sssd-ipa 5 Formatos de archivo y convenciones sssd-ipa Proveedor SSSD IPA Este página de manual describe la configuración del proveedor IPA para sssd 8 . Para una referencia de sintaxis detalladas, vea la sección FILE FORMAT de la página de manual sssd.conf 5 . El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea el sitio web freeipa.org para información sobre los servidores IPA). Este proveedor requiere que la máquina este unido al dominio IPA; la configuración es casi enteramente auto descubierta y obtenida directamente del servidor. El proveedor IPA habilita a SSSD para usar el proveedor de identidad sssd-ldap 5 y el proveedor de autenticación sssd-krb5 5 con optimizaciones para entornos IPA. El proveedor IPA acepta las mismas opciones que las usadas por los proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones. El proveedor IPA copia primariamente las opciones por defecto tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias están listadas en la sección OPCIONES PREDETERMINADAS MODIFICADAS. As an access provider, the IPA provider has a minimal configuration (see ipa_access_order) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC. Si auth_provider=ipa o access_provider=ipa está configurado en sssd.conf id_provider se debe establecer también a ipa. El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los usuario de reinos confiables contienen un PAC. Para hacer la configuración más fácil el respondedor PAC es iniciado automáticamente si la ID del proveedor IPA está configurada. Vea la sección DOMAIN SECTIONS de la página de manual sssd.conf 5 para detalles sobre la configuración de un dominio SSSD. ipa_domain (cadena) Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra, se usa el nombre de configuración del dominio. ipa_server, ipa_backup_server (cadena) La lista separada por comas de direcciones IP o nombres de host de los servidores IPA a los que SSSD se conectaría en orden de preferencia. Para más información sobre conmutación en error y redundancia de servidores, vea la sección FAILOVER. Esto es opcional si autodiscovery está habilitado. Para más información sobre el servicio descubridor, vea la sección SERVICE DISCOVERY. ipa_hostname (cadena) Opcional. Se puede establecer sobre máquinas donde el hostname(5) no refleje el nombre totalmente cualificado usado en el dominio IPA para identificar este host. El nombre de host debe ser totalmente cualificado. dyndns_update (booleano) Opcional. Esta opción le dice a SSSD que actualice automáticamente el servidor DNS incorporado a FreeIPA con la dirección IP de este cliente. La actualización está asegurada utilizando GSS-TSIG. La dirección IP de la conexión IPA LDAP se usa para las actualizaciones, si no se especifica de otra manera utilizando la opción dyndns_iface. NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser fijado apropiadamente en /etc/krb5.conf AVISO: Aunque todas es posible usar la vieja opción ipa_dyndns_update, los usuarios deberían migrar para usar dyndns_update en su fichero de configuración. Predeterminado: false dyndns_ttl (entero) El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si dyndns_update está a false esto no tiene efecto. Esto anula el TTL del lado servidor si se establece por un administrador. AVISO: Aunque todavía es posible usar la antigua opción ipa_dyndns_ttl, los usuarios deberían migrar usando dyndns_ttl en su fichero de configuración. Por defecto: 1200 (segundos) dyndns_iface (cadena) Opcional. Aplicable solo cuando dyndns_update está a true. Elija la interfaz o la lista de interfaces cuyas direcciones IP serían usadas para las actualizaciones DNS dinámicas. El valor especial * implica que las IPs de todas las interfaces serían las usadas. AVISO: Aunque todavía es posible usar la vieja opción ipa_dyndns_iface, los usuarios deberían migrar usando dyndns_iface en su fichero de configuración. Predeterminado: Usa las direcciones IP de la interfaz que es usada para la conexión IPA LDAP Ejemplo: dyndns_iface = em1, vnet1, vnet2 dyndns_auth (cadena) Si la utilidad nsupdate debe usar la autenticación GSS-TSIG para actualizaciones seguras con el servidor DNS, las actualizaciones inseguras se pueden enviar fijando esta opción a 'none'. Predeterminado: GSS-TSIG dyndns_auth_ptr (string) Whether the nsupdate utility should use GSS-TSIG authentication for secure PTR updates with the DNS server, insecure updates can be sent by setting this option to 'none'. Default: Same as dyndns_auth ipa_enable_dns_sites (booleano) Habilita sitios DNS - descubrimiento de servicio basado en la ubicación. Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del Servicio en la parte inferior de la página de manual) está habilitado, SSSD primero intentará la localización basada en el descubrimiento usando una consulta que contenga "_location.hostname.example.com" y después irá al descubrimiento tradicional SRV. Si la localización basada en el descubrimiento tiene éxito, los servidores IPA localizados con la localización basada en el descubrimiento son tratados como servidores primarios y los servidores IPA localizados usando el descubrimiento tradicional SRV son usados como servidores de respaldo Predeterminado: false dyndns_refresh_interval (entero) Con qué frecuencia el back-end debe realizar una actualización periódica de DNS además de la actualización automática que se realiza cuando el back-end se conecta. Esto es una posibilidad opcional y aplicable solo cuando dyndns_update está a true. Predeterminado: 0 (deshabilitado) dyndns_update_ptr (booleano) Si el registro PTR debería ser explícitamente actualizado cuando se actualizan los registros DNS del cliente. Aplicable solo cuando dyndns_update está a true. Esta opción debería estar a False en la mayoría de los despliegues IPA puesto que el servidor IPA genera los registros PTR automáticamente cuando se cambian los registros que envía. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. Predeterminado: False (deshabilitado) dyndns_force_tcp (booleano) Si la utilidad nsupdate debería usar de manera predeterminada TCP cuando se comunica con el servidor DNS. Predeterminado: False (permitir a nsupdate elegir el protocolol) dyndns_server (cadena) El servidor DNA a usar cuando se lleva a cabo una actualización DNS update. En la mayoría de las configuraciones se recomienda dejar esta opción sin establecer. El establecimiento de esta opción tiene sentido en entornos donde el servidor DNS es distinto del servidor de identidad. Tenga en cuenta que esta opción solo se usará en un intento de recuperación cuando el intento anterior de usar la configuración autodetectada falló. Predeterminado: None (permitir a nsupdate elegir el servidor) dyndns_update_per_family (booleano) La actualización DNS es llevada a cabo de manera predeterminada en dos pasos - actualización IPv4 y después actualización IPv6. En algunos casos puede ser deseable llevar a cabo la actualización IPv4 e IPv6 en un único paso. Predeterminado: true ipa_access_order (string) Lista separada por coma de opciones de control de acceso. Los valores permitidos son: expire: use IPA's account expiration policy. pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH. The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change their password immediately. Please note that 'access_provider = ipa' must be set for this feature to work. ipa_deskprofile_search_base (cadena) Opcional. Usa la cadena dada como base de búsqueda de los objetos relacionados con Desktop Profile. Predeterminado: Utilizar DN base ipa_subid_ranges_search_base (string) Optional. Use the given string as search base for subordinate ranges related objects. Default: the value of cn=subids,%basedn ipa_hbac_search_base (cadena) Opcional. Usa la cadena dada como base de búsqueda para los objetos HBAC relacionados. Predeterminado: Utilizar DN base ipa_host_search_base (cadena) Obsoleto. Usa en su lugar ldap_host_search_base. ipa_selinux_search_base (cadena)Opcional. Opcional. Usa la cadena dada como base de búsqueda para los mapas de usuario SELinux. Vea ldap_search_base para información sobre la configuración de múltiples bases de búsqueda. Predeterminado: el valor de ldap_search_base ipa_subdomains_search_base (cadena) Opcional: Usa la cadena dada como base de búsqueda de dominios de confianza. Vea ldap_search_base para información sobre la configuración de múltiples bases de búsqueda. Por defecto: el valor de cn=trusts,%basedn ipa_master_domain_search_base (cadena) Opcional: Usa la cadena dada como base de búsqueda para el objeto maestro de dominio. Vea ldap_search_base para información sobre la configuración de múltiples bases de búsqueda. Por defecto: el valor de cn=ad,cn=etc,%basedn ipa_views_search_base (cadena) Opcional. Usa la cadena dada como base de búsqueda de contenedores de vista. Vea ldap_search_base para información sobre la configuración de múltiples bases de búsqueda. Predeterminado: el valor de cn=views,cn=accounts,%basedn krb5_realm (cadena) El nombre del reino Kerberos. Esto es opcional y por defecto está al valor de ipa_domain. El nombre del reino Kerberos tiene un significado especial en IPA – es convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP. krb5_confd_path (cadena) Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de configuración de Kerberos. Para deshabilitar la creación de fragmentos de configuración establezca el parámetro a 'none'. Predeterminado: no establecido (krb5.include.d subdirectorio del directorio pubconf de SSSD) ipa_deskprofile_refresh (entero) La cantidad de tiempo entre búsquedas de reglas Desktop Profile contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas solicitudes de perfiles de escritorio en un período corto. Predeterminado: 5 (segundos) ipa_deskprofile_request_interval (entero) La cantidad de tiempo entre búsquedas de las reglas Desktop Profile contra el servidor IPA en el caso de que la última petición no devolvió ninguna regla. Predeterminado: 60 (minutos) ipa_hbac_refresh (entero) La cantidad de tiempo entre vbúsquedas de las reglas HBAC contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de control de acceso hechas en un corto período. Predeterminado: 5 (segundos) ipa_hbac_selinux (entero) La cantidad de tiempo entre búsquedas de los mapas SELinux contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de acceso de usuario hechas en un corto período. Predeterminado: 5 (segundos) ipa_server_mode (booleano) Esta opción será establecida por el instalador IPA (ipa-server-install) automáticamente y denota si SSSD está corriendo sobre un servidor IPA o no. Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de confianza directamente mientras que sobre un cliente preguntará a un servidor IPA. NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD se ejecuta en un servidor IPA. La opcion ipa_server debe configurarse para que apunte al servidor IPA mismo. Esto está establecido de manera predeterminada por el instalador IPA de modo que no se necesitan cambios manuales. La opción full_name_format no debe modificarse para imprimir solo nombres cortos de los usuarios de los dominios de confianza. Predeterminado: false ipa_automount_location (cadena) La localización del automontador de este cliente IPA que será usada Por defecto: La localización llamada “default” SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y versiones posteriores. Como todas las rutas y objectclasses son fijadas en el lado servidor no se necesita configurar nada. Para completar, las opciones relacionadas son listadas aquí con sus valores predeterminados. ipa_view_class (cadena) Objectclass del contenedorde vistas. Predeterminado: nsContainer ipa_view_name (cadena) Nombre del atributo que contiene el nombre de la vista. Predeterminado: cn ipa_override_object_class (cadena) Objectclass de los objetos anulados. Predeterminado: ipaOverrideAnchor ipa_anchor_uuid (cadena) Nombre del atributo que contiene la referencia al objeto original en un dominio remoto. Predeterminado: ipaAnchorUUID ipa_user_override_object_class (cadena) Nombre de los objectclass para los usuarios anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo. Las anulaciones de usuario pueden contener atributos dados por ldap_user_name ldap_user_uid_number ldap_user_gid_number ldap_user_gecos ldap_user_home_directory ldap_user_shell ldap_user_ssh_public_key Predeterminado: ipaUserOverride ipa_group_override_object_class (cadena) Nombre del objectclass para grupos anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo. Las anulaciones de grupo pueden contener atributos dados por ldap_group_name ldap_group_gid_number Predeterminado: ipaGroupOverride El proveedor de subdominios IPA se comporta de forma ligeramente diferente si está configurado explícitamente o implícitamente. Si la opción ' subdomains_provider = ipa' se encuentra en la sección de dominio de sssd.conf, el proveedor de subdominios de IPA se configura explícitamente, y todas las peticiones de subdominio se envían al servidor de IPA si es necesario. Si la opción 'subdomains_provider' no está establecida en la sección dominio de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de subdominios IPA está configurado implícitamente. En este caso, si una petición de subdominio falla e indica que el servidor no soporta subdominios, i.e. no está configurado para confianza, el proveedor de subdominios IPA está deshabilitado. Después de una hora o después de que el proveedor IPA esté en línea, el proveedor de subdominios está habilitado otra vez. Some configuration options can also be set for a trusted domain. A trusted domain configuration can be set using the trusted domain subsection as shown in the example below. Alternatively, the subdomain_inherit option can be used in the parent domain. [domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com For more details, see the sssd.conf 5 manual page. Se pueden ajustar diferentes opciones de configuración para un dominio de confianza dependiendo de si usted está configurando SSSD sobre un servidor IPA o un cliente IPA. Se pueden establecer las siguientes opciones en una sección subdominio sobre un IPA maestro: ad_server ad_backup_server ad_site ldap_search_base ldap_user_search_base ldap_group_search_base use_fully_qualified_names Las siguientes opciones pueden ser establecidas en una sección subdominio sobre un cliente IPA: ad_server ad_site Advierta que si ambas opciones están establecidas solo se evalúa ad_server. Puesto que cualquier petición para una identidad de usuario o de grupo de un dominio de confianza disparada desde un cliente IPA se resuelve por el servidor IPA, las opciones ad_server y ad_site solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las direcciones resueltas desde estas listas serán escritas a ficheros kdcinfo leídos por el complemento localizador Kerberos. Por favor vea la página de manual sssd_krb5_locator_plugin 8 para mas detalles sobre el complemento localizador Kerberos. El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección [sssd]. Este ejemplo muestra sólo las opciones específicas del proveedor ipa. [domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com