sssd-ldap-attributes 5 Форматы файлов и рекомендации sssd-ldap-attributes Поставщик данных LDAP SSSD: атрибуты сопоставления На этой справочной странице представлено описание атрибутов сопоставления поставщика данных LDAP SSSD sssd-ldap 5 . Подробные сведения о параметрах настройки поставщика данных LDAP SSSD доступны на справочной странице sssd-ldap 5 . ldap_user_object_class (строка) Класс объектов записи пользователя в LDAP. По умолчанию: posixAccount ldap_user_name (строка) Атрибут LDAP, соответствующий имени пользователя для входа. По умолчанию: uid (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) ldap_user_uid_number (строка) Атрибут LDAP, соответствующий идентификатору пользователя. По умолчанию: uidNumber ldap_user_gid_number (строка) Атрибут LDAP, соответствующий идентификатору основной группы пользователя. По умолчанию: gidNumber ldap_user_primary_group (строка) Атрибут основной группы Active Directory для сопоставления ID. Обратите внимание, что этот атрибут следует устанавливать только вручную, если запущен поставщик ldap с сопоставлением ID. По умолчанию: не задано (LDAP), primaryGroupID (AD) ldap_user_gecos (строка) Атрибут LDAP, соответствующий полю gecos пользователя. По умолчанию: gecos ldap_user_home_directory (строка) Атрибут LDAP, который содержит имя домашнего каталога пользователя. По умолчанию: homeDirectory (LDAP и IPA), unixHomeDirectory (AD) ldap_user_shell (строка) Атрибут LDAP, который содержит путь к стандартной оболочке пользователя. По умолчанию: loginShell ldap_user_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта пользователя LDAP. По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA ldap_user_objectsid (строка) Атрибут LDAP, который содержит objectSID объекта пользователя LDAP. Обычно требуется только для серверов Active Directory. По умолчанию: objectSid для Active Directory, не задано для других серверов. ldap_user_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. По умолчанию: modifyTimestamp ldap_user_shadow_last_change (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (дата последней смены пароля). По умолчанию: shadowLastChange ldap_user_shadow_min (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (минимальный срок действия пароля). По умолчанию: shadowMin ldap_user_shadow_max (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (максимальный срок действия пароля). По умолчанию: shadowMax ldap_user_shadow_warning (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (срок предупреждения о пароле). По умолчанию: shadowWarning ldap_user_shadow_inactive (строка) Если используется ldap_pwd_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (срок неактивности пароля). По умолчанию: shadowInactive ldap_user_shadow_expire (строка) Если используется ldap_pwd_policy=shadow или ldap_account_expire_policy=shadow, этот параметр содержит имя атрибута LDAP, соответствующего сопряжённому shadow 5 (дата истечения срока действия учётной записи). По умолчанию: shadowExpire ldap_user_krb_last_pwd_change (строка) Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время последней смены пароля в kerberos. По умолчанию: krbLastPwdChange ldap_user_krb_password_expiration (строка) Если используется ldap_pwd_policy=mit_kerberos, этот параметр содержит имя атрибута LDAP, хранящего дату и время истечения срока действия текущего пароля. По умолчанию: krbPasswordExpiration ldap_user_ad_account_expires (строка) Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего время истечения срока действия учётной записи. По умолчанию: accountExpires ldap_user_ad_user_account_control (строка) Если используется ldap_account_expire_policy=ad, этот параметр содержит имя атрибута LDAP, хранящего битовое поле управления учётной записью пользователя. По умолчанию: userAccountControl ldap_ns_account_lock (строка) Если используется ldap_account_expire_policy=rhds или эквивалент, этот параметр определяет, разрешён ли доступ. По умолчанию: nsAccountLock ldap_user_nds_login_disabled (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, разрешён ли доступ. По умолчанию: loginDisabled ldap_user_nds_login_expiration_time (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, до какой даты предоставляется доступ. По умолчанию: loginDisabled ldap_user_nds_login_allowed_time_map (строка) Если используется ldap_account_expire_policy=nds, этот атрибут определяет, в какие часы дней недели предоставляется доступ. По умолчанию: loginAllowedTimeMap ldap_user_principal (строка) Атрибут LDAP, который содержит имя участника-пользователя Kerberos (UPN) пользователя. По умолчанию: krbPrincipalName ldap_user_extra_attrs (строка) Разделённый запятыми список атрибутов LDAP, которые SSSD получит вместе с обычным набором атрибутов пользователя. Список может содержать либо только имена атрибутов LDAP, либо разделённые двоеточиями кортежи с именем атрибута кэша SSSD и именем атрибута LDAP. Если указано только имя атрибута LDAP, атрибут сохраняется в кэш буквально. В средах, где настроено несколько доменов SSSD с разными схемами LDAP, может быть необходимо использование пользовательского имени атрибута SSSD. Обратите внимание, что несколько имён атрибутов зарезервировано SSSD (в частности, атрибут name). SSSD сообщит об ошибке, если какие-либо из них будут использованы в качестве имени дополнительного атрибута. Примеры: ldap_user_extra_attrs = telephoneNumber Сохранить атрибут telephoneNumber из LDAP в кэш как telephoneNumber. ldap_user_extra_attrs = phone:telephoneNumber Сохранить атрибут telephoneNumber из LDAP в кэш как phone. По умолчанию: не задано ldap_user_ssh_public_key (строка) Атрибут LDAP, который содержит открытые ключи SSH пользователя. По умолчанию: sshPublicKey ldap_user_fullname (строка) Атрибут LDAP, соответствующий полному имени пользователя. По умолчанию: cn ldap_user_member_of (строка) Атрибут LDAP со списком групп, участником которых является пользователь. По умолчанию: memberOf ldap_user_authorized_service (строка) Если access_provider=ldap и ldap_access_order=authorized_service, SSSD будет использовать наличие атрибута authorizedService в записи пользователя LDAP для определения привилегий доступа. Сначала определяются явные запреты (!svc). Затем SSSD выполняет поиск явных разрешений (svc), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать authorized_service, чтобы можно было использовать параметр ldap_user_authorized_service. В некоторых дистрибутивах (например, Fedora-29+ или RHEL-8) служба PAM systemd-user всегда является частью процесса входа в систему. Следовательно, когда используется управление доступом на основе данных служб, следует добавить службу systemd-user в список разрешённых служб. По умолчанию: authorizedService ldap_user_authorized_host (строка) Если access_provider=ldap и ldap_access_order=host, SSSD будет использовать наличие атрибута host в записи пользователя LDAP для определения привилегий доступа. Сначала определяются явные запреты (!host). Затем SSSD выполняет поиск явных разрешений (host), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать host, чтобы можно было использовать параметр ldap_user_authorized_host. По умолчанию: host ldap_user_authorized_rhost (строка) Если access_provider=ldap и ldap_access_order=rhost, SSSD будет использовать наличие атрибута rhost в записи пользователя LDAP для определения привилегий доступа. Аналогично процессу проверки узла. Сначала определяются явные запреты (!rhost). Затем SSSD выполняет поиск явных разрешений (rhost), а после этого — поиск общих разрешений, allow_all (*). Обратите внимание, что параметр конфигурации ldap_access_order должен включать rhost, чтобы можно было использовать параметр ldap_user_authorized_rhost. По умолчанию: rhost ldap_user_certificate (строка) Имя атрибута LDAP, содержащего сертификат X509 пользователя. По умолчанию: userCertificate;binary ldap_user_email (строка) Имя атрибута LDAP, который содержит адрес электронной почты пользователя. Примечание: если адрес электронной почты пользователя конфликтует с адресом электронной почты или полным именем другого пользователя, SSSD не удастся надлежащим образом обслужить этих пользователей. Если у нескольких пользователей по какой-либо причине должен быть один и тот же адрес электронной почты, задайте в качестве значения этого параметра несуществующее имя атрибута, чтобы отключить поиск/вход пользователей по электронной почте. По умолчанию: mail ldap_user_passkey (string) Name of the LDAP attribute containing the passkey mapping data of the user. Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) ldap_group_object_class (строка) Класс объектов записи группы в LDAP. По умолчанию: posixGroup ldap_group_name (строка) The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups. По умолчанию: cn (rfc2307, rfc2307bis и IPA), sAMAccountName (AD) ldap_group_gid_number (строка) Атрибут LDAP, соответствующий идентификатору группы. По умолчанию: gidNumber ldap_group_member (строка) Атрибут LDAP, который содержит имена участников группы. По умолчанию: memberuid (rfc2307) / member (rfc2307bis) ldap_group_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта группы LDAP. По умолчанию: не задано в общем случае, objectGUID для AD и ipaUniqueID для IPA ldap_group_objectsid (строка) Атрибут LDAP, который содержит objectSID объекта группы LDAP. Обычно требуется только для серверов Active Directory. По умолчанию: objectSid для Active Directory, не задано для других серверов. ldap_group_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. По умолчанию: modifyTimestamp ldap_group_type (строка) Атрибут LDAP, который содержит целое значение, обозначающее тип группы, и, возможно, другие флаги. Этот атрибут в настоящее время используется только поставщиком данных AD для определения того, является ли группа группой, локальной в домене, и должна ли быть отфильтрована для доверенных доменов. По умолчанию: groupType для поставщика данных AD, в ином случае не задано ldap_group_external_member (строка) Атрибут LDAP, который ссылается на участников группы, которые определены во внешнем домене. В настоящее время поддерживаются только внешние участники IPA. По умолчанию: ipaExternalMember для поставщика данных IPA, в ином случае не задано. ldap_netgroup_object_class (строка) Класс объектов записи сетевой группы в LDAP. В поставщике данных IPA следует использовать ipa_netgroup_object_class. По умолчанию: nisNetgroup ldap_netgroup_name (строка) Атрибут LDAP, соответствующий имени сетевой группы. В поставщике данных IPA следует использовать ipa_netgroup_name. По умолчанию: cn ldap_netgroup_member (строка) Атрибут LDAP, который содержит имена участников сетевой группы. В поставщике данных IPA следует использовать ipa_netgroup_member. По умолчанию: memberNisNetgroup ldap_netgroup_triple (строка) Атрибут LDAP, который содержит тройки (узел, пользователь, домен) сетевых групп. Этот параметр недоступен в поставщике данных IPA. По умолчанию: nisNetgroupTriple ldap_netgroup_modify_timestamp (строка) Атрибут LDAP, который содержит отметку времени последнего изменения родительского объекта. Этот параметр недоступен в поставщике данных IPA. По умолчанию: modifyTimestamp ldap_host_object_class (строка) Класс объектов записи узла в LDAP. По умолчанию: ipService ldap_host_name (строка) Атрибут LDAP, соответствующий имени узла. По умолчанию: cn ldap_host_fqdn (строка) Атрибут LDAP, соответствующий полному доменному имени узла. По умолчанию: fqdn ldap_host_serverhostname (строка) Атрибут LDAP, соответствующий имени узла. По умолчанию: serverHostname ldap_host_member_of (строка) Атрибут LDAP со списком групп, участником которых является узел. По умолчанию: memberOf ldap_host_ssh_public_key (строка) Атрибут LDAP, который содержит открытые ключи SSH узла. По умолчанию: sshPublicKey ldap_host_uuid (строка) Атрибут LDAP, который содержит UUID/GUID объекта узла LDAP. По умолчанию: не задано ldap_service_object_class (строка) Класс объектов записи службы в LDAP. По умолчанию: ipService ldap_service_name (строка) Атрибут LDAP, который содержит имя атрибутов службы и их псевдонимы. По умолчанию: cn ldap_service_port (строка) Атрибут LDAP, который содержит порт, управляемый этой службой. По умолчанию: ipServicePort ldap_service_proto (строка) Атрибут LDAP, который содержит протоколы, поддерживаемые этой службой. По умолчанию: ipServiceProtocol ldap_sudorule_object_class (строка) Класс объектов записи правила sudo в LDAP. По умолчанию: sudoRole ldap_sudorule_name (строка) Атрибут LDAP, соответствующий имени правила sudo. По умолчанию: cn ldap_sudorule_command (строка) Атрибут LDAP, соответствующий имени команды. По умолчанию: sudoCommand ldap_sudorule_host (строка) Атрибут LDAP, соответствующий имени узла (или IP-адресу узла, IP-сети узла или сетевой группе узла) По умолчанию: sudoHost ldap_sudorule_user (строка) Атрибут LDAP, соответствующий имени пользователя (или UID, имени группы или сетевой группе пользователя) По умолчанию: sudoUser ldap_sudorule_option (строка) Атрибут LDAP, соответствующий параметрам SUDO. По умолчанию: sudoOption ldap_sudorule_runasuser (строка) Атрибут LDAP, соответствующий имени пользователя, от имени которого могут выполняться команды. По умолчанию: sudoRunAsUser ldap_sudorule_runasgroup (строка) Атрибут LDAP, соответствующий имени группы или GID группы, от имени которой могут выполняться команды. По умолчанию: sudoRunAsGroup ldap_sudorule_notbefore (строка) Атрибут LDAP, соответствующий дате и времени начала действия правила SUDO. По умолчанию: sudoNotBefore ldap_sudorule_notafter (строка) Атрибут LDAP, соответствующий дате и времени истечения срока действия правила sudo. По умолчанию: sudoNotAfter ldap_sudorule_order (строка) Атрибут LDAP, соответствующий порядковому номеру правила. По умолчанию: sudoOrder ldap_iphost_object_class (строка) Класс объектов записи IP-узла в LDAP. По умолчанию: ipHost ldap_iphost_name (строка) Атрибут LDAP, который содержит имя атрибутов IP-узла и их псевдонимы. По умолчанию: cn ldap_iphost_number (строка) Атрибут LDAP, который содержит адрес IP-узла. По умолчанию: ipHostNumber ldap_ipnetwork_object_class (строка) Класс объектов записи IP-сети в LDAP. По умолчанию: ipNetwork ldap_ipnetwork_name (строка) Атрибут LDAP, который содержит имя атрибутов IP-сети и их псевдонимы. По умолчанию: cn ldap_ipnetwork_number (строка) Атрибут LDAP, который содержит адрес IP-сети. По умолчанию: ipNetworkNumber