blob: be4decfe511d6038510ca4ea1a1fc60f09e39000 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
|
<refsect1 id='modified-default-options'>
<title>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</title>
<para>
Некоторые стандартные значения параметров не соответствуют стандартным
значениям параметров соответствующего внутреннего поставщика данных. Имена
этих параметров и специфичные для поставщика данных AD стандартные значения
параметров перечислены ниже:
</para>
<refsect2 id='krb5_modifications'>
<title>Поставщик данных KRB5</title>
<itemizedlist>
<listitem>
<para>
krb5_validate = true
</para>
</listitem>
<listitem>
<para>
krb5_use_enterprise_principal = true
</para>
</listitem>
</itemizedlist>
</refsect2>
<refsect2 id='ldap_modifications'>
<title>Поставщик данных LDAP</title>
<itemizedlist>
<listitem>
<para>
ldap_schema = ad
</para>
</listitem>
<listitem>
<para>
ldap_force_upper_case_realm = true
</para>
</listitem>
<listitem>
<para>
ldap_id_mapping = true
</para>
</listitem>
<listitem>
<para>
ldap_sasl_mech = GSS-SPNEGO
</para>
</listitem>
<listitem>
<para>
ldap_referrals = false
</para>
</listitem>
<listitem>
<para>
ldap_account_expire_policy = ad
</para>
</listitem>
<listitem>
<para>
ldap_use_tokengroups = true
</para>
</listitem>
<listitem>
<para>
ldap_sasl_authid = sAMAccountName@REALM (обычно SHORTNAME$@REALM)
</para>
<para>
Поставщик данных AD по умолчанию выполняет поиск других записей участников,
чем поставщик LDAP, потому что в окружении Active Directory участники
делятся на две группы: участники-пользователи и участники-службы. Для
получения TGT может использоваться только запись участника-пользователя, и
по умолчанию записи участников — объектов компьютеров создаются из их
sAMAccountName и области AD. Известный участник host/hostname@REALM является
участником-службой и, следовательно, не может использоваться для получения
TGT.
</para>
</listitem>
</itemizedlist>
</refsect2>
<refsect2 id='nss_modifications'>
<title>Настройка NSS</title>
<itemizedlist>
<listitem>
<para>
fallback_homedir = /home/%d/%u
</para>
<para>
Поставщик данных AD автоматически устанавливает «fallback_homedir =
/home/%d/%u», чтобы предоставить личные домашние каталоги для пользователей
без атрибута homeDirectory. Если домен AD надлежащим образом заполнен
атрибутами POSIX и требуется предотвратить такое поведение в качестве
резервного, можно явно указать «fallback_homedir = %o».
</para>
<para>
Обратите внимание: система обычно ожидает, что домашний каталог будет в
папке /home/%u. Если принято решение использовать другую структуру каталога,
может потребоваться настроить некоторые другие части системы.
</para>
<para>
Например, автоматическое создание домашних каталогов в сочетании с SELinux
потребует настройки параметров SELinux; в ином случае домашний каталог будет
создан с неверным контекстом SELinux.
</para>
</listitem>
</itemizedlist>
</refsect2>
</refsect1>
|
