sssd-ldap-attributes 5 Формати файлів та правила sssd-ldap-attributes Засіб надання даних LDAP SSSD: атрибути прив'язування Цю сторінку підручника присвячено опису атрибутів прив'язування засобу надання даних LDAP SSSD sssd-ldap 5 . Повний опис параметрів налаштовування засобу надання даних LDAP SSSD наведено на сторінці підручника щодо sssd-ldap 5 . ldap_user_object_class (рядок) Клас об’єктів запису користувача у LDAP. Типове значення: posixAccount ldap_user_name (рядок) Атрибут LDAP, що відповідає назві облікового запису користувача. Типове значення: uid (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) ldap_user_uid_number (рядок) Атрибут LDAP, що відповідає ідентифікатору користувача. Типове значення: uidNumber ldap_user_gid_number (рядок) Атрибут LDAP, що відповідає ідентифікатору основної групи користувача. Типове значення: gidNumber ldap_user_primary_group (рядок) Атрибут основної групи Active Directory для встановлення відповідності ідентифікатора. Зауважте, що цей атрибут слід встановлювати вручну, лише якщо ви користуєтеся засобом надання даних ldap з прив'язкою до ідентифікаторів. Типове значення: unset (LDAP), primaryGroupID (AD) ldap_user_gecos (рядок) Атрибут LDAP, що відповідає полю gecos користувача. Типове значення: gecos ldap_user_home_directory (рядок) Атрибут LDAP, що містить назву домашнього каталогу користувача. Типове значення: homeDirectory (LDAP та IPA), unixHomeDirectory (AD) ldap_user_shell (рядок) Атрибут LDAP, що містить шлях до типової командної оболонки користувача. Типове значення: loginShell ldap_user_uuid (рядок) Атрибут LDAP, що містить UUID/GUID об’єкта користувача LDAP. Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA ldap_user_objectsid (рядок) Атрибут LDAP, що містить objectSID об’єкта користувача LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory. Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів. ldap_user_modify_timestamp (рядок) Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта. Типове значення: modifyTimestamp ldap_user_shadow_last_change (рядок) У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (дати останньої зміни пароля). Типове значення: shadowLastChange ldap_user_shadow_min (рядок) У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (мінімального віку пароля). Типове значення: shadowMin ldap_user_shadow_max (рядок) У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (максимального віку пароля). Типове значення: shadowMax ldap_user_shadow_warning (рядок) У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (проміжку попередження щодо пароля). Типове значення: shadowWarning ldap_user_shadow_inactive (рядок) У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (тривалості періоду невикористання пароля). Типове значення: shadowInactive ldap_user_shadow_expire (рядок) У разі використання ldap_pwd_policy=shadow або ldap_account_expire_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow 5 (дати завершення строку дії пароля). Типове значення: shadowExpire ldap_user_krb_last_pwd_change (рядок) Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час останньої зміни пароля у kerberos. Типове значення: krbLastPwdChange ldap_user_krb_password_expiration (рядок) Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час завершення строку дії поточного пароля. Типове значення: krbPasswordExpiration ldap_user_ad_account_expires (рядок) Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо строку завершення дії облікового запису. Типове значення: accountExpires ldap_user_ad_user_account_control (рядок) Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо поля контрольного біта облікового запису користувача. Типове значення: userAccountControl ldap_ns_account_lock (рядок) Якщо вказано ldap_account_expire_policy=rhds або еквівалентне налаштування, цей параметр визначає, заборонено чи дозволено доступ. Типове значення: nsAccountLock ldap_user_nds_login_disabled (рядок) Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає, дозволено чи заборонено доступ. Типове значення: loginDisabled ldap_user_nds_login_expiration_time (рядок) Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає дату, до якої надано доступ. Типове значення: loginDisabled ldap_user_nds_login_allowed_time_map (рядок) Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає годити дня тижня, коли надається доступ. Типове значення: loginAllowedTimeMap ldap_user_principal (рядок) Атрибут LDAP, що містить Kerberos User Principal Name (UPN) користувача. Типове значення: krbPrincipalName ldap_user_extra_attrs (рядок) Відокремлений комами список атрибутів LDAP, які SSSD має отримувати разом зі звичайним набором атрибутів запису користувача. Список може або містити лише назви атрибутів LDAP, або відокремлені двокрапками кортежі з назви атрибута кешу SSSD та назви атрибута LDAP. Якщо вказано лише назву атрибута LDAP, атрибут зберігається до кешу буквально. Використання нетипової назви атрибута SSSD може бути потрібним середовищам, де налаштовано декілька доменів SSSD з різними схемами LDAP. Будь ласка, зауважте, що декілька назв атрибутів зарезервовано SSSD, зокрема атрибут «name». SSSD повідомить про помилку, якщо будь-які із зарезервованих назв атрибутів використано як назву додаткового атрибута. Приклади: ldap_user_extra_attrs = telephoneNumber Зберегти атрибут «telephoneNumber» з LDAP як «telephoneNumber» до кешу. ldap_user_extra_attrs = phone:telephoneNumber Зберегти атрибут «telephoneNumber» з LDAP як «phone» до кешу. Типове значення: not set ldap_user_ssh_public_key (рядок) Атрибут LDAP, який містить відкриті ключі SSH користувача. Типове значення: sshPublicKey ldap_user_fullname (рядок) Атрибут LDAP, що відповідає повному імені користувача. Типове значення: cn ldap_user_member_of (рядок) Атрибут LDAP зі списком груп, у яких бере участь користувач. Типове значення: memberOf ldap_user_authorized_service (рядок) Якщо access_provider=ldap і ldap_access_order=authorized_service, SSSD використовуватиме наявність атрибута authorizedService у записі користувача LDAP для визначення прав доступу. Спочатку визначаються явні заборони (!svc). Далі SSSD шукає явні дозволи (svc) і нарешті загальні дозволи або allow_all (*). Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати authorized_service, щоб система змогла скористатися параметром ldap_user_authorized_service. У деяких дистрибутивах (зокрема у Fedora-29+ або RHEL-8) службу PAM systemd-user завжди включено до процедури входу до системи. Тому при використанні керування доступом на основі даних служб варто додавати службу systemd-user до списку дозволених служб. Типове значення: authorizedService ldap_user_authorized_host (рядок) Якщо access_provider=ldap і ldap_access_order=host, SSSD використовуватиме наявність атрибута host у записі користувача LDAP для визначення прав доступу. Спочатку визначаються явні заборони (!host). Далі SSSD шукає явні дозволи (host) і нарешті загальні дозволи або allow_all (*). Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати host, щоб можна було скористатися параметром ldap_user_authorized_host. Типове значення: host ldap_user_authorized_rhost (рядок) Якщо access_provider=ldap і ldap_access_order=rhost, SSSD використовуватиме наявність атрибута rhost у записі користувача LDAP для визначення прав доступу. Те саме стосується і процесу перевірки вузла. Спочатку визначаються явні заборони (!rhost). Далі SSSD шукає явні дозволи (rhost) і нарешті загальні дозволи або allow_all (*). Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати rhost, щоб можна було скористатися параметром ldap_user_authorized_rhost. Типове значення: rhost ldap_user_certificate (рядок) Назва атрибута LDAP, що містить сертифікат X509 користувача. Типове значення: userCertificate;binary ldap_user_email (рядок) Назва атрибута LDAP, який містить адресу електронної пошти користувача. Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email. Типове значення: mail ldap_user_passkey (string) Name of the LDAP attribute containing the passkey mapping data of the user. Default: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) ldap_group_object_class (рядок) Клас об’єктів запису групи у LDAP. Типове значення: posixGroup ldap_group_name (рядок) The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups. Типове значення: cn (rfc2307, rfc2307bis і IPA), sAMAccountName (AD) ldap_group_gid_number (рядок) Атрибут LDAP, що відповідає ідентифікатору групи. Типове значення: gidNumber ldap_group_member (рядок) Атрибут LDAP, у якому містяться імена учасників групи. Типове значення: memberuid (rfc2307) / member (rfc2307bis) ldap_group_uuid (рядок) Атрибут LDAP, що містить UUID/GUID об’єкта групи LDAP. Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA ldap_group_objectsid (рядок) Атрибут LDAP, що містить objectSID об’єкта групи LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory. Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів. ldap_group_modify_timestamp (рядок) Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта. Типове значення: modifyTimestamp ldap_group_type (рядок) Атрибут LDAP, що містить ціле значення і позначає тип групи, а також, можливо, інші прапорці. Цей атрибут у поточній версії використовується лише засобом надання даних AD для визначення, чи є група локальною групою домену і чи має бути її відфільтровано у списку надійних (довірених) доменів. Типове значення: groupType у засобі надання даних AD, у інших засобах не встановлено ldap_group_external_member (рядок) Атрибут LDAP, який посилається на записи учасників групи, які визначено у зовнішньому домені. У поточній версії передбачено підтримку лише зовнішніх записів учасників IPA. Типове значення: ipaExternalMember у засобі надання даних IPA, у інших засобах не визначено. ldap_netgroup_object_class (рядок) Клас об’єктів запису мережевої групи (netgroup) у LDAP. У надавачі даних IPA має бути використано ipa_netgroup_object_class. Типове значення: nisNetgroup ldap_netgroup_name (рядок) Атрибут LDAP, що відповідає назві мережевої групи (netgroup). У надавачі даних IPA має бути використано ipa_netgroup_name. Типове значення: cn ldap_netgroup_member (рядок) Атрибут LDAP, у якому містяться імена учасників мережевої групи (netgroup). У надавачі даних IPA має бути використано ipa_netgroup_member. Типове значення: memberNisNetgroup ldap_netgroup_triple (рядок) Атрибут LDAP, що містить трійки мережевої групи (вузол, користувач, домен). Цим параметром не можна скористатися у надавачі даних IPA. Типове значення: nisNetgroupTriple ldap_netgroup_modify_timestamp (рядок) Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта. Цим параметром не можна скористатися у надавачі даних IPA. Типове значення: modifyTimestamp ldap_host_object_class (рядок) Клас об’єктів запису вузла у LDAP. Типове значення: ipService ldap_host_name (рядок) Атрибут LDAP, що відповідає назві вузла. Типове значення: cn ldap_host_fqdn (рядок) Атрибут LDAP, що відповідає повній назві вузла. Типове значення: fqdn ldap_host_serverhostname (рядок) Атрибут LDAP, що відповідає назві вузла. Типове значення: serverHostname ldap_host_member_of (рядок) Атрибут LDAP зі списком груп, у яких бере участь вузол. Типове значення: memberOf ldap_host_ssh_public_key (рядок) Атрибут LDAP, який містить відкриті ключі SSH вузла. Типове значення: sshPublicKey ldap_host_uuid (рядок) Атрибут LDAP, що містить UUID/GUID об’єкта вузла LDAP. Типове значення: not set ldap_service_object_class (рядок) Клас об’єктів запису служби у LDAP. Типове значення: ipService ldap_service_name (рядок) Атрибут LDAP, що містить назву атрибутів служби та замінників цих атрибутів. Типове значення: cn ldap_service_port (рядок) Атрибут LDAP, що містить номер порту, яким керує ця служба. Типове значення: ipServicePort ldap_service_proto (рядок) Атрибут LDAP, що містить протоколи, за яким може працювати ця служба. Типове значення: ipServiceProtocol ldap_sudorule_object_class (рядок) Клас об’єктів запису правила sudo у LDAP. Типове значення: sudoRole ldap_sudorule_name (рядок) Атрибут LDAP, що відповідає назві правила sudo. Типове значення: cn ldap_sudorule_command (рядок) Атрибут LDAP, що відповідає назві команди. Типове значення: sudoCommand ldap_sudorule_host (рядок) Атрибут LDAP, який відповідає назві вузла (або IP-адресі вузла, IP-мережі вузла, мережевій групі вузла) Типове значення: sudoHost ldap_sudorule_user (рядок) Атрибут LDAP, що відповідає назві імені користувача (або UID, назві групи або назві мережевої групи користувача) Типове значення: sudoUser ldap_sudorule_option (рядок) Атрибут LDAP, що відповідає параметрам sudo. Типове значення: sudoOption ldap_sudorule_runasuser (рядок) Атрибут LDAP, що відповідає користувачеві, від імені якого можна виконувати команди. Типове значення: sudoRunAsUser ldap_sudorule_runasgroup (рядок) Атрибут LDAP, що відповідає назві групи або GID, від імені якої можна виконувати команди. Типове значення: sudoRunAsGroup ldap_sudorule_notbefore (рядок) Атрибут LDAP, що відповідає даті і часу набуття чинності правилом sudo. Типове значення: sudoNotBefore ldap_sudorule_notafter (рядок) Атрибут LDAP, що відповідає даті і часу втрати чинності правилом sudo. Типове значення: sudoNotAfter ldap_sudorule_order (рядок) Атрибут LDAP, що відповідає порядковому номеру правила. Типове значення: sudoOrder ldap_iphost_object_class (рядок) Клас об'єктів запису iphost у LDAP. Типове значення: ipHost ldap_iphost_name (рядок) Атрибут LDAP, що містить назву атрибутів IP вузла та замінників цих атрибутів. Типове значення: cn ldap_iphost_number (рядок) Атрибут LDAP, який містить адресу IP вузла. Типове значення: ipHostNumber ldap_ipnetwork_object_class (рядок) Клас об'єктів запису ipnetwork у LDAP. Типове значення: ipNetwork ldap_ipnetwork_name (рядок) Атрибут LDAP, що містить назву атрибутів мережі IP та замінників цих атрибутів. Типове значення: cn ldap_ipnetwork_number (рядок) Атрибут LDAP, який містить адресу мережі IP. Типове значення: ipNetworkNumber