sssd-simple 5 Filformat och konventioner sssd-simple konfigurationsfilen för SSSD:s åtkomststyrningsleverantör ”simple” Denna manualsida beskriver konfigurationen av åtkomststyrningsleverantören simple till sssd 8 . För en detaljerad referens om syntaxen, se avsnittet FILFORMAT i manualsidan sssd.conf 5 . Åtkomstleverantören simple tillåter eller nekar åtkomst baserat på en åtkomst- eller nekandelista över användar- eller gruppnamn. Följande regler är tillämpliga: Om alla listor är tomma tillåts åtkomst Om någon lista tillhandahålls är evalueringsordningen allow,deny. Detta betyder att en deny-regel som matchar kommer gå före en eventuell matchande allow-regel. Om antingen den ena eller båda ”tillåtelselistorna” tillhandahålls nekas alla användare om de inte förekommer i listan. Om endast ”nekandelistor” tillhandahålls tillåts alla användare åtkomst om de inte förekommer i listan. Se DOMÄNSEKTIONER i manualsidan sssd.conf 5 för detaljer om konfigurationen av en SSSD-domän. simple_allow_users (sträng) Kommaseparerad lista över användare som tillåts att logga in. simple_deny_users (sträng) Kommaseparerad lista över användare som explicit nekas åtkomst. simple_allow_groups (sträng) Kommaseparerad lista över grupper som tillåts logga in. Detta är endast tillämpligt på grupper i denna SSSD-domän. Lokala grupper utvärderas inte. simple_deny_groups (sträng) Kommaseparerad lista över grupper som nekas åtkomst. Detta är endast tillämpligt på grupper i denna SSSD-domän. Lokala grupper utvärderas inte. Att inte ange några värden för någon av listorna är likvärdigt med att hoppa över det helt. Var medveten om detta när parametrar genereras för leverantören simple med automatiserade skript. Observera att det är ett konfigurationsfel om båda, simple_allow_users och simple_deny_users, är definierade. Följande exempel antar att SSSD är korrekt konfigurerat och att example.com är en av domänerna i avsnittet [sssd]. Dessa exempel visar endast alternativ som är specifika för åtkomstleverantören simple. [domain/example.com] access_provider = simple simple_allow_users = användare1, användare2 Den fullständiga gruppmedlemskapshierarkin löses upp före åtkomstkontrollen, alltså kan även nästade grupper inkluderas i åtkomstlistorna. Var medveten om att alternativet ldap_group_nesting_level kan påverka resultaten och skall sättas till ett tillräckligt värde. ( sssd-ldap5 ).