sssd-ipa 5 Формати файлів та правила sssd-ipa Модуль надання даних IPA SSSD На цій сторінці довідника описано налаштування засобу керування доступом IPA для sssd 8 . Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf 5 . Інструмент надання даних IPA — модуль, який використовується для встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує включення комп’ютера до домену IPA. Налаштування майже повністю автоматизовано, дані для нього отримуються безпосередньо з сервера. Засіб надання даних IPA уможливлює для SSSD використання засобу надання даних профілів sssd-ldap 5 та засобу надання даних розпізнавання sssd-krb5 5 з оптимізацією для середовищ IPA. Засіб надання даних IPA приймає ті самі параметри, які використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими виключеннями. Втім, встановлювати ці параметри не обов'язково і не рекомендовано. Засіб надання даних IPA в основному копіює типові параметри традиційних засобів надання даних ldap і krb5 із деякими виключенням. Відмінності наведено у розділі ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ. As an access provider, the IPA provider has a minimal configuration (see ipa_access_order) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC. Якщо у sssd.conf вказано auth_provider=ipa або access_provider=ipa, для id_provider також має бути вказано ipa. Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки Kerberos користувачів з довірених областей містять PAC. Для полегшення налаштовування відповідач PAC запускається автоматично, якщо налаштовано інструмент надання даних ідентифікаторів IPA. Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf 5 , щоб дізнатися більше про налаштування домену SSSD. ipa_domain (рядок) Визначає назву домену IPA. Є необов’язковим. Якщо не вказано, буде використано назву домену з налаштувань. ipa_server, ipa_backup_server (рядок) Впорядкований за пріоритетом список IP-адрес або назв вузлів, відокремлених комами, серверів IPA, з якими має встановити з’єднання SSSD. Докладніші відомості щодо резервних серверів викладено у розділі «РЕЗЕРВ». Цей список є необов’язковим, якщо увімкнено автоматичне виявлення служб. Докладніші відомості щодо автоматичного виявлення служб наведено у розділі «ПОШУК СЛУЖБ». ipa_hostname (рядок) Необов’язковий. Може бути встановлено на комп’ютерах, де hostname(5) не відповідає повній назві, що використовується доменом IPA для розпізнавання цього вузла. Назву вузла слід вказувати повністю. dyndns_update (булеве значення) Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично оновити на сервері DNS, вбудованому до FreeIPA, IP-адресу клієнта. Захист оновлення буде забезпечено за допомогою GSS-TSIG. Для оновлення буде використано IP-адресу з’єднання LDAP IPA, якщо не вказано іншу адресу за допомогою параметра «dyndns_iface». ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у цьому режимі типову область дії Kerberos має бути належним чином визначено у /etc/krb5.conf ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_update, користувачам слід переходити на нову назву, dyndns_update, у файлі налаштувань. Типове значення: false dyndns_ttl (ціле число) TTL, до якого буде застосовано клієнтський запис DNS під час його оновлення. Якщо dyndns_update має значення false, цей параметр буде проігноровано. Перевизначає TTL на боці сервера, якщо встановлено адміністратором. ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_ttl, користувачам слід переходити на нову назву, dyndns_ttl, у файлі налаштувань. Типове значення: 1200 (секунд) dyndns_iface (рядок) Необов'язковий. Застосовний, лише якщо dyndns_update має значення true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути використано для динамічних оновлень DNS. Спеціальне значення * означає, що слід використовувати IP-адреси з усіх інтерфейсів. ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_iface, користувачам слід переходити на нову назву, dyndns_iface, у файлі налаштувань. Типове значення: використовувати IP-адреси інтерфейсу, який використовується для з’єднання LDAP IPA Приклад: dyndns_iface = em1, vnet1, vnet2 dyndns_auth (рядок) Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені оновлення можна надсилати встановленням для цього параметра значення «none». Типове значення: GSS-TSIG dyndns_auth_ptr (рядок) Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання GSS-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені оновлення можна надсилати встановленням для цього параметра значення «none». Типове значення: те саме, що і dyndns_auth ipa_enable_dns_sites (булеве значення) Вмикає сайти DNS — визначення служб на основі адрес. Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку спробує визначення на основі адрес за допомогою запиту, що містить "_location.hostname.example.com", а потім повертається до традиційного визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, виявлені на основі визначення за адресою, вважатимуться основним серверами, а сервери IPA, виявлені за допомогою традиційного визначення SRV, вважатимуться резервними серверами. Типове значення: false dyndns_refresh_interval (ціле число) Визначає, наскільки часто серверний модуль має виконувати періодичні оновлення DNS на додачу до автоматичного оновлення, яке виконується під час кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не є обов’язкоми, його застосовують, лише якщо dyndns_update має значення true. Типове значення: 0 (вимкнено) dyndns_update_ptr (булеве значення) Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true. Значенням цього параметра у більшості розгорнутих систем IPA має бути False, оскільки сервер IPA створює записи PTR автоматично після зміни у записах переспрямовування. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. Типове значення: False (вимкнено) dyndns_force_tcp (булеве значення) Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну даними з сервером DNS. Типове значення: False (надати змогу nsupdate вибирати протокол) dyndns_server (рядок) Сервер DNS, який слід використовувати для виконання оновлення DNS. У більшості конфігурацій рекомендуємо не встановлювати значення для цього параметра. Встановлення значення для цього параметра потрібне для середовищ, де сервер DNS відрізняється від сервера профілів. Будь ласка, зауважте, що цей параметр буде використано лише для резервних спроб, якщо попередні спроби із використанням автовиявлення завершаться невдало. Типове значення: немає (надати nsupdate змогу вибирати сервер) dyndns_update_per_family (булеве значення) Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один крок. Типове значення: true ipa_access_order (string) Список відокремлених комами параметрів керування доступом. Можливі значення списку: expire: use IPA's account expiration policy. pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Ці параметри корисні, якщо користувачам потрібні попередження щодо скорого завершення строку дії пароля, і у випадках, коли розпізнавання засновано на відмінних від паролів методах, наприклад на ключах SSH. The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change their password immediately. Please note that 'access_provider = ipa' must be set for this feature to work. ipa_deskprofile_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з профілями станції (Desktop Profile) об’єктів. Типове значення: використання базової назви домену ipa_subid_ranges_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з підлеглими діапазонами об’єктів. Типове значення: значення cn=subids,%basedn ipa_hbac_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з HBAC об’єктів. Типове значення: використання базової назви домену ipa_host_search_base (рядок) Застарілий. Скористайтеся замість нього ldap_host_search_base. ipa_selinux_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку карт користувачів SELinux. Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку. Типове значення: значення ldap_search_base ipa_subdomains_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку надійних доменів. Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку. Типове значення: значення cn=trusts,%basedn ipa_master_domain_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку основного об’єкта домену. Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку. Типове значення: значення виразу cn=ad,cn=etc,%basedn ipa_views_search_base (рядок) Необов’язковий. Використати вказаний рядок як основу пошуку контейнерів перегляду. Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку. Типове значення: значення cn=views,cn=accounts,%basedn krb5_realm (рядок) Назва області дії Kerberos. Є необов’язковою, типовим значенням є значення «ipa_domain». Назва області дії Kerberos має особливе значення у IPA: цю назву буде перетворено у основний DN для виконання дій LDAP. krb5_confd_path (рядок) Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти налаштувань Kerberos. Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра значення «none». Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf SSSD) ipa_deskprofile_refresh (ціле число) Проміжок часу між послідовними пошуками правил профілів станції (Desktop Profile) щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо профілів станції. Типове значення: 5 (секунд) ipa_deskprofile_request_interval (ціле число) Час між пошуками у правилах профілів станцій на сервері IPA, якщо за останнім запитом не повернуто жодного правила. Типове значення: 60 (хвилин) ipa_hbac_refresh (ціле число) Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо керування доступом. Типове значення: 5 (секунд) ipa_hbac_selinux (ціле число) Проміжок часу між послідовними пошуками у картах SELinux щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо входу користувача до системи. Типове значення: 5 (секунд) ipa_server_mode (булеве значення) Цей параметр буде встановлено засобом встановлення IPA (ipa-server-install) автоматично, він визначає, чи запущено SSSD на сервері IPA. На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA. Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD працює на сервері IPA. Параметр ipa_server має бути налаштовано так, щоб він вказував на сам сервер IPA. Це типово робить засіб встановлення IPA, тому зміни вручну є зайвими. Не слід змінювати значення параметра full_name_format для того, щоб лише виводити короткі імена користувачів з довірених доменів. Типове значення: false ipa_automount_location (рядок) Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA Типове значення: адреса з назвою "default" SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA 4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для повноти, усі відповідні параметри наведено у списку разом з їхніми типовими значеннями. ipa_view_class (рядок) Клас об’єктів для контейнерів перегляду. Типове значення: nsContainer ipa_view_name (рядок) Назва атрибута, у якому зберігається назва перегляду. Типове значення: cn ipa_override_object_class (рядок) Клас об’єктів для об’єктів перевизначення Типове значення: ipaOverrideAnchor ipa_anchor_uuid (рядок) Назва атрибута, у якому зберігається посилання на початковий об’єкт на віддаленому домені. Типове значення: ipaAnchorUUID ipa_user_override_object_class (рядок) Назва класу об’єктів для перевизначень користувачів. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою. Перевизначення користувачів можуть містити атрибути, задані ldap_user_name ldap_user_uid_number ldap_user_gid_number ldap_user_gecos ldap_user_home_directory ldap_user_shell ldap_user_ssh_public_key Типове значення: ipaUserOverride ipa_group_override_object_class (рядок) Назва класу об’єктів для перевизначень груп. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою. Перевизначення груп можуть містити атрибути, задані ldap_group_name ldap_group_gid_number Типове значення: ipaGroupOverride Поведінка інструмента надання даних піддоменів IPA залежить від того, у який спосіб його налаштовано: явний чи неявний. Якщо у розділі домену sssd.conf буде знайдено запис параметра «subdomains_provider = ipa», інструмент надання даних піддоменів IPA налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, якщо це потрібно. Якщо у розділі домену sssdconf не встановлено параметр «subdomains_provider», але встановлено параметр «id_provider = ipa», інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або відкриється доступ до інструмента надання даних IPA, інструмент надання даних піддоменів буде знову увімкнено. Крім того, деякі параметри налаштування може бути встановлено для довіреного домену. Налаштування довіреного домену можна встановити за допомогою підрозділу довіреного домену, як це показано у наведеному нижче прикладі. Крім того, можна скористатися параметром subdomain_inherit у батьківському домені. [domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо sssd.conf 5 . Перелік параметрів налаштовування для довіреного домену залежить від того, як ви налаштували SSSD на сервері IPA або клієнт IPA. У розділі піддомену на основному сервері IPA можна вказати такі параметри: ad_server ad_backup_server ad_site ldap_search_base ldap_user_search_base ldap_group_search_base use_fully_qualified_names У розділі піддомену на клієнті IPA можна вказати такі параметри: ad_server ad_site Зауважте, що якщо встановлено обидва параметри, буде враховано лише ad_server. Оскільки будь-який запит щодо ідентифікації користувача або групи від довіреного домену, який започатковано клієнтом IPA, обробляється сервером IPA, параметри ad_server і ad_site впливають лише на те, який з DC AD виконуватиме процедуру розпізнавання. Зокрема, адреси, які визначено за цими списками, буде записано до файлів kdcinfo, читання яких виконуватиметься додатком пошуку Kerberos. Будь ласка, зверніться до сторінки підручника щодо sssd_krb5_locator_plugin 8 , щоб дізнатися більше про додаток пошуку Kerberos. У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example.com є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише параметри доступу, специфічні для засобу ipa. [domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com