1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
|
<refsect1 id='idmap'>
<title>ID-ABBILDUNG</title>
<para>
Die ID-Abbildungsfunktionalität ermöglicht es SSSD, als Client eines Active
Directorys zu agieren, ohne dass Administratoren Benutzerattribute erweitern
müssen, damit POSIX-Attribute für Benutzer- und Gruppenkennzeichner
unterstützt werden.
</para>
<para>
HINWEIS: Wenn ID-Abbildung aktiviert ist, werden die Attribute »uidNumber«
und »gidNumber« ignoriert. Dies geschieht, um mögliche Konflikte zwischen
automatisch und manuell zugewiesenen Werten zu vermeiden. Falls Sie manuell
zugewiesene Werte benutzen müssen, müssen Sie ALLE Werte manuell zuweisen.
</para>
<para>
Bitte beachten Sie, dass die Änderung der die ID-Abbildung betreffenden
Konfigurationsoptionen auch die Änderung der Benutzer- und Gruppen-IDs nach
sich zieht. Momentan unterstützt SSSD die Änderung der IDs nicht, daher muss
die Datenbank entfernt werden. Da auch zwischengespeicherte Passwörter in
der Datenbank enthalten sind, sollte diese nur entfernt werden, während die
Authentifizierungsserver erreichbar sind, anderenfalls könnten Benutzer
ausgesperrt werden. Um das Passwort zwischenzuspeichern, muss eine
Authentifizierung ausgeführt werden. Es reicht nicht aus, <citerefentry>
<refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum>
</citerefentry> zum Löschen der Datenbank auszuführen, vielmehr sind
folgende Schritte erforderlich:
<itemizedlist>
<listitem>
<para>
Stellen Sie sicher, dass entfernte Server erreichbar sind.
</para>
</listitem>
<listitem>
<para>
Stoppen Sie den SSSD-Dienst.
</para>
</listitem>
<listitem>
<para>
Entfernen Sie die Datenbank.
</para>
</listitem>
<listitem>
<para>
Starten Sie den SSSD-Dienst.
</para>
</listitem>
</itemizedlist>
Außerdem ist es ratsam, vorauszuplanen und die ID-Abbildung gründlich zu
testen, da die Änderung der IDs Änderungen anderer Systemeigenschaften nach
sich ziehen könnte, wie die Besitzverhältnisse von Dateien und
Verzeichnissen.
</para>
<refsect2 id='idmap_algorithm'>
<title>Abbildungsalgorithmus</title>
<para>
Active Directory stellt für jedes Benutzer- und Gruppenobjekt im Verzeichnis
eine »objectSID« bereit. Diese »objectSID« kann in Bestandteile zerlegt
werden, die die Active-Directory-Domain-Identität und den relativen
Bezeichner (RID) des Benutzer- oder Gruppenobjekts darstellen.
</para>
<para>
Der ID-Abbildungsalgorithmus von SSSD nimmt einen Bereich verfügbarer UIDs
und teilt sie in gleich große Bestandteile, »Slices« genannt. Jeder Slice
steht für den verfügbaren Speicher einer Active-Directory-Domain.
</para>
<para>
Wenn ein Benutzer- oder Gruppeneintrag für eine bestimmt Domain zum ersten
Mal vorgefunden wird, reserviert der SSSD einen der verfügbaren Slices für
diese Domain. Um eine Slice-Zuteilung auf verschiedenen Client-Maschinen
wiederholbar zu machen, wählen wir den Slice, der auf dem folgenden
Algorithmus basiert:
</para>
<para>
Die Zeichenkette durchläuft den Algorithmus Murmurhash3, um sie in einen
32-Bit-Hash-Wert umzuwandeln. Dann wird der Betrag dieses Werts mit der
Gesamtzahl verfügbarer Slices genommen, um den Slice auszusuchen.
</para>
<para>
HINWEIS: Es ist möglich, dass Kollisionen zwischen dem Hash und
nachfolgenden Beträgen auftreten. In diesen Situationen werden wir den
nächsten verfügbaren Slice auswählen, aber es ist wahrscheinlich nicht
möglich, den genau gleichen Satz von Slices auf anderen Maschinen zu
reproduzieren (da die Reihenfolge, in der sie vorgefunden werden, ihren
Slice bestimmt). In dieser Situtation wird empfohlen, entweder auf die
Verwendung expliziter POSIX-Attribute in Active Directory zu wechseln
(ID-Abbildung deaktivieren) oder eine Standard-Domain zu konfigurieren, um
sicherzustellen, dass wenigstens eine immer beständig ist. Einzelheiten
finden Sie unter »Konfiguration«.
</para>
</refsect2>
<refsect2 id='idmap_config'>
<title>Konfiguration</title>
<para>
Minimalkonfiguration (im Abschnitt »[domain/DOMAINNAME]«):
</para>
<para>
<programlisting>
ldap_id_mapping = True
ldap_schema = ad
</programlisting>
</para>
<para>
The default configuration results in configuring 10,000 slices, each capable
of holding up to 200,000 IDs, starting from 200,000 and going up to
2,000,200,000. This should be sufficient for most deployments.
</para>
<refsect3 id='idmap_advanced_config'>
<title>Fortgeschrittene Konfiguration</title>
<variablelist>
<varlistentry>
<term>ldap_idmap_range_min (Ganzzahl)</term>
<listitem>
<para>
Specifies the lower (inclusive) bound of the range of POSIX IDs to use for
mapping Active Directory user and group SIDs. It is the first POSIX ID which
can be used for the mapping.
</para>
<para>
HINWEIS: Diese Option unterscheidet sich von »min_id«, wobei »min_id« als
Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese
Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner
Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »min_id«
kleiner oder gleich »ldap_idmap_range_min« sein sollte.
</para>
<para>
Voreinstellung: 200000
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_range_max (Ganzzahl)</term>
<listitem>
<para>
Specifies the upper (exclusive) bound of the range of POSIX IDs to use for
mapping Active Directory user and group SIDs. It is the first POSIX ID which
cannot be used for the mapping anymore, i.e. one larger than the last one
which can be used for the mapping.
</para>
<para>
HINWEIS: Diese Option unterscheidet sich von »max_id« wobei »max_id« als
Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese
Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner
Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »max_id«
größer oder gleich »ldap_idmap_range_max« sein sollte.
</para>
<para>
Voreinstellung: 2000200000
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_range_size (Ganzzahl)</term>
<listitem>
<para>
gibt die Anzahl der für jeden Slice verfügbaren IDs an. Falls sich die
Bereichsgröße nicht gleichmäßig in die minimalen und maximalen Werte teilen
lässt, werden so viele komplette Slices wie möglich erstellt.
</para>
<para>
HINWEIS: Der Wert dieser Option muss mindestens so groß sein wie die größte
Benutzer-RID, die jemals auf dem Active-Directory-Server verwendet werden
soll. Das Nachschlagen und Anmelden von Benutzern wird scheitern, wenn deren
RIDs größer sind als dieser Wert.
</para>
<para>
For example, if your most recently-added Active Directory user has
objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107,
<quote>ldap_idmap_range_size</quote> must be at least 1108 as range size is
equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).
</para>
<para>
Es ist wichtig, für spätere Erweiterungen vorauszuplanen, da die Änderung
dieses Wertes zur Änderung aller ID-Abbildungen des Systems führt. Dadurch
können Benutzer andere lokale IDs als vorher haben.
</para>
<para>
Voreinstellung: 200000
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_default_domain_sid (Zeichenkette)</term>
<listitem>
<para>
gibt die Domain-SID der Standard-Domain an. Dies wird sicherstellen, dass
diese Domain immer dem Slice null im ID-Abbild zugeordnet wird. Dabei wird
der oben beschriebene Murmurhash-Algorithmus umgangen.
</para>
<para>
Voreinstellung: nicht gesetzt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_default_domain (Zeichenkette)</term>
<listitem>
<para>
gibt den Namen der Standard-Domain an.
</para>
<para>
Voreinstellung: nicht gesetzt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_autorid_compat (Boolesch)</term>
<listitem>
<para>
ändert das Verhalten des ID-Abbildungsalgorithmus so, dass es dem
Algorithmus »idmap_autorid« von Winbind ähnlicher ist.
</para>
<para>
When this option is configured, domains will be allocated starting with
slice zero and increasing monotonically with each additional domain.
</para>
<para>
HINWEIS: Der Algorithmus ist nicht deterministisch (er hängt von der
Reihenfolge ab, in der Benutzer und Gruppen abgefragt werden). Falls dieser
Modus aus Kompatibilitätsgründen mit Maschinen, die Winbind ausführen,
erforderlich ist, wird empfohlen, auch die Option
»ldap_idmap_default_domain_sid« zu verwenden. Dies soll sicherstellen, dass
mindestens eine Domain beständig für den Slice null reserviert ist.
</para>
<para>
Voreinstellung: False
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_idmap_helper_table_size (integer)</term>
<listitem>
<para>
Maximal number of secondary slices that is tried when performing mapping
from UNIX id to SID.
</para>
<para>
Note: Additional secondary slices might be generated when SID is being
mapped to UNIX id and RID part of SID is out of range for secondary slices
generated so far. If value of ldap_idmap_helper_table_size is equal to 0
then no additional secondary slices are generated.
</para>
<para>
Voreinstellung: 10
</para>
</listitem>
</varlistentry>
</variablelist>
</refsect3>
</refsect2>
<refsect2 id='well_known_sids'>
<title>Bekannte Sicherheits-IDs</title>
<para>
SSSD unterstützt das Nachschlagen der Namen sogenannter bekannter
Sicherheits-IDs, die eine spezielle unveränderliche Bedeutung haben. Da
generische Benutzer und Gruppen, die sich auf diese bekannten SIDs beziehen,
keine Entsprechung in einer Linux/UNIX-Umgebung haben, sind für diese
Objekte keine POSIX-IDs verfügbar.
</para>
<para>
Der SID-Namensraum ist in Autoritäten organisiert, die als unterschiedliche
Domains betrachtet werden können. Die Autoritäten für die bekannten SIDs
sind
<itemizedlist>
<listitem><para>Null-Autorität (Null Authority)</para></listitem>
<listitem><para>Weltweit anerkannte Autorität (World Authority)</para></listitem>
<listitem><para>Lokale Autorität (Local Authority)</para></listitem>
<listitem><para>Ersteller-Autorität (Creator Authority)</para></listitem>
<listitem><para>Mandatory Label Authority</para></listitem>
<listitem><para>Authentication Authority</para></listitem>
<listitem><para>NT-Autorität (NT Authority)</para></listitem>
<listitem><para>Eingebaut</para></listitem>
</itemizedlist>
Die mit großem Anfangsbuchstaben geschriebenen Versionen dieser Namen werden
als Domainnamen verwendet, wenn der voll qualifizierte Name einer bekannten
Sicherheits-ID zurückgegeben wird.
</para>
<para>
Since some utilities allow to modify SID based access control information
with the help of a name instead of using the SID directly SSSD supports to
look up the SID by the name as well. To avoid collisions only the fully
qualified names can be used to look up Well-Known SIDs. As a result the
domain names <quote>NULL AUTHORITY</quote>, <quote>WORLD AUTHORITY</quote>,
<quote>LOCAL AUTHORITY</quote>, <quote>CREATOR AUTHORITY</quote>,
<quote>MANDATORY LABEL AUTHORITY</quote>, <quote>AUTHENTICATION
AUTHORITY</quote>, <quote>NT AUTHORITY</quote> and <quote>BUILTIN</quote>
should not be used as domain names in <filename>sssd.conf</filename>.
</para>
</refsect2>
</refsect1>
|
