1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.5//EN"
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd">
<reference>
<title>Páginas de manual de SSSD</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
<refmeta>
<refentrytitle>sssd-ipa</refentrytitle>
<manvolnum>5</manvolnum>
<refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo>
</refmeta>
<refnamediv id='name'>
<refname>sssd-ipa</refname>
<refpurpose>Proveedor SSSD IPA</refpurpose>
</refnamediv>
<refsect1 id='description'>
<title>DESCRIPCION</title>
<para>
Este página de manual describe la configuración del proveedor IPA para
<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum>
</citerefentry>. Para una referencia de sintaxis detalladas, vea la sección
<quote>FILE FORMAT</quote> de la página de manual <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>.
</para>
<para>
El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea
el sitio web freeipa.org para información sobre los servidores IPA). Este
proveedor requiere que la máquina este unido al dominio IPA; la
configuración es casi enteramente auto descubierta y obtenida directamente
del servidor.
</para>
<para>
El proveedor IPA habilita a SSSD para usar el proveedor de identidad
<citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> y el proveedor de autenticación
<citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> con optimizaciones para entornos
IPA. El proveedor IPA acepta las mismas opciones que las usadas por los
proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no
es necesario ni recomendable establecer estas opciones.
</para>
<para>
El proveedor IPA copia primariamente las opciones por defecto tradicionales
de los proveedores ldap y krb5 con algunas excepciones, las diferencias
están listadas en la sección <quote>OPCIONES PREDETERMINADAS
MODIFICADAS</quote>.
</para>
<para>
As an access provider, the IPA provider has a minimal configuration (see
<quote>ipa_access_order</quote>) as it mainly uses HBAC (host-based access
control) rules. Please refer to freeipa.org for more information about HBAC.
</para>
<para>
Si <quote>auth_provider=ipa</quote> o <quote>access_provider=ipa</quote>
está configurado en sssd.conf id_provider se debe establecer también a
<quote>ipa</quote>.
</para>
<para>
El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los
usuario de reinos confiables contienen un PAC. Para hacer la configuración
más fácil el respondedor PAC es iniciado automáticamente si la ID del
proveedor IPA está configurada.
</para>
</refsect1>
<refsect1 id='configuration-options'>
<title>OPCIONES DE CONFIGURACIÓN</title>
<para>Vea la sección <quote>DOMAIN SECTIONS</quote> de la página de manual
<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> para detalles sobre la
configuración de un dominio SSSD. <variablelist>
<varlistentry>
<term>ipa_domain (cadena)</term>
<listitem>
<para>
Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra,
se usa el nombre de configuración del dominio.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_server, ipa_backup_server (cadena)</term>
<listitem>
<para>
La lista separada por comas de direcciones IP o nombres de host de los
servidores IPA a los que SSSD se conectaría en orden de preferencia. Para
más información sobre conmutación en error y redundancia de servidores, vea
la sección <quote>FAILOVER</quote>. Esto es opcional si autodiscovery está
habilitado. Para más información sobre el servicio descubridor, vea la
sección <quote>SERVICE DISCOVERY</quote>.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_hostname (cadena)</term>
<listitem>
<para>
Opcional. Se puede establecer sobre máquinas donde el hostname(5) no refleje
el nombre totalmente cualificado usado en el dominio IPA para identificar
este host. El nombre de host debe ser totalmente cualificado.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update (booleano)</term>
<listitem>
<para>
Opcional. Esta opción le dice a SSSD que actualice automáticamente el
servidor DNS incorporado a FreeIPA con la dirección IP de este cliente. La
actualización está asegurada utilizando GSS-TSIG. La dirección IP de la
conexión IPA LDAP se usa para las actualizaciones, si no se especifica de
otra manera utilizando la opción <quote>dyndns_iface</quote>.
</para>
<para>
NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este
comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser
fijado apropiadamente en /etc/krb5.conf
</para>
<para>
AVISO: Aunque todas es posible usar la vieja opción
<emphasis>ipa_dyndns_update</emphasis>, los usuarios deberían migrar para
usar <emphasis>dyndns_update</emphasis> en su fichero de configuración.
</para>
<para>
Predeterminado: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_ttl (entero)</term>
<listitem>
<para>
El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si
dyndns_update está a false esto no tiene efecto. Esto anula el TTL del lado
servidor si se establece por un administrador.
</para>
<para>
AVISO: Aunque todavía es posible usar la antigua opción
<emphasis>ipa_dyndns_ttl</emphasis>, los usuarios deberían migrar usando
<emphasis>dyndns_ttl</emphasis> en su fichero de configuración.
</para>
<para>
Por defecto: 1200 (segundos)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_iface (cadena)</term>
<listitem>
<para>
Opcional. Aplicable solo cuando dyndns_update está a true. Elija la interfaz
o la lista de interfaces cuyas direcciones IP serían usadas para las
actualizaciones DNS dinámicas. El valor especial <quote>*</quote> implica
que las IPs de todas las interfaces serían las usadas.
</para>
<para>
AVISO: Aunque todavía es posible usar la vieja opción
<emphasis>ipa_dyndns_iface</emphasis>, los usuarios deberían migrar usando
<emphasis>dyndns_iface</emphasis> en su fichero de configuración.
</para>
<para>
Predeterminado: Usa las direcciones IP de la interfaz que es usada para la
conexión IPA LDAP
</para>
<para>
Ejemplo: dyndns_iface = em1, vnet1, vnet2
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth (cadena)</term>
<listitem>
<para>
Si la utilidad nsupdate debe usar la autenticación GSS-TSIG para
actualizaciones seguras con el servidor DNS, las actualizaciones inseguras
se pueden enviar fijando esta opción a 'none'.
</para>
<para>
Predeterminado: GSS-TSIG
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth_ptr (string)</term>
<listitem>
<para>
Whether the nsupdate utility should use GSS-TSIG authentication for secure
PTR updates with the DNS server, insecure updates can be sent by setting
this option to 'none'.
</para>
<para>
Default: Same as dyndns_auth
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_enable_dns_sites (booleano)</term>
<listitem>
<para>
Habilita sitios DNS - descubrimiento de servicio basado en la ubicación.
</para>
<para>
Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del
Servicio en la parte inferior de la página de manual) está habilitado, SSSD
primero intentará la localización basada en el descubrimiento usando una
consulta que contenga "_location.hostname.example.com" y después irá al
descubrimiento tradicional SRV. Si la localización basada en el
descubrimiento tiene éxito, los servidores IPA localizados con la
localización basada en el descubrimiento son tratados como servidores
primarios y los servidores IPA localizados usando el descubrimiento
tradicional SRV son usados como servidores de respaldo
</para>
<para>
Predeterminado: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_refresh_interval (entero)</term>
<listitem>
<para>
Con qué frecuencia el back-end debe realizar una actualización periódica de
DNS además de la actualización automática que se realiza cuando el back-end
se conecta. Esto es una posibilidad opcional y aplicable solo cuando
dyndns_update está a true.
</para>
<para>
Predeterminado: 0 (deshabilitado)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_ptr (booleano)</term>
<listitem>
<para>
Si el registro PTR debería ser explícitamente actualizado cuando se
actualizan los registros DNS del cliente. Aplicable solo cuando
dyndns_update está a true.
</para>
<para>
Esta opción debería estar a False en la mayoría de los despliegues IPA
puesto que el servidor IPA genera los registros PTR automáticamente cuando
se cambian los registros que envía.
</para>
<para>
Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not
apply for PTR record updates. Those updates are always sent separately.
</para>
<para>
Predeterminado: False (deshabilitado)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_force_tcp (booleano)</term>
<listitem>
<para>
Si la utilidad nsupdate debería usar de manera predeterminada TCP cuando se
comunica con el servidor DNS.
</para>
<para>
Predeterminado: False (permitir a nsupdate elegir el protocolol)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_server (cadena)</term>
<listitem>
<para>
El servidor DNA a usar cuando se lleva a cabo una actualización DNS
update. En la mayoría de las configuraciones se recomienda dejar esta opción
sin establecer.
</para>
<para>
El establecimiento de esta opción tiene sentido en entornos donde el
servidor DNS es distinto del servidor de identidad.
</para>
<para>
Tenga en cuenta que esta opción solo se usará en un intento de recuperación
cuando el intento anterior de usar la configuración autodetectada falló.
</para>
<para>
Predeterminado: None (permitir a nsupdate elegir el servidor)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_per_family (booleano)</term>
<listitem>
<para>
La actualización DNS es llevada a cabo de manera predeterminada en dos pasos
- actualización IPv4 y después actualización IPv6. En algunos casos puede
ser deseable llevar a cabo la actualización IPv4 e IPv6 en un único paso.
</para>
<para>
Predeterminado: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_access_order (string)</term>
<listitem>
<para>
Lista separada por coma de opciones de control de acceso. Los valores
permitidos son:
</para>
<para>
<emphasis>expire</emphasis>: use IPA's account expiration policy.
</para>
<para>
<emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn,
pwd_expire_policy_renew: </emphasis> Estas opciones son útiles si los
usuarios están interesados en que se les avise de que la contraseña está
próxima a expirar y la autenticación está basada en la utilización de un
método distinto a las contraseñas - por ejemplo claves SSH.
</para>
<para>
The difference between these options is the action taken if user password is
expired:
<itemizedlist>
<listitem>
<para>
pwd_expire_policy_reject - user is denied to log in,
</para>
</listitem>
<listitem>
<para>
pwd_expire_policy_warn - user is still able to log in,
</para>
</listitem>
<listitem>
<para>
pwd_expire_policy_renew - user is prompted to change their password
immediately.
</para>
</listitem>
</itemizedlist>
</para>
<para>
Please note that 'access_provider = ipa' must be set for this feature to
work.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_deskprofile_search_base (cadena)</term>
<listitem>
<para>
Opcional. Usa la cadena dada como base de búsqueda de los objetos
relacionados con Desktop Profile.
</para>
<para>
Predeterminado: Utilizar DN base
</para>
</listitem>
</varlistentry>
<varlistentry condition="with_subid">
<term>ipa_subid_ranges_search_base (string)</term>
<listitem>
<para>
Optional. Use the given string as search base for subordinate ranges related
objects.
</para>
<para>
Default: the value of <emphasis>cn=subids,%basedn</emphasis>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_hbac_search_base (cadena)</term>
<listitem>
<para>
Opcional. Usa la cadena dada como base de búsqueda para los objetos HBAC
relacionados.
</para>
<para>
Predeterminado: Utilizar DN base
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_host_search_base (cadena)</term>
<listitem>
<para>
Obsoleto. Usa en su lugar ldap_host_search_base.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_selinux_search_base (cadena)Opcional. </term>
<listitem>
<para>
Opcional. Usa la cadena dada como base de búsqueda para los mapas de usuario
SELinux.
</para>
<para>
Vea <quote>ldap_search_base</quote> para información sobre la configuración
de múltiples bases de búsqueda.
</para>
<para>
Predeterminado: el valor de <emphasis>ldap_search_base</emphasis>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_subdomains_search_base (cadena)</term>
<listitem>
<para>
Opcional: Usa la cadena dada como base de búsqueda de dominios de confianza.
</para>
<para>
Vea <quote>ldap_search_base</quote> para información sobre la configuración
de múltiples bases de búsqueda.
</para>
<para>
Por defecto: el valor de <emphasis>cn=trusts,%basedn</emphasis>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_master_domain_search_base (cadena)</term>
<listitem>
<para>
Opcional: Usa la cadena dada como base de búsqueda para el objeto maestro de
dominio.
</para>
<para>
Vea <quote>ldap_search_base</quote> para información sobre la configuración
de múltiples bases de búsqueda.
</para>
<para>
Por defecto: el valor de <emphasis>cn=ad,cn=etc,%basedn</emphasis>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_views_search_base (cadena)</term>
<listitem>
<para>
Opcional. Usa la cadena dada como base de búsqueda de contenedores de vista.
</para>
<para>
Vea <quote>ldap_search_base</quote> para información sobre la configuración
de múltiples bases de búsqueda.
</para>
<para>
Predeterminado: el valor de
<emphasis>cn=views,cn=accounts,%basedn</emphasis>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_realm (cadena)</term>
<listitem>
<para>
El nombre del reino Kerberos. Esto es opcional y por defecto está al valor
de <quote>ipa_domain</quote>.
</para>
<para>
El nombre del reino Kerberos tiene un significado especial en IPA – es
convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>krb5_confd_path (cadena)</term>
<listitem>
<para>
Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de
configuración de Kerberos.
</para>
<para>
Para deshabilitar la creación de fragmentos de configuración establezca el
parámetro a 'none'.
</para>
<para>
Predeterminado: no establecido (krb5.include.d subdirectorio del directorio
pubconf de SSSD)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_deskprofile_refresh (entero)</term>
<listitem>
<para>
La cantidad de tiempo entre búsquedas de reglas Desktop Profile contra el
servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si
hay muchas solicitudes de perfiles de escritorio en un período corto.
</para>
<para>
Predeterminado: 5 (segundos)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_deskprofile_request_interval (entero)</term>
<listitem>
<para>
La cantidad de tiempo entre búsquedas de las reglas Desktop Profile contra
el servidor IPA en el caso de que la última petición no devolvió ninguna
regla.
</para>
<para>
Predeterminado: 60 (minutos)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_hbac_refresh (entero)</term>
<listitem>
<para>
La cantidad de tiempo entre vbúsquedas de las reglas HBAC contra el servidor
IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay
muchas peticiones de control de acceso hechas en un corto período.
</para>
<para>
Predeterminado: 5 (segundos)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_hbac_selinux (entero)</term>
<listitem>
<para>
La cantidad de tiempo entre búsquedas de los mapas SELinux contra el
servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si
hay muchas peticiones de acceso de usuario hechas en un corto período.
</para>
<para>
Predeterminado: 5 (segundos)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_server_mode (booleano)</term>
<listitem>
<para>
Esta opción será establecida por el instalador IPA (ipa-server-install)
automáticamente y denota si SSSD está corriendo sobre un servidor IPA o no.
</para>
<para>
Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de
confianza directamente mientras que sobre un cliente preguntará a un
servidor IPA.
</para>
<para>
NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD
se ejecuta en un servidor IPA.
<itemizedlist>
<listitem>
<para>
La opcion <quote>ipa_server</quote> debe configurarse para que apunte al
servidor IPA mismo. Esto está establecido de manera predeterminada por el
instalador IPA de modo que no se necesitan cambios manuales.
</para>
</listitem>
<listitem>
<para>
La opción <quote>full_name_format</quote> no debe modificarse para imprimir
solo nombres cortos de los usuarios de los dominios de confianza.
</para>
</listitem>
</itemizedlist>
</para>
<para>
Predeterminado: false
</para>
</listitem>
</varlistentry>
<varlistentry condition="with_autofs">
<term>ipa_automount_location (cadena)</term>
<listitem>
<para>
La localización del automontador de este cliente IPA que será usada
</para>
<para>
Por defecto: La localización llamada “default”
</para>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" />
</listitem>
</varlistentry>
</variablelist>
</para>
<refsect2 id='views'>
<title>VISTAS Y ANULACIONES</title>
<para>
SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y
versiones posteriores. Como todas las rutas y objectclasses son fijadas en
el lado servidor no se necesita configurar nada. Para completar, las
opciones relacionadas son listadas aquí con sus valores
predeterminados. <variablelist>
<varlistentry>
<term>ipa_view_class (cadena)</term>
<listitem>
<para>
Objectclass del contenedorde vistas.
</para>
<para>
Predeterminado: nsContainer
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_view_name (cadena)</term>
<listitem>
<para>
Nombre del atributo que contiene el nombre de la vista.
</para>
<para>
Predeterminado: cn
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_override_object_class (cadena)</term>
<listitem>
<para>
Objectclass de los objetos anulados.
</para>
<para>
Predeterminado: ipaOverrideAnchor
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_anchor_uuid (cadena)</term>
<listitem>
<para>
Nombre del atributo que contiene la referencia al objeto original en un
dominio remoto.
</para>
<para>
Predeterminado: ipaAnchorUUID
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_user_override_object_class (cadena)</term>
<listitem>
<para>
Nombre de los objectclass para los usuarios anulados. Se usa para determinar
si el objeto anulado encontrado está relacionado con un usuario o un grupo.
</para>
<para>
Las anulaciones de usuario pueden contener atributos dados por
<itemizedlist>
<listitem>
<para>ldap_user_name</para>
</listitem>
<listitem>
<para>ldap_user_uid_number</para>
</listitem>
<listitem>
<para>ldap_user_gid_number</para>
</listitem>
<listitem>
<para>ldap_user_gecos</para>
</listitem>
<listitem>
<para>ldap_user_home_directory</para>
</listitem>
<listitem>
<para>ldap_user_shell</para>
</listitem>
<listitem>
<para>ldap_user_ssh_public_key</para>
</listitem>
</itemizedlist>
</para>
<para>
Predeterminado: ipaUserOverride
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ipa_group_override_object_class (cadena)</term>
<listitem>
<para>
Nombre del objectclass para grupos anulados. Se usa para determinar si el
objeto anulado encontrado está relacionado con un usuario o un grupo.
</para>
<para>
Las anulaciones de grupo pueden contener atributos dados por
<itemizedlist>
<listitem>
<para>ldap_group_name</para>
</listitem>
<listitem>
<para>ldap_group_gid_number</para>
</listitem>
</itemizedlist>
</para>
<para>
Predeterminado: ipaGroupOverride
</para>
</listitem>
</varlistentry>
</variablelist>
</para>
</refsect2>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ipa_modified_defaults.xml" />
<refsect1 id='subdomains_provider'>
<title>PROVEEDOR DE SUBDOMINIOS</title>
<para>
El proveedor de subdominios IPA se comporta de forma ligeramente diferente
si está configurado explícitamente o implícitamente.
</para>
<para>
Si la opción ' subdomains_provider = ipa' se encuentra en la sección de
dominio de sssd.conf, el proveedor de subdominios de IPA se configura
explícitamente, y todas las peticiones de subdominio se envían al servidor
de IPA si es necesario.
</para>
<para>
Si la opción 'subdomains_provider' no está establecida en la sección dominio
de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de
subdominios IPA está configurado implícitamente. En este caso, si una
petición de subdominio falla e indica que el servidor no soporta
subdominios, i.e. no está configurado para confianza, el proveedor de
subdominios IPA está deshabilitado. Después de una hora o después de que el
proveedor IPA esté en línea, el proveedor de subdominios está habilitado
otra vez.
</para>
</refsect1>
<refsect1 id='trusted_domains'>
<title>CONFIGURACIÓN DE DOMINIOS DE CONFIANZA</title>
<para>
Some configuration options can also be set for a trusted domain. A trusted
domain configuration can be set using the trusted domain subsection as shown
in the example below. Alternatively, the <quote>subdomain_inherit</quote>
option can be used in the parent domain. <programlisting>
[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com
</programlisting>
</para>
<para>
For more details, see the <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry> manual page.
</para>
<para>
Se pueden ajustar diferentes opciones de configuración para un dominio de
confianza dependiendo de si usted está configurando SSSD sobre un servidor
IPA o un cliente IPA.
</para>
<refsect2 id='server_configuration'>
<title>OPCIONES AJUSTABLES EN IPA MAESTROS</title>
<para>
Se pueden establecer las siguientes opciones en una sección subdominio sobre
un IPA maestro:
<itemizedlist>
<listitem>
<para>ad_server</para>
</listitem>
<listitem>
<para>ad_backup_server</para>
</listitem>
<listitem>
<para>ad_site</para>
</listitem>
<listitem>
<para>ldap_search_base</para>
</listitem>
<listitem>
<para>ldap_user_search_base</para>
</listitem>
<listitem>
<para>ldap_group_search_base</para>
</listitem>
<listitem>
<para>use_fully_qualified_names</para>
</listitem>
</itemizedlist>
</para>
</refsect2>
<refsect2 id='client_configuration'>
<title>OPCIONES AJUSTABLES SOBRE CLIENTES IPA</title>
<para>
Las siguientes opciones pueden ser establecidas en una sección subdominio
sobre un cliente IPA:
<itemizedlist>
<listitem>
<para>ad_server</para>
</listitem>
<listitem>
<para>ad_site</para>
</listitem>
</itemizedlist>
</para>
<para>
Advierta que si ambas opciones están establecidas solo se evalúa
<quote>ad_server</quote>.
</para>
<para>
Puesto que cualquier petición para una identidad de usuario o de grupo de un
dominio de confianza disparada desde un cliente IPA se resuelve por el
servidor IPA, las opciones <quote>ad_server</quote> y <quote>ad_site</quote>
solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las
direcciones resueltas desde estas listas serán escritas a ficheros
<quote>kdcinfo</quote> leídos por el complemento localizador Kerberos. Por
favor vea la página de manual <citerefentry>
<refentrytitle>sssd_krb5_locator_plugin</refentrytitle>
<manvolnum>8</manvolnum> </citerefentry> para mas detalles sobre el
complemento localizador Kerberos.
</para>
</refsect2>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
<refsect1 id='example'>
<title>EJEMPLO</title>
<para>
El siguiente ejemplo asume que SSSD está correctamente configurado y
example.com es uno de los dominios en la sección
<replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones
específicas del proveedor ipa.
</para>
<para>
<programlisting>
[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com
</programlisting>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
</refentry>
</reference>
|
