blob: de1745d7c89e56567619d753f5520357447ed225 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
|
<refsect1 id='modified-default-options'>
<title>ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ</title>
<para>
Деякі типові значення параметрів не збігаються із типовими значеннями
параметрів засобу надання даних. Із назвами відповідних параметрів та
специфічні для засобу надання даних AD значення цих параметрів можна
ознайомитися за допомогою наведеного нижче списку:
</para>
<refsect2 id='krb5_modifications'>
<title>Модуль надання даних KRB5</title>
<itemizedlist>
<listitem>
<para>
krb5_validate = true
</para>
</listitem>
<listitem>
<para>
krb5_use_enterprise_principal = true
</para>
</listitem>
</itemizedlist>
</refsect2>
<refsect2 id='ldap_modifications'>
<title>Модуль надання даних LDAP</title>
<itemizedlist>
<listitem>
<para>
ldap_schema = ad
</para>
</listitem>
<listitem>
<para>
ldap_force_upper_case_realm = true
</para>
</listitem>
<listitem>
<para>
ldap_id_mapping = true
</para>
</listitem>
<listitem>
<para>
ldap_sasl_mech = GSS-SPNEGO
</para>
</listitem>
<listitem>
<para>
ldap_referrals = false
</para>
</listitem>
<listitem>
<para>
ldap_account_expire_policy = ad
</para>
</listitem>
<listitem>
<para>
ldap_use_tokengroups = true
</para>
</listitem>
<listitem>
<para>
ldap_sasl_authid = sAMAccountName@ОБЛАСТЬ (типово SHORTNAME$@ОБЛАСТЬ)
</para>
<para>
Засіб надання даних AD типово шукає інші реєстраційні записи, ніж засіб
надання даних LDAP, оскільки у середовищі Active Directory реєстраційні
записи поділено на дві групи — реєстраційні записи користувачів і
реєстраційні записи служб. Для отримання TGT типово може бути використано
лише реєстраційний запис користувача, реєстраційні записи об'єктів
комп'ютерів будуються на основі sAMAccountName та області AD. Широко відомий
реєстраційний запис host/hostname@REALM є реєстраційним записом служби, отже
не може бути використаний для отримання TGT.
</para>
</listitem>
</itemizedlist>
</refsect2>
<refsect2 id='nss_modifications'>
<title>Налаштування NSS</title>
<itemizedlist>
<listitem>
<para>
fallback_homedir = /home/%d/%u
</para>
<para>
Засіб надання даних AD автоматично встановлює «fallback_homedir =
/home/%d/%u» для надання особистих домашніх каталогів для записів
користувачів без атрибута homeDirectory. Якщо ваш домен AD належним чином
заповнено щодо атрибутів Posix і ви хочете уникнути такої резервної
поведінки, ви можете явним чином вказати «fallback_homedir = %o».
</para>
<para>
Зауважте, що система типово очікує перебування домашнього каталогу у теці
/home/%u. Якщо ви вирішите скористатися іншою структурою каталогів,
коригування потребуватимуть деякі інші частини вашої системи.
</para>
<para>
Наприклад, автоматичне створення домашніх каталогів у поєднанні із selinux
потребує коригування параметрів selinux, інакше домашній каталог буде
створено у помилковому контексті selinux.
</para>
</listitem>
</itemizedlist>
</refsect2>
</refsect1>
|
