sssd-ldap-attributes 5 Filformat och konventioner sssd-ldap-attributes SSSD LDAP-leverantör: Avbildningsattribut Denna manualsida beskriver avbildningsattributen till SSSD LDAP-leverantören sssd-ldap 5 . Se manualsidan sssd-ldap 5 för fullständiga detaljer om SSSD LDAP-leverantörens konfigurationsflaggor. ldap_user_object_class (sträng) Objektklassen hos en användarpost i LDAP. Standard: posixAccount ldap_user_name (sträng) LDAP-attributet som motsvarar användarens inloggningsnamn. Standard: uid (rfc2307, rfc2307bis och IPA), sAMAccountName (AD) ldap_user_uid_number (sträng) LDAP-attributet som motsvarar användarens id. Standard: uidNumber ldap_user_gid_number (sträng) LDAP-attributet som motsvarar användarens primära grupp-id. Standard: gidNumber ldap_user_primary_group (sträng) Active Directorys primära gruppattribut för ID-mappning. Observera att detta attribut skall bara sättas manuellt om du kör ldap-leverantören med ID-mappning. Standard: ej satt (LDAP), primaryGroupID (AD) ldap_user_gecos (sträng) LDAP-attributet som motsvarar användarens gecos-fält. Standard: gecos ldap_user_home_directory (sträng) LDAP-attributet som innehåller namnet på användarens hemkatalog. Standard: homeDirectory (LDAP och IPA), unixHomeDirectory (AD) ldap_user_shell (sträng) LDAP-attributet som innehåller sökvägen till användarens standardskal. Standard: loginShell ldap_user_uuid (sträng) LDAP-attributet som innehåller UUID/GUID för ett LDAP-användarobjekt. Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA ldap_user_objectsid (sträng) LDAP-attributet som innehåller objectSID för ett LDAP-användarobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar. Standard: objectSid för Active Directory, inte satt för andra servrar. ldap_user_modify_timestamp (sträng) LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet. Standard: modifyTimestamp ldap_user_shadow_last_change (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (tidpunkt för senaste lösenordsändring). Standard: shadowLastChange ldap_user_shadow_min (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (minsta lösenordsålder). Standard: shadowMin ldap_user_shadow_max (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (största lösenordsålder). Standard: shadowMax ldap_user_shadow_warning (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (varningsperiod för lösenord). Standard: shadowWarning ldap_user_shadow_inactive (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (inaktivitetsperiod för lösenord). Standard: shadowInactive ldap_user_shadow_expire (sträng) När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow 5 (tid då kontot går ut). Standard: shadowExpire ldap_user_krb_last_pwd_change (sträng) När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid för senaste lösenordsändring i kerberos. Standard: krbLastPwdChange ldap_user_krb_password_expiration (sträng) När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid när det nuvarande lösenordet går ut. Standard: krbPasswordExpiration ldap_user_ad_account_expires (sträng) När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar tidpunkten när kontot går ut. Standard: accountExpires ldap_user_ad_user_account_control (sträng) När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar användarkontots styrbitfält. Standard: userAccountControl ldap_ns_account_lock (sträng) När ldap_account_expire_policy=rhds eller likvärdigt används avgör denna parameter om åtkomst skall tillåtas eller inte. Standard: nsAccountLock ldap_user_nds_login_disabled (sträng) När ldap_account_expire_policy=nds används avgör detta attribut om åtkomst skall tillåtas eller inte. Standard: loginDisabled ldap_user_nds_login_expiration_time (sträng) När ldap_account_expire_policy=nds används avgör detta attribut till vilket datum åtkomst tillåts. Standard: loginDisabled ldap_user_nds_login_allowed_time_map (sträng) När ldap_account_expire_policy=nds används avgör detta attribut vilka timmar på dagen i en vecka åtkomst tillåts. Standard: loginAllowedTimeMap ldap_user_principal (sträng) LDAP-attributet som innehåller användarens användarhuvudmansnamn i Kerberos (UPN). Standard: krbPrincipalName ldap_user_extra_attrs (sträng) Kommaseparerad lista av LDAP-attribut som SSSD skall hämta tillsammans med den vanliga uppsättningen av användarattribut. Listan kan antingen innehålla endast LDAP-attributnamn, eller kolonseparerade tupler av SSSD-cacheattribut och LDAP-attributnamn. Ifall endast LDAP-attributnamn anges sparas attributet i cachen ordagrant. Att använda ett anpassat SSSD-attributnamn kan vara nödvändigt i miljöer som konfigurerar flera SSSD-domäner med olika LDAP-scheman. Observera att flera attributnamn är reserverade av SSSD, speciellt attributet name. SSSD rapporterar ett fel om något av de reserverade attributnamnen används som ett extra attributnamn. Exempel: ldap_user_extra_attrs = telephoneNumber Spara attributet telephoneNumber från LDAP som telephoneNumber i cachen. ldap_user_extra_attrs = phone:telephoneNumber Spara attributet telephoneNumber från LDAP som phone i cachen. Standard: inte satt ldap_user_ssh_public_key (sträng) LDAP-attributet som innehåller användarens publika SSH-nycklar. Standard: sshPublicKey ldap_user_fullname (sträng) LDAP-attributet som motsvarar användarens fullständiga namn. Standard: cn ldap_user_member_of (sträng) LDAP-attributet som räknar upp användarens gruppmedlemskap. Standard: memberOf ldap_user_authorized_service (sträng) Om access_provider=ldap och ldap_access_order=authorized_service kommer SSSD använda förekomsten av attributet authorizedService i användarens LDAP-post för att avgöra åtkomstprivilegier. Ett explicit nekande (!svc) avgörs först. Därefter söker SSSD efter explicit tillåtelse (svc) och slutligen efter allow_all (*). Observera att konfigurationsalternativet ldap_access_order måste innehålla authorized_service för att alternativet ldap_user_authorized_service skall fungera. Några distributioner (såsom Fedora-29+ eller RHEL-8) inkluderar alltid PAM-tjänsten systemd-user som en del av inloggningsprocessen. Därför kan när tjänstebaserad åtkomstkontroll används tjänsten systemd-user behöva läggas till till listan av tillåtna tjänster. Standard: authorizedService ldap_user_authorized_host (sträng) Om access_provider=ldap och ldap_access_order=host kommer SSSD använda förekomsten av attributet host i användarens LDAP-post för att avgöra åtkomstprivilegier. Ett explicit nekande (!host) avgörs först. Därefter söker SSSD efter explicit tillåtelse (host) och slutligen efter allow_all (*). Observera att konfigurationsalternativet ldap_access_order måste innehålla host för att alternativet ldap_user_authorized_host skall fungera. Standard: host ldap_user_authorized_rhost (sträng) Om access_provider=ldap och ldap_access_order=rhost kommer SSSD använda förekomsten av attributet rhost i användarens LDAP-post för att avgöra åtkomstprivilegier. Liknande värdverifieringsprocessen. Ett explicit nekande (!rhost) avgörs först. Därefter söker SSSD efter explicit tillåtelse (rhost) och slutligen efter allow_all (*). Observera att konfigurationsalternativet ldap_access_order måste innehålla rhost för att alternativet ldap_user_authorized_rhost skall fungera. Standard: rhost ldap_user_certificate (sträng) Namnet på LDAP-attributet som innehåller användarens X509-certifikat. Standard: userCertificate;binary ldap_user_email (sträng) Namnet på LDAP-attributet som innehåller användarens e-postadress. Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email. Standard: mail ldap_user_passkey (string) Name of the LDAP attribute containing the passkey mapping data of the user. Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) ldap_group_object_class (sträng) Objektklassen hos en gruppost i LDAP. Standard: posixGroup ldap_group_name (sträng) The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups. Standard: cn (rfc2307, rfc2307bis och IPA), sAMAccountName (AD) ldap_group_gid_number (sträng) LDAP-attributet som motsvarar gruppens id. Standard: gidNumber ldap_group_member (sträng) LDAP-attributet som innehåller namnen på gruppens medlemmar. Standard: memberuid (rfc2307) / member (rfc2307bis) ldap_group_uuid (sträng) LDAP-attributet som innehåller UUID/GUID för ett LDAP-gruppobjekt. Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA ldap_group_objectsid (sträng) LDAP-attributet som innehåller objectSID för ett LDAP-gruppobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar. Standard: objectSid för Active Directory, inte satt för andra servrar. ldap_group_modify_timestamp (sträng) LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet. Standard: modifyTimestamp ldap_group_type (sträng) LDAP-attributet som innehåller ett heltalsvärde som indikerar grupptypen och kanske andra flaggor. Detta attribut används för närvarande bara av AD-leverantören för att avgöra om en grupp är en domänlokal grupp och behöver filtreras bort för betrodda domäner. Standard: groupType i AD-leverantören, inte satt annars ldap_group_external_member (sträng) LDAP-attributet som refererar gruppmedlemmar som är definierade i en extern domän. För närvarande stödjs endast IPA:s externa medlemmar. Standard: ipaExternalMember i IPA-leverantören, inte satt annars. ldap_netgroup_object_class (sträng) Objektklassen hos en nätgruppspost i LDAP. I IPA-leverantören skall ipa_netgroup_object_class användas istället. Standard: nisNetgroup ldap_netgroup_name (sträng) LDAP-attributet som motsvarar nätgruppnamnet. I IPA-leverantören skall ipa_netgroup_name användas istället. Standard: cn ldap_netgroup_member (sträng) LDAP-attributet som innehåller namnen på nätgruppens medlemmar. I IPA-leverantören skall ipa_netgroup_member användas istället. Standard: memberNisNetgroup ldap_netgroup_triple (sträng) LDAP-attributet som innehåller nätgrupptrippeln (värd, användare, domän). Detta alternativ är inte tillgängligt i IPA-leverantören. Standard: nisNetgroupTriple ldap_netgroup_modify_timestamp (sträng) LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet. Detta alternativ är inte tillgängligt i IPA-leverantören. Standard: modifyTimestamp ldap_host_object_class (sträng) Objektklassen hos en värdpost i LDAP. Standard: ipService ldap_host_name (sträng) LDAP-attributet som motsvarar värdens namn. Standard: cn ldap_host_fqdn (sträng) LDAP-attributet som motsvarar värdens fullständigt kvalificerade domännamn. Standard: fqdn ldap_host_serverhostname (sträng) LDAP-attributet som motsvarar värdens namn. Standard: serverHostname ldap_host_member_of (sträng) LDAP-attributet som räknar upp värdens gruppmedlemskap. Standard: memberOf ldap_host_ssh_public_key (sträng) LDAP-attributet som innehåller värdens publika SSH-nycklar. Standard: sshPublicKey ldap_host_uuid (sträng) LDAP-attributet som innehåller UUID/GUID för ett LDAP-värdobjekt. Standard: inte satt ldap_service_object_class (sträng) Objektklassen hos en servicepost i LDAP. Standard: ipService ldap_service_name (sträng) LDAP-attributet som innehåller namnet på tjänsteattribut och deras alias. Standard: cn ldap_service_port (sträng) LDAP-attributet som innehåller porten som hanteras av denna tjänst. Standard: ipServicePort ldap_service_proto (sträng) LDAP-attributet som innehåller protokollen som denna tjänst förstår. Standard: ipServiceProtocol ldap_sudorule_object_class (sträng) Objektklassen hos en sudo-regelpost i LDAP. Standard: sudoRole ldap_sudorule_name (sträng) LDAP-attributet som motsvarar sudo-regelnamnet. Standard: cn ldap_sudorule_command (sträng) LDAP-attributet som motsvarar kommandonamnet. Standard: sudoCommand ldap_sudorule_host (sträng) LDAP-attributet som motsvarar värdnamnet (eller värdens IP-adress, värdens IP-nätverk eller värdens nätgrupp) Standard: sudoHost ldap_sudorule_user (sträng) LDAP-attributet som motsvarar användarnamnet (eller AID, gruppnamnet eller användarens nätgrupp) Standard: sudoUser ldap_sudorule_option (sträng) LDAP-attributet som motsvarar sudo-alternativen. Standard: sudoOption ldap_sudorule_runasuser (sträng) LDAP-attributet som motsvarar användarnamnet som kommandon får köras som. Standard: sudoRunAsUser ldap_sudorule_runasgroup (sträng) LDAP-attributet som motsvarar gruppnamnet eller grupp-GID:t som kommandon får köras som. Standard: sudoRunAsGroup ldap_sudorule_notbefore (sträng) LDAP-attributet som motsvarar startdagen/-tiden då sudo-regeln är giltig. Standard: sudoNotBefore ldap_sudorule_notafter (sträng) LDAP-attributet som motsvarar utgångsdagen/-tiden då sudo-regeln inte längre är giltig. Standard: sudoNotAfter ldap_sudorule_order (sträng) LDAP-attributet som motsvarar ordningsindexet för regeln. Standard: sudoOrder ldap_iphost_object_class (sträng) Objektklassen för en iphost-post i LDAP. Standard: ipHost ldap_iphost_name (sträng) LDAP-attributet som innehåller namnet på IP-värdattributen och deras alias. Standard: cn ldap_iphost_number (sträng) LDAP-attributet som innehåller IP-värdadressen. Standard: ipHostNumber ldap_ipnetwork_object_class (sträng) Objektklassen för en ipnetwork-post i LDAP. Standard: ipNetwork ldap_ipnetwork_name (sträng) LDAP-attributet som innehåller namnet på IP-nätverksattributen och deras alias. Standard: cn ldap_ipnetwork_number (sträng) LDAP-attributet som innehåller IP-nätverksadressen. Standard: ipNetworkNumber