SSSD manualsidor
sssd-ad
5
Filformat och konventioner
sssd-ad
SSSD Active Directory-leverantör
BESKRIVNING
Denna manualsida beskriver konfigurationen av leverantören AD till
sssd 8
. För en detaljerad referens om syntaxen, se avsnittet
FILFORMAT
i manualsidan
sssd.conf 5
.
Leverantören AD är en bakände som används för att ansluta till en Active
Directory-server. Leverantören kräver att maskinen läggs in i AD-domänen
och att en keytab är tillgänglig. Bakändekommunikationen sker över en
GSSAPI-krypterad kanal, SSL/TLS-alternativ skall inte användas tillsammans
med AD-leverantören och kommer ersättas av Kerberos-användning.
AD-leverantören stödjer anslutning till Active Directory 2008 R2 eller
senare. Tidigare versioner kan fungera, men stödjs inte.
AD-leverantören kan användas för att få användarinformation och autentisera
användare från betrodda domäner. För närvarande känns endast betrodda
domäner i samma skog igen. Dessutom automatupptäcks alltid servrar från
betrodda domäner.
AD-leverantören gör att SSSD kan använda identitetsleverantören
sssd-ldap
5 och autentiseringsleverantören
sssd-krb5
5 med optimeringar för Active
Directory-miljöer. AD-leverantören tar samma alternativ som används av
leverantörerna sssd-ldap och sssd-krb5 med några undantag. Dock är det
varken nödvändigt eller lämpligt att sätta dessa alternativ.
AD-leverantören kopierar i huvudsak standardalternativen för de
traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna
listas i avsnittet ÄNDRADE STANDARDINSTÄLLNINGAR
.
AD-leverantören kan även användas som en åtkomst-, chpass-, sudo- och
autofs-leverantör. Ingen konfiguration av åtkomstleverantören behövs på
klientsidan.
Om auth_provider=ad
eller access_provider=ad
konfigureras i sssd.conf måste id-leverantören också sättas till
ad
.
Som standard kommer AD-leverantören översätta AID- och GID-värden från
parametern objectSID i Active Directory. För detaljer om detta se avsnittet
ID-ÖVERSÄTTNING
nedan. Om du vill avaktivera ID-översättning
och istället lita på POSIX-attribut definierade i Active Directory skall du
sätta
ldap_id_mapping = False
. Om POSIX-attribut skall
användas rekommenderas det av prestandaskäl att attributen även replikeras
till den globala katalogen. Om POSIX-attribut replikeras kommer SSSD
försöka att hitta domänen för den begärda numeriska ID:n med hjälp av den
globala katalogen och endast söka i den domänen. Om POSIX-attribut däremot
inte replikeras till den globala katalogen måste SSSD söka i alla domänerna
i skogen sekventiellt. Observera att alternativet
cache_first
också kan vara till hjälp för att snabba upp
domänlösa sökningar. Observera att om endast en delmängd av
POSIX-attributen finns i den globala katalogen läses för närvarande inte de
attribut som inte replikeras från LDAP-porten.
Användare, grupper och andra enheter som servas av SSSD behandlas alltid som
skiftlägesokänsliga i AD-leverantören för kompatibilitet med Active
Directorys LDAP-implementation.
SSSD slår endast up Active Directory Security Groups. För mer information om
AD-grupptyper se: Active
Directory security grouips
SSSD filtrerar ut domänlokala grupper från fjärrdomäner i AD-skogen. Som
standard filtreras de ut t.ex. när man följer en nästad grupphierarki i
fjärrdomäner för att de inte är giltiga i den lokala domänen. Detta görs för
att stämma med Active Directorys gruppmedlemskapstilldelning vilken kan ses
i Kerberosbiljettens PAC för en användare utgiven av Active Directory.
KONFIGURATIONSALTERNATIV
Se DOMÄNSEKTIONER
i manualsidan
sssd.conf 5
för detaljer om konfigurationen av en SSSD-domän.
ad_domain (sträng)
Anger namnet på Active Directory-domänen. Detta är frivilligt. Om det inte
anges används namnet på den konfigurerade domänen.
För att fungera ordentligt skall detta alternativ anges som den gemena
versionen av den långa versionen av Active Directorys domän.
Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet)
detekteras automatiskt av SSSD.
ad_enabled_domains (sträng)
A comma-separated list of enabled Active Directory domains. If provided,
SSSD will ignore any domains not listed in this option. If left unset, all
discovered domains from the AD forest will be available.
During the discovery of the domains SSSD will filter out some domains where
flags or attributes indicate that they do not belong to the local forest or
are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
listed domains.
För att fungera ordentligt bör detta alternativ anges helt i gemener och som
det fullständigt kvalificerade namnet på Active Directory-domänen. Till
exempel:
ad_enabled_domains = marknad.example.com, tekn.example.com
Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet)
kommer detekteras automatiskt av SSSD.
Standard: inte satt
ad_server, ad_backup_server (sträng)
Den kommaseparerade listan av värdnamn till AD-servrar till vilka SSSD skall
ansluta i prioritetsordning. För mer information om reserver och
serverredundans se avsnittet RESERVER
.
Detta är frivilligt om automatupptäckt är aktiverat. För mer information om
tjänsteupptäckt se avsnittet TJÄNSTEUPPTÄCKT
.
Observera: betrodda domäner kommer alltid automatiskt upptäcka servrar även
om den primära servern definieras uttryckligen i alternativet ad_server.
ad_hostname (sträng)
Valfri. På maskiner där hostname(5) inte avspeglar det fullständigt
kvalificerade namnet kommer sssd försöka expandera det korta namnet. Om det
inte är möjligt eller det korta namnet verkligen skall användas istället,
sätt då denna parameter uttryckligen.
Detta fält används för att avgöra värd-huvudmannen som används i keytab:en
och utföra dynamiska DNS-uppdateringar. Det måste stämma med värdnamnet som
keytab:en gavs ut för.
ad_enable_dns_sites (boolean)
Aktiverar DNS-sajter – platsbaserat tjänsteupptäckt.
Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av
manualsidan) är aktiverat kommer SSSD först att försöka hitta en Active
Directory-server att ansluta till med Active Directory Site Discovery och
sedan falla tillbaka på traditionell SRV-upptäckt om ingen AD-sajt hittas.
Konfigurationen av DNS SRV, inklusive upptäcktsdomänen, används också under
sajtupptäckten.
Standard: true
ad_access_filter (sträng)
Detta alternativ anger LDAP:s åtkomstkontrollfilter som användaren måste
matcha för att tillåtas åtkomst. Observera att alternativet
access_provider
måste vara uttryckligen satt till
ad
för att detta alternativ skall ha någon effekt.
Alternativet stödjer också att ange olika filter per domän eller skog.
Detta utökade filter skulle bestå av: NYCKELORD:NAMN:FILTER
.
Nyckelordet kan vara antingen DOM
, FOREST
eller utelämnas.
Om nyckelordet är lika med DOM
eller saknas anger
NAMN
domänen eller underdomänen filtret gäller för. Om
nyckelordet är lika med FOREST
är filtret lika för alla
domäner från skogen som anges av NAMN
.
Flera filter kan avgränsas med tecknet ?
, i likhet med hur
sökbaser fungerar.
Nästade gruppmedlemskap måste sökas efter med en speciell OID
:1.2.840.113556.1.4.1941:
utöver den fullständiga syntaxen
DOM:domän.example.com: för att säkerställa att tolken inte försöker tolka
kolontecknen som hör till OID:n. Om man inte använder denna OID kommer
nästade gruppmedlemskap inte slås upp. Se användningsexempel nedan och se
här för ytterligare information om OID:n: [MS-ADTS]
avsnittet LDAP-utökningar
Den mest specifika matchningen används alltid. Till exempel, om
alternativet angav filter för en domän användaren är medlem i och ett
globalt filter skulle det domänspecifika filtret tillämpas. Om det finns
fler matchningar med samma specifikation används den första.
Exempel:
# tillämpa endast filtret på en domän som heter dom1:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# tillämpa endast filtret på en domän som heter dom2:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# tillämpa endast filtret på en skog som heter EXAMPLE.COM:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# tillämpa filtret på en medlem av en nästad grupp i dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
Standard: inte satt
ad_site (sträng)
Ange en AD-sajt som klienten skall försöka ansluta till. Om detta
alternativ inte anges kommer AD-sajten att automatupptäckas.
Standard: inte satt
ad_enable_gc (boolean)
Som standard ansluter SSSD till den globala katalogen först för att hämta
användare från betrodda domäner och använder LDAP-porten för att hämta
gruppmedlemskap som en reserv. Att avaktivera detta alternativ gör att SSSD
endast ansluter till LDAP-porten på den aktuella AD-servern.
Observera att att avaktivera stöd för den globala katalogen inte avaktiverar
att hämta användare från betrodda domäner. SSSD skulle ansluta till
LDAP-porten på den betrodda domänen istället. Dock måste den globala
katalogen användas för att slå upp gruppmedlemskap över domäner.
Standard: true
ad_gpo_access_control (sträng)
Detta alternativ anger arbetsläget för GPO-baserad
åtkomstkontrollsfunktionalitet: huruvida det arbetar i avaktiverat läge,
tvingande läge eller tillåtande läge. Observera att alternativet
access_provider
måste vara uttryckligen satt till
ad
för att detta alternativ skall ha någon effekt.
Funktionalitet för GPO-baserad åtkomststyrning använder
GPO-policyinställningar för att avgöra huruvida en viss användare tillåts
logga in på värden eller inte. För mer information om de stödda
policyinställningarna se flaggan ad_gpo_map
.
Observera att den aktuella versionen av SSSD inte stöjder Active Directorys
inbyggda grupper. Inbyggda grupper (såsom administratörer med SID
S-1-5-32-544) i GPO-åtkomststyrningsregler kommer ignoreras av SSSD. Se
uppströms ärendehanterare https://github.com/SSSD/sssd/issues/5063 .
Före åtkomstkontroll utförs tillämpar SSSD säkerhetsfiltrering enligt
gruppolicy på GPO:erna. För varje enskild användares inloggning kontrolleras
tillämpligheten av GPO:erna som är länkade till värden. För att en GPO skall
vara tillämplig på en användare måste användaren eller åtminstone en av de
grupper den tillhör ha följande rättigheter på GPO:n:
Läs: användaren eller en av dess grupper måste ha läsrättigheter till
egenskaperna hos GPO:n (RIGHT_DS_READ_PROPERTY)
Verkställ gruppolicy: användaren eller åtminstone en av dess grupper måste
ha tillåtelse att verkställa GPO:n (RIGHT_DS_CONTROL_ACCESS).
Som standard fins en autentiserad användares grupp på en GPO och denna grupp
har både Läs- och Verkställ gruppolicy-åtkomsträttigheter. Eftersom
autentisering av en användare måste ha fullgjorts framgångsrikt före
GPO-säkerhetsfiltrering och åtkomstkontroll börjar gäller alltid även den
autentiserade användarens grupprättigheter på GPO:n för användaren.
OBS: Om åtgärdsläget är satt till tvingande är det möjligt att användarna
som tidigare var tillåtna inloggningsåtkomst nu kommer nekast
inloggningsåtkomst (som det dikteras av GPO-policyinställningar). För att
möjliggöra en smidig övergång för administratörer finns ett tillåtande läge
tillgängligt som inte kommer genomdriva åtkomststyrningsreglerna, utan
kommer beräkna deom och skriva ut ett syslog-meddelande om åtkomst skulle ha
nekats. Genom att granska loggarna kan administratörer sedan göra de
nödvändiga ändringarna före läget ställs in som tvingande. För att logga
felsökningsnivå av GPO-baserad åtkomstkontroll krävs ”trace functions” (se
manualsidan sssctl
8).
Det finns tre stödda värden för detta alternativ:
disabled: GPO-baserade åtkomstkontrollsregler varken evalueras eller
påtvingas.
enforcing: GPO-baserade åtkomstkontrollregler evalueras och påtvingas.
permissive: GPO-baserade åtkomstkontrollregler evalueras men påtvingas
inte. Istället skickas ett syslog-meddelande ut som indikerar att
användaren skulle ha nekats åtkomst om detta alternativs värde vore satt
till enforcing.
Standard: permissive
Standard: enforcing
ad_gpo_implicit_deny (boolean)
Normalt när inga tillämpliga GPO:er finns tillåts användarna åtkomst. När
detta alternativ är satt till True kommer användare att tillåtas åtkomst
endast när det uttryckligen tillåts av en GPO-regel. Annars kommer
användare nekas åtkomst. Detta kan användas för att stärka säkerheten men
var försiktig när detta alternativ används för det kan neka åtkomst även
till användare i den inbyggda administratörsgruppen om inga GPO-regler är
tillämpliga på dem.
Standard: False
Följande 2 tabeller bör illustrera när en användare tillåts eller nekas
baserat på de tillåtande eller nekande inloggningsrättigheterna definierade
på serversidan och inställningen av ad_gpo_implicit_deny.
ad_gpo_implicit_deny = False (standard)
tillåtelsereglernekanderegler
resultat
saknassaknas
alla användare tillåts
saknasfinns
endast användare som inte finns i nekanderegler tillåts
finnssaknas
endast användare i tillåtelseregler tillåts
finnsfinns
endast användare i tillåtelse och inte i nekanderegler tillåts
ad_gpo_implicit_deny = True
tillåtelsereglernekanderegler
resultat
saknassaknas
inga användare tillåts
saknasfinns
inga användare tillåts
finnssaknas
endast användare i tillåtelseregler tillåts
finnsfinns
endast användare i tillåtelse och inte i nekanderegler tillåts
ad_gpo_ignore_unreadable (boolean)
Normalt när några gruppolicybehållare (AD-objekt) av några tillämpliga
gruppolicyobjekt inte är läsbara av SSSD så nekas användare åtkomst. Detta
alternativ tillåter att man ignorerar gruppolicybehållare och med dem
tillhörande policyer om deras attribut i gruppolicybehållare inte är läsbara
för SSSD.
Standard: False
ad_gpo_cache_timeout (heltal)
Tiden mellan uppslagningar av GPO-policyfiler mot AD-servern. Detta kommer
reducera tidsfördröjningen och lasten på AD-servern om det görs många
begäranden om åtkomstkontroll under en kort tid.
Standard: 5 (sekunder)
ad_gpo_map_interactive (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna
InteractiveLogonRight och DenyInteractiveLogonRight. Endast de GPO:er
beräknas för vilka användaren har Läs- eller Verkställ
gruppolicy-rättigheter (se flaggan ad_gpo_access_control
). Om
en beräknad GPO innehåller inställningen neka interaktiv inloggning för
användaren eller en av dess grupper nekas användaren lokal åtkomst. Om ingen
av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad
ges användaren lokal åtkomst. Om åtminstone en beräknad GPO innehåller
inställningen interaktiv inloggningsrättighet ges användaren lokal åtkomst
endast om denne eller åtminstone en av dess grupper är del av den
policyinställningen.
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning lokalt” och ”Neka inloggning lokalt”.
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda +tjänstenamn
eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda -tjänstenamn
. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. login
) mot ett anpassat PAM-tjänstenamn
(t.ex. min_pam-tjänst
) skulle man använda följande
konfiguration:
ad_gpo_map_interactive = +min_pam-tjänst, -login
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
login
su
su-l
gdm-fingerprint
gdm-password
gdm-smartcard
kdm
lightdm
lxdm
sddm
unity
xdm
ad_gpo_map_remote_interactive (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna
RemoteInteractiveLogonRight och DenyRemoteInteractiveLogonRight. Endast de
GPO:er beräknas för vilka användaren har Läs- eller Verkställ
gruppolicy-rättigheter (se flaggan ad_gpo_access_control
). Om
en beräknad GPO innehåller inställningen neka fjärrinloggning för användaren
eller en av dess grupper nekas användaren interaktiv fjärråtkomst. Om ingen
av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad
ges användaren interaktiv fjärråtkomst. Om åtminstone en beräknad GPO
innehåller inställningen interaktiv fjärrinloggningsrättighet ges användaren
fjärråtkomst endast om denne eller åtminstone en av dess grupper är del av
den policyinställningen.
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning via fjärrskrivbordstjänster” och ”Neka inloggning via
fjärrinloggningstjänster”.
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda +tjänstenamn
eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda -tjänstenamn
. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. sshd
) mot ett anpassat PAM-tjänstenamn
(t.ex. min_pam-tjänst
) skulle man använda följande
konfiguration:
ad_gpo_map_remote_interactive = +min_pam-tjänst, -sshd
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
sshd
cockpit
ad_gpo_map_network (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna NetworkLogonRight
och DenyNetworkLogonRight. Endast de GPO:er beräknas för vilka användaren
har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
ad_gpo_access_control
). Om en beräknad GPO innehåller
inställningen neka nätverksinloggning för användaren eller en av dess
grupper nekas användaren nätverksåtkomst. Om ingen av de evaluerade GPO:erna
har en nätverksinloggningsrättighet definierad ges användaren
inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen
nätverksinloggningsrättighet ges användaren inloggningsåtkomst endast om
denne eller åtminstone en av dess grupper är del av den policyinställningen.
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Kom åt denna dator från nätverket” och ”Neka åtkomst till denna dator från
nätverket”.
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda +tjänstenamn
eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda -tjänstenamn
. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. ftp
) mot ett anpassat PAM-tjänstenamn
(t.ex. min_pam-tjänst
) skulle man använda följande
konfiguration:
ad_gpo_map_network = +min_pam-tjänst, -ftp
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
ftp
samba
ad_gpo_map_batch (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna BatchLogonRight
och DenyBatchLogonRight. Endast de GPO:er beräknas för vilka användaren har
Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
ad_gpo_access_control
). Om en beräknad GPO innehåller
inställningen neka satsvis inloggning för användaren eller en av dess
grupper nekas användaren satsvis inloggningsåtkomst. Om ingen av de
evaluerade GPO:erna har en satsvis inloggningsrättighet definierad ges
användaren inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller
inställningen satsvis inloggningsrättighet ges användaren inloggningsåtkomst
endast om denne eller åtminstone en av dess grupper är del av den
policyinställningen.
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning som ett batch-jobb” och ”Neka inloggning som ett
batch-jobb”.
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda +tjänstenamn
eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda -tjänstenamn
. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. crond
) mot ett anpassat PAM-tjänstenamn
(t.ex. min_pam-tjänst
) skulle man använda följande
konfiguration:
ad_gpo_map_batch = +min_pam-tjänst, -crond
Obs: cron-tjänstenamn kan skilja beroende på vilken Linuxdistribution som
används.
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
crond
ad_gpo_map_service (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna ServiceLogonRight
och DenyServiceLogonRight. Endast de GPO:er beräknas för vilka användaren
har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
ad_gpo_access_control
). Om en beräknad GPO innehåller
inställningen neka tjänsteinloggning för användaren eller en av dess grupper
nekas användaren tjänsteinloggningsåtkomst. Om ingen av de evaluerade
GPO:erna har en tjänsteinloggningsrättighet definierad ges användaren
inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen
tjänsteinloggningsrättighet ges användaren inloggningsåtkomst endast om
denne eller åtminstone en av dess grupper är del av den policyinställningen.
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning som en tjänst” och ”Neka inloggning som en tjänst”.
Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen
genom att använda +tjänstenamn
. Eftersom
standarduppsättningen är tom är det inte möjligt att ta bort ett
PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga
till ett anpassat PAM-tjänstenamn (t.ex. min_pam-tjänst
)
skulle man använda följande konfiguration:
ad_gpo_map_service = +min_pam-tjänst
Standard: inte satt
ad_gpo_map_permit (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst
alltid tillåts, oavsett några andra GPO-inloggningsrättigheter.
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda +tjänstenamn
eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda -tjänstenamn
. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för ovillkorligt tillåten åtkomst
(t.ex. sudo
) mot ett anpassat PAM-tjänstenamn
(t.ex. min_pam-tjänst
) skulle man använda följande
konfiguration:
ad_gpo_map_permit = +min_pam-tjänst, -sudo
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
polkit-1
sudo
sudo-i
systemd-user
ad_gpo_map_deny (sträng)
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst
alltid nekas, oavsett några andra GPO-inloggningsrättigheter.
Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen
genom att använda +tjänstenamn
. Eftersom
standarduppsättningen är tom är det inte möjligt att ta bort ett
PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga
till ett anpassat PAM-tjänstenamn (t.ex. min_pam-tjänst
)
skulle man använda följande konfiguration:
ad_gpo_map_deny = +min_pam-tjänst
Standard: inte satt
ad_gpo_default_right (sträng)
Detta alternativ definierar hur åtkomstkontroll beräknas för PAM-tjänstenamn
som inte är uttryckligen listade i en av alternativen ad_gpo_map_*. Detta
alternativ kan anges på två olika sätt. Antingen kan detta alternativ
sättas till att ange standardinloggningsrättigheter. Till exempel, om detta
alternativ är satt till ”interactive” betyder det att omappade
PAM-tjänstenamn kommer bearbetas baserat på policyinställningarna
InteractiveLogonRight och DenyInteractiveLogonRight. Alternativt kan detta
alternativ sättas till att antingen alltid tillåta eller alltid neka åtkomst
för omappade PAM-tjänstenamn.
Värden som stödjs för detta alternativ inkluderar:
interactive
remote_interactive
network
batch
service
permit
deny
Standard: deny
ad_maximum_machine_account_password_age (heltal)
SSSD kommer en gång om dagen kontrollera om maskinkontolösenordet är äldre
än den givna åldern i dagar och försöka förnya det. Ett värde på 0 kommer
förhindra förnyelseförsöket.
Standard: 30 dagar
ad_machine_account_password_renewal_opts (sträng)
Detta alternativ skall endast användas för att testa
maskinkontoförnyelsefunktionen. Alternativet förväntar sig 2 heltal
separerade av ett kolon (”:”). Det första heltalet anger intervallet i
sekunder hur ofta funktionen körs. Det andra anger den initiala tidsgränsen
i sekunder före funktionen körs för första gången efter uppstart.
Standard: 86400:750 (24h och 15m)
ad_update_samba_machine_account_password (boolean)
Om aktiverat kommer lösenordet i Sambas databas också uppdateras när SSSD
förnyar maskinkontolösenordet. Detta förhindrar Sambas exemplar av
maskinkontolösenordet från att bli inaktuellt när det är uppsatt att använda
AD för autentisering.
Standard: false
ad_use_ldaps (bool)
Som standard använder SSSD den enkla LDAP-porten 389 porten 3628 för den
globala katalogen. Om denna flagga är satt till sant kommer SSSD använda
LDAPS-porten 636 och porten 3629 för den globala katalogen med
LDAPS-skydd. Eftersom AD inte tillåter att ha flera krypteringsnivåer på en
ensam förbindelse och vi fortfarande vill använda SASL/GSSAPI eller
SASL/GSS-SPNEGO till autentisering är SASL-säkerhetsegenskapen maxssf satt
till 0 (noll) för dessa förbindelser.
Standard: False
ad_allow_remote_domain_local_groups (boolean)
Om detta alternativ är satt till sant
kommer SSSD inte att
filtrera ut domänlokala grupper från fjärrdomäner i AD-skogen. Som standard
filtreras de ut t.ex. när man följer en nästad grupphierarki i fjärrdomäner
för att de inte är giltiga i den lokala domänen. För att vara kompatibel med
andra lösningar som gör AD-användare och -grupper tillgängliga i
Linuxklienter lades detta alternativ till.
Observera att sätta detta alternativ till sant
kommer strida
mot avsikten med domänlokala grupper i Active Directory och SKALL
ENDAST ANVÄNDAS FÖR ATT MÖJLIGGÖRA MIGRERING FRÅN ANDRA
LÖSNINGAR. Även om grruppen finns och användaren kan vara medlem
av gruppen är avsikten att gruppen endast skall användas i domänen den är
definierad och inte i några andra. Eftersom det endast finns en typ av
POSIX-grupper är det enda sättet att uppnå detta på Linuxsidan att ignorera
dessa grupper. Detta görs också av Active Directory som kan ses i PAC:en i
Kerberosbiljetten för en lokal tjänst sller i tokenGroups-begäranden där
också de domänlokala fjärrgrupperna saknas.
Givet ovanstående kommentarer, om detta alternativ är satt till
sant
måste tokenGroups-begäranden avaktiveras genom att sätta
ldap_use_tokengroups
till falskt
för att få
konsistenta gruppmedlemskap för en användare. Dessutom skall uppslagningar i
Global Catalog också hoppas över genom att sätta ad_enable_gc
till falskt
. Slutligen kan det vara nödvändigt att ändra
ldap_group_nesting_level
om de domänlokala fjärrgurpperna
endast finns med en djupare nästningsnivå.
Standard: False
dyndns_update (boolean)
Valfritt. Detta alternativ säger till SSSD att automatiskt uppdatera
DNS-servern i Active Directory med IP-adressen för denna klient.
Uppdateringen säkras med GSS-TSIG. Som en konsekvens av det behöver Active
Directory-administratören bara tillåta säkra uppdateringar för DNS-zonen.
IP-adressen för AD-LDAP-förbindelsen används för uppdateringar, om det inte
specificeras på annat sätt med alternativet dyndns_iface
.
OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas
i /etc/krb5.conf för att detta beteende skall fungera pålitligt
Standard: true
dyndns_ttl (heltal)
TTL:en att använda för klientens DNS-post vid uppdatering. Om dyndns_update
är falsk har detta ingen effekt. Detta kommer åsidosätta TTL på serversidan
om det är satt av en administratör.
Standard: 3600 (sekunder)
dyndns_iface (sträng)
Valfri. Endast tillämpligt när dyndns_update är sann. Välj gränssnittet
eller en lista av gränssnitt vars IP-adresser skall användas för dynamiska
DNS-uppdateringar. Specialvärdet *
betyder att IP:n från
alla gränssnitt skall användas.
Standard: använd IP-adresser för gränssnittet som används för AD
LDAP-förbindelsen
Exempel: dyndns_iface = em1, vnet1, vnet2
dyndns_refresh_interval (heltal)
Hur ofta bakänden skall utföra periodiska DNS-uppdateringar utöver den
automatiska uppdateringen som utförs när bakänden kopplar upp. Detta
alternativ är valfritt och tillämpligt endast när dyndns_update är sann.
Observera att det lägsta möjliga värdet är 60 sekunder, ifall ett värde
mindre än 60 ges kommer parametern endast anta det lägsta värdet.
Standard: 86400 (24 timmar)
dyndns_update_ptr (bool)
Huruvida PTR-posten också skall uppdateras explicit när klientens DNS-post
uppdateras. Tillämpligt endast när dyndns_update är sann.
Note that dyndns_update_per_family parameter does not
apply for PTR record updates. Those updates are always sent separately.
Standard: True
dyndns_force_tcp (bool)
Huruvida nsupdate-verktyget som standard skall använda TCP för kommunikation
med DNS-servern.
Standard: False (låt nsupdate välja protokollet)
dyndns_auth (sträng)
Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra
uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att
sätta detta alternativ till ”none”.
Standard: GSS-TSIG
dyndns_auth_ptr (sträng)
Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra
PTR-uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att
sätta detta alternativ till ”none”.
Standard: samma som dyndns_auth
dyndns_server (sträng)
DNS-servern som skall användas när en uppdatering av DNS utförs. I de
flesta uppsättningar rekommenderas det att låta detta alternativ vara osatt.
Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är
skild från identitetsservern.
Observera att detta alternativ bara kommer användas i försök att falla
tillbaka på när tidigare försök som använder automatiskt upptäckta
inställningar misslyckas.
Standard: Ingen (låt nsupdate välja servern)
dyndns_update_per_family (boolean)
DNS-uppdateringar utförs som standard i två steg – IPv4-uppdatering och
sedan IPv6-uppdatering. I några fall kan det vara önskvärt att utföra IPv4-
och IPv6-uppdateringar i ett enda steg.
Standard: true
krb5_confd_path (sträng)
Absolut sökväg till en katalog där SSSD skall placera konfigurationsstycken
för Kerberos.
För att förhindra att konfigurationsstycken skapas, sätt parametern till
”none”.
Standard: inte satt (underkatalogen krb5.include.d till SSSD:s
pubconf-katalog)
EXEMPEL
Följande exempel antar att SSSD är korrekt konfigurerat och att example.com
är en av domänerna i avsnittet [sssd]. Detta
exempel visar endast alternativ som är specifika för leverantören AD.
[domain/EXEMPEL]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
NOTER
Leverantören AD av åtkomstkontroll kontrollerar om kontot har gått ut. Det
har samma effekt som följande konfiguration av LDAP-leverantören:
access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
Dock, om inte åtkomstleverantören ad
är konfigurerad explicit
är standardåtkomstleverantören permit
. Observera att om man
konfigurerar en annan åtkomstleverantör än ad
behöver man
sätta alla anslutningsparametrarna (såsom LDAP URI:er och
krypteringsdetaljer) manuellt.
När autofs-leverantören är satt till ad
används
översättningen av schemaattribut enligt RFC2307 (nisMap, nisObject, …), för
att dessa attribut inkluderas i standardschemat för Active Directory.