1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
1036
1037
1038
1039
1040
1041
1042
1043
1044
1045
1046
1047
1048
1049
1050
1051
1052
1053
1054
1055
1056
1057
1058
1059
1060
1061
1062
1063
1064
1065
1066
1067
1068
1069
1070
1071
1072
1073
1074
1075
1076
1077
1078
1079
1080
1081
1082
1083
1084
1085
1086
1087
1088
1089
1090
1091
1092
1093
1094
1095
1096
1097
1098
1099
1100
1101
1102
1103
1104
1105
1106
1107
1108
1109
1110
1111
1112
1113
1114
1115
1116
1117
1118
1119
1120
1121
1122
1123
1124
1125
1126
1127
1128
1129
1130
1131
1132
1133
1134
1135
1136
1137
1138
1139
1140
1141
1142
1143
1144
1145
1146
1147
1148
1149
1150
1151
1152
1153
1154
1155
1156
1157
1158
1159
1160
1161
1162
1163
1164
1165
1166
1167
1168
1169
1170
1171
1172
1173
1174
1175
1176
1177
1178
1179
1180
1181
1182
1183
1184
1185
1186
1187
1188
1189
1190
1191
1192
1193
1194
1195
1196
1197
1198
1199
1200
1201
1202
1203
1204
1205
1206
1207
1208
1209
1210
1211
1212
1213
1214
1215
1216
1217
1218
1219
1220
1221
1222
1223
1224
1225
1226
1227
1228
1229
1230
1231
1232
1233
1234
1235
1236
1237
1238
1239
1240
1241
1242
1243
1244
1245
1246
1247
1248
1249
1250
1251
1252
1253
1254
1255
1256
1257
1258
1259
1260
1261
1262
1263
1264
1265
1266
1267
1268
1269
1270
1271
1272
1273
1274
1275
1276
1277
1278
1279
1280
1281
1282
1283
1284
1285
1286
1287
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.5//EN"
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd">
<reference>
<title>SSSD manualsidor</title>
<refentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
<refmeta>
<refentrytitle>sssd-ad</refentrytitle>
<manvolnum>5</manvolnum>
<refmiscinfo class="manual">Filformat och konventioner</refmiscinfo>
</refmeta>
<refnamediv id='name'>
<refname>sssd-ad</refname>
<refpurpose>SSSD Active Directory-leverantör</refpurpose>
</refnamediv>
<refsect1 id='description'>
<title>BESKRIVNING</title>
<para>
Denna manualsida beskriver konfigurationen av leverantören AD till
<citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum>
</citerefentry>. För en detaljerad referens om syntaxen, se avsnittet
<quote>FILFORMAT</quote> i manualsidan <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry>.
</para>
<para>
Leverantören AD är en bakände som används för att ansluta till en Active
Directory-server. Leverantören kräver att maskinen läggs in i AD-domänen
och att en keytab är tillgänglig. Bakändekommunikationen sker över en
GSSAPI-krypterad kanal, SSL/TLS-alternativ skall inte användas tillsammans
med AD-leverantören och kommer ersättas av Kerberos-användning.
</para>
<para>
AD-leverantören stödjer anslutning till Active Directory 2008 R2 eller
senare. Tidigare versioner kan fungera, men stödjs inte.
</para>
<para>
AD-leverantören kan användas för att få användarinformation och autentisera
användare från betrodda domäner. För närvarande känns endast betrodda
domäner i samma skog igen. Dessutom automatupptäcks alltid servrar från
betrodda domäner.
</para>
<para>
AD-leverantören gör att SSSD kan använda identitetsleverantören
<citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> och autentiseringsleverantören
<citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
<manvolnum>5</manvolnum> </citerefentry> med optimeringar för Active
Directory-miljöer. AD-leverantören tar samma alternativ som används av
leverantörerna sssd-ldap och sssd-krb5 med några undantag. Dock är det
varken nödvändigt eller lämpligt att sätta dessa alternativ.
</para>
<para>
AD-leverantören kopierar i huvudsak standardalternativen för de
traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna
listas i avsnittet <quote>ÄNDRADE STANDARDINSTÄLLNINGAR</quote>.
</para>
<para>
AD-leverantören kan även användas som en åtkomst-, chpass-, sudo- och
autofs-leverantör. Ingen konfiguration av åtkomstleverantören behövs på
klientsidan.
</para>
<para>
Om <quote>auth_provider=ad</quote> eller <quote>access_provider=ad</quote>
konfigureras i sssd.conf måste id-leverantören också sättas till
<quote>ad</quote>.
</para>
<para>
Som standard kommer AD-leverantören översätta AID- och GID-värden från
parametern objectSID i Active Directory. För detaljer om detta se avsnittet
<quote>ID-ÖVERSÄTTNING</quote> nedan. Om du vill avaktivera ID-översättning
och istället lita på POSIX-attribut definierade i Active Directory skall du
sätta <programlisting>
ldap_id_mapping = False
</programlisting>. Om POSIX-attribut skall
användas rekommenderas det av prestandaskäl att attributen även replikeras
till den globala katalogen. Om POSIX-attribut replikeras kommer SSSD
försöka att hitta domänen för den begärda numeriska ID:n med hjälp av den
globala katalogen och endast söka i den domänen. Om POSIX-attribut däremot
inte replikeras till den globala katalogen måste SSSD söka i alla domänerna
i skogen sekventiellt. Observera att alternativet
<quote>cache_first</quote> också kan vara till hjälp för att snabba upp
domänlösa sökningar. Observera att om endast en delmängd av
POSIX-attributen finns i den globala katalogen läses för närvarande inte de
attribut som inte replikeras från LDAP-porten.
</para>
<para>
Användare, grupper och andra enheter som servas av SSSD behandlas alltid som
skiftlägesokänsliga i AD-leverantören för kompatibilitet med Active
Directorys LDAP-implementation.
</para>
<para>
SSSD slår endast up Active Directory Security Groups. För mer information om
AD-grupptyper se: <ulink
url="https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups">Active
Directory security grouips</ulink>
</para>
<para>
SSSD filtrerar ut domänlokala grupper från fjärrdomäner i AD-skogen. Som
standard filtreras de ut t.ex. när man följer en nästad grupphierarki i
fjärrdomäner för att de inte är giltiga i den lokala domänen. Detta görs för
att stämma med Active Directorys gruppmedlemskapstilldelning vilken kan ses
i Kerberosbiljettens PAC för en användare utgiven av Active Directory.
</para>
</refsect1>
<refsect1 id='configuration-options'>
<title>KONFIGURATIONSALTERNATIV</title>
<para>Se <quote>DOMÄNSEKTIONER</quote> i manualsidan <citerefentry>
<refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum>
</citerefentry> för detaljer om konfigurationen av en SSSD-domän.
<variablelist>
<varlistentry>
<term>ad_domain (sträng)</term>
<listitem>
<para>
Anger namnet på Active Directory-domänen. Detta är frivilligt. Om det inte
anges används namnet på den konfigurerade domänen.
</para>
<para>
För att fungera ordentligt skall detta alternativ anges som den gemena
versionen av den långa versionen av Active Directorys domän.
</para>
<para>
Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet)
detekteras automatiskt av SSSD.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enabled_domains (sträng)</term>
<listitem>
<para>
A comma-separated list of enabled Active Directory domains. If provided,
SSSD will ignore any domains not listed in this option. If left unset, all
discovered domains from the AD forest will be available.
</para>
<para>
During the discovery of the domains SSSD will filter out some domains where
flags or attributes indicate that they do not belong to the local forest or
are not trusted. If ad_enabled_domains is set, SSSD will try to enable all
listed domains.
</para>
<para>
För att fungera ordentligt bör detta alternativ anges helt i gemener och som
det fullständigt kvalificerade namnet på Active Directory-domänen. Till
exempel: <programlisting>
ad_enabled_domains = marknad.example.com, tekn.example.com
</programlisting>
</para>
<para>
Det korta domännamnet (även känt som NetBIOS-namnet eller det platta namnet)
kommer detekteras automatiskt av SSSD.
</para>
<para>
Standard: inte satt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_server, ad_backup_server (sträng)</term>
<listitem>
<para>
Den kommaseparerade listan av värdnamn till AD-servrar till vilka SSSD skall
ansluta i prioritetsordning. För mer information om reserver och
serverredundans se avsnittet <quote>RESERVER</quote>.
</para>
<para>
Detta är frivilligt om automatupptäckt är aktiverat. För mer information om
tjänsteupptäckt se avsnittet <quote>TJÄNSTEUPPTÄCKT</quote>.
</para>
<para>
Observera: betrodda domäner kommer alltid automatiskt upptäcka servrar även
om den primära servern definieras uttryckligen i alternativet ad_server.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_hostname (sträng)</term>
<listitem>
<para>
Valfri. På maskiner där hostname(5) inte avspeglar det fullständigt
kvalificerade namnet kommer sssd försöka expandera det korta namnet. Om det
inte är möjligt eller det korta namnet verkligen skall användas istället,
sätt då denna parameter uttryckligen.
</para>
<para>
Detta fält används för att avgöra värd-huvudmannen som används i keytab:en
och utföra dynamiska DNS-uppdateringar. Det måste stämma med värdnamnet som
keytab:en gavs ut för.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enable_dns_sites (boolean)</term>
<listitem>
<para>
Aktiverar DNS-sajter – platsbaserat tjänsteupptäckt.
</para>
<para>
Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av
manualsidan) är aktiverat kommer SSSD först att försöka hitta en Active
Directory-server att ansluta till med Active Directory Site Discovery och
sedan falla tillbaka på traditionell SRV-upptäckt om ingen AD-sajt hittas.
Konfigurationen av DNS SRV, inklusive upptäcktsdomänen, används också under
sajtupptäckten.
</para>
<para>
Standard: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_access_filter (sträng)</term>
<listitem>
<para>
Detta alternativ anger LDAP:s åtkomstkontrollfilter som användaren måste
matcha för att tillåtas åtkomst. Observera att alternativet
<quote>access_provider</quote> måste vara uttryckligen satt till
<quote>ad</quote> för att detta alternativ skall ha någon effekt.
</para>
<para>
Alternativet stödjer också att ange olika filter per domän eller skog.
Detta utökade filter skulle bestå av: <quote>NYCKELORD:NAMN:FILTER</quote>.
Nyckelordet kan vara antingen <quote>DOM</quote>, <quote>FOREST</quote>
eller utelämnas.
</para>
<para>
Om nyckelordet är lika med <quote>DOM</quote> eller saknas anger
<quote>NAMN</quote> domänen eller underdomänen filtret gäller för. Om
nyckelordet är lika med <quote>FOREST</quote> är filtret lika för alla
domäner från skogen som anges av <quote>NAMN</quote>.
</para>
<para>
Flera filter kan avgränsas med tecknet <quote>?</quote>, i likhet med hur
sökbaser fungerar.
</para>
<para>
Nästade gruppmedlemskap måste sökas efter med en speciell OID
<quote>:1.2.840.113556.1.4.1941:</quote> utöver den fullständiga syntaxen
DOM:domän.example.com: för att säkerställa att tolken inte försöker tolka
kolontecknen som hör till OID:n. Om man inte använder denna OID kommer
nästade gruppmedlemskap inte slås upp. Se användningsexempel nedan och se
här för ytterligare information om OID:n: <ulink
url="https://msdn.microsoft.com/en-us/library/cc223367.aspx"> [MS-ADTS]
avsnittet LDAP-utökningar</ulink>
</para>
<para>
Den mest specifika matchningen används alltid. Till exempel, om
alternativet angav filter för en domän användaren är medlem i och ett
globalt filter skulle det domänspecifika filtret tillämpas. Om det finns
fler matchningar med samma specifikation används den första.
</para>
<para>
Exempel:
</para>
<programlisting>
# tillämpa endast filtret på en domän som heter dom1:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# tillämpa endast filtret på en domän som heter dom2:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# tillämpa endast filtret på en skog som heter EXAMPLE.COM:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# tillämpa filtret på en medlem av en nästad grupp i dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
</programlisting>
<para>
Standard: inte satt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_site (sträng)</term>
<listitem>
<para>
Ange en AD-sajt som klienten skall försöka ansluta till. Om detta
alternativ inte anges kommer AD-sajten att automatupptäckas.
</para>
<para>
Standard: inte satt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_enable_gc (boolean)</term>
<listitem>
<para>
Som standard ansluter SSSD till den globala katalogen först för att hämta
användare från betrodda domäner och använder LDAP-porten för att hämta
gruppmedlemskap som en reserv. Att avaktivera detta alternativ gör att SSSD
endast ansluter till LDAP-porten på den aktuella AD-servern.
</para>
<para>
Observera att att avaktivera stöd för den globala katalogen inte avaktiverar
att hämta användare från betrodda domäner. SSSD skulle ansluta till
LDAP-porten på den betrodda domänen istället. Dock måste den globala
katalogen användas för att slå upp gruppmedlemskap över domäner.
</para>
<para>
Standard: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_access_control (sträng)</term>
<listitem>
<para>
Detta alternativ anger arbetsläget för GPO-baserad
åtkomstkontrollsfunktionalitet: huruvida det arbetar i avaktiverat läge,
tvingande läge eller tillåtande läge. Observera att alternativet
<quote>access_provider</quote> måste vara uttryckligen satt till
<quote>ad</quote> för att detta alternativ skall ha någon effekt.
</para>
<para>
Funktionalitet för GPO-baserad åtkomststyrning använder
GPO-policyinställningar för att avgöra huruvida en viss användare tillåts
logga in på värden eller inte. För mer information om de stödda
policyinställningarna se flaggan <quote>ad_gpo_map</quote>.
</para>
<para>
Observera att den aktuella versionen av SSSD inte stöjder Active Directorys
inbyggda grupper. Inbyggda grupper (såsom administratörer med SID
S-1-5-32-544) i GPO-åtkomststyrningsregler kommer ignoreras av SSSD. Se
uppströms ärendehanterare https://github.com/SSSD/sssd/issues/5063 .
</para>
<para>
Före åtkomstkontroll utförs tillämpar SSSD säkerhetsfiltrering enligt
gruppolicy på GPO:erna. För varje enskild användares inloggning kontrolleras
tillämpligheten av GPO:erna som är länkade till värden. För att en GPO skall
vara tillämplig på en användare måste användaren eller åtminstone en av de
grupper den tillhör ha följande rättigheter på GPO:n:
<itemizedlist>
<listitem>
<para>
Läs: användaren eller en av dess grupper måste ha läsrättigheter till
egenskaperna hos GPO:n (RIGHT_DS_READ_PROPERTY)
</para>
</listitem>
<listitem>
<para>
Verkställ gruppolicy: användaren eller åtminstone en av dess grupper måste
ha tillåtelse att verkställa GPO:n (RIGHT_DS_CONTROL_ACCESS).
</para>
</listitem>
</itemizedlist>
</para>
<para>
Som standard fins en autentiserad användares grupp på en GPO och denna grupp
har både Läs- och Verkställ gruppolicy-åtkomsträttigheter. Eftersom
autentisering av en användare måste ha fullgjorts framgångsrikt före
GPO-säkerhetsfiltrering och åtkomstkontroll börjar gäller alltid även den
autentiserade användarens grupprättigheter på GPO:n för användaren.
</para>
<para>
OBS: Om åtgärdsläget är satt till tvingande är det möjligt att användarna
som tidigare var tillåtna inloggningsåtkomst nu kommer nekast
inloggningsåtkomst (som det dikteras av GPO-policyinställningar). För att
möjliggöra en smidig övergång för administratörer finns ett tillåtande läge
tillgängligt som inte kommer genomdriva åtkomststyrningsreglerna, utan
kommer beräkna deom och skriva ut ett syslog-meddelande om åtkomst skulle ha
nekats. Genom att granska loggarna kan administratörer sedan göra de
nödvändiga ändringarna före läget ställs in som tvingande. För att logga
felsökningsnivå av GPO-baserad åtkomstkontroll krävs ”trace functions” (se
manualsidan <citerefentry><refentrytitle>sssctl</refentrytitle>
<manvolnum>8</manvolnum></citerefentry>).
</para>
<para>
Det finns tre stödda värden för detta alternativ:
<itemizedlist>
<listitem>
<para>
disabled: GPO-baserade åtkomstkontrollsregler varken evalueras eller
påtvingas.
</para>
</listitem>
<listitem>
<para>
enforcing: GPO-baserade åtkomstkontrollregler evalueras och påtvingas.
</para>
</listitem>
<listitem>
<para>
permissive: GPO-baserade åtkomstkontrollregler evalueras men påtvingas
inte. Istället skickas ett syslog-meddelande ut som indikerar att
användaren skulle ha nekats åtkomst om detta alternativs värde vore satt
till enforcing.
</para>
</listitem>
</itemizedlist>
</para>
<para condition="gpo_default_permissive">
Standard: permissive
</para>
<para condition="gpo_default_enforcing">
Standard: enforcing
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_implicit_deny (boolean)</term>
<listitem>
<para>
Normalt när inga tillämpliga GPO:er finns tillåts användarna åtkomst. När
detta alternativ är satt till True kommer användare att tillåtas åtkomst
endast när det uttryckligen tillåts av en GPO-regel. Annars kommer
användare nekas åtkomst. Detta kan användas för att stärka säkerheten men
var försiktig när detta alternativ används för det kan neka åtkomst även
till användare i den inbyggda administratörsgruppen om inga GPO-regler är
tillämpliga på dem.
</para>
<para>
Standard: False
</para>
<para>
Följande 2 tabeller bör illustrera när en användare tillåts eller nekas
baserat på de tillåtande eller nekande inloggningsrättigheterna definierade
på serversidan och inställningen av ad_gpo_implicit_deny.
</para>
<informaltable frame='all'>
<tgroup cols='3'>
<colspec colname='c1' align='center'/>
<colspec colname='c2' align='center'/>
<colspec colname='c3' align='center'/>
<thead>
<row><entry namest='c1' nameend='c3' align='center'>
ad_gpo_implicit_deny = False (standard)</entry></row>
<row><entry>tillåtelseregler</entry><entry>nekanderegler</entry>
<entry>resultat</entry></row>
</thead>
<tbody>
<row><entry>saknas</entry><entry>saknas</entry>
<entry><para>alla användare tillåts</para>
</entry></row>
<row><entry>saknas</entry><entry>finns</entry>
<entry><para>endast användare som inte finns i nekanderegler tillåts</para></entry></row>
<row><entry>finns</entry><entry>saknas</entry>
<entry><para>endast användare i tillåtelseregler tillåts</para></entry></row>
<row><entry>finns</entry><entry>finns</entry>
<entry><para>endast användare i tillåtelse och inte i nekanderegler tillåts</para></entry></row>
</tbody></tgroup></informaltable>
<informaltable frame='all'>
<tgroup cols='3'>
<colspec colname='c1' align='center'/>
<colspec colname='c2' align='center'/>
<colspec colname='c3' align='center'/>
<thead>
<row><entry namest='c1' nameend='c3' align='center'>
ad_gpo_implicit_deny = True</entry></row>
<row><entry>tillåtelseregler</entry><entry>nekanderegler</entry>
<entry>resultat</entry></row>
</thead>
<tbody>
<row><entry>saknas</entry><entry>saknas</entry>
<entry><para>inga användare tillåts</para>
</entry></row>
<row><entry>saknas</entry><entry>finns</entry>
<entry><para>inga användare tillåts</para>
</entry></row>
<row><entry>finns</entry><entry>saknas</entry>
<entry><para>endast användare i tillåtelseregler tillåts</para></entry></row>
<row><entry>finns</entry><entry>finns</entry>
<entry><para>endast användare i tillåtelse och inte i nekanderegler tillåts</para></entry></row>
</tbody></tgroup></informaltable>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_ignore_unreadable (boolean)</term>
<listitem>
<para>
Normalt när några gruppolicybehållare (AD-objekt) av några tillämpliga
gruppolicyobjekt inte är läsbara av SSSD så nekas användare åtkomst. Detta
alternativ tillåter att man ignorerar gruppolicybehållare och med dem
tillhörande policyer om deras attribut i gruppolicybehållare inte är läsbara
för SSSD.
</para>
<para>
Standard: False
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_cache_timeout (heltal)</term>
<listitem>
<para>
Tiden mellan uppslagningar av GPO-policyfiler mot AD-servern. Detta kommer
reducera tidsfördröjningen och lasten på AD-servern om det görs många
begäranden om åtkomstkontroll under en kort tid.
</para>
<para>
Standard: 5 (sekunder)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_interactive (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna
InteractiveLogonRight och DenyInteractiveLogonRight. Endast de GPO:er
beräknas för vilka användaren har Läs- eller Verkställ
gruppolicy-rättigheter (se flaggan <quote>ad_gpo_access_control</quote>). Om
en beräknad GPO innehåller inställningen neka interaktiv inloggning för
användaren eller en av dess grupper nekas användaren lokal åtkomst. Om ingen
av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad
ges användaren lokal åtkomst. Om åtminstone en beräknad GPO innehåller
inställningen interaktiv inloggningsrättighet ges användaren lokal åtkomst
endast om denne eller åtminstone en av dess grupper är del av den
policyinställningen.
</para>
<para>
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning lokalt” och ”Neka inloggning lokalt”.
</para>
<para>
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. <quote>login</quote>) mot ett anpassat PAM-tjänstenamn
(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande
konfiguration: <programlisting>
ad_gpo_map_interactive = +min_pam-tjänst, -login
</programlisting>
</para>
<para>
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
<itemizedlist>
<listitem>
<para>
login
</para>
</listitem>
<listitem>
<para>
su
</para>
</listitem>
<listitem>
<para>
su-l
</para>
</listitem>
<listitem>
<para>
gdm-fingerprint
</para>
</listitem>
<listitem>
<para>
gdm-password
</para>
</listitem>
<listitem>
<para>
gdm-smartcard
</para>
</listitem>
<listitem>
<para>
kdm
</para>
</listitem>
<listitem>
<para>
lightdm
</para>
</listitem>
<listitem>
<para>
lxdm
</para>
</listitem>
<listitem>
<para>
sddm
</para>
</listitem>
<listitem>
<para>
unity
</para>
</listitem>
<listitem>
<para>
xdm
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_remote_interactive (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna
RemoteInteractiveLogonRight och DenyRemoteInteractiveLogonRight. Endast de
GPO:er beräknas för vilka användaren har Läs- eller Verkställ
gruppolicy-rättigheter (se flaggan <quote>ad_gpo_access_control</quote>). Om
en beräknad GPO innehåller inställningen neka fjärrinloggning för användaren
eller en av dess grupper nekas användaren interaktiv fjärråtkomst. Om ingen
av de evaluerade GPO:erna har en interaktiv inloggningsrättighet definierad
ges användaren interaktiv fjärråtkomst. Om åtminstone en beräknad GPO
innehåller inställningen interaktiv fjärrinloggningsrättighet ges användaren
fjärråtkomst endast om denne eller åtminstone en av dess grupper är del av
den policyinställningen.
</para>
<para>
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning via fjärrskrivbordstjänster” och ”Neka inloggning via
fjärrinloggningstjänster”.
</para>
<para>
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. <quote>sshd</quote>) mot ett anpassat PAM-tjänstenamn
(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande
konfiguration: <programlisting>
ad_gpo_map_remote_interactive = +min_pam-tjänst, -sshd
</programlisting>
</para>
<para>
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
<itemizedlist>
<listitem>
<para>
sshd
</para>
</listitem>
<listitem>
<para>
cockpit
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_network (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna NetworkLogonRight
och DenyNetworkLogonRight. Endast de GPO:er beräknas för vilka användaren
har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller
inställningen neka nätverksinloggning för användaren eller en av dess
grupper nekas användaren nätverksåtkomst. Om ingen av de evaluerade GPO:erna
har en nätverksinloggningsrättighet definierad ges användaren
inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen
nätverksinloggningsrättighet ges användaren inloggningsåtkomst endast om
denne eller åtminstone en av dess grupper är del av den policyinställningen.
</para>
<para>
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Kom åt denna dator från nätverket” och ”Neka åtkomst till denna dator från
nätverket”.
</para>
<para>
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. <quote>ftp</quote>) mot ett anpassat PAM-tjänstenamn
(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande
konfiguration: <programlisting>
ad_gpo_map_network = +min_pam-tjänst, -ftp
</programlisting>
</para>
<para>
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
<itemizedlist>
<listitem>
<para>
ftp
</para>
</listitem>
<listitem>
<para>
samba
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_batch (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna BatchLogonRight
och DenyBatchLogonRight. Endast de GPO:er beräknas för vilka användaren har
Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller
inställningen neka satsvis inloggning för användaren eller en av dess
grupper nekas användaren satsvis inloggningsåtkomst. Om ingen av de
evaluerade GPO:erna har en satsvis inloggningsrättighet definierad ges
användaren inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller
inställningen satsvis inloggningsrättighet ges användaren inloggningsåtkomst
endast om denne eller åtminstone en av dess grupper är del av den
policyinställningen.
</para>
<para>
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning som ett batch-jobb” och ”Neka inloggning som ett
batch-jobb”.
</para>
<para>
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för denna inloggningsrätt
(t.ex. <quote>crond</quote>) mot ett anpassat PAM-tjänstenamn
(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande
konfiguration: <programlisting>
ad_gpo_map_batch = +min_pam-tjänst, -crond
</programlisting>
</para>
<para>Obs: cron-tjänstenamn kan skilja beroende på vilken Linuxdistribution som
används.</para>
<para>
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
<itemizedlist>
<listitem>
<para>
crond
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_service (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad
åtkomstkontroll beräknas baserat på policyinställningarna ServiceLogonRight
och DenyServiceLogonRight. Endast de GPO:er beräknas för vilka användaren
har Läs- eller Verkställ gruppolicy-rättigheter (se flaggan
<quote>ad_gpo_access_control</quote>). Om en beräknad GPO innehåller
inställningen neka tjänsteinloggning för användaren eller en av dess grupper
nekas användaren tjänsteinloggningsåtkomst. Om ingen av de evaluerade
GPO:erna har en tjänsteinloggningsrättighet definierad ges användaren
inloggningsåtkomst. Om åtminstone en beräknad GPO innehåller inställningen
tjänsteinloggningsrättighet ges användaren inloggningsåtkomst endast om
denne eller åtminstone en av dess grupper är del av den policyinställningen.
</para>
<para>
Obs: när man använder gruppolicyhanteringsredigeraren kallas detta värde
”Tillåt inloggning som en tjänst” och ”Neka inloggning som en tjänst”.
</para>
<para>
Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen
genom att använda <quote>+tjänstenamn</quote>. Eftersom
standarduppsättningen är tom är det inte möjligt att ta bort ett
PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga
till ett anpassat PAM-tjänstenamn (t.ex. <quote>min_pam-tjänst</quote>)
skulle man använda följande konfiguration: <programlisting>
ad_gpo_map_service = +min_pam-tjänst
</programlisting>
</para>
<para>
Standard: inte satt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_permit (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst
alltid tillåts, oavsett några andra GPO-inloggningsrättigheter.
</para>
<para>
Det är möjligt att lägga till ett annat PAM-tjänstenamn till
standarduppsättningen genom att använda <quote>+tjänstenamn</quote> eller
att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen
genom att använda <quote>-tjänstenamn</quote>. Till exempel, för att byta
ut ett standard-PAM-tjänstenamn för ovillkorligt tillåten åtkomst
(t.ex. <quote>sudo</quote>) mot ett anpassat PAM-tjänstenamn
(t.ex. <quote>min_pam-tjänst</quote>) skulle man använda följande
konfiguration: <programlisting>
ad_gpo_map_permit = +min_pam-tjänst, -sudo
</programlisting>
</para>
<para>
Standard: standarduppsättningen av PAM-tjänstenamn innefattar:
<itemizedlist>
<listitem>
<para>
polkit-1
</para>
</listitem>
<listitem>
<para>
sudo
</para>
</listitem>
<listitem>
<para>
sudo-i
</para>
</listitem>
<listitem>
<para>
systemd-user
</para>
</listitem>
</itemizedlist>
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_map_deny (sträng)</term>
<listitem>
<para>
En kommaseparerad lista av PAM-tjänstenamn för vilka GPO-baserad åtkomst
alltid nekas, oavsett några andra GPO-inloggningsrättigheter.
</para>
<para>
Det är möjligt att lägga till ett PAM-tjänstenamn till standarduppsättningen
genom att använda <quote>+tjänstenamn</quote>. Eftersom
standarduppsättningen är tom är det inte möjligt att ta bort ett
PAM-tjänstenamn från standarduppsättningen. Till exempel, för att lägga
till ett anpassat PAM-tjänstenamn (t.ex. <quote>min_pam-tjänst</quote>)
skulle man använda följande konfiguration: <programlisting>
ad_gpo_map_deny = +min_pam-tjänst
</programlisting>
</para>
<para>
Standard: inte satt
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_gpo_default_right (sträng)</term>
<listitem>
<para>
Detta alternativ definierar hur åtkomstkontroll beräknas för PAM-tjänstenamn
som inte är uttryckligen listade i en av alternativen ad_gpo_map_*. Detta
alternativ kan anges på två olika sätt. Antingen kan detta alternativ
sättas till att ange standardinloggningsrättigheter. Till exempel, om detta
alternativ är satt till ”interactive” betyder det att omappade
PAM-tjänstenamn kommer bearbetas baserat på policyinställningarna
InteractiveLogonRight och DenyInteractiveLogonRight. Alternativt kan detta
alternativ sättas till att antingen alltid tillåta eller alltid neka åtkomst
för omappade PAM-tjänstenamn.
</para>
<para>
Värden som stödjs för detta alternativ inkluderar:
<itemizedlist>
<listitem>
<para>
interactive
</para>
</listitem>
<listitem>
<para>
remote_interactive
</para>
</listitem>
<listitem>
<para>
network
</para>
</listitem>
<listitem>
<para>
batch
</para>
</listitem>
<listitem>
<para>
service
</para>
</listitem>
<listitem>
<para>
permit
</para>
</listitem>
<listitem>
<para>
deny
</para>
</listitem>
</itemizedlist>
</para>
<para>
Standard: deny
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_maximum_machine_account_password_age (heltal)</term>
<listitem>
<para>
SSSD kommer en gång om dagen kontrollera om maskinkontolösenordet är äldre
än den givna åldern i dagar och försöka förnya det. Ett värde på 0 kommer
förhindra förnyelseförsöket.
</para>
<para>
Standard: 30 dagar
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_machine_account_password_renewal_opts (sträng)</term>
<listitem>
<para>
Detta alternativ skall endast användas för att testa
maskinkontoförnyelsefunktionen. Alternativet förväntar sig 2 heltal
separerade av ett kolon (”:”). Det första heltalet anger intervallet i
sekunder hur ofta funktionen körs. Det andra anger den initiala tidsgränsen
i sekunder före funktionen körs för första gången efter uppstart.
</para>
<para>
Standard: 86400:750 (24h och 15m)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_update_samba_machine_account_password (boolean)</term>
<listitem>
<para>
Om aktiverat kommer lösenordet i Sambas databas också uppdateras när SSSD
förnyar maskinkontolösenordet. Detta förhindrar Sambas exemplar av
maskinkontolösenordet från att bli inaktuellt när det är uppsatt att använda
AD för autentisering.
</para>
<para>
Standard: false
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_use_ldaps (bool)</term>
<listitem>
<para>
Som standard använder SSSD den enkla LDAP-porten 389 porten 3628 för den
globala katalogen. Om denna flagga är satt till sant kommer SSSD använda
LDAPS-porten 636 och porten 3629 för den globala katalogen med
LDAPS-skydd. Eftersom AD inte tillåter att ha flera krypteringsnivåer på en
ensam förbindelse och vi fortfarande vill använda SASL/GSSAPI eller
SASL/GSS-SPNEGO till autentisering är SASL-säkerhetsegenskapen maxssf satt
till 0 (noll) för dessa förbindelser.
</para>
<para>
Standard: False
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>ad_allow_remote_domain_local_groups (boolean)</term>
<listitem>
<para>
Om detta alternativ är satt till <quote>sant</quote> kommer SSSD inte att
filtrera ut domänlokala grupper från fjärrdomäner i AD-skogen. Som standard
filtreras de ut t.ex. när man följer en nästad grupphierarki i fjärrdomäner
för att de inte är giltiga i den lokala domänen. För att vara kompatibel med
andra lösningar som gör AD-användare och -grupper tillgängliga i
Linuxklienter lades detta alternativ till.
</para>
<para>
Observera att sätta detta alternativ till <quote>sant</quote> kommer strida
mot avsikten med domänlokala grupper i Active Directory och <emphasis>SKALL
ENDAST ANVÄNDAS FÖR ATT MÖJLIGGÖRA MIGRERING FRÅN ANDRA
LÖSNINGAR</emphasis>. Även om grruppen finns och användaren kan vara medlem
av gruppen är avsikten att gruppen endast skall användas i domänen den är
definierad och inte i några andra. Eftersom det endast finns en typ av
POSIX-grupper är det enda sättet att uppnå detta på Linuxsidan att ignorera
dessa grupper. Detta görs också av Active Directory som kan ses i PAC:en i
Kerberosbiljetten för en lokal tjänst sller i tokenGroups-begäranden där
också de domänlokala fjärrgrupperna saknas.
</para>
<para>
Givet ovanstående kommentarer, om detta alternativ är satt till
<quote>sant</quote> måste tokenGroups-begäranden avaktiveras genom att sätta
<quote>ldap_use_tokengroups</quote> till <quote>falskt</quote> för att få
konsistenta gruppmedlemskap för en användare. Dessutom skall uppslagningar i
Global Catalog också hoppas över genom att sätta <quote>ad_enable_gc</quote>
till <quote>falskt</quote>. Slutligen kan det vara nödvändigt att ändra
<quote>ldap_group_nesting_level</quote> om de domänlokala fjärrgurpperna
endast finns med en djupare nästningsnivå.
</para>
<para>
Standard: False
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update (boolean)</term>
<listitem>
<para>
Valfritt. Detta alternativ säger till SSSD att automatiskt uppdatera
DNS-servern i Active Directory med IP-adressen för denna klient.
Uppdateringen säkras med GSS-TSIG. Som en konsekvens av det behöver Active
Directory-administratören bara tillåta säkra uppdateringar för DNS-zonen.
IP-adressen för AD-LDAP-förbindelsen används för uppdateringar, om det inte
specificeras på annat sätt med alternativet <quote>dyndns_iface</quote>.
</para>
<para>
OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas
i /etc/krb5.conf för att detta beteende skall fungera pålitligt
</para>
<para>
Standard: true
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_ttl (heltal)</term>
<listitem>
<para>
TTL:en att använda för klientens DNS-post vid uppdatering. Om dyndns_update
är falsk har detta ingen effekt. Detta kommer åsidosätta TTL på serversidan
om det är satt av en administratör.
</para>
<para>
Standard: 3600 (sekunder)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_iface (sträng)</term>
<listitem>
<para>
Valfri. Endast tillämpligt när dyndns_update är sann. Välj gränssnittet
eller en lista av gränssnitt vars IP-adresser skall användas för dynamiska
DNS-uppdateringar. Specialvärdet <quote>*</quote> betyder att IP:n från
alla gränssnitt skall användas.
</para>
<para>
Standard: använd IP-adresser för gränssnittet som används för AD
LDAP-förbindelsen
</para>
<para>
Exempel: dyndns_iface = em1, vnet1, vnet2
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_refresh_interval (heltal)</term>
<listitem>
<para>
Hur ofta bakänden skall utföra periodiska DNS-uppdateringar utöver den
automatiska uppdateringen som utförs när bakänden kopplar upp. Detta
alternativ är valfritt och tillämpligt endast när dyndns_update är sann.
Observera att det lägsta möjliga värdet är 60 sekunder, ifall ett värde
mindre än 60 ges kommer parametern endast anta det lägsta värdet.
</para>
<para>
Standard: 86400 (24 timmar)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_ptr (bool)</term>
<listitem>
<para>
Huruvida PTR-posten också skall uppdateras explicit när klientens DNS-post
uppdateras. Tillämpligt endast när dyndns_update är sann.
</para>
<para>
Note that <emphasis>dyndns_update_per_family</emphasis> parameter does not
apply for PTR record updates. Those updates are always sent separately.
</para>
<para>
Standard: True
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_force_tcp (bool)</term>
<listitem>
<para>
Huruvida nsupdate-verktyget som standard skall använda TCP för kommunikation
med DNS-servern.
</para>
<para>
Standard: False (låt nsupdate välja protokollet)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth (sträng)</term>
<listitem>
<para>
Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra
uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att
sätta detta alternativ till ”none”.
</para>
<para>
Standard: GSS-TSIG
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_auth_ptr (sträng)</term>
<listitem>
<para>
Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra
PTR-uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att
sätta detta alternativ till ”none”.
</para>
<para>
Standard: samma som dyndns_auth
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_server (sträng)</term>
<listitem>
<para>
DNS-servern som skall användas när en uppdatering av DNS utförs. I de
flesta uppsättningar rekommenderas det att låta detta alternativ vara osatt.
</para>
<para>
Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är
skild från identitetsservern.
</para>
<para>
Observera att detta alternativ bara kommer användas i försök att falla
tillbaka på när tidigare försök som använder automatiskt upptäckta
inställningar misslyckas.
</para>
<para>
Standard: Ingen (låt nsupdate välja servern)
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>dyndns_update_per_family (boolean)</term>
<listitem>
<para>
DNS-uppdateringar utförs som standard i två steg – IPv4-uppdatering och
sedan IPv6-uppdatering. I några fall kan det vara önskvärt att utföra IPv4-
och IPv6-uppdateringar i ett enda steg.
</para>
<para>
Standard: true
</para>
</listitem>
</varlistentry>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
<varlistentry>
<term>krb5_confd_path (sträng)</term>
<listitem>
<para>
Absolut sökväg till en katalog där SSSD skall placera konfigurationsstycken
för Kerberos.
</para>
<para>
För att förhindra att konfigurationsstycken skapas, sätt parametern till
”none”.
</para>
<para>
Standard: inte satt (underkatalogen krb5.include.d till SSSD:s
pubconf-katalog)
</para>
</listitem>
</varlistentry>
</variablelist>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ad_modified_defaults.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/failover.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/service_discovery.xml" />
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/ldap_id_mapping.xml" />
<refsect1 id='example'>
<title>EXEMPEL</title>
<para>
Följande exempel antar att SSSD är korrekt konfigurerat och att example.com
är en av domänerna i avsnittet <replaceable>[sssd]</replaceable>. Detta
exempel visar endast alternativ som är specifika för leverantören AD.
</para>
<para>
<programlisting>
[domain/EXEMPEL]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
</programlisting>
</para>
</refsect1>
<refsect1 id='notes'>
<title>NOTER</title>
<para>
Leverantören AD av åtkomstkontroll kontrollerar om kontot har gått ut. Det
har samma effekt som följande konfiguration av LDAP-leverantören:
<programlisting>
access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
</programlisting>
</para>
<para>
Dock, om inte åtkomstleverantören <quote>ad</quote> är konfigurerad explicit
är standardåtkomstleverantören <quote>permit</quote>. Observera att om man
konfigurerar en annan åtkomstleverantör än <quote>ad</quote> behöver man
sätta alla anslutningsparametrarna (såsom LDAP URI:er och
krypteringsdetaljer) manuellt.
</para>
<para>
När autofs-leverantören är satt till <quote>ad</quote> används
översättningen av schemaattribut enligt RFC2307 (nisMap, nisObject, …), för
att dessa attribut inkluderas i standardschemat för Active Directory.
</para>
<para>
</para>
</refsect1>
<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
</refentry>
</reference>
|
