Справка по SSSD
sssd-ad
5
Форматы файлов и рекомендации
sssd-ad
Поставщик Active Directory SSSD
ОПИСАНИЕ
На этой справочной странице представлено описание настройки поставщика
данных AD для sssd
8 . Подробные сведения о синтаксисе
доступны в разделе ФОРМАТ ФАЙЛА
справочной страницы
sssd.conf
5 .
Поставщик данных AD — это внутренний сервер, который используется для
подключения к серверу Active Directory. Для работы этого поставщика
необходимо, чтобы компьютер был присоединён к домену AD и чтобы была
доступна таблица ключей. Обмен данными с внутренним сервером выполняется по
каналу с шифрованием GSSAPI. С поставщиком данных AD не следует использовать
параметры SSL/TLS, поскольку использование Kerberos будет иметь приоритет
над ними.
Поставщик данных AD поддерживает подключение к Active Directory 2008 R2 или
выше. Работа с предшествующими версиями возможна, но не поддерживается.
Поставщик данных AD может использоваться для получения данных пользователей
и проверки подлинности пользователей из доверенных доменов. В настоящее
время распознаются только домены, находящиеся в одном и том же лесу. Кроме
того, серверы из доверенных доменов всегда обнаруживаются автоматически.
Поставщик данных AD позволяет SSSD использовать поставщика данных
идентификации sssd-ldap
5 и поставщика данных проверки
подлинности sssd-krb5
5 с оптимизацией для сред Active
Directory. Поставщик данных AD принимает те же параметры, которые
используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми
исключениями. Но установка этих параметров не является ни необходимой, ни
рекомендуемой.
Поставщик данных AD в основном копирует стандартные параметры традиционных
поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий
доступен в разделе ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ
.
Поставщик данных AD также может использоваться в качестве поставщика данных
управления доступом, chpass, sudo и autofs. Конфигурация поставщика доступа
на стороне клиента не требуется.
Если в sssd.conf указано auth_provider=ad
или
access_provider=ad
, параметр id_provider тоже необходимо
установить в значение ad
.
По умолчанию поставщик данных AD сопоставляет значения UID и GID из
параметра objectSID в Active Directory. Подробные сведения об этом доступны
в разделе СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ
ниже. Если требуется
отключить сопоставление идентификаторов и полагаться на атрибуты POSIX,
определённые в Active Directory, следует указать
ldap_id_mapping = False
Если должны быть использованы атрибуты POSIX,
в целях повышения производительности рекомендуется также реплицировать эти
атрибуты в глобальный каталог. Если атрибуты POSIX реплицируются, SSSD
попытается найти домен по числовому идентификатору из запроса с помощью
глобального каталога и выполнит поиск в этом домене. Если же атрибуты POSIX
не реплицируются в глобальный каталог, SSSD придётся последовательно
выполнить поиск во всех доменах в лесу. Обратите внимание, что для ускорения
поиска без доменов также может быть полезным использование параметра
cache_first
. Учтите, что если в глобальном каталоге
присутствует только подмножество атрибутов POSIX, из порта LDAP не будет
выполняться чтение нереплицированных атрибутов.
Регистр записей пользователей, групп и других сущностей, обслуживаемых SSSD,
никогда не учитывается поставщиком данных AD в целях обеспечения
совместимости с реализацией LDAP Active Directory.
SSSD разрешает только группы безопасности Active Directory. Дополнительные
сведения о типах групп AD см. в разделе
Группы безопасности Active Directory
SSSD отфильтровывает локальные для домена группы от удалённых доменов в лесу
AD. По умолчанию группы будут отфильтрованы (например, при следовании по
иерархии вложенных групп в удалённых доменах), так не являются
действительными в локальном домене. Это сделано для обеспечения
согласованности с назначением групп и участия в них Active Directory,
которое можно увидеть в PAC билете Kerberos пользователя, выданного Active
Directory.
ПАРАМЕТРЫ КОНФИГУРАЦИИ
Сведения о конфигурации домена SSSD доступны в разделе РАЗДЕЛЫ
ДОМЕНА
справочной страницы
sssd.conf 5
.
ad_domain (строка)
Позволяет указать имя домена Active Directory. Это необязательно. Если имя
не указано, используется имя домена в конфигурации.
Для корректной работы этот параметр следует указывать в формате записи
полной версии имени домена Active Directory в нижнем регистре.
Краткое имя домена (также называется именем NetBIOS или плоским именем)
автоматически определяется SSSD.
ad_enabled_domains (строка)
A comma-separated list of enabled Active Directory domains. If provided,
SSSD will ignore any domains not listed in this option. If left unset, all
discovered domains from the AD forest will be available.
During the discovery of the domains SSSD will filter out some domains where
flags or attributes indicate that they do not belong to the local forest or
are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
listed domains.
Для корректной работы этот параметр должен быть указан полностью в нижнем
регистре и как полное доменное имя домена Active Directory. Например:
ad_enabled_domains = sales.example.com, eng.example.com
Краткое имя домена (также называется именем NetBIOS или плоским именем)
будет автоматически определено SSSD.
По умолчанию: не задано
ad_server, ad_backup_server (строка)
Разделённый запятыми список имён узлов серверов AD, к которым SSSD следует
подключаться в порядке приоритета. Дополнительные сведения об отработке
отказа и избыточности сервера доступны в разделе ОТРАБОТКА
ОТКАЗА
.
Этот параметр является необязательным, если включено автоматическое
обнаружение служб. Дополнительные сведения об обнаружении служб доступны в
разделе ОБНАРУЖЕНИЕ СЛУЖБ
.
Примечание: доверенные домены всегда автоматически обнаруживают серверы,
даже если в параметре ad_server явно определён основной сервер.
ad_hostname (строка)
Необязательный параметр. На компьютерах, где hostname(5) не содержит полное
имя, sssd будет пытаться расширить краткое имя. Если это невозможно или если
следует использовать именно краткое имя, необходимо явно указать этот
параметр.
Это поле используется для определения используемого участника-узла в таблице
ключей и выполнения динамических обновлений DNS. Его значение должно
соответствовать имени узла, для которого была выпущена таблица ключей.
ad_enable_dns_sites (логическое значение)
Включить сайты DNS — обнаружение служб по расположению.
Если этот параметр установлен в значение «true» и включено обнаружение служб
(смотрите абзац об обнаружении служб в нижней части справочной страницы),
SSSD сначала попытается обнаружить сервер Active Directory, к которому
следует подключиться, с помощью возможности обнаружения сайтов Active
Directory, а затем, если сайт AD не удастся найти, будет использовать записи
SRV DNS. Конфигурация SRV DNS, включая домен обнаружения, используется также
и при обнаружении сайтов.
По умолчанию: true
ad_access_filter (строка)
Этот параметр позволяет указать фильтр управления доступом LDAP, условиям
которого должен соответствовать пользователь для получения доступа. Обратите
внимание, что этот параметр будет работать только в том случае, если
параметр access_provider
явно установлен в значение
ad
.
Этот параметр также поддерживает указание разных фильтров для отдельных
доменов или лесов. Такой расширенный фильтр имеет следующий формат:
KEYWORD:NAME:FILTER
. Ключевым словом может быть
DOM
или FOREST
, а также оно может
отсутствовать.
Если в качестве ключевого слова используется DOM
или если
ключевое слово не указано, NAME
указывает домен или поддомен,
к которому применяется фильтр. Если в качестве ключевого слова используется
FOREST
, фильтр применяется ко всем доменам из леса,
указанного значением NAME
.
Несколько фильтров можно разделить с помощью символа ?
,
аналогично работе баз поиска.
Поиск участия во вложенных группах выполняется с помощью специального OID
:1.2.840.113556.1.4.1941:
в дополнение к полной
синтаксической конструкции DOM:domain.example.org:, чтобы средство обработки
не пыталось интерпретировать символы двоеточия, связанные с OID. Без
использования этого OID разрешение участия во вложенных группах не будет
выполняться. Пример использования приводится ниже, а дополнительные сведения
о OID доступны в разделе
технической спецификации Active Directory MS, посвящённом расширениям
LDAP
Всегда используется совпадение с наивысшим уровнем соответствия. Например,
если с помощью параметра задан фильтр для домена, участником которого
является пользователь, и глобальный фильтр, будет применяться фильтр для
домена. Если имеется несколько совпадений с одинаковым уровнем соответствия,
будет использоваться первое из них.
Примеры:
# применить фильтр только для домена с именем dom1:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# применить фильтр только для домена с именем dom2:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# применить фильтр только для леса с именем EXAMPLE.COM:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# применить фильтр для участника вложенной группы в dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
По умолчанию: не задано
ad_site (строка)
Позволяет указать сайт AD, к которому клиенту следует попытаться
подключиться. Если этот параметр не указан, обнаружение сайта AD будет
выполнено автоматически.
По умолчанию: не задано
ad_enable_gc (логическое значение)
По умолчанию SSSD сначала подключается к глобальному каталогу для получения
данных пользователей из доверенных доменов, а порт LDAP используется для
получения данных об участии в группах или в качестве резервного
способа. Если этот параметр отключён, SSSD будет подключаться только к порту
LDAP текущего сервера AD.
Обратите внимание, что отключение глобального каталога не отключает
получение данных пользователей из доверенных доменов. SSSD просто будет
подключаться к порту LDAP доверенных доменов. Тем не менее, для разрешения
данных о междоменном участии в группах необходимо использовать глобальный
каталог.
По умолчанию: true
ad_gpo_access_control (строка)
Этот параметр позволяет указать режим работы функциональной возможности
управления доступом на основе GPO: отключённый, принудительный или
разрешительный. Обратите внимание, что для работы этого параметра необходимо
явно установить параметр access_provider
в значение
ad
.
Функциональная возможность управления доступом на основе GPO использует
параметры политики GPO для определения того, разрешён ли конкретному
пользователю вход на узел. Дополнительные сведения о поддерживаемых
параметрах политики доступны в описании параметров
ad_gpo_map
.
Обратите внимание, что текущая версия SSSD не поддерживает встроенные группы
Active Directory. Встроенные группы (например, Administrators с SID
S-1-5-32-544) в правилах управления доступом GPO будут проигнорированы
SSSD. Подробные сведения доступны в системе отслеживания ошибок:
https://github.com/SSSD/sssd/issues/5063 .
Перед осуществлением управления доступом SSSD применяет к GPO фильтр
безопасности групповой политики. Для входа каждого пользователя проверяется
применимость GPO, связанных с узлом. Чтобы GPO применялся к пользователю,
пользователь или хотя бы одна из групп, участником которых он является,
должна обладать следующими правами GPO:
Read: пользователь или одна из его групп должна обладать правом чтения
свойств GPO (RIGHT_DS_READ_PROPERTY)
Apply Group Policy: пользователю или хотя бы одной из его групп должно быть
разрешено применять GPO (RIGHT_DS_CONTROL_ACCESS).
По умолчанию в GPO присутствует группа Authenticated Users. Она обладает как
правом доступа Read, так и правом доступа Apply Group Policy. Так как
проверка подлинности пользователя должна успешно завершиться до того, как
будет применён фильтр безопасности и начато управление доступом на основе
GPO, этот пользователю всегда будет обладать правами группы Authenticated
Users GPO.
ПРИМЕЧАНИЕ: если в качестве режим работы выбран принудительный режим,
возможно, что пользователям, которым был ранее разрешён доступ для входа,
теперь будет отказано в доступе для входа (согласно параметрам политики
GPO). Чтобы облегчить переход на новую систему, для администраторов
предусмотрен разрешительный режим: правила управления доступом не
применяются в принудительном порядке. Программа просто проверяет
соответствие этим правилам и выводит в системный журнал сообщение в случае
отказа в доступе. Просмотрев этот журнал, администраторы смогут внести
необходимые изменения, а затем включить принудительный режим. Для ведения
журнала управления доступом на основе GPO необходимо включить уровень
отладки «трассировка функций» (см. справочную страницу
sssctl 8
).
Для этого параметра поддерживаются три значения:
disabled: не осуществляется ни проверка соответствия правилам управления
доступом на основе GPO, ни их принудительное применение.
enforcing: осуществляется проверка соответствия правилам управления доступом
на основе GPO и их принудительное применение.
permissive: осуществляется проверка соответствия правилам управления
доступом на основе GPO, но не их принудительное применение. Вместо этого
создаётся сообщение системного журнала, означающее, что пользователю было бы
отказано в доступе, если бы в качестве значения этого параметра был задан
принудительный режим.
По умолчанию: permissive
По умолчанию: enforcing
ad_gpo_implicit_deny (логическое значение)
Обычно пользователям разрешается доступ, если применимые GPO не
найдены. Когда этот параметр установлен в значение «True», пользователям
будет разрешён доступ только в том случае, если это явно разрешено правилом
GPO. В ином случае пользователям будет отказано в доступе. Это можно сделать
для усиления защиты, но следует использовать этот параметр с осторожностью:
возможен отказ в доступе даже тем пользователям, которые состоят во
встроенной группе Administrators, если к ним не применяются правила GPO.
По умолчанию: false
В следующих двух таблицах показано, когда пользователю будет разрешён или
запрещён доступ на основе прав разрешения или запрета входа, которые
определены на стороне сервера, и установленного значения
ad_gpo_implicit_deny.
ad_gpo_implicit_deny = False (по умолчанию)
правила разрешенияправила запрета
результат
отсутствуютотсутствуют
доступ разрешён всем пользователям
отсутствуютприсутствуют
доступ разрешён только пользователям, отсутствующим в правилах запрета
присутствуютотсутствуют
доступ разрешён только пользователям, присутствующим в правилах разрешения
присутствуютприсутствуют
доступ разрешён только пользователям, присутствующим в правилах разрешения и
отсутствующим в правилах запрета
ad_gpo_implicit_deny = True
правила разрешенияправила запрета
результат
отсутствуютотсутствуют
доступ запрещён всем пользователям
отсутствуютприсутствуют
доступ запрещён всем пользователям
присутствуютотсутствуют
доступ разрешён только пользователям, присутствующим в правилах разрешения
присутствуютприсутствуют
доступ разрешён только пользователям, присутствующим в правилах разрешения и
отсутствующим в правилах запрета
ad_gpo_ignore_unreadable (логическое значение)
Обычно пользователям запрещён доступ, когда некоторые контейнеры групповой
политики (объекта AD) соответствующих объектов групповой политики недоступны
для чтения SSSD. Этот параметр позволяет игнорировать контейнеры групповой
политики, а также связанные с ними политики, если их атрибуты в контейнерах
групповой политики недоступны для чтения SSSD.
По умолчанию: false
ad_gpo_cache_timeout (целое число)
Временной интервал между сеансами поиска файлов политики GPO на сервере
AD. Это сократит задержки и нагрузку на сервер AD, когда за короткое время
поступает много запросов на управление доступом.
По умолчанию: 5 (секунд)
ad_gpo_map_interactive (строка)
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики InteractiveLogonRight и
DenyInteractiveLogonRight. Обрабатываются только те GPO, на доступ к которым
у пользователя есть права Read и Apply Group Policy (смотрите описание
параметра ad_gpo_access_control
). Если обработанный GPO
содержит параметр запрета интерактивного входа для пользователя или одной из
его групп, пользователю будет отказано в локальном доступе. Если ни в одном
из обработанных GPO нет определённого права интерактивного входа,
пользователю будет разрешён локальный доступ. Если хотя бы один обработанный
GPO содержит параметры права интерактивного входа, пользователю будет
разрешён только локальный доступ, если он или хотя бы одна из его групп
являются частью параметров политики.
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить локальный вход» («Allow log on locally») и «Запретить
локальный вход» («Deny log on locally»).
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+service_name
. Также можно явно удалить имя службы PAM из
стандартного набора с помощью -service_name
. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
login
) на пользовательское имя службы PAM (например,
my_pam_service
), необходимо использовать следующую
конфигурацию:
ad_gpo_map_interactive = +my_pam_service, -login
По умолчанию: стандартный набор имён служб PAM включает:
login
su
su-l
gdm-fingerprint
gdm-password
gdm-smartcard
kdm
lightdm
lxdm
sddm
unity
xdm
ad_gpo_map_remote_interactive (строка)
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики RemoteInteractiveLogonRight и
DenyRemoteInteractiveLogonRight. Обрабатываются только те GPO, на доступ к
которым у пользователя есть права Read и Apply Group Policy (смотрите
описание параметра ad_gpo_access_control
). Если обработанный
GPO содержит параметр запрета удалённого входа для пользователя или одной из
его групп, пользователю будет отказано в удалённом интерактивном
доступе. Если ни в одном из обработанных GPO нет определённого права
удалённого интерактивного входа, пользователю будет разрешён удалённый
доступ. Если хотя бы один обработанный GPO содержит параметры права
удалённого интерактивного входа, пользователю будет разрешён только
удалённый доступ, если он или хотя бы одна из его групп являются частью
параметров политики.
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход через службы удалённых рабочих столов» («Allow
log on through Remote Desktop Services») и «Запретить вход через службы
удалённых рабочих столов» («Deny log on through Remote Desktop Services»).
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+service_name
. Также можно явно удалить имя службы PAM из
стандартного набора с помощью -service_name
. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
sshd
) на пользовательское имя службы PAM (например,
my_pam_service
), необходимо использовать следующую
конфигурацию:
ad_gpo_map_remote_interactive = +my_pam_service, -sshd
По умолчанию: стандартный набор имён служб PAM включает:
sshd
cockpit
ad_gpo_map_network (строка)
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики NetworkLogonRight и
DenyNetworkLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра ad_gpo_access_control
). Если обработанный GPO
содержит параметр запрета входа в сеть для пользователя или одной из его
групп, пользователю будет отказано в доступе для входа в сеть. Если ни в
одном из обработанных GPO нет определённого права входа в сеть, пользователю
будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
параметры права входа в сеть, пользователю будет разрешён только доступ для
входа, если он или хотя бы одна из его групп являются частью параметров
политики.
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить доступ к компьютеру из сети» («Access this computer
from the network») и «Запретить доступ к компьютеру из сети» («Deny access
to this computer from the network»).
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+service_name
. Также можно явно удалить имя службы PAM из
стандартного набора с помощью -service_name
. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
ftp
) на пользовательское имя службы PAM (например,
my_pam_service
), необходимо использовать следующую
конфигурацию:
ad_gpo_map_network = +my_pam_service, -ftp
По умолчанию: стандартный набор имён служб PAM включает:
ftp
samba
ad_gpo_map_batch (строка)
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики BatchLogonRight и
DenyBatchLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра ad_gpo_access_control
). Если обработанный GPO
содержит параметр запрета пакетного входа для пользователя или одной из его
групп, пользователю будет отказано в доступе для пакетного входа. Если ни в
одном из обработанных GPO нет определённого права пакетного входа,
пользователю будет разрешён доступ для входа. Если хотя бы один обработанный
GPO содержит параметры права пакетного входа, пользователю будет разрешён
только доступ для входа, если он или хотя бы одна из его групп являются
частью параметров политики.
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход в качестве пакетного задания» («Allow log on as a
batch job») и «Запретить вход в качестве пакетного задания» («Deny log on as
a batch job»).
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+service_name
. Также можно явно удалить имя службы PAM из
стандартного набора с помощью -service_name
. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
crond
) на пользовательское имя службы PAM (например,
my_pam_service
), необходимо использовать следующую
конфигурацию:
ad_gpo_map_batch = +my_pam_service, -crond
Примечание: имя службы cron может различаться в зависимости от используемого
дистрибутива Linux.
По умолчанию: стандартный набор имён служб PAM включает:
crond
ad_gpo_map_service (строка)
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики ServiceLogonRight и
DenyServiceLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра ad_gpo_access_control
). Если обработанный GPO
содержит параметр запрета входа службы для пользователя или одной из его
групп, пользователю будет отказано в доступе для входа службы. Если ни в
одном из обработанных GPO нет определённого права входа службы, пользователю
будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
параметры права входа службы, пользователю будет разрешён только доступ для
входа, если он или хотя бы одна из его групп являются частью параметров
политики.
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход в качестве службы» («Allow log on as a service»)
и «Запретить вход в качестве службы» («Deny log on as a service»).
Можно добавить имя службы PAM в стандартный набор с помощью
+service_name
. Так как стандартный набор является пустым, из
него невозможно удалить имя службы PAM. Например, чтобы добавить
пользовательское имя службы PAM (например, my_pam_service
),
необходимо использовать следующую конфигурацию:
ad_gpo_map_service = +my_pam_service
По умолчанию: не задано
ad_gpo_map_permit (строка)
Разделённый запятыми список имён служб PAM, которым всегда предоставляется
доступ на основе GPO, независимо от прав входа GPO.
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
+service_name
. Также можно явно удалить имя службы PAM из
стандартного набора с помощью -service_name
. Например, чтобы
заменить стандартное имя службы PAM для безусловно разрешённого доступа
(например, sudo
) на пользовательское имя службы PAM
(например, my_pam_service
), необходимо использовать следующую
конфигурацию:
ad_gpo_map_permit = +my_pam_service, -sudo
По умолчанию: стандартный набор имён служб PAM включает:
polkit-1
sudo
sudo-i
systemd-user
ad_gpo_map_deny (строка)
Разделённый запятыми список имён служб PAM, которым всегда запрещается
доступ на основе GPO, независимо от прав входа GPO.
Можно добавить имя службы PAM в стандартный набор с помощью
+service_name
. Так как стандартный набор является пустым, из
него невозможно удалить имя службы PAM. Например, чтобы добавить
пользовательское имя службы PAM (например, my_pam_service
),
необходимо использовать следующую конфигурацию:
ad_gpo_map_deny = +my_pam_service
По умолчанию: не задано
ad_gpo_default_right (строка)
Этот параметр определяет, как обрабатываются правила управления доступом для
имён служб PAM, которые явно не указаны в одном из параметров
ad_gpo_map_*. Этот параметр можно установить двумя разными
способами. Первый: с помощью этого параметра можно задать использование
стандартного права входа. Например, установка этого параметра в значение
«interactive» означает, что несопоставленные имена служб PAM будут
обрабатываться на основе параметров политики InteractiveLogonRight и
DenyInteractiveLogonRight. Второй: с помощью этого параметра можно указать
всегда разрешать или всегда запрещать доступ для несопоставленных имён служб
PAM.
Для этого параметра поддерживаются следующие значения:
interactive
remote_interactive
network
batch
service
permit
deny
По умолчанию: deny
ad_maximum_machine_account_password_age (целое число)
SSSD будет раз в день проверять, не превышен ли указанный возраст (в днях)
пароля учётной записи компьютера, и в случае превышения попытается обновить
его. Значение «0» отключает попытку обновления.
По умолчанию: 30 дней
ad_machine_account_password_renewal_opts (строка)
Этот параметр следует использовать только для тестирования задания по
обновлению пароля учётной записи компьютера. Параметр ожидает 2 целых числа,
разделённых двоеточием («:»). Первое целое число определяет интервал (в
секундах) между последовательными запусками задания. Второе целое число
указывает начальный тайм-аут (в секундах) перед первым запуском задания
после перезапуска.
По умолчанию: 86400:750 (24 часа и 15 минут)
ad_update_samba_machine_account_password (логическое значение)
Если этот параметр включён, когда SSSD обновляет пароль учётной записи
компьютера, он обновляется также в базе данных Samba. Это позволяет
предотвратить устаревание копии пароля учётной записи компьютера в Samba,
когда программа настроена на использование AD для проверки подлинности.
По умолчанию: false
ad_use_ldaps (логическое значение)
По умолчанию SSSD использует простой порт LDAP 389 и порт глобального
каталога 3628. Если этот параметр установлен в значение «True», SSSD будет
использовать порт LDAPS 636 и порт глобального каталога 3629 с защитой
LDAPS. Так как AD не разрешает использование нескольких слоёв шифрования для
одного подключения и всё ещё требуется использовать SASL/GSSAPI или
SASL/GSS-SPNEGO для проверки подлинности, свойство безопасности SASL maxssf
для таких подключений будет установлено в значение «0» (ноль).
По умолчанию: false
ad_allow_remote_domain_local_groups (логическое значение)
Если этот параметр установлен в значение true
, SSSD не будет
отфильтровывать группы, локальные в домене, в удалённых доменах в лесу
AD. По умолчанию они отфильтровываются (например, при следовании по иерархии
вложенных групп в удалённых доменах), так не являются действительными в
локальном домене. Этот параметр был добавлен для обеспечения совместимости с
другими решениями, которые делают пользователей и группы AD доступными на
клиенте Linux.
Обратите внимание, что установка этого параметра в значение
true
идёт вразрез со смыслом локальной группы домена в Active
Directory и ДОЛЖНА ВЫПОЛНЯТЬСЯ ТОЛЬКО ДЛЯ ОБЛЕГЧЕНИЯ ПЕРЕХОДА С
ДРУГИХ РЕШЕНИЙ. Хотя эта группа существует и пользователь может
быть её участником, смысл состоит в том, что группа должна использоваться
только в том домене, где она определена, и ни в каких других. Так как
существует только один тип групп POSIX, единственный способ добиться этого
на стороне Linux — игнорировать эти группы. Active Directory делает то же
самое: в PAC билета Kerberos для локальной службы и в запросах tokenGroups
тоже отсутствуют удалённые группы, локальные в домене.
Учитывая вышесказанное, при установке этого параметра в значение
true
необходимо отключить запрос tokenGroups путём установки
параметра ldap_use_tokengroups
в значение
false
для получения согласованных данных об участии
пользователей в группах. Кроме того, также следует отключить поиск в
глобальном каталоге путём установки параметра ad_enable_gc
в
значение false
. И, наконец, может потребоваться изменить
значение параметра ldap_group_nesting_level
, если удалённые
группы, локальные в домене, могут быть найдены только на более глубоком
уровне вложенности.
По умолчанию: false
dyndns_update (логическое значение)
Необязательный параметр. Этот параметр указывает SSSD автоматически
обновлять на сервере DNS Active Directory IP-адрес клиента. Защита
обновления обеспечивается с помощью GSS-TSIG. Соответственно, администратору
Active Directory требуется только разрешить защищённые обновления для зоны
DNS. Для обновления будет использован IP-адрес LDAP-соединения AD, если с
помощью параметра dyndns_iface
не указано иное.
ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы
в этом режиме необходимо надлежащим образом задать стандартную область
Kerberos в /etc/krb5.conf
По умолчанию: true
dyndns_ttl (целое число)
Значение TTL, которое применяется при обновлении записи DNS клиента. Если
параметр dyndns_update установлен в значение «false», этот параметр ни на
что не влияет. Если администратором установлено значение TTL на стороне
сервера, оно будет переопределено этим параметром.
По умолчанию: 3600 (секунд)
dyndns_iface (строка)
Необязательный параметр. Применимо только тогда, когда параметр
dyndns_update установлен в значение «true». Выберите интерфейс или список
интерфейсов, IP-адреса которых должны использоваться для динамических
обновлений DNS. Специальное значение *
подразумевает, что
следует использовать IP-адреса всех интерфейсов.
По умолчанию: использовать IP-адреса интерфейса, который используется для
подключения LDAP AD
Пример: dyndns_iface = em1, vnet1, vnet2
dyndns_refresh_interval (целое число)
Как часто внутреннему серверу следует выполнять периодическое обновление DNS
в дополнение к автоматическому обновлению, которое выполняется при переходе
внутреннего сервера в сетевой режим. Этот параметр является необязательным и
применяется только тогда, когда параметр dyndns_update установлен в значение
«true». Обратите внимание, что наименьшее допустимое значение составляет 60
секунд: если будет указано меньшее значение, параметр примет наименьшее
допустимое значение (60 секунд).
По умолчанию: 86400 (24 часа)
dyndns_update_ptr (логическое значение)
Следует ли также явно обновлять запись PTR при обновлении записей DNS
клиента. Применимо только тогда, когда параметр dyndns_update установлен в
значение «true».
Note that dyndns_update_per_family parameter does not
apply for PTR record updates. Those updates are always sent separately.
По умолчанию: true
dyndns_force_tcp (логическое значение)
Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными
с сервером DNS.
По умолчанию: false (разрешить nsupdate выбрать протокол)
dyndns_auth (строка)
Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
защищённых обновлений сервера DNS. Незащищённые отправления можно
отправлять, установив этот параметр в значение «none».
По умолчанию: GSS-TSIG
dyndns_auth_ptr (строка)
Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
защищённых обновлений PTR сервера DNS. Незащищённые отправления можно
отправлять, установив этот параметр в значение «none».
По умолчанию: то же, что и dyndns_auth
dyndns_server (строка)
Сервер DNS, который следует использовать для выполнения обновления DNS. В
большинстве конфигураций рекомендуется не устанавливать значение для этого
параметра.
Установка этого параметра имеет смысл для сред, в которых сервер DNS
отличается от сервера данных идентификации.
Обратите внимание, что этот параметр используется только для резервной
попытки, которая выполняется тогда, когда предыдущая попытка с
использованием автоматически определённых параметров завершилась неудачей.
По умолчанию: none (разрешить nsupdate выбрать сервер)
dyndns_update_per_family (логическое значение)
По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а
затем обновление IPv4. В некоторых случаях может быть желательно выполнить
обновление IPv4 и IPv6 за один шаг.
По умолчанию: true
krb5_confd_path (строка)
Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты
конфигурации Kerberos.
Чтобы отключить создание фрагментов конфигурации, установите этот параметр в
значение «none».
По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD)
ПРИМЕР
В следующем примере предполагается, что конфигурация SSSD корректна и что
example.com — один из доменов в разделе [sssd]. В
примере показаны только параметры, относящиеся к поставщику данных AD.
[domain/EXAMPLE]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
ПРИМЕЧАНИЯ
Поставщик данных управления доступом AD проверяет, не истёк ли срок действия
учётной записи. Работает так же, как и следующая конфигурация поставщика
данных LDAP:
access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
Тем не менее, если поставщик данных управления доступом ad
не
настроен явным образом, поставщиком доступа по умолчанию является
permit
. Обратите внимание, что при настройке поставщика
доступа, отличного ad
, потребуется вручную указать все
параметры подключения, такие как URI LDAP и параметры шифрования.
Когда поставщик данных autofs установлен в значение ad
,
используется схема сопоставления атрибутов RFC2307 (nisMap, nisObject, ...),
так как эти атрибуты включены в стандартную схему Active Directory.