sssd-ldap-attributes 5 Форматы файлов и рекомендации sssd-ldap-attributes Поставщик данных LDAP SSSD: атрибуты сопоставления На этой справочной странице представлено описание атрибутов сопоставления поставщика данных LDAP SSSD sssd-ldap 5 . Подробные сведения о параметрах настройки поставщика данных LDAP SSSD доступны на справочной странице sssd-ldap 5 . ldap_user_object_class (строка) Класс объектов записи пользователя в LDAP. По умолчанию: posixAccount ldap_user_name (строка) Атрибут LDAP, соответствующий имени пользователя для входа. По умолчанию: uid (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) ldap_user_uid_number (строка) Атрибут LDAP, соответствующий идентификатору пользователя. По умолчанию: uidNumber ldap_user_gid_number (строка) Атрибут LDAP, соответствующий идентификатору основной группы пользователя. По умолчанию: gidNumber ldap_user_primary_group (строка) Атрибут основной группы Active Directory для сопоставления ID. Обратите внимание, что этот атрибут следует устанавливать только вручную, если запущен поставщик ldap с сопоставлением ID. По умолчанию: не задано (LDAP), primaryGroupID (AD) ldap_user_gecos (строка) Атрибут LDAP, соответствующий полю gecos пользователя. По умолчанию: gecos ldap_user_home_directory (строка) Атрибут LDAP, который содержит имя домашнего каталога пользователя. По умолчанию: homeDirectory (LDAP и IPA), unixHomeDirectory (AD) ldap_user_shell (строка) Атрибут LDAP, который содержит путь к стандартной оболочке пользователя. По умолчанию: loginShell ldap_user_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта пользователя LDAP. По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA ldap_user_objectsid (строка) Атрибут LDAP, который содержит objectSID объекта пользователя LDAP. Обычно требуется только для серверов Active Directory. По умолчанию: objectSid для Active Directory, не задано для других серверов. ldap_user_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. По умолчанию: modifyTimestamp ldap_user_shadow_last_change (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (дата последней смены пароля). По умолчанию: shadowLastChange ldap_user_shadow_min (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (минимальный срок действия пароля). По умолчанию: shadowMin ldap_user_shadow_max (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (максимальный срок действия пароля). По умолчанию: shadowMax ldap_user_shadow_warning (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (срок предупреждения о пароле). По умолчанию: shadowWarning ldap_user_shadow_inactive (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (срок неактивности пароля). По умолчанию: shadowInactive ldap_user_shadow_expire (строка) Если используется ldap_pwd_policy=shadow или ldap_account_expire_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (дата истечения срока действия учётной записи). По умолчанию: shadowExpire ldap_user_krb_last_pwd_change (строка) Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время последней смены пароля в kerberos. По умолчанию: krbLastPwdChange ldap_user_krb_password_expiration (строка) Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время истечения срока действия текущего пароля. По умолчанию: krbPasswordExpiration ldap_user_ad_account_expires (строка) Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего время истечения срока действия учётной записи. По умолчанию: accountExpires ldap_user_ad_user_account_control (строка) Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего битовое поле управления учётной записью пользователя. По умолчанию: userAccountControl ldap_ns_account_lock (строка) Если используется ldap_account_expire_policy=rhds или эквивалент, этот параметр определяет, разрешён ли доступ. По умолчанию: nsAccountLock ldap_user_nds_login_disabled (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, разрешён ли доступ. По умолчанию: loginDisabled ldap_user_nds_login_expiration_time (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, до какой даты предоставляется доступ. По умолчанию: loginDisabled ldap_user_nds_login_allowed_time_map (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, в какие часы дней недели предоставляется доступ. По умолчанию: loginAllowedTimeMap ldap_user_principal (строка) Атрибут LDAP, который содержит имя участника-пользователя Kerberos (UPN) пользователя. По умолчанию: krbPrincipalName ldap_user_extra_attrs (строка) Разделённый запятыми список атрибутов LDAP, которые SSSD получит вместе с обычным набором атрибутов пользователя. Список может содержать либо только имена атрибутов LDAP, либо разделённые двоеточиями кортежи с именем атрибута кэша SSSD и именем атрибута LDAP. Если указано только имя атрибута LDAP, атрибут сохраняется в кэш буквально. В средах, где настроено несколько доменов SSSD с разными схемами LDAP, может быть необходимо использование пользовательского имени атрибута SSSD. Обратите внимание, что несколько имён атрибутов зарезервировано SSSD (в частности, атрибут name). SSSD сообщит об ошибке, если какие-либо из них будут использованы в качестве имени дополнительного атрибута. Примеры: ldap_user_extra_attrs = telephoneNumber Сохранить атрибут telephoneNumber из LDAP в кэш как telephoneNumber. ldap_user_extra_attrs = phone:telephoneNumber Сохранить атрибут telephoneNumber из LDAP в кэш как phone. По умолчанию: не задано ldap_user_ssh_public_key (строка) Атрибут LDAP, который содержит открытые ключи SSH пользователя. По умолчанию: sshPublicKey ldap_user_fullname (строка) Атрибут LDAP, соответствующий полному имени пользователя. По умолчанию: cn ldap_user_member_of (строка) Атрибут LDAP со списком групп, участником которых является пользователь. По умолчанию: memberOf ldap_user_authorized_service (строка) Если access_provider=ldap и ldap_access_order=authorized_service, SSSD будет использовать наличие атрибута authorizedService в записи пользователя LDAP для определения привилегий доступа. Сначала определяются явные запреты (!svc). Затем SSSD выполняет поиск явных разрешений (svc), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать authorized_service, чтобы можно было использовать параметр ldap_user_authorized_service. В некоторых дистрибутивах (например, Fedora-29+ или RHEL-8) служба PAM systemd-user всегда является частью процесса входа в систему. Следовательно, когда используется управление доступом на основе данных служб, следует добавить службу systemd-user в список разрешённых служб. По умолчанию: authorizedService ldap_user_authorized_host (строка) Если access_provider=ldap и ldap_access_order=host, SSSD будет использовать наличие атрибута host в записи пользователя LDAP для определения привилегий доступа. Сначала определяются явные запреты (!host). Затем SSSD выполняет поиск явных разрешений (host), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать host, чтобы можно было использовать параметр ldap_user_authorized_host. По умолчанию: host ldap_user_authorized_rhost (строка) Если access_provider=ldap и ldap_access_order=rhost, SSSD будет использовать наличие атрибута rhost в записи пользователя LDAP для определения привилегий доступа. Аналогично процессу проверки узла. Сначала определяются явные запреты (!rhost). Затем SSSD выполняет поиск явных разрешений (rhost), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать rhost, чтобы можно было использовать параметр ldap_user_authorized_rhost. По умолчанию: rhost ldap_user_certificate (строка) Имя атрибута LDAP, содержащего сертификат X509 пользователя. По умолчанию: userCertificate;binary ldap_user_email (строка) Имя атрибута LDAP, который содержит адрес электронной почты пользователя. Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email. По умолчанию: mail ldap_user_passkey (string) Name of the LDAP attribute containing the passkey mapping data of the user. Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) ldap_group_object_class (строка) Класс объектов записи группы в LDAP. По умолчанию: posixGroup ldap_group_name (строка) The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups. По умолчанию: cn (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) ldap_group_gid_number (строка) Атрибут LDAP, соответствующий идентификатору группы. По умолчанию: gidNumber ldap_group_member (строка) Атрибут LDAP, который содержит имена участников группы. По умолчанию: memberuid (rfc2307) / member (rfc2307bis) ldap_group_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта группы LDAP. По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA ldap_group_objectsid (строка) Атрибут LDAP, который содержит objectSID объекта группы LDAP. Обычно требуется только для серверов Active Directory. По умолчанию: objectSid для Active Directory, не задано для других серверов. ldap_group_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. По умолчанию: modifyTimestamp ldap_group_type (строка) Атрибут LDAP, который содержит целое значение, обозначающее тип группы, и, возможно, другие флаги. Этот атрибут в настоящее время используется только поставщиком данных AD для определения того, является ли группа группой, локальной в домене, и должна ли быть отфильтрована для доверенных доменов. По умолчанию: groupType для поставщика данных AD, в ином случае не задано ldap_group_external_member (строка) Атрибут LDAP, который ссылается на участников группы, которые определены во внешнем домене. В настоящее время поддерживаются только внешние участники IPA. По умолчанию: ipaExternalMember для поставщика данных IPA, в ином случае не задано. ldap_netgroup_object_class (строка) Класс объектов записи сетевой группы в LDAP. В поставщике данных IPA следует использовать ipa_netgroup_object_class. По умолчанию: nisNetgroup ldap_netgroup_name (строка) Атрибут LDAP, соответствующий имени сетевой группы. В поставщике данных IPA следует использовать ipa_netgroup_name. По умолчанию: cn ldap_netgroup_member (строка) Атрибут LDAP, который содержит имена участников сетевой группы. В поставщике данных IPA следует использовать ipa_netgroup_member. По умолчанию: memberNisNetgroup ldap_netgroup_triple (строка) Атрибут LDAP, который содержит тройки (узел, пользователь, домен) сетевых групп. Этот параметр недоступен в поставщике данных IPA. По умолчанию: nisNetgroupTriple ldap_netgroup_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. Этот параметр недоступен в поставщике данных IPA. По умолчанию: modifyTimestamp ldap_host_object_class (строка) Класс объектов записи узла в LDAP. По умолчанию: ipService ldap_host_name (строка) Атрибут LDAP, соответствующий имени узла. По умолчанию: cn ldap_host_fqdn (строка) Атрибут LDAP, соответствующий полному доменному имени узла. По умолчанию: fqdn ldap_host_serverhostname (строка) Атрибут LDAP, соответствующий имени узла. По умолчанию: serverHostname ldap_host_member_of (строка) Атрибут LDAP со списком групп, участником которых является узел. По умолчанию: memberOf ldap_host_ssh_public_key (строка) Атрибут LDAP, который содержит открытые ключи SSH узла. По умолчанию: sshPublicKey ldap_host_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта узла LDAP. По умолчанию: не задано ldap_service_object_class (строка) Класс объектов записи службы в LDAP. По умолчанию: ipService ldap_service_name (строка) Атрибут LDAP, который содержит имя атрибутов службы и их псевдонимы. По умолчанию: cn ldap_service_port (строка) Атрибут LDAP, который содержит порт, управляемый этой службой. По умолчанию: ipServicePort ldap_service_proto (строка) Атрибут LDAP, который содержит протоколы, поддерживаемые этой службой. По умолчанию: ipServiceProtocol ldap_sudorule_object_class (строка) Класс объектов записи правила sudo в LDAP. По умолчанию: sudoRole ldap_sudorule_name (строка) Атрибут LDAP, соответствующий имени правила sudo. По умолчанию: cn ldap_sudorule_command (строка) Атрибут LDAP, соответствующий имени команды. По умолчанию: sudoCommand ldap_sudorule_host (строка) Атрибут LDAP, соответствующий имени узла (или IP-адресу узла, IP-сети узла или сетевой группе узла) По умолчанию: sudoHost ldap_sudorule_user (строка) Атрибут LDAP, соответствующий имени пользователя (или UID, имени группы или сетевой группе пользователя) По умолчанию: sudoUser ldap_sudorule_option (строка) Атрибут LDAP, соответствующий параметрам SUDO. По умолчанию: sudoOption ldap_sudorule_runasuser (строка) Атрибут LDAP, соответствующий имени пользователя, от имени которого могут выполняться команды. По умолчанию: sudoRunAsUser ldap_sudorule_runasgroup (строка) Атрибут LDAP, соответствующий имени группы или GID группы, от имени которой могут выполняться команды. По умолчанию: sudoRunAsGroup ldap_sudorule_notbefore (строка) Атрибут LDAP, соответствующий дате и времени начала действия правила SUDO. По умолчанию: sudoNotBefore ldap_sudorule_notafter (строка) Атрибут LDAP, соответствующий дате и времени истечения срока действия правила sudo. По умолчанию: sudoNotAfter ldap_sudorule_order (строка) Атрибут LDAP, соответствующий порядковому номеру правила. По умолчанию: sudoOrder ldap_iphost_object_class (строка) Класс объектов записи IP-узла в LDAP. По умолчанию: ipHost ldap_iphost_name (строка) Атрибут LDAP, который содержит имя атрибутов IP-узла и их псевдонимы. По умолчанию: cn ldap_iphost_number (строка) Атрибут LDAP, который содержит адрес IP-узла. По умолчанию: ipHostNumber ldap_ipnetwork_object_class (строка) Класс объектов записи IP-сети в LDAP. По умолчанию: ipNetwork ldap_ipnetwork_name (строка) Атрибут LDAP, который содержит имя атрибутов IP-сети и их псевдонимы. По умолчанию: cn ldap_ipnetwork_number (строка) Атрибут LDAP, который содержит адрес IP-сети. По умолчанию: ipNetworkNumber