Сторінки підручника SSSD
sssd-ad
5
Формати файлів та правила
sssd-ad
Модуль надання даних Active Directory SSSD
ОПИС
На цій сторінці довідника описано налаштування засобу керування доступом AD
для sssd
8 . Щоб дізнатися більше про синтаксис
налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника
sssd.conf
5 .
Засіб надання даних AD є модулем, який використовується для встановлення
з'єднання із сервером Active Directory. Для роботи цього засобу надання
даних потрібно, щоб комп'ютер було долучено до домену AD і щоб було
доступним сховище ключів. Обмін даними із модулем відбувається за допомогою
каналу із шифруванням GSSAPI. Із засобом надання даних AD не слід
використовувати параметри SSL/TLS, оскільки їх перекриває використання
Kerberos.
У засобі надання даних AD передбачено підтримку встановлення з’єднання з
Active Directory 2008 R2 або пізнішою версією. Робота з попередніми версіями
можлива, але не підтримується.
Засобом надання даних AD можна скористатися для отримання даних щодо
користувачів і розпізнавання користувачів за допомогою довірених доменів. У
поточній версії передбачено підтримку використання лише довірених доменів з
того самого лісу. Крім того автоматично визначаються сервери із довірених
доменів.
Засіб надання даних AD уможливлює для SSSD використання засобу надання даних
профілів sssd-ldap
5 та засобу надання даних
розпізнавання sssd-krb5
5 з оптимізацією для середовищ Active
Directory. Засіб надання даних AD приймає ті самі параметри, які
використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими
виключеннями. Втім, встановлювати ці параметри не обов'язково і не
рекомендовано.
Засіб надання даних AD в основному копіює типові параметри традиційних
засобів надання даних ldap і krb5 із деякими виключенням. Відмінності
наведено у розділі ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ
.
Інструментом надання даних AD також можна скористатися для доступу, зміни
паролів запуску від імені користувача (sudo) та використання autofs. У
налаштовуванні керування доступом на боці клієнта немає потреби.
Якщо у sssdconf вказано auth_provider=ad
або
access_provider=ad
, для id_provider також має бути вказано
ad
.
Типово, модуль надання даних AD виконуватиме прив’язку до значень UID та GID
з параметра objectSID у Active Directory. Докладніший опис наведено у
розділі «ВСТАНОВЛЕННЯ ВІДПОВІДНОСТІ ІДЕНТИФІКАТОРІВ». Якщо вам потрібно
вимкнути встановлення відповідності ідентифікаторів і покладатися на
атрибути POSIX, визначені у Active Directory, вам слід встановити
ldap_id_mapping = False
Якщо має бути використано
атрибути POSIX, рекомендуємо з міркувань швидкодії виконувати також
реплікацію атрибутів до загального каталогу. Якщо виконується реплікація
атрибутів POSIX, SSSD намагатиметься знайти домен числового ідентифікатора
із запиту за допомогою загального каталогу і шукатиме лише цей домен. І
навпаки, якщо реплікація атрибутів POSIX до загального каталогу не
відбувається, SSSD доводиться шукати на усіх доменах у лісі послідовно. Будь
ласка, зауважте, що для пришвидшення пошуку без доменів також може бути
корисним використання параметра cache_first
. Зауважте, що
якщо у загальному каталозі є лише підмножина атрибутів POSIX, у поточній
версії невідтворювані атрибути з порту LDAP не читатимуться.
Дані щодо користувачів, груп та інших записів, які обслуговуються SSSD, у
модулі надання даних AD завжди обробляються із врахуванням регістру символів
для забезпечення сумісності з реалізацією Active Directory у LDAP.
SSSD може встановлювати відповідність лише груп захисту Active
Directory. Щоб дізнатися більше про типи груп AD, ознайомтеся із
підручником з груп захисту Active Directory
SSSD відфільтровуватиме локальні для домену групи від віддалених доменів у
лісі AD. Типово, групи буде відфільтровано, наприклад при слідуванні за
вкладеною ієрархією груп у віддалених доменах, оскільки вони не є чинними у
локальних доменах. Так зроблено для забезпечення узгодженості з призначенням
груп і участі у них Active Directory, яку можна переглянути у PAC квитка
Kerberos користувача, який видано Active Directory.
ПАРАМЕТРИ НАЛАШТУВАННЯ
Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man)
sssd.conf
5 , щоб дізнатися більше про
налаштування домену SSSD.
ad_domain (рядок)
Визначає назву домену Active Directory. Є необов’язковим. Якщо не вказано,
буде використано назву домену з налаштувань.
Для забезпечення належної роботи цей параметр слід вказати у форматі запису
малими літерами повної версії назви домену Active Directory.
Скорочена назва домену (також відома як назва NetBIOS або проста назва)
автоматично визначається засобами SSSD.
ad_enabled_domains (рядок)
A comma-separated list of enabled Active Directory domains. If provided,
SSSD will ignore any domains not listed in this option. If left unset, all
discovered domains from the AD forest will be available.
During the discovery of the domains SSSD will filter out some domains where
flags or attributes indicate that they do not belong to the local forest or
are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
listed domains.
Для належного функціонування значення цього параметра має бути вказано
малими літерами у форматі повної назви домену Active Directory. Приклад:
ad_enabled_domains = sales.example.com, eng.example.com
Скорочена назва домену (також відома як назва NetBIOS або проста назва)
автоматично визначається засобами SSSD.
Типове значення: не встановлено
ad_server, ad_backup_server (рядок)
Список назв тих вузлів серверів AD, відокремлених комами, з якими SSSD має
встановлювати з'єднання у порядку пріоритетності. Щоб дізнатися більше про
резервне використання серверів, ознайомтеся із розділом
РЕЗЕРВ
.
Цей список є необов’язковим, якщо увімкнено автоматичне виявлення
служб. Докладніші відомості щодо автоматичного виявлення служб наведено у
розділі «ПОШУК СЛУЖБ».
Зауваження: довірені домени завжди автоматично визначають сервери, навіть
якщо основний сервер явним чином визначено у параметрі ad_server.
ad_hostname (рядок)
Є необов'язковим. У системах, де hostname(5) не видає повноцінної назви,
sssd намагається розгорнути скорчену назву. Якщо це не вдасться зробити або
слід насправді використовувати скорочену назву, встановіть значення
параметра явним чином.
Це поле використовується для визначення використаного реєстраційного запису
вузла у таблиці ключів та виконання динамічних оновлень DNS. Його вміст має
збігатися із назвою вузла, для якого випущено таблицю ключів.
ad_enable_dns_sites (булеве значення)
Вмикає сайти DNS — визначення служб на основі адрес.
Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо
пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку
спробує визначити сервер Active Directory для встановлення з’єднання на
основі використання визначення сайтів Active Directory і повертається до
визначення за записами SRV DNS, якщо сайт AD не буде знайдено. Налаштування
SRV DNS, зокрема домен пошуку, використовуються також під час визначення
сайтів.
Типове значення: true
ad_access_filter (рядок)
Цей параметр визначає фільтр керування доступом LDAP, якому має відповідати
запис користувача для того, щоб йому було надано доступ. Будь ласка,
зауважте, що слід явним чином встановити для параметра «access_provider»
значення «ad», щоб цей параметр почав діяти.
У параметрі також передбачено підтримку визначення різних фільтрів для
окремих доменів або дерев. Цей розширений фільтр повинен мати такий формат:
«КЛЮЧОВЕ СЛОВО:НАЗВА:ФІЛЬТР». Набір підтримуваних ключових слів: «DOM»,
«FOREST» або ключове слово слід пропустити.
Якщо вказано ключове слово «DOM» або ключового слова не вказано, «НАЗВА»
визначає домен або піддомен, до якого застосовується фільтрування. Якщо
ключовим словом є «FOREST», фільтр застосовується до усіх доменів з лісу,
вказаного значенням «НАЗВА».
Декілька фільтрів можна відокремити символом «?», подібно до способу
визначення фільтрів у базах для пошуку.
Визначення участі у вкладених групах має відбуватися із використанням
спеціалізованого OID :1.2.840.113556.1.4.1941:
, окрім повних
синтаксичних конструкцій DOM:domain.example.org:, щоб засіб обробки не
намагався інтерпретувати символи двокрапки, пов'язані з OID. Якщо ви не
використовуєте цей OID, вкладена участь у групах не
визначатиметься. Ознайомтеся із прикладом використання, який наведено нижче,
і цим посиланням, щоб дізнатися більше про OID: [MS-ADTS]
Правила встановлення відповідності у LDAP
Завжди використовується відповідник з найвищим рівнем
відповідності. Наприклад, якщо визначено фільтрування для домену, учасником
якого є користувач, і загальне фільтрування, буде використано фільтрування
для окремого домену. Якщо буде виявлено декілька відповідників з однаковою
специфікацією, використовуватиметься лише перший з них.
Приклади:
# застосувати фільтрування лише для домену з назвою dom1:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# застосувати фільтрування лише для домену з назвою dom2:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# застосувати фільтрування лише для лісу з назвою EXAMPLE.COM:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# застосувати фільтрування до учасника вкладеної групи у dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
Типове значення: не встановлено
ad_site (рядок)
Визначає сайт AD, з яким має встановлювати з’єднання клієнт. Якщо не буде
вказано, виконуватиметься спроба автоматичного визначення сайта AD.
Типове значення: не встановлено
ad_enable_gc (булеве значення)
Типово, SSSD для отримання даних користувачів з надійних (довірених) доменів
спочатку встановлює з’єднання із загальним каталогом (Global Catalog). Якщо
ж отримати дані не вдасться, система використовує порт LDAP для отримання
даних щодо участі у групах. Вимикання цього параметра призведе до того, що
SSSD встановлюватиме зв’язок лише з портом LDAP поточного сервера AD.
Будь ласка, зауважте, що вимикання підтримки загального каталогу (Global
Catalog) не призведе до вимикання спроб отримати дані користувачів з
надійних (довірених) доменів. Просто SSSD намагатиметься отримати ці ж дані
за допомогою порту LDAP надійних доменів. Втім, загальним каталогом (Global
Catalog) доведеться скористатися для визначення зв’язків даних щодо участі у
групах для різних доменів.
Типове значення: true
ad_gpo_access_control (рядок)
Цей параметр визначає режим роботи для функціональних можливостей керування
доступом на основі GPO: працюватиме система у вимкненому режимі, режимі
примушення чи дозвільному режимі. Будь ласка, зауважте, що для того, щоб цей
параметр запрацював, слід явним чином встановити для параметра
«access_provider» значення «ad».
Функціональні можливості з керування доступом на основі GPO використовують
параметри правил GPO для визначення того, може чи не може той чи інший
користувач увійти до системи вузла мережі. Якщо вам потрібна докладніша
інформація щодо підтримуваних параметрів правил, зверніться до параметрів
ad_gpo_map
.
Будь ласка, зверніть увагу на те, що у поточній версії SSSD не передбачено
підтримки вбудованих груп Active Directory Вбудовані групи до правил
керування доступом на основі GPO (зокрема Administrators із SID
S-1-5-32-544) SSSD просто ігноруватиме. Див. запис системи стеження за
вадами https://pagure.io/SSSD/sssd/issue/5063 .
Перед виконанням керування доступом SSSD застосовує захисне фільтрування на
основі правил груп до списку GPO. Для кожного входу користувача до системи
програма перевіряє застосовність GPO, які пов'язано із відповідним
вузлом. Щоб GPO можна було застосувати до користувача, користувач або
принаймні одна з груп, до яких він належить, повинен мати такі права доступу
до GPO:
Read: користувач або одна з його груп повинна мати доступ до читання
властивостей GPO (RIGHT_DS_READ_PROPERTY)
Apply Group Policy: користувач або принаймні одна з його груп повинна мати
доступ до застосування GPO (RIGHT_DS_CONTROL_ACCESS).
Типово, у GPO є група Authenticated Users, для якої встановлено одразу права
доступу Read та Apply Group Policy. Оскільки розпізнавання користувача має
бути успішно завершено до захисного фільтрування GPO і запуску керування
доступом, до облікового запису користувача завжди застосовуються права
доступу групи Authenticated Users щодо GPO.
ЗАУВАЖЕННЯ: якщо встановлено режим роботи «примусовий» (enforcing), можлива
ситуація, коли користувачі, які раніше мали доступ до входу, позбудуться
такого доступу (через використання параметрів правил GPO). З метою полегшити
перехід на нову систему для адміністраторів передбачено дозвільний режим
доступу (permissive), за якого правила керування доступом не
встановлюватимуться у примусовому порядку. Програма лише перевірятиме
відповідність цим правилам і виводитиме до системного журналу повідомлення,
якщо доступ було надано усупереч цим правилам. Вивчення журналу надасть
змогу адміністраторам внести відповідні зміни до встановлення примусового
режиму (enforcing). Для запису до журналу даних керування доступом на основі
GPO потрібен рівень діагностики «trace functions» (див. сторінку підручника
sssctl
8 ).
У цього параметра є три підтримуваних значення:
disabled: правила керування доступом, засновані на GPO, не обробляються і не
використовуються примусово.
enforcing: правила керування доступом, засновані на GPO, обробляються і
використовуються примусово.
permissive: виконати перевірку відповідності правилам керування доступом на
основі GPO, але не наполягати на їхньому виконанні. Якщо правила не
виконуються, вивести до системного журналу повідомлення про те, що
користувачеві було б заборонено доступ, якби використовувався режим
enforcing.
Типове значення: permissive
Типове значення: enforcing
ad_gpo_implicit_deny (булеве значення)
Зазвичай, якщо не буде знайдено відповідних GPO, користувачам буде надано
доступ. Якщо для цього параметра встановлено значення True, доступ
користувачам надаватиметься, лише якщо його явним чином дозволено правилом
GPO. Якщо ж такого дозвільного правила не буде виявлено, доступ буде
заборонено. Цим можна скористатися для підвищення рівня захисту, але слід
бути обережним із використанням цього параметра, оскільки за його допомогою
можна заборонити доступ навіть користувачам у вбудованій групі
Administrators, якщо немає правил GPO, якими надається такий доступ.
Типове значення: False
У наведених нижче двох таблицях проілюстровано ситуації, у яких
користувачеві буде дозволено або відмовлено у доступі на основі прав дозволу
або заборони входу, які визначено на боці сервера, і встановленого значення
ad_gpo_implicit_deny.
ad_gpo_implicit_deny = False (типове значення)
allow-rulesdeny-rules
результати
missingmissing
дозволені усі користувачі
missingpresent
дозволені лише користувачі, яких немає у deny-rules
presentmissing
дозволені лише користувачі, які є у allow-rules
presentpresent
дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules
ad_gpo_implicit_deny = True
allow-rulesdeny-rules
результати
missingmissing
заборонено усіх користувачів
missingpresent
заборонено усіх користувачів
presentmissing
дозволені лише користувачі, які є у allow-rules
presentpresent
дозволені лише користувачі, які є в allow-rules і яких немає у deny-rules
ad_gpo_ignore_unreadable (булеве значення)
Зазвичай, якщо певні контейнери правил групи (об'єкта AD) відповідних
об'єктів правил груп є непридатним до читання з SSSD, доступ користувачам
буде заборонено. За допомогою цього параметра можна проігнорувати контейнери
правил груп та пов'язані із ними правила, якщо їхні атрибути у контейнерах
правил груп є непридатним до читання з SSSD.
Типове значення: False
ad_gpo_cache_timeout (ціле число)
Проміжок часу між послідовними пошуками файлів правил GPO щодо сервера
AD. Зміна може зменшити час затримки та навантаження на сервер AD, якщо
протягом короткого періоду часу надходить багато запитів щодо керування
доступом.
Типове значення: 5 (секунд)
ad_gpo_map_interactive (рядок)
Список назв служб PAM, відокремлених комами, для яких оцінки для керування
доступом на основі GPO виконуються на основі параметрів правил
InteractiveLogonRight і DenyInteractiveLogonRight. Виконуватиметься оцінка
лише тих GPO, до яких користувач має права доступу Read і Apply Group Policy
(див. параметр ad_gpo_access_control
). Якщо у якомусь із
оброблених GPO міститься параметр заборони інтерактивного входу до системи
для користувача або однієї з його груп, користувачеві буде заборонено
локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права
на інтерактивний вхід до системи, користувачеві буде надано локальний
доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на
інтерактивний вхід до системи, користувачеві буде надано лише локальний
доступ, якщо він або принаймні одна з його груп є частиною параметрів
правила.
Зауваження: у редакторі керування правилами для груп це значення має назву
«Дозволити локальний вхід» («Allow log on locally») та «Заборонити локальний
вхід» («Deny log on locally»).
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
замінити типову назву служби PAM для цього входу (наприклад, «login») з
нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_interactive = +my_pam_service, -login
Типове значення: типовий набір назв служб PAM складається з таких значень:
login
su
su-l
gdm-fingerprint
gdm-password
gdm-smartcard
kdm
lightdm
lxdm
sddm
unity
xdm
ad_gpo_map_remote_interactive (рядок)
Список назв служб PAM, відокремлених комами, для яких оцінки для керування
доступом на основі GPO виконуються на основі параметрів правил
RemoteInteractiveLogonRight і
DenyRemoteInteractiveLogonRight. Виконуватиметься оцінка лише тих GPO, до
яких користувач має права доступу Read і Apply Group Policy (див. параметр
ad_gpo_access_control
). Якщо у якомусь із оброблених GPO
міститься параметр заборони віддаленого входу до системи для користувача або
однієї з його груп, користувачеві буде заборонено віддалений інтерактивний
доступ. Якщо для жодного із оброблених GPO немає визначеного права на
віддалений вхід до системи, користувачеві буде надано віддалений
доступ. Якщо хоча б одному зі оброблених GPO містяться параметри прав на
віддалений вхід до системи, користувачеві буде надано лише віддалений
доступ, якщо він або принаймні одна з його груп є частиною параметрів
правила.
Зауваження: у редакторі керування правилами щодо груп це значення
називається «Дозволити вхід за допомогою служб віддаленої стільниці» («Allow
log on through Remote Desktop Services») та «Заборонити вхід за допомогою
служб віддаленої стільниці» («Deny log on through Remote Desktop Services»).
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
замінити типову назву служби PAM для цього входу (наприклад, «sshd») з
нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_remote_interactive = +my_pam_service, -sshd
Типове значення: типовий набір назв служб PAM складається з таких значень:
sshd
cockpit
ad_gpo_map_network (рядок)
Список назв служб PAM, відокремлених комами, для яких оцінки для керування
доступом на основі GPO виконуються на основі параметрів правил
NetworkLogonRight і DenyNetworkLogonRight. Виконуватиметься оцінка лише тих
GPO, до яких користувач має права доступу Read і Apply Group Policy
(див. параметр ad_gpo_access_control
). Якщо у якомусь із
оброблених GPO міститься параметр заборони входу до системи за допомогою
мережі для користувача або однієї з його груп, користувачеві буде заборонено
локальний доступ. Якщо для жодного із оброблених GPO немає визначеного права
на вхід до системи за допомогою мережі, користувачеві буде надано доступ до
входу. Якщо хоча б одному зі оброблених GPO містяться параметри прав на вхід
до системи за допомогою мережі, користувачеві буде надано лише доступ до
входу до системи, якщо він або принаймні одна з його груп є частиною
параметрів правила.
Зауваження: у редакторі керування правилами щодо груп це значення
називається «Відкрити доступ до цього комп’ютера із мережі» («Access this
computer from the network») і «Заборонити доступ до цього комп’ютера із
мережі» (Deny access to this computer from the network»).
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
замінити типову назву служби PAM для цього входу (наприклад, «ftp») з
нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_network = +my_pam_service, -ftp
Типове значення: типовий набір назв служб PAM складається з таких значень:
ftp
samba
ad_gpo_map_batch (рядок)
Список назв служб PAM, відокремлених комами, для яких оцінки для керування
доступом на основі GPO виконуються на основі параметрів правил
BatchLogonRight і DenyBatchLogonRight. Виконуватиметься оцінка лише тих GPO,
до яких користувач має права доступу Read і Apply Group Policy
(див. параметр ad_gpo_access_control
). Якщо у якомусь із
оброблених GPO міститься параметр заборони пакетного входу до системи для
користувача або однієї з його груп, користувачеві буде заборонено доступ до
пакетного входу до системи. Якщо для жодного із оброблених GPO немає
визначеного права на пакетний вхід до системи, користувачеві буде надано
доступ до входу до системи. Якщо хоча б одному зі оброблених GPO містяться
параметри прав на пакетний вхід до системи, користувачеві буде надано лише
доступ до входу до системи, якщо він або принаймні одна з його груп є
частиною параметрів правила.
Зауваження: у редакторі керування правилами щодо груп це значення
називається «Дозволити вхід як пакетне завдання» («Allow log on as a batch
job») і «Заборонити вхід як пакетне завдання» («Deny log on as a batch
job»).
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
замінити типову назву служби PAM для цього входу (наприклад, «crond») з
нетиповою назвою служби pam (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_batch = +my_pam_service, -crond
Зауваження: назва служби cron у різних дистрибутивах Linux може бути різною.
Типове значення: типовий набір назв служб PAM складається з таких значень:
crond
ad_gpo_map_service (рядок)
Список назв служб PAM, відокремлених комами, для яких оцінки для керування
доступом на основі GPO виконуються на основі параметрів правил
ServiceLogonRight і DenyServiceLogonRight. Виконуватиметься оцінка лише тих
GPO, до яких користувач має права доступу Read і Apply Group Policy
(див. параметр ad_gpo_access_control
). Якщо у якомусь із
оброблених GPO міститься параметр заборони входу до системи за допомогою
служб для користувача або однієї з його груп, користувачеві буде заборонено
вхід до системи за допомогою служб. Якщо для жодного із оброблених GPO немає
визначеного права на вхід до системи за допомогою служб, користувачеві буде
надано доступ до входу до системи. Якщо хоча б одному зі оброблених GPO
містяться параметри прав на вхід до системи за допомогою служб,
користувачеві буде надано лише доступ до входу до системи, якщо він або
принаймні одна з його груп є частиною параметрів правила.
Зауваження: у редакторі керування правилами щодо груп це значення
називається «Дозволити вхід як службу» («Allow log on as a service») і
«Заборонити вхід як службу» («Deny log on as a service»).
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби
з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати
нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_service = +my_pam_service
Типове значення: not set
ad_gpo_map_permit (рядок)
Список назв служб PAM, відокремлених комами, яким завжди надається доступ на
основі GPO, незалежно від будь-яких прав входу GPO.
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
замінити типову назву служби PAM для безумовного дозволеного доступу
(наприклад, «sudo») з нетиповою назвою служби pam (наприклад,
«my_pam_service»), вам слід скористатися такими налаштуваннями:
ad_gpo_map_permit = +my_pam_service, -sudo
Типове значення: типовий набір назв служб PAM складається з таких значень:
polkit-1
sudo
sudo-i
systemd-user
ad_gpo_map_deny (рядок)
Список назв служб PAM, відокремлених комами, яким завжди заборонено доступ
на основі GPO, незалежно від будь-яких прав входу GPO.
Можна додати іншу назву служби PAM до типового набору за допомогою
конструкції «+назва_служби». Оскільки типовий набір є порожнім, назви служби
з типового набору назв служб PAM вилучити неможливо. Наприклад, щоб додати
нетипову назву служби PAM (наприклад, «my_pam_service»), вам слід
скористатися такими налаштуваннями:
ad_gpo_map_deny = +my_pam_service
Типове значення: not set
ad_gpo_default_right (рядок)
За допомогою цього параметра визначається спосіб керування доступом для назв
служб PAM, які не вказано явним чином у одному з параметрів
ad_gpo_map_*. Цей параметр може бути встановлено у два різних
способи. По-перше, цей параметр можна встановити так, що
використовуватиметься типовий вхід. Наприклад, якщо для цього параметра
встановлено значення «interactive», непов’язані назви служб PAM
оброблятимуться на основі параметрів правил InteractiveLogonRight і
DenyInteractiveLogonRight. Крім того, для цього параметра можна встановити
таке значення, щоб система завжди дозволяла або забороняла доступ для
непов’язаних назв служб PAM.
Передбачені значення для цього параметра:
interactive
remote_interactive
network
batch
service
permit
deny
Типове значення: deny
ad_maximum_machine_account_password_age (ціле число)
SSSD перевірятиме раз на день, чи має пароль до облікового запису комп'ютера
вік, який перевищує заданий вік у днях, і намагатиметься оновити
його. Значення 0 вимкне спроби оновлення.
Типове значення: 30 днів
ad_machine_account_password_renewal_opts (рядок)
Цей параметр має використовуватися лише для перевірки завдання із оновлення
облікових записів комп'ютерів. Параметру слід передати цілих числа,
відокремлених двокрапкою («:»). Перше ціле число визначає інтервал у
секундах між послідовними повторними виконаннями завдання з оновлення. Друге
— визначає початковий час очікування на перший запуск завдання.
Типове значення: 86400:750 (24 годин і 15 хвилин)
ad_update_samba_machine_account_password (булеве значення)
Якщо увімкнено, при оновленні SSSD пароля до облікового запису комп'ютера
програма також оновить запис пароля у базі даних Samba. Таким чином буде
забезпечено актуальність копії пароля до облікового запису у Samba, якщо її
налаштовано на використання AD для розпізнавання.
Типове значення: false
ad_use_ldaps (булеве значення)
Типово, у SSSD використовується звичайний порт LDAP 389 і порт Global
Catalog 3628. Якщо для цього параметра встановлено значення True, SSSD
використовуватиме порт LDAPS 636 і порт Global Catalog 3629 із захистом
LDAPS. Оскільки AD забороняє використання декількох шарів шифрування для
одного з'єднання, і нам усе ще потрібне використання SASL/GSSAPI або
SASL/GSS-SPNEGO для розпізнавання, властивість захисту SASL maxssf для таких
з'єднань буде встановлено у значення 0 (нуль).
Типове значення: False
ad_allow_remote_domain_local_groups (булеве значення)
Якщо для цього параметра встановлено значення true
, SSSD не
відфільтровуватиме локальні для домену групи від віддалених доменів у лісі
AD. Типово, групи буде відфільтровано, наприклад при слідуванні за вкладеною
ієрархією груп у віддалених доменах, оскільки вони не є чинними у локальних
доменах. Цей параметр було додано для сумісності із іншими рішеннями, які
роблять користувачів і групи AD доступними у клієнті Linux.
Будь ласка, зауважте, що встановлення для цього параметра значення
true
суперечить призначенню локальної групи домену в Active
Directory, НИМ СЛІД КОРИСТУВАТИСЯ ЛИШЕ ДЛЯ ПОЛЕГШЕННЯ МІГРАЦІЇ З
ІНШИХ РІШЕНЬ. Хоча група існує і користувач може бути учасником
групи, їх призначено для використання лише у визначеному для неї домену, а
не в інших. Оскільки існує лише один тип груп POSIX, єдиним способом досягти
цього з боку Linux є ігнорування цих груп. Зробити це можна також у Active
Directory, як можна бачити у PAC квитка Kerberos для локальної служби, або у
запитах tokenGroups, де також немає віддалених груп локальних доменів.
З огляду на наведені вище коментарі, якщо для цього параметра встановлено
значення true
, запит tokenGroups має бути вимкнено
встановленням ldap_use_tokengroups
у значення
false
для отримання узгодженого членства користувачів у
групах. Крім того, пошук у загальному каталозі має бути пропущено
встановленням для параметра ad_enable_gc
значення
false
. Нарешті, можливо, слід внести зміни до
ldap_group_nesting_level
, якщо віддалені локальні групи
домену може бути знайдено лише на глибшому рівні вкладеності.
Типове значення: False
dyndns_update (булеве значення)
Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично
оновити IP-адресу цього клієнта на сервері DNS Active Directory. Захист
оновлення буде забезпечено за допомогою GSS-TSIG. Як наслідок,
адміністраторові Active Directory достатньо буде дозволити оновлення безпеки
для зони DNS. Для оновлення буде використано IP-адресу з’єднання LDAP AD,
якщо цю адресу не було змінено за допомогою параметра «dyndns_iface».
ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у
цьому режимі типову область дії Kerberos має бути належним чином визначено у
/etc/krb5.conf
Типове значення: true
dyndns_ttl (ціле число)
TTL, до якого буде застосовано клієнтський запис DNS під час його
оновлення. Якщо dyndns_update має значення false, цей параметр буде
проігноровано. Перевизначає TTL на боці сервера, якщо встановлено
адміністратором.
Типове значення: 3600 (секунд)
dyndns_iface (рядок)
Необов'язковий. Застосовний, лише якщо dyndns_update має значення
true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути
використано для динамічних оновлень DNS. Спеціальне значення
*
означає, що слід використовувати IP-адреси з усіх
інтерфейсів.
Типове значення: використовувати IP-адреси інтерфейсу, який використовується
для з’єднання LDAP AD
Приклад: dyndns_iface = em1, vnet1, vnet2
dyndns_refresh_interval (ціле число)
Визначає, наскільки часто серверний модуль має виконувати періодичні
оновлення DNS на додачу до автоматичного оновлення, яке виконується під час
кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не
є обов’язкоми, його застосовують, лише якщо dyndns_update має значення
true. Зауважте, що найменшим можливим значенням є 60 секунд. Якщо буде
вказано значення, яке є меншим за 60, використовуватиметься найменше можливе
значення.
Типове значення: 86400 (24 години)
dyndns_update_ptr (булеве значення)
Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів
DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true.
Note that dyndns_update_per_family parameter does not
apply for PTR record updates. Those updates are always sent separately.
Типове значення: True
dyndns_force_tcp (булеве значення)
Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну
даними з сервером DNS.
Типове значення: False (надати змогу nsupdate вибирати протокол)
dyndns_auth (рядок)
Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання
GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені
оновлення можна надсилати встановленням для цього параметра значення «none».
Типове значення: GSS-TSIG
dyndns_auth_ptr (рядок)
Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання
GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені
оновлення можна надсилати встановленням для цього параметра значення «none».
Типове значення: те саме, що і dyndns_auth
dyndns_server (рядок)
Сервер DNS, який слід використовувати для виконання оновлення DNS. У
більшості конфігурацій рекомендуємо не встановлювати значення для цього
параметра.
Встановлення значення для цього параметра потрібне для середовищ, де сервер
DNS відрізняється від сервера профілів.
Будь ласка, зауважте, що цей параметр буде використано лише для резервних
спроб, якщо попередні спроби із використанням автовиявлення завершаться
невдало.
Типове значення: немає (надати nsupdate змогу вибирати сервер)
dyndns_update_per_family (булеве значення)
Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім
оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один
крок.
Типове значення: true
krb5_confd_path (рядок)
Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти
налаштувань Kerberos.
Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра
значення «none».
Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf
SSSD)
ПРИКЛАД
У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином,
а example.com є одним з доменів у розділі
[sssd]. У прикладі продемонстровано лише
параметри доступу, специфічні для засобу AD.
[domain/EXAMPLE]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
ЗАУВАЖЕННЯ
Інструмент керування доступом AD перевіряє, чи не завершено строк дії
облікового запису. Дає той самий результат, що і ось таке налаштовування
інструмента надання даних LDAP:
access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
Втім, якщо явно не налаштовано засіб надання доступу «ad», типовим засобом
надання доступу буде «permit». Будь ласка, зауважте, що якщо вами
налаштовано засіб надання доступу, відмінний від «ad», вам доведеться
встановлювати усі параметри з’єднання (зокрема адреси LDAP та параметри
шифрування) вручну.
Якщо для засобу надання даних autofs встановлено значення ad
,
використовується схема прив'язки атрибутів RFC2307 (nisMap, nisObject, ...),
оскільки ці атрибути включено до типової схеми Active Directory.