SSSD-LDAP-ATTRIBUT(5) Formatos de Ficheiros e Conven SSSD-LDAP-ATTRIBUT(5)

sssd-ldap-attributes - Provedor LDAP do SSSD: Atributos de Mapeamento

Este manual descreve os atributos de mapeamento do provedor LDAP SSSD sssd-ldap(5). Consulte o manual sssd-ldap(5) para detalhes completos acerca das opções de configuração do provedor LDAP do SSSD.

ldap_user_object_class (string)

A classe de objecto de uma entrada de utilizador em LDAP.

Predefinição: posixAccount

ldap_user_name (string)

O atributo LDAP que corresponde ao nome de login do utilizador.

Predefinição: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD)

ldap_user_uid_number (string)

O atributo LDAP que corresponde ao id do utilizador.

Predefinição: uidNumber

ldap_user_gid_number (string)

O atributo LDAP que corresponde ao id do grupo principal do utilizador.

Predefinição: gidNumber

ldap_user_primary_group (string)

Atributo de grupo principal para Active Directory para mapeamento de ID. Note que este atributo só deve ser definido manualmente se você está a correr o provedor “ldap” com mapeamento de ID.

Predefinição: não definido (LDAP), primaryGroupID (AD)

ldap_user_gecos (string)

O atributo LDAP que corresponde ao campo gecos do utilizador.

Predefinição: gecos

ldap_user_home_directory (string)

O atributo do LDAP que contém o nome do directório home do utilizador.

Predefinição: homeDirectory (LDAP e IPA), unixHomeDirectory (AD)

ldap_user_shell (string)

O atributo LDAP que contém o caminho para a shell predefinida do utilizador.

Predefinição: loginShell

ldap_user_uuid (string)

O atributo do LDAP que contém o UUID/GUID de um objecto utilizador de LDAP.

Predefinição: não definida em caso geral, objectGUID para AD e ipaUniqueID para IPA

ldap_user_objectsid (string)

O atributo do LDAP que contém o objectSID de um objecto utilizador LDAP. Isto é geralmente apenas necessário para servidores ActiveDirectory.

Predefinição: objectSid para ActiveDirectory, não definida para outros servidores.

ldap_user_modify_timestamp (string)

O atributo do LDAP que contém a marca temporal da última modificação do objecto pai.

Predefinição: modifyTimestamp

ldap_user_shadow_last_change (string)

Quando se usa ldap_pwd_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (data da última modificação de palavra passe).

Predefinição: shadowLastChange

ldap_user_shadow_min (string)

Quando se usa ldap_pwd_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (idade mínima da palavra passe).

Predefinição: shadowMin

ldap_user_shadow_max (string)

Quando se usa ldap_pwd_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (idade máxima da palavra passe).

Predefinição: shadowMax

ldap_user_shadow_warning (string)

Quando se usa ldap_pwd_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (período de aviso da palavra passe).

Predefinição: shadowWarning

ldap_user_shadow_inactive (string)

Quando se usa ldap_pwd_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (período de inactividade da palavra passe).

Predefinição: shadowInactive

ldap_user_shadow_expire (string)

Quando se usa ldap_pwd_policy=shadow ou ldap_account_expire_policy=shadow, este parâmetro contém o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (data de expiração da conta).

Predefinição: shadowExpire

ldap_user_krb_last_pwd_change (string)

Quando se usa ldap_pwd_policy=mit_kerberos, este parâmetro contém o nome de um atributo LDAP que guarda a data e hora da última mudança de palavra passe no kerberos.

Predefinição: krbLastPwdChange

ldap_user_krb_password_expiration (string)

Quando se usa ldap_pwd_policy=mit_kerberos, este parâmetro contém o nome de um atributo LDAP que guarda a data e hora que a palavra passe actual expira.

Predefinição: krbPasswordExpiration

ldap_user_ad_account_expires (string)

Quando se usa ldap_account_expire_policy=ad, este parâmetro contém o nome de um atributo LDAP que guarda a hora de expiração da conta.

Predefinição: accountExpires

ldap_user_ad_user_account_control (string)

Quando se usa ldap_account_expire_policy=ad, este parâmetro contém o nome de um atributo LDAP que guarda o campo de bit de controlo da conta de utilizador.

Predefinição: userAccountControl

ldap_ns_account_lock (string)

Quando se usa ldap_account_expire_policy=rhds ou equivalente, este parâmetro determina se o acesso é concedido ou não.

Predefinição: nsAccountLock

ldap_user_nds_login_disabled (string)

Quando se usa ldap_account_expire_policy=nds, este atributo determina se o acesso é concedido ou não.

Predefinição: loginDisabled

ldap_user_nds_login_expiration_time (string)

Quando se usa ldap_account_expire_policy=nds, este atributo determina até que data o acesso é concedido.

Predefinição: loginDisabled

ldap_user_nds_login_allowed_time_map (string)

Quando se usa ldap_account_expire_policy=nds, este atributo determina as horas do dia numa semana quando o acesso é concedido.

Predefinição: loginAllowedTimeMap

ldap_user_principal (string)

O atributo LDAP que contém o Nome Principal de Utilizador Kerberos (UPN) do utilizador.

Predefinição: krbPrincipalName

ldap_user_extra_attrs (string)

Lista separada por vírgulas de atributos LDAP que o SSSD iria obter juntamente com o conjunto usual de atributos de utilizador.

A lista pode ou conter apenas nomes de atributos LDAP, ou tuples separados por dois-pontos de nome de atributo de cache SSSD e nome de atributo LDAP. No caso de ser especificado apenas nomes de atributos LDAP, o atributo é guardado na cache literalmente. A utilização de nome de atributo SSSD personalizado pode ser requerida por ambientes que configuram vários domínios SSSD com esquemas LDAP diferentes.

Por favor note que vários nomes de atributos estão reservados pelo SSSD, notavelmente o atributo “name”. O SSSD deverá reportar um erro se qualquer um dois nomes de atributo reservados for usado como um nome de atributo extra.

Exemplos:

ldap_user_extra_attrs = telephoneNumber

Salva o atributo “telephoneNumber” do LDAP como “telephoneNumber” na cache.

ldap_user_extra_attrs = phone:telephoneNumber

Salva o atributo “telephoneNumber” do LDAP como “phone” na cache.

Predefinição: não definida

ldap_user_ssh_public_key (string)

O atributo LDAP que contém a chave pública SSH do utilizador.

Predefinição: sshPublicKey

ldap_user_fullname (string)

O atributo LDAP que corresponde ao nome completo do utilizador.

Predefinição: NC

ldap_user_member_of (string)

O atributo LDAP que lista os membros do grupo do utilizador.

Predefinição: memberOf

ldap_user_authorized_service (string)

Se access_provider=ldap e ldap_access_order=authorized_service, o SSSD irá usar a presença do atributo authorizedService na entrada LDAP do utilizador para determinar o privilégio de acesso.

Uma negação explícita (!svc) é resolvida primeiro. Segundo, o SSSD procura um allow explícito (svc) e finalmente por allow_all (*).

Por favor note que a opção de configuração ldap_access_order tem de incluir “authorized_service” para que a opção ldap_user_authorized_service funcione.

Algumas distribuições (como a Fedora-29+ ou RHEL-8) incluem sempre o serviço PAM “systemd-user” como parte do processo de login. Assim quando se usa controle de acesso baseado em serviço, o serviço “systemd-user” pode precisar de ser adicionado à lista de serviços permitidos.

Predefinição: authorizedService

ldap_user_authorized_host (string)

Se access_provider=ldap e ldap_access_order=host, o SSSD irá usar a presença do atributo host na entrada LDAP do utilizador para determinar o privilégio de acesso.

Um deny explícito (host) é resolvido primeiro. Segundo, o SSSD procura um allow explícito (host) e finalmente por allow_all (*).

Por favor note que a opção de configuração ldap_access_order tem de incluir “host” para que a opção ldap_user_authorized_host funcione.

Predefinição: host

ldap_user_authorized_rhost (string)

Se access_provider=ldap e ldap_access_order=rhost, o SSSD irá usar a presença do atributo rhost na entrada LDAP do utilizador para determinar o privilégio de acesso. Semelhante ao processo de verificação de host.

Um deny explícito (rhost) é resolvido primeiro. Segundo, o SSSD procura um allow explícito (rhost) e finalmente por allow_all (*).

Por favor note que a opção de configuração ldap_access_order tem de incluir “rhost” para que a opção ldap_user_authorized_rhost funcione.

Predefinição: rhost

ldap_user_certificate (string)

Nome do atributo LDAP que contém o certificado X509 do utilizador.

Predefinição: userCertificate;binary

ldap_user_email (string)

Nome do atributo LDAP que contém o endereço email do utilizador.

Nota: Se um endereço de email de um utilizador entrar em conflito com um endereço de email ou nome totalmente qualificado de outro utilizador, então o SSSD não será capaz de servir esses utilizadores de maneira apropriada. Esta opção permite aos utilizadores fazerem login por (1) nome de utilizador, e (2) endereço de email. Se por alguma razão vários utilizadores precisarem de partilhar o mesmo endereço de email então defina esta opção para um nome de atributo não-existente de modo a desactivar a pesquisa/login de utilizador por email.

Predefinição: mail

ldap_user_passkey (string)

Nome do atributo LDAP que contém os dados de mapeamento da passkey do utilizador.

Predefinição: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD)

ldap_group_object_class (string)

A classe de objecto de uma entrada de grupo em LDAP.

Predefinição: posixGroup

ldap_group_name (string)

O atributo LDAP que corresponde ao nome do grupo. Num ambiente com grupos aninhados, este valor tem de ser um atributo LDAP que tem um nome único para cada grupo. Este requerimento inclui grupos não-POSIX na árvore dos grupos aninhados.

Predefinição: cn (rfc2307, rfc2307bis e IPA), sAMAccountName (AD)

ldap_group_gid_number (string)

O atributo LDAP que corresponde ao id do grupo.

Predefinição: gidNumber

ldap_group_member (string)

O atributo do LDAP que contém os nomes dos membros do grupo.

Predefinição: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (string)

O atributo do LDAP que contém o UUID/GUID de um objecto grupo de LDAP.

Predefinição: não definida em caso geral, objectGUID para AD e ipaUniqueID para IPA

ldap_group_objectsid (string)

O atributo do LDAP que contém o objectSID de um objecto grupo LDAP. Isto é geralmente apenas necessário para servidores ActiveDirectory.

Predefinição: objectSid para ActiveDirectory, não definida para outros servidores.

ldap_group_modify_timestamp (string)

O atributo do LDAP que contém a marca temporal da última modificação do objecto pai.

Predefinição: modifyTimestamp

ldap_group_type (string)

O atributo LDAP que contém um valor inteiro que indica o tipo de grupo e talvez outras bandeiras.

Este atributo actualmente é usado apenas pelo provedor AD para determinar se um grupo é um grupo local de domínio e tem de ser filtrado dos domínios de confiança.

Predefinição: groupType no provedor AD, caso contrário não definido

ldap_group_external_member (string)

O atributo LDAP que referencia membros de grupo que estão definidos num domínio externo. De momento, apenas os membros externos do IPA são suportados.

Predefinição: ipaExternalMember no provedor IPA, caso contrário não definido.

ldap_netgroup_object_class (string)

A classe de objecto de uma entrada netgroup em LDAP.

No provedor IPA, deve ser usado ipa_netgroup_object_class em vez deste.

Predefinição: nisNetgroup

ldap_netgroup_name (string)

O atributo LDAP que corresponde ao nome netgroup.

No provedor IPA, deve ser usado ipa_netgroup_name em vez deste.

Predefinição: NC

ldap_netgroup_member (string)

O atributo do LDAP que contém os nomes dos membros do netgroup.

No provedor IPA, deve ser usado ipa_netgroup_member em vez deste.

Predefinição: memberNisNetgroup

ldap_netgroup_triple (string)

O atributo do LDAP que contém os triplos netgroup (máquina, utilizador, domínio).

Esta opção não está disponível no provedor IPA.

Predefinição: nisNetgroupTriple

ldap_netgroup_modify_timestamp (string)

O atributo do LDAP que contém a marca temporal da última modificação do objecto pai.

Esta opção não está disponível no provedor IPA.

Predefinição: modifyTimestamp

ATRIBUTOS DE ANFITRIÃO

ldap_host_object_class (string)

A classe de objecto de uma entrada de máquina em LDAP.

Predefinição: ipService

ldap_host_name (string)

O atributo LDAP que corresponde ao nome da máquina.

Predefinição: NC

ldap_host_fqdn (string)

O atributo LDAP que corresponde ao nome de domínio totalmente qualificado da máquina.

Predefinição: fqdn

ldap_host_serverhostname (string)

O atributo LDAP que corresponde ao nome da máquina.

Predefinição: serverHostname

ldap_host_member_of (string)

O atributo LDAP que lista os membros do grupo da máquina.

Predefinição: memberOf

ldap_host_ssh_public_key (string)

O atributo LDAP que contém as chaves públicas SSH da máquina.

Predefinição: sshPublicKey

ldap_host_uuid (string)

O atributo do LDAP que contém o UUID/GUID de um objecto máquina de LDAP.

Predefinição: não definida

ldap_service_object_class (string)

A classe de objecto de uma entrada de serviço em LDAP.

Predefinição: ipService

ldap_service_name (string)

O atributo do LDAP que contém o nome dos atributos de serviços e os seus nomes alternativos (aliases).

Predefinição: NC

ldap_service_port (string)

O atributo do LDAP que contém o porto gerido por este serviço.

Predefinição: ipServicePort

ldap_service_proto (string)

O atributo do LDAP que contém os protocolos compreendidos por este serviço.

Predefinição: ipServiceProtocol

ldap_sudorule_object_class (string)

A classe de objecto de uma entrada de regra sudo em LDAP.

Predefinição: sudoRole

ldap_sudorule_name (string)

O atributo LDAP que corresponde ao nome da regra sudo.

Predefinição: NC

ldap_sudorule_command (string)

O atributo LDAP que corresponde ao nome do comando.

Predefinição: sudoCommand

ldap_sudorule_host (string)

O atributo LDAP que corresponde ao nome da máquina (ou endereço IP da maquina, rede IP da máquina, ou netgroup da máquina)

Predefinição: sudoHost

ldap_sudorule_user (string)

O atributo LDAP que corresponde ao nome de utilizador (ou UID, nome de grupo, ou netgroup do utilizador)

Predefinição: sudoUser

ldap_sudorule_option (string)

O atributo LDAP que corresponde às opções do sudo.

Predefinição: sudoOption

ldap_sudorule_runasuser (string)

O atributo LDAP que corresponde ao nome de utilizador com que os comandos podem ser corridos como.

Predefinição: sudoRunAsUser

ldap_sudorule_runasgroup (string)

O atributo LDAP que corresponde ao nome de grupo ou ID de grupo com que os comandos podem ser corridos como.

Predefinição: sudoRunAsGroup

ldap_sudorule_notbefore (string)

O atributo LDAP que corresponde à data/hora de arranque para quando a regra sudo é válida.

Predefinição: sudoNotBefore

ldap_sudorule_notafter (string)

O atributo LDAP que corresponde à data/hora de expiração, após a qual a regra sudo não é mais válida.

Predefinição: sudoNotAfter

ldap_sudorule_order (string)

O atributo LDAP que corresponde ao índice de ordenação da regra.

Predefinição: sudoOrder

ldap_autofs_map_object_class (string)

A classe de objecto de uma entrada automount map no LDAP.

Predefinição: nisMap (rfc2307, autofs_provider=ad), caso contrário automountMap

ldap_autofs_map_name (string)

O nome de uma entrada automount map no LDAP.

Predefinição: nisMapName (rfc2307, autofs_provider=ad), caso contrário automountMapName

ldap_autofs_entry_object_class (string)

A classe objecto de uma entrada automount no LDAP.. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: nisObject (rfc2307, autofs_provider=ad), caso contrário automount

ldap_autofs_entry_key (string)

A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: cn (rfc2307, autofs_provider=ad), caso contrário automountKey

ldap_autofs_entry_value (string)

A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: nisMapEntry (rfc2307, autofs_provider=ad), caso contrário automountInformation

ATRIBUTOS DE ANFITRIÃO IP

ldap_iphost_object_class (string)

A classe de objecto de uma entrada iphost no LDAP.

Predefinição: ipHost

ldap_iphost_name (string)

O atributo do LDAP que contém o nome dos atributos de IP de máquina e os seus nomes alternativos (aliases).

Predefinição: NC

ldap_iphost_number (string)

O atributo do LDAP que contém o endereço IP da máquina.

Predefinição: ipHostNumber

ldap_ipnetwork_object_class (string)

A classe de objecto de uma entrada ipnetwork no LDAP.

Predefinição: ipNetwork

ldap_ipnetwork_name (string)

O atributo do LDAP que contém o nome dos atributos de rede IP e os seus nomes alternativos (alias).

Predefinição: NC

ldap_ipnetwork_number (string)

O atributo do LDAP que contém o endereço de rede IP.

Predefinição: ipNetworkNumber

ldap_subuid_object_class (string)

The object class of an subid entry in LDAP.

Default: subordinateIdEntry

ldap_subuid_count (string)

Subordinate user ID count (range size)

Default: subUidCount

ldap_subgid_count (string)

Subordinate group ID count (range size)

Default: subGidCount

ldap_subuid_number (string)

Numerical subordinate user ID (range start value)

Default: subUidNumber

ldap_subgid_number (string)

Numerical subordinate group ID (range start value)

Default: subGidNumber

ldap_subid_range_owner (string)

Owner of an entry

Default: subidRangeOwner

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

O autor do SSSD - https://github.com/SSSD/sssd/

01/18/2026 SSSD