ad_server, ad_backup_server (рядок) + + + Список назв тих вузлів серверів AD, відокремлених комами, з якими SSSD має +встановлювати з'єднання у порядку пріоритетності. Щоб дізнатися більше про +резервне використання серверів, ознайомтеся із розділом +РЕЗЕРВ. + + + Цей список є необов’язковим, якщо увімкнено автоматичне виявлення +служб. Докладніші відомості щодо автоматичного виявлення служб наведено у +розділі «ПОШУК СЛУЖБ». + + + Зауваження: довірені домени завжди автоматично визначають сервери, навіть +якщо основний сервер явним чином визначено у параметрі ad_server. + + + + + + ad_hostname (рядок) + + + Є необов'язковим. У системах, де hostname(5) не видає повноцінної назви, +sssd намагається розгорнути скорчену назву. Якщо це не вдасться зробити або +слід насправді використовувати скорочену назву, встановіть значення +параметра явним чином. + + + Це поле використовується для визначення використаного реєстраційного запису +вузла у таблиці ключів та виконання динамічних оновлень DNS. Його вміст має +збігатися із назвою вузла, для якого випущено таблицю ключів. + + + + + + ad_enable_dns_sites (булеве значення) + + + Вмикає сайти DNS — визначення служб на основі адрес. + + + Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо +пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку +спробує визначити сервер Active Directory для встановлення з’єднання на +основі використання визначення сайтів Active Directory і повертається до +визначення за записами SRV DNS, якщо сайт AD не буде знайдено. Налаштування +SRV DNS, зокрема домен пошуку, використовуються також під час визначення +сайтів. + + + Типове значення: true + + + + + + ad_access_filter (рядок) + + + Цей параметр визначає фільтр керування доступом LDAP, якому має відповідати +запис користувача для того, щоб йому було надано доступ. Будь ласка, +зауважте, що слід явним чином встановити для параметра «access_provider» +значення «ad», щоб цей параметр почав діяти. + + + У параметрі також передбачено підтримку визначення різних фільтрів для +окремих доменів або дерев. Цей розширений фільтр повинен мати такий формат: +«КЛЮЧОВЕ СЛОВО:НАЗВА:ФІЛЬТР». Набір підтримуваних ключових слів: «DOM», +«FOREST» або ключове слово слід пропустити. + + + Якщо вказано ключове слово «DOM» або ключового слова не вказано, «НАЗВА» +визначає домен або піддомен, до якого застосовується фільтрування. Якщо +ключовим словом є «FOREST», фільтр застосовується до усіх доменів з лісу, +вказаного значенням «НАЗВА». + + + Декілька фільтрів можна відокремити символом «?», подібно до способу +визначення фільтрів у базах для пошуку. + + + Визначення участі у вкладених групах має відбуватися із використанням +спеціалізованого OID :1.2.840.113556.1.4.1941:, окрім повних +синтаксичних конструкцій DOM:domain.example.org:, щоб засіб обробки не +намагався інтерпретувати символи двокрапки, пов'язані з OID. Якщо ви не +використовуєте цей OID, вкладена участь у групах не +визначатиметься. Ознайомтеся із прикладом використання, який наведено нижче, +і цим посиланням, щоб дізнатися більше про OID: [MS-ADTS] +Правила встановлення відповідності у LDAP + + + Завжди використовується відповідник з найвищим рівнем +відповідності. Наприклад, якщо визначено фільтрування для домену, учасником +якого є користувач, і загальне фільтрування, буде використано фільтрування +для окремого домену. Якщо буде виявлено декілька відповідників з однаковою +специфікацією, використовуватиметься лише перший з них. + + + Приклади: + + +# застосувати фільтрування лише для домену з назвою dom1: +dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com) + +# застосувати фільтрування лише для домену з назвою dom2: +DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com) + +# застосувати фільтрування лише для лісу з назвою EXAMPLE.COM: +FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com) + +# застосувати фільтрування до учасника вкладеної групи у dom1: +DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com) + + + Типове значення: не встановлено + + + + + + ad_site (рядок) + + + Визначає сайт AD, з яким має встановлювати з’єднання клієнт. Якщо не буде +вказано, виконуватиметься спроба автоматичного визначення сайта AD. + + + Типове значення: не встановлено + + + + + + ad_enable_gc (булеве значення) + + + Типово, SSSD для отримання даних користувачів з надійних (довірених) доменів +спочатку встановлює з’єднання із загальним каталогом (Global Catalog). Якщо +ж отримати дані не вдасться, система використовує порт LDAP для отримання +даних щодо участі у групах. Вимикання цього параметра призведе до того, що +SSSD встановлюватиме зв’язок лише з портом LDAP поточного сервера AD. + + + Будь ласка, зауважте, що вимикання підтримки загального каталогу (Global +Catalog) не призведе до вимикання спроб отримати дані користувачів з +надійних (довірених) доменів. Просто SSSD намагатиметься отримати ці ж дані +за допомогою порту LDAP надійних доменів. Втім, загальним каталогом (Global +Catalog) доведеться скористатися для визначення зв’язків даних щодо участі у +групах для різних доменів. + + + Типове значення: true + + + + + + ad_gpo_access_control (рядок) + + + Цей параметр визначає режим роботи для функціональних можливостей керування +доступом на основі GPO: працюватиме система у вимкненому режимі, режимі +примушення чи дозвільному режимі. Будь ласка, зауважте, що для того, щоб цей +параметр запрацював, слід явним чином встановити для параметра +«access_provider» значення «ad». + + + Функціональні можливості з керування доступом на основі GPO використовують +параметри правил GPO для визначення того, може чи не може той чи інший +користувач увійти до системи вузла мережі. Якщо вам потрібна докладніша +інформація щодо підтримуваних параметрів правил, зверніться до параметрів +ad_gpo_map. + + + Будь ласка, зверніть увагу на те, що у поточній версії SSSD не передбачено +підтримки вбудованих груп Active Directory Вбудовані групи до правил +керування доступом на основі GPO (зокрема Administrators із SID +S-1-5-32-544) SSSD просто ігноруватиме. Див. запис системи стеження за +вадами https://pagure.io/SSSD/sssd/issue/5063 . + + + Перед виконанням керування доступом SSSD застосовує захисне фільтрування на +основі правил груп до списку GPO. Для кожного входу користувача до системи +програма перевіряє застосовність GPO, які пов'язано із відповідним +вузлом. Щоб GPO можна було застосувати до користувача, користувач або +принаймні одна з груп, до яких він належить, повинен мати такі права доступу +до GPO: + + + + Read: користувач або одна з його груп повинна мати доступ до читання +властивостей GPO (RIGHT_DS_READ_PROPERTY) + + + + + Apply Group Policy: користувач або принаймні одна з його груп повинна мати +доступ до застосування GPO (RIGHT_DS_CONTROL_ACCESS). + + + + + + Типово, у GPO є група Authenticated Users, для якої встановлено одразу права +доступу Read та Apply Group Policy. Оскільки розпізнавання користувача має +бути успішно завершено до захисного фільтрування GPO і запуску керування +доступом, до облікового запису користувача завжди застосовуються права +доступу групи Authenticated Users щодо GPO. + + + ЗАУВАЖЕННЯ: якщо встановлено режим роботи «примусовий» (enforcing), можлива +ситуація, коли користувачі, які раніше мали доступ до входу, позбудуться +такого доступу (через використання параметрів правил GPO). З метою полегшити +перехід на нову систему для адміністраторів передбачено дозвільний режим +доступу (permissive), за якого правила керування доступом не +встановлюватимуться у примусовому порядку. Програма лише перевірятиме +відповідність цим правилам і виводитиме до системного журналу повідомлення, +якщо доступ було надано усупереч цим правилам. Вивчення журналу надасть +змогу адміністраторам внести відповідні зміни до встановлення примусового +режиму (enforcing). Для запису до журналу даних керування доступом на основі +GPO потрібен рівень діагностики «trace functions» (див. сторінку підручника + sssctl +8 ). + + + У цього параметра є три підтримуваних значення: + + + + disabled: правила керування доступом, засновані на GPO, не обробляються і не +використовуються примусово. + + + + + enforcing: правила керування доступом, засновані на GPO, обробляються і +використовуються примусово. + + + + + permissive: виконати перевірку відповідності правилам керування доступом на +основі GPO, але не наполягати на їхньому виконанні. Якщо правила не +виконуються, вивести до системного журналу повідомлення про те, що +користувачеві було б заборонено доступ, якби використовувався режим +enforcing. + + + + + + Типове значення: permissive + + + Типове значення: enforcing + + + + + + ad_gpo_implicit_deny (булеве значення) + + + Зазвичай, якщо не буде знайдено відповідних GPO, користувачам буде надано +доступ. Якщо для цього параметра встановлено значення True, доступ +користувачам надаватиметься, лише якщо його явним чином дозволено правилом +GPO. Якщо ж такого дозвільного правила не буде виявлено, доступ буде +заборонено. Цим можна скористатися для підвищення рівня захисту, але слід +бути обережним із використанням цього параметра, оскільки за його допомогою +можна заборонити доступ навіть користувачам у вбудованій групі +Administrators, якщо немає правил GPO, якими надається такий доступ. + + + + Типове значення: False + + + + У наведених нижче двох таблицях проілюстровано ситуації, у яких +користувачеві буде дозволено або відмовлено у доступі на основі прав дозволу +або заборони входу, які визначено на боці сервера, і встановленого значення +ad_gpo_implicit_deny. + + + + + + + + + ad_gpo_implicit_deny = False (типове значення) + allow-rulesdeny-rules + результати + + + missingmissing + дозволені усі користувачі + + missingpresent + дозволені лише користувачі, яких немає у deny-rules + presentmissing + дозволені лише користувачі, які є у allow-rules + presentpresent + дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules + + + + + + + + + + ad_gpo_implicit_deny = True + allow-rulesdeny-rules + результати + + + missingmissing + заборонено усіх користувачів + + missingpresent + заборонено усіх користувачів + + presentmissing + дозволені лише користувачі, які є у allow-rules + presentpresent + дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules + + + + + + ad_gpo_ignore_unreadable (булеве значення) + + + Зазвичай, якщо певні контейнери правил групи (об'єкта AD) відповідних +об'єктів правил груп є непридатним до читання з SSSD, доступ користувачам +буде заборонено. За допомогою цього параметра можна проігнорувати контейнери +правил груп та пов'язані із ними правила, якщо їхні атрибути у контейнерах +правил груп є непридатним до читання з SSSD. + + + Типове значення: False + + + + + + + + ad_gpo_cache_timeout (ціле число) + + + Проміжок часу між послідовними пошуками файлів правил GPO щодо сервера +AD. Зміна може зменшити час затримки та навантаження на сервер AD, якщо +протягом короткого періоду часу надходить багато запитів щодо керування +доступом. + + + Типове значення: 5 (секунд) + + + + + + ad_gpo_map_interactive (рядок) + + + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +InteractiveLogonRight і DenyInteractiveLogonRight. Виконуватиметься оцінка +лише тих GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр ad_gpo_access_control). Якщо у якомусь із +оброблених GPO міститься параметр заборони інтерактивного входу до системи +для користувача або однієї з його груп, користувачеві буде заборонено +локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права +на інтерактивний вхід до системи, користувачеві буде надано локальний +доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на +інтерактивний вхід до системи, користувачеві буде надано лише локальний +доступ, якщо він або принаймні одна з його груп є частиною параметрів +правила. + + + Зауваження: у редакторі керування правилами для груп це значення має назву +«Дозволити локальний вхід» («Allow log on locally») та «Заборонити локальний +вхід» («Deny log on locally»). + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «login») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_interactive = +my_pam_service, -login + + + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + login + + + + + su + + + + + su-l + + + + + gdm-fingerprint + + + + + gdm-password + + + + + gdm-smartcard + + + + + kdm + + + + + lightdm + + + + + lxdm + + + + + sddm + + + + + unity + + + + + xdm + + + + + + + + + ad_gpo_map_remote_interactive (рядок) + + + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +RemoteInteractiveLogonRight і +DenyRemoteInteractiveLogonRight. Виконуватиметься оцінка лише тих GPO, до +яких користувач має права доступу Read і Apply Group Policy (див. параметр +ad_gpo_access_control). Якщо у якомусь із оброблених GPO +міститься параметр заборони віддаленого входу до системи для користувача або +однієї з його груп, користувачеві буде заборонено віддалений інтерактивний +доступ. Якщо для жодного із оброблених GPO немає визначеного права на +віддалений вхід до системи, користувачеві буде надано віддалений +доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на +віддалений вхід до системи, користувачеві буде надано лише віддалений +доступ, якщо він або принаймні одна з його груп є частиною параметрів +правила. + + + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід за допомогою служб віддаленої стільниці» («Allow +log on through Remote Desktop Services») та «Заборонити вхід за допомогою +служб віддаленої стільниці» («Deny log on through Remote Desktop Services»). + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «sshd») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_remote_interactive = +my_pam_service, -sshd + + + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + sshd + + + + + cockpit + + + + + + + + + ad_gpo_map_network (рядок) + + + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +NetworkLogonRight і DenyNetworkLogonRight. Виконуватиметься оцінка лише тих +GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр ad_gpo_access_control). Якщо у якомусь із +оброблених GPO міститься параметр заборони входу до системи за допомогою +мережі для користувача або однієї з його груп, користувачеві буде заборонено +локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права +на вхід до системи за допомогою мережі, користувачеві буде надано доступ до +входу. Якщо хоча б одному зі оброблених GPO містяться параметри прав на вхід +до системи за допомогою мережі, користувачеві буде надано лише доступ до +входу до системи, якщо він або принаймні одна з його груп є частиною +параметрів правила. + + + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Відкрити доступ до цього комп’ютера із мережі» («Access this +computer from the network») і «Заборонити доступ до цього комп’ютера із +мережі» (Deny access to this computer from the network»). + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «ftp») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_network = +my_pam_service, -ftp + + + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + ftp + + + + + samba + + + + + + + + + ad_gpo_map_batch (рядок) + + + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +BatchLogonRight і DenyBatchLogonRight. Виконуватиметься оцінка лише тих GPO, +до яких користувач має права доступу Read і Apply Group Policy +(див. параметр ad_gpo_access_control). Якщо у якомусь із +оброблених GPO міститься параметр заборони пакетного входу до системи для +користувача або однієї з його груп, користувачеві буде заборонено доступ до +пакетного входу до системи. Якщо для жодного із оброблених GPO немає +визначеного права на пакетний вхід до системи, користувачеві буде надано +доступ до входу до системи. Якщо хоча б одному зі оброблених GPO містяться +параметри прав на пакетний вхід до системи, користувачеві буде надано лише +доступ до входу до системи, якщо він або принаймні одна з його груп є +частиною параметрів правила. + + + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід як пакетне завдання» («Allow log on as a batch +job») і «Заборонити вхід як пакетне завдання» («Deny log on as a batch +job»). + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для цього входу (наприклад, «crond») з +нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_batch = +my_pam_service, -crond + + + Зауваження: назва служби cron у різних дистрибутивах Linux може бути різною. + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + crond + + + + + + + + + ad_gpo_map_service (рядок) + + + Список назв служб PAM, відокремлених комами, для яких оцінки для керування +доступом на основі GPO виконуються на основі параметрів правил +ServiceLogonRight і DenyServiceLogonRight. Виконуватиметься оцінка лише тих +GPO, до яких користувач має права доступу Read і Apply Group Policy +(див. параметр ad_gpo_access_control). Якщо у якомусь із +оброблених GPO міститься параметр заборони входу до системи за допомогою +служб для користувача або однієї з його груп, користувачеві буде заборонено +вхід до системи за допомогою служб. Якщо для жодного із оброблених GPO немає +визначеного права на вхід до системи за допомогою служб, користувачеві буде +надано доступ до входу до системи. Якщо хоча б одному зі оброблених GPO +містяться параметри прав на вхід до системи за допомогою служб, +користувачеві буде надано лише доступ до входу до системи, якщо він або +принаймні одна з його груп є частиною параметрів правила. + + + Зауваження: у редакторі керування правилами щодо груп це значення +називається «Дозволити вхід як службу» («Allow log on as a service») і +«Заборонити вхід як службу» («Deny log on as a service»). + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби +з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати +нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_service = +my_pam_service + + + + Типове значення: not set + + + + + + ad_gpo_map_permit (рядок) + + + Список назв служб PAM, відокремлених комами, яким завжди надається доступ на +основі GPO, незалежно від будь-яких прав входу GPO. + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для безумовного дозволеного доступу +(наприклад, «sudo») з нетиповою назвою служби pam (наприклад, +«my_pam_service»), вам слід скористатися такими налаштуваннями: +ad_gpo_map_permit = +my_pam_service, -sudo + + + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + polkit-1 + + + + + sudo + + + + + sudo-i + + + + + systemd-user + + + + + + + + + ad_gpo_map_deny (рядок) + + + Список назв служб PAM, відокремлених комами, яким завжди заборонено доступ +на основі GPO, незалежно від будь-яких прав входу GPO. + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби +з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати +нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід +скористатися такими налаштуваннями: +ad_gpo_map_deny = +my_pam_service + + + + Типове значення: not set + + + + + + ad_gpo_default_right (рядок) + + + За допомогою цього параметра визначається спосіб керування доступом для назв +служб PAM, які не вказано явним чином у одному з параметрів +ad_gpo_map_*. Цей параметр може бути встановлено у два різних +способи. По-перше, цей параметр можна встановити так, що +використовуватиметься типовий вхід. Наприклад, якщо для цього параметра +встановлено значення «interactive», непов’язані назви служб PAM +оброблятимуться на основі параметрів правил InteractiveLogonRight і +DenyInteractiveLogonRight. Крім того, для цього параметра можна встановити +таке значення, щоб система завжди дозволяла або забороняла доступ для +непов’язаних назв служб PAM. + + + Передбачені значення для цього параметра: + + + + interactive + + + + + remote_interactive + + + + + network + + + + + batch + + + + + service + + + + + permit + + + + + deny + + + + + + Типове значення: deny + + + + + + ad_maximum_machine_account_password_age (ціле число) + + + SSSD перевірятиме раз на день, чи має пароль до облікового запису комп'ютера +вік, який перевищує заданий вік у днях, і намагатиметься оновити +його. Значення 0 вимкне спроби оновлення. + + + Типове значення: 30 днів + + + + + + ad_machine_account_password_renewal_opts (рядок) + + + Цей параметр має використовуватися лише для перевірки завдання із оновлення +облікових записів комп'ютерів. Параметру слід передати цілих числа, +відокремлених двокрапкою («:»). Перше ціле число визначає інтервал у +секундах між послідовними повторними виконаннями завдання з оновлення. Друге +— визначає початковий час очікування на перший запуск завдання. + + + Типове значення: 86400:750 (24 годин і 15 хвилин) + + + + + + ad_update_samba_machine_account_password (булеве значення) + + + Якщо увімкнено, при оновленні SSSD пароля до облікового запису комп'ютера +програма також оновить запис пароля у базі даних Samba. Таким чином буде +забезпечено актуальність копії пароля до облікового запису у Samba, якщо її +налаштовано на використання AD для розпізнавання. + + + Типове значення: false + + + + + + ad_use_ldaps (булеве значення) + + + Типово, у SSSD використовується звичайний порт LDAP 389 і порт Global +Catalog 3628. Якщо для цього параметра встановлено значення True, SSSD +використовуватиме порт LDAPS 636 і порт Global Catalog 3629 із захистом +LDAPS. Оскільки AD забороняє використання декількох шарів шифрування для +одного з'єднання, і нам усе ще потрібне використання SASL/GSSAPI або +SASL/GSS-SPNEGO для розпізнавання, властивість захисту SASL maxssf для таких +з'єднань буде встановлено у значення 0 (нуль). + + + Типове значення: False + + + + + + ad_allow_remote_domain_local_groups (булеве значення) + + + Якщо для цього параметра встановлено значення true, SSSD не +відфільтровуватиме локальні для домену групи від віддалених доменів у лісі +AD. Типово, групи буде відфільтровано, наприклад при слідуванні за вкладеною +ієрархією груп у віддалених доменах, оскільки вони не є чинними у локальних +доменах. Цей параметр було додано для сумісності із іншими рішеннями, які +роблять користувачів і групи AD доступними у клієнті Linux. + + + Будь ласка, зауважте, що встановлення для цього параметра значення +true суперечить призначенню локальної групи домену в Active +Directory, НИМ СЛІД КОРИСТУВАТИСЯ ЛИШЕ ДЛЯ ПОЛЕГШЕННЯ МІГРАЦІЇ З +ІНШИХ РІШЕНЬ. Хоча група існує і користувач може бути учасником +групи, їх призначено для використання лише у визначеному для неї домену, а +не в інших. Оскільки існує лише один тип груп POSIX, єдиним способом досягти +цього з боку Linux є ігнорування цих груп. Зробити це можна також у Active +Directory, як можна бачити у PAC квитка Kerberos для локальної служби, або у +запитах tokenGroups, де також немає віддалених груп локальних доменів. + + + З огляду на наведені вище коментарі, якщо для цього параметра встановлено +значення true, запит tokenGroups має бути вимкнено +встановленням ldap_use_tokengroups у значення +false для отримання узгодженого членства користувачів у +групах. Крім того, пошук у загальному каталозі має бути пропущено +встановленням для параметра ad_enable_gc значення +false. Нарешті, можливо, слід внести зміни до +ldap_group_nesting_level, якщо віддалені локальні групи +домену може бути знайдено лише на глибшому рівні вкладеності. + + + Типове значення: False + + + + + + dyndns_update (булеве значення) + + + Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично +оновити IP-адресу цього клієнта на сервері DNS Active Directory. Захист +оновлення буде забезпечено за допомогою GSS-TSIG. Як наслідок, +адміністраторові Active Directory достатньо буде дозволити оновлення безпеки +для зони DNS. Для оновлення буде використано IP-адресу з’єднання LDAP AD, +якщо цю адресу не було змінено за допомогою параметра «dyndns_iface». + + + ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у +цьому режимі типову область дії Kerberos має бути належним чином визначено у +/etc/krb5.conf + + + Типове значення: true + + + + + + dyndns_ttl (ціле число) + + + TTL, до якого буде застосовано клієнтський запис DNS під час його +оновлення. Якщо dyndns_update має значення false, цей параметр буде +проігноровано. Перевизначає TTL на боці сервера, якщо встановлено +адміністратором. + + + Типове значення: 3600 (секунд) + + + + + + dyndns_iface (рядок) + + + Необов'язковий. Застосовний, лише якщо dyndns_update має значення +true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути +використано для динамічних оновлень DNS. Спеціальне значення +* означає, що слід використовувати IP-адреси з усіх +інтерфейсів. + + + Типове значення: використовувати IP-адреси інтерфейсу, який використовується +для з’єднання LDAP AD + + + Приклад: dyndns_iface = em1, vnet1, vnet2 + + + + + + dyndns_refresh_interval (ціле число) + + + Визначає, наскільки часто серверний модуль має виконувати періодичні +оновлення DNS на додачу до автоматичного оновлення, яке виконується під час +кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не +є обов’язкоми, його застосовують, лише якщо dyndns_update має значення +true. Зауважте, що найменшим можливим значенням є 60 секунд. Якщо буде +вказано значення, яке є меншим за 60, використовуватиметься найменше можливе +значення. + + + Типове значення: 86400 (24 години) + + + + + + dyndns_update_ptr (булеве значення) + + + Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів +DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true. + + + Note that dyndns_update_per_family parameter does not +apply for PTR record updates. Those updates are always sent separately. + + + Типове значення: True + + + + + + dyndns_force_tcp (булеве значення) + + + Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну +даними з сервером DNS. + + + Типове значення: False (надати змогу nsupdate вибирати протокол) + + + + + + dyndns_auth (рядок) + + + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + + + Типове значення: GSS-TSIG + + + + + + dyndns_auth_ptr (рядок) + + + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + + + Типове значення: те саме, що і dyndns_auth + + + + + + dyndns_server (рядок) + + + Сервер DNS, який слід використовувати для виконання оновлення DNS. У +більшості конфігурацій рекомендуємо не встановлювати значення для цього +параметра. + + + Встановлення значення для цього параметра потрібне для середовищ, де сервер +DNS відрізняється від сервера профілів. + + + Будь ласка, зауважте, що цей параметр буде використано лише для резервних +спроб, якщо попередні спроби із використанням автовиявлення завершаться +невдало. + + + Типове значення: немає (надати nsupdate змогу вибирати сервер) + + + + + + dyndns_update_per_family (булеве значення) + + + Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім +оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один +крок. + + + Типове значення: true + + + + + + + + + krb5_confd_path (рядок) + + + Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти +налаштувань Kerberos. + + + Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра +значення «none». + + + Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf +SSSD) + + + + + + + + + + + + + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +[sssd]. У прикладі продемонстровано лише +параметри доступу, специфічні для засобу AD. + + + +[domain/EXAMPLE] +id_provider = ad +auth_provider = ad +access_provider = ad +chpass_provider = ad + +ad_server = dc1.example.com +ad_hostname = client.example.com +ad_domain = example.com + + + + + + ЗАУВАЖЕННЯ + + Інструмент керування доступом AD перевіряє, чи не завершено строк дії +облікового запису. Дає той самий результат, що і ось таке налаштовування +інструмента надання даних LDAP: +access_provider = ldap +ldap_access_order = expire +ldap_account_expire_policy = ad + + + + Втім, якщо явно не налаштовано засіб надання доступу «ad», типовим засобом +надання доступу буде «permit». Будь ласка, зауважте, що якщо вами +налаштовано засіб надання доступу, відмінний від «ad», вам доведеться +встановлювати усі параметри з’єднання (зокрема адреси LDAP та параметри +шифрування) вручну. + + + Якщо для засобу надання даних autofs встановлено значення ad, +використовується схема прив'язки атрибутів RFC2307 (nisMap, nisObject, ...), +оскільки ці атрибути включено до типової схеми Active Directory. + + + + + + + + + diff --git a/src/man/uk/sssd-files.5.xml b/src/man/uk/sssd-files.5.xml new file mode 100644 index 0000000..de2c786 --- /dev/null +++ b/src/man/uk/sssd-files.5.xml @@ -0,0 +1,162 @@ + + + +Сторінки підручника SSSD + + + + + sssd-files + 5 + Формати файлів та правила + + + + sssd-files + Засіб надання файлів SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування засобу обробки файлів для + sssd 8 +. Щоб дізнатися більше про синтаксис налаштування, зверніться +до розділу «ФОРМАТ ФАЙЛА» сторінки довідника +sssd.conf 5 +. + + + Засіб надання даних файлів створює дзеркальну копію вмісту файлів + passwd +5 і +group 5 +. Метою роботи засобу надання даних файлів є забезпечення +доступу до даних користувачів і груп, які традиційно доступні за допомогою +інтерфейсів NSS, також за допомогою інтерфейсів SSSD, зокрема +sssd-ifp 5 +. + + + Іншою причиною може бути потреба у забезпеченні ефективного кешування даних +локальних користувачів і груп. + + + Please note that besides explicit domain definition the files provider can +be configured also implicitly using 'enable_files_domain' option. See + sssd.conf +5 for details. + + + SSSD ніколи не виконує визначення для користувача або групи «root». Крім +того, SSSD не обробляє запити щодо визначення UID/GID 0. Такі запити +передаються наступному модулю NSS (зазвичай, files). + + + Якщо SSSD не запущено або програма не відповідає, nss_sss повертає код +UNAVAIL, що спричиняє передавання запиту наступному модулю. + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Окрім параметрів із наведеного нижче списку, можна встановлювати, де це є +відповідним, загальні параметри домену SSSD. Зверніться до розділу +РОЗДІЛИ ДОМЕНІВ сторінки підручника +sssd.conf 5 +, щоб дізнатися більше про налаштовування домені SSSD. Втім, +призначенням надавача даних files є надання тих самих даних, які +встановлюються для файлів UNIX, просто за допомогою інтерфейсів SSSD. Тому +передбачено підтримку не усіх загальних параметрів доменів. Так само, деякі +загальні параметри, зокрема перевизначення командної оболонки у розділі +nss для усіх доменів, ні на що не впливають у домені files, +якщо їх не вказано явним чином для окремих доменів. + + passwd_files (рядок) + + + Список з однієї чи декількох відокремлених комами назв файлів паролів, які +слід прочитати і нумерувати засобу надання даних файлів. Для кожного +вказаного файла буде встановлено спостереження за допомогою inotify для +динамічного виявлення внесених до нього змін. + + + Типове значення: /etc/passwd + + + + + + group_files (рядок) + + + Список з однієї чи декількох відокремлених комами назв файлів груп, які слід +прочитати і нумерувати засобу надання даних файлів. Для кожного вказаного +файла буде встановлено спостереження за допомогою inotify для динамічного +виявлення внесених до нього змін. + + + Типове значення: /etc/group + + + + + + fallback_to_nss (булеве значення) + + + Під час оновлення внутрішніх даних SSSD поверне повідомлення про помилку і +надасть змогу клієнту продовжити роботу з наступним модулем NSS. Це +допомагає уникнути затримок при використанні типових файлів системи +/etc/passwd і +/etc/group. Налаштування NSS містять «sss» до «files» +для прив'язок «passwd» і «group». + + + Якщо надавача даних файлів налаштовано на спостереження за іншими файлами, +має сенс встановлення для цього параметра значення False для уникнення +несумісної поведінки, оскільки, загалом, не буде іншого модуля NSS, яким +можна буде скористатися як резервним. + + + Типове значення: True + + + + + + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а files встановлено на один з доменів з розділу +[sssd]. + + + +[domain/files] +id_provider = files + + + + Для балансування кешування даних локальних користувачів та груп у SSSD +модуль nss_sss має перебувати у списку файла /etc/nsswitch.conf вище за +модуль nss_files. + + + +passwd: sss files +group: sss files + + + + + + + + diff --git a/src/man/uk/sssd-ifp.5.xml b/src/man/uk/sssd-ifp.5.xml new file mode 100644 index 0000000..96a2bee --- /dev/null +++ b/src/man/uk/sssd-ifp.5.xml @@ -0,0 +1,158 @@ + + + +Сторінки підручника SSSD + + + + + sssd-ifp + 5 + Формати файлів та правила + + + + sssd-ifp + Відповідач InfoPipe SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування засобу надання відповідей +InfoPipe для sssd +8 . Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника + sssd.conf +5 . + + + Відповідач InfoPipe забезпечує роботу відкритого інтерфейсу D-Bus над +системним каналом повідомлень. За допомогою цього інтерфейсу користувачі +можуть надсилати загальносистемним каналом повідомлень запити щодо +інформації про віддалених користувачів і групи. + + + + ПОШУК ЗА ЧИННИМ СЕРТИФІКАТОМ + + Для керування тим, як буде виконуватися перевірка, якщо використано +програмний інтерфейс FindByValidCertificate(), використовують такі +параметри: + + ca_db + p11_child_timeout + certificate_verification + + Щоб дізнатися більше про параметри, ознайомтеся зі сторінкою підручника щодо + sssd.conf +5 . + + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Цими параметрами можна скористатися для налаштовування відповідача InfoPipe. + + + + allowed_uids (рядок) + + + Визначає список значень UID або імен користувачів, відокремлених +комами. Користувачам з цього списку буде дозволено доступ до відповідача +InfoPipe. UID за іменами користувачів визначатимуться під час запуску. + + + Типове значення: 0 (доступ до відповідача InfoPipe має лише адміністративний +користувач (root)) + + + Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID +буде перевизначено на основі цього параметра. Якщо ви хочете надати +адміністративному користувачеві (root) доступ до відповідача InfoPipe, що +може бути типовим варіантом, вам слід додати до списку UID з правами доступу +запис 0. + + + + + + user_attributes (рядок) + + + Визначає список атрибутів з «білого» або «чорного» списків, відокремлених +комами. + + + Типово, відповідач InfoPipe надає дані лише щодо типового набору атрибутів +POSIX. Цей набір є тим самим, який повертає програма +getpwnam 3 +, його елементи: + + name + реєстраційне ім’я користувача + + + uidNumber + ідентифікатор користувача + + + gidNumber + ідентифікатор основної групи + + + gecos + дані щодо користувача, типово ім’я повністю + + + homeDirectory + домашній каталог + + + loginShell + командна оболонка користувача + + + + + Ви можете додати інший атрибут до цього набору за допомогою параметра +«+назва_атрибута» або явним чином виключити атрибут за допомогою параметра +«-назва_атрибута». Наприклад, щоб дозволити «telephoneNumber», але +заборонити «loginShell», вам слід скористатися такими налаштуваннями: + +user_attributes = +telephoneNumber, -loginShell + + + + Типове значення: не встановлено. Дозволено лише типовий набір атрибутів +POSIX. + + + + + + wildcard_limit (ціле число) + + + Визначає верхню межу для кількості записів, які отримуватимуться під час +пошуку з використанням символів-замінників, які перевизначають обмеження, +яке накладається функцією виклику. + + + Типове значення: 0 (дозволити встановлювати верхнє обмеження функції +виклику) + + + + + + + + + + + diff --git a/src/man/uk/sssd-ipa.5.xml b/src/man/uk/sssd-ipa.5.xml new file mode 100644 index 0000000..80963b6 --- /dev/null +++ b/src/man/uk/sssd-ipa.5.xml @@ -0,0 +1,880 @@ + + + +Сторінки підручника SSSD + + + + + sssd-ipa + 5 + Формати файлів та правила + + + + sssd-ipa + Модуль надання даних IPA SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування засобу керування доступом IPA +для sssd +8 . Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника + sssd.conf +5 . + + + Інструмент надання даних IPA — модуль, який використовується для +встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна +знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує +включення комп’ютера до домену IPA. Налаштування майже повністю +автоматизовано, дані для нього отримуються безпосередньо з сервера. + + + Засіб надання даних IPA уможливлює для SSSD використання засобу надання +даних профілів sssd-ldap +5 та засобу надання даних +розпізнавання sssd-krb5 +5 з оптимізацією для середовищ +IPA. Засіб надання даних IPA приймає ті самі параметри, які використовуються +засобами надання даних sssd-ldap та sssd-krb5, із деякими +виключеннями. Втім, встановлювати ці параметри не обов'язково і не +рекомендовано. + + + Засіб надання даних IPA в основному копіює типові параметри традиційних +засобів надання даних ldap і krb5 із деякими виключенням. Відмінності +наведено у розділі ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ. + + + As an access provider, the IPA provider has a minimal configuration (see +ipa_access_order) as it mainly uses HBAC (host-based access +control) rules. Please refer to freeipa.org for more information about HBAC. + + + Якщо у sssd.conf вказано auth_provider=ipa або +access_provider=ipa, для id_provider також має бути вказано +ipa. + + + Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки +Kerberos користувачів з довірених областей містять PAC. Для полегшення +налаштовування відповідач PAC запускається автоматично, якщо налаштовано +інструмент надання даних ідентифікаторів IPA. + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) + sssd.conf +5 , щоб дізнатися більше про +налаштування домену SSSD. + + ipa_domain (рядок) + + + Визначає назву домену IPA. Є необов’язковим. Якщо не вказано, буде +використано назву домену з налаштувань. + + + + + + ipa_server, ipa_backup_server (рядок) + + + Впорядкований за пріоритетом список IP-адрес або назв вузлів, відокремлених +комами, серверів IPA, з якими має встановити з’єднання SSSD. Докладніші +відомості щодо резервних серверів викладено у розділі «РЕЗЕРВ». Цей список є +необов’язковим, якщо увімкнено автоматичне виявлення служб. Докладніші +відомості щодо автоматичного виявлення служб наведено у розділі «ПОШУК +СЛУЖБ». + + + + + + ipa_hostname (рядок) + + + Необов’язковий. Може бути встановлено на комп’ютерах, де hostname(5) не +відповідає повній назві, що використовується доменом IPA для розпізнавання +цього вузла. Назву вузла слід вказувати повністю. + + + + + + dyndns_update (булеве значення) + + + Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично +оновити на сервері DNS, вбудованому до FreeIPA, IP-адресу клієнта. Захист +оновлення буде забезпечено за допомогою GSS-TSIG. Для оновлення буде +використано IP-адресу з’єднання LDAP IPA, якщо не вказано іншу адресу за +допомогою параметра «dyndns_iface». + + + ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у +цьому режимі типову область дії Kerberos має бути належним чином визначено у +/etc/krb5.conf + + + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +ipa_dyndns_update, користувачам слід переходити на нову +назву, dyndns_update, у файлі налаштувань. + + + Типове значення: false + + + + + + dyndns_ttl (ціле число) + + + TTL, до якого буде застосовано клієнтський запис DNS під час його +оновлення. Якщо dyndns_update має значення false, цей параметр буде +проігноровано. Перевизначає TTL на боці сервера, якщо встановлено +адміністратором. + + + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +ipa_dyndns_ttl, користувачам слід переходити на нову +назву, dyndns_ttl, у файлі налаштувань. + + + Типове значення: 1200 (секунд) + + + + + + dyndns_iface (рядок) + + + Необов'язковий. Застосовний, лише якщо dyndns_update має значення +true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути +використано для динамічних оновлень DNS. Спеціальне значення +* означає, що слід використовувати IP-адреси з усіх +інтерфейсів. + + + ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, +ipa_dyndns_iface, користувачам слід переходити на нову +назву, dyndns_iface, у файлі налаштувань. + + + Типове значення: використовувати IP-адреси інтерфейсу, який використовується +для з’єднання LDAP IPA + + + Приклад: dyndns_iface = em1, vnet1, vnet2 + + + + + + dyndns_auth (рядок) + + + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + + + Типове значення: GSS-TSIG + + + + + + dyndns_auth_ptr (рядок) + + + Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання +GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені +оновлення можна надсилати встановленням для цього параметра значення «none». + + + Типове значення: те саме, що і dyndns_auth + + + + + + ipa_enable_dns_sites (булеве значення) + + + Вмикає сайти DNS — визначення служб на основі адрес. + + + Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо +пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку +спробує визначення на основі адрес за допомогою запиту, що містить +"_location.hostname.example.com", а потім повертається до традиційного +визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, +виявлені на основі визначення за адресою, вважатимуться основним серверами, +а сервери IPA, виявлені за допомогою традиційного визначення SRV, +вважатимуться резервними серверами. + + + Типове значення: false + + + + + + dyndns_refresh_interval (ціле число) + + + Визначає, наскільки часто серверний модуль має виконувати періодичні +оновлення DNS на додачу до автоматичного оновлення, яке виконується під час +кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не +є обов’язкоми, його застосовують, лише якщо dyndns_update має значення true. + + + Типове значення: 0 (вимкнено) + + + + + + dyndns_update_ptr (булеве значення) + + + Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів +DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true. + + + Значенням цього параметра у більшості розгорнутих систем IPA має бути False, +оскільки сервер IPA створює записи PTR автоматично після зміни у записах +переспрямовування. + + + Note that dyndns_update_per_family parameter does not +apply for PTR record updates. Those updates are always sent separately. + + + Типове значення: False (вимкнено) + + + + + + dyndns_force_tcp (булеве значення) + + + Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну +даними з сервером DNS. + + + Типове значення: False (надати змогу nsupdate вибирати протокол) + + + + + + dyndns_server (рядок) + + + Сервер DNS, який слід використовувати для виконання оновлення DNS. У +більшості конфігурацій рекомендуємо не встановлювати значення для цього +параметра. + + + Встановлення значення для цього параметра потрібне для середовищ, де сервер +DNS відрізняється від сервера профілів. + + + Будь ласка, зауважте, що цей параметр буде використано лише для резервних +спроб, якщо попередні спроби із використанням автовиявлення завершаться +невдало. + + + Типове значення: немає (надати nsupdate змогу вибирати сервер) + + + + + + dyndns_update_per_family (булеве значення) + + + Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім +оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один +крок. + + + Типове значення: true + + + + + + ipa_access_order (string) + + + Список відокремлених комами параметрів керування доступом. Можливі значення +списку: + + + expire: use IPA's account expiration policy. + + + pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: Ці параметри корисні, якщо користувачам +потрібні попередження щодо скорого завершення строку дії пароля, і у +випадках, коли розпізнавання засновано на відмінних від паролів методах, +наприклад на ключах SSH. + + + The difference between these options is the action taken if user password is +expired: + + + + pwd_expire_policy_reject - user is denied to log in, + + + + + pwd_expire_policy_warn - user is still able to log in, + + + + + pwd_expire_policy_renew - user is prompted to change their password +immediately. + + + + + + Please note that 'access_provider = ipa' must be set for this feature to +work. + + + + + + ipa_deskprofile_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +профілями станції (Desktop Profile) об’єктів. + + + Типове значення: використання базової назви домену + + + + + + ipa_subid_ranges_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +підлеглими діапазонами об’єктів. + + + Типове значення: значення cn=subids,%basedn + + + + + + ipa_hbac_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з +HBAC об’єктів. + + + Типове значення: використання базової назви домену + + + + + + ipa_host_search_base (рядок) + + + Застарілий. Скористайтеся замість нього ldap_host_search_base. + + + + + + ipa_selinux_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку карт +користувачів SELinux. + + + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + + + Типове значення: значення ldap_search_base + + + + + + ipa_subdomains_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку надійних +доменів. + + + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + + + Типове значення: значення cn=trusts,%basedn + + + + + + ipa_master_domain_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку основного +об’єкта домену. + + + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + + + Типове значення: значення виразу cn=ad,cn=etc,%basedn + + + + + + ipa_views_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку контейнерів +перегляду. + + + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + + + Типове значення: значення cn=views,cn=accounts,%basedn + + + + + + krb5_realm (рядок) + + + Назва області дії Kerberos. Є необов’язковою, типовим значенням є значення +«ipa_domain». + + + Назва області дії Kerberos має особливе значення у IPA: цю назву буде +перетворено у основний DN для виконання дій LDAP. + + + + + + krb5_confd_path (рядок) + + + Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти +налаштувань Kerberos. + + + Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра +значення «none». + + + Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf +SSSD) + + + + + + ipa_deskprofile_refresh (ціле число) + + + Проміжок часу між послідовними пошуками правил профілів станції (Desktop +Profile) щодо сервера IPA. Зміна може зменшити час затримки та навантаження +на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів +щодо профілів станції. + + + Типове значення: 5 (секунд) + + + + + + ipa_deskprofile_request_interval (ціле число) + + + Час між пошуками у правилах профілів станцій на сервері IPA, якщо за +останнім запитом не повернуто жодного правила. + + + Типове значення: 60 (хвилин) + + + + + + ipa_hbac_refresh (ціле число) + + + Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA. Зміна +може зменшити час затримки та навантаження на сервер IPA, якщо протягом +короткого періоду часу надходить багато запитів щодо керування доступом. + + + Типове значення: 5 (секунд) + + + + + + ipa_hbac_selinux (ціле число) + + + Проміжок часу між послідовними пошуками у картах SELinux щодо сервера +IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо +протягом короткого періоду часу надходить багато запитів щодо входу +користувача до системи. + + + Типове значення: 5 (секунд) + + + + + + ipa_server_mode (булеве значення) + + + Цей параметр буде встановлено засобом встановлення IPA (ipa-server-install) +автоматично, він визначає, чи запущено SSSD на сервері IPA. + + + На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів +безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA. + + + Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD +працює на сервері IPA. + + + + Параметр ipa_server має бути налаштовано так, щоб він +вказував на сам сервер IPA. Це типово робить засіб встановлення IPA, тому +зміни вручну є зайвими. + + + + + Не слід змінювати значення параметра full_name_format для +того, щоб лише виводити короткі імена користувачів з довірених доменів. + + + + + + Типове значення: false + + + + + + ipa_automount_location (рядок) + + + Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA + + + Типове значення: адреса з назвою "default" + + + + + + + + ПЕРЕГЛЯДИ і ПЕРЕВИЗНАЧЕННЯ + + SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA +4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на +боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для +повноти, усі відповідні параметри наведено у списку разом з їхніми типовими +значеннями. + + ipa_view_class (рядок) + + + Клас об’єктів для контейнерів перегляду. + + + Типове значення: nsContainer + + + + + + ipa_view_name (рядок) + + + Назва атрибута, у якому зберігається назва перегляду. + + + Типове значення: cn + + + + + + ipa_override_object_class (рядок) + + + Клас об’єктів для об’єктів перевизначення + + + Типове значення: ipaOverrideAnchor + + + + + + ipa_anchor_uuid (рядок) + + + Назва атрибута, у якому зберігається посилання на початковий об’єкт на +віддаленому домені. + + + Типове значення: ipaAnchorUUID + + + + + + ipa_user_override_object_class (рядок) + + + Назва класу об’єктів для перевизначень користувачів. Використовується для +визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем +або групою. + + + Перевизначення користувачів можуть містити атрибути, задані + + + ldap_user_name + + + ldap_user_uid_number + + + ldap_user_gid_number + + + ldap_user_gecos + + + ldap_user_home_directory + + + ldap_user_shell + + + ldap_user_ssh_public_key + + + + + Типове значення: ipaUserOverride + + + + + + ipa_group_override_object_class (рядок) + + + Назва класу об’єктів для перевизначень груп. Використовується для визначення +того, чи знайдений об’єкт перевизначення пов’язано з користувачем або +групою. + + + Перевизначення груп можуть містити атрибути, задані + + + ldap_group_name + + + ldap_group_gid_number + + + + + Типове значення: ipaGroupOverride + + + + + + + + + + + + СЛУЖБА ПІДДОМЕНІВ + + Поведінка інструмента надання даних піддоменів IPA залежить від того, у який +спосіб його налаштовано: явний чи неявний. + + + Якщо у розділі домену sssd.conf буде знайдено запис параметра +«subdomains_provider = ipa», інструмент надання даних піддоменів IPA +налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, +якщо це потрібно. + + + Якщо у розділі домену sssdconf не встановлено параметр +«subdomains_provider», але встановлено параметр «id_provider = ipa», +інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому +випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що +на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, +отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або +відкриється доступ до інструмента надання даних IPA, інструмент надання +даних піддоменів буде знову увімкнено. + + + + + НАЛАШТОВУВАННЯ ДОВІРЕНИХ ДОМЕНІВ + + Крім того, деякі параметри налаштування може бути встановлено для довіреного +домену. Налаштування довіреного домену можна встановити за допомогою +підрозділу довіреного домену, як це показано у наведеному нижче +прикладі. Крім того, можна скористатися параметром +subdomain_inherit у батьківському домені. +[domain/ipa.domain.com/ad.domain.com] +ad_server = dc.ad.domain.com + + + + Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо + sssd.conf +5 . + + + Перелік параметрів налаштовування для довіреного домену залежить від того, +як ви налаштували SSSD на сервері IPA або клієнт IPA. + + + ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА ОСНОВНИХ СЕРВЕРАХ IPA + + У розділі піддомену на основному сервері IPA можна вказати такі параметри: + + + ad_server + + + ad_backup_server + + + ad_site + + + ldap_search_base + + + ldap_user_search_base + + + ldap_group_search_base + + + use_fully_qualified_names + + + + + + ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА КЛІЄНТАХ IPA + + У розділі піддомену на клієнті IPA можна вказати такі параметри: + + + ad_server + + + ad_site + + + + + Зауважте, що якщо встановлено обидва параметри, буде враховано лише +ad_server. + + + Оскільки будь-який запит щодо ідентифікації користувача або групи від +довіреного домену, який започатковано клієнтом IPA, обробляється сервером +IPA, параметри ad_server і ad_site впливають +лише на те, який з DC AD виконуватиме процедуру розпізнавання. Зокрема, +адреси, які визначено за цими списками, буде записано до файлів +kdcinfo, читання яких виконуватиметься додатком пошуку +Kerberos. Будь ласка, зверніться до сторінки підручника щодо +sssd_krb5_locator_plugin +8 , щоб дізнатися більше про додаток +пошуку Kerberos. + + + + + + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +[sssd]. У прикладі продемонстровано лише +параметри доступу, специфічні для засобу ipa. + + + +[domain/example.com] +id_provider = ipa +ipa_server = ipaserver.example.com +ipa_hostname = myhost.example.com + + + + + + + + diff --git a/src/man/uk/sssd-kcm.8.xml b/src/man/uk/sssd-kcm.8.xml new file mode 100644 index 0000000..b3c2cd0 --- /dev/null +++ b/src/man/uk/sssd-kcm.8.xml @@ -0,0 +1,304 @@ + + + +Сторінки підручника SSSD + + + + + sssd-kcm + 8 + Формати файлів та правила + + + + sssd-kcm + Керування кешем Kerberos SSSD + + + + ОПИС + + На цій сторінці підручника описано налаштування засобу керування кешем +Kerberos SSSD (Kerberos Cache Manager або KCM). KCM є процесом, який +зберігає, стежить і керує кешем реєстраційних даних Kerberos. Ідея створення +засобу походить із проєкту Heimdal Kerberos, хоча у бібліотеці Kerberos MIT +також надається підтримка з боку клієнта для кешу реєстраційних даних KCM +(докладніше про це нижче). + + + У конфігураціях, де кешем Kerberos керує KCM, бібліотека Kerberos (типово +використовується за допомогою якоїсь програми, наприклад +kinit1 +) є клієнтом KCM, а фонова служба KCM +вважається сервером KCM. Клієнт і сервер обмінюються даними +за допомогою сокета UNIX. + + + Сервер KCM стежити за кожним власником кешу реєстраційних даних і виконує +перевірку прав доступу на основі UID і GID клієнта KCM. Користувач root має +доступ до усіх кешів реєстраційних даних. + + + Кеш реєстраційних даних KCM має декілька цікавих властивостей: + + + + оскільки процес виконується у просторі користувача, він підлягає обмеженням +за простором назв UID, на відміну від набору ключів ядра + + + + + на відміну від кешу на основі наборів ключів ядра, який є спільним для усіх +контейнерів, сервер KCM є окремим процесом, чия точка входу є сокетом UNIX + + + + + реалізація у SSSD зберігає дані ccache у базі даних, файл якої типово +називається /var/lib/sss/secrets. За допомогою +цього файла ccache зберігаються протягом періодів перезапуску сервера KCM +або перезавантаження комп'ютера. + + + + Це надає змогу системі використовувати кеш реєстраційних даних із +врахуванням збірок, одночасно надаючи спільний доступ до кешу реєстраційних +даних для декількох контейнерів або без контейнерів взагалі шляхом +прив'язування-монтування сокета. + + + Час очікування на дії типового клієнта KCM дорівнює 5 хвилин, таке значення +надає більшу часу на взаємодію користувача із інструментами командного +рядка, зокрема kinit. + + + + + КОРИСТУВАННЯ КЕШЕМ РЕЄСТРАЦІЙНИХ ДАНИХ KCM + + Для використання кешу реєстраційних даних KCM його слід вибрати стандартним +типом реєстраційних даних у +krb5.conf5 +. Назвою кешу реєстраційних даних має бути лише +KCM: без будь-яких розширень шаблонами. Приклад: +[libdefaults] + default_ccache_name = KCM: + + + + Далі, слід визначити однаковий шлях до сокета UNIX для клієнтських бібліотек +Kerberos і сервера KCM. Типово, у обох випадках використовується однаковий +шлях /var/run/.heim_org.h5l.kcm-socket. Для +налаштовування бібліотеки Kerberos змініть значення її параметра +kcm_socket, як це описано на сторінці підручника + +krb5.conf5 +. + + + Нарешті, переконайтеся, що з сервером KCM SSSD можна встановити +зв'язок. Типово, служба KCM вмикається за допомогою сокета з +systemd 1 +. На відміну від інших служб SSSD, її не можна запустити +додаванням рядка kcm до інструкції service. + +systemctl start sssd-kcm.socket +systemctl enable sssd-kcm.socket + Будь ласка, зауважте, що +відповідні налаштування модулів вже могло бути виконано засобами вашого +дистрибутива. + + + + + СХОВИЩЕ КЕШУ РЕЄСТРАЦІЙНИХ ДАНИХ + + Кеші реєстраційних даних зберігаються у базі даних, дуже подібно до кешів +записів користувачів і груп SSSD. Типово, база даних зберігається у +/var/lib/sss/secrets. + + + + + ОТРИМАННЯ ДІАГНОСТИЧНОГО ЖУРНАЛУ + + Типово, служба sssd-kcm активує крізь сокет +systemd 1 +. Для створення діагностичних журналів додайте вказані нижче +рядки або безпосередньо до файла /etc/sssd/sssd.conf, +або як фрагмент налаштувань до каталогу +/etc/sssd/conf.d/: +[kcm] +debug_level = 10 + Далі, перезапустіть службу sssd-kcm: +systemctl restart sssd-kcm.service + Нарешті, виконайте дії, які не призводять до +бажаних для вас наслідків. Журнал KCM буде записано до +/var/log/sssd/sssd_kcm.log. Рекомендуємо вимкнути +ведення діагностичного журналу, якщо вам не потрібні діагностичні дані, +оскільки служба sssd-kcm може породжувати доволі великий обсяг діагностичних +даних. + + + Будь ласка, зауважте, що у поточній версії фрагменти налаштувань буде +оброблено, лише якщо взагалі існує основний файл налаштувань +/etc/sssd/sssd.conf. + + + + + ПОНОВЛЕННЯ + + Службу sssd-kcm можна налаштувати на спробу поновлення TGT для поновлюваних +TGT, які зберігаються у ccache KCM. Спроби поновлення виконуватимуться при +досягненні половини строку дії квитка. Поновлення KCM налаштовуються при +встановленні таких параметрів у розділі [kcm]: +tgt_renewal = true +krb5_renew_interval = 60m + + + + Крім того, SSSD може успадковувати параметри krb5 для поновлень з наявного +домену. + + +tgt_renewal = true +tgt_renewal_inherit = domain-name + + + Вказані нижче параметри krb5 можна налаштувати у розділі [kcm] для керування +поведінкою під час поновлення. Ці параметри докладно описано нижче + +krb5_renew_interval +krb5_renewable_lifetime +krb5_lifetime +krb5_validate +krb5_canonicalize +krb5_auth_timeout + + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Налаштовування служби KCM виконується за допомогою розділу +kcm файла sssd.conf. Будь ласка, зауважте, що оскільки +активація служби KCM, зазвичай, відбувається за допомогою сокетів, після +внесення змін до розділу kcm файла sssd.conf достатньо +перезапустити службу sssd-kcm: +systemctl restart sssd-kcm.service + + + + Налаштування служби KCM виконують за допомогою kcm. Докладний +опис синтаксичних конструкцій налаштувань наведено у розділі ФОРМАТ +ФАЙЛА сторінки підручника щодо +sssd.conf 5 +. + + + Службі kcm можна передавати типові параметри служби SSSD, зокрема +debug_level та fd_limit Із повним списком +параметрів можна ознайомитися на сторінці підручника +sssd.conf 5 +. Крім того, передбачено декілька специфічних для KCM +параметрів. + + + + socket_path (рядок) + + + Сокет, на якому очікуватиме на з'єднання служба KCM. + + + Типове значення: +/var/run/.heim_org.h5l.kcm-socket + + + Зауваження: на платформах, де передбачено +підтримку systemd, шлях до сокета буде перезаписано шляхом, який визначено у +файлі модуля sssd-kcm.socket. + + + + + max_ccaches (ціле число) + + + Скільки кешів реєстраційних може мати даних база даних KCM для усіх +користувачів. + + + Типове значення: 0 (без обмежень, застосовується лише квота на кількість +кешів на UID) + + + + + max_uid_ccaches (ціле число) + + + Скільки кешів реєстраційних може мати даних база даних KCM для окремого +UID. Еквівалент значення кількість реєстраційних даних, які можна +ініціювати за допомогою kinit. + + + Типове значення: 64 + + + + + max_ccache_size (ціле число) + + + Наскільки великим може бути кеш реєстраційних даних окремого ccache. Ця +квота обчислюється для усіх квитків служб разом. + + + Типове значення: 65536 + + + + + tgt_renewal (булеве значення) + + + Вмикає функціональні можливості поновлень TGT. + + + Типове значення: False (автоматичні поновлення вимкнено) + + + + + tgt_renewal_inherit (рядок) + + + Домен, з якого слід успадковувати параметри krb5_*, для використання із +поновленнями TGT. + + + Типове значення: NULL + + + + + + + + + ТАКОЖ ПЕРЕГЛЯНЬТЕ + + sssd8 +, +sssd.conf5 +, + + + + diff --git a/src/man/uk/sssd-krb5.5.xml b/src/man/uk/sssd-krb5.5.xml new file mode 100644 index 0000000..31418d1 --- /dev/null +++ b/src/man/uk/sssd-krb5.5.xml @@ -0,0 +1,458 @@ + + + +Сторінки підручника SSSD + + + + + sssd-krb5 + 5 + Формати файлів та правила + + + + sssd-krb5 + Модуль надання даних Kerberos SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування засобу розпізнавання Kerberos +5 для sssd +8 . Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника + sssd.conf +5 . + + + Модуль розпізнавання Kerberos 5 містити засоби розпізнавання та зміни +паролів. З метою отримання належних результатів його слід використовувати +разом з інструментом обробки профілів (наприклад, id_provider = ldap). Деякі +з даних, потрібних для роботи модуля розпізнавання Kerberos 5, має бути +надано інструментом обробки профілів, серед цих даних Kerberos Principal +Name (UPN) або реєстраційне ім’я користувача. У налаштуваннях інструменту +обробки профілів має бути запис з визначенням UPN. Докладні настанови щодо +визначення такого UPN має бути викладено на сторінці довідника (man) +відповідного інструменту обробки профілів. + + + У цьому інструменті керування даними також передбачено можливості керування +доступом, засновані на даних з файла k5login у домашньому каталозі +користувача. Докладніші відомості можна отримати з підручника до + +k5login5 +. Зауважте, що якщо файл .k5login виявиться порожнім, доступ +користувачеві буде заборонено. Щоб задіяти можливість керування доступом, +додайте рядок «access_provider = krb5» до ваших налаштувань SSSD. + + + У випадку, коли доступу до UPN у модулі профілів не передбачено, +sssd побудує UPN у форматі +ім’я_користувача@область_krb5. + + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Якщо у домені SSSD використано auth-module krb5, має бути використано +вказані нижче параметри. Зверніться до сторінки довідника (man) + sssd.conf +5 , розділ «РОЗДІЛИ ДОМЕНІВ», щоб +дізнатися більше про налаштування домену SSSD. + + krb5_server, krb5_backup_server (рядок) + + + Визначає список IP-адрес або назв вузлів, відокремлених комами, серверів +Kerberos, з якими SSSD має встановлювати з’єднання. Список має бути +впорядковано за пріоритетом. Докладніше про резервування та додаткові +сервери можна дізнатися з розділу «РЕЗЕРВ». До адрес або назв вузлів може +бути додано номер порту (перед номером слід вписати двокрапку). Якщо +параметр матиме порожнє значення, буде увімкнено виявлення служб. Докладніше +про виявлення служб можна дізнатися з розділу «ПОШУК СЛУЖБ». + + + Під час використання виявлення служб для серверів KDC або kpasswd SSSD +спочатку намагається знайти записи DNS, у яких визначається протокол +_udp. Використання протоколу _tcp відбувається, лише якщо таких записів не +вдасться знайти. + + + У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній +версії передбачено розпізнавання цієї застарілої назви, але користувачам +варто перейти на використання «krb5_server» у файлах налаштувань. + + + + + + krb5_realm (рядок) + + + Назва області Kerberos. Цей параметр є обов’язковим, його неодмінно слід +вказати. + + + + + + krb5_kpasswd, krb5_backup_kpasswd (рядок) + + + Якщо службу зміни паролів не запущено на KDC, тут можна визначити +альтернативні сервери. До адрес або назв вузлів можна додати номер порту +(перед яким слід вписати двокрапку). + + + Додаткові відомості щодо резервних серверів можна знайти у розділі +«РЕЗЕРВ». Зауваження: навіть якщо список всіх серверів kpasswd буде +вичерпано, модуль не перемкнеться у автономний режим роботи, якщо +розпізнавання за KDC залишатиметься можливим. + + + Типове значення: використання KDC + + + + + + krb5_ccachedir (рядок) + + + Каталог для зберігання кешу реєстраційних даних. Тут також можна +використовувати усі замінники з krb5_ccname_template, окрім %d та +%P. Каталог створюється як конфіденційний, власником є користувач, права +доступу — 0700. + + + Типове значення: /tmp + + + + + + krb5_ccname_template (рядок) + + + Розташування кешу з реєстраційними даними користувача У поточній версії +передбачено підтримку трьох типів кешу реєстраційних даних: +FILE, DIR та +KEYRING:persistent. Кеш може бути вказано або у форматі +ТИП:РЕШТА, або у форматі абсолютного шляху (тоді +вважається, що типом кешу є FILE). У шаблоні передбачено +можливість використання таких послідовностей-замінників: + + %u + ім'я користувача + + + %U + ідентифікатор користувача + + + %p + назва реєстраційного запису + + + + %r + назва області + + + %h + домашній каталог + + + + %d + значення krb5_ccachedir + + + + + %P + ідентифікатор процесу клієнтської частини SSSD + + + + %% + символ відсотків («%») + + + Якщо шаблон завершується послідовністю +«XXXXXX», для безпечного створення назви файла використовується mkstemp(3). + + + Якщо використовуються типи KEYRING, єдиним підтримуваним механізмом є +«KEYRING:persistent:%U», тобто використання сховища ключів ядра Linux для +зберігання реєстраційних даних на основі поділу за UID. Цей варіант є +рекомендованим, оскільки це найбезпечніший та найпередбачуваніший спосіб. + + + Типове значення назви кешу реєстраційних даних буде запозичено з +загальносистемного профілю, що зберігається у файлі налаштувань krb5.conf, +розділ [libdefaults]. Назва параметра — default_ccache_name. Див. розділ +щодо розгортання параметрів (PARAMETER EXPANSION) у довідці щодо +krb5.conf(5), щоб отримати додаткові дані щодо формату розгортання, +використаного у krb5.conf. + + + ЗАУВАЖЕННЯ: майте на увазі, що шаблон розширення ccache libkrb5 з + krb5.conf +5 використовує інші послідовності +розширення, що не збігаються із використаними у SSSD. + + + Типове значення: (з libkrb5) + + + + + + krb5_keytab (рядок) + + + Розташування таблиці ключів, якою слід скористатися під час перевірки +реєстраційних даних, отриманих від KDC. + + + Типове значення: системна таблиця ключів, зазвичай +/etc/krb5.keytab + + + + + + krb5_store_password_if_offline (булівське значення) + + + Зберігати пароль користувача, якщо засіб перевірки перебуває поза мережею, і +використовувати його для запитів TGT після встановлення з’єднання з засобом +перевірки. + + + Зауваження: ця можливість у поточній версії доступна лише на платформі +Linux. Паролі зберігатимуться у форматі звичайного тексту (без шифрування) у +сховищі ключів ядра, потенційно до них може отримати доступ адміністративний +користувач (root), але йому для цього слід буде подолати деякі перешкоди. + + + Типове значення: false + + + + + + krb5_use_fast (рядок) + + + Вмикає безпечне тунелювання для гнучкого розпізнавання (flexible +authentication secure tunneling або FAST) для попереднього розпізнавання у +Kerberos. Передбачено такі варіанти: + + + never використовувати FAST, рівнозначний варіанту, за +якого значення цього параметра взагалі не задається. + + + try — використовувати FAST. Якщо на сервері не +передбачено підтримки FAST, продовжити розпізнавання без FAST. + + + demand — використовувати FAST. Якщо на сервері не +передбачено підтримки FAST, спроба розпізнавання зазнає невдачі. + + + Типове значення: не встановлено, тобто FAST не використовується. + + + Зауваження: будь ласка, зауважте, що для використання FAST потрібна таблиця +ключів або підтримка анонімного PKINIT. + + + Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT +Kerberos версії 1.8 або новішої. Якщо SSSD буде використано зі старішою +версією MIT Kerberos і цим параметром, буде повідомлено про помилку у +налаштуваннях. + + + + + + krb5_fast_principal (рядок) + + + Визначає реєстраційний запис сервера, який слід використовувати для FAST. + + + + + + krb5_fast_use_anonymous_pkinit (булеве значення) + + + Якщо встановлено значення «true» намагатися скористатися анонімним PKINIT +замість таблиці ключів для отримання бажаних реєстраційних даних для FAST. У +цьому випадку параметри krb5_fast_principal буде проігноровано. + + + Типове значення: false + + + + + + krb5_use_kdcinfo (булеве значення) + + + Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які +значення KDC слід використовувати. Типово, дію параметра увімкнено. Якщо ви +вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла +налаштувань krb5.conf +5 . + + + Див. сторінку підручника (man) +sssd_krb5_locator_plugin +8 , щоб дізнатися більше про додаток +пошуку. + + + Типове значення: true + + + + + + krb5_kdcinfo_lookahead (рядок) + + + Якщо для krb5_use_kdcinfo встановлено значення true, ви можете обмежити +кількість серверів, які буде передано +sssd_krb5_locator_plugin +8 . Це може бути корисним, якщо за +допомогою запису SRV виявляється надто багато серверів. + + + Параметр krb5_kdcinfo_lookahead містить два числа, які відокремлено +двокрапкою. Перше число визначає кількість основних серверів, а друге — +кількість резервних серверів. + + + Наприклад, 10:0 означає «буде передано до 10 основних +серверів до +sssd_krb5_locator_plugin +8 », але не буде передано резервні +сервери + + + Типове значення: 3:1 + + + + + + krb5_use_enterprise_principal (булеве значення) + + + Визначає, чи слід вважати реєстраційні дані користувача даними промислового +рівня. Див. розділ 5 RFC 6806, щоб дізнатися більше про промислові +реєстраційні дані. + + + + Типове значення: false (надається AD: true) + + + Засіб надання даних IPA встановить для цього параметра значення «true», якщо +виявить, що сервер здатен обробляти реєстраційні дані промислового класу, і +параметр на встановлено явним чином у файлі налаштувань. + + + + + + krb5_use_subdomain_realm (булеве значення) + + + Визначає використання областей піддоменів для розпізнавання користувачів з +довірених доменів. Для цього параметра можна встановити значення «true», +якщо промислові реєстраційні записи використовуються із upnSuffixes, який не +є відомим KDC батьківського домену. Якщо для параметра встановлено значення +«true», SSSD спробує надіслати запит безпосередньо до KDC довіреного домену, +з якого прийшов користувач. + + + + Типове значення: false + + + + + + krb5_map_user (рядок) + + + Список прив’язок визначається як список пар «користувач:основа», де +«користувач» — ім’я користувача UNIX, а «основа» — частина щодо користувача +у реєстраційному записі kerberos. Ця прив’язка використовується, якщо +користувач проходить розпізнавання із використанням «auth_provider = krb5». + + + + приклад: +krb5_realm = REALM +krb5_map_user = joe:juser,dick:richard + + + + joe і dick — імена користувачів UNIX, а +juser і richard основні частини реєстраційних +записів kerberos. Для користувачів joe та, відповідно, +dick SSSD намагатиметься виконати ініціалізацію kinit як +juser@REALM і, відповідно, richard@REALM. + + + + Типове значення: not set + + + + + + + + + + + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а FOO є одним з доменів у розділі +[sssd]. У прикладі продемонстровано лише +налаштування розпізнавання аз допомогою Kerberos, там не вказано інструменту +обробки профілів. + + + +[domain/FOO] +auth_provider = krb5 +krb5_server = 192.168.1.1 +krb5_realm = EXAMPLE.COM + + + + + + + + diff --git a/src/man/uk/sssd-ldap-attributes.5.xml b/src/man/uk/sssd-ldap-attributes.5.xml new file mode 100644 index 0000000..4a3d4f9 --- /dev/null +++ b/src/man/uk/sssd-ldap-attributes.5.xml @@ -0,0 +1,1187 @@ + + + +Сторінки підручника SSSD + + + + + sssd-ldap-attributes + 5 + Формати файлів та правила + + + + sssd-ldap-attributes + Засіб надання даних LDAP SSSD: атрибути прив'язування + + + + ОПИС + + Цю сторінку підручника присвячено опису атрибутів прив'язування засобу +надання даних LDAP SSSD +sssd-ldap 5 +. Повний опис параметрів налаштовування засобу надання даних +LDAP SSSD наведено на сторінці підручника щодо +sssd-ldap 5 +. + + + + + АТРИБУТИ КОРИСТУВАЧА + + + + ldap_user_object_class (рядок) + + + Клас об’єктів запису користувача у LDAP. + + + Типове значення: posixAccount + + + + + + ldap_user_name (рядок) + + + Атрибут LDAP, що відповідає назві облікового запису користувача. + + + Типове значення: uid (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) + + + + + + ldap_user_uid_number (рядок) + + + Атрибут LDAP, що відповідає ідентифікатору користувача. + + + Типове значення: uidNumber + + + + + + ldap_user_gid_number (рядок) + + + Атрибут LDAP, що відповідає ідентифікатору основної групи користувача. + + + Типове значення: gidNumber + + + + + + ldap_user_primary_group (рядок) + + + Атрибут основної групи Active Directory для встановлення відповідності +ідентифікатора. Зауважте, що цей атрибут слід встановлювати вручну, лише +якщо ви користуєтеся засобом надання даних ldap з прив'язкою +до ідентифікаторів. + + + Типове значення: unset (LDAP), primaryGroupID (AD) + + + + + + ldap_user_gecos (рядок) + + + Атрибут LDAP, що відповідає полю gecos користувача. + + + Типове значення: gecos + + + + + + ldap_user_home_directory (рядок) + + + Атрибут LDAP, що містить назву домашнього каталогу користувача. + + + Типове значення: homeDirectory (LDAP та IPA), unixHomeDirectory (AD) + + + + + + ldap_user_shell (рядок) + + + Атрибут LDAP, що містить шлях до типової командної оболонки користувача. + + + Типове значення: loginShell + + + + + + ldap_user_uuid (рядок) + + + Атрибут LDAP, що містить UUID/GUID об’єкта користувача LDAP. + + + Типове значення: не встановлено у загальному випадку, objectGUID для AD і +ipaUniqueID для IPA + + + + + + ldap_user_objectsid (рядок) + + + Атрибут LDAP, що містить objectSID об’єкта користувача LDAP. Зазвичай, +потрібен лише для серверів ActiveDirectory. + + + Типове значення: objectSid для ActiveDirectory, не встановлено для інших +серверів. + + + + + + ldap_user_modify_timestamp (рядок) + + + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + + + Типове значення: modifyTimestamp + + + + + + ldap_user_shadow_last_change (рядок) + + + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра +shadow 5 + (дати останньої зміни пароля). + + + Типове значення: shadowLastChange + + + + + + ldap_user_shadow_min (рядок) + + + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра +shadow 5 + (мінімального віку пароля). + + + Типове значення: shadowMin + + + + + + ldap_user_shadow_max (рядок) + + + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра +shadow 5 + (максимального віку пароля). + + + Типове значення: shadowMax + + + + + + ldap_user_shadow_warning (рядок) + + + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра +shadow 5 + (проміжку попередження щодо пароля). + + + Типове значення: shadowWarning + + + + + + ldap_user_shadow_inactive (рядок) + + + У разі використання ldap_pwd_policy=shadow цей параметр містить назву +атрибута LDAP, який є відповідником параметра +shadow 5 + (тривалості періоду невикористання пароля). + + + Типове значення: shadowInactive + + + + + + ldap_user_shadow_expire (рядок) + + + У разі використання ldap_pwd_policy=shadow або +ldap_account_expire_policy=shadow цей параметр містить назву атрибута LDAP, +який є відповідником параметра +shadow 5 + (дати завершення строку дії пароля). + + + Типове значення: shadowExpire + + + + + + ldap_user_krb_last_pwd_change (рядок) + + + Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить +назву атрибута LDAP, у якому зберігається дата і час останньої зміни пароля +у kerberos. + + + Типове значення: krbLastPwdChange + + + + + + ldap_user_krb_password_expiration (рядок) + + + Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить +назву атрибута LDAP, у якому зберігається дата і час завершення строку дії +поточного пароля. + + + Типове значення: krbPasswordExpiration + + + + + + ldap_user_ad_account_expires (рядок) + + + Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву +атрибута LDAP, у якому зберігаються дані щодо строку завершення дії +облікового запису. + + + Типове значення: accountExpires + + + + + + ldap_user_ad_user_account_control (рядок) + + + Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву +атрибута LDAP, у якому зберігаються дані щодо поля контрольного біта +облікового запису користувача. + + + Типове значення: userAccountControl + + + + + + ldap_ns_account_lock (рядок) + + + Якщо вказано ldap_account_expire_policy=rhds або еквівалентне налаштування, +цей параметр визначає, заборонено чи дозволено доступ. + + + Типове значення: nsAccountLock + + + + + + ldap_user_nds_login_disabled (рядок) + + + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає, дозволено +чи заборонено доступ. + + + Типове значення: loginDisabled + + + + + + ldap_user_nds_login_expiration_time (рядок) + + + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає дату, до +якої надано доступ. + + + Типове значення: loginDisabled + + + + + + ldap_user_nds_login_allowed_time_map (рядок) + + + Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає годити дня +тижня, коли надається доступ. + + + Типове значення: loginAllowedTimeMap + + + + + + ldap_user_principal (рядок) + + + Атрибут LDAP, що містить Kerberos User Principal Name (UPN) користувача. + + + Типове значення: krbPrincipalName + + + + + + ldap_user_extra_attrs (рядок) + + + Відокремлений комами список атрибутів LDAP, які SSSD має отримувати разом зі +звичайним набором атрибутів запису користувача. + + + Список може або містити лише назви атрибутів LDAP, або відокремлені +двокрапками кортежі з назви атрибута кешу SSSD та назви атрибута LDAP. Якщо +вказано лише назву атрибута LDAP, атрибут зберігається до кешу +буквально. Використання нетипової назви атрибута SSSD може бути потрібним +середовищам, де налаштовано декілька доменів SSSD з різними схемами LDAP. + + + Будь ласка, зауважте, що декілька назв атрибутів зарезервовано SSSD, зокрема +атрибут «name». SSSD повідомить про помилку, якщо будь-які із зарезервованих +назв атрибутів використано як назву додаткового атрибута. + + + Приклади: + + + ldap_user_extra_attrs = telephoneNumber + + + Зберегти атрибут «telephoneNumber» з LDAP як «telephoneNumber» до кешу. + + + ldap_user_extra_attrs = phone:telephoneNumber + + + Зберегти атрибут «telephoneNumber» з LDAP як «phone» до кешу. + + + Типове значення: not set + + + + + + ldap_user_ssh_public_key (рядок) + + + Атрибут LDAP, який містить відкриті ключі SSH користувача. + + + Типове значення: sshPublicKey + + + + + + ldap_user_fullname (рядок) + + + Атрибут LDAP, що відповідає повному імені користувача. + + + Типове значення: cn + + + + + + ldap_user_member_of (рядок) + + + Атрибут LDAP зі списком груп, у яких бере участь користувач. + + + Типове значення: memberOf + + + + + + ldap_user_authorized_service (рядок) + + + Якщо access_provider=ldap і ldap_access_order=authorized_service, SSSD +використовуватиме наявність атрибута authorizedService у записі користувача +LDAP для визначення прав доступу. + + + Спочатку визначаються явні заборони (!svc). Далі SSSD шукає явні дозволи +(svc) і нарешті загальні дозволи або allow_all (*). + + + Будь ласка, зауважте, що параметр налаштування ldap_access_order +має включати authorized_service, щоб +система змогла скористатися параметром ldap_user_authorized_service. + + + У деяких дистрибутивах (зокрема у Fedora-29+ або RHEL-8) службу PAM +systemd-user завжди включено до процедури входу до +системи. Тому при використанні керування доступом на основі даних служб +варто додавати службу systemd-user до списку дозволених +служб. + + + Типове значення: authorizedService + + + + + + ldap_user_authorized_host (рядок) + + + Якщо access_provider=ldap і ldap_access_order=host, SSSD використовуватиме +наявність атрибута host у записі користувача LDAP для визначення прав +доступу. + + + Спочатку визначаються явні заборони (!host). Далі SSSD шукає явні дозволи +(host) і нарешті загальні дозволи або allow_all (*). + + + Будь ласка, зауважте, що параметр налаштування ldap_access_order +має включати host, щоб можна було +скористатися параметром ldap_user_authorized_host. + + + Типове значення: host + + + + + + ldap_user_authorized_rhost (рядок) + + + Якщо access_provider=ldap і ldap_access_order=rhost, SSSD використовуватиме +наявність атрибута rhost у записі користувача LDAP для визначення прав +доступу. Те саме стосується і процесу перевірки вузла. + + + Спочатку визначаються явні заборони (!rhost). Далі SSSD шукає явні дозволи +(rhost) і нарешті загальні дозволи або allow_all (*). + + + Будь ласка, зауважте, що параметр налаштування ldap_access_order +має включати rhost, щоб можна було +скористатися параметром ldap_user_authorized_rhost. + + + Типове значення: rhost + + + + + + ldap_user_certificate (рядок) + + + Назва атрибута LDAP, що містить сертифікат X509 користувача. + + + Типове значення: userCertificate;binary + + + + + + ldap_user_email (рядок) + + + Назва атрибута LDAP, який містить адресу електронної пошти користувача. + + + Зауваження: якщо адреса електронної пошти користувача конфліктує із адресою +електронної пошти або повним ім'ям іншого користувача, SSSD не зможе +обслуговувати належним чином записи таких користувачів. Якщо з якоїсь +причини у декількох користувачів має бути одна адреса електронної пошти, +встановіть для цього параметра довільну назву атрибута, щоб вимкнути пошук і +вхід до системи за адресою електронної пошти. + + + Типове значення: mail + + + + + ldap_user_passkey (string) + + + Name of the LDAP attribute containing the passkey mapping data of the user. + + + Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) + + + + + + + + + АТРИБУТИ ГРУПИ + + + + ldap_group_object_class (рядок) + + + Клас об’єктів запису групи у LDAP. + + + Типове значення: posixGroup + + + + + + ldap_group_name (рядок) + + + The LDAP attribute that corresponds to the group name. In an environment +with nested groups, this value must be an LDAP attribute which has a unique +name for every group. This requirement includes non-POSIX groups in the tree +of nested groups. + + + Типове значення: cn (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) + + + + + + ldap_group_gid_number (рядок) + + + Атрибут LDAP, що відповідає ідентифікатору групи. + + + Типове значення: gidNumber + + + + + + ldap_group_member (рядок) + + + Атрибут LDAP, у якому містяться імена учасників групи. + + + Типове значення: memberuid (rfc2307) / member (rfc2307bis) + + + + + + ldap_group_uuid (рядок) + + + Атрибут LDAP, що містить UUID/GUID об’єкта групи LDAP. + + + Типове значення: не встановлено у загальному випадку, objectGUID для AD і +ipaUniqueID для IPA + + + + + + ldap_group_objectsid (рядок) + + + Атрибут LDAP, що містить objectSID об’єкта групи LDAP. Зазвичай, потрібен +лише для серверів ActiveDirectory. + + + Типове значення: objectSid для ActiveDirectory, не встановлено для інших +серверів. + + + + + + ldap_group_modify_timestamp (рядок) + + + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + + + Типове значення: modifyTimestamp + + + + + + ldap_group_type (рядок) + + + Атрибут LDAP, що містить ціле значення і позначає тип групи, а також, +можливо, інші прапорці. + + + Цей атрибут у поточній версії використовується лише засобом надання даних AD +для визначення, чи є група локальною групою домену і чи має бути її +відфільтровано у списку надійних (довірених) доменів. + + + Типове значення: groupType у засобі надання даних AD, у інших засобах не +встановлено + + + + + + ldap_group_external_member (рядок) + + + Атрибут LDAP, який посилається на записи учасників групи, які визначено у +зовнішньому домені. У поточній версії передбачено підтримку лише зовнішніх +записів учасників IPA. + + + Типове значення: ipaExternalMember у засобі надання даних IPA, у інших +засобах не визначено. + + + + + + + + + АТРИБУТИ МЕРЕЖЕВОЇ ГРУПИ + + + + ldap_netgroup_object_class (рядок) + + + Клас об’єктів запису мережевої групи (netgroup) у LDAP. + + + У надавачі даних IPA має бути використано ipa_netgroup_object_class. + + + Типове значення: nisNetgroup + + + + + + ldap_netgroup_name (рядок) + + + Атрибут LDAP, що відповідає назві мережевої групи (netgroup). + + + У надавачі даних IPA має бути використано ipa_netgroup_name. + + + Типове значення: cn + + + + + + ldap_netgroup_member (рядок) + + + Атрибут LDAP, у якому містяться імена учасників мережевої групи (netgroup). + + + У надавачі даних IPA має бути використано ipa_netgroup_member. + + + Типове значення: memberNisNetgroup + + + + + + ldap_netgroup_triple (рядок) + + + Атрибут LDAP, що містить трійки мережевої групи (вузол, користувач, домен). + + + Цим параметром не можна скористатися у надавачі даних IPA. + + + Типове значення: nisNetgroupTriple + + + + + + ldap_netgroup_modify_timestamp (рядок) + + + Атрибут LDAP, що містить часову позначку останньої зміни батьківського +об’єкта. + + + Цим параметром не можна скористатися у надавачі даних IPA. + + + Типове значення: modifyTimestamp + + + + + + + + + АТРИБУТИ ВУЗЛА + + + + ldap_host_object_class (рядок) + + + Клас об’єктів запису вузла у LDAP. + + + Типове значення: ipService + + + + + + ldap_host_name (рядок) + + + Атрибут LDAP, що відповідає назві вузла. + + + Типове значення: cn + + + + + + ldap_host_fqdn (рядок) + + + Атрибут LDAP, що відповідає повній назві вузла. + + + Типове значення: fqdn + + + + + + ldap_host_serverhostname (рядок) + + + Атрибут LDAP, що відповідає назві вузла. + + + Типове значення: serverHostname + + + + + + ldap_host_member_of (рядок) + + + Атрибут LDAP зі списком груп, у яких бере участь вузол. + + + Типове значення: memberOf + + + + + + ldap_host_ssh_public_key (рядок) + + + Атрибут LDAP, який містить відкриті ключі SSH вузла. + + + Типове значення: sshPublicKey + + + + + + ldap_host_uuid (рядок) + + + Атрибут LDAP, що містить UUID/GUID об’єкта вузла LDAP. + + + Типове значення: not set + + + + + + + + + АТРИБУТИ СЛУЖБИ + + + + ldap_service_object_class (рядок) + + + Клас об’єктів запису служби у LDAP. + + + Типове значення: ipService + + + + + + ldap_service_name (рядок) + + + Атрибут LDAP, що містить назву атрибутів служби та замінників цих атрибутів. + + + Типове значення: cn + + + + + + ldap_service_port (рядок) + + + Атрибут LDAP, що містить номер порту, яким керує ця служба. + + + Типове значення: ipServicePort + + + + + + ldap_service_proto (рядок) + + + Атрибут LDAP, що містить протоколи, за яким може працювати ця служба. + + + Типове значення: ipServiceProtocol + + + + + + + + + АТРИБУТИ SUDO + + + + ldap_sudorule_object_class (рядок) + + + Клас об’єктів запису правила sudo у LDAP. + + + Типове значення: sudoRole + + + + + + ldap_sudorule_name (рядок) + + + Атрибут LDAP, що відповідає назві правила sudo. + + + Типове значення: cn + + + + + + ldap_sudorule_command (рядок) + + + Атрибут LDAP, що відповідає назві команди. + + + Типове значення: sudoCommand + + + + + + ldap_sudorule_host (рядок) + + + Атрибут LDAP, який відповідає назві вузла (або IP-адресі вузла, IP-мережі +вузла, мережевій групі вузла) + + + Типове значення: sudoHost + + + + + + ldap_sudorule_user (рядок) + + + Атрибут LDAP, що відповідає назві імені користувача (або UID, назві групи +або назві мережевої групи користувача) + + + Типове значення: sudoUser + + + + + + ldap_sudorule_option (рядок) + + + Атрибут LDAP, що відповідає параметрам sudo. + + + Типове значення: sudoOption + + + + + + ldap_sudorule_runasuser (рядок) + + + Атрибут LDAP, що відповідає користувачеві, від імені якого можна виконувати +команди. + + + Типове значення: sudoRunAsUser + + + + + + ldap_sudorule_runasgroup (рядок) + + + Атрибут LDAP, що відповідає назві групи або GID, від імені якої можна +виконувати команди. + + + Типове значення: sudoRunAsGroup + + + + + + ldap_sudorule_notbefore (рядок) + + + Атрибут LDAP, що відповідає даті і часу набуття чинності правилом sudo. + + + Типове значення: sudoNotBefore + + + + + + ldap_sudorule_notafter (рядок) + + + Атрибут LDAP, що відповідає даті і часу втрати чинності правилом sudo. + + + Типове значення: sudoNotAfter + + + + + + ldap_sudorule_order (рядок) + + + Атрибут LDAP, що відповідає порядковому номеру правила. + + + Типове значення: sudoOrder + + + + + + + + + АТРИБУТИ AUTOFS + + + + + + + АТРИБУТИ ВУЗЛА IP + + + + ldap_iphost_object_class (рядок) + + + Клас об'єктів запису iphost у LDAP. + + + Типове значення: ipHost + + + + + + ldap_iphost_name (рядок) + + + Атрибут LDAP, що містить назву атрибутів IP вузла та замінників цих +атрибутів. + + + Типове значення: cn + + + + + + ldap_iphost_number (рядок) + + + Атрибут LDAP, який містить адресу IP вузла. + + + Типове значення: ipHostNumber + + + + + + + + + АТРИБУТИ МЕРЕЖІ IP + + + + ldap_ipnetwork_object_class (рядок) + + + Клас об'єктів запису ipnetwork у LDAP. + + + Типове значення: ipNetwork + + + + + + ldap_ipnetwork_name (рядок) + + + Атрибут LDAP, що містить назву атрибутів мережі IP та замінників цих +атрибутів. + + + Типове значення: cn + + + + + + ldap_ipnetwork_number (рядок) + + + Атрибут LDAP, який містить адресу мережі IP. + + + Типове значення: ipNetworkNumber + + + + + + + + + + + diff --git a/src/man/uk/sssd-ldap.5.xml b/src/man/uk/sssd-ldap.5.xml new file mode 100644 index 0000000..aa56d64 --- /dev/null +++ b/src/man/uk/sssd-ldap.5.xml @@ -0,0 +1,1805 @@ + + + +Сторінки підручника SSSD + + + + + sssd-ldap + 5 + Формати файлів та правила + + + + sssd-ldap + Модуль надання даних LDAP SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування доменів LDAP для + sssd 8 +. Щоб дізнатися більше про синтаксис налаштування, зверніться +до розділу «ФОРМАТ ФАЙЛА» сторінки довідника +sssd.conf 5 +. + + Ви можете налаштувати SSSD на використання декількох доменів LDAP. + + + LDAP back end supports id, auth, access and chpass providers. If you want to +authenticate against an LDAP server either TLS/SSL or LDAPS is +required. sssd does not support +authentication over an unencrypted channel. Even if the LDAP server is used +only as an identity provider, an encrypted channel is strongly +recommended. Please refer to ldap_access_filter config option +for more information about using LDAP as an access provider. + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Всі загальні параметри налаштування, які стосуються доменів SSSD, також +стосуються і доменів LDAP. Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки +підручника sssd.conf +5 , щоб дізнатися більше. Зауважте, що +атрибути прив'язки до LDAP SSSD описано на сторінці підручника щодо + sssd-ldap-attributes +5 . + + ldap_uri, ldap_backup_uri (рядок) + + + Визначає список адрес серверів LDAP, відокремлених комами, з якими SSSD має +встановлювати з’єднання у порядку пріоритету. Зверніться до розділу +«РЕЗЕРВ», щоб дізнатися більше про перемикання на резервні ресурси та +додаткові сервери. Якщо не вказано, буде використано автоматичне виявлення +служб. Докладніші відомості можна знайти у розділі «ПОШУК СЛУЖБ». + + + Формат адреси має відповідати формату, що визначається RFC 2732: + + + ldap[s]://<вузол>[:порт] + + + У явних адресах IPv6 <вузол> має бути вказано у квадратних дужках, [] + + + приклад: ldap://[fc00::126:25]:389 + + + + + + ldap_chpass_uri, ldap_chpass_backup_uri (рядок) + + + Визначає список адрес серверів LDAP, відокремлених комами, з якими SSSD має +встановлювати з’єднання у порядку пріоритету для зміни пароля +користувача. Зверніться до розділу «РЕЗЕРВ», щоб дізнатися більше про +перемикання на резервні ресурси та додаткові сервери. + + + Для того, щоб уможливити визначення служб, слід встановити значення +параметра ldap_chpass_dns_service_name. + + + Типове значення: порожнє, тобто використовується ldap_uri. + + + + + + ldap_search_base (рядок) + + + Типова базова назва домену, яку слід використовувати для виконання дій від +імені користувача LDAP. + + + Починаючи з SSSD 1.7.0, у SSSD передбачено підтримку визначення декількох +основ для пошуку за допомогою таких синтаксичних конструкцій: + + + основа_пошуку[?діапазон?[фільтр][?основа_пошуку?діапазон?[фільтр]]*] + + + Діапазоном може бути одне зі значень, «base» (основа), «onelevel» (окремий +рівень) або «subtree» (піддерево). + + + Фільтром має бути коректний запис фільтрування LDAP, відповідно до +специфікації http://www.ietf.org/rfc/rfc2254.txt + + + Приклади: + + + ldap_search_base = dc=example,dc=com (еквівалентне до) ldap_search_base = +dc=example,dc=com?subtree? + + + ldap_search_base = +cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? + + + Зауваження: підтримки визначення декількох основ пошуку з посиланням на +об’єкти з однаковими назвами (наприклад груп з однаковою назвою у двох +різних основах пошуку) не передбачено. Такі визначення можуть призвести до +непередбачуваних результатів на клієнтських комп’ютерах. + + + Типове значення: якщо значення не встановлено, буде використано значення +атрибута defaultNamingContext або namingContexts з RootDSE сервера +LDAP. Якщо запису defaultNamingContext не існує або цей запис має порожнє +значення, буде використано namingContexts. Для роботи системи потрібно, щоб +атрибут namingContexts має єдине значення DN бази пошуку сервера +LDAP. Підтримки визначення декількох значень не передбачено. + + + + + + ldap_schema (рядок) + + + Визначає тип схеми, що використовується на сервері LDAP +призначення. Відповідно до вибраної схеми, типові назви атрибутів, отриманих +з сервера, можуть бути різними. Спосіб обробки атрибутів також може бути +різним. + + + У поточній версії передбачено підтримку чотирьох типів схем: + + + + rfc2307 + + + + + rfc2307bis + + + + + IPA + + + + + AD + + + + + + Основною відмінністю між цими типами схем є спосіб запису даних щодо участі +у групах на сервері. Відповідно до rfc2307, список учасників груп +впорядковується за користувачами у атрибуті +memberUid. Відповідно до rfc2307bis і IPA, список +учасників груп впорядковується за назвою домену (DN) і зберігається у +атрибуті member. Відповідно до типу схеми AD, +встановлюється відповідність зі значеннями Active Directory 2008r2. + + + Типове значення: rfc2307 + + + + + + ldap_pwmodify_mode (рядок) + + + Визначає дію, яку буде здійснено для зміни пароля користувача. + + + У поточній версії передбачено два режими: + + + + exop — розширена дія зі зміни пароля (RFC 3062) + + + + + ldap_modify — безпосереднє внесення змін до userPassword (не рекомендуємо). + + + + + + Зауваження: спочатку буде встановлено нове з'єднання для перевірки поточного +пароля шляхом прив'язування до системи від імені користувача, від якого +надійшов запит щодо зміни пароля. Якщо з'єднання вдасться встановити, його +буде використано для зміни пароля, тому у користувача має бути доступ до +запису атрибута userPassword. + + + Типове значення: exop + + + + + + ldap_default_bind_dn (рядок) + + + Типова назва домену прив’язки, яку слід використовувати для виконання дій +LDAP. + + + + + + ldap_default_authtok_type (рядок) + + + Тип розпізнавання для типової назви сервера прив’язки. + + + У поточній версії передбачено підтримку двох механізмів: + + + password + + + obfuscated_password + + + Типове значення: password + + + Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо + sss_obfuscate +8 . + + + + + + ldap_default_authtok (рядок) + + + Лексема розпізнавання типової назви сервера прив’язки. + + + + + + ldap_force_upper_case_realm (булеве значення) + + + Деякі з серверів каталогів, наприклад Active Directory, можуть надавати +частину області адреси UPN лише малими літерами (літерами нижнього +регістру), що може призвести до невдалої спроби розпізнавання. Встановіть +ненульове значення цього параметра, якщо ви бажаєте використовувати назву +області у верхньому регістрі. + + + Типове значення: false + + + + + + ldap_enumeration_refresh_timeout (ціле число) + + + Визначає кількість секунд, протягом яких SSSD має очікувати до оновлення +свого кешу нумерованих записів. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 300 + + + + + + ldap_purge_cache_timeout (ціле число) + + + Визначає частоту пошуків у кеші неактивних записів (зокрема груп без +учасників та користувачів, які ніколи не входили до системи) та вилучення +цих записів з метою економії місця. + + + Встановлення нульового значення цього параметра вимикає дію з очищення +кешу. Будь ласка, зауважте, що якщо увімкнено нумерацію, дія з очищення є +необхідною з метою виявлення записів, вилучених із сервера, її не можна +вимикати. Типово, дія з очищення, якщо увімкнено нумерацію, виконується +кожні 3 години. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 0 (вимкнено) + + + + + + ldap_group_nesting_level (ціле число) + + + Якщо ldap_schema встановлено у значення формату схеми, у якому передбачено +підтримку вкладеності груп (наприклад RFC2307bis), цей параметр визначає +кількість рівнів вкладеності, які оброблятимуться SSSD. Значення цього +параметра буде проігноровано, якщо використано схему RFC2307. + + + Зауваження: за допомогою цього параметра визначається гарантований рівень +вкладеності груп для обробки під час будь-якого пошуку. Втім, може +бути повернуто і групи із більшим рівнем вкладеності, якщо під +час попередніх пошуків відбувалася обробка вищих рівнів вкладеності. Крім +того, послідовні пошуки інших груп можуть розширити набір результатів +початкового пошуку, якщо запити щодо пошуку надходять повторно. + + + Якщо значенням ldap_group_nesting_level є 0, вкладені групи взагалі не +оброблятимуться. Втім, якщо з’єднання встановлено з Active-Directory Server +2008 та новішими версіями з використанням id_provider=ad, +слід також вимкнути використання груп реєстраційних записів (Token-Groups) +встановленням для параметра ldap_use_tokengroups значення false з метою +обмеження вкладеності у групах. + + + Типове значення: 2 + + + + + + ldap_use_tokengroups + + + За допомогою цього параметра можна увімкнути або вимкнути використання +атрибута Token-Groups під час виконання initgroup для користувачів Active +Directory Server 2008 та новіших версій. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: True для AD і IPA, інакше False. + + + + + + ldap_host_search_base (рядок) + + + Необов’язковий. Використати вказаний рядок як основу пошуку об’єктів вузлів. + + + Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про +налаштування декількох основ пошуку. + + + Типове значення: значення ldap_search_base + + + + + + ldap_service_search_base (рядок) + + + + + ldap_iphost_search_base (рядок) + + + + + ldap_ipnetwork_search_base (рядок) + + + + + ldap_search_timeout (ціле число) + + + Визначає час очікування на дані (у секундах) для виконання пошуків ldap, +перш ніж пошук буде скасовано з поверненням кешованих даних (і переходом до +автономного режиму роботи) + + + Зауваження: роботу цього параметра буде змінено у наступних версіях +SSSD. Ймовірно, його буде колись замінено на послідовність часів очікування +для окремих типів пошуків. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 6 + + + + + + ldap_enumeration_search_timeout (ціле число) + + + Визначає час очікування на дані (у секундах) для виконання пошуків номерів +користувачів та груп у ldap, перш ніж пошук буде скасовано з поверненням +кешованих даних (і переходом до автономного режиму роботи) + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 60 + + + + + + ldap_network_timeout (ціле число) + + + Визначає час очікування (у секундах), після завершення якого +poll 2 +/ select +2 з наступним +connect 2 + повертається до стану бездіяльності. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 6 + + + + + + ldap_opt_timeout (ціле число) + + + Визначає час очікування (у секундах), після завершення якого виклики до +синхронних програмних інтерфейсів LDAP буде перервано, якщо не буде отримано +відповіді. Також керує часом очікування під час обміну даними з KDC у +випадку прив’язки SASL, часом очікування на дію з прив’язування LDAP, +розширеної операції зі зміни пароля та дії StartTLS. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 8 + + + + + + ldap_connection_expire_timeout (ціле значення) + + + Визначає час очікування (у секундах), протягом якого підтримуватиметься +з’єднання з сервером LDAP. По завершенню цього часу буде зроблено спробу +повторно встановити з’єднання. У разі використання паралельно до SASL/GSSAPI +буде використано перше за часом значення (це значення або значення строку +дії TGT). + + + Якщо з'єднання є бездіяльним (жодна дія у ньому не виконується активно) +протягом ldap_opt_timeout секунд завершення строку дії, +його буде передчасно розірвано, щоб новий запит не міг потребувати, щоб +з'єднання лишалося відкритим після завершення його строку дії. Неявним +чином, це означає, що з'єднання завжди розриватимуться негайно і не +використовуватимуться повторно, якщо +ldap_connection_expire_timeout <= ldap_opt_timout + + + Цей час очікування може бути подовжено випадковим значенням, яке вказано +параметром ldap_connection_expire_offset + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 900 (15 хвилин) + + + + + + ldap_connection_expire_offset (ціле число) + + + Випадковий зсув від 0 до налаштованого значення, який буде додано до +ldap_connection_expire_timeout. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 0 + + + + + + ldap_connection_idle_timeout (ціле значення) + + + Визначає час очікування (у секундах), протягом якого підтримуватиметься +бездіяльне з’єднання з сервером LDAP. Якщо з'єднання лишатиметься +бездіяльним понад цей час, з'єднання буде розірвано. + + + Ви можете вимкнути цей час очікування, встановивши значення 0. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 900 (15 хвилин) + + + + + + ldap_page_size (ціле число) + + + Визначити кількість записів, які слід отримати з LDAP у відповідь на один +запит. На деяких серверах LDAP визначено обмеження максимальної кількості на +один запит. + + + Типове значення: 1000 + + + + + + ldap_disable_paging (булеве значення) + + + Вимикає контроль сторінок LDAP. Цим параметром слід скористатися, якщо +сервер LDAP повідомляє про підтримку контролю сторінок LDAP у своєму +RootDSE, але цю підтримку не увімкнено або вона не працює належним чином. + + + Приклад: сервери OpenLDAP з модулем контролю сторінок, встановленим на +сервері, але не увімкненим, повідомляють про підтримку у RootDSE, але цією +підтримкою не можна скористатися. + + + Приклад: 389 DS має ваду, пов’язану з тим, що здатен підтримувати лише один +процес контролю сторінок для одного з’єднання. У разі значного навантаження +це може призвести до відмови у виконанні запитів. + + + Типове значення: False + + + + + + ldap_disable_range_retrieval (булеве значення) + + + Вимкнути отримання діапазону Active Directory. + + + У Active Directory за допомогою правила MaxValRange (типове значення 1500 +записів) обмежується кількість записів, які може бути отримано під час +пошуку. Якщо у певній групі міститься більше записів учасників, до відповіді +буде включено специфічне для AD розширення діапазону. За допомогою цього +параметра можна вимкнути обробку розширення діапазону, отже великі групи +буде представлено як такі, у яких немає учасників. + + + Типове значення: False + + + + + + ldap_sasl_minssf (ціле значення) + + + Під час обміну даними з сервером LDAP за допомогою SASL визначає мінімальний +рівень захисту, потрібний для встановлення з’єднання. Значення цього +параметра визначається OpenLDAP. + + + Типове значення: типове для системи значення (зазвичай, визначається у +ldap.conf) + + + + + + ldap_sasl_maxssf (ціле число) + + + Під час обміну даними з сервером LDAP за допомогою SASL визначає +максимальний рівень захисту, потрібний для встановлення з’єднання. Значення +цього параметра визначається OpenLDAP. + + + Типове значення: типове для системи значення (зазвичай, визначається у +ldap.conf) + + + + + + ldap_deref_threshold (ціле число) + + + Вказує кількість учасників групи, записів яких має не вистачати у +зовнішньому кеші для запуску загального пошуку з розіменуванням. Якщо +пропущених записів буде менше за вказану кількість, пошук для них +виконуватиметься окремо. + + + Ви можете повністю вимкнути запити щодо розіменувань встановленням значення +0. Будь ласка, зауважте, що у коді SSSD, зокрема засобу надання даних HBAC +IPA, є інструкції, які реалізовано лише з використанням викликів щодо +розіменування, тому навіть явне вимикання розіменувань не призведе до +вимикання розіменувань у цих частинах коду, якщо на сервері передбачено +підтримку розіменувань і оголошено про керування розіменуваннями у об'єкті +rootDSE. + + + Пошук з розіменуванням — це отримання всіх записів учасників групи за одним +викликом LDAP. У різних серверах LDAP може бути передбачено різні способи +розіменування. У поточній версії передбачено підтримку серверів 389/RHDS, +OpenLDAP та Active Directory. + + + Зауваження: якщо у одній з основ пошуку визначається +фільтр пошуку, покращення швидкодії фільтрів розіменування буде вимкнено, +незалежно від використання цього параметра. + + + Типове значення: 10 + + + + + + ldap_ignore_unreadable_references (булеве значення) + + + Ігнорувати непридатні до читання записи LDAP, на які посилається атрибут +учасника групи. Якщо для цього параметра встановлено значення «false», буде +повернуто повідомлення про помилку, а дія завершиться помилкою, замість +простого ігнорування непридатного до читання запису. + + + Цей параметр може бути корисним, якщо використано надавач даних AD, і +обліковий запис комп'ютера, який sssd використовує для встановлення +з'єднання із AD, не має доступу до певного запису або піддерева LDAP з +міркувань безпеки. + + + Типове значення: False + + + + + + ldap_tls_reqcert (рядок) + + + Визначає перелік перевірок, які слід виконати для сертифікатів серверів у +сеансі TLS, якщо такі перевірки слід виконувати. Може бути визначено одне з +таких значень: + + + never = клієнт не надсилатиме запиту і не перевірятиме +жодних сертифікатів сервера. + + + allow = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано, продовжити сеанс у звичайному режимі. Якщо буде +надано помилковий сертифікат, ігнорувати і продовжити сеанс у звичайному +режимі. + + + try = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано, продовжити сеанс у звичайному режимі. Якщо буде +надано помилковий сертифікат, негайно перервати сеанс. + + + demand = надіслати запит щодо сертифіката сервера. Якщо +сертифікат не буде надано або буде надано помилковий сертифікат, негайно +перервати сеанс. + + + hard = те саме, що і demand + + + Типове значення: hard + + + + + + ldap_tls_cacert (рядок) + + + Визначає файл, який містить сертифікати для всіх служб сертифікації, які +розпізнаються sssd. + + + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у /etc/openldap/ldap.conf + + + + + + ldap_tls_cacertdir (рядок) + + + Визначає шлях до каталогу, де у окремих файлах містяться сертифікати служб +сертифікації (CA). Типовими назвами файлів є хеші сертифікатів з додаванням +«.0». Для створення відповідних назв можна скористатися +cacertdir_rehash, якщо ця програма є доступною. + + + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у /etc/openldap/ldap.conf + + + + + + ldap_tls_cert (рядок) + + + Визначає файл, який містить сертифікат для ключа клієнта. + + + Типове значення: not set + + + + + + ldap_tls_key (рядок) + + + Визначає файл, у якому міститься ключ клієнта. + + + Типове значення: not set + + + + + + ldap_tls_cipher_suite (рядок) + + + Визначає прийнятні комплекти програм для шифрування. Записи у типовому +списку слід відокремлювати комами. З форматом можна ознайомитися на сторінці +довідника до ldap.conf +5. + + + Типове значення: використовувати типові параметри OpenLDAP, що зберігаються +у /etc/openldap/ldap.conf + + + + + + ldap_id_use_start_tls (булеве значення) + + + Specifies that the id_provider connection must also use tls to protect the channel. +true is strongly recommended for security reasons. + + + Типове значення: false + + + + + + ldap_id_mapping (булеве значення) + + + Визначає, що SSSD має намагатися встановити відповідність ідентифікаторів +користувача і групи на основі атрибутів ldap_user_objectsid та +ldap_group_objectsid, замість атрибутів ldap_user_uid_number та +ldap_group_gid_number. + + + У поточній версії у цій можливості передбачено підтримку лише встановлення +відповідності objectSID у ActiveDirectory. + + + Типове значення: false + + + + + + ldap_min_id, ldap_max_id (ціле число) + + + На відміну від прив’язування ідентифікаторів на основі SID, яке +використовується, якщо параметр ldap_id_mapping має значення true, діапазон +дозволених ідентифікаторів для ldap_user_uid_number і ldap_group_gid_number +є необмеженим. У конфігураціях з піддоменами та довіреними доменами це може +призвести до конфліктів ідентифікаторів. Щоб уникнути конфліктів, можна +встановити значення ldap_min_id і ldap_max_id для обмеження дозволеного +діапазону ідентифікаторів, які буде прочитано безпосередньо з сервера. Після +цього піддомени можуть вибирати інші діапазони для прив’язування +ідентифікаторів. + + + Типове значення: не встановлено (обидва параметри встановлено у значення 0) + + + + + + ldap_sasl_mech (рядок) + + + Визначає механізм SASL, який слід використовувати. У поточній версії +перевірено і передбачено підтримку лише механізмів GSSAPI та GSS-SPNEGO. + + + Якщо у модулі обробки передбачено підтримку піддоменів, значення для +піддоменів ldap_sasl_mech буде автоматично успадковано від домену. Якщо для +якогось піддомену потрібне інше значення, його можна перезаписати +встановленням ldap_sasl_mech для цього піддомену окремо. Докладніший опис +можна знайти у розділі щодо довірених доменів у підручнику з +sssd.conf +5. + + + Типове значення: not set + + + + + + ldap_sasl_authid (рядок) + + + Визначає ідентифікатор уповноваження SASL, яким слід скористатися. Якщо +використовується GSSAPI/GSS-SPNEGO, цим ідентифікатором є реєстраційні дані +Kerberos, які використовуються для розпізнавання при доступі до +каталогу. Цей параметр може містити або повні реєстраційні дані (наприклад +host/myhost@EXAMPLE.COM) або просто назву реєстраційного запису (наприклад +host/myhost). Типово, значення не встановлено і використовуються такі +реєстраційні записи: +hostname@REALM +netbiosname$@REALM +host/hostname@REALM +*$@REALM +host/*@REALM +host/* + Якщо жоден +з них не буде знайдено, буде повернуто перший реєстраційний запис у таблиці +ключів. + + + Типове значення: вузол/назва_вузла@ОБЛАСТЬ + + + + + + ldap_sasl_realm (рядок) + + + Визначає область SASL, яку слід використовувати. Якщо не вказано значення, +типовим значенням цього параметра є значення krb5_realm. Якщо +ldap_sasl_authid також містить запис області, цей параметр буде +проігноровано. + + + Типове значення: значення krb5_realm. + + + + + + ldap_sasl_canonicalize (булеве значення) + + + Якщо встановлено значення true (1), бібліотека LDAP виконувати зворотній +пошук з метою переведення назв вузлів у канонічну форму під час прив’язки до +SASL. + + + Типове значення: false; + + + + + + ldap_krb5_keytab (рядок) + + + Визначає таблицю ключів, яку слід використовувати разом з +SASL/GSSAPI/GSS-SPNEGO. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: системна таблиця ключів, зазвичай +/etc/krb5.keytab + + + + + + ldap_krb5_init_creds (булеве значення) + + + Визначає, що id_provider має ініціалізувати реєстраційні дані Kerberos +(TGT). Цю дію буде виконано, лише якщо використовується SASL і вибрано +механізм GSSAPI або GSS-SPNEGO. + + + Типове значення: true + + + + + + ldap_krb5_ticket_lifetime (ціле число) + + + Визначає строк дії (у секундах) TGT, якщо використовується GSSAPI або +GSS-SPNEGO. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: 86400 (24 години) + + + + + + krb5_server, krb5_backup_server (рядок) + + + Визначає список IP-адрес або назв вузлів, відокремлених комами, серверів +Kerberos, з якими SSSD має встановлювати з’єднання. Список має бути +впорядковано за пріоритетом. Докладніше про резервування та додаткові +сервери можна дізнатися з розділу «РЕЗЕРВ». До адрес або назв вузлів може +бути додано номер порту (перед номером слід вписати двокрапку). Якщо +параметр матиме порожнє значення, буде увімкнено виявлення служб. Докладніше +про виявлення служб можна дізнатися з розділу «ПОШУК СЛУЖБ». + + + Під час використання виявлення служб для серверів KDC або kpasswd SSSD +спочатку намагається знайти записи DNS, у яких визначається протокол +_udp. Використання протоколу _tcp відбувається, лише якщо таких записів не +вдасться знайти. + + + У попередніх випусках SSSD цей параметр мав назву «krb5_kdcip». У поточній +версії передбачено розпізнавання цієї застарілої назви, але користувачам +варто перейти на використання «krb5_server» у файлах налаштувань. + + + + + + krb5_realm (рядок) + + + Вказати область Kerberos (для розпізнавання за SASL/GSSAPI/GSS-SPNEGO). + + + Типове значення: типове значення системи, +див. /etc/krb5.conf + + + + + + krb5_canonicalize (булеве значення) + + + Визначає, чи слід перетворювати реєстраційний запис вузла у канонічну форму +під час встановлення з’єднання з сервером LDAP. Цю можливість передбачено з +версії MIT Kerberos >= 1.7 + + + + Типове значення: false + + + + + + krb5_use_kdcinfo (булеве значення) + + + Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які +значення KDC слід використовувати. Типово, дію параметра увімкнено. Якщо ви +вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла +налаштувань krb5.conf +5 . + + + Див. сторінку підручника (man) +sssd_krb5_locator_plugin +8 , щоб дізнатися більше про додаток +пошуку. + + + Типове значення: true + + + + + + ldap_pwd_policy (рядок) + + + Визначає правил оцінки строку дії пароля на боці клієнта. Можна +використовувати такі значення: + + + none — не використовувати перевірки на боці клієнта. У +разі використання цього варіанта перевірку на боці сервера вимкнено не буде. + + + shadow — використовувати атрибути у стилі +shadow +5 для визначення того, чи чинним є +пароль. + + + mit_kerberos — використовувати атрибути MIT Kerberos +для визначення завершення строку дії пароля. У разі зміни пароля +скористайтеся chpass_provider=krb5 для оновлення цих атрибутів. + + + Типове значення: none + + + Зауваження: якщо правила поводження з паролями +налаштовано на боці сервера, ці правила мають пріоритет над правилами, +встановленими за допомогою цього параметра. + + + + + + ldap_referrals (булеве значення) + + + Визначає, чи має бути увімкнено автоматичне визначення напрямків пошуку. + + + Зауважте, що sssd підтримує визначення напрямків, лише якщо систему зібрано +з версією OpenLDAP 2.4.13 або новішою версією. + + + Перехід за спрямуваннями може призвести до значних втрат швидкодії у +середовищах, де такі спрямування використовуються широко. Прикладом такого +середовища може бути Microsoft Active Directory. Якщо у вашому середовищі +спрямування не є обов’язковими, встановлення для цього параметра значення +«false» може значно пришвидшити роботу. Отже, встановлення для цього +параметра значення false рекомендоване у випадку, коли надавач даних LDAP +SSSD використовується разом із модулем обробки Microsoft Active +Directory. Навіть якщо SSSD зможе переходити за посиланнями до іншого AD DC, +додаткові дані виявляться недоступними. + + + Типове значення: true + + + + + + ldap_dns_service_name (рядок) + + + Визначає назву служби, яку буде використано у разі вмикання визначення +служб. + + + Типове значення: ldap + + + + + + ldap_chpass_dns_service_name (рядок) + + + Визначає назву служби, яку буде використано для пошуку сервера LDAP, який +уможливлює зміну паролів, у разі вмикання визначення служб. + + + Типове значення: не встановлено, тобто пошук служб вимкнено + + + + + + ldap_chpass_update_last_change (булеве значення) + + + Визначає, чи слід оновлювати атрибут ldap_user_shadow_last_change даними +щодо кількості днів з часу виконання дії зі зміни пароля. + + + Рекомендуємо встановити цей параметр явним чином, якщо використано +"ldap_pwd_policy = shadow", щоб дати SSSD знати, оновлюватиме LDAP атрибут +shadowLastChange автоматично після зміни пароля чи SSSD має зробити це +окремо. + + + Типове значення: False + + + + + + ldap_access_filter (рядок) + + + Якщо використовується access_provider = ldap та ldap_access_order = filter +(типова поведінка), цей параметр є обов’язковим. Він вказує критерії +фільтрування LDAP, яким має задовольняти запис користувача для надання +доступу до цього вузла. Якщо визначено access_provider = ldap та +ldap_access_order = filter, а цей параметр не встановлено, доступ буде +заборонено всім користувачам. Щоб змінити таку типову поведінку системи, +скористайтеся параметром access_provider = permit. Будь ласка, зауважте, що +цей фільтр застосовуватиметься лише до запису користувача LDAP, отже +фільтрування, засноване на вкладених групах може не працювати (наприклад, +атрибут memberOf для записів AD вказує лише на безпосередні батьківські +записи). Якщо вам потрібне фільтрування, засноване на вкладених групах, будь +ласка, скористайтеся параметром +sssd-simple5 +. + + + Приклад: + + +access_provider = ldap +ldap_access_filter = (employeeType=admin) + + + У прикладі доступ до цього вузла обмежено користувачами, чий атрибут +employeeType встановлено у значення «admin». + + + Автономне кешування для цієї можливості обмежено визначенням того, чи було +надано користувачеві під час попередньої спроби увійти до системи з мережі +права доступу. Якщо під час останньої спроби увійти такі права було надано, +система продовжуватиме надавати права доступу у автономному режимі. Якщо ж +таких прав не було надано, у автономному режимі їх також не буде надано. + + + Типове значення: порожній рядок + + + + + + ldap_account_expire_policy (рядок) + + + За допомогою цього параметра може бути увімкнено визначення атрибутів +керування доступом на боці клієнта. + + + Будь ласка, зауважте, що завжди варто використовувати керування доступом на +боці сервера, тобто сервер LDAP має відмовляти у запитах щодо прив’язування +з відповідним кодом помилки, навіть якщо вказано правильний пароль. + + + Можна використовувати такі значення: + + + shadow: це значення ldap_user_shadow_expire допомагає +визначити, чи завершено строк дії облікового запису. + + + ad: скористатися значенням 32-бітового поля +ldap_user_ad_user_account_control і дозволити доступ, якщо другий біт має +нульове значення. Якщо атрибут не буде знайдено, доступ буде +дозволено. Також буде перевірено, чи не вичерпано строк дії облікового +запису. + + + rhds, ipa, +389ds: використовувати для перевірки доступу значення +ldap_ns_account_lock. + + + nds: для перевірки доступу використовувати значення +ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled і +ldap_user_nds_login_expiration_time. Якщо не буде виявлено жодного з цих +атрибутів, надати доступ. + + + Будь ласка, зауважте, що параметр налаштування ldap_access_order +має включати expire, щоб можна було +користуватися параметром ldap_account_expire_policy. + + + Типове значення: порожній рядок + + + + + + ldap_access_order (рядок) + + + Список відокремлених комами параметрів керування доступом. Можливі значення +списку: + + + filter: використовувати ldap_access_filter + + + lockout: використовувати блокування облікових +записів. Якщо встановлено, цей параметр забороняє доступ, якщо існує атрибут +ldap «pwdAccountLockedTime» і його значенням є «000001010000Z». Будь ласка, +ознайомтеся із документацією до параметра ldap_pwdlockout_dn. Зауважте, що +для працездатності цієї можливості слід встановити «access_provider = ldap». + + + Будь ласка, зауважте, що цей параметр має нижчий пріоритет за +параметр «ppolicy», його може бути вилучено у наступних випусках. + + + + ppolicy: використовувати блокування облікових +записів. Якщо встановлено, забороняє доступ у випадку наявності атрибута +ldap «pwdAccountLockedTime» рівного «000001010000Z» або такого, що +відповідає моменту часу у минулому. Значення атрибута «pwdAccountLockedTime» +має завершуватися на «Z», що позначає часовий пояс UTC. Підтримки інших +часових поясів у поточній версії не передбачено, їхнє використання +призводитиме до появи повідомлення про заборону доступу, коли користувачі +намагатимуться увійти до системи. Докладніший опис можна знайти у розділі +щодо параметра ldap_pwdlockout_dn. Будь ласка, зауважте, що для +працездатності цього параметра слід встановити значення «access_provider = +ldap». + + + + expire: використовувати ldap_account_expire_policy + + + pwd_expire_policy_reject, pwd_expire_policy_warn, +pwd_expire_policy_renew: Ці параметри корисні, якщо користувачам +потрібні попередження щодо скорого завершення строку дії пароля, і у +випадках, коли розпізнавання засновано на відмінних від паролів методах, +наприклад на ключах SSH. + + + The difference between these options is the action taken if user password is +expired: + + + + pwd_expire_policy_reject - user is denied to log in, + + + + + pwd_expire_policy_warn - user is still able to log in, + + + + + pwd_expire_policy_renew - user is prompted to change their password +immediately. + + + + + + Будь ласка, зауважте, що для того, щоб цим можна було скористатися, слід +встановити «access_provider = ldap». Крім того, слід встановити для +параметра «ldap_pwd_policy» відповідні правила поводження із паролями. + + + authorized_service: використовувати для визначення +можливості доступу атрибут authorizedService + + + host: за допомогою цього атрибута вузла можна визначити +права доступу + + + rhost: використовувати атрибут rhost для визначення +того, чи матиме віддалений вузол доступ + + + Будь ласка, зауважте, що значення поля rhost у pam встановлюється +програмою. Варто перевірити, що програма надсилає pam, перш ніж вмикати цей +варіант керування доступом. + + + Типове значення: filter + + + Зауважте, що програма повідомить про помилку, якщо одне значення було +використано декілька разів. + + + + + + ldap_pwdlockout_dn (рядок) + + + За допомогою цього параметра визначається DN запису правил поводження із +паролями на сервері LDAP. Будь ласка, зауважте, що те, що цього параметра не +буде у sssd.conf, у випадку увімкненого блокування облікових записів +призведе до заборони доступу, оскільки атрибути ppolicy на сервері LDAP не +можна буде перевірити належним чином. + + + Приклад: cn=ppolicy,ou=policies,dc=example,dc=com + + + Типове значення: cn=ppolicy,ou=policies,$ldap_search_base + + + + + + ldap_deref (рядок) + + + Визначає спосіб виконання розіменовування псевдонімів під час виконання +пошуку. Можливі такі варіанти: + + + never: ніколи не виконувати розіменування псевдонімів. + + + searching: розіменування псевдонімів відбувається у +межах основного об’єкта, а не на основі визначення місця основного об’єкта +пошуку. + + + finding: розіменування псевдонімів відбувається лише +під час визначення місця основного об’єкта пошуку. + + + always: розіменування псевдонімів відбувається як під +час пошуку, так і під час визначення місця основного об’єкта пошуку. + + + Типове значення: не встановлено (обробка бібліотеками LDAP клієнта за +сценарієм never) + + + + + + ldap_rfc2307_fallback_to_local_users (булеве значення) + + + Надає змогу зберігати локальних користувачів як учасників групи LDAP для +серверів, у яких використовується схема RFC2307. + + + У деяких середовищах, де використовується схема RFC2307, локальних +користувачів можна зробити учасниками груп LDAP додаванням імен цих +користувачів до атрибута memberUid. Узгодженість домену може бути +скомпрометовано, якщо буде виконано подібне додавання учасника, тому SSSD за +звичайних умов вилучає записи користувачів, яких «не вистачає», з кешованих +даних щодо участі у групах, щойно nsswitch спробує отримати дані щодо +користувачів за допомогою виклику getpw*() або initgroups(). + + + У разі використання цього параметра програма повертається до перевірки +посилань на локальних користувачів і кешує їх так, що наступні виклики +initgroups() розширюватимуть список локальних користувачів додатковими +групами LDAP. + + + Типове значення: false + + + + + + wildcard_limit (ціле число) + + + Визначає верхню межу для кількості записів, які отримуватимуться під час +пошуку з використанням символів-замінників. + + + У поточній версії пошук із використанням символів-замінників передбачено +лише для відповідача InfoPipe. + + + Типове значення: 1000 (часто розмір однієї сторінки) + + + + + + ldap_library_debug_level (ціле число) + + + Вмикає діагностику libldap із вказаним рівнем. Діагностичні повідомлення +libldap буде записано незалежно від загального debug_level. + + + OpenLDAP використовує бітову карту для вмикання діагностики для певних +компонентів, -1 увімкне повне виведення діагностичних даних. + + + Типове значення: 0 (діагностику libldap вимкнено) + + + + + + + + + + ПАРАМЕТРИ SUDO + + Докладні настанов щодо налаштовування sudo_provider можна знайти на сторінці +довідника (man) sssd-sudo +5 . + + + + + + ldap_sudo_full_refresh_interval (ціле число) + + + Проміжок часу у секундах між послідовними повними оновленнями правил sudo +SSSD у автоматичному режимі. Під час таких оновлень буде отримано повний +набір правил, що зберігаються на сервері. + + + Це значення має перевищувати значення +ldap_sudo_smart_refresh_interval + + + Ви можете вимкнути повне оновлення встановленням для цього параметра +значення 0. Втім, обов'язково має бути увімкнено або кмітливе або повне +оновлення. + + + Типове значення: 21600 (6 годин) + + + + + + ldap_sudo_smart_refresh_interval (ціле число) + + + Проміжок часу у секундах між послідовними кмітливими оновленнями правил sudo +SSSD у автоматичному режимі. Під час таких оновлень буде отримано всі дані +правил, USN яких перевищує найбільше значення сервера USN, яке відоме SSSD. + + + Якщо підтримки атрибутів USN на сервері не передбачено, буде використано +дані атрибута modifyTimestamp. + + + Зауваження: набільше значення USN можна оновити у три +способи: 1) повним і кмітливим оновленням sudo (якщо виявлено оновлені +правила), 2) нумеруванням користувачів і груп (якщо виявлено увімкнені і +оновлені записи користувачів або груп) і 3) повторним з'єднанням із сервером +(типово, кожні 15 хвилин, +див. ldap_connection_expire_timeout). + + + Ви можете вимкнути кмітливе оновлення встановленням для цього параметра +значення 0. Втім, обов'язково має бути увімкнено або кмітливе або повне +оновлення. + + + Типове значення: 900 (15 хвилин) + + + + + + ldap_sudo_random_offset (ціле число) + + + Випадковий зсув від 0 до налаштованого значення, який буде додано до +кмітливого і повного періодів оновлення кожного разу під час планування +регулярного завдання. Значення у секундах. + + + Зауважте, що цей випадковий зсув буде також застосовано під час першого +запуску SSSD, що затримає перше оновлення правил sudo. Затримка збільшує +час, протягом якого правила sudo є недоступними для використання. + + + Ви можете вимкнути цей зсув, встановивши значення 0. + + + Типове значення: 0 (вимкнено) + + + + + + ldap_sudo_use_host_filter (булеве значення) + + + Якщо визначено значення true, SSSD отримуватиме лише правила, що стосуються +цього комп’ютера (на основі адрес вузла або мережі у форматах IPv4 і IPv6 та +назв вузлів). + + + Типове значення: true + + + + + + ldap_sudo_hostnames (рядок) + + + Список назв вузлів або повних доменних назв, відокремлених пробілами, для +фільтрування списку правил. + + + Якщо значення цього параметра є порожнім, SSSD намагатиметься визначити +назву вузла та повну назву комп’ютера у домені у автоматичному режимі. + + + Якщо для ldap_sudo_use_host_filter встановлено значення +false, цей параметр ні на що не впливатиме. + + + Типове значення: не вказано + + + + + + ldap_sudo_ip (рядок) + + + Список адрес вузлів або мереж у форматах IPv4 і IPv6 для фільтрування списку +правил. + + + Якщо значення цього параметра є порожнім, SSSD намагатиметься визначити +адресу у автоматичному режимі. + + + Якщо для ldap_sudo_use_host_filter встановлено значення +false, цей параметр ні на що не впливатиме. + + + Типове значення: не вказано + + + + + + ldap_sudo_include_netgroups (булеве значення) + + + Якщо вказано значення true, SSSD отримуватиме всі правила, що містять +мережеву групу (netgroup) у атрибуті sudoHost. + + + Якщо для ldap_sudo_use_host_filter встановлено значення +false, цей параметр ні на що не впливатиме. + + + Типове значення: true + + + + + + ldap_sudo_include_regexp (булеве значення) + + + Якщо вказано значення true, SSSD отримуватиме всі правила, що містять шаблон +заміни у атрибуті sudoHost. + + + Якщо для ldap_sudo_use_host_filter встановлено значення +false, цей параметр ні на що не впливатиме. + + + + Використання символів-замінників є дуже обчислювально вартісною операцією +для сервера LDAP! + + + + Типове значення: false + + + + + + + На цій сторінці довідника наведено дані щодо відповідності назв +атрибутів. Докладний опис семантики атрибутів, пов’язаних з sudo, можна +знайти у довідці з +sudoers.ldap5 +. + + + + + ПАРАМЕТРИ AUTOFS + + Деякі типові значення параметрів, описаних нижче, залежать від бази даних +LDAP. + + + + + ldap_autofs_map_master_name (рядок) + + + Назва основної карти автоматичного монтування у LDAP. + + + Типове значення: auto.master + + + + + + + + + + + ДОДАТКОВІ ПАРАМЕТРИ + + Підтримку цих параметрів передбачено доменами LDAP, але користуватися ними +слід обережно. Будь ласка, використовуйте їх у налаштуваннях, лише якщо вам +відомі наслідки ваших дій. + + ldap_netgroup_search_base (рядок) + + + + + ldap_user_search_base (рядок) + + + + + ldap_group_search_base (рядок) + + + + + + + Якщо увімкнено параметр ldap_use_tokengroups, пошуки в Active +Directory не буде обмежено — він повертатиме усі дані щодо участі у групах, +навіть без прив'язки до GID. Рекомендуємо вимкнути цю можливість, якщо назви +груп показуються неправильно. + + + + ldap_sudo_search_base (рядок) + + + + + ldap_autofs_search_base (рядок) + + + + + + + + + + + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином, а LDAP встановлено на один з доменів з розділу +[domains]. + + + +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true + + + + + ПРИКЛАД ФІЛЬТРА ДОСТУПУ LDAP + + У наведеному нижче прикладі припускається, що SSSD налаштовано належним +чином і використано ldap_access_order=lockout. + + + +[domain/LDAP] +id_provider = ldap +auth_provider = ldap +access_provider = ldap +ldap_access_order = lockout +ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org +ldap_uri = ldap://ldap.mydomain.org +ldap_search_base = dc=mydomain,dc=org +ldap_tls_reqcert = demand +cache_credentials = true + + + + + + ЗАУВАЖЕННЯ + + Описи деяких з параметрів налаштування на цій сторінці підручника засновано +на даних сторінки підручника (man) +ldap.conf 5 + з пакунка OpenLDAP 2.4. + + + + + + + diff --git a/src/man/uk/sssd-session-recording.5.xml b/src/man/uk/sssd-session-recording.5.xml new file mode 100644 index 0000000..9a639f7 --- /dev/null +++ b/src/man/uk/sssd-session-recording.5.xml @@ -0,0 +1,181 @@ + + + +Сторінки підручника SSSD + + + + + sssd-session-recording + 5 + Формати файлів та правила + + + + sssd-session-recording + Налаштовування записів сеансів за допомогою SSSD + + + + ОПИС + + На цій сторінці підручника описано налаштовування +sssd 8 +на роботу з tlog-rec-session +8 , частиною пакунка tlog, для +реалізації записування сеансів користувачів у текстових +терміналах. Докладний довідник щодо синтаксису налаштувань можна знайти у +розділі ФОРМАТ ФАЙЛА сторінки підручника з +sssd.conf 5 +. + + + SSSD можна налаштувати так, щоб уможливити запис усіх даних, які бачать або +вводять протягом сеансу у текстових терміналах вказані +користувачі. Наприклад, можна записувати дані щодо входу користувачів за +допомогою консолі або SSH. Сама SSSD нічого не записує, а лише забезпечує +запуск tlog-rec-session під час входу до системи користувача, щоб можна було +здійснювати запис відповідно до налаштувань. + + + Для користувачів, для яких увімкнено запис сеансів, SSSD замінює командну +оболонку користувача на tlog-rec-session у відповідях NSS і додає змінну, +яка вказує на початкову командну оболонку до середовища користувача у +налаштування сеансу PAM. Таким чином забезпечується запуск tlog-rec-session +замість командної оболонки користувача і надання даних про те, яку командну +оболонку слід запустити, щойно розпочнеться записування. + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + + Цими параметрами можна скористатися для налаштовування запису сеансів. + + + + scope (рядок) + + + Один із вказаних нижче рядків, що визначають область запису сеансів: + + + "none" + + + Користувачі не записуються. + + + + + "some" + + + Запис вестиметься для користувачів і груп, вказаних параметрами +користувачі і групи. + + + + + "all" + + + Усі користувачі записуються. + + + + + + + Типове значення: none + + + + + users (рядок) + + + Список відокремлених комами записів користувачів, для яких увімкнено +записування сеансів. Належність до списку визначатиметься за іменами, +повернутими NSS, тобто після можливих замін пробілів, змін регістру символів +тощо. + + + Типове значення: порожнє. Не відповідає жодному користувачу. + + + + + groups (рядок) + + + Список відокремлених комами записів груп, для користувачів яких буде +увімкнено записування сеансів. Належність до списку визначатиметься за +назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру +символів тощо. + + + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + + + Типове значення: порожнє. Не відповідає жодній групі. + + + + + exclude_users (рядок) + + + Список відокремлених комами записів користувачів, яких має бути виключено із +записування. Може бути застосовано лише разом із «scope=all». + + + Типове значення: порожнє. Не виключати жодного користувача. + + + + + exclude_groups (рядок) + + + Список відокремлених комами записів груп, учасників яких має бути виключено +із записування. Може бути застосовано лише разом із «scope=all». + + + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + + + Типове значення: порожнє. Не виключати жодної групи. + + + + + + + + ПРИКЛАД + + У наведеному нижче фрагменті файла sssd.conf увімкнено запис сеансів для +користувачів contractor1 і contractor2» та групи students. + + + +[session_recording] +scope = some +users = contractor1, contractor2 +groups = students + + + + + + + + diff --git a/src/man/uk/sssd-simple.5.xml b/src/man/uk/sssd-simple.5.xml new file mode 100644 index 0000000..8e19a66 --- /dev/null +++ b/src/man/uk/sssd-simple.5.xml @@ -0,0 +1,152 @@ + + + +Сторінки підручника SSSD + + + + + sssd-simple + 5 + Формати файлів та правила + + + + sssd-simple + файл налаштувань інструмента керування доступом «simple» SSSD + + + + ОПИС + + На цій сторінці довідника описано налаштування простого засобу керування +доступом для sssd +8 . Щоб дізнатися більше про синтаксис +налаштування, зверніться до розділу «ФОРМАТ ФАЙЛА» сторінки довідника + sssd.conf +5 . + + + Простий засіб керування доступом надає або забороняє доступ на основі списку +допуску або заборони, складеного за назвами облікових записів користувачів +та групами. Використовуються такі правила: + + + Якщо всі списки є порожніми, доступ буде надано. + + + + Якщо вказано будь-який зі списків, обробка виконуватиметься за послідовністю +«допуск, потім заборона» (allow,deny). Це означає, що будь-яке з правил +заборони матиме пріоритет над будь-яким правилом допуску. + + + + + Якщо буде вказано один або обидва списки допуску («allow»), всім +користувачам поза цими списками доступ буде заборонено. + + + + + Якщо буде вказано лише списки заборони («deny»), всі користувачам поза цими +списками доступ буде надано. + + + + + + + + ПАРАМЕТРИ НАЛАШТУВАННЯ + Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) + sssd.conf +5 , щоб дізнатися більше про +налаштування домену SSSD. + + simple_allow_users (рядок) + + + Відокремлений комами список користувачів, яким дозволено вхід до системи. + + + + + + simple_deny_users (рядок) + + + Список користувачів, яким явно заборонено доступ; записи відокремлюються +комами. + + + + + simple_allow_groups (рядок) + + + Відокремлений комами список груп, користувачам яких дозволено вхід до +системи. Стосується лише груп у межах цього домену SSSD. Локальні групи не +обробляються. + + + + + + simple_deny_groups (рядок) + + + Відокремлений комами список груп, користувачам яких явно заборонено +доступ. Стосується лише груп у межах цього домену SSSD. Локальні групи не +обробляються. + + + + + + + Якщо не вказувати значень для жодного зі списків, вважатиметься, що параметр +не визначено. Пам’ятайте про це, якщо захочете створити параметри для +простого надавача автоматизованими скриптами. + + + Будь ласка, зауважте, що визначення обох параметрів, simple_allow_users і +simple_deny_users, є помилкою у налаштуванні. + + + + + ПРИКЛАД + + У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, +а example.com є одним з доменів у розділі +[sssd]. У прикладі продемонстровано лише +параметри, специфічні для простого засобу доступу. + + + +[domain/example.com] +access_provider = simple +simple_allow_users = user1, user2 + + + + + + ЗАУВАЖЕННЯ + + Повна обробка ієрархії участі у групах виконується до перевірки прав +доступу, отже, до списку груп доступу може бути включено навіть вкладені +групи. Будь ласка, зауважте, що на результати може вплинути значення +параметра «ldap_group_nesting_level». Вам слід встановити для нього достатнє +значення. Див. +sssd-ldap5 +. + + + + + + + diff --git a/src/man/uk/sssd-sudo.5.xml b/src/man/uk/sssd-sudo.5.xml new file mode 100644 index 0000000..b126ece --- /dev/null +++ b/src/man/uk/sssd-sudo.5.xml @@ -0,0 +1,233 @@ + + + +Сторінки підручника SSSD + + + + + sssd-sudo + 5 + Формати файлів та правила + + + + sssd-sudo + Налаштовування sudo за допомогою модуля SSSD + + + + ОПИС + + На цій сторінці підручника описано способи налаштовування +sudo 8 +на роботу у комплексі з sssd +8 та способи кешування правил sudo у +SSSD. + + + + + Налаштовування sudo на співпрацю з SSSD + + Щоб увімкнути SSSD як джерело правил sudo, додайте sss +до запису sudoers у файлі +nsswitch.conf 5 +. + + + Наприклад, щоб налаштувати sudo на першочерговий пошук правил у стандартному +файлі sudoers +5 (цей файл має містити правила, що +стосуються локальних користувачів), а потім у SSSD, у файлі nsswitch.conf +слід вказати такий рядок: + + + +sudoers: files sss + + + + Докладніші дані щодо налаштовування порядку пошуку у sudoers за допомогою +файла nsswitch.conf, а також дані щодо бази даних LDAP, у якій зберігаються +правила sudo каталогу, можна знайти на сторінці підручника +sudoers.ldap 5 +. + + + Зауваження: щоб у правилах sudo можна було +використовувати мережеві групи або групи вузлів IPA, вам слід належним чином +налаштувати nisdomainname +1 на назву домену NIS (назва цього +домену збігається з назвою домену IPA, якщо використовуються групи вузлів +IPA). + + + + + Налаштовування SSSD на отримання правил sudo + + На боці SSSD достатньо розширити список служб +дописуванням «sudo» до розділу [sssd] +sssd.conf 5 +. Щоб пришвидшити пошуку у LDAP, ви також можете налаштувати +базу пошуку для правил sudo за допомогою параметра +ldap_sudo_search_base. + + + У наведеному нижче прикладі показано, як налаштувати SSSD на отримання +правил sudo з сервера LDAP. + + + +[sssd] +config_file_version = 2 +services = nss, pam, sudo +domains = EXAMPLE + +[domain/EXAMPLE] +id_provider = ldap +sudo_provider = ldap +ldap_uri = ldap://example.com +ldap_sudo_search_base = ou=sudoers,dc=example,dc=com + Важливо зауважити, що на платформах, де +передбачено підтримку systemd, немає потреби додавати засіб надання даних +«sudo» до списку служб, оскільки він стає необов'язковим. Втім, замість +нього слід увімкнути sssd-sudo.socket. + + + Якщо SSSD налаштовано на використання IPA як засобу надання даних ID, засіб +надання даних sudo буде увімкнено автоматично. Базу пошуку sudo буде +налаштовано на використання природного для IPA дерева LDAP +(cn=sudo,$SUFFIX). Якщо у sssd.conf буде визначено будь-яку іншу базу +пошуку, використовуватиметься це значення. Для використання функціональних +можливостей sudo у IPA потреби у дереві compat (ou=sudoers,$SUFFIX) більше +немає. + + + + + Механізм кешування правил SUDO + + Найбільшою складністю під час розробки підтримки sudo у SSSD було +забезпечення роботи sudo з SSSD так, щоб для користувача джерело даних +надавало дані у один спосіб та з тією самою швидкістю, що і sudo, надаючи +при цьому якомога свіжіший набір правил. Щоб виконати ці умови, SSSD +використовує оновлення трьох типів. Будемо називати ці тип повним +оновленням, інтелектуальним оновленням та оновленням правил. + + + Використання типу інтелектуального оновлення полягає у +отриманні правил, які було додано або змінено з часу попереднього +оновлення. Основним призначенням оновлення такого типу є підтримання +актуального стану бази даних невеличкими порціями, які не спричиняють +значного навантаження на мережу. + + + У разі використання повного оновлення всі правила sudo, +що зберігаються у кеші, буде вилучено і замінено на всі правила, які +зберігаються на сервері. Таким чином, кеш буде узгоджено шляхом вилучення +всіх правил, які було вилучено на сервері. Втім, повне оновлення може значно +навантажувати канал з’єднання, а отже його варто використовувати лише +іноді. Проміжок між сеансами повного оновлення має залежати від розміру і +стабільності правил sudo. + + + У разі використання типу оновлення правил +забезпечується ненадання користувачам ширших дозволів, ніж це було визначено +на сервері. Оновлення цього типу виконується під час кожного запуску +користувачем sudo. Під час оновлення буде виявлено всі правила, які +стосуються користувача, перевірено, чи не завершено строк дії цих правил, і +повторно отримано правила, якщо строк дії правил завершено. Якщо якихось з +правил не буде виявлено на сервері, SSSD виконає позачергове повне +оновлення, оскільки може виявитися, що було вилучено набагато більше правил +(які стосуються інших користувачів). + + + Якщо увімкнено, SSSD зберігатиме лише правила, які можна застосувати до +цього комп’ютера. Це означає, що зберігатимуться правила, що містять у +атрибуті sudoHost одне з таких значень: + + + + + ключове слово ALL + + + + + шаблон заміни + + + + + мережеву групу (у форматі «+мережева група») + + + + + назву вузла або повну назву у домені цього комп’ютера + + + + + одну з IP-адрес цього комп’ютера + + + + + одну з IP-адрес мережі (у форматі «адреса/маска») + + + + + Для точного налаштовування поведінки передбачено доволі багато параметрів +Будь ласка, зверніться до розділу «ldap_sudo_*» у +sssd-ldap 5 + та «sudo_*» у +sssd.conf 5 +, щоб ознайомитися з докладним описом. + + + + + Коригування швидкодії + + SSSD використовує різні типи механізмів із складнішими або простішими +фільтрами LDAP для підтримання актуальності кешованих правил sudo. У типових +налаштуваннях використано значення, які мають задовольнити потреби більшості +наших користувачів, але у наступних абзацах міститься декілька підказок щодо +того, як скоригувати налаштування до ваших потреб. + + + 1. Індексуйте атрибути LDAP. Переконайтеся, що +індексуються такі атрибути LDAP: objectClass, cn, entryUSN та +modifyTimestamp. + + + 2. Встановіть ldap_sudo_search_base. Встановіть основу +для пошуку так, щоб вона вказувала на контейнер, який містить правила sudo +для обмеження області пошуку. + + + 3. Встановіть інтервал повного і кмітливого +оновлення. Якщо ваші правила sudo змінюються нечасто, і вам не +потрібне швидке оновлення кешованих правил на ваших клієнтах, ви можете +збільшити значення ldap_sudo_full_refresh_interval і +ldap_sudo_smart_refresh_interval. Крім того, варто +вимкнути кмітливе оновлення встановленням +ldap_sudo_smart_refresh_interval = 0. + + + 4. Якщо у вас багато клієнтів, вам варто збільшити значення +ldap_sudo_random_offset, щоб краще розподілити +навантаження на сервер. + + + + + + + diff --git a/src/man/uk/sssd-systemtap.5.xml b/src/man/uk/sssd-systemtap.5.xml new file mode 100644 index 0000000..4e81757 --- /dev/null +++ b/src/man/uk/sssd-systemtap.5.xml @@ -0,0 +1,433 @@ + + + +Сторінки підручника SSSD + + + + + sssd-systemtap + 5 + Формати файлів та правила + + + + sssd-systemtap + Дані systemtap SSSD + + + + ОПИС + + Цю сторінку підручника присвячено функціональним можливостям systemtap у + sssd 8 +. + + + Точки зондування SystemTap додано до різноманітних частин коду SSSD, щоб +полегшити усування вад та аналіз пов'язаних зі швидкодією проблем. + + + + + + Зразки скриптів SystemTap зберігаються у каталозі /usr/share/sssd/systemtap/ + + + + + Зонди і різноманітні функції визначено у +/usr/share/systemtap/tapset/sssd.stp і +/usr/share/systemtap/tapset/sssd_functions.stp, відповідно. + + + + + + + + ТОЧКИ ЗОНДУВАННЯ + + Дані у наведених нижче списках точок зондування та аргументів записано у +такому форматі: + + + + зонд $назва + + + Опис точки зондування + + +змінна1:тип даних +змінна2:тип даних +змінна3:тип даних +... + + + + + + + Зонди операцій із базою даних + + + + зонд sssd_transaction_start + + + Розпочати операцію sysdb, зондує функцію sysdb_transaction_start(). + + +nesting:ціле число +probestr:рядок + + + + + зонд sssd_transaction_cancel + + + Скасовування операції sysdb, зондує функцію sysdb_transaction_cancel() . + + +nesting:ціле число +probestr:рядок + + + + + зонд sssd_transaction_commit_before + + + Зондує функцію sysdb_transaction_commit_before(). + + +nesting:ціле число +probestr:рядок + + + + + зонд sssd_transaction_commit_after + + + Зондує функцію sysdb_transaction_commit_after(). + + +nesting:ціле число +probestr:рядок + + + + + + + + + Зонди пошуку у LDAP + + + + зонд sdap_search_send + + + Зондує функцію sdap_get_generic_ext_send(). + + +base:рядок +scope:ціле число +filter:рядок +attrs:рядок +probestr:рядок + + + + + зонд sdap_search_recv + + + Зондує функцію sdap_get_generic_ext_recv(). + + +base:рядок +scope:ціле число +filter:рядок +probestr:рядок + + + + + зонд sdap_parse_entry + + + Зондує функцію sdap_parse_entry(). Викликається повторно для кожного +отриманого атрибута. + + +attr:рядок +value:рядок + + + + + probe sdap_parse_entry_done + + + Зондує функцію sdap_parse_entry(). Викликається після завершення обробки +отриманого об'єкта. + + + + + зонд sdap_deref_send + + + Зондує функцію sdap_deref_search_send(). + + +base_dn:рядок +deref_attr:рядок +probestr:рядок + + + + + зонд sdap_deref_recv + + + Зондує функцію sdap_deref_search_recv(). + + +base:рядок +scope:ціле число +filter:рядок +probestr:рядок + + + + + + + + + Зонди запитів щодо облікових записів у LDAP + + + + зонд sdap_acct_req_send + + + Зондує функцію sdap_acct_req_send(). + + +entry_type:ціле число +filter_type:ціле число +filter_value:рядок +extra_value:рядок + + + + + зонд sdap_acct_req_recv + + + Зондує функцію sdap_acct_req_recv(). + + +entry_type:ціле число +filter_type:ціле число +filter_value:рядок +extra_value:рядок + + + + + + + + + Зонди пошуку користувачів у LDAP + + + + зонд sdap_search_user_send + + + Зондує функцію sdap_search_user_send(). + + +filter:рядок + + + + + зонд sdap_search_user_recv + + + Зондує функцію sdap_search_user_recv(). + + +filter:рядок + + + + + зонд sdap_search_user_save_begin + + + Зондує функцію sdap_search_user_save_begin(). + + +filter:рядок + + + + + зонд sdap_search_user_save_end + + + Зондує функцію sdap_search_user_save_end(). + + +filter:рядок + + + + + + + + + Зонди запитів до постачальника даних + + + + зонд dp_req_send + + + Подано запит до постачальника даних. + + +dp_req_domain:рядок +dp_req_name:рядок +dp_req_target:ціле число +dp_req_method:ціле число + + + + + зонд dp_req_done + + + Завершено виконання запиту до постачальника даних. + + +dp_req_name:рядок +dp_req_target:ціле число +dp_req_method:ціле число +dp_ret:ціле число +dp_errorstr:рядок + + + + + + + + + РІЗНОМАНІТНІ ФУНКЦІЇ + + Дані у наведених нижче списках точок зондування та аргументів записано у +такому форматі: + + + + функція acct_req_desc(entry_type) + + + Перетворення entry_type на рядок і повернення рядка + + + + + функція sssd_acct_req_probestr(fc_name, entry_type, filter_type, +filter_value, extra_value) + + + Створення рядка зонду на основі типу фільтрування + + + + + функція dp_target_str(target) + + + Перетворення target на рядок і повернення рядка + + + + + функція dp_method_str(target) + + + Перетворення методу на рядок і повернення рядка + + + + + + + + + + ЗРАЗКИ СКРИПТІВ SYSTEMTAP + + Запустіть скрипт SystemTap (stap +/usr/share/sssd/systemtap/<назва_скрипту>.stp), потім +виконайте дію із розпізнавання. Скрипт збере дані за допомогою зондів. + + + Скриптами SystemTap з пакунка є: + + + + dp_request.stp + + + Спостереження за швидкодією обробки запитів засобом надання даних. + + + + + id_perf.stp + + + Спостереження за швидкодією виконання команди id. + + + + + ldap_perf.stp + + + Спостереження за запитами LDAP. + + + + + nested_group_perf.stp + + + Швидкодія визначення назв для вкладених груп. + + + + + + + + + + diff --git a/src/man/uk/sssd.8.xml b/src/man/uk/sssd.8.xml new file mode 100644 index 0000000..5a19a50 --- /dev/null +++ b/src/man/uk/sssd.8.xml @@ -0,0 +1,249 @@ + + + +Сторінки підручника SSSD + + + + + sssd + 8 + + + + sssd + Фонова служба безпеки системи + + + + +sssd +параметри + + + + ОПИС + + У SSSD передбачено набір фонових служб для керування +доступом до віддалених каталогів та механізмами +розпізнавання. SSSD надає операційній системі інтерфейси +NSS і PAM, а також систему придатних для під’єднання модулів для +встановлення з’єднання з декількома різними джерелами даних щодо облікових +записів та інтерфейс D-Bus. SSSD також є основою для +систем перевірки клієнтських систем та служб обслуговування правил доступу +для проєктів, подібних до FreeIPA. SSSD надає стійкішу +базу даних для збереження записів локальних користувачів, а також додаткових +даних щодо користувачів. + + + + + ПАРАМЕТРИ + + + + , +РІВЕНЬ + + + + + + режим + + + + 1: додати часову позначку до діагностичних повідомлень. + + + 0: вимкнути часову позначку у діагностичних +повідомленнях + + + Типове значення: 1 + + + + + + режим + + + + 1: додати значення мікросекунд до часової позначки у +діагностичних повідомленнях + + + 0: вимкнути додавання мікросекунд до часової позначки + + + Типове значення: 0 + + + + + + значення + + + + Місце, куди SSSD надсилатиме повідомлення журналу. + + + stderr: переспрямувати діагностичні повідомлення до +стандартного виведення помилок. + + + files: переспрямувати діагностичні повідомлення до +файлів журналу. Типово файли журналів зберігаються у +/var/log/sssd, передбачено також окремий журнал для +кожної служби і домену SSSD. + + + journald: переспрямувати діагностичні повідомлення до +systemd-journald + + + Типове значення: не встановлено (резервною буде journald, якщо вона +доступна, інакше буде використано stderr) + + + + + + , + + + + Перейти у режим фонової служби після запуску. + + + + + + , + + + + Запустити програму у звичайному режимі, не створювати фонової служби. + + + + + + , + + + + Визначити нетиповий файл налаштувань. Типовим файлом налаштувань є +/etc/sssd/sssd.conf. Довідку щодо синтаксису та +параметрів файла налаштувань можна знайти на сторінці довідника (man) + sssd.conf +5 . + + + + + + , + + + + Не запускати SSSD, а лише оновити базу даних налаштувань на основі вмісту +/etc/sssd/sssd.conf і завершити роботу. + + + + + + , + + + + Подібний до --genconf, але наказує програмі освіжити лише +окремий розділу на основі файла налаштувань. Цей параметр корисний, в +основному, для виклику з файлів модулів systemd з метою дозволити +відповідачам, які активуються з сокетів, освіжати налаштування без потреби у +перезапуску адміністратором усього SSSD. + + + + + + + + + + + Вивести номер версії і завершити роботу. + + + + + + + + Сигнали + + + SIGTERM/SIGINT + + + Повідомляє SSSD, що слід поступово завершити роботу всіх дочірніх процесів, +а потім завершити роботу монітора. + + + + + SIGHUP + + + Повідомляє SSSD, що слід припинити запис до файлів діагностичних даних з +поточними дескрипторами, закрити і повторно відкрити ці файли. Цей сигнал +призначено для полегшення процедури архівування журналів за допомогою +програм, подібних до logrotate. + + + + + SIGUSR1 + + + Наказує SSSD імітувати автономну дію, тривалість якої визначається +параметром «offline_timeout». Найкориснішим застосуванням є тестування +служби. Сигнал може бути надіслано або процесу sssd, або процесу sssd_be +безпосередньо. + + + + + SIGUSR2 + + + Наказує SSSD перейти у режим роботи у мережі негайно. Найкориснішим +застосуванням є тестування служби. Сигнал може бути надіслано або процесу +sssd, або процесу sssd_be безпосередньо. + + + + + + + + ЗАУВАЖЕННЯ + + Якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено значення «NO», +клієнтські програми не використовуватимуть fast у кеші у пам’яті. + + + Якщо для змінної середовища SSS_LOCKFREE встановлено значення «NO», +одночасні запити від декількох потоків обробки однієї програми буде +перетворено у послідовність запитів. + + + + + + + diff --git a/src/man/uk/sssd.conf.5.xml b/src/man/uk/sssd.conf.5.xml new file mode 100644 index 0000000..4cc2fb8 --- /dev/null +++ b/src/man/uk/sssd.conf.5.xml @@ -0,0 +1,4157 @@ + + +]> + +Сторінки підручника SSSD + + + + + sssd.conf + 5 + Формати файлів та правила + + + + sssd.conf + файл налаштування SSSD + + + + ФОРМАТ ФАЙЛА + + + Файл складено з використанням синтаксичний конструкцій у стилі ini, він +складається з розділів і окремих записів параметрів. Розділ починається з +рядка назви розділу у квадратних дужках і продовжується до початку нового +розділу. Приклад розділу з параметрами, які мають єдине і декілька значень: + +[розділ] +ключ = значення +ключ2 = значення2,значення3 + + + + + Типами даних є рядок (без символів лапок), ціле число і булеве значення +(можливі два значення — TRUE і FALSE). + + + + Рядок коментаря починається з символу решітки (#) або крапки +з комою (;). Підтримки вбудованих коментарів не передбачено. + + + + Для всіх розділів передбачено додатковий параметр +description. Його призначено лише для позначення +розділу. + + + + sssd.conf має бути звичайним файлом, власником якого є +користувач root. Права на читання та запис до цього файла повинен мати лише +користувач root. + + + + + ФРАГМЕНТИ НАЛАШТУВАНЬ З КАТАЛОГУ ВКЛЮЧЕННЯ + + + До файла налаштувань sssd.conf буде включено фрагменти +налаштувань з каталогу conf.d. Цією можливістю можна +буде скористатися, якщо SSSD було зібрано із бібліотекою libini версії 1.3.0 +або новішою. + + + + Будь-який файл, розташований у conf.d, назва якого +завершується на .conf і не починається з +крапки (.), буде використано разом із +sssd.conf для налаштовування SSSD. + + + + Фрагменти налаштувань з conf.d мають вищий пріоритет за +sssd.conf, вони мають вищий пріоритет за +sssd.conf, якщо виникне конфлікт. Якщо у +conf.d буде виявлено декілька фрагментів, їх буде +включено за абеткою (на основі параметрів локалі). Файли, які включаються +пізніше, мають вищий пріоритет. Числові префікси +(01_фрагмент.conf, +02_фрагмент.conf тощо) можуть допомогти у візуалізації +пріоритетності (більше число означає вищу пріоритетність). + + + + Файли фрагментів мають належати одному користувачеві і мати однакові права +доступу із файлом sssd.conf. Типовим власником є +root:root, а типовими правами доступу — 0600. + + + + + ЗАГАЛЬНІ ПАРАМЕТРИ + + Нижче наведено параметри, які можна використовувати у декількох розділах +налаштувань. + + + Параметри, які можна використовувати у всіх розділах + + + + debug_level (ціле число) + + + + debug (ціле число) + + + У SSSD 1.14 і новіших версіях з міркувань зручності також передбачено +альтернативний варіант debug для +debug_level. Якщо вказано одразу обидва варіанти, +буде використано варіант debug_level. + + + + + debug_timestamps (булеве значення) + + + Додати часову позначку до діагностичних повідомлень. Якщо для запису +діагностичного журналу у SSSD увімкнено journald, цей параметр буде +проігноровано. + + + Типове значення: true + + + + + debug_microseconds (булеве значення) + + + Додати значення мікросекунд до часової позначки у діагностичних +повідомлення. Якщо для запису діагностичного журналу у SSSD увімкнено +journald, цей параметр буде проігноровано. + + + Типове значення: false + + + + + debug_backtrace_enabled (булеве значення) + + + Увімкнути діагностичне зворотне трасування. + + + Якщо SSSD запущено із debug_level меншим за 9, увесь журнал роботи буде +записано у кільцевий буфер у пам'яті і скинуто до файла журналу при +виявленні будь-якої помилки до рівня `min(0x0040, debug_level)` включно +(тобто якщо debug_level явним чином встановлено у значення 0 або 1, лише +помилки відповідних рівнів вмикатимуть зворотне трасування, інакше кажучи, +помилки рівнів до 2). + + + Підтримку цієї можливості передбачено лише для `logger == files` (тобто, +встановлення цього значення не впливає на інші типи журналювання). + + + Типове значення: true + + + + + + + + + Параметри які можна використовувати у розділах SERVICE та DOMAIN + + + + timeout (ціле число) + + + Проміжок у секундах між циклами роботи цієї служби. Використовується для +перевірки працездатності процесу та його змоги відповідати на +запити. Зауважте, що після трьох пропущених циклів процес перерве своє +виконання самостійно. + + + Типове значення: 10 + + + + + + + + + + ОСОБЛИВІ РОЗДІЛИ + + + Розділ [sssd] + + Окремі функції у SSSD виконуються особливими службами SSSD, які запускаються +і зупиняються разом SSSD. Ці служби керуються окремою службою, яку часто +називають «монітором». Розділ [sssd] використовується для +налаштування монітора та деяких інших важливих параметрів, зокрема доменів +профілів. + Параметри розділу + + config_file_version (ціле число) + + + Визначає версію синтаксичних конструкцій файла налаштування. Для версій SSSD +0.6.0 та пізніших слід використовувати версію 2. + + + + + services + + + Список служб, відокремлених комами, які запускаються разом із sssd. Список служб є необов'язковим на платформах, де +передбачено підтримку systemd, оскільки там такі служби вмикаються за +допомогою сокетів або D-Bus. + + + Підтримувані служби: nss, pam , sudo +, autofs , ssh , +pac , ifp + + + Типово усі служби вимкнено. Адміністратор +має увімкнути дозволені до використання служби за допомогою такої команди: +"systemctl enable sssd-@service@.socket". + + + + + reconnection_retries (ціле число) + + + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + + + Типове значення: 3 + + + + + domains + + + Домен — це база даних, у якій містяться дані щодо користувачів. SSSD може +одночасно використовувати декілька доменів. Вам слід вказати принаймні один +домен, інакше SSSD просто не запуститься. За допомогою цього параметра можна +вказати список доменів, впорядкованих за пріоритетністю під час надсилання +до них запитів щодо даних. Рекомендовано використовувати у назві домену лише +літери і цифри ASCII, дефіси, крапки та знаки підкреслювання. Не можна +використовувати символ «/». + + + + + re_expression (рядок) + + + Типовий формальний вираз, який описує спосіб поділу рядка з іменем +користувача і доменом на його частини. + + + Для кожного з доменів можна налаштувати окремий формальний вираз. Для деяких +з засобів надання ідентифікаторів передбачено типові формальні +вирази. Докладніше про ці формальні вирази можна дізнатися з довідки до +РОЗДІЛІВ ДОМЕНІВ. + + + + + full_name_format (рядок) + + + Сумісний з printf +3 формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + + + Передбачено використання таких замінників: + + %1$s + ім’я користувача + + + %2$s + + + назва домену у форматі, вказаному у файлі налаштувань SSSD. + + + + + %3$s + + + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + + + + + + + Для кожного з доменів можна налаштувати окремий рядок формату. Докладніше +про ці рядки можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ. + + + + + monitor_resolv_conf (булеве значення) + + + Керує тим, чи SSSD має спостерігати за станом resolv.conf для визначення +моменту, коли слід оновити дані вбудованого інструмента визначення DNS. + + + Типове значення: true + + + + + try_inotify (булеве значення) + + + Типово, з метою спостереження за змінами у файлах налаштувань SSSD +намагається використати inotify. Якщо використати inotify не вдається, +виконуватиметься опитування resolv.conf кожні п’ять секунд. + + + Зрідка бажано не вдаватися навіть до спроб скористатися inotify. У цих +рідкісних випадках слід встановити для цього параметра значення «false». + + + Типове значення: «true» на платформах, де підтримується inotify. «false» на +інших платформах. + + + Зауваження: цей параметр ні на що не вплине на платформах, де inotify +недоступний. На цих платформах завжди використовуватиметься безпосереднє +опитування файла. + + + + + krb5_rcache_dir (рядок) + + + Каталог у файловій системі, де SSSD має зберігати файли кешу відтворення +Kerberos. + + + Цей параметр приймає особливе значення __LIBKRB5_DEFAULTS__, за допомогою +якого можна наказати SSSD надати змогу libkrb5 визначити відповідну адресу +для кешу відтворення. + + + Типове значення: визначається дистрибутивом та вказується під час +збирання. (__LIBKRB5_DEFAULTS__, якщо не вказано) + + + + + user (рядок) + + + The user to drop the privileges to where appropriate to avoid running as the +root user. Currently the only supported value is '&sssd_user_name;'. + + + + This option does not work when running socket-activated services, as the +user set up to run the processes is set up during compilation time. The way +to override the systemd unit files is by creating the appropriate files in +/etc/systemd/system/. Keep in mind that any change in the socket user, +group or permissions may result in a non-usable SSSD. The same may occur in +case of changes of the user running the NSS responder. + + + + Типове значення: не встановлено, процес буде запущено від імені root + + + + + default_domain_suffix (рядок) + + + Цей рядок буде використано як типову назву домену для всіх назв без +компонента назви домену. Основним призначенням використання цього рядка є +середовища, де основний домен призначено для керування правилами вузлів та +всіма користувачами, розташованими на надійному (довіреному) домені. За +допомогою цього параметра користувачі можуть входити до системи за допомогою +лише імені користувача без додавання до нього назви домену. + + + Please note that if this option is set all users from the primary domain +have to use their fully qualified name, e.g. user@domain.name, to log +in. Setting this option changes default of use_fully_qualified_names to +True. It is not allowed to use this option together with +use_fully_qualified_names set to False. One exception from this rule are domains +with id_provider=files that always try to match the behaviour +of nss_files and therefore their output is not qualified even when the +default_domain_suffix option is used. + + + Типове значення: not set + + + + + override_space (рядок) + + + За допомогою цього параметра можна змінити пробіли у іменах користувачів та +назвах груп вказаним симовлом, наприклад _. Ім’я користувача «john doe» буде +перетворено на «john_doe». Цю можливість було додано для сумісності із +скриптами командної оболонки, у яких виникають проблеми із обробкою пробілів +через типовий роздільник полів у оболонці. + + + Будь ласка, зауважте, що використання символу-замінника, який може бути +використано у іменах користувачів і назвах груп, є помилкою у +налаштуваннях. Якщо назва містить символ-замінник, SSSD спробує повернути +незмінену назву, але, загалом, результат пошуку буде невизначеним. + + + Типове значення: не встановлено (пробіли не замінятимуться) + + + + + certificate_verification (рядок) + + + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів на основі списку параметрів, відокремлених комами. Підтримувані +параметри: + + no_ocsp + + Вимикає перевірки протоколу стану мережевої сертифікації (Online Certificate +Status Protocol або OCSP). Це може знадобитися, якщо сервери OCSP, визначені +у сертифікаті, є недоступними з клієнта. + + + + soft_ocsp + + Якщо не вдасться встановити з'єднання із відповідачем OCSP, перевірку OCSP +буде пропущено. Цим параметром слід користуватися для того, щоб дозволити +розпізнавання тоді, коли система працює автономно, отже відповідач OCSP є +недоступним. + + + + ocsp_dgst + + Функція обчислення контрольної суми (хешу), яку буде використано для +створення ідентифікатора сертифіката для запиту OCSP. Можливі значення: + + sha1 + sha256 + sha384 + sha512 + + + Типове значення: sha1 (для уможливлення сумісності із відповідачем, який є +сумісним із RFC5019) + + + + + no_verification + + Повністю вимикає перевірку. Цим варіантом слід користуватися лише для +тестування. + + + + partial_chain + + Уможливити успішну перевірку, навіть якщо не вдасться побудувати +повний ланцюжок до самопідписаної прив'язки +довіри, якщо можна побудувати ланцюжок до довіреного сертифіката, який може +бути не самопідписаним. + + + + ocsp_default_responder=URL + + Встановлює типовий відповідач OCSP, який слід використовувати замість +визначеного у сертифікаті. Адресу слід замінити адресою типового +відповідача, наприклад http://example.com:80/ocsp. + + + + + ocsp_default_responder_signing_cert=НАЗВА + + У поточній версії програма ігнорує цей параметр. Усі потрібні сертифікати +мають бути у файлі PEM, який вказано параметром pam_cert_db_path. + + + + crl_file=/ШЛЯХ/ДО/ФАЙЛА/CRL + + Використовувати список відкликання сертифікатів (CRL) з вказаного файла під +час перевірки сертифіката. CRL має бути вказано у форматі PEM, +див. crl +1ssl , щоб дізнатися більше. + + + + soft_crl + + + Якщо строк дії списку відкликання сертифікатів (CRL) вичерпано, перевірки +CRL для відповідних сертифікатів буде проігноровано. Цим параметром слід +користуватися для уможливлення розпізнавання у системах, які працюють у +автономному режимі, коли оновлення CRL є неможливим. + + + + + + Обробник параметрів повідомлятиме про невідомі параметри і просто +ігноруватиме їх. + + + Типове значення: не встановлено, тобто перевірка сертифікатів нічим не +обмежуватиметься + + + + + disable_netlink (булеве значення) + + + Перехоплювачі SSSD у інтерфейсі netlink для стеження за змінами у маршрутах, +адресах, посилання та виконання певних дій. + + + Зміни стану SSSD, спричинені подіями netlink, можуть бути небажаними, їх +можна вимкнути встановленням для цього параметра значення «true» + + + Типове значення: false (виявлення змін у netlink) + + + + + enable_files_domain (булеве значення) + + + Якщо цю можливість увімкнено, SSSD дописуватиме неявний домен із +id_provider=files до усіх явним чином налаштованих доменів. + + + Типове значення: false + + + + + domain_resolution_order + + + Список доменів і піддоменів, відокремлених комами, який визначає порядок +пошуку, який використовуватиметься. Список не обов'язково включатиме усі +можливі домени, оскільки пошук у пропущених доменах відбуватиметься у +порядку, у якому їх вказано у параметрі налаштування +domains. Пошук у піддоменах, яких немає у списку +lookup_order, відбуватиметься у випадковому порядку для +кожного батьківського домену. + + + Please, note that when this option is set the output format of all commands +is always fully-qualified even when using short names for input , for all users but the ones managed by the +files provider . In case the administrator wants the output not +fully-qualified, the full_name_format option can be used as shown below: +full_name_format=%1$s However, keep in mind that during +login, login applications often canonicalize the username by calling + getpwnam +3 which, if a shortname is returned +for a qualified input (while trying to reach a user which exists in multiple +domains) might re-route the login attempt into the domain which uses +shortnames, making this workaround totally not recommended in cases where +usernames may overlap between domains. + + + Типове значення: не встановлено + + + + + implicit_pac_responder (булеве значення) + + + Відповідач PAC буде автоматично увімкнено для надавачів IPA і AD для +обчислення і перевірки PAC. Якщо відповідач слід вимкнути, встановіть для +цього параметра значення «false». + + + Типове значення: true + + + + + core_dumpable (булеве значення) + + + Цим параметром можна скористатися для загального забезпечення стійкості +системи: встановлення значення «false» забороняє дампи ядра для усіх +процесів SSSD з метою уникнення витоку паролів у форматі нешифрованого +тексту. Див. сторінку підручника щодо prctl:PR_SET_DUMPABLE, щоб дізнатися +більше. + + + Типове значення: true + + + + + passkey_verification (string) + + + With this parameter the passkey verification can be tuned with a comma +separated list of options. Supported options are: + + user_verification (boolean) + + Enable or disable the user verification (i.e. PIN, fingerprint) during +authentication. If enabled, the PIN will always be requested. + + + The default is that the key settings decide what to do. In the IPA or +kerberos pre-authentication case, this value will be overwritten by the +server. + + + + + + + + + + + + + + + РОЗДІЛИ СЛУЖБ + + У цьому розділі описано параметри, якими можна скористатися для налаштування +різноманітних служб. Ці параметри має бути зібрано у розділах з назвами +[$NAME]. Наприклад, параметри служби NSS зібрано +у розділі [nss] + + + + Загальні параметри налаштування служб + + Цими параметрами можна скористатися для налаштування будь-яких служб. + + + + reconnection_retries (ціле число) + + + Кількість повторних спроб встановлення зв’язку зі службами або їх +перезапуску у разі аварійного завершення роботи інструменту надання даних до +визнання подальших спроб безнадійними. + + + Типове значення: 3 + + + + + fd_limit + + + За допомогою цього параметра можна визначити максимальну кількість +дескрипторів файлів, які одночасно може бути відкрито цим процесом SSSD. У +системах, де SSSD надано можливості CAP_SYS_RESOURCE, цей параметр +використовуватиметься незалежно від інших параметрів системи. У системах без +цієї можливості, кількість дескрипторів визначатиметься найменшим зі значень +цього параметра і обмеженням "hard" у limits.conf. + + + Типове значення: 8192 (або обмеження у limits.conf "hard") + + + + + client_idle_timeout + + + За допомогою цього параметра можна визначити кількість секунд, протягом яких +клієнтська частина SSSD може утримувати дескриптор файла без здійснення за +його допомогою обміну даними. Таке обмеження потрібне для того, щоб уникнути +вичерпання ресурсів системи. Час очікування не може бути меншим за 10 +секунд. Якщо у налаштуваннях вказано менше значення, його буде скориговано +до 10 секунд. + + + Типове значення: 60, KCM: 300 + + + + + offline_timeout (ціле число) + + + Коли SSSD перемикається на автономний режим роботи, час, який має минути, +перш ніж буде здійснено спробу повернутися до режиму у мережі, +збільшуватиметься, відповідно до часу, проведеного у режимі +від’єднання. Типово, SSSD використовує нарощувальну поведінку для обчислення +затримки між повторними спробами. Тому час очікування для повторної спроби +буде довшим за час очікування попередньої спроби. Після кожної невдалої +спроби з'єднатися із мережею нове значення обчислюється за такою формулою: + + + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + + + Типовим значенням offline_timeout є 60. Типовим значенням +offline_timeout_max є 3600. Типовим значенням offline_timeout_random_offset +є 30. Кінцевий результат є кількістю секунд до наступної повторної спроби. + + + Зауважте, що максимальна тривалість кожного з інтервалів визначається +offline_timeout_max (окрім випадкової частини). + + + Типове значення: 60 + + + + + offline_timeout_max (ціле число) + + + Керує тим, на скільки можна збільшувати проміжок часу між спробами відновити +з'єднання із мережею після неуспішних спроби відновити з'єднання. + + + Значення 0 вимикає збільшення проміжку часу. + + + Значення цього параметра слід встановлювати у поєднанні зі значенням +параметра offline_timeout. + + + Якщо для offline_timeout встановлено значення 60 (типове значення), немає +сенсу встановлювати для offlinet_timeout_max значення, яке є меншим за 120, +оскільки перший же крок збільшення призведе до перевищення максимального +значення. Загальним правилом у цьому випадку має бути встановлення значення +offline_timeout_max, яке є принаймні учетверо більшим за offline_timeout. + + + Хоча можна вказати будь-яке значення від 0 до offline_timeout, результатом +стане перевизначення значення offline_timeout, тому не варто цього робити. + + + Типове значення: 3600 + + + + + offline_timeout_random_offset (ціле число) + + + Якщо SSSD працює в автономному режимі, програма виконує зондування +серверів-обробників із вказаними інтервалами часу: + + + new_delay = Minimum(old_delay * 2, offline_timeout_max) + +random[0...offline_timeout_random_offset] + + + Цей параметр керує значенням випадкового зсуву, яке буде використано у +наведеному вище рівнянні. Остаточне значення random_offset буде випадковим +числом у такому діапазоні: + + + [0 - offline_timeout_random_offset] + + + Значення 0 призводить до вимикання додавання випадкового зсуву. + + + Типове значення: 30 + + + + + responder_idle_timeout + + + Цей параметр визначає кількість секунд, протягом яких процес відповідача +SSSD може працювати без використання. Це значення обмежено з метою уникнення +вичерпання ресурсів системи. Мінімальним прийнятним значенням для цього +параметра є 60 секунд. Встановлення для цього параметра значення 0 (нуль) +означає, що для відповідача не встановлюватиметься ніякого часу +очікування. Цей параметр враховуватиметься, лише якщо SSSD зібрано з +підтримкою systemd і якщо служби активуються за допомогою або сокетів або +D-Bus. + + + Типове значення: 300 + + + + + cache_first + + + Цей параметр визначає, чи слід відповідачеві опитати усі кеші до надсилання +запису до модулів засобів надання даних. + + + Типове значення: false + + + Типове значення: true + + + + + + + + Параметри налаштування NSS + + Цими параметрами можна скористатися для налаштування служби Name Service +Switch (NSS або перемикання служби визначення назв). + + + + enum_cache_timeout (ціле число) + + + Тривалість зберігання переліків (запитів щодо даних всіх користувачів) у +кеші nss_sss у секундах + + + Типове значення: 120 + + + + + entry_cache_nowait_percentage (ціле число) + + + Можна встановити кеш записів для автоматичного оновлення записів у фоновому +режимі, якщо запит щодо них надходить у визначений у відсотках від +entry_cache_timeout для домену період часу. + + + Наприклад, якщо entry_cache_timeout домену встановлено у значення 30s, а +entry_cache_nowait_percentage — у значення 50 (у відсотках), записи, які +надійдуть за 15 секунд після останнього оновлення кешу, буде повернуто +одразу, але SSSD оновить власний кеш, отже наступні запити очікуватимуть на +розблокування після оновлення кешу. + + + Коректними значеннями цього параметра є 0-99. Ці значення відповідають +відсоткам entry_cache_timeout для кожного з доменів. З міркувань покращення +швидкодії це відсоткове значення ніколи не зменшуватиме час очікування +nowait до значення, меншого за 10 секунд. Визначення значення 0 вимкне цю +можливість. + + + Типове значення: 50 + + + + + entry_negative_timeout (ціле число) + + + Визначає кількість секунд, протягом яких nss_sss має кешувати негативні +результати пошуку у кеші (тобто запити щодо некоректних записів у базі +даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + + + Типове значення: 15 + + + + + local_negative_timeout (ціле число) + + + Визначає кількість секунд, протягом яких nss_sss має зберігати негативні +результати пошуку у кеші користувачів і груп, перші ніж намагатися знову +шукати їх за допомогою модуля надання даних. Встановлення значення 0 вимикає +цю можливість. + + + Типове значення: 14400 (4 години) + + + + + filter_users, filter_groups (рядок) + + + Виключити певних користувачів або групи зі списку отримання даних з бази +даних NSS sss. Таке виключення може бути корисним для облікових записів +керування системою. Цей параметр також можна встановлювати для кожного з +доменів окремо або включити до нього імена користувачів повністю для +обмеження списку користувачами лише з певного домену або за назвою +реєстраційного запису користувача (UPN). + + + ЗАУВАЖЕННЯ: параметр filter_groups не впливає на успадкованість вкладених +записів групи, оскільки фільтрування відбувається після їх передавання для +повернення за допомогою NSS. Наприклад, у списку групи, що містить вкладену +групу, яку відфільтровано, залишатимуться записи користувачів +відфільтрованої групи. + + + Типове значення: root + + + + + filter_users_in_groups (булеве значення) + + + Якщо ви хочете, щоб фільтровані користувачі залишалися учасниками груп, +встановіть для цього параметра значення «false». + + + Типове значення: true + + + + + + + fallback_homedir (рядок) + + + Встановити типовий шаблон назви домашнього каталогу користувача, якщо цей +каталог не вказано явним чином засобом надання даних домену. + + + Можливі варіанти значень для цього параметра збігаються з варіантами значень +для параметра override_homedir. + + + приклад: +fallback_homedir = /home/%u + + + + Типове значення: не встановлено (без замін для невстановлених домашніх +каталогів) + + + + + override_shell (рядок) + + + Перевизначити командну оболонку входу до системи для усіх користувачів. Цей +параметр має пріоритет над будь-якими іншими параметрами визначення +командної оболонки, якщо він діє. Його можна встановити або у розділі [nss] +або для кожного з доменів окремо. + + + Типове значення: не встановлено (SSSD використовуватиме значення, отримане +від LDAP) + + + + + allowed_shells (рядок) + + + Обмежити перелік можливих командних оболонок користувачів вказаними. Порядок +визначення оболонки є таким: + + + 1. Якщо оболонку вказано у /etc/shells, її буде використано. + + + 2. Якщо оболонку вказано у списку allowed_shells, але її немає у списку +/etc/shells, буде використано значення параметра +shell_fallback. + + + 3. Якщо оболонку не вказано у списку allowed_shells і її немає у списку +/etc/shells, буде використано оболонку nologin. + + + Для визначення будь-якої командної оболонки можна скористатися шаблоном +заміни (*). + + + Значенням (*) варто користуватися, якщо ви хочете скористатися +shell_fallback, коли командної оболонки користувача немає у «/etc/shells», а +супровід списку усіх командних оболонок у allowed_shells є надто марудною +справою. + + + Порожній рядок оболонки буде передано без обробки до libc. + + + Читання /etc/shells виконується лише під час запуску SSSD, +тобто у разі встановлення нової оболонки слід перезапустити SSSD. + + + Типове значення: не встановлено. Автоматично використовується оболонка +користувача. + + + + + vetoed_shells (рядок) + + + Замінити всі записи цих оболонок на shell_fallback + + + + + shell_fallback (рядок) + + + Типова оболонка, яку слід використовувати, якщо дозволеної оболонки у +системі не встановлено. + + + Типове значення: /bin/sh + + + + + default_shell + + + Типова командна оболонка, яку буде використано, якщо засобом надання даних +не було повернуто назви оболонки під час пошуку. Цей параметр можна вказати +або на загальному рівні у розділі [nss], або окремо для кожного з доменів. + + + Типове значення: не встановлено (повернути NULL, якщо оболонку не +встановлено і покластися на libc у визначенні потрібного програмі значення, +зазвичай /bin/sh) + + + + + get_domains_timeout (ціле число) + + + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + + + Типове значення: 60 + + + + + memcache_timeout (ціле число) + + + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. Встановлення для цього параметра нульового значення вимикає кеш у +пам'яті. + + + Типове значення: 300 + + + Попередження: вимикання кешу у пам'яті значно погіршить швидкодію SSSD, ним +варто користуватися лише для тестування. + + + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + + + + + memcache_size_passwd (ціле число) + + + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів passwd. Встановлення розміру 0 вимкне кеш у пам'яті для passwd. + + + Типове значення: 8 + + + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + + + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + + + + + memcache_size_group (ціле число) + + + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів group. Встановлення розміру 0 вимкне кеш у пам'яті для group. + + + Типове значення: 6 + + + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + + + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + + + + + memcache_size_initgroups (ціле число) + + + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для запитів initgroups. Встановлення розміру 0 вимкне кеш у пам'яті для +initgroups. + + + Типове значення: 10 + + + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + + + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + + + + + memcache_size_sid (ціле число) + + + Розмір (у мегабайтах) таблиці даних, розміщеної у швидкому кеші у пам'яті, +для пов'язаних із SID запитів. У поточній версії передбачено кешування у +швидкій пам'яті лише для запитів SID-за-ID і ID-за-SID. Встановлення розміру +0 вимкне кеш у пам'яті для SID. + + + Типове значення: 6 + + + Попередження: вимикання кешу у пам'яті або дуже малий його розмір можуть +значно погіршити швидкодію SSSD. + + + ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено +значення «NO», клієнтські програми не використовуватимуть fast у кеші у +пам’яті. + + + + + user_attributes (рядок) + + + Деякі із додаткових запитів до відповідача NSS можуть повертати більшу +кількість атрибутів, ніж це визначено POSIX для інтерфейсу NSS. Списком +атрибутів можна керувати за допомогою цього параметра. Обробка виконується у +той самий спосіб, що і для параметра «user_attributes» відповідача InfoPipe +(див. sssd-ifp +5 , щоб дізнатися більше), але без +типових значень. + + + Щоб полегшити налаштовування відповідач NSS перевірятиме параметр InfoPipe +на те, чи не встановлено його для відповідача NSS. + + + Типове значення: не встановлено, резервне значення визначається за +параметром InfoPipe + + + + + pwfield (рядок) + + + Значення, яке повертають операції NSS, які повертають записи користувачів чи +груп, для поля password. + + + Типове значення: * + + + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо. При цьому це значення матиме вищий пріоритет за значення у +розділі [nss]. + + + Default: not set (remote domains), x (the files domain), + x (proxy domain with nss_files and sssd-shadowutils +target) + + + + + + + Параметри налаштування PAM + + Цими параметрами можна скористатися для налаштування служби Pluggable +Authentication Module (PAM або блокового модуля розпізнавання). + + + + offline_credentials_expiration (ціле число) + + + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +тривалість зберігання кешованих входів (у днях з часу останнього успішного +входу до системи). + + + Типове значення: 0 (без обмежень) + + + + + + offline_failed_login_attempts (ціле число) + + + У разі неможливості встановлення з’єднання з сервером розпізнавання визначає +дозволену кількість спроб входу з визначенням помилкового пароля. + + + Типове значення: 0 (без обмежень) + + + + + + offline_failed_login_delay (ціле число) + + + Час у хвилинах, який має пройти між досягненням значення +offline_failed_login_attempts і повторним вмиканням можливості входу до +системи. + + + Якщо встановлено значення 0, користувач не зможе пройти розпізнавання у +автономному режимі, якщо буде досягнуто значення +offline_failed_login_attempts. Лише успішне розпізнавання може знову +увімкнути можливість автономного розпізнавання. + + + Типове значення: 5 + + + + + + pam_verbosity (ціле число) + + + Керує типами повідомлень, які буде показано користувачеві під час +розпізнавання. Чим більшим є значення, тим більше повідомлень буде показано. + + + У поточній версії sssd передбачено підтримку таких значень: + + + 0: не показувати жодних повідомлень + + + 1: показувати лише важливі повідомлення + + + 2: показувати всі інформаційні повідомлення + + + 3: показувати всі повідомлення та діагностичні дані + + + Типове значення: 1 + + + + + + pam_response_filter (рядок) + + + Список рядків, відокремлених комами, за допомогою якого можна вилучати +(фільтрувати) дані, які надсилаються відповідачем PAM до модуля PAM +pam_sss. Існують різні тип відповідей, які надсилаються до pam_sss, +наприклад повідомлення, які показуються користувачеві, або змінні +середовища, які слід встановлювати за допомогою pam_sss. + + + Хоча повідомленнями вже можна керувати за допомогою параметра pam_verbosity, +за допомогою цього параметра можна відфільтрувати також інші типи +повідомлень. + + + У поточній версії передбачено підтримку таких фільтрів: + ENV + Не надсилати жодних змінних середовища до жодної служби. + + ENV:назва_змінної + Не надсилати змінної середовища назва_змінної до жодної служби. + + ENV:назва_змінної:служба + Не надсилати змінної середовища назва_змінної до вказаної служби. + + + + + Список рядків може бути або списком фільтрів, які встановлюють список +фільтрування і перевизначають типові фільтри, або до кожного елемента списку +може бути додано префікс «+» або «-», який додасть фільтр до наявного +типового фільтрування або вилучить його з наявного типового фільтрування, +відповідно. Будь ласка, зауважте, або що усі елементи списку повинні мати +префікси «+» або «-», або усі елементи списку не повинні містити +префіксів. Змішування стилів вважається помилкою. + + + Типове значення: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i + + + Приклад: -ENV:KRB5CCNAME:sudo-i вилучає фільтр зі списку типових + + + + + + pam_id_timeout (ціле число) + + + Для кожного з запитів PAM під час роботи SSSD система SSSD зробить спробу +негайно оновити кешовані дані щодо профілю користувача з метою переконатися, +що розпізнавання виконується на основі найсвіжіших даних. + + + Повний обмін даними сеансу PAM може включати декілька запитів PAM, зокрема +для керування обліковими записами та відкриття сеансів. За допомогою цього +параметра можна керувати (для окремих клієнтів-програм) тривалістю (у +секундах) кешування даних профілю з метою уникнути повторних викликів засобу +надання даних профілів. + + + Типове значення: 5 + + + + + + pam_pwd_expiration_warning (ціле число) + + + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + + + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. + + + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + + + Цей параметр може бути перевизначено встановленням параметра +pwd_expiration_warning для окремого домену. + + + Типове значення: 0 + + + + + get_domains_timeout (ціле число) + + + Визначає час у секундах, протягом якого список піддоменів вважатиметься +чинним. + + + Типове значення: 60 + + + + + pam_trusted_users (рядок) + + + Визначає список відокремлених комами значень UID або імен користувачів, яким +дозволено виконувати обмін даними PAM із довіреними доменами. Користувачі, +яких не включено до цього списку, можуть отримувати доступ лише до доменів, +які позначено як загальнодоступні (public) за допомогою +pam_public_domains. Імена користувачів перетворюються на UID +під час запуску системи. + + + Типове значення: типово усі користувачі вважаються надійними (довіреними) + + + Будь ласка, зауважте, що користувачеві з UID 0 завжди мають доступ до +відповідача PAM, навіть якщо користувача немає у списку pam_trusted_users. + + + + + pam_public_domains (рядок) + + + Визначає список назв доменів, відокремлених комами, доступ до яких можуть +отримувати навіть ненадійні користувачі. + + + Визначено два спеціальних значення параметра pam_public_domains: + + + all (Ненадійним користувачам відкрито доступ до усіх доменів у відповідачі +PAM.) + + + none (Ненадійним користувачам заборонено доступ до усіх доменів PAM у +відповідачі.) + + + Типове значення: none + + + + + pam_account_expired_message (рядок) + + + Надає змогу встановити нетипове повідомлення щодо завершення строку дії, яке +замінити типове повідомлення «Доступ заборонено» («Permission denied»). + + + Зауваження: будь ласка, зверніть увагу на те, що повідомлення буде виведено +для служби SSH, лише якщо pam_verbosity не встановлено у значення 3 +(показувати усі повідомлення і діагностичні дані). + + + приклад: +pam_account_expired_message = Account expired, please contact help desk. + + + + Типове значення: none + + + + + pam_account_locked_message (рядок) + + + Надає змогу встановити нетипове повідомлення щодо блокування, яке замінити +типове повідомлення «Доступ заборонено» («Permission denied»). + + + приклад: +pam_account_locked_message = Account locked, please contact help desk. + + + + Типове значення: none + + + + + pam_passkey_auth (bool) + + + Enable passkey device based authentication. + + + Типове значення: False + + + + + passkey_debug_libfido2 (bool) + + + Enable libfido2 library debug messages. + + + Типове значення: False + + + + + pam_cert_auth (булеве значення) + + + Увімкнути сертифікацію на основі розпізнавання за смарткартками. Оскільки це +потребує додаткового обміну даним із смарткарткою, що затримує процес +розпізнавання, типово таку сертифікацію вимкнено. + + + Типове значення: False + + + + + pam_cert_db_path (рядок) + + + Шлях до бази даних сертифікатів. + + + Типове значення: + + /etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + + + + + + + + pam_cert_verification (рядок) + + + За допомогою цього параметра можна виконати тонке налаштовування перевірки +сертифікатів PAM на основі списку параметрів, відокремлених комами. Ці +параметри перевизначають значення certificate_verification у +розділі [sssd]. Підтримуваними параметрами є ті самі, що і у +certificate_verification. + + + приклад: +pam_cert_verification = partial_chain + + + + Типове значення: не встановлено, тобто слід використовувати типовий параметр +certificate_verification, який визначено у розділі +[sssd]. + + + + + p11_child_timeout (ціле число) + + + Час у секундах, протягом якого pam_sss очікуватиме на завершення роботи +p11_child. + + + Типове значення: 10 + + + + + passkey_child_timeout (integer) + + + How many seconds will the PAM responder wait for passkey_child to finish. + + + Типове значення: 15 + + + + + pam_app_services (рядок) + + + Визначає, яким службам PAM дозволено встановлювати з'єднання із доменами +типу application + + + Типове значення: не встановлено + + + + + pam_p11_allowed_services (ціле число) + + + Список назв служб PAM, відокремлених комами, для яких буде дозволено +використання смарткарток. + + + Можна додати іншу назву служби PAM до типового набору за допомогою +конструкції «+назва_служби» або явним чином вилучити назву служби PAM з +типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб +замінити типову назву служби PAM для розпізнавання за смарткарткою +(наприклад, «login») з нетиповою назвою служби PAM (наприклад, +«my_pam_service»), вам слід скористатися такими налаштуваннями: +pam_p11_allowed_services = +my_pam_service, -login + + + + Типове значення: типовий набір назв служб PAM складається з таких значень: + + + + login + + + + + su + + + + + su-l + + + + + gdm-smartcard + + + + + gdm-password + + + + + kdm + + + + + sudo + + + + + sudo-i + + + + + gnome-screensaver + + + + + + + + p11_wait_for_card_timeout (ціле число) + + + Якщо обов'язковим є розпізнавання за смарткарткою, кількість додаткових +секунд, які буде додано до p11_child_timeout, протягом яких відповідача PAM +має чекати на вставлення смарткартки. + + + Типове значення: 60 + + + + + p11_uri (рядок) + + + Адреса PKCS#11 (докладніший опис можна знайти у RFC-7512), якою можна +скористатися для обмеження переліку пристроїв, які використовуються для +розпізнавання за допомогою смарткартки. Типово, p11_child зі складу SSSD +виконуватиме пошук слоту PKCS#11 (зчитувача), для якого встановлено прапорці +«removable» («портативний») і читатиме сертифікати із першого знайденого +слоту вставленого ключа. Якщо з комп'ютером буде з'єднано декілька +зчитувачів, можна скористатися p11_uri для повідомлення p11_child про те, що +слід використовувати вказаний зчитувач. + + + Приклади: +p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader + або +p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2 + Для визначення відповідної адреси, +ознайомтеся із файлом діагностичних даних p11_child. Крім того, можна +скористатися програмою GnuTLS p11tool, наприклад, із параметром --list-all, +який покаже і адреси PKCS#11. + + + Типове значення: none + + + + + pam_initgroups_scheme + + + Відповідач PAM може примусово застосувати пошук у мережі, щоб отримати +поточну групу членства користувача, який намагається увійти до системи. Цей +параметр керує тим, коли це слід робити. Передбачено можливість встановлення +таких значень: + always + Завжди виконувати пошук у мережі. Будь ласка, зауважте, що pam_id_timeout +буде все одно застосовано + + no_session + Виконувати пошук у мережі, лише якщо немає активного сеансу користувача, +тобто якщо користувач не працює у системі + + never + Ніколи не виконувати пошук у мережі примусово, використовувати дані з кешу, +аж доки вони не застаріють + + + + + Типове значення: no_session + + + + + pam_gssapi_services + + + Відокремлений комами список служб PAM, яким дозволено намагатися виконати +розпізнавання за GSSAPI за допомогою модуля pam_sss_gss.so. + + + Щоб вимкнути розпізнавання за GSSAPI, встановіть для цього параметра +значення - (дефіс). + + + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + + + Приклад: +pam_gssapi_services = sudo, sudo-i + + + + Типове значення: - (розпізнавання за GSSAPI вимкнено) + + + + + pam_gssapi_check_upn + + + Якщо має значення True, SSSD потребуватиме можливості прив'язки +реєстраційних даних користувача Kerberos, якого успішно розпізнано за +допомогою GSSAPI, до користувача, якого розпізнано. Розпізнавання +вважатиметься неуспішним, якщо перевірку не буде пройдено. + + + Якщо має значення False, розпізнаними вважатимуться усі користувачі, які +зможуть отримати бажаний квиток служби. + + + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + + + Типове значення: True + + + + + pam_gssapi_indicators_map + + + Для доступу до служби PAM, у якій можна спробувати розпізнавання GSSAPI з +використанням модуля pam_sss_gss.so, у квитку Kerberos має бути список +відокремлених комами індикаторів розпізнавання. + + + Кожен з елементів списку може бути або назвою індикатора розпізнавання, або +парою служба:індикатор. Для доступу до будь-якої служби PAM, +яку налаштовано на використання з +будуть потрібні індикатори без префіксів назв служб PAM. Список-результат +індикаторів для окремої служби PAM буде перевірено за індикаторами у квитку +Kerberos під час розпізнавання у pam_sss_gss.so. Буд-який індикатор з +квитка, який відповідає списку-результату індикаторів для служби PAM, +отримає доступ. Якщо відповідність не буде встановлено для жодного з +індикаторів, доступ буде заборонено. Якщо список-результат індикаторів для +служби PAM є порожнім, перевірка не закриватиме доступ для жодного запису. + + + Щоб вимкнути перевірку за індикаторами для розпізнавання за GSSAPI, +встановіть для цього параметра значення - (дефіс). Щоб +вимкнути перевірку для певної служби PAM, додайте служба:-. + + + Зауваження: значення цього параметра можна встановлювати для кожного з +доменів окремо, при цьому перевизначивши значення у розділі [pam]. Його +також можна встановити для довіреного домену, при цьому значення матиме +вищий пріоритет за значення у розділі домену. + + + У розгорнутих системах IPA з Kerberos передбачено підтримку таких +індикаторів розпізнавання: + + + pkinit — попереднє розпізнавання за допомогою сертифікатів X.509, які +зберігаються у файлах або на смарткартках. + + + hardened — попереднє розпізнавання SPAKE або будь-яке попереднє +розпізнавання у обгортці каналу FAST. + + + radius — попереднє розпізнавання за допомогою сервера RADIUS. + + + otp — попереднє розпізнавання за допомогою інтегрованого двофакторного +розпізнавання (2FA або одноразовий пароль, OTP) в IPA. + + + idp — попереднє розпізнавання за допомогою зовнішнього надавача даних +профілів. + + + + + Приклад: щоб встановити обов'язковість для доступу до служб SUDO отримання +користувачами їхніх квитків Kerberos із попереднім розпізнаванням за +сертифікатом X.509 (PKINIT), встановіть +pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit + + + + Типове значення: не встановлено (немає потреби у використанні індикаторів +розпізнавання) + + + + + + + + Параметри налаштування SUDO + + Цими параметрами можна скористатися для налаштовування служби sudo. Докладні +настанови щодо налаштовування +sudo 8 +на роботу з sssd +8 можна знайти на сторінці довідника + sssd-sudo +5 . + + + + sudo_timed (булеве значення) + + + Визначає, чи слід обробляти атрибути sudoNotBefore і sudoNotAfter, +призначені для визначення часових обмежень для записів sudoers. + + + Типове значення: false + + + + + + + sudo_threshold (ціле число) + + + Максимальна кількість застарілих правил, які можна оновлювати за один +крок. Якщо кількість застарілих правил є нижчою за це порогове значення, +правила буде оновлено за допомогою механізму rules +refresh. Якщо порогове значення перевищено, замість нього буде +використано full refresh з правил sudo. Це порогове значення +також стосується команди sudo IPA та групових пошуків команд. + + + Типове значення: 50 + + + + + + + + Параметри налаштування AUTOFS + + Цими параметрами можна скористатися для налаштування служби autofs. + + + + autofs_negative_timeout (ціле число) + + + Визначає кількість секунд, протягом яких відповідач autofs має кешувати +негативні результати пошуку у кеші (тобто запити щодо некоректних записів у +базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки. + + + Типове значення: 15 + + + + + + + + + Параметри налаштувань SSH + + Цими параметрами можна скористатися для налаштування служби SSH. + + + + ssh_hash_known_hosts (булеве значення) + + + Чи слід хешувати назви та адреси вузлів у керованому файлі known_hosts. + + + Типове значення: false + + + + + ssh_known_hosts_timeout (ціле число) + + + Кількість секунд, протягом яких запису вузла зберігатиметься у керованому +файлі known_hosts після надсилання запиту щодо ключів вузла. + + + Типове значення: 180 + + + + + ssh_use_certificate_keys (булеве значення) + + + Якщо встановлено значення true, sss_ssh_authorizedkeys +поверне ключі ssh, які походять від відкритого ключа сертифікатів X.509, які +також зберігаються у записі користувача. Докладніше про це на сторінці +підручника +sss_ssh_authorizedkeys +1 . + + + Типове значення: true + + + + + ssh_use_certificate_matching_rules (рядок) + + + Типово, відповідач SSH буде використовувати усі доступні правила +встановлення відповідності сертифікатів для фільтрування сертифікатів, тому +ключі SSH будуть створюватися лише на основі відповідних правилам +сертифікатів. За допомогою цього параметра можна обмежити перелік +використаних правил на основі списку назв правил прив'язки і відповідності, +відокремлених комами. Усі інші правила буде проігноровано. + + + Передбачено два спеціальних ключових слова «all_rules» та «no_rules», які +вмикають або вимикають усі правила, відповідно. Останній випадок означає, що +сертифікати не фільтруватимуться, а ключі ssh буде створено з усіх коректних +сертифікатів. + + + Якщо не налаштовано жодного правила, «all_rules» увімкне типове правило, яке +дозволяє використання усіх сертифікатів, які придатні для розпізнавання +клієнта. Це та сама поведінка, що для відповідача PAM, якщо увімкнено +розпізнавання за сертифікатом. + + + Визначення назви правила, якої не існує, вважатиметься помилкою. Якщо в +результаті не буде вибрано жодного правила, усі сертифікати буде +проігноровано. + + + Типове значення: не встановлено, рівнозначне до «all_rules» — буде +використано усі знайдені правила або типове правило + + + + + ca_db (рядок) + + + Шлях до сховища довірених сертифікатів CA. Параметр використовується для +перевірки сертифікатів користувачів до отримання з них відкритих ключів ssh. + + + Типове значення: + + /etc/sssd/pki/sssd_auth_ca_db.pem (шлях до файла із довіреними сертифікатами +служб сертифікації у форматі PEM) + + + + + + + + + + + Параметри налаштування відповідача PAC + + Відповідач PAC працює разом з додатком даних уповноваження для +sssd_pac_plugin.so зі складу MIT Kerberos та засобу надання даних +піддоменів. Цей додаток надсилає до відповідача PAC дані PAC під час +розпізнавання за допомогою GSSAPI. Засіб надання даних піддоменів збирає +дані щодо діапазонів SID і ID домену, до якого долучено клієнт, та +віддалених надійних доменів з локального контролера доменів. Якщо PAC +декодовано і визначено, виконуються деякі з таких дій: + + Якщо у кеші немає даних віддаленого користувача, запис цих даних буде +створено. UID буде визначено за допомогою SID, надійні домени матимуть UPG, +а gid матиме те саме значення, що і UID. Дані домашнього каталогу буде +засновано на значенні параметра subdomain_homedir. Типово, для командної +оболонки буде вибрано порожнє значення, тобто використовуватимуться типові +параметри системи. Значення для оболонки можна змінити за допомогою +параметра default_shell. + + Якщо існують SID груп з доменів, про які відомо SSSD, запис користувача буде +додано до цих груп. + + + + + Цими параметрами можна скористатися для налаштовування відповідача PAC. + + + + allowed_uids (рядок) + + + Визначає список значень UID або імен користувачів, відокремлених +комами. Користувачам з цього списку буде дозволено доступ до відповідача +PAC. UID за іменами користувачів визначатимуться під час запуску. + + + Типове значення: 0 (доступ до відповідача PAC має лише адміністративний +користувач (root)) + + + Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID +буде перевизначено на основі цього параметра. Якщо ви хочете надати +адміністративному користувачеві (root) доступ до відповідача PAC, що може +бути типовим варіантом, вам слід додати до списку UID з правами доступу +запис 0. + + + + + pac_lifetime (ціле число) + + + Строк дії запису PAC у секундах. Якщо PAC є чинним, дані PAC можна +використовувати для визначення членства користувача у групі. + + + Типове значення: 300 + + + + + pac_check (рядок) + + + Застосувати додаткові перевірки до PAC квитка Kerberos, який доступний у +доменах Active Directory і FreeIPA, якщо це налаштовано. Будь ласка, +зауважте, що має бути увімкнено перевірку квитка Kerberos, щоб мати змогу +перевірити PAC, тобто для параметра krb5_validate має бути встановлено +значення «True», яке є типовим для надавачів даних IPA і AD. Якщо для +krb5_validate встановлено значення «False», перевірки PAC буде пропущено. + + + Вказаними нижче параметрами можна скористатися окремо або у форматі списку +відокремлених комами значень: + + no_check + + PAC не повинно бути, і навіть якщо він є, ніяких додаткових перевірок +виконано не буде. + + + + pac_present + + PAC має бути наявним у квитку служби, запит щодо якого SSSD надсилає за +допомогою TGT користувача. Якщо PAC є недоступним, спроба розпізнавання +зазнає невдачі. + + + + + check_upn + + Якщо PAC є, перевірити, чи є узгодженими дані назви реєстраційного запису +користувача (UPN). + + + + check_upn_allow_missing + + Цей параметр слід використовувати разом і «check_upn» і обробляє випадок, +коли для UPN встановлено значення на боці сервера, але його не прочитано +SSSD. Типовим прикладом є домен FreeIPA, де для «ldap_user_principal» +встановлено назву атрибуту, якого не існує. Так типово роблять для того, щоб +обійти проблеми в обробці промислових реєстраційних записів. Втім, це +виправлено вже певний час, і FreeIPA може обробляти промислові реєстраційні +записи без проблем. У встановленні «ldap_user_principal» більше немає +потреби. + У поточній версії цей параметр типово увімкнено, щоб уникнути регресій у +подібних середовищах. До системного журналу та діагностичного журналу SSSD +буде додано повідомлення у випадку виявлення UPN у PAC, але не у кеші +SSSD. Щоб уникнути появи такого повідомлення, слід перевірити, чи можна +вилучити параметр «ldap_user_principal». Якщо це неможливо, вилучення +«check_upn» призведе до пропускання перевірки, і повідомлення зникне з +журналу. + + + + upn_dns_info_present + + PAC має містити буфер UPN-DNS-INFO; неявним чином встановлює «check_upn». + + + + check_upn_dns_info_ex + + Якщо є PAC і доступним є розширення буфера UPN-DNS-INFO, перевірити, чи є +узгодженими дані у розширенні. + + + + upn_dns_info_ex_present + + PAC має містити розширення буфера UPN-DNS-INFO; неявним чином встановлює +«check_upn_dns_info_ex», «upn_dns_info_present» і «check_upn». + + + + + + + Типове значення: no_check (для надавачів AD та IPA — «check_upn, +check_upn_allow_missing, check_upn_dns_info_ex») + + + + + + + + Параметри налаштовування запису сеансів + + Запис сеансів працює у зв'язці з +tlog-rec-session 8 +, частиною пакунка tlog, для запису даних, які бачать і +вводять користувачі після входу до текстового термінала. Див. також + sssd-session-recording +5 . + + + Цими параметрами можна скористатися для налаштовування запису сеансів. + + + + scope (рядок) + + + Один із вказаних нижче рядків, що визначають область запису сеансів: + + + "none" + + + Користувачі не записуються. + + + + + "some" + + + Запис вестиметься для користувачів і груп, вказаних параметрами +користувачі і групи. + + + + + "all" + + + Усі користувачі записуються. + + + + + + + Типове значення: none + + + + + users (рядок) + + + Список відокремлених комами записів користувачів, для яких увімкнено +записування сеансів. Належність до списку визначатиметься за іменами, +повернутими NSS, тобто після можливих замін пробілів, змін регістру символів +тощо. + + + Типове значення: порожнє. Не відповідає жодному користувачу. + + + + + groups (рядок) + + + Список відокремлених комами записів груп, для користувачів яких буде +увімкнено записування сеансів. Належність до списку визначатиметься за +назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру +символів тощо. + + + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + + + Типове значення: порожнє. Не відповідає жодній групі. + + + + + exclude_users (рядок) + + + Список відокремлених комами записів користувачів, яких має бути виключено із +записування. Може бути застосовано лише разом із «scope=all». + + + Типове значення: порожнє. Не виключати жодного користувача. + + + + + exclude_groups (рядок) + + + Список відокремлених комами записів груп, учасників яких має бути виключено +із записування. Може бути застосовано лише разом із «scope=all». + + + Зауваження: використання цього параметра (встановлення для нього будь-якого +значення) значно впливає на швидкодію, оскільки некешований запит щодо +користувача потребує отримання і встановлення відповідності груп, до яких +належить користувач. + + + Типове значення: порожнє. Не виключати жодної групи. + + + + + + + + + + РОЗДІЛИ ДОМЕНІВ + + Ці параметри налаштування може бути вказано у розділі налаштування домену, +тобто у розділі з назвою +[domain/НАЗВА] + + enabled + + + Явним чином увімкнути або вимкнути домен. Якщо має значення +true, домен завжди увімкнено. Якщо має +значення false, домен завжди вимкнено. Якщо +значення цього параметра не встановлено, домен увімкнено, лише якщо його +вказано у параметрі доменів у розділі [sssd]. + + + + + + domain_type (рядок) + + + Визначає, чи призначено домен для використання клієнтами у стандарті POSIX, +зокрема NSS, або програмами, які не потребують наявності або створення даних +POSIX. Інтерфейсам та інструментам операційних систем доступні лише об'єкти +з доменів POSIX. + + + Дозволеними значеннями цього параметра є posix і +application. + + + Домени POSIX доступні для усіх служб. Домени програм доступні лише з +відповідача InfoPipe (див. +sssd-ifp 5 +) і відповідача PAM. + + + ЗАУВАЖЕННЯ: належне тестування у поточній версії виконано лише для доменів +application з id_provider=ldap. + + + Щоб ознайомитися із простим способом налаштовування не-POSIX доменів, будь +ласка, ознайомтеся із розділом Домени програм. + + + Типове значення: posix + + + + + + min_id,max_id (ціле значення) + + + Обмеження UID і GID для домену. Якщо у домені міститься запис, що не +відповідає цим обмеженням, його буде проігноровано. + + + Для користувачів зміна цього параметра вплине на основне обмеження +GID. Запис користувача не буде повернуто до NSS, якщо UID або основний GID +не належать вказаному діапазону. Записи користувачів, які не є учасниками +основної групи і належать діапазону, буде виведено у звичайному режимі. + + + Ці обмеження на ідентифікатори стосуються і збереження записів до кешу, не +лише повернення записів за назвою або ідентифікатором. + + + Типові значення: 1 для min_id, 0 (без обмежень) для max_id + + + + + + enumerate (булеве значення) + + + Визначає, чи можна нумерувати домен, тобто, чи може домен створити список +усіх користувачів і груп, які у ньому містяться. Зауважте, що вмикання +нумерування не є обов'язковим для показу вторинних груп. Цей параметр може +мати такі значення: + + + TRUE = користувачі і групи нумеруються + + + FALSE = не використовувати нумерацію для цього домену + + + Типове значення: FALSE + + + Нумерування домену потребує від SSSD отримання і зберігання усіх записів +користувачів і груп із віддаленого сервера. + + + Зауваження: вмикання нумерації помірно знизить швидкодію SSSD на час +виконання нумерації. Нумерація може тривати до декількох хвилин після +запуску SSSD. Протягом виконання нумерації окремі запити щодо даних буде +надіслано безпосередньо до LDAP, хоча і з уповільненням через навантаження +системи виконанням нумерації. Збереження великої кількості записів до кешу +після завершення нумерації може також значно навантажити процесор, оскільки +повторне визначення параметрів участі також іноді є складним завданням. Це +може призвести до проблем із отриманням відповіді від процесу +sssd_be або навіть перезапуску усього засобу стеження. + + + Під час першого виконання нумерації запити щодо повних списків користувачів +та груп можуть не повертати жодних результатів, аж доки нумерацію не буде +завершено. + + + Крім того, вмикання нумерації може збільшити час, потрібний для виявлення +того, що мережеве з’єднання розірвано, оскільки потрібне буде збільшення +часу очікування для забезпечення успішного завершення пошуків нумерації. Щоб +отримати додаткову інформацію, зверніться до сторінок довідника (man) +відповідного використаного засобу обробки ідентифікаторів (id_provider). + + + З вказаних вище причин не рекомендуємо вам вмикати нумерацію, особливо у +об’ємних середовищах. + + + + + + subdomain_enumerate (рядок) + + + Визначає, чи слід нумерувати усі автоматично виявлені надійні (довірені) +домени. Підтримувані значення: + + all + Усі виявлені надійні домени буде пронумеровано + + + none + Нумерація виявлених надійних доменів не виконуватиметься + + +Якщо потрібно, можна вказати список з однієї або декількох назв надійних +доменів, для яких буде увімкнено нумерацію. + + + Типове значення: none + + + + + + entry_cache_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи чинними, перш ніж +надсилати повторний запит до сервера + + + Дані щодо часових позначок завершення строку дії записів кешу зберігаються +як атрибути окремих об’єктів у кеші. Тому зміна часу очікування на дані у +кеші впливає лише на нові записи та записи, строк дії яких вичерпано. Для +примусового оновлення записів, які вже було кешовано, вам слід запустити +програму sss_cache +8 . + + + Типове значення: 5400 + + + + + + entry_cache_user_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи користувачів +чинними, перш ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_group_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи груп чинними, перш +ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_netgroup_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи мережевих груп +чинними, перш ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_service_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи служб чинними, перш +ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_resolver_timeout (ціле число) + + + Кількість секунд, протягом яких nss_sss вважатиме записи вузлів і мереж +чинними, перш ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_sudo_timeout (ціле число) + + + Кількість секунд, протягом яких sudo вважатиме правила чинними, перш ніж +надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_autofs_timeout (ціле число) + + + Кількість секунд, протягом яких служба autofs вважатиме карти автомонтування +чинними, перш ніж надсилати повторний запит до сервера + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_ssh_host_timeout (ціле число) + + + Кількість секунд, протягом яких слід зберігати ключ ssh вузла після +оновлення. Іншими словами, параметр визначає тривалість зберігання ключа +вузла у кеші. + + + Типове значення: entry_cache_timeout + + + + + + entry_cache_computer_timeout (ціле число) + + + Кількість секунд, протягом яких слід зберігати запис локального комп'ютера, +перш ніж надсилати запит до модуля обробки даних знову + + + Типове значення: entry_cache_timeout + + + + + + refresh_expired_interval (ціле число) + + + Визначає кількість секунд, протягом яких SSSD має очікувати до запуску +завдання з оновлення у фоновому режимі записів кешу, строк дії яких +вичерпано або майже вичерпано. + + + Під час фонового оновлення виконуватиметься обробка записів користувачів, +груп та мережевих груп у кеші. для записів користувачів, для яких +виконувалися дії з ініціювання груп (отримання даних щодо участі користувача +у групах, які типово виконуються під час входу до системи), буде оновлено і +запис користувача, і дані щодо участі у групах. + + + Цей параметр автоматично успадковується для усіх довірених доменів. + + + Варто визначити для цього параметра значення 3/4 * entry_cache_timeout. + + + Запис кешу буде оновлено фоновим завданням, якщо минуло 2/3 часу очікування +на застарівання кешу. Якщо у кеші вже є записи, фонове завдання звернеться +до значень часу очікування на застарівання початкових записів, а не +поточного значення у налаштуваннях. Це може призвести до ситуації, у якій +здаватиметься, що фонове завдання із оновлення записів не працює. Так +зроблено спеціально для удосконалення роботи в автономному режимі і +повторного використання наявних коректних записів у кеші. Щоб зробити +використання внесеної зміни постійним, користувачу варто вручну скасувати +чинність наявного кешу. + + + Типове значення: 0 (вимкнено) + + + + + + cache_credentials (булеве значення) + + + Determines if user credentials are also cached in the local LDB cache. The +cached credentials refer to passwords, which includes the first (long term) +factor of two-factor authentication, not other authentication +mechanisms. Passkey and Smartcard authentications are expected to work +offline as long as a successful online authentication is recorded in the +cache without additional configuration. + + + Take a note that while credentials are stored as a salted SHA512 hash, this +still potentially poses some security risk in case an attacker manages to +get access to a cache file (normally requires privileged access) and to +break a password using brute force attack. + + + Типове значення: FALSE + + + + + + cache_credentials_minimal_first_factor_length (ціле число) + + + Якщо використано двофакторне розпізнавання (2FA) і реєстраційні дані мають +зберігатися, це значення визначає мінімальну довжину першого фактора +розпізнавання (довготривалого пароля), який має бути збережено у форматі +контрольної суми SHA512 у кеші. + + + Таким чином забезпечується уникнення випадку, коли короткі PIN-коди +заснованої на PIN-кодах схеми 2FA зберігаються у кеші, що робить їх простою +мішенню атак із перебиранням паролів. + + + Типове значення: 8 + + + + + + account_cache_expiration (ціле число) + + + Кількість днів, протягом яких записи залишатимуться у кеші після успішного +входу до системи до вилучення під час спорожнення кешу. 0 — не вилучати +записи. Значення цього параметра має бути більшим або рівним значенню +offline_credentials_expiration. + + + Типове значення: 0 (без обмежень) + + + + + pwd_expiration_warning (ціле число) + + + Показати попередження за вказану кількість днів перед завершенням дії +пароля. + + + Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто +якщо з сервера обробки надійде попередження щодо завершення строку дії, його +буде автоматично показано. + + + Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення +дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати +попередження. Крім того для цього сервера може бути вказано службу надання +даних розпізнавання. + + + Типове значення: 7 (Kerberos), 0 (LDAP) + + + + + + id_provider (рядок) + + + Засіб надання даних ідентифікації, який використовується для цього +домену. Серед підтримуваних засобів такі: + + + «proxy»: підтримка застарілого модуля надання даних NSS. + + + files: засіб надання даних FILES. Докладніше про те, як +працює віддзеркалення локальних користувачів і груп у SSSD, можна дізнатися +зі сторінки підручника +sssd-files 5 +. + + + ldap: засіб LDAP. Докладніше про налаштовування LDAP можна +дізнатися з довідки до +sssd-ldap 5 +. + + + ipa: FreeIPA and Red Hat Identity Management provider. See + sssd-ipa +5 for more information on configuring +FreeIPA. + + + ad: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з +sssd-ad 5 +. + + + + + + use_fully_qualified_names (булеве значення) + + + Використовувати ім’я та домен повністю (у форматі, визначеному +full_name_format домену) як ім’я користувача у системі, що повідомляється +NSS. + + + Якщо встановлено значення TRUE, всі запити до цього домену мають +використовувати повні назви. Наприклад, якщо використано домен LOCAL, який +містить запис користувача «test» user, getent passwd test +не покаже користувача, а getent passwd test@LOCAL покаже. + + + ЗАУВАЖЕННЯ: цей параметр не впливатиме на пошук у мережевих групах через +тенденцію до включення до таких груп вкладених мережевих груп. Для мережевих +груп, якщо задано неповну назву, буде виконано пошук у всіх доменах. + + + Типове значення: FALSE (TRUE для довірених доменів і піддоменів або якщо +використано default_domain_suffix) + + + + + ignore_group_members (булеве значення) + + + Не повертати записи учасників груп для пошуків груп. + + + Якщо встановлено значення TRUE, сервер LDAP не запитуватиме дані щодо +атрибутів участі у групах, а списки учасників груп не повертаються під час +обробки запитів щодо пошуку груп, зокрема +getgrnam 3 + або getgrgid +3 . Отже, getent group +$groupname поверне запитану групу так, наче вона була порожня. + + + Вмикання цього параметра може також значно пришвидшити перевірки засобу +надання доступу для участі у групі, особливо для груп, у яких багато +учасників. + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: FALSE + + + + + auth_provider (рядок) + + + Служба розпізнавання, яку використано для цього домену. Серед підтримуваних +служб розпізнавання: + + + ldap — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з +sssd-ldap 5 +. + + + krb5 — вбудоване розпізнавання Kerberos. Докладніші відомості +щодо налаштовування Kerberos викладено у довіднику з +sssd-krb5 +. + + + ipa: FreeIPA and Red Hat Identity Management provider. See + sssd-ipa +5 for more information on configuring +FreeIPA. + + + ad: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з +sssd-ad 5 +. + + + proxy — трансльоване розпізнавання у іншій системі PAM. + + + none — вимкнути розпізнавання повністю. + + + Типове значення: буде використано id_provider, якщо цей +спосіб встановлено і можлива обробка запитів щодо розпізнавання. + + + + + access_provider (рядок) + + + Програма керування доступом для домену. Передбачено дві вбудованих програми +керування доступом (окрім всіх встановлених додаткових +серверів). Вбудованими програмами є: + + + permit дозволяти доступ завжди. Єдиний дозволений засіб +доступу для локального домену. + + + deny — завжди забороняти доступ. + + + ldap — вбудоване розпізнавання LDAP. Докладніші відомості +щодо налаштовування LDAP викладено у довіднику з +sssd-ldap 5 +. + + + ipa: FreeIPA and Red Hat Identity Management provider. See + sssd-ipa +5 for more information on configuring +FreeIPA. + + + ad: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з +sssd-ad 5 +. + + + simple — керування доступом на основі списків дозволу або +заборони. Докладніші відомості щодо налаштовування модуля доступу simple +можна знайти у довідці до +sssd-simple +5. + + + krb5 — керування доступом на основі .k5login. Докладніші +відомості щодо налаштовування Kerberos викладено у довіднику з + sssd-krb5 + . + + + proxy — для трансляції керування доступом до іншого модуля +PAM. + + + Типове значення: permit + + + + + chpass_provider (рядок) + + + Система, яка має обробляти дії зі зміни паролів для домену. Передбачено +підтримку таких систем зміни паролів: + + + ldap — змінити пароль, що зберігається на сервері +LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з + sssd-ldap +5 . + + + krb5 — змінити пароль Kerberos. Докладніші відомості щодо +налаштовування Kerberos викладено у довіднику з +sssd-krb5 +. + + + ipa: FreeIPA and Red Hat Identity Management provider. See + sssd-ipa +5 for more information on configuring +FreeIPA. + + + ad: засіб Active Directory. Докладніші відомості щодо +налаштовування Active Directory викладено у довіднику з +sssd-ad 5 +. + + + proxy — трансльована зміна пароля у іншій системі PAM. + + + none — явно вимкнути можливість зміни пароля. + + + Типове значення: використовується «auth_provider», якщо встановлено значення +цього параметра і якщо система здатна обробляти запити щодо паролів. + + + + + + sudo_provider (рядок) + + + Служба SUDO, яку використано для цього домену. Серед підтримуваних служб +SUDO: + + + ldap для правил, що зберігаються у LDAP. Докладніше про +налаштовування LDAP можна дізнатися з довідки до +sssd-ldap 5 +. + + + ipa — те саме, що і ldap, але з типовими +параметрами IPA. + + + ad — те саме, що і ldap, але з типовими +параметрами AD. + + + none явним чином вимикає SUDO. + + + Типове значення: використовується значення id_provider, якщо +його встановлено. + + + З докладними настановами щодо налаштовування sudo_provider можна +ознайомитися за допомогою сторінки підручника (man) +sssd-sudo 5 +. Передбачено доволі багато параметрів налаштовування, якими +можна скористатися для коригування поведінки програми. Докладніший опис +можна знайти у розділах щодо «ldap_sudo_*»" у підручнику з +sssd-ldap 5 +. + + + Зауваження: правила sudo періодично отримуються у +фоновому режимі, якщо постачальник даних sudo не вимкнено явним +чином. Встановіть значення sudo_provider = None, щоб +вимкнути усі дії, пов'язані із sudo у SSSD, якщо ви взагалі не хочете +використовувати sudo у SSSD. + + + + + selinux_provider (рядок) + + + Засіб, який має відповідати за завантаження параметрів SELinux. Зауважте, що +цей засіб буде викликано одразу після завершення роботи служби надання +доступу. Передбачено підтримку таких засобів надання даних SELinux: + + + ipa для завантаження параметрів selinux з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з + sssd-ipa +5 . + + + none явним чином забороняє отримання даних щодо параметрів +SELinux. + + + Типове значення: буде використано id_provider, якщо цей +спосіб встановлено і можлива обробка запитів щодо завантаження SELinux. + + + + + subdomains_provider (рядок) + + + Засіб надання даних, який має обробляти отримання даних піддоменів. Це +значення має завжди збігатися зі значенням id_provider. Передбачено +підтримку таких засобів надання даних піддоменів: + + + ipa для завантаження списку піддоменів з сервера +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з + sssd-ipa +5 . + + + «ad», з якої слід завантажувати список піддоменів з сервера Active +Directory. Див. sssd-ad +5 , щоб дізнатися більше про +налаштовування засобу надання даних AD. + + + none забороняє ячним чином отримання даних піддоменів. + + + Типове значення: використовується значення id_provider, якщо +його встановлено. + + + + + session_provider (рядок) + + + Постачальник даних, який налаштовує завдання, пов'язані із сеансами +користувачів, і керує ними. Єдиним завданням сеансів користувача у поточній +версії є інтеграція із Fleet Commander, який працює лише з IPA. Підтримувані +постачальники даних сеансів: + + + ipa, щоб дозволити пов'язані із сеансами користувачів +завдання. + + + none — не виконувати жодних пов'язаних із сеансами +користувачів завдань. + + + Типове значення: використовується значення id_provider, якщо +його встановлено і дозволено виконувати пов'язані із сеансами завдання. + + + Зауваження: щоб ця можливість працювала як слід, SSSD +має бути запущено від імені користувача root, а не якогось іншого +непривілейованого користувача. + + + + + + autofs_provider (рядок) + + + Служба autofs, яку використано для цього домену. Серед підтримуваних служб +autofs: + + + ldap — завантажити карти, що зберігаються у LDAP. Докладніше +про налаштовування LDAP можна дізнатися з довідки до +sssd-ldap 5 +. + + + ipa — завантажити карти, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з + sssd-ipa + . + + + ad — завантажити карти, що зберігаються на сервері +AD. Див. sssd-ad +5 , щоб дізнатися більше про +налаштовування засобу надання даних AD. + + + none вимикає autofs повністю. + + + Типове значення: використовується значення id_provider, якщо +його встановлено. + + + + + + hostid_provider (рядок) + + + Засіб надання даних, який використовується для отримання даних щодо профілю +вузла. Серед підтримуваних засобів надання hostid: + + + ipa — завантажити профіль системи, що зберігається на сервері +IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з + sssd-ipa + . + + + none вимикає hostid повністю. + + + Типове значення: використовується значення id_provider, якщо +його встановлено. + + + + + + resolver_provider (рядок) + + + Система, яка має обробляти дії зі пошуку вузлів та мереж. Передбачено +підтримку таких надавачів даних для визначення: + + + proxy для переспрямовування пошуків до іншої бібліотеки +NSS. Див. proxy_resolver_lib_name + + + ldap — отримати записи вузлів і мереж, які зберігаються у +LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до + sssd-ldap +5 . + + + ad — отримати записи вузлів і мереж, які зберігаються на +сервері AD. Див. sssd-ad +5 , щоб дізнатися більше про +налаштовування засобу надання даних AD. + + + none забороняє ячним чином отримання даних вузлів і мереж. + + + Типове значення: використовується значення id_provider, якщо +його встановлено. + + + + + + re_expression (рядок) + + + Формальний вираз для цього домену, який описує спосіб поділи рядка, що +містить ім’я користувача та назву домену на ці компоненти. «Домен» може +відповідати назві домену налаштувань SSSD або, у випадку піддоменів довіри +IPA та доменів Active Directory, простій назві (NetBIOS) домену. + + + Default: +^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$ +which allows two different styles for user names: + + + користувач + + + користувач@назва.домену + + + + + Default for the AD and IPA provider: +^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$ +which allows three different styles for user names: + + + користувач + + + користувач@назва.домену + + + домен\користувач + + + Перші два стилі відповідають загальним типовим стилям, а третій введено для +того, щоб полегшити інтеграцію користувачів з доменів Windows. + + + The default re_expression uses the @ character as a separator +between the name and the domain. As a result of this setting the default +does not accept the @ character in short names (as it is +allowed in Windows group names). If a user wishes to use short names with +@ they must create their own re_expression. + + + + + full_name_format (рядок) + + + Сумісний з printf +3 формат, який описує спосіб +створення повного імені на основі імені користувача та компонентів назви +домену. + + + Передбачено використання таких замінників: + + %1$s + ім’я користувача + + + %2$s + + + назва домену у форматі, вказаному у файлі налаштувань SSSD. + + + + + %3$s + + + проста назва домену. Здебільшого використовується для доменів Active +Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA. + + + + + + + Типове значення: %1$s@%2$s. + + + + + + lookup_family_order (рядок) + + + Надає можливість вибрати бажане сімейство адрес, яке слід використовувати +під час виконання пошуків у DNS. + + + Передбачено підтримку таких значень: + + + ipv4_first: спробувати визначити адресу у форматі IPv4, у разі невдачі +спробувати формат IPv6 + + + ipv4_only: намагатися визначити назви вузлів лише у форматі адрес IPv4. + + + ipv6_first: спробувати визначити адресу у форматі IPv6, у разі невдачі +спробувати формат IPv4 + + + ipv6_only: намагатися визначити назви вузлів лише у форматі адрес IPv6. + + + Типове значення: ipv4_first + + + + + + dns_resolver_server_timeout (ціле число) + + + Визначає проміжок часу (у мілісекундах), протягом якого SSSD намагатиметься +обмінятися даними із сервером DNS, перш ніж пробувати наступний сервер DNS. + + + Надавач даних AD використовуватиме цей параметр також для визначення часу +очікування на відгук на луна-імпульс CLDAP. + + + Будь ласка, ознайомтеся із розділом РЕЗЕРВ, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + + + Типове значення: 1000 + + + + + + dns_resolver_op_timeout (ціле число) + + + Визначає тривалість (у секундах) періоду, протягом якого програма чекатиме +на завершення виконання окремого запиту DNS (наприклад встановлення назви +вузла або запису SRV), перш ніж перейти до наступної назви вузла або пошуку +наступного DNS. + + + Будь ласка, ознайомтеся із розділом РЕЗЕРВ, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + + + Типове значення: 3 + + + + + + dns_resolver_timeout (ціле число) + + + Визначає кількість часу (у секундах) очікування відповіді від внутрішньої +служби перемикання на резервний ресурс, перш ніж службу буде визначено +недоступним. Якщо час очікування буде перевищено, домен продовжуватиме +роботу у автономному режимі. + + + Будь ласка, ознайомтеся із розділом РЕЗЕРВ, щоб дізнатися +більше про розв'язування питань, пов'язаних із службами. + + + Типове значення: 6 + + + + + + dns_resolver_use_search_list (булеве значення) + + + Зазвичай, розв'язувач адрес DNS виконує пошук у списку доменів, який +визначено інструкцією «search» у файлі resolv.conf. Це може призвести до +затримок у середовищах, де DNS не налаштовано належним чином. + + + Якщо у налаштуваннях SSSD використано повні назви доменів (або _srv_), +встановлення для цього параметра значення FALSE може запобігти непотрібним +пошукам DNS у таких середовищах. + + + Типове значення: TRUE + + + + + + dns_discovery_domain (рядок) + + + Якщо у модулі обробки використовується визначення служб, вказує доменну +частину запиту визначення служб DNS. + + + Типова поведінка: використовувати назву домену з назви вузла комп’ютера. + + + + + + override_gid (ціле число) + + + Замірити значення основного GID на вказане. + + + + + + case_sensitive (рядок) + + + Зважати на регістр символів у назвах записів користувачів і груп. Можливі +значення: + + True + + + Враховується регістр. Це значення є некоректним для засобу надання даних AD. + + + + + False + + Без врахування регістру. + + + + Preserving + + + Те саме, що і False (без врахування регістру символів), але без переведення +у нижній регістр імен у результатах дій NSS. Зауважте, що альтернативні +імена (у випадку служб також назви протоколів) у виведених даних все одно +буде переведено у нижній регістр. + + + Якщо ви хочете встановити це значення для довіреного домену із надавачем +даних IPA, вам доведеться встановити його на боці клієнта і SSSD на сервері. + + + + + + + Цей параметр також може бути встановлено для окремого піддомену або +успадковано за допомогою subdomain_inherit. + + + Типове значення: True (False для засобу надання даних AD) + + + + + + subdomain_inherit (рядок) + + + Визначає список параметрів налаштування, які слід успадковувати для +піддомену. Будь ласка, зауважте, що успадковуватимуться лише вказані +параметри. У поточній версії передбачено можливість успадковування таких +параметрів: + + + ldap_search_timeout + + + ldap_network_timeout + + + ldap_opt_timeout + + + ldap_offline_timeout + + + ldap_enumeration_refresh_timeout + + + ldap_enumeration_refresh_offset + + + ldap_purge_cache_timeout + + + ldap_purge_cache_offset + + + ldap_krb5_keytab (значення krb5_keytab буде використано, якщо +ldap_krb5_keytab не встановлено явним чином) + + + ldap_krb5_ticket_lifetime + + + ldap_enumeration_search_timeout + + + ldap_connection_expire_timeout + + + ldap_connection_expire_offset + + + ldap_connection_idle_timeout + + + ldap_use_tokengroups + + + ldap_user_principal + + + ignore_group_members + + + auto_private_groups + + + case_sensitive + + + Приклад: +subdomain_inherit = ldap_purge_cache_timeout + + + + Типове значення: none + + + Зауваження: цей параметр працює лише для засобів надання даних IPA і AD. + + + + + + subdomain_homedir (рядок) + + + Використовувати вказаний домашній каталог як типовий для всіх піддоменів у +цьому домені у межах довіри AD IPA. Дані щодо можливих значень наведено у +описі параметра override_homedir. Крім того, +розгортання можна використовувати лише з +subdomain_homedir. + + %F + спрощена (NetBIOS) назва піддомену. + + + + + Це значення може бути перевизначено параметром +override_homedir. + + + Типове значення: /home/%d/%u + + + + + realmd_tags (рядок) + + + Різноманітні теґи, що зберігаються службою налаштовування realmd для цього +домену. + + + + + cached_auth_timeout (ціле число) + + + Визначає час у секундах з моменту останнього успішного розпізнавання у +мережі, для якого користувача буде розпізнано за допомогою кешованих +реєстраційних даних, доки SSSD перебуває у режимі «у мережі». Якщо +реєстраційні дані є помилковими, SSSD повертається до інтерактивного +розпізнавання. + + + Значення цього параметра успадковується усіма довіреними доменами. У +поточній версії не передбачено можливості встановлювати окремі різні +значення для різних довірених доменів. + + + Спеціальне значення 0 означає, що цю можливість вимкнено. + + + Будь ласка, зауважте, що якщо cached_auth_timeout має більше +значення за pam_id_timeout, модуль може бути викликано для +обробки initgroups. + + + Типове значення: 0 + + + + + local_auth_policy (string) + + + Local authentication methods policy. Some backends (i.e. LDAP, proxy +provider) only support a password based authentication, while others can +handle PKINIT based Smartcard authentication (AD, IPA), two-factor +authentication (IPA), or other methods against a central instance. By +default in such cases authentication is only performed with the methods +supported by the backend. + + + There are three possible values for this option: match, only, +enable. match is used to match offline and online states for +Kerberos methods. only ignores the online methods and only +offer the local ones. enable allows explicitly defining the methods for +local authentication. As an example, enable:passkey, only +enables passkey for local authentication. Multiple enable values should be +comma-separated, such as enable:passkey, enable:smartcard + + + Please note that if local Smartcard authentication is enabled and a +Smartcard is present, Smartcard authentication will be preferred over the +authentication methods supported by the backend. I.e. there will be a PIN +prompt instead of e.g. a password prompt. + + + The following configuration example allows local users to authenticate +locally using any enabled method (i.e. smartcard, passkey). +[domain/shadowutils] +id_provider = proxy +proxy_lib_name = files +auth_provider = none +local_auth_policy = only + + + + It is expected that the files provider ignores the +local_auth_policy option and supports Smartcard authentication by default. + + + Default: match + + + + + auto_private_groups (рядок) + + + Цей параметр приймає будь-яке з таких трьох доступних значень: + + true + + + Безумовно створює приватну групу користувача на основі номера UID +користувача. У цьому випадку номер GID буде проігноровано. + + + Зауваження: оскільки номер GID і приватна група користувача успадковуються з +номера UID, підтримки декількох записів із однаковим номером UID або GID у +цьому параметрі не передбачено. Іншими словами, вмикання цього параметра +примусово встановлює унікальність записів у просторі ідентифікаторів. + + + + + false + + + Завжди використовувати номер основної GID користувача. Номер GID має +вказувати на об'єкт групи у базі даних LDAP. + + + + + hybrid + + + Основна група створюється автоматично для записів користувача, значення UID +і GID яких збігаються і, одночасно, номер GID не відповідає справжньому +об'єкту групи у LDAP. Якщо значення є однаковими, але основне значення GID у +записі користувача також використовується як об'єкт групи, основний GID +цього користувача визначатиме цей об'єкт групи. + + + Якщо UID і GID користувача є різними, значення GID має відповідати запису +групи, інакше надійне визначення GID буде просто неможливим. + + + Ця можливість є корисною для середовищ, де бажаним є усування потреби у +супроводі окремих об'єктів груп для користувачів у приватних групах, але зі +збереженням наявних приватних груп для користувачів. + + + + + + + Для піддоменів типовим значенням є False для тих піддоменів, які пов'язано +із ідентифікаторами POSIX, і True для тих піддоменів, для яких +використовується автоматична прив'язка до ідентифікаторів. + + + Значення параметра auto_private_groups може встановлюватися або на рівні +окремих піддоменів у підрозділі, приклад: +[domain/forest.domain/sub.domain] +auto_private_groups = false + або на загальному рівні для усіх піддоменів у основному розділі +домену за допомогою параметра subdomain_inherit: +[domain/forest.domain] +subdomain_inherit = auto_private_groups +auto_private_groups = false + + + + + + + + + Параметри, які є чинними для доменів проксі. + + proxy_pam_target (рядок) + + + Комп’ютер, для якого виконує проксі-сервер PAM. + + + Default: not set by default, you have to take an existing pam configuration +or create a new one and add the service name here. As an alternative you can +enable local authentication with the local_auth_policy option. + + + + + + proxy_lib_name (рядок) + + + Назва бібліотеки NSS для використання у доменах з проксі-серверами. Функції +NSS шукаються у бібліотеці у форматі _nss_$(назва_бібліотеки)_$(функція), +наприклад _nss_files_getpwent. + + + + + + proxy_resolver_lib_name (рядок) + + + Назва бібліотеки NSS для використання для пошуку вузлів і мереж у доменах з +проксі-серверами. Функції NSS шукаються у бібліотеці у форматі +_nss_$(назва_бібліотеки)_$(функція), наприклад _nss_dns_gethostbyname2_r. + + + + + + proxy_fast_alias (булеве значення) + + + Під час пошуку запису користувача чи групи за назвою у системі надання даних +переадресації виконується вторинний пошук за ідентифікатором з метою +визначення «канонічної» форми назви, якщо результат знайдено за +альтернативною назвою (псевдонімом). Встановлення для цього параметра +значення «true» призведе до того, що SSSD виконуватиме пошук ідентифікатора +у кеші, щоб пришвидшити надання результатів. + + + Типове значення: false + + + + + + proxy_max_children (ціле число) + + + Цей параметр визначає кількість попередньо розгалужених дочірніх проксі. Він +корисний для високонавантажених середовищ SSSD, де sssd може вичерпати +кількість доступних дочірніх слотів, що може спричинити деякі вади через +використання черги запитів. + + + Типове значення: 10 + + + + + + + + + Домени програм (application) + + SSSD, з його інтерфейсом D-Bus (див. +sssd-ifp 5 +) є привабливим для програм як шлюз до каталогу LDAP, де +зберігаються дані користувачів і груп. Втім, на відміну від традиційного +формату роботи SSSD, де усі користувачі і групи або мають атрибути POSIX, +або ці атрибути може бути успадковано з SID Windows, у багатьох випадках +користувачі і групи у сценарії підтримки роботи програм не мають атрибутів +POSIX. Замість визначення розділу +[domain/НАЗВА] адміністратор може +визначити розділ +[application/НАЗВА], який на +внутрішньому рівні представляє домен типу application, який +може успадковувати параметр з традиційного домену SSSD. + + + Будь ласка, зауважте, що домен програм має так само явним чином увімкнено у +параметрі domains, отже порядок пошуку між доменом програм і +його доменом-близнюком у POSIX має бути встановлено належним чином. + + + Параметри доменів програм + + inherit_from (рядок) + + + Домен типу POSIX SSSD, з якого домен програм успадковує усі параметри. Далі, +домен програм поже додавати власні параметри до параметрів програми, які +розширюють або перевизначають параметри домену-близнюка. + + + Типове значення: не встановлено + + + + + + У наведеному нижче прикладі проілюстровано використання домену програм. У +цій конфігурації домен POSIX з'єднано із сервером LDAP, він використовується +операційною системою через відповідач NSS. Крім того, домен програм також +надсилає запит щодо атрибута telephoneNumber, зберігає його як атрибут phone +у кеші і робить атрибут phone доступним через інтерфейс D-Bus. + + +[sssd] +domains = appdom, posixdom + +[ifp] +user_attributes = +phone + +[domain/posixdom] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +[application/appdom] +inherit_from = posixdom +ldap_user_extra_attrs = phone:telephoneNumber + + + + + + + РОЗДІЛ ДОВІРЕНИХ ДОМЕНІВ + + Деякі параметри, які використовуються у розділі домену, можна також +використовувати у розділі довіреного домену, тобто у розділі, який +називається +[domain/НАЗВА_ДОМЕНУ/НАЗВА_ДОВІРЕНОГО_ДОМЕНУ]. +Де НАЗВА_ДОМЕНУ є справжнім базовим доменом для долучення. Приклади наведено +нижче. У поточній версії підтримуваними параметрами у розділі довіреного +домену є такі параметри: + + ldap_search_base, + ldap_user_search_base, + ldap_group_search_base, + ldap_netgroup_search_base, + ldap_service_search_base, + ldap_sasl_mech, + ad_server, + ad_backup_server, + ad_site, + use_fully_qualified_names + pam_gssapi_services + pam_gssapi_check_upn + + Докладніший опис цих параметрів можна знайти у окремих описах на сторінці +підручника. + + + + + РОЗДІЛ ПРИВ'ЯЗКИ СЕРТИФІКАТІВ + + Щоб уможливити розпізнавання за смарткартками та сертифікатами, SSSD повинна +мати можливість пов'язувати сертифікати із записами +користувачів. Забезпечити таку можливість можна додаванням повного +сертифіката до об'єкта LDAP користувача або локальним перевизначенням. Хоча +використання повного сертифіката є обов'язковим для використання можливості +розпізнавання за смарткарткою у (див. +sss_ssh_authorizedkeys +8 , щоб дізнатися більше), додавання +таких сертифікатів може бути марудною або навіть неможливою справою для +загального випадку, коли локальні служби використовують для розпізнавання +PAM. + + + Для додавання гнучкості прив'язкам у SSSD додано правила прив'язки і +встановлення відповідності (докладніше про це у розділі +sss-certmap 5 +). + + + Правила пов'язування та відповідності можна додати до налаштувань SSSD у +окремий розділ із назвою, подібною до +[certmap/НАЗВА_ДОМЕНУ/НАЗВА_ПРАВИЛА]. +У цьому розділі можна використовувати такі параметри: + + + + matchrule (рядок) + + + Буде виконано обробку лише тих сертифікатів зі смарткартки, які відповідають +цьому правилу. Усі інші сертифікати буде проігноровано. + + + Типове значення: KRB5:<EKU>clientAuth, тобто лише сертифікати, у яких +Extended Key Usage (розширене використання ключа) дорівнює +clientAuth + + + + + maprule (рядок) + + + Визначає спосіб пошуку користувача для вказаного сертифіката. + + + Типове значення: + + + LDAP:(userCertificate;binary={cert!bin}) для заснованих на LDAP надавачів +даних, зокрема ldap, AD та ipa. + + + RULE_NAME для надавача даних files, який намагається знайти +запис користувача і такою самою назвою. + + + + + + + domains (рядок) + + + Список відокремлених комами назв доменів, до яких слід застосовувати +правило. Типово, правило стосуватиметься лише домену, який налаштовано у +sssd.conf. Якщо для надавача даних передбачено підтримку піддоменів, цей +параметр можна використати і для додавання правила до піддоменів. + + + Типове значення: домен, який налаштовано у sssd.conf + + + + + priority (ціле число) + + + Ціле невід'ємне значення, яке визначає пріоритетність правила. Чим більшим є +значення, тим нижчою є пріоритетність. 0 — найвища +пріоритетність, а 4294967295 — найнижча. + + + Типове значення: найнижча пріоритетність + + + + + + Щоб спростити налаштовування із зменшити кількість параметрів +налаштовування, у надавачі даних files передбачено декілька +спеціальних властивостей: + + + + якщо не встановлено maprule, припускається, що значенням RULE_NAME є назва +відповідного облікового запису користувача + + + + + якщо maprule використовує обидва, назву облікового запису окремого +користувача або шаблон, подібний до +{назва_об'єкта_rfc822.коротка_назва}, слід брати у дужки, +наприклад (користувач) або +({назва_об'єкта_rfc822.коротка_назва}) + + + + + параметр domains буде проігноровано + + + + + + + + РОЗДІЛ НАЛАШТОВУВАННЯ ЗАПИТІВ + + Якщо існує спеціальний файл +(/var/lib/sss/pubconf/pam_preauth_available), модуль +PAM SSSD pam_sss надсилатиме запит до SSSD для визначення того, які методи +розпізнавання доступні для користувача, який намагається увійти до +системи. На основі отриманих результатів pam_sss надсилатиме запит до +користувача щодо відповідних реєстраційних даних. + + + Зростання кількості способів розпізнавання та можливість того, що для +окремого користувача передбачено декілька способів, призводить до того, що +евристика, яка використовується pam_sss для вибору запиту може не +спрацьовувати в усіх можливих випадках. Підвищення гнучкості системи у таких +випадках мають забезпечити описані нижче параметри. + + + Each supported authentication method has its own configuration subsection +under [prompting/...]. Currently there are: + + [prompting/password] + + для налаштовування запиту щодо пароля; дозволені параметри: password_prompt + для зміни рядка запиту пароля + + + + + + [prompting/2fa] + + для налаштовування запитів щодо двофакторного розпізнавання. Можливі +варіанти значень: first_prompt + для зміни рядка запиту для першого фактора + + second_prompt + для зміни рядка запиту для другого фактора + + single_prompt + булеве значення. Якщо True, буде виконано лише один запит із використанням +значення first_prompt. Припускатиметься, що обидва фактори введено як один +рядок. Будь ласка, зауважте, що тут може бути введено обидва фактори, навіть +якщо другий фактор не є обов'язковим. + + Якщо другий +фактор є необов'язковим і має бути збережено можливість входу або лише за +паролем, або за двома факторами, має бути використано двокроковий запит. + + + + + + + [prompting/passkey] + + to configure passkey authentication prompting, allowed options are: + + + interactive + + boolean value, if True prompt a message and wait before testing the presence +of a passkey device. Recommended if your device doesn’t have a tactile +trigger. + + + + + interactive_prompt + + to change the message of the interactive prompt. + + + + + touch + + boolean value, if True prompt a message to remind the user to touch the +device. + + + + + touch_prompt + + to change the message of the touch prompt. + + + + + + + + + + + Передбачено можливість додавання підрозділу для специфічних служб PAM, +наприклад [prompting/password/sshd], для окремої зміни запиту +для цієї служби. + + + + + ПРИКЛАДИ + + 1. Нижче наведено приклад типових налаштувань SSSD. Налаштування самого +домену не наведено, — щоб дізнатися більше про неї, ознайомтеся з +документацією щодо налаштовування доменів. +[sssd] +domains = LDAP +services = nss, pam +config_file_version = 2 + +[nss] +filter_groups = root +filter_users = root + +[pam] + +[domain/LDAP] +id_provider = ldap +ldap_uri = ldap://ldap.example.com +ldap_search_base = dc=example,dc=com + +auth_provider = krb5 +krb5_server = kerberos.example.com +krb5_realm = EXAMPLE.COM +cache_credentials = true + +min_id = 10000 +max_id = 20000 +enumerate = False + + + + 2. У наведеному нижче прикладі показано налаштування довіри AD у IPA, де ліс +AD складається з двох доменів у структурі батьківський-дочірній. Нехай домен +IPA (ipa.com) має стосунки довіри з доменом AD (ad.com). ad.com має дочірній +домен (child.ad.com). Щоб увімкнути скорочені назви у дочірньому домені, +слід скористатися наведеними нижче налаштуваннями. +[domain/ipa.com/child.ad.com] +use_fully_qualified_names = false + + + + 3. The following example shows the configuration of a certificate mapping +rule. It is valid for the configured domain my.domain and +additionally for the subdomains your.domain and uses the full +certificate in the search filter. +[certmap/my.domain/rule_name] +matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ +maprule = (userCertificate;binary={cert!bin}) +domains = my.domain, your.domain +priority = 10 + + + + + + + + diff --git a/src/man/uk/sssd_krb5_localauth_plugin.8.xml b/src/man/uk/sssd_krb5_localauth_plugin.8.xml new file mode 100644 index 0000000..b329bfe --- /dev/null +++ b/src/man/uk/sssd_krb5_localauth_plugin.8.xml @@ -0,0 +1,68 @@ + + + +Сторінки підручника SSSD + + + + + sssd_krb5_localauth_plugin + 8 + + + + sssd_krb5_localauth_plugin + Додаток для локального уповноваження Kerberos + + + + ОПИС + + Додаток локального уповноваження Kerberos +sssd_krb5_localauth_plugin використовує libkrb5 для того, +щоб або знайти локальну назву для заданого реєстраційного запису Kerberos, +або для перевірки того, чи задана локальна назва і заданий реєстраційний +запис Kerberos є пов'язаними між собою. + + + SSSD обробляє локальні назви записів користувачів з віддаленого джерела і +може також читати назву реєстраційного запису користувача Kerberos з +віддаленого джерела. На основі цих даних SSSD може дуже просто обробити +згадані вище прив'язки, навіть якщо локальна назва і реєстраційний запис +Kerberos значно відрізняються. + + + Крім того, на основі даних, прочитаних з віддаленого джерела SSSD може +допомогти запобігти неочікуваним або небажаним прив'язкам у випадку, коли +назва запису користувача у реєстраційному записі Kerberos випадково +збігатиметься із локальною назвою запису іншого користувача. Типово, libkrb5 +може просто вилучити з реєстраційного запису Kerberos частину, яку пов'язано +із областю дії, для отримання локальної назви запису, що може призвести у +цьому випадку до помилкових прив'язок. + + + + + НАЛАШТУВАННЯ + + Додаток локального уповноваження Kerberos має бути явним чином увімкнено у +налаштуваннях Kerberos, див. +krb5.conf 5 +. SSSD автоматично створить фрагмент налаштувань із вмістом, +подібним до такого: +[plugins] + localauth = { + module = sssd:/usr/lib64/sssd/modules/sssd_krb5_localauth_plugin.so + } + у +загальнодоступному каталозі фрагментів налаштувань SSSD Kerberos. Якщо цей +каталог включено до локальних налаштувань Kerberos, додаток буде увімкнено +автоматично. + + + + + + + diff --git a/src/man/uk/sssd_krb5_locator_plugin.8.xml b/src/man/uk/sssd_krb5_locator_plugin.8.xml new file mode 100644 index 0000000..692e1a7 --- /dev/null +++ b/src/man/uk/sssd_krb5_locator_plugin.8.xml @@ -0,0 +1,108 @@ + + + +Сторінки підручника SSSD + + + + + sssd_krb5_locator_plugin + 8 + + + + sssd_krb5_locator_plugin + Додаток локатора Kerberos + + + + ОПИС + + Для пошуку KDC для вказаної області Kerberos libkrb5 використовує додаток +пошуку Kerberos sssd_krb5_locator_plugin. SSSD надає +такий додаток для спрямовування усіх клієнтів Kerberos у системі до єдиного +KDC. Загалом, немає значення, з яким KDC клієнт обмінюється даними. Втім, +бувають випадки, наприклад, після зміни пароля, коли не усі KDC перебувають +в одному стані, оскільки нові дані має бути спочатку відтворено на усіх +серверах. Щоб уникнути неочікуваних помилок під час розпізнавання або навіть +блокування облікових записів, варто примусово обмежувати обмін даними до +одного KDC якомога довше. + + + libkrb5 шукатиме додаток пошуку у підкаталозі libkrb5 каталогу додатків +Kerberos, див. plugin_base_dir у +krb5.conf 5 +, щоб дізнатися більше. Додаток можна вимкнути лише +вилученням файла додатка. У налаштуваннях Kerberos не передбачено пунктів +для його вимикання. Втім, для вимикання додатка для окремих команд можна +скористатися змінною середовища SSSD_KRB5_LOCATOR_DISABLE. Крім того, можна +скористатися параметром SSSD krb5_use_kdcinfo=False з метою заборони +створення даних, які потрібні для роботи додатка. Якщо визначити цю змінну, +додаток викликатиметься, але не надаватиме дані функції виклику, отже +libkrb5 зможе повернутися до інших методів, які визначено у krb5.conf. + + + Додаток читає дані щодо KDC вказаної області з файла із назвою +kdcinfo.REALM. Цей файл має містити одну або декілька +назв DNS або IP-адрес або у форматі чисел, які відокремлено крапками, IPv4, +або у шістнадцятковому форматі IPv6. Можна додати необов'язковий номер порту +наприкінці, відокремивши його від решти запису двокрапкою. У цьому випадку, +як завжди, адресу IPv6 слід взяти у квадратні дужки. Коректними вважаються +такі записи: + + kdc.example.com + kdc.example.com:321 + 1.2.3.4 + 5.6.7.8:99 + 2001:db8:85a3::8a2e:370:7334 + [2001:db8:85a3::8a2e:370:7334]:321 + + Надавач даних розпізнавання krb5 SSSD, який використовується також +надавачами даних IPA та AD, додає до цього файла адресу поточного KDC або +контролера домену, який використовує SSSD. + + + У середовищах із придатними лише для читання або для читання запису KDC, де, +як очікується, клієнти використовуватимуть придатні лише для читання +екземпляри для виконання загальних завдань і користуватиметься призначеними +для запису KDC лише для внесення змін до налаштувань, зокрема зміни паролів, +kpasswdinfo.REALM також використовується для визначення +придатних до читання і запису KDC. Якщо цей файл існує для вказаної області, +його вміст буде використано додатком для надання відповідей на запити щодо +сервера kpasswd або kadmin чи щодо певного основного KDC MIT Kerberos. Якщо +адреса містить номер порту, для останньої мети використовуватиметься типовий +порт KDC 88. + + + + + ЗАУВАЖЕННЯ + + Підтримку використання додатків передбачено не у всіх реалізаціях +Kerberos. Якщо у вашій системі немає +sssd_krb5_locator_plugin, вам слід внести зміни до +/etc/krb5.conf, які відповідатимуть вашій версії Kerberos. + + + Якщо встановлено будь-яке значення змінної середовища +SSSD_KRB5_LOCATOR_DEBUG, діагностичні повідомлення надсилатимуться до +stderr. + + + Якщо встановлено будь-яке значення для змінної середовища +SSSD_KRB5_LOCATOR_DISABLE, додаток буде вимкнено і поверне функції виклику +лише KRB5_PLUGIN_NO_HANDLE. + + + Якщо встановлено будь-яке значення змінної середовища +SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES, додаток спробує визначити усі назви +DNS у файлі kdcinfo. Типово, додаток повертає функції виклику +KRB5_PLUGIN_NO_HANDLE негайно після першої ж невдалої спроби визначення DNS. + + + + + + + -- cgit v1.2.3