SSSD-IDP(5) Формати файлів та правила SSSD-IDP(5)

sssd-idp - Модуль надання даних IdP SSSD

ОПИС

На цій сторінці довідника описано налаштування засобу керування доступом IdP для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf(5).

Надавач даних (IdP) – це модуль, який використовують для встановлення з'єднання з надавачем ідентифікаційних даних (IdP) на основі OAuth 2.0 та REST. Оскільки продукти можуть мати окрему реалізацію програмного інтерфейсу REST для пошуку атрибутів користувачів та груп, може знадобитися спеціальний код, див. подробиці щодо параметра “idp_type”.

Надавачі ідентифікаторів (IdP) зазвичай не надають атрибутів POSIX, таких як ідентифікатор користувача (UID) або домашній каталог. Постачальник IdP SSSD автоматично породжуватиме необхідні атрибути. Типовий алгоритм для породження ідентифікаторів користувачів (UID) та ідентифікаторів груп (GID) спрямований на створення відтворюваних ідентифікаторів на різних системах. Недолік може полягати у тому, що алгоритм призначає один і той самий ідентифікатор різним об'єктам, і доступним буде лише перший, серез запитаних за допомогою SSSD.

ПАРАМЕТРИ НАЛАШТУВАННЯ

Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf(5), щоб дізнатися більше про налаштування домену SSSD.

idp_type (рядок)

Обов'язковий параметр, який вказує продукт IdP. У поточній версії передбачено підтримку Entra ID (entra_id) і Keycloak (keycloak).

Depending on the IdP product additional platform specific options might follow the name separated by a colon (:). E.g. for Keycloak the base URI for the user and group REST API must be given. For Entra ID the base URI for the Microsoft Graph API can be given to use sovereign or government cloud endpoints instead of the default (https://graph.microsoft.com/v1.0). E.g. “entra_id:https://graph.microsoft.us/v1.0” for the US government cloud (GCC High).

Типове значення: не встановлено (обов'язкове)

idp_client_id (рядок)

Ідентифікатор клієнта IdP, який використовується SSSD для розпізнавання користувачів та як клієнт для пошуку атрибутів користувачів і груп. Цей клієнт повинен пропонувати уповноваження пристрою відповідно до RFC-8628 і повинен мати дозволи на пошук і читання атрибутів користувачів і груп.

Типове значення: не встановлено (обов'язкове)

idp_client_secret (рядок)

Пароль клієнта IdP. Пароль потрібен для id_provider. Те, чи потрібен він, якщо відбувається використання лише як auth_provider, залежить від налаштувань сервера.

Типове значення: не встановлено

idp_token_endpoint (рядок)

Кінцева точки IdP для запиту щодо жетоні доступу.

Типове значення: не встановлено (обов'язкове)

idp_device_auth_endpoint (рядок)

Кінцева точка IdP для уповноваження пристрою відповідно до RFC-8628. Це необхідно для розпізнавання користувача.

Типове значення: не встановлено

idp_userinfo_endpoint (рядок)

Кінцева точка IdP userinfo для запиту атрибутів користувача після успішного розпізнавання користувача. Обов'язкова для розпізнавання.

Типове значення: не встановлено

idp_id_scope (рядок)

Область, необхідна для пошуку атрибутів користувачів та груп за допомогою програманого інтерфейсу REST. Області використовуються сервером для визначення того, які атрибути/інструкції слід повертати стороні, з боку якої відбувся виклик.

Note: In previous versions of SSSD, this option was expected to already be URL-encoded.

Типове значення: не встановлено

idp_auth_scope (рядок)

Область дії, необхідна під час розпізнавання. Області дії використовується сервером для визначення того, які атрибути/інструкції буде повернуто процесу, яким було здійснено виклик.

У поточній версії жетони, що повертаються під час розпізнавання користувача, не використовуються з іншою метою, тому єдиною важливою інструкцією є ідентифікатор теми «sub», який використовується для перевірки, чи є розпізнаний користувач саме тим, хто намагається увійти. Це може змінитися у майбутніх версіях.

Типове значення: не встановлено

idp_request_timeout (ціле число)

Час очікування на відповідь у секундах для окремого запиту до IdP.

Типове значення: 10

idp_auto_refresh (boolean)

Refresh tokens automatically, after they have reached about half their lifetime.

Note: Scheduled token refreshes are not preserved across restarts of SSSD.

Типове значення: false

idmap_range_min (ціле число)

Визначає нижню (включну) межу діапазону ідентифікаторів POSIX, які слід використовувати для встановлення відповідності груп ID POSIX користувачів і користувачів IdP. Це перший ідентифікатор POSIX, яким можна скористатися для прив'язки.

The interval between “idmap_range_min” and “idmap_range_max” will be split into smaller ranges of size “idmap_range_size” which will be used by an individual IdP domain.

Типове значення: 200000

idmap_range_max (ціле число)

Визначає верхню (виключну) межу діапазону ідентифікаторів POSIX, які слід використовувати для встановлення відповідності груп ID POSIX користувачів і груп IdP. Це перший ідентифікатор POSIX, який після цього не буде використано для прив'язки до ID POSIX.

Типове значення: 2000200000

idmap_range_size (ціле число)

Визначає кількість ідентифікаторів POSIX, які є доступними для окремого домену IdP.

Типове значення: 200000

ПРИКЛАД

[domain/entra_id]
id_provider = idp
idp_type = entra_id
idp_client_id = 12345678-abcd-0101-efef-ba9876543210
idp_client_secret = YOUR-CLIENT-SCERET
idp_token_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/token
idp_userinfo_endpoint = https://graph.microsoft.com/v1.0/me
idp_device_auth_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/devicecode
idp_id_scope = https://graph.microsoft.com/.default
idp_auth_scope = openid profile email
[domain/keycloak]
idp_type = keycloak:https://master.keycloak.test:8443/auth/admin/realms/master/
id_provider = idp
idp_client_id = myclient
idp_client_secret = YOUR-CLIENT-SCERET
idp_token_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/token
idp_userinfo_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/userinfo
idp_device_auth_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/auth/device
idp_id_scope = profile
idp_auth_scope = openid profile email

ТАКОЖ ПЕРЕГЛЯНЬТЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/

04/27/2026 SSSD