1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
1036
1037
1038
1039
1040
1041
1042
1043
1044
1045
1046
1047
1048
1049
1050
1051
1052
1053
1054
1055
1056
1057
1058
1059
1060
1061
1062
1063
1064
1065
1066
1067
1068
1069
1070
1071
1072
1073
1074
1075
1076
1077
1078
1079
1080
1081
1082
1083
1084
1085
1086
1087
1088
1089
1090
1091
1092
1093
1094
1095
1096
1097
1098
1099
1100
1101
1102
1103
1104
1105
1106
1107
1108
1109
1110
1111
1112
1113
1114
1115
1116
1117
1118
1119
1120
1121
1122
1123
1124
1125
1126
1127
1128
1129
1130
1131
1132
1133
1134
1135
1136
1137
1138
1139
1140
1141
1142
1143
1144
1145
1146
1147
1148
1149
1150
1151
1152
1153
1154
1155
1156
1157
1158
1159
1160
1161
1162
1163
1164
1165
1166
1167
1168
1169
1170
1171
1172
1173
1174
1175
1176
1177
1178
1179
1180
1181
1182
1183
1184
1185
1186
1187
1188
1189
1190
1191
1192
1193
1194
1195
1196
1197
1198
1199
1200
1201
1202
1203
1204
1205
1206
1207
1208
1209
1210
1211
1212
1213
1214
1215
1216
1217
1218
1219
1220
1221
1222
1223
1224
1225
1226
1227
1228
1229
1230
1231
1232
1233
1234
1235
1236
1237
1238
1239
1240
1241
1242
1243
1244
1245
1246
1247
1248
1249
1250
1251
1252
1253
1254
1255
1256
1257
1258
1259
1260
1261
1262
1263
1264
1265
1266
1267
1268
1269
1270
1271
1272
1273
1274
1275
1276
1277
1278
1279
1280
1281
1282
1283
1284
1285
1286
1287
1288
1289
1290
1291
1292
1293
1294
1295
1296
1297
1298
1299
1300
1301
1302
1303
1304
1305
1306
1307
1308
1309
1310
1311
1312
1313
1314
1315
1316
1317
1318
1319
1320
1321
1322
1323
1324
1325
1326
1327
1328
1329
1330
1331
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<reference>
<title>Справка по SSSD</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
<refmeta>
<refentrytitle>sssd-ad</refentrytitle>
<manvolnum>5</manvolnum>
<refmiscinfo class="manual">Форматы файлов и рекомендации</refmiscinfo>
</refmeta>
<refnamediv id='name'>
<refname>sssd-ad</refname>
<refpurpose>Поставщик Active Directory SSSD</refpurpose>
</refnamediv>
<refsect1 id='description'>
<title>ОПИСАНИЕ</title>
<para>
На этой справочной странице представлено описание настройки поставщика
данных AD для <citerefentry> <refentrytitle>sssd</refentrytitle>
<manvolnum>8</manvolnum> </citerefentry>. Подробные сведения о синтаксисе
доступны в разделе <quote>ФОРМАТ ФАЙЛА</quote> справочной страницы
<citerefentry> <refentrytitle>sssd.conf</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry>.
</para>
<para>
Поставщик данных AD — это внутренний сервер, который используется для
подключения к серверу Active Directory. Для работы этого поставщика
необходимо, чтобы компьютер был присоединён к домену AD и чтобы была
доступна таблица ключей. Обмен данными с внутренним сервером выполняется по
каналу с шифрованием GSSAPI. С поставщиком данных AD не следует использовать
параметры SSL/TLS, поскольку использование Kerberos будет иметь приоритет
над ними.
</para>
<para>
Поставщик данных AD поддерживает подключение к Active Directory 2008 R2 или
выше. Работа с предшествующими версиями возможна, но не поддерживается.
</para>
<para>
Поставщик данных AD может использоваться для получения данных пользователей
и проверки подлинности пользователей из доверенных доменов. В настоящее
время распознаются только домены, находящиеся в одном и том же лесу. Кроме
того, серверы из доверенных доменов всегда обнаруживаются автоматически.
</para>
<para>
Поставщик данных AD позволяет SSSD использовать поставщика данных
идентификации <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> и поставщика данных проверки
подлинности <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> с оптимизацией для сред Active
Directory. Поставщик данных AD принимает те же параметры, которые
используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми
исключениями. Но установка этих параметров не является ни необходимой, ни
рекомендуемой.
</para>
<para>
Поставщик данных AD в основном копирует стандартные параметры традиционных
поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий
доступен в разделе <quote>ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ</quote>.
</para>
<para>
Поставщик данных AD также может использоваться в качестве поставщика данных
управления доступом, chpass, sudo и autofs. Конфигурация поставщика доступа
на стороне клиента не требуется.
</para>
<para>
Если в sssd.conf указано <quote>auth_provider=ad</quote> или
<quote>access_provider=ad</quote>, параметр id_provider тоже необходимо
установить в значение <quote>ad</quote>.
</para>
<para>
По умолчанию поставщик данных AD сопоставляет значения UID и GID из
параметра objectSID в Active Directory. Подробные сведения об этом доступны
в разделе <quote>СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ</quote> ниже. Если требуется
отключить сопоставление идентификаторов и полагаться на атрибуты POSIX,
определённые в Active Directory, следует указать <programlisting>
ldap_id_mapping = False
</programlisting> Если должны быть использованы атрибуты POSIX,
в целях повышения производительности рекомендуется также реплицировать эти
атрибуты в глобальный каталог. Если атрибуты POSIX реплицируются, SSSD
попытается найти домен по числовому идентификатору из запроса с помощью
глобального каталога и выполнит поиск в этом домене. Если же атрибуты POSIX
не реплицируются в глобальный каталог, SSSD придётся последовательно
выполнить поиск во всех доменах в лесу. Обратите внимание, что для ускорения
поиска без доменов также может быть полезным использование параметра
<quote>cache_first</quote>. Учтите, что если в глобальном каталоге
присутствует только подмножество атрибутов POSIX, из порта LDAP не будет
выполняться чтение нереплицированных атрибутов.
</para>
<para>
Регистр записей пользователей, групп и других сущностей, обслуживаемых SSSD,
никогда не учитывается поставщиком данных AD в целях обеспечения
совместимости с реализацией LDAP Active Directory.
</para>
<para>
SSSD разрешает только группы безопасности Active Directory. Дополнительные
сведения о типах групп AD см. в разделе <ulink
url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups">
Группы безопасности Active Directory</ulink>
</para>
<para>
SSSD отфильтровывает локальные для домена группы от удалённых доменов в лесу
AD. По умолчанию группы будут отфильтрованы (например, при следовании по
иерархии вложенных групп в удалённых доменах), так не являются
действительными в локальном домене. Это сделано для обеспечения
согласованности с назначением групп и участия в них Active Directory,
которое можно увидеть в PAC билете Kerberos пользователя, выданного Active
Directory.
</para>
</refsect1>
<refsect1 id='configuration-options'>
<title>ПАРАМЕТРЫ КОНФИГУРАЦИИ</title>
<para>Сведения о конфигурации домена SSSD доступны в разделе <quote>РАЗДЕЛЫ
ДОМЕНА</quote> справочной страницы <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>. <variablelist>
<varlistentry>
<term>ad_domain (строка)</term>
<listitem>
<para>
Позволяет указать имя домена Active Directory. Это необязательно. Если имя
не указано, используется имя домена в конфигурации.
</para>
<para>
Для корректной работы этот параметр следует указывать в формате записи
полной версии имени домена Active Directory в нижнем регистре.
</para>
<para>
Краткое имя домена (также называется именем NetBIOS или плоским именем)
автоматически определяется SSSD.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enabled_domains (строка)</term>
<listitem>
<para>
A comma-separated list of enabled Active Directory domains. If provided,
SSSD will ignore any domains not listed in this option. If left unset, all
discovered domains from the AD forest will be available.
</para>
<para>
During the discovery of the domains SSSD will filter out some domains where
flags or attributes indicate that they do not belong to the local forest or
are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
listed domains.
</para>
<para>
Для корректной работы этот параметр должен быть указан полностью в нижнем
регистре и как полное доменное имя домена Active Directory. Например:
<programlisting>
ad_enabled_domains = sales.example.com, eng.example.com
</programlisting>
</para>
<para>
Краткое имя домена (также называется именем NetBIOS или плоским именем)
будет автоматически определено SSSD.
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_server, ad_backup_server (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён узлов серверов AD, к которым SSSD следует
подключаться в порядке приоритета. Дополнительные сведения об отработке
отказа и избыточности сервера доступны в разделе <quote>ОТРАБОТКА
ОТКАЗА</quote>.
</para>
<para>
Этот параметр является необязательным, если включено автоматическое
обнаружение служб. Дополнительные сведения об обнаружении служб доступны в
разделе <quote>ОБНАРУЖЕНИЕ СЛУЖБ</quote>.
</para>
<para>
Примечание: доверенные домены всегда автоматически обнаруживают серверы,
даже если в параметре ad_server явно определён основной сервер.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_hostname (строка)</term>
<listitem>
<para>
Необязательный параметр. На компьютерах, где hostname(5) не содержит полное
имя, sssd будет пытаться расширить краткое имя. Если это невозможно или если
следует использовать именно краткое имя, необходимо явно указать этот
параметр.
</para>
<para>
Это поле используется для определения используемого участника-узла в таблице
ключей и выполнения динамических обновлений DNS. Его значение должно
соответствовать имени узла, для которого была выпущена таблица ключей.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enable_dns_sites (логическое значение)</term>
<listitem>
<para>
Включить сайты DNS — обнаружение служб по расположению.
</para>
<para>
Если этот параметр установлен в значение «true» и включено обнаружение служб
(смотрите абзац об обнаружении служб в нижней части справочной страницы),
SSSD сначала попытается обнаружить сервер Active Directory, к которому
следует подключиться, с помощью возможности обнаружения сайтов Active
Directory, а затем, если сайт AD не удастся найти, будет использовать записи
SRV DNS. Конфигурация SRV DNS, включая домен обнаружения, используется также
и при обнаружении сайтов.
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_access_filter (строка)</term>
<listitem>
<para>
Этот параметр позволяет указать фильтр управления доступом LDAP, условиям
которого должен соответствовать пользователь для получения доступа. Обратите
внимание, что этот параметр будет работать только в том случае, если
параметр <quote>access_provider</quote> явно установлен в значение
<quote>ad</quote>.
</para>
<para>
Этот параметр также поддерживает указание разных фильтров для отдельных
доменов или лесов. Такой расширенный фильтр имеет следующий формат:
<quote>KEYWORD:NAME:FILTER</quote>. Ключевым словом может быть
<quote>DOM</quote> или <quote>FOREST</quote>, а также оно может
отсутствовать.
</para>
<para>
Если в качестве ключевого слова используется <quote>DOM</quote> или если
ключевое слово не указано, <quote>NAME</quote> указывает домен или поддомен,
к которому применяется фильтр. Если в качестве ключевого слова используется
<quote>FOREST</quote>, фильтр применяется ко всем доменам из леса,
указанного значением <quote>NAME</quote>.
</para>
<para>
Несколько фильтров можно разделить с помощью символа <quote>?</quote>,
аналогично работе баз поиска.
</para>
<para>
Поиск участия во вложенных группах выполняется с помощью специального OID
<quote>:1.2.840.113556.1.4.1941:</quote> в дополнение к полной
синтаксической конструкции DOM:domain.example.org:, чтобы средство обработки
не пыталось интерпретировать символы двоеточия, связанные с OID. Без
использования этого OID разрешение участия во вложенных группах не будет
выполняться. Пример использования приводится ниже, а дополнительные сведения
о OID доступны <ulink
url="https://msdn.microsoft.com/en-us/library/cc223367.aspx">в разделе
технической спецификации Active Directory MS, посвящённом расширениям
LDAP</ulink>
</para>
<para>
Всегда используется совпадение с наивысшим уровнем соответствия. Например,
если с помощью параметра задан фильтр для домена, участником которого
является пользователь, и глобальный фильтр, будет применяться фильтр для
домена. Если имеется несколько совпадений с одинаковым уровнем соответствия,
будет использоваться первое из них.
</para>
<para>
Примеры:
</para>
<programlisting>
# применить фильтр только для домена с именем dom1:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# применить фильтр только для домена с именем dom2:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# применить фильтр только для леса с именем EXAMPLE.COM:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# применить фильтр для участника вложенной группы в dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
</programlisting>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_site (строка)</term>
<listitem>
<para>
Позволяет указать сайт AD, к которому клиенту следует попытаться
подключиться. Если этот параметр не указан, обнаружение сайта AD будет
выполнено автоматически.
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enable_gc (логическое значение)</term>
<listitem>
<para>
По умолчанию SSSD сначала подключается к глобальному каталогу для получения
данных пользователей из доверенных доменов, а порт LDAP используется для
получения данных об участии в группах или в качестве резервного
способа. Если этот параметр отключён, SSSD будет подключаться только к порту
LDAP текущего сервера AD.
</para>
<para>
Обратите внимание, что отключение глобального каталога не отключает
получение данных пользователей из доверенных доменов. SSSD просто будет
подключаться к порту LDAP доверенных доменов. Тем не менее, для разрешения
данных о междоменном участии в группах необходимо использовать глобальный
каталог.
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_access_control (строка)</term>
<listitem>
<para>
Этот параметр позволяет указать режим работы функциональной возможности
управления доступом на основе GPO: отключённый, принудительный или
разрешительный. Обратите внимание, что для работы этого параметра необходимо
явно установить параметр <quote>access_provider</quote> в значение
<quote>ad</quote>.
</para>
<para>
Функциональная возможность управления доступом на основе GPO использует
параметры политики GPO для определения того, разрешён ли конкретному
пользователю вход на узел. Дополнительные сведения о поддерживаемых
параметрах политики доступны в описании параметров
<quote>ad_gpo_map</quote>.
</para>
<para>
Обратите внимание, что текущая версия SSSD не поддерживает встроенные группы
Active Directory. Встроенные группы (например, Administrators с SID
S-1-5-32-544) в правилах управления доступом GPO будут проигнорированы
SSSD. Подробные сведения доступны в системе отслеживания ошибок:
https://github.com/SSSD/sssd/issues/5063 .
</para>
<para>
Перед осуществлением управления доступом SSSD применяет к GPO фильтр
безопасности групповой политики. Для входа каждого пользователя проверяется
применимость GPO, связанных с узлом. Чтобы GPO применялся к пользователю,
пользователь или хотя бы одна из групп, участником которых он является,
должна обладать следующими правами GPO:
<itemizedlist>
<listitem>
<para>
Read: пользователь или одна из его групп должна обладать правом чтения
свойств GPO (RIGHT_DS_READ_PROPERTY)
</para>
</listitem>
<listitem>
<para>
Apply Group Policy: пользователю или хотя бы одной из его групп должно быть
разрешено применять GPO (RIGHT_DS_CONTROL_ACCESS).
</para>
</listitem>
</itemizedlist>
</para>
<para>
По умолчанию в GPO присутствует группа Authenticated Users. Она обладает как
правом доступа Read, так и правом доступа Apply Group Policy. Так как
проверка подлинности пользователя должна успешно завершиться до того, как
будет применён фильтр безопасности и начато управление доступом на основе
GPO, этот пользователю всегда будет обладать правами группы Authenticated
Users GPO.
</para>
<para>
ПРИМЕЧАНИЕ: если в качестве режим работы выбран принудительный режим,
возможно, что пользователям, которым был ранее разрешён доступ для входа,
теперь будет отказано в доступе для входа (согласно параметрам политики
GPO). Чтобы облегчить переход на новую систему, для администраторов
предусмотрен разрешительный режим: правила управления доступом не
применяются в принудительном порядке. Программа просто проверяет
соответствие этим правилам и выводит в системный журнал сообщение в случае
отказа в доступе. Просмотрев этот журнал, администраторы смогут внести
необходимые изменения, а затем включить принудительный режим. Для ведения
журнала управления доступом на основе GPO необходимо включить уровень
отладки «трассировка функций» (см. справочную страницу <citerefentry>
<refentrytitle>sssctl</refentrytitle> <manvolnum>8</manvolnum>
</citerefentry>).
</para>
<para>
Для этого параметра поддерживаются три значения:
<itemizedlist>
<listitem>
<para>
disabled: не осуществляется ни проверка соответствия правилам управления
доступом на основе GPO, ни их принудительное применение.
</para>
</listitem>
<listitem>
<para>
enforcing: осуществляется проверка соответствия правилам управления доступом
на основе GPO и их принудительное применение.
</para>
</listitem>
<listitem>
<para>
permissive: осуществляется проверка соответствия правилам управления
доступом на основе GPO, но не их принудительное применение. Вместо этого
создаётся сообщение системного журнала, означающее, что пользователю было бы
отказано в доступе, если бы в качестве значения этого параметра был задан
принудительный режим.
</para>
</listitem>
</itemizedlist>
</para>
<para condition="gpo_default_permissive">
По умолчанию: permissive
</para>
<para condition="gpo_default_enforcing">
По умолчанию: enforcing
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_implicit_deny (логическое значение)</term>
<listitem>
<para>
Обычно пользователям разрешается доступ, если применимые GPO не
найдены. Когда этот параметр установлен в значение «True», пользователям
будет разрешён доступ только в том случае, если это явно разрешено правилом
GPO. В ином случае пользователям будет отказано в доступе. Это можно сделать
для усиления защиты, но следует использовать этот параметр с осторожностью:
возможен отказ в доступе даже тем пользователям, которые состоят во
встроенной группе Administrators, если к ним не применяются правила GPO.
</para>
<para>
По умолчанию: false
</para>
<para>
В следующих двух таблицах показано, когда пользователю будет разрешён или
запрещён доступ на основе прав разрешения или запрета входа, которые
определены на стороне сервера, и установленного значения
ad_gpo_implicit_deny.
</para>
<informaltable frame='all'>
<tgroup cols='3'>
<colspec colname='c1' align='center'/>
<colspec colname='c2' align='center'/>
<colspec colname='c3' align='center'/>
<thead>
<row><entry namest='c1' nameend='c3' align='center'>
ad_gpo_implicit_deny = False (по умолчанию)</entry></row>
<row><entry>правила разрешения</entry><entry>правила запрета</entry>
<entry>результат</entry></row>
</thead>
<tbody>
<row><entry>отсутствуют</entry><entry>отсутствуют</entry>
<entry><para>доступ разрешён всем пользователям</para>
</entry></row>
<row><entry>отсутствуют</entry><entry>присутствуют</entry>
<entry><para>доступ разрешён только пользователям, отсутствующим в правилах запрета</para></entry></row>
<row><entry>присутствуют</entry><entry>отсутствуют</entry>
<entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row>
<row><entry>присутствуют</entry><entry>присутствуют</entry>
<entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и
отсутствующим в правилах запрета</para></entry></row>
</tbody></tgroup></informaltable>
<informaltable frame='all'>
<tgroup cols='3'>
<colspec colname='c1' align='center'/>
<colspec colname='c2' align='center'/>
<colspec colname='c3' align='center'/>
<thead>
<row><entry namest='c1' nameend='c3' align='center'>
ad_gpo_implicit_deny = True</entry></row>
<row><entry>правила разрешения</entry><entry>правила запрета</entry>
<entry>результат</entry></row>
</thead>
<tbody>
<row><entry>отсутствуют</entry><entry>отсутствуют</entry>
<entry><para>доступ запрещён всем пользователям</para>
</entry></row>
<row><entry>отсутствуют</entry><entry>присутствуют</entry>
<entry><para>доступ запрещён всем пользователям</para>
</entry></row>
<row><entry>присутствуют</entry><entry>отсутствуют</entry>
<entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения</para></entry></row>
<row><entry>присутствуют</entry><entry>присутствуют</entry>
<entry><para>доступ разрешён только пользователям, присутствующим в правилах разрешения и
отсутствующим в правилах запрета</para></entry></row>
</tbody></tgroup></informaltable>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_ignore_unreadable (логическое значение)</term>
<listitem>
<para>
Обычно пользователям запрещён доступ, когда некоторые контейнеры групповой
политики (объекта AD) соответствующих объектов групповой политики недоступны
для чтения SSSD. Этот параметр позволяет игнорировать контейнеры групповой
политики, а также связанные с ними политики, если их атрибуты в контейнерах
групповой политики недоступны для чтения SSSD.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_cache_timeout (целое число)</term>
<listitem>
<para>
Временной интервал между сеансами поиска файлов политики GPO на сервере
AD. Это сократит задержки и нагрузку на сервер AD, когда за короткое время
поступает много запросов на управление доступом.
</para>
<para>
По умолчанию: 5 (секунд)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_interactive (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики InteractiveLogonRight и
DenyInteractiveLogonRight. Обрабатываются только те GPO, на доступ к которым
у пользователя есть права Read и Apply Group Policy (смотрите описание
параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
содержит параметр запрета интерактивного входа для пользователя или одной из
его групп, пользователю будет отказано в локальном доступе. Если ни в одном
из обработанных GPO нет определённого права интерактивного входа,
пользователю будет разрешён локальный доступ. Если хотя бы один обработанный
GPO содержит параметры права интерактивного входа, пользователю будет
разрешён только локальный доступ, если он или хотя бы одна из его групп
являются частью параметров политики.
</para>
<para>
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить локальный вход» («Allow log on locally») и «Запретить
локальный вход» («Deny log on locally»).
</para>
<para>
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
<quote>login</quote>) на пользовательское имя службы PAM (например,
<quote>my_pam_service</quote>), необходимо использовать следующую
конфигурацию: <programlisting>
ad_gpo_map_interactive = +my_pam_service, -login
</programlisting>
</para>
<para>
По умолчанию: стандартный набор имён служб PAM включает:
<itemizedlist>
<listitem>
<para>
login
</para>
</listitem>
<listitem>
<para>
su
</para>
</listitem>
<listitem>
<para>
su-l
</para>
</listitem>
<listitem>
<para>
gdm-fingerprint
</para>
</listitem>
<listitem>
<para>
gdm-password
</para>
</listitem>
<listitem>
<para>
gdm-smartcard
</para>
</listitem>
<listitem>
<para>
kdm
</para>
</listitem>
<listitem>
<para>
lightdm
</para>
</listitem>
<listitem>
<para>
lxdm
</para>
</listitem>
<listitem>
<para>
sddm
</para>
</listitem>
<listitem>
<para>
unity
</para>
</listitem>
<listitem>
<para>
xdm
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_remote_interactive (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики RemoteInteractiveLogonRight и
DenyRemoteInteractiveLogonRight. Обрабатываются только те GPO, на доступ к
которым у пользователя есть права Read и Apply Group Policy (смотрите
описание параметра <quote>ad_gpo_access_control</quote>). Если обработанный
GPO содержит параметр запрета удалённого входа для пользователя или одной из
его групп, пользователю будет отказано в удалённом интерактивном
доступе. Если ни в одном из обработанных GPO нет определённого права
удалённого интерактивного входа, пользователю будет разрешён удалённый
доступ. Если хотя бы один обработанный GPO содержит параметры права
удалённого интерактивного входа, пользователю будет разрешён только
удалённый доступ, если он или хотя бы одна из его групп являются частью
параметров политики.
</para>
<para>
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход через службы удалённых рабочих столов» («Allow
log on through Remote Desktop Services») и «Запретить вход через службы
удалённых рабочих столов» («Deny log on through Remote Desktop Services»).
</para>
<para>
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
<quote>sshd</quote>) на пользовательское имя службы PAM (например,
<quote>my_pam_service</quote>), необходимо использовать следующую
конфигурацию: <programlisting>
ad_gpo_map_remote_interactive = +my_pam_service, -sshd
</programlisting>
</para>
<para>
По умолчанию: стандартный набор имён служб PAM включает:
<itemizedlist>
<listitem>
<para>
sshd
</para>
</listitem>
<listitem>
<para>
cockpit
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_network (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики NetworkLogonRight и
DenyNetworkLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
содержит параметр запрета входа в сеть для пользователя или одной из его
групп, пользователю будет отказано в доступе для входа в сеть. Если ни в
одном из обработанных GPO нет определённого права входа в сеть, пользователю
будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
параметры права входа в сеть, пользователю будет разрешён только доступ для
входа, если он или хотя бы одна из его групп являются частью параметров
политики.
</para>
<para>
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить доступ к компьютеру из сети» («Access this computer
from the network») и «Запретить доступ к компьютеру из сети» («Deny access
to this computer from the network»).
</para>
<para>
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
<quote>ftp</quote>) на пользовательское имя службы PAM (например,
<quote>my_pam_service</quote>), необходимо использовать следующую
конфигурацию: <programlisting>
ad_gpo_map_network = +my_pam_service, -ftp
</programlisting>
</para>
<para>
По умолчанию: стандартный набор имён служб PAM включает:
<itemizedlist>
<listitem>
<para>
ftp
</para>
</listitem>
<listitem>
<para>
samba
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_batch (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики BatchLogonRight и
DenyBatchLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
содержит параметр запрета пакетного входа для пользователя или одной из его
групп, пользователю будет отказано в доступе для пакетного входа. Если ни в
одном из обработанных GPO нет определённого права пакетного входа,
пользователю будет разрешён доступ для входа. Если хотя бы один обработанный
GPO содержит параметры права пакетного входа, пользователю будет разрешён
только доступ для входа, если он или хотя бы одна из его групп являются
частью параметров политики.
</para>
<para>
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход в качестве пакетного задания» («Allow log on as a
batch job») и «Запретить вход в качестве пакетного задания» («Deny log on as
a batch job»).
</para>
<para>
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
заменить стандартное имя службы PAM для этого права входа (например,
<quote>crond</quote>) на пользовательское имя службы PAM (например,
<quote>my_pam_service</quote>), необходимо использовать следующую
конфигурацию: <programlisting>
ad_gpo_map_batch = +my_pam_service, -crond
</programlisting>
</para>
<para>Примечание: имя службы cron может различаться в зависимости от используемого
дистрибутива Linux.</para>
<para>
По умолчанию: стандартный набор имён служб PAM включает:
<itemizedlist>
<listitem>
<para>
crond
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_service (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, для которых проверка
соответствия правилам управления доступом на основе GPO осуществляется на
основе параметров политики ServiceLogonRight и
DenyServiceLogonRight. Обрабатываются только те GPO, на доступ к которым у
пользователя есть права Read и Apply Group Policy (смотрите описание
параметра <quote>ad_gpo_access_control</quote>). Если обработанный GPO
содержит параметр запрета входа службы для пользователя или одной из его
групп, пользователю будет отказано в доступе для входа службы. Если ни в
одном из обработанных GPO нет определённого права входа службы, пользователю
будет разрешён доступ для входа. Если хотя бы один обработанный GPO содержит
параметры права входа службы, пользователю будет разрешён только доступ для
входа, если он или хотя бы одна из его групп являются частью параметров
политики.
</para>
<para>
Примечание: в редакторе управления групповыми политиками это значение
называется «Разрешить вход в качестве службы» («Allow log on as a service»)
и «Запретить вход в качестве службы» («Deny log on as a service»).
</para>
<para>
Можно добавить имя службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Так как стандартный набор является пустым, из
него невозможно удалить имя службы PAM. Например, чтобы добавить
пользовательское имя службы PAM (например, <quote>my_pam_service</quote>),
необходимо использовать следующую конфигурацию: <programlisting>
ad_gpo_map_service = +my_pam_service
</programlisting>
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_permit (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, которым всегда предоставляется
доступ на основе GPO, независимо от прав входа GPO.
</para>
<para>
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Также можно явно удалить имя службы PAM из
стандартного набора с помощью <quote>-service_name</quote>. Например, чтобы
заменить стандартное имя службы PAM для безусловно разрешённого доступа
(например, <quote>sudo</quote>) на пользовательское имя службы PAM
(например, <quote>my_pam_service</quote>), необходимо использовать следующую
конфигурацию: <programlisting>
ad_gpo_map_permit = +my_pam_service, -sudo
</programlisting>
</para>
<para>
По умолчанию: стандартный набор имён служб PAM включает:
<itemizedlist>
<listitem>
<para>
polkit-1
</para>
</listitem>
<listitem>
<para>
sudo
</para>
</listitem>
<listitem>
<para>
sudo-i
</para>
</listitem>
<listitem>
<para>
systemd-user
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_deny (строка)</term>
<listitem>
<para>
Разделённый запятыми список имён служб PAM, которым всегда запрещается
доступ на основе GPO, независимо от прав входа GPO.
</para>
<para>
Можно добавить имя службы PAM в стандартный набор с помощью
<quote>+service_name</quote>. Так как стандартный набор является пустым, из
него невозможно удалить имя службы PAM. Например, чтобы добавить
пользовательское имя службы PAM (например, <quote>my_pam_service</quote>),
необходимо использовать следующую конфигурацию: <programlisting>
ad_gpo_map_deny = +my_pam_service
</programlisting>
</para>
<para>
По умолчанию: не задано
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_default_right (строка)</term>
<listitem>
<para>
Этот параметр определяет, как обрабатываются правила управления доступом для
имён служб PAM, которые явно не указаны в одном из параметров
ad_gpo_map_*. Этот параметр можно установить двумя разными
способами. Первый: с помощью этого параметра можно задать использование
стандартного права входа. Например, установка этого параметра в значение
«interactive» означает, что несопоставленные имена служб PAM будут
обрабатываться на основе параметров политики InteractiveLogonRight и
DenyInteractiveLogonRight. Второй: с помощью этого параметра можно указать
всегда разрешать или всегда запрещать доступ для несопоставленных имён служб
PAM.
</para>
<para>
Для этого параметра поддерживаются следующие значения:
<itemizedlist>
<listitem>
<para>
interactive
</para>
</listitem>
<listitem>
<para>
remote_interactive
</para>
</listitem>
<listitem>
<para>
network
</para>
</listitem>
<listitem>
<para>
batch
</para>
</listitem>
<listitem>
<para>
service
</para>
</listitem>
<listitem>
<para>
permit
</para>
</listitem>
<listitem>
<para>
deny
</para>
</listitem>
</itemizedlist>
</para>
<para>
По умолчанию: deny
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_maximum_machine_account_password_age (целое число)</term>
<listitem>
<para>
SSSD будет раз в день проверять, не превышен ли указанный возраст (в днях)
пароля учётной записи компьютера, и в случае превышения попытается обновить
его. Значение «0» отключает попытку обновления.
</para>
<para>
По умолчанию: 30 дней
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_machine_account_password_renewal_opts (строка)</term>
<listitem>
<para>
Этот параметр следует использовать только для тестирования задания по
обновлению пароля учётной записи компьютера. Параметр ожидает 2 целых числа,
разделённых двоеточием («:»). Первое целое число определяет интервал (в
секундах) между последовательными запусками задания. Второе целое число
указывает начальный тайм-аут (в секундах) перед первым запуском задания
после перезапуска.
</para>
<para>
По умолчанию: 86400:750 (24 часа и 15 минут)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_update_samba_machine_account_password (логическое значение)</term>
<listitem>
<para>
Если этот параметр включён, когда SSSD обновляет пароль учётной записи
компьютера, он обновляется также в базе данных Samba. Это позволяет
предотвратить устаревание копии пароля учётной записи компьютера в Samba,
когда программа настроена на использование AD для проверки подлинности.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_use_ldaps (логическое значение)</term>
<listitem>
<para>
По умолчанию SSSD использует простой порт LDAP 389 и порт глобального
каталога 3628. Если этот параметр установлен в значение «True», SSSD будет
использовать порт LDAPS 636 и порт глобального каталога 3629 с защитой
LDAPS. Так как AD не разрешает использование нескольких слоёв шифрования для
одного подключения и всё ещё требуется использовать SASL/GSSAPI или
SASL/GSS-SPNEGO для проверки подлинности, свойство безопасности SASL maxssf
для таких подключений будет установлено в значение «0» (ноль).
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_allow_remote_domain_local_groups (логическое значение)</term>
<listitem>
<para>
Если этот параметр установлен в значение <quote>true</quote>, SSSD не будет
отфильтровывать группы, локальные в домене, в удалённых доменах в лесу
AD. По умолчанию они отфильтровываются (например, при следовании по иерархии
вложенных групп в удалённых доменах), так не являются действительными в
локальном домене. Этот параметр был добавлен для обеспечения совместимости с
другими решениями, которые делают пользователей и группы AD доступными на
клиенте Linux.
</para>
<para>
Обратите внимание, что установка этого параметра в значение
<quote>true</quote> идёт вразрез со смыслом локальной группы домена в Active
Directory и <emphasis>ДОЛЖНА ВЫПОЛНЯТЬСЯ ТОЛЬКО ДЛЯ ОБЛЕГЧЕНИЯ ПЕРЕХОДА С
ДРУГИХ РЕШЕНИЙ</emphasis>. Хотя эта группа существует и пользователь может
быть её участником, смысл состоит в том, что группа должна использоваться
только в том домене, где она определена, и ни в каких других. Так как
существует только один тип групп POSIX, единственный способ добиться этого
на стороне Linux — игнорировать эти группы. Active Directory делает то же
самое: в PAC билета Kerberos для локальной службы и в запросах tokenGroups
тоже отсутствуют удалённые группы, локальные в домене.
</para>
<para>
Учитывая вышесказанное, при установке этого параметра в значение
<quote>true</quote> необходимо отключить запрос tokenGroups путём установки
параметра <quote>ldap_use_tokengroups</quote> в значение
<quote>false</quote> для получения согласованных данных об участии
пользователей в группах. Кроме того, также следует отключить поиск в
глобальном каталоге путём установки параметра <quote>ad_enable_gc</quote> в
значение <quote>false</quote>. И, наконец, может потребоваться изменить
значение параметра <quote>ldap_group_nesting_level</quote>, если удалённые
группы, локальные в домене, могут быть найдены только на более глубоком
уровне вложенности.
</para>
<para>
По умолчанию: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update (логическое значение)</term>
<listitem>
<para>
Необязательный параметр. Этот параметр указывает SSSD автоматически
обновлять на сервере DNS Active Directory IP-адрес клиента. Защита
обновления обеспечивается с помощью GSS-TSIG. Соответственно, администратору
Active Directory требуется только разрешить защищённые обновления для зоны
DNS. Для обновления будет использован IP-адрес LDAP-соединения AD, если с
помощью параметра <quote>dyndns_iface</quote> не указано иное.
</para>
<para>
ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы
в этом режиме необходимо надлежащим образом задать стандартную область
Kerberos в /etc/krb5.conf
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_ttl (целое число)</term>
<listitem>
<para>
Значение TTL, которое применяется при обновлении записи DNS клиента. Если
параметр dyndns_update установлен в значение «false», этот параметр ни на
что не влияет. Если администратором установлено значение TTL на стороне
сервера, оно будет переопределено этим параметром.
</para>
<para>
По умолчанию: 3600 (секунд)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_iface (строка)</term>
<listitem>
<para>
Необязательный параметр. Применимо только тогда, когда параметр
dyndns_update установлен в значение «true». Выберите интерфейс или список
интерфейсов, IP-адреса которых должны использоваться для динамических
обновлений DNS. Специальное значение <quote>*</quote> подразумевает, что
следует использовать IP-адреса всех интерфейсов.
</para>
<para>
По умолчанию: использовать IP-адреса интерфейса, который используется для
подключения LDAP AD
</para>
<para>
Пример: dyndns_iface = em1, vnet1, vnet2
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_refresh_interval (целое число)</term>
<listitem>
<para>
Как часто внутреннему серверу следует выполнять периодическое обновление DNS
в дополнение к автоматическому обновлению, которое выполняется при переходе
внутреннего сервера в сетевой режим. Этот параметр является необязательным и
применяется только тогда, когда параметр dyndns_update установлен в значение
«true». Обратите внимание, что наименьшее допустимое значение составляет 60
секунд: если будет указано меньшее значение, параметр примет наименьшее
допустимое значение (60 секунд).
</para>
<para>
По умолчанию: 86400 (24 часа)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_ptr (логическое значение)</term>
<listitem>
<para>
Следует ли также явно обновлять запись PTR при обновлении записей DNS
клиента. Применимо только тогда, когда параметр dyndns_update установлен в
значение «true».
</para>
<para>
Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not
apply for PTR record updates. Those updates are always sent separately.
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_force_tcp (логическое значение)</term>
<listitem>
<para>
Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными
с сервером DNS.
</para>
<para>
По умолчанию: false (разрешить nsupdate выбрать протокол)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth (строка)</term>
<listitem>
<para>
Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
защищённых обновлений сервера DNS. Незащищённые отправления можно
отправлять, установив этот параметр в значение «none».
</para>
<para>
По умолчанию: GSS-TSIG
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth_ptr (строка)</term>
<listitem>
<para>
Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для
защищённых обновлений PTR сервера DNS. Незащищённые отправления можно
отправлять, установив этот параметр в значение «none».
</para>
<para>
По умолчанию: то же, что и dyndns_auth
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_server (строка)</term>
<listitem>
<para>
Сервер DNS, который следует использовать для выполнения обновления DNS. В
большинстве конфигураций рекомендуется не устанавливать значение для этого
параметра.
</para>
<para>
Установка этого параметра имеет смысл для сред, в которых сервер DNS
отличается от сервера данных идентификации.
</para>
<para>
Обратите внимание, что этот параметр используется только для резервной
попытки, которая выполняется тогда, когда предыдущая попытка с
использованием автоматически определённых параметров завершилась неудачей.
</para>
<para>
По умолчанию: none (разрешить nsupdate выбрать сервер)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_per_family (логическое значение)</term>
<listitem>
<para>
По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а
затем обновление IPv4. В некоторых случаях может быть желательно выполнить
обновление IPv4 и IPv6 за один шаг.
</para>
<para>
По умолчанию: true
</para>
</listitem>
</varlistentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
<varlistentry>
<term>krb5_confd_path (строка)</term>
<listitem>
<para>
Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты
конфигурации Kerberos.
</para>
<para>
Чтобы отключить создание фрагментов конфигурации, установите этот параметр в
значение «none».
</para>
<para>
По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD)
</para>
</listitem>
</varlistentry>
</variablelist>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" />
<refsect1 id='example'>
<title>ПРИМЕР</title>
<para>
В следующем примере предполагается, что конфигурация SSSD корректна и что
example.com — один из доменов в разделе <replaceable>[sssd]</replaceable>. В
примере показаны только параметры, относящиеся к поставщику данных AD.
</para>
<para>
<programlisting>
[domain/EXAMPLE]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
</programlisting>
</para>
</refsect1>
<refsect1 id='notes'>
<title>ПРИМЕЧАНИЯ</title>
<para>
Поставщик данных управления доступом AD проверяет, не истёк ли срок действия
учётной записи. Работает так же, как и следующая конфигурация поставщика
данных LDAP: <programlisting>
access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
</programlisting>
</para>
<para>
Тем не менее, если поставщик данных управления доступом <quote>ad</quote> не
настроен явным образом, поставщиком доступа по умолчанию является
<quote>permit</quote>. Обратите внимание, что при настройке поставщика
доступа, отличного <quote>ad</quote>, потребуется вручную указать все
параметры подключения, такие как URI LDAP и параметры шифрования.
</para>
<para>
Когда поставщик данных autofs установлен в значение <quote>ad</quote>,
используется схема сопоставления атрибутов RFC2307 (nisMap, nisObject, ...),
так как эти атрибуты включены в стандартную схему Active Directory.
</para>
<para>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
</refentry>
</reference>
|
