]> sssd.conf 5 Форматы файлов и рекомендации sssd.conf файл конфигурации SSSD В файле используются синтаксические конструкции в стиле ini, он состоит из разделов и параметров. Раздел начинается с имени раздела в квадратных скобках и продолжается до начала нового раздела. Пример раздела с параметрами, которые имеют одно или несколько значений: [section] key = value key2 = value2,value3 Используемые типы данных: строка (кавычки не требуются), целое число и логическое значение (возможны два значения: TRUE или FALSE). Строка комментария начинается со знака «решётка» (#) или точки с запятой (;). Поддержка встроенных комментариев не предусмотрена. Для всех разделов предусмотрен необязательный параметр description. Он предназначен только для обозначения раздела. sssd.conf должен быть обычным файлом, владельцем которого является пользователь root. Права на чтение этого файла или запись в него должен иметь только пользователь root. В файл конфигурации sssd.conf будут включены фрагменты конфигурации из каталога conf.d. Эта возможность доступна, если сборка SSSD была выполнена с библиотекой libini версии 1.3.0 или более поздней. Любой находящийся в каталоге conf.d файл, имя которого заканчивается расширением .conf и не начинается с точки (.), будет использоваться для настройки SSSD вместе с файлом sssd.conf. Фрагменты конфигурации из каталога conf.d имеют более высокий приоритет, чем файл sssd.conf. В случае возникновения конфликтов они переопределят параметры, заданные в файле sssd.conf. Если в каталоге conf.d присутствуют несколько фрагментов, их включение выполняется в алфавитном порядке (на основе локали). Чем позже включён файл, тем выше его приоритет. Числовые префиксы (01_snippet.conf, 02_snippet.conf и так далее) могут помочь визуализировать приоритет (чем больше число, тем выше приоритет). Файлы фрагментов должны иметь того же владельца и те же права доступа, что и файл sssd.conf. По умолчанию: root:root и 0600. Следующие параметры используются в нескольких разделах конфигурации. debug_level (целое число) debug (целое число) В SSSD 1.14 и более поздних версиях для параметра debug_level из соображений удобства предусмотрен псевдоним debug. Если указаны оба параметра, будет использовано значение debug_level. debug_timestamps (логическое значение) Добавить к сообщениям отладки отметку времени. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться. По умолчанию: true debug_microseconds (логическое значение) Добавить микросекунды в отметку времени в сообщениях отладки. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться. По умолчанию: false debug_backtrace_enabled (логическое значение) Включить обратную трассировку отладки. Если SSSD работает со значением debug_level, которое меньше 9, весь журнал работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала при возникновении любой ошибки до уровня `min(0x0040, debug_level)` включительно (если для параметра debug_level явно указано значение 0 или 1, только ошибки соответствующих уровней вызовут обратную трассировку; в ином случае — до 2). Возможность поддерживается только для `logger == files` (параметр не влияет на другие типы журнала). По умолчанию: true timeout (целое число) Тайм-аут в секундах между пакетами пульса этой службы. Используется, чтобы убедиться в том, что процесс работает и может отвечать на запросы. Обратите внимание: после трёх пропущенных пакетов пульса процесс самостоятельно завершит свою работу. По умолчанию: 10 Отдельные функциональные возможности SSSD обеспечиваются специальными службами SSSD, которые запускаются и останавливаются вместе с SSSD. Эти службы находятся под управлением специальной службы, которую часто называют монитором. Настройка монитора и некоторых других важных параметров (например, доменов идентификации) выполняется в разделе [sssd]. config_file_version (целое число) Обозначает версию синтаксических конструкций файла конфигурации. Для SSSD 0.6.0 и более поздних версий используется версия 2. services Разделённый запятыми список служб, которые запускаются вместе с sssd. Список служб является необязательным на платформах, которые поддерживают systemd, так как эти службы при необходимости будут активированы с помощью сокета или D-Bus. Поддерживаемые службы: nss, pam , sudo , autofs , ssh , pac , ifp По умолчанию все службы отключены. Администратор должен включить разрешённые для использования службы с помощью следующей команды: «systemctl enable sssd-@service@.socket». reconnection_retries (целое число) Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных По умолчанию: 3 domains Домен — это база данных, содержащая сведения о пользователях. SSSD поддерживает использование сразу нескольких доменов, но необходимо настроить как минимум один — иначе запуск SSSD не будет выполнен. С помощью этого параметра можно указать список доменов в том порядке, в котором к ним следует отправлять запросы. Рекомендуется использовать в именах доменов только буквенно-цифровые символы ASCII, дефисы, точки и знаки подчёркивания. Символ «/» использовать нельзя. re_expression (строка) Регулярное выражение по умолчанию, которое задаёт способ обработки строки, содержащей имя пользователя и домен, для выделения этих частей. Для каждого домена можно настроить отдельное регулярное выражение. Для некоторых поставщиков ID также предусмотрены регулярные выражения по умолчанию. Более подробные сведения об этих регулярных выражениях доступны в разделе справки «РАЗДЕЛЫ ДОМЕНА». full_name_format (строка) Совместимый с printf 3 формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена. Поддерживаются следующие расширения: %1$s имя пользователя %2$s имя домена, указанное в файле конфигурации SSSD. %3$s плоское имя домена. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA. Для каждого домена можно настроить отдельную строку формата. Более подробные сведения об этом параметре доступны в разделе справки «РАЗДЕЛЫ ДОМЕНОВ». monitor_resolv_conf (логическое значение) Управляет тем, следует ли SSSD отслеживать состояние resolv.conf для определения момента, когда требуется обновить данные встроенного сопоставителя DNS. По умолчанию: true try_inotify (логическое значение) По умолчанию SSSD будет пытаться использовать inotify для отслеживания изменений файлов конфигурации. Если невозможно использовать inotify, вместо этого снова будет выполняться опрос каждые пять секунд. В некоторых редких ситуациях не следует даже пытаться использовать inotify. В таких случаях в этот параметр следует установить значение «false» По умолчанию: true на платформах, которые поддерживают inotify. False на других платформах. Примечание: этот параметр ни на что не влияет на тех платформах, где недоступна подсистема inotify. На этих платформах всегда будет использоваться опрос. krb5_rcache_dir (строка) Каталог файловой системы, в котором SSSD следует сохранять файлы кэша повтора Kerberos. Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша повтора. По умолчанию: зависит от дистрибутива и указывается при сборке. (__LIBKRB5_DEFAULTS__, если не настроено) user (строка) The user to drop the privileges to where appropriate to avoid running as the root user. Currently the only supported value is '&sssd_user_name;'. This option does not work when running socket-activated services, as the user set up to run the processes is set up during compilation time. The way to override the systemd unit files is by creating the appropriate files in /etc/systemd/system/. Keep in mind that any change in the socket user, group or permissions may result in a non-usable SSSD. The same may occur in case of changes of the user running the NSS responder. По умолчанию: не задано, процесс будет запущен от имени пользователя root default_domain_suffix (строка) Эта строка будет использоваться как стандартное имя домена для всех имён без компонента имени домена. В основном, этот параметр применяется в средах, где основной домен предназначен для управления политиками узлов и все пользователи находятся в доверенном домене. Параметр позволяет этим пользователям входить в систему, предоставляя только своё имя пользователя и не указывая имя домена. Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False. One exception from this rule are domains with id_provider=files that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used. По умолчанию: не задано override_space (строка) С помощью этого параметра пробелы (клавиша «пробел») в именах пользователей и групп можно заменить указанным символом, например «_». Имя пользователя "john doe" превратится в "john_doe". Эта возможность была добавлена для обеспечения совместимости со сценариями оболочки, у которых возникают проблемы при обработке пробелов из-за того, что в оболочке пробел является стандартным разделителем полей. Обратите внимание, что использование заменяющего символа, который может использоваться в именах пользователей или групп, является ошибкой конфигурации. Если имя содержит заменяющий символ, SSSD выполнит попытку вернуть неизменённое имя, но в целом результат поиска будет не определён. По умолчанию: не задано (пробелы не будут заменены) certificate_verification (строка) При установке этого параметра проверку сертификатов можно настроить с помощью разделённого запятыми списка параметров. Поддерживаемые параметры: no_ocsp Отключает проверки OCSP. Это может потребоваться, если указанные в сертификате серверы OCSP недоступны со стороны клиента. soft_ocsp Если соединение с ответчиком OCSP невозможно установить, проверка OCSP будет пропущена. Этот параметр следует использовать для того, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя связаться с ответчиком OCSP. ocsp_dgst Функция вычисления контрольной суммы (хэша), используемая для создания ID сертификата для запроса OCSP. Допустимые значения: sha1 sha256 sha384 sha512 По умолчанию: sha1 (для обеспечения совместимости с ответчиком, соответствующим стандарту RFC5019) no_verification Полностью отключает проверку. Этот параметр следует использовать только для тестирования. partial_chain Разрешить признать проверку успешной даже в том случае, если не удаётся построить полную цепочку до самоподписанного якоря доверия, при условии, что возможно построить цепочку до доверенного сертификата, который может быть не самоподписанным. ocsp_default_responder=URL Задаёт стандартный ответчик OCSP, который следует использовать вместо ответчика, указанного в сертификате. URL необходимо заменить URL-адресом стандартного ответчика OCSP, например: http://example.com:80/ocsp. ocsp_default_responder_signing_cert=NAME В настоящее время этот параметр игнорируется. Все необходимые сертификаты должны быть доступны в файле PEM, указанном параметром pam_cert_db_path. crl_file=/ПУТЬ/К/ФАЙЛУ/CRL Использовать список отзыва сертификатов (CRL) из указанного файла при проверке этого сертификата. CRL должен быть указан в формате PEM. Подробнее: crl 1ssl . soft_crl Если срок действия списка отзыва сертификатов (CRL) истёк, игнорировать проверки CRL для соответствующих сертификатов. Этот параметр следует использовать, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя обновить CRL. Неизвестные параметры передаются, но игнорируются. По умолчанию: не задано, то есть не ограничивать проверку сертификатов disable_netlink (логическое значение) SSSD подключается к интерфейсу netlink для отслеживания изменений в маршрутах,адресах, ссылках и вызова определённых действий. Изменения состояния SSSD, вызванные событиями netlink, могут быть нежелательными. Чтобы их отключить, установите этот параметр в значение «true» По умолчанию: false (изменения netlink обнаруживаются) enable_files_domain (логическое значение) Когда этот параметр включён, SSSD добавляет перед всеми явно настроенными доменами неявный домен сid_provider=files. По умолчанию: false domain_resolution_order Разделённый запятыми список доменов и поддоменов, который указывает порядок поиска. В список не требуется включать все возможные домены, так как поиск отсутствующих доменов будет выполняться на основе порядка, в котором они представлены в параметре конфигурации domains. Поиск поддоменов, которые не указаны в параметре lookup_order, будет выполняться в случайном порядке для каждого родительского домена. Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input , for all users but the ones managed by the files provider . In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: full_name_format=%1$s However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam 3 which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains. По умолчанию: не задано implicit_pac_responder (логическое значение) Ответчик PAC включается автоматически для поставщиков IPA и AD для оценки и проверки PAC. Если его необходимо отключить, установите для этого параметра значение «false». По умолчанию: true core_dumpable (логическое значение) Этот параметр можно использовать для общей защиты системы: установка значения «false» запрещает создание дампов памяти для всех процессов SSSD, чтобы избежать утечки паролей в открытом виде. Дополнительные сведения доступны на справочной странице prctl:PR_SET_DUMPABLE. По умолчанию: true passkey_verification (string) With this parameter the passkey verification can be tuned with a comma separated list of options. Supported options are: user_verification (boolean) Enable or disable the user verification (i.e. PIN, fingerprint) during authentication. If enabled, the PIN will always be requested. The default is that the key settings decide what to do. In the IPA or kerberos pre-authentication case, this value will be overwritten by the server. В этом разделе приводится описание параметров, которые можно использовать для настройки различных служб. Они должны находится в разделах с именами [$NAME]. Например, для службы NSS это будет раздел [nss] Эти параметры можно использовать для настройки любых служб. reconnection_retries (целое число) Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных По умолчанию: 3 fd_limit Этот параметр задаёт максимальное количество файловых дескрипторов, которые может одновременно открыть этот процесс SSSD. В системах, где у SSSD имеется возможность CAP_SYS_RESOURCE, этот параметр будет использоваться независимо от других параметров системы. В системах без такой возможности количество дескрипторов будет определяться наименьшим значением этого параметра или ограничением «hard» в limits.conf. По умолчанию: 8192 (или ограничение «hard» в limits.conf) client_idle_timeout Этот параметр задаёт количество секунд, в течение которого клиент процесса SSSD может удерживать файловый дескриптор без передачи данных. Это значение ограничено в целях предотвращения исчерпания ресурсов системы. Оно не может быть меньше 10 секунд. Если указано меньшее значение, оно будет исправлено на 10 секунд. По умолчанию: 60, KCM: 300 offline_timeout (целое число) Когда SSSD переключается в автономный режим, количество времени до выполнения попытки вернуться в сеть будет увеличиваться в соответствии со временем, проведённым без подключения. По умолчанию SSSD использует приращение для расчёта задержки между повторными попытками. Поэтому время ожидания для конкретной попытки будет больше, чем для предыдущих. После каждой неудачной попытки вернуться в сеть интервал будет пересчитываться по следующей формуле: new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset] Стандартное значение offline_timeout составляет 60. Стандартное значение offline_timeout_max — 3600. Стандартное значение offline_timeout_random_offset — 30. Конечный результат представляет собой количество секунд до следующей попытки. Обратите внимание, что максимальная длительность каждого интервала задана параметром offline_timeout_max (кроме случайной части). По умолчанию: 60 offline_timeout_max (целое число) Управляет тем, насколько можно увеличить время между попытками вернуться в сеть после неудачных попыток восстановления подключения. Значение «0» отключает использование приращения. Значение этого параметра следует устанавливать с учётом значения параметра offline_timeout. Если параметр offline_timeout установлен в значение «60» (значение по умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение меньше 120, поскольку первый же шаг увеличения приведёт к его превышению. Общее правило таково: значение offline_timeout_max должно по крайней мере в 4 раза превышать значение offline_timeout. Несмотря на то, что возможно указать значение от 0 до offline_timeout, результатом этого станет переопределение значения offline_timeout, что не имеет практического смысла. По умолчанию: 3600 offline_timeout_random_offset (целое число) Когда сервис SSSD находится в автономном режиме, он продолжает обращаться к внутренним серверам через заданные промежутки времени: new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset] Этот параметр управляет значением случайной задержки, которое используется для приведённого выше уравнения. Итоговым значением random_offset будет случайное число, принадлежащее диапазону: [0 - offline_timeout_random_offset] Значение «0» отключает добавление случайной задержки. По умолчанию: 30 responder_idle_timeout Этот параметр задаёт количество секунд, в течение которого процесс ответчика SSSD может работать без использования. Это значение ограничено в целях предотвращения исчерпания ресурсов системы. Минимально допустимое значение: 60 секунд. Установка этого параметра в значение «0» (ноль) означает, что для ответчика не устанавливается тайм-аут. Этот параметр используется только в том случае, если сервис SSSD собран с поддержкой systemd и если службы активируются с помощью сокетов или D-Bus. По умолчанию: 300 cache_first Этот параметр определяет, следует ли ответчику опрашивать все кэши перед опросом поставщиков данных. По умолчанию: false По умолчанию: true Эти параметры можно использовать для настройки службы диспетчера службы имён (NSS). enum_cache_timeout (целое число) Длительность хранения перечислений (запросов информации обо всех пользователях) в кэше nss_sss в секундах По умолчанию: 120 entry_cache_nowait_percentage (целое число) Можно настроить кэш записей на автоматическое обновление записей в фоновом режиме, если запрос о них поступает в срок, определённый в процентах от значения entry_cache_timeout для домена. Например, если параметр entry_cache_timeout домена установлен в значение «30s» (секунд), а параметр entry_cache_nowait_percentage установлен в значение «50» (процентов), записи, которые поступят через 15 секунд после последнего обновления кэша, будут возвращены сразу, но SSSD выполнит обновление кэша, поэтому будущим запросам не потребуется блокировка в ожидании обновления кэша. Корректные значения этого параметра находятся в диапазоне 0-99 и представляют собой значение в процентах от entry_cache_timeout для каждого домена. Чтобы сохранить производительность, это значение никогда не уменьшает тайм-аут nowait так, что он становится меньше 10 секунд. Установка значения «0» отключает эту возможность. По умолчанию: 50 entry_negative_timeout (целое число) Означает количество секунд, в течение которого в кэше nss_sss будут храниться неудачные обращения к кэшу (запросы некорректных записей базы данных, например, несуществующих) перед повторным запросом к внутреннему серверу. По умолчанию: 15 local_negative_timeout (целое число) Означает количество секунд, в течение которого в негативном кэше nss_sss будут храниться локальные пользователи и группы перед попыткой повторного поиска на внутреннем сервере. Установка значения «0» отключает эту возможность. По умолчанию: 14400 (4 часа) filter_users, filter_groups (строка) Исключить определённых пользователей или группы из списка получения данных из базы данных NSS sss. Эта возможность особенно полезна для системных учётных записей. Этот параметр также можно задать для каждого домена отдельно или включить в него полные имена, чтобы выполнить фильтрацию только пользователей из конкретного домена или по именам участников-пользователей (UPN). ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников вложенных групп, так как фильтрация выполняется после их распространения для возврата с помощью NSS. Например, в списке участников группы, вложенная группа которой была отфильтрована, останутся пользователи из этой отфильтрованной вложенной группы. По умолчанию: root filter_users_in_groups (логическое значение) Если отфильтрованные пользователи должны оставаться участниками групп, установите этот параметр в значение «false». По умолчанию: true fallback_homedir (строка) Установить стандартный шаблон для домашнего каталога пользователя, если он явно не указан поставщиком данных домена. Допустимые значения этого параметра совпадают с допустимыми значениями параметра override_homedir. пример: fallback_homedir = /home/%u По умолчанию: не задано (без замен для незаданных домашних каталогов) override_shell (строка) Переопределить командную оболочку входа для всех пользователей. Этот параметр имеет приоритет над любыми другими параметрами оболочки, когда действует. Его возможно установить либо в разделе [nss], либо для каждого домена отдельно. По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP) allowed_shells (строка) Ограничить оболочку пользователя одним из указанных в списке значений. Порядок вычисления: 1. Если оболочка присутствует в файле /etc/shells, будет использована она. 2. Если оболочка присутствует в списке allowed_shells, но не в файле /etc/shells, использовать значение параметра shell_fallback. 3. Если оболочка отсутствует в списке allowed_shells и файле /etc/shells, будет использована оболочка, которая не требует входа. Чтобы разрешить использование любой оболочки, можно использовать подстановочный знак (*). Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда оболочка пользователя отсутствует в файле /etc/shells, а ведение списка всех разрешённых оболочек в allowed_shells было бы излишним. Пустая строка оболочки передаётся libc «как есть». Чтение файла /etc/shells выполняется только при запуске SSSD. Следовательно, в случае установки новой оболочки потребуется перезапуск SSSD. По умолчанию: не задано. Автоматически используется оболочка пользователя. vetoed_shells (строка) Заменять все экземпляры этих оболочек на shell_fallback shell_fallback (строка) Оболочка по умолчанию, которую следует использовать, если разрешённая оболочка не установлена на компьютере. По умолчанию: /bin/sh default_shell Оболочка по умолчанию, которую следует использовать, если поставщик не вернул оболочку при поиске. Этот параметр можно указать как глобальный в разделе [nss] или для каждого домена отдельно. По умолчанию: не задано (вернуть NULL, если оболочка не указана, и положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh) get_domains_timeout (целое число) Указывает время в секундах, в течение которого список поддоменов считается действительным. По умолчанию: 60 memcache_timeout (целое число) Указывает время в секундах, в течение которого записи кэша в памяти будут оставаться действительными. Установка этого параметра в значение «0» отключит кэш в памяти. По умолчанию: 300 ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное воздействие на производительность SSSD. Этот параметр следует использовать только для тестирования. ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти. memcache_size_passwd (целое число) Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов passwd. Установка размера в значение «0» отключит кэш в памяти для запросов passwd. По умолчанию: 8 ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD. ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти. memcache_size_group (целое число) Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов group. Установка размера в значение «0» отключит кэш в памяти для запросов group. По умолчанию: 6 ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD. ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти. memcache_size_initgroups (целое число) Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов групп инициализации. Установка размера в значение «0» отключит кэш в памяти для запросов групп инициализации. По умолчанию: 10 ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD. ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти. memcache_size_sid (целое число) Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для связанных с SID запросов. В настоящее время кэширование в быстрой памяти предусмотрено только для запросов SID-по-ID и ID-по-SID. Установка размера в значение «0» отключит кэш SID в памяти. По умолчанию: 6 ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD. ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение «NO», клиентские приложения не будут использовать быстрый кэш в памяти. user_attributes (строка) Некоторые из дополнительных запросов ответчика NSS могут возвращать больше атрибутов, чем просто атрибуты POSIX, определённые интерфейсом NSS. Этот параметр управляет списком атрибутов. Обработка выполняется тем же способом, что и для параметра user_attributes ответчика InfoPipe (см. sssd-ifp 5 ), но без стандартных значений. Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан ли он для ответчика NSS. По умолчанию: не задано, использовать параметр InfoPipe pwfield (строка) Значение, которое операции NSS, возвращающие пользователей или группы, вернут для поля password. По умолчанию: * Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [nss]. Default: not set (remote domains), x (the files domain), x (proxy domain with nss_files and sssd-shadowutils target) Эти параметры можно использовать для настройки службы подключаемых модулей проверки подлинности (PAM). offline_credentials_expiration (целое число) Определяет как долго следует разрешать вход по кэшированным данным, если поставщик данных для аутентификации находится в автономном режиме (в днях с момента последнего успешного входа). По умолчанию: 0 (без ограничений) offline_failed_login_attempts (целое число) Если поставщик данных для проверки подлинности находится в автономном режиме, сколько следует допускать неудачных попыток входа. По умолчанию: 0 (без ограничений) offline_failed_login_delay (целое число) Время в минутах, которое должно пройти после достижения значения offline_failed_login_attempts, прежде чем станет возможной новая попытка входа. Если задано значение «0», пользователь не сможет пройти проверку подлинности в автономном режиме после достижения значения offline_failed_login_attempts. Для того, чтобы проверка подлинности в автономном режиме снова стала возможной, необходимо успешно пройти проверку подлинности в сетевом режиме. По умолчанию: 5 pam_verbosity (целое число) Управляет тем, какие сообщения будут показаны пользователю во время проверки подлинности. Чем больше число, тем больше сообщений будет показано. В настоящее время sssd поддерживает следующие значения: 0: не показывать никаких сообщений 1: показывать только важные сообщения 2: показывать информационные сообщения 3: показывать все сообщения и отладочную информацию По умолчанию: 1 pam_response_filter (строка) Разделённый запятыми список строк, который позволяет удалять (фильтровать) данные, отправленные ответчиком PAM модулю PAM pam_sss. Ответы, которые отправляются pam_sss, могут быть разного вида (например, сообщения, которые показываются пользователю, или переменные среды, которые должны быть установлены pam_sss). Сообщениями можно управлять с помощью параметра pam_verbosity, а этот параметр позволяет отфильтровать также и другие типы ответов. В настоящее время поддерживаются следующие фильтры: ENV Не отправлять никаким службам никакие переменные среды. ENV:var_name Не отправлять переменную среды var_name никаким службам. ENV:var_name:service Не отправлять переменную среды var_name указанной службе. Список строк может представлять собой список фильтров, который установит эти фильтры, перезаписав стандартные значения. Либо каждый элемент списка может предваряться символом «+» или «-», что, соответственно, добавит этот фильтр к существующим стандартным фильтрам или удалит его из стандартных фильтров. Обратите внимание, что следует либо использовать префикс «+» или «-» для всех элементов списка, либо не использовать его вообще. Использование префикса только для части элементов списка считается ошибкой. По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i Пример: -ENV:KRB5CCNAME:sudo-i удалит фильтр из списка стандартных pam_id_timeout (целое число) При любом запросе PAM, поступающем во время работы SSSD в сети, SSSD выполняет попытку незамедлительно обновить кэшированные данные идентификации пользователя, чтобы при проверке подлинности использовались самые последние данные. Полный обмен данными PAM может включать несколько запросов PAM (в частности, для управления учётными записями и открытия сеансов). Этот параметр управляет (для каждого клиента-приложения отдельно) длительностью (в секундах) кэширования данных идентификации, позволяющего избежать повторных обменов данными с поставщиком данных идентификации. По умолчанию: 5 pam_pwd_expiration_warning (целое число) Показать предупреждение за N дней до истечения срока действия пароля. Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение. Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически. Этот параметр можно переопределить, установив pwd_expiration_warning для конкретного домена. По умолчанию: 0 get_domains_timeout (целое число) Указывает время в секундах, в течение которого список поддоменов считается действительным. По умолчанию: 60 pam_trusted_users (строка) Разделённый запятыми список значений UID или имён пользователей, которым разрешено выполнять обмен данными PAM с доверенными доменами. Пользователям, которые отсутствуют в этом списке, разрешён доступ только к доменам, отмеченным как общедоступные с помощью параметра pam_public_domains. Имена пользователей разрешаются в UID при запуске. По умолчанию: все пользователи считаются доверенными по умолчанию Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже если этот идентификатор пользователя отсутствует в списке pam_trusted_users. pam_public_domains (строка) Разделённый запятыми список имён доменов, которые доступны даже для недоверенных пользователей. Для параметра pam_public_domains определены два специальных значения: all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике PAM) none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике PAM) По умолчанию: none pam_account_expired_message (строка) Позволяет задать пользовательское сообщение об истечении срока действия, которое заменит стандартное сообщение «Доступ запрещён». Примечание: следует учитывать, что для службы SSH сообщение будет показано только при условии, что параметр pam_verbosity установлен в значение «3» (показывать все сообщения и отладочную информацию). пример: pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки. По умолчанию: none pam_account_locked_message (строка) Позволяет задать пользовательское сообщение о блокировке, которое заменит стандартное сообщение «Доступ запрещён». пример: pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки. По умолчанию: none pam_passkey_auth (bool) Enable passkey device based authentication. По умолчанию: true passkey_debug_libfido2 (bool) Enable libfido2 library debug messages. По умолчанию: false pam_cert_auth (логическое значение) Включить проверку подлинности на основе сертификата или смарт-карты. Так как для этого требуется дополнительный обмен данными со смарт-картой, который задержит процесс проверки подлинности, по умолчанию этот параметр отключён. По умолчанию: false pam_cert_db_path (строка) Путь к базе данных сертификатов. По умолчанию: /etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами CA в формате PEM) pam_cert_verification (строка) Этот параметр позволяет выполнить тонкую настройку проверки сертификатов PAM с помощью разделённого запятыми списка параметров. Эти параметры переопределяют значение certificate_verification в разделе [sssd]. Поддерживаются те же параметры, что и для certificate_verification. пример: pam_cert_verification = partial_chain По умолчанию: не задано, то есть следует использовать стандартный параметр certificate_verification, указанный в разделе [sssd]. p11_child_timeout (целое число) Разрешённое количество секунд, в течение которого pam_sss ожидает завершения работы p11_child. По умолчанию: 10 passkey_child_timeout (integer) How many seconds will the PAM responder wait for passkey_child to finish. По умолчанию: 15 pam_app_services (строка) Указывает, каким службам PAM разрешено устанавливать соединение с доменами типа application По умолчанию: не задано pam_p11_allowed_services (string) Разделённый запятыми список имён служб PAM, для которых будет разрешено использовать смарт-карты. Можно добавить имя ещё одной службы PAM в стандартный набор с помощью +service_name. Также можно явно удалить имя службы PAM из стандартного набора с помощью -service_name. Например, чтобы заменить стандартное имя службы PAM для проверки подлинности с помощью смарт-карт (например, login) на пользовательское имя службы PAM (например, my_pam_service), необходимо использовать следующую конфигурацию: pam_p11_allowed_services = +my_pam_service, -login По умолчанию: стандартный набор имён служб PAM включает: login su su-l gdm-smartcard gdm-password kdm sudo sudo-i gnome-screensaver p11_wait_for_card_timeout (целое число) Когда требуется проверка подлинности по смарт-карте, этот параметр определяет, в течение какого количества секунд (в дополнение к значению p11_child_timeout) ответчик PAM должен ожидать вставки смарт-карты. По умолчанию: 60 p11_uri (строка) URI PKCS#11 (подробное описание доступно в RFC-7512) для ограничения перечня устройств с проверкой подлинности по смарт-карте. По умолчанию p11_child SSSD выполняет поиск слота PKCS#11 (устройства чтения) с установленным флагом «removable» и затем чтение сертификатов со вставленного маркера из первого найденного слота. Если подключено несколько устройств чтения, с помощью p11_uri можно указать p11_child использовать конкретное устройство чтения. Пример: p11_uri = pkcs11:slot-description=My%20Smartcard%20Reader или p11_uri = pkcs11:library-description=OpenSC%20smartcard%20framework;slot-id=2 Чтобы найти подходящий URI, проверьте отладочный вывод p11_child. Либо можно использовать утилиту «p11tool» GnuTLS, например, с параметром «--list-all»: это тоже позволит просмотреть URI PKCS#11. По умолчанию: none pam_initgroups_scheme Ответчик PAM может принудительно запустить поиск в сети для получения данных об участии в группах того пользователя, который пытается войти в систему. Этот параметр управляет тем, когда это следует делать, и имеет следующие допустимые значения: always Всегда выполнять поиск в сети (обратите внимание, что параметр pam_id_timeout всё равно применяется) no_session Выполнять поиск в сети только при отсутствии активного сеанса пользователя, то есть тогда, когда пользователь не находится в системе never Никогда не выполнять поиск в сети принудительно, использовать данные из кэша до тех пор, пока они не устареют По умолчанию: no_session pam_gssapi_services Разделённый запятыми список служб PAM, которым разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so. Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот параметр в значение - (дефис). Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена. Пример: pam_gssapi_services = sudo, sudo-i По умолчанию: - (проверка подлинности с помощью GSSAPI отключена) pam_gssapi_check_upn Если значение «True», SSSD будет требоваться наличие привязки участника-пользователя Kerberos, который успешно прошёл проверку подлинности с помощью GSSAPI, к пользователю, проверка подлинности которого выполняется. Если такой привязки нет, проверка подлинности завершится ошибкой. Если значение «False», проверка подлинности будет выполняться для всех пользователей, получивших необходимый билет службы. Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена. По умолчанию: true pam_gssapi_indicators_map Разделённый запятыми список индикаторов проверки подлинности, которые должны присутствовать в билете Kerberos для получения доступа к службе PAM, которой разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss.so. Каждый элемент списка может быть либо именем индикатора проверки подлинности, либо парой service:indicator. Индикаторы, которые не предваряются именем службы PAM, будут требоваться для доступа к любой службе PAM, настроенной на использование с pam_gssapi_services. Итоговый список индикаторов для отдельной службы PAM затем проверяется на соответствие индикаторам в билете Kerberos во время проверки подлинности с помощью pam_sss_gss.so. Доступ будет предоставлен, если в билете будет найден индикатор, совпадающий с индикатором из итогового списка индикаторов для соответствующей службы PAM. Доступ будет запрещён, если в списке не обнаружатся совпадающие индикаторы. Если итоговый список индикаторов для службы PAM пуст, проверка не закроет доступ. Чтобы отключить проверку индикаторов для проверки подлинности с помощью GSSAPI, установите этот параметр в значение - (дефис). Чтобы отключить проверку индикаторов для определённой службы PAM, добавьте service:-. Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена. В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих индикаторов проверки подлинности: pkinit — предварительная проверка подлинности с помощью сертификатов X.509, которые хранятся в файлах или на смарт-картах. hardened — предварительная проверка подлинности SPAKE или любая предварительная проверка подлинности, помещённая в канал FAST. radius — предварительная проверка подлинности с помощью сервера RADIUS. otp — предварительная проверка подлинности с помощью встроенной двухфакторной аутентификации (2FA или одноразовый пароль, OTP) в IPA. idp -- предварительная аутентификация с использованием внешнего поставщика удостоверений. Пример: чтобы доступ к службам SUDO предоставлялся только пользователям, которые получили свои билеты Kerberos с предварительной проверкой подлинности сертификата X.509 (PKINIT), укажите pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit По умолчанию: не задано (использование индикаторов проверки подлинности не требуется) Эти параметры можно использовать для настройки службы sudo. Подробные инструкции по настройке sudo 8 для работы с sssd 8 доступны на справочной странице sssd-sudo 5 . sudo_timed (логическое значение) Следует ли обрабатывать атрибуты sudoNotBefore и sudoNotAfter, предназначенные для определения временных ограничений для записей sudoers. По умолчанию: false sudo_threshold (целое число) Максимальное количество устаревших правил, которые можно обновить за один раз. Если количество устаревших правил меньше заданного порогового значения, эти правила обновляются с помощью механизма обновления правил. Если пороговое значение превышено, будет использоваться механизм полного обновления. Это пороговое значение также применяется к поискам команд и групп команд sudo IPA. По умолчанию: 50 Эти параметры можно использовать для настройки службы autofs. autofs_negative_timeout (целое число) Означает количество секунд, в течение которого в кэше ответчика autofs будут храниться неудачные обращения к кэшу (запросы некорректных записей карты, например, несуществующих) перед повторным запросом к внутреннему серверу. По умолчанию: 15 Эти параметры можно использовать для настройки службы SSH. ssh_hash_known_hosts (логическое значение) Следует ли хэшировать имена и адреса узлов в управляемом файле known_hosts. По умолчанию: false ssh_known_hosts_timeout (целое число) Разрешённое количество секунд, в течение которого узел хранится в управляемом файле known_hosts после запроса ключей этого узла. По умолчанию: 180 ssh_use_certificate_keys (логическое значение) Если задано значение «true», команда sss_ssh_authorizedkeys вернёт ключи SSH, производные от открытого ключа сертификатов X.509, которые также хранятся в записи пользователя. Подробнее: sss_ssh_authorizedkeys 1 . По умолчанию: true ssh_use_certificate_matching_rules (строка) По умолчанию ответчик SSH использует все доступные правила сопоставления сертификатов для фильтрации сертификатов, поэтому ключи SSH будут создаваться на основе только тех сертификатов, для которых было установлено соответствие. Этот параметр позволяет ограничить используемые правила разделённым запятыми списком имён правил привязки и сопоставления. Все другие правила будут игнорироваться. Два особых ключевых слова «all_rules» и «no_rules» позволяют, соответственно, включить все правила или не включать их вообще. Последнее означает, что фильтрация сертификатов не будет выполняться; следовательно, ключи SSH будут создаваться на основе всех действительных сертификатов. Если не настроено никаких правил, использование «all_rules» приведёт к включению стандартного правила, которое разрешает использовать все сертификаты, подходящие для проверки подлинности клиента. Это поведение соответствует поведению ответчика PAM в том случае, когда включена проверка подлинности сертификатов. Несуществующее имя правила считается ошибкой. Если в результате не будет выбрано ни одного правила, все сертификаты будут проигнорированы. По умолчанию: не задано, равнозначно «all_rules», используются все найденные правила или правило по умолчанию ca_db (строка) Путь к хранилищу доверенных сертификатов CA. Параметр используется для проверки сертификатов пользователей перед получением из них открытых ключей SSH. По умолчанию: /etc/sssd/pki/sssd_auth_ca_db.pem (путь к файлу с доверенными сертификатами CA в формате PEM) Ответчик PAC работает совместно с модулем данных проверки подлинности sssd_pac_plugin.so для MIT Kerberos и поставщиком данных поддоменов. Этот модуль отправляет данные PAC ответчику PAC во время проверки подлинности с помощью GSSAPI. Поставщик данных поддоменов собирает данные по диапазонам SID и ID домена, к которому присоединён клиент, а также удалённых доверенных доменов с локального контроллера доменов. Если PAC расшифровывается и обрабатывается, выполняются некоторые из следующих операций: Если запись удалённого пользователя отсутствует в кэше, она будет создана. UID определяется с помощью SID, у доверенных доменов будут UPG, а GID будет иметь то же значение, что и UID. Домашний каталог устанавливается на основе значения параметра subdomain_homedir. По умолчанию значение оболочки будет пустым, то есть будут использованы стандартные параметры системы, но их можно переопределить с помощью параметра default_shell. Если имеются SID групп из известных SSSD доменов, пользователь будет добавлен в эти группы. Эти параметры можно использовать для настройки ответчика PAC. allowed_uids (строка) Разделённый запятыми список значений UID или имён пользователей, которым разрешён доступ к ответчику PAC. Имена пользователей разрешаются в UID при запуске. По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root) Обратите внимание: несмотря на то, что в качестве стандартного значения используется UID 0, оно будет перезаписано этим параметром. Если всё равно требуется разрешить пользователю root доступ к ответчику PAC (типичный случай), будет необходимо добавить запись «0» в список UID, которым разрешён доступ. pac_lifetime (целое число) Время жизни записи PAC (в секундах). Пока запись PAC действительна, данные PAC можно использовать для определения участия пользователя в группах. По умолчанию: 300 pac_check (строка) Если настроено, применить дополнительные проверки к PAC билету Kerberos, доступному в доменах Active Directory и FreeIPA. Обратите внимание, что для проверки PAC должна быть включена проверка билетов Kerberos, то есть для параметра krb5_validate должно быть установлено значение «True», которое является значением по умолчанию для поставщиков данных IPA и AD. Если для параметра krb5_validate установлено значение «False», проверка PAC будет пропущена. Следующие параметры можно использовать отдельно или в виде разделённого запятыми списка: no_check PAC не должен присутствовать, и даже если он имеется, никакие дополнительные проверки выполняться не будут. pac_present PAC должен присутствовать в билете службы, который SSSD запрашивает с помощью TGT пользователя. Если PAC недоступен, аутентификация завершится ошибкой. check_upn Если PAC присутствует, проверить, что информация об основном имени пользователя (UPN) верна. check_upn_allow_missing Этот параметр следует использовать вместе с 'check_upn' и он обрабатывает случай, когда для UPN установлено значение на стороне сервера, но не читается SSSD. Типичным примером является домен FreeIPA, в котором для 'ldap_user_principal' установлено название не существующего атрибута. Обычно это делалось для обхода проблем при обработке корпоративных регистрационных записей. Но это исправлено довольно давно, и FreeIPA может обрабатывать корпоративные регистрационные записи, поэтому больше нет необходимости устанавливать 'ldap_user_principal'. В настоящее время этот параметр установлен по умолчанию, чтобы избежать регрессии в подобных средах. В системный журнал и журнал отладки SSSD будет добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD. Чтобы избежать появления такого сообщения, проверьте, можно ли удалить параметр 'ldap_user_principal'. Если это невозможно, удаление 'check_upn' приведет к пропуску проверки и сообщение не появится в журнале. upn_dns_info_present PAC должен содержать буфер UPN-DNS-INFO, неявным образом устанавливает 'check_upn'. check_upn_dns_info_ex Если PAC присутствует и доступно расширение буфера UPN-DNS-INFO, проверить, согласованы ли данные в расширении. upn_dns_info_ex_present PAC должен содержать расширение буфера UPN-DNS-INFO, неявным образом устанавливает 'check_upn_dns_info_ex', 'upn_dns_info_present' и 'check_upn'. По умолчанию: no_check (для поставщиков AD и IPA — 'check_upn, check_upn_allow_missing, check_upn_dns_info_ex') Запись сеансов работает совместно с tlog-rec-session 8 , частью пакета tlog, обеспечивая ведение журнала данных, которые пользователи видят и вводят после входа на текстовый терминал. См. также sssd-session-recording 5 . Эти параметры можно использовать для настройки записи сеансов. scope (строка) Одна из следующих строк, которые определяют область записи сеанса: «none» Пользователи не записываются. «some» Записываются пользователи и группы, указанные с помощью параметров users и groups. «all» Записываются все пользователи. По умолчанию: «none» users (строка) Разделённый запятыми список пользователей, для которых включена запись сеансов. Соответствие списку устанавливается по именам пользователей, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее. По умолчанию: пусто. Не соответствует ни одному пользователю. groups (строка) Разделённый запятыми список групп, для участников которых включена запись сеансов. Соответствие списку устанавливается по именам групп, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее. ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является. По умолчанию: пусто. Не соответствует ни одной группе. exclude_users (строка) Разделённый запятыми список пользователей, которые исключаются из записи; применимо только при «scope=all». По умолчанию: пусто. Не исключается ни один пользователь. exclude_groups (строка) Разделённый запятыми список групп, участники которых исключаются из записи; применимо только при «scope=all». ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является. По умолчанию: пусто. Не исключается ни одна группа. Эти параметры конфигурации могут присутствовать в разделе конфигурации домена, то есть в разделе с именем [domain/NAME] enabled Явно включить или отключить домен. Если true, домен всегда включён. Если false, домен всегда отключён. Если значение параметра не задано, домен будет включён только в том случае, если он находится в списке, указанном с помощью параметра domains в разделе [sssd]. domain_type (строка) Указывает, предназначен ли домен для использования клиентами, поддерживающими POSIX (например, NSS), или приложениями, которым не требуется наличие или создание данных POSIX. Интерфейсам и утилитам операционной системы доступны только объекты из доменов POSIX. Допустимые значение этого параметра: posix и application. Домены POSIX доступны для всех служб. Домены приложений доступны только для ответчика InfoPipe (см. sssd-ifp 5 ) и ответчика PAM. ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений с id_provider=ldap. Описание простого способа настройки доменов не-POSIX доступно в разделе Домены приложений. По умолчанию: posix min_id,max_id (целое число) Пределы диапазона UID и GID для домена. Если домен содержит запись, находящуюся вне указанного диапазона, она будет проигнорирована. Что касается записей пользователей, этот параметр ограничивает диапазон основного GID. Запись пользователя не будет возвращена в NSS, если UID или основной GID находится за пределами диапазона. Находящиеся в пределах диапазона записи пользователей, которые не являются участниками основной группы, будут выведены в обычном режиме. Эти пределы диапазона идентификаторов влияют даже на сохранение записей в кэш, а не только на их возврат по имени или идентификатору. По умолчанию: 1 для min_id, 0 (без ограничений) для max_id enumerate (логическое значение) Определяет, можно ли выполнить перечисление для домена, то есть может ли домен вывести перечень всех содержащихся в нём пользователей и групп. Обратите внимание, что перечисление не требуется включать для просмотра вторичных групп. Этот параметр может иметь одно из следующих значений: TRUE = пользователи и группы перечисляются FALSE = для этого домена не выполняется перечисление По умолчанию: FALSE Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и сохранить ВСЕ записи пользователей и групп с удалённого сервера. Примечание: если включить перечисление, во время его выполнения производительность SSSD умеренно снижается. Перечисление может занять до нескольких минут после запуска SSSD. В это время отдельные запросы информации отправляются непосредственно в LDAP, хотя это может выполняться медленно из-за ресурсоёмкой обработки перечисления. Сохранение большого количества записей в кэш после завершения перечисления также может давать интенсивную вычислительную нагрузку на центральный процессор, так как данные об участии в группах требуется вычислить заново. Это может привести к тому, что процесс sssd_be перестанет отвечать или даже будет перезапущен внутренним сторожевым таймером. Когда выполняется первое перечисление, запросы полных списков пользователей или групп могут не вернуть результатов до момента завершения перечисления. Более того, включение перечисления может увеличить время, необходимое для обнаружения отсутствия подключения к сети, так как для успешного выполнения поисков перечисления требуются более длительные тайм-ауты. Дополнительные сведения доступны на man-страницах конкретного используемого поставщика идентификаторов (id_provider). По вышеуказанным причинам не рекомендуется включать перечисление, особенно в средах большого размера. subdomain_enumerate (строка) Следует ли выполнять перечисление для каких-либо автоматически обнаруженных доверенных доменов. Поддерживаемые значения: all Выполнить перечисление для всех обнаруженных доверенных доменов none Не выполнять перечисление для обнаруженных доверенных доменов При необходимости можно указать список из одного или нескольких имён доверенных доменов, чтобы включить перечисление только для них. По умолчанию: none entry_cache_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи действительными, прежде чем снова обратиться к внутреннему серверу Отметки времени устаревания записей кэша хранятся как атрибуты отдельных объектов в кэше. Следовательно, изменение тайм-аута кэша повлияет только на новые добавленные или устаревшие записи. Следует запустить инструмент sss_cache 8 для принудительного обновления записей, которые уже были кэшированы. По умолчанию: 5400 entry_cache_user_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи пользователей действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_group_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи групп действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_netgroup_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи сетевых групп действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_service_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи служб действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_resolver_timeout (целое число) Количество секунд, в течение которого nss_sss следует считать записи узлов и сетей действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_sudo_timeout (целое число) Количество секунд, в течение которого sudo следует считать правила действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_autofs_timeout (целое число) Количество секунд, в течение которого службе autofs следует считать карты автоматического монтирования действительными, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout entry_cache_ssh_host_timeout (целое число) Количество секунд, в течение которого ключ SSH узла хранится после обновления. Иными словами, параметр определяет длительность хранения ключа узла в кэше. По умолчанию: entry_cache_timeout entry_cache_computer_timeout (целое число) Количество секунд, в течение которого следует хранить запись локального компьютера, прежде чем снова обратиться к внутреннему серверу По умолчанию: entry_cache_timeout refresh_expired_interval (целое число) Указывает время ожидания SSSD (в секундах) перед активацией задания фонового обновления всех устаревших или почти устаревших записей. При фоновом обновлении обрабатываются содержащиеся в кэше записи пользователей, групп и сетевых групп. Обновление как записи пользователя, так и участия в группах выполняется для тех пользователей, для которых ранее выполнялись действия по инициализации групп (получение данных об участии пользователя в группах, обычно выполняется при запуске). Этот параметр автоматически наследуется для всех доверенных доменов. Рекомендуется установить это значение равным 3/4 * entry_cache_timeout. Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени ожидания устаревания кэша. Если в кэше уже есть записи, фоновое задание будет использовать значения времени ожидания устаревания исходных записей, а не текущее значение конфигурации. Может возникнуть ситуация, в которой будет казаться, что фоновое задание по обновлению записей не работает. Это сделано специально для усовершенствования работы в автономном режиме и повторного использования имеющихся корректных записей в кэше. Чтобы мгновенно выполнить изменение, пользователю следует вручную объявить недействительность существующего кэша. По умолчанию: 0 (отключено) cache_credentials (логическое значение) Determines if user credentials are also cached in the local LDB cache. The cached credentials refer to passwords, which includes the first (long term) factor of two-factor authentication, not other authentication mechanisms. Passkey and Smartcard authentications are expected to work offline as long as a successful online authentication is recorded in the cache without additional configuration. Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack. По умолчанию: FALSE cache_credentials_minimal_first_factor_length (целое число) Если используется двухфакторная проверка подлинности (2FA) и следует сохранить учётные данные, это значение определяет минимальную длину первого фактора проверки подлинности (долговременного пароля), который должен быть сохранён в формате контрольной суммы SHA512 в кэше. Таким образом удаётся предотвратить ситуацию, когда короткие PIN-коды основанной на PIN-кодах схемы 2FA хранятся в кэше и становятся лёгкой мишенью для атак методом подбора. По умолчанию: 8 account_cache_expiration (целое число) Количество дней, в течение которого записи хранятся в кэше после последнего успешного входа, прежде чем будут удалены при очистке кэша. Значение «0» означает, что записи будут храниться вечно. Значение этого параметра должно быть больше или равно значению offline_credentials_expiration. По умолчанию: 0 (без ограничений) pwd_expiration_warning (целое число) Показать предупреждение за N дней до истечения срока действия пароля. Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически. Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля. Если она отсутствует, sssd не сможет показать предупреждение. Кроме того, для этого сервера следует настроить поставщика данных проверки подлинности. По умолчанию: 7 (Kerberos), 0 (LDAP) id_provider (строка) Поставщик данных идентификации, который используется для домена. Поддерживаемые поставщики ID: proxy: поддержка устаревшего поставщика NSS. files: поставщик данных ФАЙЛОВ. Дополнительные сведения о зеркалировании локальных пользователей и групп в SSSD: sssd-files 5 . ldap: поставщик данных LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . ipa: FreeIPA and Red Hat Identity Management provider. See sssd-ipa 5 for more information on configuring FreeIPA. ad: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad 5 . use_fully_qualified_names (логическое значение) Использовать полные имя и домен (в формате, заданном full_name_format домена) в качестве имени для входа пользователя, которое сообщается NSS. Если задано значение «TRUE», во всех запросах к домену должны использоваться полные имена. Например, если этот параметр используется в домене LOCAL, содержащем пользователя «test», с помощью команды getent passwd test его не удастся найти, а с помощью команды getent passwd test@LOCAL получится это сделать. ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они зачастую включают вложенные сетевые группы без полных имён. Для сетевых групп выполняется поиск во всех доменах, когда запрашивается неполное имя. По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае использования default_domain_suffix) ignore_group_members (логическое значение) Не возвращать участников групп для поиска групп. Если установлено значение «TRUE», атрибут участия в группах не запрашивается с сервера LDAP, а списки участников групп не возвращаются при обработке вызовов поиска групп, таких как getgrnam 3 или getgrgid 3 . Как следствие, getent group $groupname вернёт запрошенную группу так, как будто она пуста. Включение этого параметра также может значительно ускорить проверки участия в группах у поставщика доступа (особенно для групп, содержащих большое количество участников). Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit. По умолчанию: FALSE auth_provider (строка) Поставщик данных для проверки подлинности, который используется для домена. Поддерживаемые поставщики данных для проверки подлинности: ldap — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . krb5 — использовать проверку подлинности Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5 5 . ipa: FreeIPA and Red Hat Identity Management provider. See sssd-ipa 5 for more information on configuring FreeIPA. ad: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad 5 . proxy — передать проверку подлинности какой-либо другой цели PAM. none — явно отключить проверку подлинности. По умолчанию: использовать id_provider, если этот параметр задан и поддерживает обработку запросов проверки подлинности. access_provider (строка) Поставщик управления доступом, который используется для домена. Существуют два встроенных поставщика доступа (в дополнение к тем поставщикам, которые включены в установленные внутренние серверы). Внутренние особые поставщики: permit — всегда разрешать доступ. Это единственный поставщик разрешённого доступа для локального домена. deny — всегда отказывать в доступе. ldap — использовать собственную проверку подлинности LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . ipa: FreeIPA and Red Hat Identity Management provider. See sssd-ipa 5 for more information on configuring FreeIPA. ad: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad 5 . simple — управление доступом на основе разрешающего или запрещающего списка. Дополнительные сведения о настройке модуля доступа simple: sssd-simple 5. krb5 — управление доступом на основе .k5login. Дополнительные сведения о настройке Kerberos: sssd-krb5 5 . proxy — передать управление доступом другому модулю PAM. По умолчанию: permit chpass_provider (строка) Поставщик данных, который должен обрабатывать операции смены пароля для домена. Поддерживаемые поставщики данных смены пароля: ldap — сменить пароль, который хранится на сервере LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . krb5 — сменить пароль Kerberos. Дополнительные сведения о настройке Kerberos: sssd-krb5 5 . ipa: FreeIPA and Red Hat Identity Management provider. See sssd-ipa 5 for more information on configuring FreeIPA. ad: поставщик данных Active Directory. Дополнительные сведения о настройке Active Directory: sssd-ad 5 . proxy — передать смену пароля какой-либо другой цели PAM. none — явно запретить смену пароля. По умолчанию: использовать auth_provider, если этот параметр задан и поддерживает обработку запросов смены пароля. sudo_provider (строка) Поставщик данных SUDO, который используется для домена. Поддерживаемые поставщики данных SUDO: ldap — для правил, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . ipa — то же, что и ldap, но со стандартными параметрами IPA. ad — то же, что и ldap, но со стандартными параметрами AD. none — явно отключить SUDO. По умолчанию: использовать значение id_provider, если этот параметр задан. Подробные инструкции по настройке sudo_provider доступны на справочной странице sssd-sudo 5 . Предусмотрено много параметров, которыми можно воспользоваться для настройки поведения программы. Подробное описание доступно в разделах «ldap_sudo_*» sssd-ldap 5 . ПРИМЕЧАНИЕ: загрузка правил sudo периодически выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был явно отключён). Укажите sudo_provider = None для отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не планируется использовать sudo. selinux_provider (строка) Поставщик данных, который должен обрабатывать загрузку параметров SELinux. Обратите внимание, что этот поставщик будет вызываться сразу после окончания работы поставщика доступа. Поддерживаемые поставщики данных SELinux: ipa — загрузить параметры SELinux с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa 5 . none — явно отключает получение параметров SELinux. По умолчанию: использовать id_provider, если этот параметр задан и поддерживает обработку запросов загрузки параметров SELinux. subdomains_provider (строка) Поставщик данных, который должен обрабатывать получение данных поддоменов. Это значение всегда должно совпадать со значением id_provider. Поддерживаемые поставщики данных поддоменов: ipa — загрузить список поддоменов с сервера IPA. Дополнительные сведения о настройке IPA: sssd-ipa 5 . ad — загрузить список поддоменов с сервера Active Directory. Дополнительные сведения о настройке поставщика данных AD: sssd-ad 5 . none — явно отключает получение данных поддоменов. По умолчанию: использовать значение id_provider, если этот параметр задан. session_provider (строка) Поставщик данных, который настраивает задания, связанные с сеансами пользователей, и управляет ими. В настоящее время предоставляется только одно задание, связанное с сеансами пользователей: интеграция с Fleet Commander (работает только c IPA). Поддерживаемые поставщики данных сеансов: ipa — разрешить выполнение заданий, связанных с сеансами пользователей. none — не выполнять никакие задания, связанные с сеансами пользователей. По умолчанию: использовать id_provider, если этот параметр задан и поддерживает выполнение заданий, связанных с сеансами. ПРИМЕЧАНИЕ: чтобы эта возможность работала должным образом, SSSD необходимо запускать от имени пользователя root, а не от имени пользователя без привилегий. autofs_provider (строка) Поставщик данных autofs, который используется для домена. Поддерживаемые поставщики данных autofs: ldap — загрузить карты, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . ipa — загрузить карты, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa 5 . ad — загрузить карты, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad 5 . none — явно отключить autofs. По умолчанию: использовать значение id_provider, если этот параметр задан. hostid_provider (строка) Поставщик данных, который используется для получения данных идентификации узла. Поддерживаемые поставщики hostid: ipa — загрузить данные идентификации узла, которые хранятся на сервере IPA. Дополнительные сведения о настройке IPA: sssd-ipa 5 . none — явно отключить hostid. По умолчанию: использовать значение id_provider, если этот параметр задан. resolver_provider (строка) Поставщик данных, который должен обрабатывать поиск узлов и сетей. Поддерживаемые поставщики данных сопоставления: proxy — перенаправлять поисковые запросы другой библиотеке NSS. См. proxy_resolver_lib_name ldap — получить записи узлов и сетей, которые хранятся в LDAP. Дополнительные сведения о настройке LDAP: sssd-ldap 5 . ad — получить записи узлов и сетей, которые хранятся на сервере AD. Дополнительные сведения о настройке поставщика данных AD: sssd-ad 5 . none — явно отключает получение записей узлов и сетей. По умолчанию: использовать значение id_provider, если этот параметр задан. re_expression (строка) Регулярное выражение для этого домена, которое описывает, как получить из строки, содержащей имя пользователя и домен, эти компоненты. «domain» может соответствовать либо имени домена в конфигурации SSSD, либо (в случае поддоменов доверия IPA и доменов Active Directory) плоскому (NetBIOS) имени домена. Default: ^((?P<name>.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$ which allows two different styles for user names: username username@domain.name Default for the AD and IPA provider: ^(((?P<domain>[^\\]+)\\(?P<name>.+))|((?P<name>.+)@(?P<domain>[^@]+))|((?P<name>[^@\\]+)))$ which allows three different styles for user names: username username@domain.name domain\username Первые два стиля соответствуют общим стандартным стилям, а третий введён для обеспечения простой интеграции пользователей из доменов Windows. The default re_expression uses the @ character as a separator between the name and the domain. As a result of this setting the default does not accept the @ character in short names (as it is allowed in Windows group names). If a user wishes to use short names with @ they must create their own re_expression. full_name_format (строка) Совместимый с printf 3 формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена. Поддерживаются следующие расширения: %1$s имя пользователя %2$s имя домена, указанное в файле конфигурации SSSD. %3$s плоское имя домена. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA. По умолчанию: %1$s@%2$s. lookup_family_order (строка) Предоставляет возможность выбрать предпочитаемое семейство адресов, которое следует использовать при выполнении запросов DNS. Поддерживаемые значения: ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти адрес IPv6 ipv4_only: пытаться разрешать имена узлов только в адреса IPv4. ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти адрес IPv4 ipv6_only: пытаться разрешать имена узлов только в адреса IPv6. По умолчанию: ipv4_first dns_resolver_server_timeout (целое число) Определяет количество времени (в миллисекундах), в течение которого SSSD будет пытаться обменяться данными с сервером DNS перед переходом к следующему. Поставщик данных AD также будет использовать этот параметр для ограничения времени проверки связи CLDAP. Более подробные сведения о разрешении служб доступны в разделе ОБРАБОТКА ОТКАЗА. По умолчанию: 1000 dns_resolver_op_timeout (целое число) Определяет количество времени (в секундах), в течение которого будет ожидаться разрешение одного запроса DNS (например, разрешение имени узла или записи SRV) перед попыткой перехода к следующему имени узла или поиску следующего DNS. Более подробные сведения о разрешении служб доступны в разделе ОБРАБОТКА ОТКАЗА. По умолчанию: 3 dns_resolver_timeout (целое число) Определяет количество времени (в секундах), в течение которого будет ожидаться ответ от внутренней службы отказоустойчивости, прежде служба будет считаться недоступной. Если это время ожидания истекло, домен продолжит работу в автономном режиме. Более подробные сведения о разрешении служб доступны в разделе ОБРАБОТКА ОТКАЗА. По умолчанию: 6 dns_resolver_use_search_list (логическое значение) Обычно сопоставитель DNS выполняет поиск в списке доменов, указанных в директиве «search» в файле resolv.conf. Это может привести к задержкам в средах с неправильно настроенным DNS. Если в конфигурации SSSD используются полные доменные имена (или _srv_), установка для этого параметра значения FALSE может предотвратить ненужные запросы DNS в таких средах. По умолчанию: TRUE dns_discovery_domain (строка) Если на внутреннем сервере используется обнаружение служб, указывает доменную часть запроса обнаружения служб DNS. По умолчанию: использовать доменную часть имени узла компьютера failover_primary_timeout (integer) When no primary server is currently available, SSSD fail overs to a backup server. This option defines the amount of time (in seconds) to wait before SSSD tries to reconnect to a primary server again. Note: The minimum value is 31. Default: 31 override_gid (целое число) Переопределить значение основного GID указанным значением. case_sensitive (строка) Учитывать регистр символов в именах пользователей и групп. Возможные значения: True С учётом регистра. Это значение не является корректным для поставщика данных AD. False Без учёта регистра. Preserving То же, что «False» (без учёта регистра), но не переводит в нижний регистр имена в результатах операций NSS. Обратите внимание, что псевдонимы (а в случае служб также и имена протоколов) всё равно будут переведены в нижний регистр в выведенных данных. Если требуется установить это значение для доверенного домена с поставщиком данных IPA, необходимо установить его как на стороне клиента, так и для SSSD на сервере. Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью subdomain_inherit. По умолчанию: True (False для поставщика данных AD) subdomain_inherit (строка) Позволяет указать список параметров конфигурации, которые должны наследоваться поддоменом. Обратите внимание, что наследоваться могут не все параметры. В настоящее время поддерживается наследование следующих параметров: ldap_search_timeout ldap_network_timeout ldap_opt_timeout ldap_offline_timeout ldap_enumeration_refresh_timeout ldap_enumeration_refresh_offset ldap_purge_cache_timeout ldap_purge_cache_offset ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр ldap_krb5_keytab не задан явно) ldap_krb5_ticket_lifetime ldap_enumeration_search_timeout ldap_connection_expire_timeout ldap_connection_expire_offset ldap_connection_idle_timeout ldap_use_tokengroups ldap_user_principal ignore_group_members auto_private_groups case_sensitive Пример: subdomain_inherit = ldap_purge_cache_timeout По умолчанию: none Примечание: этот параметр работает только для поставщиков данных IPA и AD. subdomain_homedir (строка) Использовать этот домашний каталог как значение по умолчанию для всех поддоменов в пределах доверия AD IPA. Сведения о возможных значениях доступны в описании параметра override_homedir. В дополнение к этому, приведённое ниже расширение можно использовать только с subdomain_homedir. %F плоское (NetBIOS) имя поддомена. Это значение может быть переопределено параметром override_homedir. По умолчанию: /home/%d/%u realmd_tags (строка) Различные метки, сохранённые службой настройки realmd для этого домена. cached_auth_timeout (целое число) Указывает время в секундах с момента последней успешной проверки подлинности в сетевом режиме, в течение которого пользователь будет распознан с помощью кэшированных учётных данных, когда SSSD находится в сетевом режиме. Если учётные данные некорректны, SSSD будет использовать проверку подлинности в сетевом режиме. Значение этого параметра наследуется всеми доверенными доменами. В настоящее время невозможно устанавливать для отдельных доверенных доменов другие значения. Специальное значение «0» подразумевает, что эта возможность отключена. Обратите внимание: если cached_auth_timeout превышает pam_id_timeout, то может быть вызван внутренний сервер для обработки initgroups. По умолчанию: 0 local_auth_policy (string) Local authentication methods policy. Some backends (i.e. LDAP, proxy provider) only support a password based authentication, while others can handle PKINIT based Smartcard authentication (AD, IPA), two-factor authentication (IPA), or other methods against a central instance. By default in such cases authentication is only performed with the methods supported by the backend. With this option additional methods can be enabled which are evaluated and checked locally. There are three possible values for this option: match, only, enable. match is used to match offline and online states for Kerberos methods. only ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, enable:passkey, only enables passkey for local authentication. Multiple enable values should be comma-separated, such as enable:passkey, enable:smartcard The following table shows which authentication methods, if configured properly, are currently enabled or disabled for each backend, with the default local_auth_policy: match local_auth_policy = match (default) Passkey Smartcard IPAenabled enabled ADdisabled enabled LDAPdisabled disabled Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt. The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey). [domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only It is expected that the files provider ignores the local_auth_policy option and supports Smartcard authentication by default. Default: match auto_private_groups (строка) Этот параметр принимает одно из трёх допустимых значений: true Без проверки условий создавать закрытую группу пользователя на основе номера UID пользователя. Номер GID в этом случае игнорируется. ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от номера UID, при использовании этого параметра не предусмотрена поддержка нескольких записей с одинаковым номером UID или GID. Иными словами, включение этого параметра принудительно устанавливает уникальность записей в пространстве идентификаторов. false Всегда использовать основной номер GID пользователя. Номер GID должен ссылаться на объект группы в базе данных LDAP. hybrid Основная группа автоматически генерируется для записей пользователей, номера UID и GID которых имеют одно и то же значение, и при этом номер GID не соответствует реальному объекту группы в LDAP. Если значения совпадают, но основной GID в записи пользователя также используется объектом группы, основной GID этого пользователя разрешается в этот объект группы. Если UID и GID пользователя отличаются, GID должен соответствовать записи группы; в ином случае GID просто будет невозможно разрешить. Эта возможность полезна для сред, где требуется прекратить поддерживать отдельные объекты групп для закрытых групп пользователей, но в то же время сохранить существующие закрытые группы пользователей. В случае поддоменов, «False» является значением по умолчанию для поддоменов, которые используют назначенные идентификаторы POSIX, а «True» — для поддоменов, которые используют автоматическое сопоставление идентификаторов. Значение auto_private_groups можно установить либо на уровне отдельных поддоменов в подразделе, например: [domain/forest.domain/sub.domain] auto_private_groups = false , либо на глобальном уровне для всех поддоменов в разделе основного домена с помощью параметра subdomain_inherit: [domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false Параметры, которые являются действительными для доменов прокси. proxy_pam_target (строка) Цель, которой пересылает данные прокси PAM. Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option. proxy_lib_name (строка) Имя библиотеки NSS, которую следует использовать в доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_files_getpwent. proxy_resolver_lib_name (строка) Имя библиотеки NSS, которую следует использовать для поиска узлов и сетей в доменах прокси. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_dns_gethostbyname2_r. proxy_fast_alias (логическое значение) Когда на поставщике данных прокси выполняется поиск пользователя или группы по имени, выполнять второй поиск по идентификатору для перевода имени в каноническую форму в случае, если запрашиваемое имя было псевдонимом. При установке этого параметра в значение «true» SSSD будет выполнять поиск идентификатора в кэше в целях ускорения предоставления результатов. По умолчанию: false proxy_max_children (целое число) Этот параметр задаёт количество предварительно ответвлённых дочерних прокси. Он полезен в средах SSSD с высокой нагрузкой, в которых у sssd могут закончиться доступные дочерние слоты, что может вызывать проблемы из-за постановки запросов в очередь. По умолчанию: 10 SSSD, с его интерфейсом D-Bus (см. sssd-ifp 5 ), обращается к программам как шлюз в каталог LDAP, где хранятся данные пользователей и групп. Впрочем, в отличие от традиционного формата работы SSSD, где все пользователи и группы имеют либо атрибуты POSIX, либо атрибуты, производные от SID Windows, во многих случаях пользователи и группы в сценарии поддержки приложений не имеют атрибутов POSIX. Вместо установки раздела [domain/NAME] администратор может установить раздел [application/NAME], который на внутреннем уровне представляет собой домен с типом application, который может наследовать параметры традиционного домена SSSD. Обратите внимание: домен приложений всё равно должен быть явно включён с помощью параметра domains; это позволит корректно задать порядок поиска для домена приложений и его родственного домена POSIX. inherit_from (строка) Домен типа POSIX SSSD, от которого домен приложений наследует все параметры. Домен приложений также может добавить свои собственные параметры к параметрам приложений для расширения или переопределения параметров родственного домена. По умолчанию: не задано В следующем примере показано использование домена приложений. В этой конфигурации домен POSIX подключён к серверу LDAP и используется ОС с помощью ответчика NSS. Кроме того, домен приложений также запрашивает атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает атрибут phone доступным через интерфейс D-Bus. [sssd] domains = appdom, posixdom [ifp] user_attributes = +phone [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/appdom] inherit_from = posixdom ldap_user_extra_attrs = phone:telephoneNumber Некоторые параметры, которые используются в разделе домена, также могут использоваться в разделе доверенного домена, то есть разделе с именем [domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]. DOMAIN_NAME — это фактический базовый домен, к которому выполнено присоединение. Объяснение приводится в примерах ниже. В настоящее время для раздела доверенного домена поддерживаются следующие параметры: ldap_search_base, ldap_user_search_base, ldap_group_search_base, ldap_netgroup_search_base, ldap_service_search_base, ldap_sasl_mech, ad_server, ad_backup_server, ad_site, use_fully_qualified_names pam_gssapi_services pam_gssapi_check_upn Дополнительные сведения об этих параметрах доступны в их описаниях на справочной странице. Чтобы сделать возможной проверку подлинности по смарт-картам и сертификатам, SSSD необходима возможность сопоставления сертификатов пользователям. Это можно сделать путём добавления полного сертификата к объекту LDAP пользователя или к локальному переопределению. В то время как использование полного сертификата необходимо для использования функции проверки подлинности по смарт-картам SSH (см. sss_ssh_authorizedkeys 8 ), это может быть затруднительно или даже невозможно в общем случае, когда локальные службы используют PAM для проверки подлинности. Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила привязки и сопоставления (см. sss-certmap 5 ). Правило привязки и сопоставления можно добавить в конфигурацию SSSD как отдельный раздел с именем наподобие [certmap/DOMAIN_NAME/RULE_NAME]. В этом разделе допустимы следующие параметры: matchrule (строка) Будут обрабатываться только те сертификаты со смарт-карты, которые соответствуют этому правилу. Все остальные будут игнорироваться. По умолчанию: KRB5:<EKU>clientAuth, то есть только те сертификаты, в которых Extended Key Usage (расширенное использование ключа) равно clientAuth maprule (строка) Определяет способ поиска пользователя для указанного сертификата. По умолчанию: LDAP:(userCertificate;binary={cert!bin}) для поставщиков данных на основе LDAP, таких как ldap, AD или ipa. RULE_NAME для поставщика данных files, который пытается найти пользователя с таким же именем. domains (строка) Разделённый запятыми список имён доменов, к которым должно применяться правило. По умолчанию правило действительно только в домене, настроенном в sssd.conf. Если поставщик данных поддерживает поддомены, с помощью этого параметра можно добавить правило также и в поддомены. По умолчанию: настроенный домен в sssd.conf priority (целое число) Беззнаковое целое значение, которое определяет приоритет правила. Чем больше число, тем ниже приоритет. 0 означает самый высокий приоритет, а 4294967295 — самый низкий. По умолчанию: самый низкий приоритет Чтобы упростить настройку и уменьшить количество её параметров, для поставщика данных files предусмотрены некоторые особые свойства: Если значение maprule не задано, именем совпадающего пользователя считается RULE_NAME Если используется maprule, необходимо заключать в скобки как отдельное имя пользователя, так и шаблон наподобие {subject_rfc822_name.short_name}. Например: (username) или ({subject_rfc822_name.short_name}) параметр domains игнорируется Если специальный файл (/var/lib/sss/pubconf/pam_preauth_available) существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать, какие способы проверки подлинности доступны для пользователя, который пытается выполнить вход. В зависимости от полученного ответа pam_sss запросит у пользователя соответствующие учётные данные. Так как количество способов проверки подлинности растёт и есть вероятность, что для одного пользователя их имеется несколько, эвристика, которая используется pam_sss для выбора запроса, подходит не для всех случаев. Следующие параметры обеспечивают более гибкую настройку. Each supported authentication method has its own configuration subsection under [prompting/...]. Currently there are: [prompting/password] допустимые параметры настройки запроса пароля: password_prompt изменить строку запроса пароля [prompting/2fa] допустимые параметры настройки запроса двухфакторной проверки подлинности: first_prompt изменить строку запроса первого фактора second_prompt изменить строку запроса второго фактора single_prompt логическое значение, если «True», будет выполнен только один запрос с использованием значения first_prompt. Ожидается, что оба фактора будет введены как одна строка. Обратите внимание, что здесь необходимо ввести оба фактора, даже если второй фактор является необязательным. Если второй фактор является необязательным и должно быть возможно выполнить вход, указав либо только пароль, либо оба фактора, следует использовать двухэтапный запрос. [prompting/passkey] to configure passkey authentication prompting, allowed options are: interactive boolean value, if True prompt a message and wait before testing the presence of a passkey device. Recommended if your device doesn’t have a tactile trigger. interactive_prompt to change the message of the interactive prompt. touch boolean value, if True prompt a message to remind the user to touch the device. touch_prompt to change the message of the touch prompt. Возможно добавить подраздел для определённых служб PAM, например [prompting/password/sshd]; это позволяет изменить запрос конкретно для этой службы. 1. В следующем примере показана типичная конфигурация SSSD. Описание конфигурации самих доменов не приводится — оно доступно в соответствующей документации. [sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False 2. В следующем примере показана конфигурация доверия AD IPA, где лес AD состоит из двух доменов структуры «родитель — потомок». Предположим, что домен IPA (ipa.com) имеет отношения доверия с доменом AD (ad.com). У ad.com есть дочерний домен (child.ad.com). Чтобы включить краткие имена в дочернем домене, следует использовать следующую конфигурацию. [domain/ipa.com/child.ad.com] use_fully_qualified_names = false 3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain my.domain and additionally for the subdomains your.domain and uses the full certificate in the search filter. [certmap/my.domain/rule_name] matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ maprule = (userCertificate;binary={cert!bin}) domains = my.domain, your.domain priority = 10