sssd-ldap 5 Formatos de archivo y convenciones sssd-ldap Proveedor SSSD LDAP Esta página de manual describe la configuración de dominios LDAP para sssd 8 . Vea la sección FILE FORMAT de la página de manual sssd.conf 5 para información detallada de la sintáxis. Puede configurar SSSD para usar más de un dominio LDAP. LDAP back end supports id, auth, access and chpass providers. If you want to authenticate against an LDAP server either TLS/SSL or LDAPS is required. sssd does not support authentication over an unencrypted channel. Even if the LDAP server is used only as an identity provider, an encrypted channel is strongly recommended. Please refer to ldap_access_filter config option for more information about using LDAP as an access provider. Todas las opciones comunes de configuración que se aplican a los dominios SSSD tambien se aplican a los dominios LDAP. Vea la sección DOMAIN SECTIONS de la página de manual sssd.conf 5 para todos los detalles. Advierta que los atributos de mapeo SSSD LDAP están descritos en la página de manual sssd-ldap-attributes 5 . ldap_uri, ldap_backup_uri (string) Especifica una lista separada por comas de URIs del servidor LDAP al que SSSD se conectaría en orden de preferencia. Vea la sección CONMUTACIÓN EN ERROR para más información sobre la conmutación en error y la redundancia de servidor. Si no hay opción especificada, se habilita el descubridor de servicio. Para más información, vea la sección DESCUBRIDOR DE SERVICIOS El formato de la URI debe coincidir con el formato definido en RFC 2732: ldap[s]://<host>[:port] Para direcciones IPv6 explícitas, <host> debe estar entre corchetes [] ejemplo: ldap://[fc00::126:25]:389 ldap_chpass_uri, ldap_chpass_backup_uri (cadena) Especifica la lista separada por comas de URIs de los servidores LDAP a los que SSSD se conectaría con el objetivo preferente de cambiar la contraseña de un usuario. Vea la sección FAILOVER para más información sobre failover y redundancia de servidor. Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe ser establecido. Por defecto: vacio, esto es ldap_uri se está usando. ldap_search_base (cadena) El DN base por defecto que se usará para realizar operaciones LDAP de usuario. Desde SSSD 1.7.0, SSSD soporta múltiples bases de búsqueda usando la sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] El alcance puede ser uno de “base”, “onlevel” o “subtree”. El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Ejemplos: ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base = dc=example,dc=com?subtree? ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? Nota: No está soportado tener múltiples bases de búsqueda que se referencien a objetos nombrados idénticamente (por ejemplo, grupos con el mismo nombre en dos bases de búsqueda diferentes). Esto llevara a comportamientos impredecibles sobre máquinas cliente. Por defecto: no se fija, se usa el valor de los atributos defaultNamingContext o namingContexts de RootDSE del servidor LDAP usado. Si defaultNamingContext no existe o tiene un valor vacío se usa namingContexts. El atributo namingContexts debe tener un único valor con el DN de la base de búsqueda del servidor LDAP para hacer este trabajo. No se soportan múltiples valores. ldap_schema (cadena) Especifica el Tipo de Esquema en uso en el servidor LDAP objetivo. Dependiendo del esquema seleccionado, los nombres de atributos por defecto que se recuperan de los servidores pueden variar. La manera en que algunos atributos son manejados puede también diferir. Cuatro tipos de esquema son actualmente soportados: rfc2307 rfc2307bis IPA AD La principal diferencia entre estos tipos de esquemas es como las afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros de grupos son listados por nombre en el atributo memberUid. Con rfc2307bis e IPA, los miembros de grupo son listados por DN y almacenados en el atributo member. El tipo de esquema AD fija los atributos para corresponderse con los valores Active Directory 2008r2. Predeterminado: rfc2307 ldap_pwmodify_mode (cadena) Especifica la operación que se usa para modificar la contraseña de usuario. Actualmente se soportan dos modos: exop - Operación Extendida de Modificación de Contraseña (RFC 3062) ldap_modify - Modificación directa de userPassword (no recomendado). Aviso: Primero, se establece una nueva conexión para verificar la contraseña acutal uniendo con el usuario que ha pedido el cambio de contraseña. Si tiene éxito, esta conexión se usa para el cambio de contraseña por lo tanto el usuario debe haber escrito el atributo de acceos a userPassword. Predeterminado: exop ldap_default_bind_dn (cadena) El enlazador DN por defecto a usar para llevar a cabo operaciones LDAP. ldap_default_authtok_type (cadena) El tipo de ficha de autenticación del enlazador DN por defecto. Los dos mecanismos actualmente soportados son: contraseña obfuscated_password Por defecto: contraseña See the sss_obfuscate 8 manual page for more information. ldap_default_authtok (cadena) The authentication token of the default bind DN. ldap_force_upper_case_realm (boolean) Algunos servidores de directorio, por ejemplo Active Directory, pueden entregar la parte real del UPN en minúsculas, lo que puede causar fallos de autenticación. Fije esta opción en un valor distinto de cero si usted desea usar mayúsculas reales. Predeterminado: false ldap_enumeration_refresh_timeout (entero) Especifica cuantos segundos SSSD tiene que esperar antes de refrescar su escondrijo de los registros enumerados. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 300 ldap_purge_cache_timeout (entero) Determina la frecuencia de comprobación del cache para entradas inactivas (como grupos sin miembros y usuarios que nunca han accedido) y borrarlos para guardar espacio. Estableciendo esta opción a cero deshabilitará la operación de limpieza del caché. Por favor advierta que si la enumeración está habilitada, se requiere la tarea de limpieza con el objetivo de detectar entradas borradas desde el servidor y no pueden ser deshabilitadas. Por defecto, la tarea de limpieza correrá cada tres horas con la enumeración habilitada. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 0 (deshabilitado) ldap_group_nesting_level (entero) Si ldap_schema está fijado en un formato de esquema que soporte los grupos anidados (por ejemplo, RFC2307bis), entonces esta opción controla cuantos niveles de anidamiento seguirá SSSD. Este opción no tiene efecto en el esquema RFC2307. Aviso: Esta opción especifica el nivel garantizado d grupos anidados a ser procesados para cualquier búsqueda. Sin embargo, los grupos anidados detrás de este límite pueden ser devueltos si las búsquedas anteriores ya resueltas en os niveles más profundos de anidamiento. También, las búsquedas subsiguientes para otros grupos pueden agrandar el conjunto de resultados de la búsqueda origina si se requiere. Si ldap_group_nesting_level está establecido a 0 no se procesan de ninguna manera grupos anidados. Sin embargo, cuando está conectado a Active-Directory Server 2008 y posteriores usando id_provider=ad se recomienda además deshabilitar la utilización de Token-Groups estableciendo ldap_use_tokengroups a false con el objetivo de restringir el anidamiento de grupos. Predeterminado: 2 ldap_use_tokengroups Esta opción habilita o deshabilita el uso del atributo Token-Groups cuando lleva a cabo un initgroup para usuarios de Active Directory Server 2008 y posteriores. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: True para AD e IPA en otro caso False. ldap_host_search_base (cadena) Opcional. Usa la cadena dada como base de búsqueda para objetos host. Vea ldap_search_base para información sobre la configuración de múltiples bases de búsqueda. Predeterminado: el valor de ldap_search_base ldap_service_search_base (cadena) ldap_iphost_search_base (string) ldap_ipnetwork_search_base (string) ldap_search_timeout (entero) Especifica el tiempo de salida (en segundos) que la búsqueda ldap está permitida para correr antes que de quea cancelada y los resultados escondidos devueltos (y se entra en modo fuera de línea) Nota: esta opción será sujeto de cambios en las futuras versiones del SSSD. Probablemente será sustituido en algunos puntos por una serie de tiempos de espera para tipos específicos de búsqueda. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 6 ldap_enumeration_search_timeout (entero) Especifica el tiempo de espera (en segundos) en los que las búsquedas ldap de enumeraciones de usuario y grupo están permitidas de correr antes de que sean canceladas y devueltos los resultados escondidos (y se entra en modo fuera de línea) This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 60 ldap_network_timeout (entero) Especifica el tiempo de salida (en segudos) después del cual poll 2 / select 2 siguiendo un connect 2 vuelve en caso de no actividad. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 6 ldap_opt_timeout (entero) Especifica un tiempo de espera (en segundos) después del cual las llamadas a LDAP APIs asíncronos se abortarán si no se recibe respuesta. También controla el tiempo de espera cuando se comunica con el KDC en caso de enlace SASL, el tiempo de espera de una operación de enlace LDAP, la operación de cambio extendido de contraseña y las operación StartTLS. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 8 ldap_connection_expire_timeout (entero) Especifica un tiempo de espera (en segundos) en el que se mantendrá una conexión a un servidor LDAP. Después de este tiempo, la conexión será restablecida. Si su usa en paralelo con SASL/GSSAPI, se usará el valor más temprano (este valor contra el tiempo de vida TGT). If the connection is idle (not actively running an operation) within ldap_opt_timeout seconds of expiration, then it will be closed early to ensure that a new query cannot require the connection to remain open past its expiration. This implies that connections will always be closed immediately and will never be reused if ldap_connection_expire_timeout <= ldap_opt_timout This timeout can be extended of a random value specified by ldap_connection_expire_offset This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 900 (15 minutos) ldap_connection_expire_offset (integer) Random offset between 0 and configured value is added to ldap_connection_expire_timeout. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 0 ldap_connection_idle_timeout (integer) Specifies a timeout (in seconds) that an idle connection to an LDAP server will be maintained. If the connection is idle for more than this time then the connection will be closed. You can disable this timeout by setting the value to 0. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 900 (15 minutos) ldap_page_size (entero) Especifica el número de registros a recuperar desde una única petición LDAP. Algunos servidores LDAP hacen cumplir un límite máximo por petición. Predeterminado: 1000 ldap_disable_paging (booleano) Deshabilita el control de paginación LDAP. Esta opción se debería usar si el servidor LDAP reporta que soporta el control de paginación LDAP en sus RootDSE pero no está habilitado o no se comporta apropiadamente. Ejemplo: los servidores OpenLDAP con el módulo de control de paginación instalado sobre el servidor pero no habilitado lo reportarán en el RootDSE pero es incapaz de usarlo. Ejemplo: 389 DS tiene un bug donde puede sólo soportar un control de paginación a la vez en una única conexión. Sobre clientes ocupados, esto puede ocasionar que algunas peticiones sean denegadas. Por defecto: False ldap_disable_range_retrieval (booleano) Deshabilitar la recuperación del rango de Active Directory. Active Directory limita el número de miembros a recuperar en una única búsqueda usando la política MaxValRange (que está predeterminada a 1500 miembros). Si un grupo contiene mas miembros, la replica incluiría una extensión de rango específica AD. Esta opción deshabilita el análisis de la extensión del rango, por eso grupos grandes aparecerán como si no tuvieran miembros. Por defecto: False ldap_sasl_minssf (entero) Cuando se está comunicando con un servidor LDAP usando SASL, especifica el nivel de seguridad mínimo necesario para establecer la conexión. Los valores de esta opción son definidos por OpenLDAP. Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf) ldap_sasl_maxssf (integer) When communicating with an LDAP server using SASL, specify the maximal security level necessary to establish the connection. The values of this option are defined by OpenLDAP. Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf) ldap_deref_threshold (entero) Especifica el número de miembros del grupo que deben estar desaparecidos desde el escondrijo interno con el objetivo de disparar una búsqueda deference. Si hay menos miembros desaparecidos, se buscarán individualmente. Puede desactivar las búsquedas de desreferencia completamente estableciendo el valor a 0. Tenga en cuenta que hay algunas rutas de código en SSSD, como el proveedor IPA HBAC, que solo son implementadas usando la llamada de desreferencia, de modo que solo con la desreferencia explícitamente deshabilitada aquellas partes usarán todavía la desreferencia si el servidor lo soporta y auncia el control de la desreferencia en el objeto rootDSE. Una búsqueda dereference es un medio de descargar todos los miembros del grupo en una única llamada LDAP. Servidores diferentes LDAP pueden implementar diferentes métodos dereference. Los servidores actualmente soportados son 389/RHDS, OpenLDAP y Active Directory. Nota: Si alguna de las bases de búsqueda especifica un filtro de búsqueda, la mejora del rendimiento de la búsqueda dereference será deshabilitado sin tener en cuenta este ajuste. Predeterminado: 10 ldap_ignore_unreadable_references (bool) Ignore unreadable LDAP entries referenced in group's member attribute. If this parameter is set to false an error will be returned and the operation will fail instead of just ignoring the unreadable entry. This parameter may be useful when using the AD provider and the computer account that sssd uses to connect to AD does not have access to a particular entry or LDAP sub-tree for security reasons. Por defecto: False ldap_tls_reqcert (cadena) Especifica que comprobaciones llevar a cabo sobre los certificados del servidor en una sesión TLS, si las hay. Puede ser especificado como uno de los siguientes valores: never = El cliente no pedirá o comprobará ningún certificado de servidor. allow = Se pide el certificado del servidor. Si no se suministra certificado, la sesión sigue normalmente. Si se suministra un certificado malo, será ignorado y la sesión continua normalmente. try = Se pide el certificado del servidor. Si no se suministra certificado, la sesión continua normalmente. Si se suministra un certificado malo, la sesión se termina inmediatamente. demand = Se pide el certificado del servidor. Si no se suministra certificado, o se suministra un certificado malo, la sesión se termina inmediatamente. hard = Igual que demand Predeterminado: hard ldap_tls_cacert (cadena) Especifica el fichero que contiene los certificados de todas las Autoridades de Certificación que sssd reconocerá. Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_tls_cacertdir (cadena) Especifica la ruta de un directorio que contiene los certificados de las Autoridades de Certificación en ficheros individuales separados. Normalmente los nombres de fichero necesita ser el hash del certificado seguido por ‘.0’. si esta disponible cacertdir_rehash puede ser usado para crear los nombres correctos. Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_tls_cert (cadena) Especifica el fichero que contiene el certificado para la clave del cliente. Predeterminado: no definido ldap_tls_key (cadena) Especifica el archivo que contiene la clave del cliente. Predeterminado: no definido ldap_tls_cipher_suite (cadena) Especifica conjuntos de cifrado aceptable. Por lo general, es una lista searada por dos puntos. Vea el formato en ldap.conf 5. Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_id_use_start_tls (booleano) Specifies that the id_provider connection must also use tls to protect the channel. true is strongly recommended for security reasons. Predeterminado: false ldap_id_mapping (booleano) Especifica que SSSD intentaría mapear las IDs de usuario y grupo desde los atributos ldap_user_objectsid y ldap_group_objectsid en lugar de apoyarse en ldap_user_uid_number y ldap_group_gid_number. Actualmente está función soporta sólo mapeos de objectSID de ActiveDirectory. Predeterminado: false ldap_min_id, ldap_max_id (entero) En contraste con el SID basado en mapeo de ID que se usa si ldap_id_mapping está establecido a true el rango de ID permitido para ldap_user_uid_number y ldap_group_gid_number está sin consolidar. En una configuración con subdominios de confianza, esto podría producir colisiones de ID. Para evitar las colisiones ldap_min_id y ldap_max_id pueden er establecidos para restringir el rango permitido para las IDs que son leídas directamente desde el servidor. Los subdominios pueden elegir otros rangos para asignar IDs. Predeterminado: no establecido (ambas opciones se establecen a 0) ldap_sasl_mech (cadena) Especifica el mecanismo SASL a usar. Actualmente solo están probados y soportados GSSAPI y GSS-SPNEGO. Si el backend admite subdominios el valor de ldap_sasl_mech es heredado automáticamente por los subdominios. Si se necesita un valor diferente para un subdominio puede ser sobrescrito estabeciendo ldap_sasl_mech para este subdominio explícitamente. Por favor vea la SECCIÓN DOMINIO DE CONFIANZA es sssd.conf 5 para más detalles. Predeterminado: no definido ldap_sasl_authid (cadena) Especifica la identificación de autorización SASL a usar. Cuando son usados GSSAPI/GSS-SPNEGO, esto representa el principal Kerberos usado para autenticación al directorio. Esta opción puede contener el principal completo (por ejemplo host/myhost@EXAMPLE.COM) o solo el nombre principal (por ejemplo host/myhost). Por defecto, el valor no está establecido y se usan los siguientes principales: hostname@REALM netbiosname$@REALM host/hostname@REALM *$@REALM host/*@REALM host/* Si no se encuentra ninguno de ellos, se devuelve en primer principal en la pestaña. Por defecto: host/nombre_de_host@REALM ldap_sasl_realm (string) Especifica el reino SASL a usar. Cuando no se especifica, esta opción se pone por defecto al valor de krb5_realm. Si ldap_sasl_authid contiene el reino también, esta opción se ignora. Por defecto: el valor de krb5_realm. ldap_sasl_canonicalize (boolean) Si se fija en true, la librería LDAP llevaría a cabo una búsqueda inversa para para canocalizar el nombre de host durante una unión SASL. Predeterminado: false; ldap_krb5_keytab (cadena) Especifica la pestaña a usar cuando se utiliza SASL/GSSAPI/GSS-SPNEGO. This option can be also set per subdomain or inherited via subdomain_inherit. Por defecto: Keytab del sistema, normalmente /etc/krb5.keytab ldap_krb5_init_creds (booleano) Especifica que id_provider debería iniciar las credenciales Kerberos (TGT). Esta acción solo se lleva a cabo si se usa SASL y el mecanismo seleccionado es GSSAPI o GSS-SPNEGO. Predeterminado: true ldap_krb5_ticket_lifetime (entero) Especifica el tiempo de vida en segundos del TGT si se usa GSSAPI o GSS-SPNEGO. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 86400 (24 horas) krb5_server, krb5_backup_server (cadena) Especifica una lista separada por comas de direcciones IP o nombres de host de los servidores Kerberos a los cuales se conectaría SSSD en orden de preferencia. Para más información sobre failover y redundancia de servidor, vea la sección FAILOVER. Un número de puerto opcional (precedido de dos puntos) puede ser añadido a las direcciones o nombres de host. Si está vacío, el servicio descubridor está habilitado – para más información, vea la sección SERVICE DISCOVERY. Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, SSSD primero busca entradas DNS que especifiquen _udop como protocolo y regresa a _tcp si no se encuentra nada. Este opción se llamaba krb5_kdcip en las revisiones más tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo que sea, los usuarios son advertidos para migrar sus ficheros de configuración para usar krb5_server en su lugar. krb5_realm (cadena) Especifica el REALM Kerberos (para autorización SASL/GSSAPI/GSS-SPNEGO). Predeterminado: Predeterminados del sistema, vea /etc/krb5.conf krb5_canonicalize (boolean) Especifica si el host principal sería estandarizado cuando se conecte a un servidor LDAP. Esta función está disponible con MIT Kerberos >= 1.7 Predeterminado: false krb5_use_kdcinfo (booleano) Especifica si el SSSD debe instruir a las librerías Kerberos que ámbito y que KDCs usar. Esta opción está por defecto, si la deshabilita, necesita configurar las librerías Kerberos usando el fichero de configuración krb5.conf 5 . Vea la página de manual sssd_krb5_locator_plugin 8 para más información sobre el complemento localizador. Predeterminado: true ldap_pwd_policy (cadena) Seleccione la política para evaluar la caducidad de la contraseña en el lado del cliente. Los siguientes valores son permitidos: none - Sin evaluación en el lado cliente. Esta opción no puede deshabilitar las políticas de password en el lado servidor. shadow - Use shadow 5 style attributes to evaluate if the password has expired. Please see option "ldap_chpass_update_last_change" as well. mit_kerberos - Usa los atributos utilizados por MIT Kerberos para determinar si el password ha expirado. Use chpass_provider=krb5 para actualizar estos atributos cuando se cambia el password. Predeterminado: none Aviso: si está configurada una política de contraseña en el lado del servidor siempre tiene prioridad sobre la política establecida por esta opción. ldap_referrals (boolean) Especifica si el seguimiento de referencias automático debería ser habilitado. Por favor advierta que sssd sólo soporta seguimiento de referencias cuando está compilado con OpenLDAP versión 2.4.13 o más alta. Chasing referrals may incur a performance penalty in environments that use them heavily, a notable example is Microsoft Active Directory. If your setup does not in fact require the use of referrals, setting this option to false might bring a noticeable performance improvement. Setting this option to false is therefore recommended in case the SSSD LDAP provider is used together with Microsoft Active Directory as a backend. Even if SSSD would be able to follow the referral to a different AD DC no additional data would be available. Predeterminado: true ldap_dns_service_name (cadena) Especifica el nombre del servicio para utilizar cuando está habilitado el servicio de descubrimiento. Predeterminado: ldap ldap_chpass_dns_service_name (cadena) Especifica el nombre del servicio para utilizar al buscar un servidor LDAP que permita cambios de contraseña cuando está habilitado el servicio de descubrimiento. Por defecto: no fijado, esto es servicio descubridor deshabilitado. ldap_chpass_update_last_change (booleano) Especifica si actualizar el atributo ldap_user_shadow_last_change con días desde el Epoch después de una operación de cambio de contraseña. It is recommend to set this option explicitly if "ldap_pwd_policy = shadow" is used to let SSSD know if the LDAP server will update shadowLastChange LDAP attribute automatically after a password change or if SSSD has to update it. Por defecto: False ldap_access_filter (cadena) Si está usando access_provider = ldap y ldap_access_order = filter (predeterminado), esta opción es obligatoria. Especifica un criterio de filtro de búsqueda LDAP que debe cumplirse para que el usuario obtenga acceso a este host. Si access_provider = ldap, ldap_access_order = filter y esta opción no estñan establecidos resultará que todos los usuarios tendrán el acceso denegado. Use access_provider = permit para cambiar este comportamiento predeterminado. Por favor advierta que este filtro se aplica sobre la entrada LDAP del usuario y, por lo tanto, el filtrado basado en grupos anidados puede no funcionar (e.g. el atributo memberOf sobre entradas AD apunta solo a los parientes directos). Si se requiere el filtrado basado en grupos anidados, vea por favor sssd-simple5 . Ejemplo: access_provider = ldap ldap_access_filter = (employeeType=admin) Este ejemplo significa que el acceso a este host está restringido a los usuarios cuyo atributo employeeType esté establecido a "admin". El almacenamiento en caché sin conexión para esta función está limitado a determinar si el último inicio de sesión del usuario recibió permiso de acceso. Si obtuvieron permiso de acceso durante su último inicio de sesión, se les seguirán otorgando acceso sin conexión y viceversa. Predeterminado: vacío ldap_account_expire_policy (cadena) Con esta opción pueden ser habilitados los atributos de evaluación de control de acceso del lado cliente. Por favor advierta que siempre se recomienda utilizar el control de acceso del lado servidor, esto es el servidor LDAP denegaría petición de enlace con una código de error definible aunque el password sea correcto. Los siguientes valores están permitidos: shadow: usa el valor de ldap_user_shadow_expire para determinar si la cuenta ha expirado. ad: usa el valor del campo de 32 bit ldap_user_ad_user_account_control y permite el acceso si el segundo bit no está fijado. Si el atributo está desaparecido se concede el acceso. También se comprueba el tiempo de expiración de la cuenta. rhds, ipa, 389ds: usa el valor de ldap_ns_account_lock para comprobar si se permite el acceso o no. nds: los valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y ldap_user_nds_login_expiration_time se usan para comprobar si el acceso está permitido. Si ambos atributos están desaparecidos se concede el acceso. Por favor advierta que la opción de configuración ldap_access_order debe incluir expire con el objetivo de la opción ldap_account_expire_policy funcione. Predeterminado: vacío ldap_access_order (cadena) Lista separada por coma de opciones de control de acceso. Los valores permitidos son: filtro: utilizar ldap_access_filter lockout: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z'. Por favor vea la opción ldap_pwdlockout_dn. Por favor advieta que 'access_provider = ldap' debe ser establecido para que está característica funciones. Por favor tenga en cuenta que esta opción es reemplazada por la opción ppolicy y puede ser quitada en un futuro lanzamiento. ppolicy: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z' o represente cualquier momento en el pasado. El valor del atributo 'pwdAccountLockedTime' debe terminar con 'Z', que denota la zona horaria UTC. Otras zonas horarias no se soportan actualmente y llevarán a "access-denied" cuando los usuarios intenten acceder. Por favor vea la opción ldap_pwdlockout_dn. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta característica funcione. caducar: utilizar ldap_account_expire_policy pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH. The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change their password immediately. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta función trabaje. También 'ldap_pwd_policy' debe estar establecido para una política de contraseña apropiada. authorized_service: utilizar el atributo autorizedService para determinar el acceso host: usa el atributo host para determinar el acceso rhost: usar el atributo rhost para determinar si el host remoto puede acceder Por favor advierta el campo rhost en pam es establecido por la aplicación, es mejor comprobar que la aplicación lo envía a pam, antes de habilitar esta opción de control de acceso Predeterminado: filter Tenga en cuenta que es un error de configuración si un valor es usado más de una vez. ldap_pwdlockout_dn (cadena) Esta opción especifica la DN de la contraseña de entrada a la política sobre un servidor LDAP. Tenga en cuenta que la ausencia de esta opción en sssd.conf en caso de verificación de bloqueo de cuenta habilitada dará como resultado el acceso denegado ya que los atributos ppolicy en el servidor LDAP no pueden verificarse correctamente. Ejemplo: cn=ppolicy,ou=policies,dc=example,dc=com Predeterminado: cn=ppolicy,ou=policies,$ldap_search_base ldap_deref (cadena) Especifica cómo se hace la eliminación de referencias al alias cuando se lleva a cabo una búsqueda. Están permitidas las siguientes opciones: never: Nunca serán eliminadas las referencias al alias. searching: Las referencias al alias son eliminadas en subordinadas del objeto base, pero no en localización del objeto base de la búsqueda. finding: Sólo se eliminarán las referencias a alias cuando se localice el objeto base de la búsqueda. always: Las referencias al alias se eliminarán tanto para la búsqueda como en la localización del objeto base de la búsqueda. Por defecto: Vacío (esto es manejado como nunca por las librerías cliente LDAP) ldap_rfc2307_fallback_to_local_users (boolean) Permite retener los usuarios locales como miembros de un grupo LDAP para servidores que usan el esquema RFC2307. En algunos entornos donde se usa el esquema RFC2307, los usuarios locales son hechos miembros de los grupos LDAP añadiendo sus nombres al atributo memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace esto, de modo que SSSD debería normalmente quitar los usuarios “desparecidos” de las afiliaciones a grupos escondidas tan pronto como nsswitch intenta ir a buscar información del usuario por medio de las llamadas getpw*() o initgroups(). Esta opción cae de nuevo en comprobar si los usuarios locales están referenciados, y los almacena en caché de manera que más tarde las llamadas initgroups() aumentará los usuarios locales con los grupos LDAP adicionales. Predeterminado: false wildcard_limit (entero) Especifica un límite superior sobre el número de entradas que son descargadas durante una búsqueda de comodín. En este momento solo el respondedor InfoPipe soporta búsqueda de comodín Predeterminado: 1000 (frecuentemente el tamaño de una página) ldap_library_debug_level (integer) Switches on libldap debugging with the given level. The libldap debug messages will be written independent of the general debug_level. OpenLDAP uses a bitmap to enable debugging for specific components, -1 will enable full debug output. Default: 0 (libldap debugging disabled) Las instrucciones detalladas para la configuración de sudo_provider están en la página de manual sssd-sudo 5 . ldap_sudo_full_refresh_interval (entero) Cuantos segundos esperará SSSD entre ejecutar un refresco total de las reglas sudo (que descarga todas las reglas que están almacenadas en el servidor). El valor debe ser mayor que ldap_sudo_smart_refresh_interval You can disable full refresh by setting this option to 0. However, either smart or full refresh must be enabled. Por defecto: 21600 (6 horas) ldap_sudo_smart_refresh_interval (entero) Cuantos segundos tiene SSSD que esperar antes de ejecutar una actualización inteligente de las reglas sudo (lo que descarga todas las reglas que tienen un USN más alto que el valor más alto del servidor USN que conoce actualmente SSSD). Si los atributos USN no se soportan por el servidor, se usa en su lugar el atributo modifyTimestamp. Aviso: el valor más alto de USN puede ser actualizado por tres tareas: 1) Por una actualización total o inteligente de sudo (si se encuentran reglas actualizadas), 2) por la enumeración de usuarios y grupos (si se encuentran usuarios y grupos habilitados y actualizados) y 3) reconectando con el servidor (por defecto cada 15 minutos, vea ldap_connection_expire_timeout). You can disable smart refresh by setting this option to 0. However, either smart or full refresh must be enabled. Predeterminado: 900 (15 minutos) ldap_sudo_random_offset (integer) Random offset between 0 and configured value is added to smart and full refresh periods each time the periodic task is scheduled. The value is in seconds. Note that this random offset is also applied on the first SSSD start which delays the first sudo rules refresh. This prolongs the time when the sudo rules are not available for use. You can disable this offset by setting the value to 0. Predeterminado: 0 (deshabilitado) ldap_sudo_use_host_filter (booleano) Si es true, SSSD descargará sólo las reglas que son aplicables a esta máquina (usando las direcciones de host/red y nombres de host IPv4 o IPv6). Predeterminado: true ldap_sudo_hostnames (cadena) Lista separada por espacios de nombres de host o nombres de dominio totalmente cualificados que sería usada para filtrar las reglas. Si esta opción está vacía, SSSD intentará descubrir el nombre de host y el nombre de dominio totalmente cualificado automáticamente. Si ldap_sudo_use_host_filter es false esta opción no tiene efecto. Por defecto: no especificado ldap_sudo_ip (cadena) Lista separada por espacios de direcciones de host/red IPv4 o IPv6 que sería usada para filtrar las reglas. esta opción está vacía, SSSD intentará descrubrir las direcciones automáticamente. Si ldap_sudo_use_host_filter es false esta opción no tiene efecto. Por defecto: no especificado sudo_include_netgroups (booleano) Si está a true SSSD descargará cada regla que contenga un grupo de red en el atributo sudoHost. Si ldap_sudo_use_host_filter es false esta opción no tiene efecto. Predeterminado: true ldap_sudo_include_regexp (booleano) Si es verdad SSSD descargará cada regla que contenga un comodín en el atributo sudoHost. Si ldap_sudo_use_host_filter es false esta opción no tiene efecto. ¡Usar comodines es una operación que es muy costosa de evaluar en el lado del servidor LDAP! Predeterminado: false Esta página de manual sólo describe el atributo de nombre mapping. Para una explicación detallada de la semántica del atributo relacionada con sudo, vea sudoers.ldap5 Algunos de los valores por defecto para los parámetros de abajo dependen del esquema LDAP. ldap_autofs_map_master_name (cadena) El nombre del mapa maestro de montaje automático en LDAP. Pfredeterminado: auto.master Estas opciones están soportadas por dominios LDAP, pero deberían ser usadas con precaución. Por favor incluyalas en su configuración si usted sabe lo que está haciendo. ldap_netgroup_search_base (cadena) ldap_user_search_base (cadena) ldap_group_search_base (cadena) Si la opción ldap_use_tokengroups está habilitada, las búsquedas contra Active Directory no serán restringidas y devolverán todos los grupos miembros, incluso sin mapeo GID. Se recomienda deshabilitar esta función, si los nombres de grupo no están siendo visualizados correctamente. ldap_sudo_search_base (cadena) ldap_autofs_search_base (cadena) El siguiente ejemplo asume que SSSS está configurado correctamente y LDAP está fijado a uno de los dominios de la sección [domains]. [domain/LDAP] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true El siguiente ejemplo asume que SSSD está correctamente configurado y usa ldap_access_order=lockout. [domain/LDAP] id_provider = ldap auth_provider = ldap access_provider = ldap ldap_access_order = lockout ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true Las descripciones de algunas de las opciones de configuración en esta página de manual están basadas en la página de manual ldap.conf 5 de la distribución OpenLDAP 2.4.