sssd-ipa 5 Форматы файлов и рекомендации sssd-ipa Поставщик данных IPA SSSD На этой справочной странице представлено описание настройки поставщика данных IPA для sssd 8 . Подробные сведения о синтаксисе доступны в разделе ФОРМАТ ФАЙЛА справочной страницы sssd.conf 5 . Поставщик данных IPA — это внутренний сервер, который используется для подключения к серверу IPA. (Сведения о серверах IPA доступны на веб-сайте freeipa.org.) Для работы этого поставщика требуется, чтобы компьютер был присоединён к домену IPA; настройка почти полностью автоматизирована, получение её данных выполняется непосредственно с сервера. Поставщик данных IPA позволяет SSSD использовать поставщика данных идентификации sssd-ldap 5 и поставщика данных проверки подлинности sssd-krb5 5 с оптимизацией для сред IPA. Поставщик данных IPA принимает те же параметры, которые используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми исключениями. Но установка этих параметров не является ни необходимой, ни рекомендуемой. Поставщик данных IPA в основном копирует стандартные параметры традиционных поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий доступен в разделе ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ. As an access provider, the IPA provider has a minimal configuration (see ipa_access_order) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC. Если в sssd.conf указано auth_provider=ipa или access_provider=ipa, параметр id_provider тоже необходимо установить в значение ipa. Поставщик данных IPA будет использовать ответчик PAC, если билеты Kerberos пользователей из доверенных областей содержат PAC. Для упрощения настройки запуск ответчика PAC выполняется автоматически, если настроен поставщик идентификаторов IPA. Сведения о конфигурации домена SSSD доступны в разделе РАЗДЕЛЫ ДОМЕНА справочной страницы sssd.conf 5 . ipa_domain (строка) Позволяет указать имя домена IPA. Это необязательно. Если имя не указано, используется имя домена в конфигурации. ipa_server, ipa_backup_server (строка) Разделённый запятыми список IP-адресов или имён узлов серверов IPA, к которым SSSD следует подключаться в порядке приоритета. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе ОТРАБОТКА ОТКАЗА. Этот параметр является необязательным, если включено автоматическое обнаружение служб. Дополнительные сведения об обнаружении служб доступны в разделе ОБНАРУЖЕНИЕ СЛУЖБ. ipa_hostname (строка) Необязательный параметр. Может быть указан на компьютерах, где hostname(5) не содержит полное имя, которое используется для идентификации этого узла в домене IPA. Имя узла должно быть полным. dyndns_update (логическое значение) Необязательный параметр. Этот параметр указывает SSSD автоматически обновлять на сервере DNS, встроенном во FreeIPA, IP-адрес клиента. Защита обновления обеспечивается с помощью GSS-TSIG. Для обновления будет использован IP-адрес LDAP-соединения IPA, если с помощью параметра dyndns_iface не указано иное. ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы в этом режиме необходимо надлежащим образом задать стандартную область Kerberos в /etc/krb5.conf ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_update, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_update, в файле конфигурации. По умолчанию: false dyndns_ttl (целое число) Значение TTL, которое применяется при обновлении записи DNS клиента. Если параметр dyndns_update установлен в значение «false», этот параметр ни на что не влияет. Если администратором установлено значение TTL на стороне сервера, оно будет переопределено этим параметром. ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_ttl, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_ttl, в файле конфигурации. По умолчанию: 1200 (секунд) dyndns_iface (строка) Необязательный параметр. Применимо только тогда, когда параметр dyndns_update установлен в значение «true». Выберите интерфейс или список интерфейсов, IP-адреса которых должны использоваться для динамических обновлений DNS. Специальное значение * подразумевает, что следует использовать IP-адреса всех интерфейсов. ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_iface, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_iface, в файле конфигурации. По умолчанию: использовать IP-адреса интерфейса, который используется для подключения LDAP IPA Пример: dyndns_iface = em1, vnet1, vnet2 dyndns_auth (строка) Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для защищённых обновлений сервера DNS. Незащищённые отправления можно отправлять, установив этот параметр в значение «none». По умолчанию: GSS-TSIG dyndns_auth_ptr (строка) Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для защищённых обновлений PTR сервера DNS. Незащищённые отправления можно отправлять, установив этот параметр в значение «none». По умолчанию: то же, что и dyndns_auth ipa_enable_dns_sites (логическое значение) Включить сайты DNS — обнаружение служб по расположению. Если параметр установлен в значение «true» и включено обнаружение служб (смотрите абзац об обнаружении служб в нижней части справочной страницы), SSSD сначала будет пробовать выполнить обнаружение на основе расположения с помощью запроса, который содержит «_location.hostname.example.com», а затем перейдёт к традиционному обнаружению SRV. Если обнаружение на основе расположения будет выполнено успешно, серверы IPA, обнаруженные с помощью обнаружения на основе расположения, будут считаться основными, а серверы IPA, обнаруженные с помощью традиционного обнаружения SRV, будут использоваться в качестве резервных По умолчанию: false dyndns_refresh_interval (целое число) Как часто внутреннему серверу следует выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, которое выполняется при переходе внутреннего сервера в сетевой режим. Этот параметр является необязательным и применяется только тогда, когда параметр dyndns_update установлен в значение «true». По умолчанию: 0 (отключено) dyndns_update_ptr (логическое значение) Следует ли также явно обновлять запись PTR при обновлении записей DNS клиента. Применимо только тогда, когда параметр dyndns_update установлен в значение «true». Этот параметр должен быть установлен в значение «False» в большинстве развёрнутых систем IPA, так как сервер IPA генерирует записи PTR автоматически при смене записей перенаправления. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. По умолчанию: false (отключено) dyndns_force_tcp (логическое значение) Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными с сервером DNS. По умолчанию: false (разрешить nsupdate выбрать протокол) dyndns_server (строка) Сервер DNS, который следует использовать для выполнения обновления DNS. В большинстве конфигураций рекомендуется не устанавливать значение для этого параметра. Установка этого параметра имеет смысл для сред, в которых сервер DNS отличается от сервера данных идентификации. Обратите внимание, что этот параметр используется только для резервной попытки, которая выполняется тогда, когда предыдущая попытка с использованием автоматически определённых параметров завершилась неудачей. По умолчанию: none (разрешить nsupdate выбрать сервер) dyndns_update_per_family (логическое значение) По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а затем обновление IPv4. В некоторых случаях может быть желательно выполнить обновление IPv4 и IPv6 за один шаг. По умолчанию: true ipa_access_order (string) Разделённый запятыми список параметров управления доступом. Допустимые значения: expire: use IPA's account expiration policy. pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: эти параметры полезны, если пользователям нужно предупреждение о том, что срок действия пароля истекает, и для проверки подлинности используются не пароли, а, например, ключи SSH. The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change their password immediately. Please note that 'access_provider = ipa' must be set for this feature to work. ipa_deskprofile_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска объектов, связанных с профилями рабочего стола. По умолчанию: использовать base DN ipa_subid_ranges_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска объектов, связанных с подчиненными диапазонами объектов. По умолчанию: значение cn=subids,%basedn ipa_hbac_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска объектов, связанных с HBAC. По умолчанию: использовать base DN ipa_host_search_base (строка) Не рекомендуется. Используйте ldap_host_search_base. ipa_selinux_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска карт пользователей SELinux. Сведения о настройке нескольких баз поиска доступны в описании параметра ldap_search_base. По умолчанию: значение ldap_search_base ipa_subdomains_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска доверенных доменов. Сведения о настройке нескольких баз поиска доступны в описании параметра ldap_search_base. По умолчанию: значение cn=trusts,%basedn ipa_master_domain_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска объекта главного домена. Сведения о настройке нескольких баз поиска доступны в описании параметра ldap_search_base. По умолчанию: значение cn=ad,cn=etc,%basedn ipa_views_search_base (строка) Необязательный параметр. Использовать указанную строку как базу поиска контейнеров просмотра. Сведения о настройке нескольких баз поиска доступны в описании параметра ldap_search_base. По умолчанию: значение cn=views,cn=accounts,%basedn krb5_realm (строка) Имя области Kerberos. Это необязательный параметр, по умолчанию он имеет значение ipa_domain. Имя области Kerberos имеет особое значение в IPA — оно преобразуется в base DN, которое следует использовать для выполнения действий LDAP. krb5_confd_path (строка) Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты конфигурации Kerberos. Чтобы отключить создание фрагментов конфигурации, установите этот параметр в значение «none». По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD) ipa_deskprofile_refresh (целое число) Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на профили рабочего стола. По умолчанию: 5 (секунд) ipa_deskprofile_request_interval (целое число) Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA, если при последнем запросе не было возвращено ни одного правила. По умолчанию: 60 (минут) ipa_hbac_refresh (целое число) Временной интервал между сеансами поиска правил HBAC на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на управление доступом. По умолчанию: 5 (секунд) ipa_hbac_selinux (целое число) Временной интервал между сеансами поиска карт SELinux на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на вход пользователей. По умолчанию: 5 (секунд) ipa_server_mode (логическое значение) Значение этого параметра будет задано автоматически установщиком IPA (ipa-server-install). Оно определяет, работает SSSD на сервере IPA или нет. На сервере IPA SSSD выполняет поиск пользователей и групп из доверенных доменов напрямую, но на клиенте SSSD отправит запрос серверу IPA. ПРИМЕЧАНИЕ: необходимо соблюсти несколько условий, если SSSD работает на сервере IPA. Параметр ipa_server должен быть настроен так, чтобы он указывал на сам сервер IPA. Такое стандартное значение уже задано установщиком IPA, поэтому вносить изменения вручную не требуется. Параметр full_name_format не должен быть настроен таким образом, чтобы отображались только краткие имена пользователей из доверенных доменов. По умолчанию: false ipa_automount_location (строка) Расположение автоматического монтирования, которое будет использовать этот клиент IPA По умолчанию: расположение с именем «default» SSSD может обрабатывать представления и переопределения, которые предоставляет FreeIPA версии 4.1 и выше. Так как все пути и классы объектов зафиксированы на стороне сервера, в целом нет необходимости в дополнительной настройке. Для полноты картины далее перечислены соответствующие параметры и их стандартные значения. ipa_view_class (строка) Класс объектов контейнера просмотра. По умолчанию: nsContainer ipa_view_name (строка) Имя атрибута, в котором хранится имя представления. По умолчанию: cn ipa_override_object_class (строка) Объектный класс переопределяемых объектов. По умолчанию: ipaOverrideAnchor ipa_anchor_uuid (строка) Имя атрибута, содержащего ссылку на исходный объект в удалённом домене. По умолчанию: ipaAnchorUUID ipa_user_override_object_class (строка) Имя класса объектов для переопределений пользователя. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой. Переопределения пользователя могут содержать атрибуты, указанные с помощью ldap_user_name ldap_user_uid_number ldap_user_gid_number ldap_user_gecos ldap_user_home_directory ldap_user_shell ldap_user_ssh_public_key По умолчанию: ipaUserOverride ipa_group_override_object_class (строка) Имя класса объектов для переопределений группы. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой. Переопределения группы могут содержать атрибуты, указанные с помощью ldap_group_name ldap_group_gid_number По умолчанию: ipaGroupOverride В зависимости от того, настроен ли поставщик данных поддоменов IPA явным или неявным образом, его поведение будет немного отличаться. Если в разделе домена sssd.conf найден параметр «subdomains_provider = ipa», поставщик данных поддоменов IPA настроен в явном виде, и при необходимости все запросы поддоменов отправляются серверу IPA. Если в разделе домена sssd.conf не задан параметр «subdomains_provider», но имеется параметр «id_provider = ipa», поставщик данных поддоменов IPA настроен в неявном виде. В этом случае, если происходит ошибка запроса к поддомену, которая указывает на то, что сервер не поддерживает поддомены, то есть на нём не настроены отношения доверия, поставщик данных поддоменов IPA будет отключён. Через час или после того, как поставщик данных IPA выходит в сеть, поставщик данных поддоменов включается снова. Для доверенного домена также можно задать некоторые параметры конфигурации. Настройку доверенного домена можно выполнить с помощью подраздела доверенного домена, как показано в примере ниже. Либо можно воспользоваться параметром subdomain_inherit в родительском домене. [domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com Дополнительные сведения доступны на справочной странице sssd.conf 5 . Для доверенного домена можно выполнить тонкую настройку различных параметров конфигурации в соответствии с тем, где настраивается SSSD: на сервере IPA или на клиенте IPA. В разделе поддомена на основном сервере IPA можно настроить следующие параметры: ad_server ad_backup_server ad_site ldap_search_base ldap_user_search_base ldap_group_search_base use_fully_qualified_names В разделе поддомена на клиенте IPA можно настроить следующие параметры: ad_server ad_site Обратите внимание: если заданы оба параметра, учитывается только ad_server. Так как любой запрос идентификационных данных пользователя или группы из доверенного домена, который активирован клиентом IPA, разрешается сервером IPA, параметры ad_server и ad_site влияют только на то, на каком контроллере домена AD DC будет выполняться проверка подлинности. В частности, полученные из этих списков адреса будут записаны в файлы kdcinfo, чтение которых выполняет модуль локатора Kerberos. Дополнительные сведения о модуле локатора Kerberos доступны на справочной странице sssd_krb5_locator_plugin 8 . В следующем примере предполагается, что конфигурация SSSD корректна и что example.com — один из доменов в разделе [sssd]. В примере показаны только параметры, относящиеся к поставщику данных IPA. [domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com