SSSD-LDAP(5)

Formatos de Ficheiros e Conven

SSSD-LDAP(5)

NAME

sssd-ldap - Provedor LDAP do SSSD

DESCRIÇÃO

Este manual descreve a configuração de domínios LDAP para sssd(8). Consulte a secção “FORMATO DE FICHEIRO” do manual sssd.conf(5) para informação detalhada de sintaxe.

Você pode configurar o SSSD para usar mais de um domínio LDAP.

O backend do LDAP suporta provedores id, auth, access e chpass. Se você deseja autenticar contra um servidor LDAP é requerido ou TLS/SSL ou LDAPS. O sssd não suporta autenticação por um canal não encriptado. Mesmo que o servidor LDAP seja usado apenas como um provedor de identidade, é fortemente recomendado um canal encriptado. Por favor consulte a opção de configuração “ldap_access_filter” para mais informação sobre usar LDAP como um provedor de acesso.

OPÇÕES DE CONFIGURAÇÃO

Todas as opções de configuração comuns que se aplicam a domínios SSSD também se aplicam a domínios LDAP. Consulte a secção “SECÇÕES DE DOMÍNIO” do manual sssd.conf(5) para todos os detalhes. Note que os atributos de mapeamento LDAP do SSSD estão descritos no manual sssd-ldap-attributes(5).

ldap_uri, ldap_backup_uri (string)

Especifica uma lista de URIs separados por vírgulas dos servidores LDAP aos quais o SSSD deve ligar pela ordem de preferência. Consulte a secção “FAILOVER” para mais informação sobre failover e redundância de servidor. Se nenhuma das opções for especificada, é activa a descoberta de serviço. Para mais informação consulte a secção “DESCOBERTA DE SERVIÇO”.

O formato do URI tem de corresponder ao formato definido em RFC 2732:

ldap[s]://<host>[:port]

Para endereços IPv6 explícitos, <host> tem de ficar dentro de parênteses rectos []

exemplo: ldap://[fc00::126:25]:389

ldap_chpass_uri, ldap_chpass_backup_uri (string)

Especifica uma lista de URIs separados por vírgulas dos servidores LDAP aos quais o SSSD deve ligar pela ordem de preferência para mudar a palavra passe de um utilizador. Consulte a secção “FAILOVER” para mais informação sobre failover e redundância de servidor.

Para activar a descoberta de serviços ldap_chpass_dns_service_name tem de ser definido.

Predefinição: empty, ou seja, é usado ldap_uri.

ldap_search_base (string)

O DN base predefinido a usar para executar operações de utilizador LDAP.

A partir de SSSD 1.7.0, o SSSD suporta múltiplas bases de procura usando a sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree".

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Exemplos:

ldap_search_base = dc=example,dc=com (o que é equivalente a) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?

Nota: Não é suportado ter múltiplas bases de procura que referenciam objetos de nomes idênticos (por exemplo, grupos com o mesmo nome em duas bases de procura diferentes). Isto leva a comportamentos não previsíveis nas máquinas cliente.

Predefinição: Se não definida, é usado o valor do atributo defaultNamingContext ou namingContexts a partir de RootDSE do servidor LDAP. Se defaultNamingContext não existir ou tiver um valor vazio é usado namingContexts. O atributo namingContexts tem de ter um valor único com o DN da base de procura do servidor LDAP para fazer isto funcionar. Não são suportados múltiplos valores.

ldap_read_rootdse (string)

O SSSD lê o RootDSE para obter informação sobre o LDAP e as suas capacidades. Por predefinição, isto é feito em anonimato. No entanto, isto pode não ser permitido pelo servidor LDAP. Em tais casos podemos usar esta opção para influenciar o comportamento do SSSD.

Valores permitidos são:

•anonymous

•authenticated

•never

Por predefinição, usando a opção "anonymous", o SSSD tenta ler o RootDSE anônimo. Se isto falhar o SSSD repete a tentativa com autenticação.

Predefinição: anonymous

ldap_schema (string)

Especifica o Tipo de Esquema em uso no servidor LDAP alvo. Dependendo do esquema selecionado, os nomes de atributos predefinidos obtidos dos servidores podem variar. A maneira com que alguns atributos são manuseados pode também variar.

Quatro tipos de esquema são actualmente suportados:

•rfc2307

•rfc2307bis

•IPA

•AD

A principal diferença entre estes tipos de esquema é como os membros de grupo são gravados no servidor. Com rfc2307, os membros de grupo são listados pelo nome no atributo memberUid. Com rfc2307bis e IPA, os membros de grupo são listados por DN e guardados no atributo member. O tipo de esquema AD define os atributos para corresponderem com valores 2008r2 de Active Directory.

Predefinição: rfc2307

ldap_pwmodify_mode (string)

Especifica a operação que é usada para modificar a palavra passe do utilizador.

Dois modos são presentemente suportados:

•exop - Password Modify Extended Operation (RFC 3062)

•ldap_modify - Modificação direta da Palavra passe do utilizador (não recomendado).

•exop_force - Tenta Operação Extensa de Modificação de Palavra passe (RFC 3062) mesmo que não existam mais logins de graça disponíveis. Dependendo do tipo e configuração do servidor LDAP a mudança de palavra passe pode falhar porque uma união de autenticação não é possível.

Nota: Primeiro, é estabelecida uma nova ligação para verificar a palavra passe actual ao unir ao utilizador que requisitou a mudança de palavra passe. Se com sucesso, esta ligação é usada para mudar a palavra passe assim o utilizador tem de ter acesso de escrita ao atributo userPassword.

Predefinição: exop

ldap_default_bind_dn (string)

O vínculo DN predefinido a usar para executar operações LDAP.

ldap_default_authtok_type (string)

O tipo de testemunho de autenticação do vínculo DN predefinido.

Os dois mecanismos presentemente suportados são:

password

obfuscated_password

Predefinição: password

Veja o manual sss_obfuscate(8) para mais informação.

ldap_default_authtok (string)

O testemunho de autenticação do vínculo DN predefinido.

ldap_force_upper_case_realm (booleano)

Alguns servidores de directórios, por exemplo Active Directory, podem entregar a parte de reino do UPN em minúsculas, o que pode fazer com que a autenticação falhe. Defina esta opção para um valor não-zero se desejar usar reino em letra maiúscula.

Predefinição: false

ldap_enumeration_refresh_timeout (inteiro)

Especifica quantos segundos o SSSD tem de esperar antes de refrescar a sua cache de registos enumerados.

Predefinição: 300

ldap_purge_cache_timeout (inteiro)

Determina a frequência de verificação da cache por entradas inativas (tais como grupos sem membros e utilizadores que nunca fizeram login) e remove-as para libertar espaço.

Definir esta opção para zero irá desactivar a operação de limpeza da cache. Por favor note que se a enumeração estiver activa, a tarefa de limpeza é necessária de modo a se detectar entradas removidas do servidor e que não podem ser desactivadas. Por predefinição, a tarefa de limpeza irá correr a cada 3 horas com a enumeração activa.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 0 (desactivado)

ldap_group_nesting_level (inteiro)

Se ldap_schema for definido para um formato de esquema que suporte grupos aninhados (ex. RFC2307bis), então esta opção controla quantos níveis de aninhamento o SSSD irá seguir. Esta opção não tem efeito no esquema RFC2307.

Nota: Esta opção especifica o nível garantido de grupos aninhados a ser processado para qualquer procura. No entanto, os grupos aninhados para lá deste limite podem ser retornados se procuras anteriores já tiverem resolvido os níveis de aninhamento mais fundos. Também, procuras subsequentes por outros grupos podem alargar o resultado definido para a procura original se re-consultadas.

Se ldap_group_nesting_level estiver definido para 0 então nenhuns grupos aninhados são processados. No entanto, quando ligado a Active-Directory Server 2008 e posterior usando “id_provider=ad” é ainda mais requerido desactivar a utilização de Token-Groups ao definir ldap_use_tokengroups para false de modo a restringir aninhamento de grupos.

Predefinição: 2

ldap_use_tokengroups

Estas opções ativam e desativam o uso do atributo Token-Groups quando se executa initgroup para utilizadores de Active Directory Server 2008 e posterior.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: True para AD e IPA e caso contrário False.

ldap_host_search_base (string)

Opcional. Usa a string fornecida como base de busca para objectos de anfitrião.

Veja “ldap_search_base” para informação acerca de configurar múltiplas bases de busca.

Predefinição: o valor de ldap_search_base

ldap_subid_ranges_search_base (string)

Opcional. Usa a string dada como base de busca para objectos relacionados com alcances subordinados.

Default: the value of cn=subids,%basedn for IPA otherwise ldap_search_base.

ldap_service_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

Por favor note que especificar um escopo ou filtro não é suportado para buscas contra um Servidor Active Directory que pode produzir um grande número de resultado e despoletar a extensão Range Retrieval na resposta.

ldap_iphost_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

ldap_ipnetwork_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

ldap_search_timeout (inteiro)

Especifica o tempo limite (em segundos) em que as buscas ldap têm permissão de correr antes de serem canceladas e os resultados em cache serem retornados (e entra-se no modo offline)

Nota: esta opção está sujeita a mudança em futuras versões do SSSD. Provavelmente será substituída em determinada altura por uma série de tempos limites para tipos de procura específicos.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 6

ldap_enumeration_search_timeout (inteiro)

Especifica o tempo limite (em segundos) em que as buscas ldap por enumerações de utilizador e grupo têm permissão de correr antes de serem canceladas e os resultados em cache serem retornados (e entra-se no modo offline)

Predefinição: 60

ldap_network_timeout (inteiro)

Especifica o tempo limite (em segundos) após o qual o poll(2)/select(2) seguindo de um connect(2) retorna em caso de nenhuma atividade.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 6

ldap_opt_timeout (inteiro)

Especifica um tempo limite (em segundos) após o qual as chamadas para APIs LDAP síncronos irão abortar se nenhuma resposta for recebida. Também controla o tempo limite quando se comunica com o KDC no caso de união SASL, o tempo limite duma operação de união LDAP, operação extensiva de mudança de palavra passe e a operação StartTLS.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 8

ldap_connection_expire_timeout (inteiro)

Especifica um tempo limite (em segundos) que a ligação a um servidor LDAP será mantida. Após este tempo, a ligação será re-estabelecida. Se usado em paralelo com SASL/GSSAPI, será usado o primeiro dos dois valores (este valor contra o tempo de vida TGT).

Se a ligação estiver em espera (não ativamente a correr uma operação) dentro de ldap_opt_timeout segundos de expirar, então será fechada mais cedo para assegurar que uma nova consulta não possa requerer que a ligação permaneça aberta após a sua validade. Isto implica que as ligações serão sempre fechadas imediatamente e nunca serão reutilizadas se ldap_connection_expire_timeout <= ldap_opt_timout

Este tempo limite pode ser estendido a um valor aleatório especificado por ldap_connection_expire_offset

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 900 (15 minutos)

ldap_connection_expire_offset (inteiro)

Desvio aleatório entre 0 e valor configurado é adicionado a ldap_connection_expire_timeout.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 0

ldap_connection_idle_timeout (inteiro)

Especifica um tempo limite (em segundos) que uma ligação em pausa para um servidor LDAP será mantida. Se a ligação estiver em pausa por mais do que este tempo então a ligação será fechada.

Você pode desativar este tempo limite ao definir o valor para 0.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 900 (15 minutos)

ldap_page_size (inteiro)

Especifica o número de registos a obter de LDAP num único pedido. Alguns servidores LDAP forçam um limite máximo por-pedido.

Predefinição: 1000

ldap_disable_paging (booleano)

Desactiva o controle de paginamento do LDAP. Esta opção deve ser usada se o servidor LDAP reportar que suporta o controle de paginamento LDAP no seu RootDSE não está activo ou não se comporta de modo apropriado.

Exemplo: Servidores OpenLDAP com o módulo de controle de paginamento instalado no servidor mas não activado irão reporta-lo no RootDSE mas serão incapazes de o usar.

Exemplo: 389 DS tem um bug onde consegue apenas suportar um controle de uma página de cada vez numa única ligação. Em clientes ocupados, isto pode resultar em alguns pedidos a serem negados.

Predefinição: False

ldap_disable_range_retrieval (booleano)

Desactiva a obtenção de alcance Active Directory.

Active Directory limita o número de membros que podem ser obtidos numa única pesquisa usando a política MaxValRange, que vem predefinida para 1500 membros. Se um grupo conter mais de 1500 membros, a resposta inclui uma extensão de alcance específica de AD, Quando ativa, esta opção previne o SSSD de analisar a extensão do alcance. Como resultado os grupos grandes irão aparecer como se não tivessem membros. Esta opção não ativa o SSSD a ler alcances subsequentes. Para obter todos os membros de um grupo, você tem de aumentar a definição MaxValRange no Active Directory.

Predefinição: False

ldap_sasl_minssf (inteiro)

Quando se comunica com um servidor LDAP usando SASL, especifica o nível de segurança mínimo necessário para estabelecer a ligação. Os valores desta opção são definidos pelo OpenLDAP.

Predefinição: Usa a predefinição do sistema (geralmente especificada por ldap.conf)

ldap_sasl_maxssf (inteiro)

Quando se comunica com um servidor LDAP usando SASL, especifica o nível de segurança máximo necessário para estabelecer a ligação. Os valores desta opção são definidos pelo OpenLDAP.

Predefinição: Usa a predefinição do sistema (geralmente especificada por ldap.conf)

ldap_deref_threshold (inteiro)

Especifica o número de membros de grupo que têm de estar em falta na cache interna de modo a despoletar um procura de de-referência. Se existem menos membros em falta, estes são procurados individualmente.

Você pode desligar completamente as procuras de-referência ao definir o valor para 0. Por favor note que existem alguns codepaths no SSSD, como o provedor IPA HBAC, que são apenas implementados usando a chamada de de-referência, assim mesmo com a de-referência explicitamente desactivada, essas partes ainda irão usar a de-referência se o servidor a suportar e publicitar o controle de de-referência no objecto rootDSE.

Uma procura de-referência é um meio de obter todos os membros dum grupo numa única chamada LDAP. Servidores LDAP diferentes podem implementar diferentes métodos de de-referência. Os servidores actualmente suportados são 389/RHDS, OpenLDAP e Active Directory.

Nota: Se qualquer uma das bases de busca especificar um filtro de busca, então a melhoria de performance da procura de de-referência será desactivada independentemente desta definição.

Predefinido: 10

ldap_ignore_unreadable_references (booleano)

Ignora entradas LDAP ilegíveis referenciadas em atributo de membros de grupo. Se este parâmetro for definido para false será retornado um erro e a operação irá falhar em vez de apenas ignorar a entrada ilegível.

Este parâmetro pode ser útil quando se usa o provedor AD e a conta de computador que o sssd usa para ligar ao AD não tem acesso a uma entrada particular ou a sub-árvore do LDAP para razões de segurança.

Predefinição: False

ldap_tls_reqcert (string)

Especifica que verificações a executar em certificados de servidor numa sessão TLS, se existirem. Pode ser especificado como um dos seguintes valores:

never = O cliente não irá solicitar ou verificar qualquer certificado de servidor.

allow = O certificado do servidor é requisitado. Se nenhum certificado for fornecido, a sessão prossegue normalmente. Se for fornecido um certificado mau, será ignorado e a sessão prossegue normalmente.

try = É requisitado o certificado do servidor. Se nenhum certificado for fornecido, a sessão prossegue normalmente. Se for fornecido um certificado mau, a sessão é terminada imediatamente.

demand = É requisitado o certificado do servidor. Se não for fornecido um certificado, ou se for fornecido um certificado mau, a sessão é terminada imediatamente.

hard = O mesmo que “demand”

Predefinição: hard

ldap_tls_cacert (string)

Especifica o ficheiro que contém certificados para todos de Certificate Authorities que o sssd irá reconhecer.

Predefinição: usa predefinições do OpenLDAP, tipicamente em /etc/openldap/ldap.conf

ldap_tls_cacertdir (string)

Especifica o caminho de um directório que contém certificados Certificate Authority em ficheiros separados individuais. Tipicamente os nomes dos ficheiros precisam de ser a cinza do certificado seguido por '.0'. Se disponível, pode ser usado openssl rehash ou c_rehash para criar os nomes corretos.

Predefinição: usa predefinições do OpenLDAP, tipicamente em /etc/openldap/ldap.conf

ldap_tls_cert (string)

Especifica o ficheiro que contém o certificado para a chave do cliente.

Predefinição: não definida

ldap_tls_key (string)

Especifica o ficheiro que contém a chave do cliente.

Predefinição: não definida

ldap_tls_cipher_suite (string)

Especifica as suites de cifra aceitáveis. Tipicamente isto é uma lista separada por dois pontos. Veja ldap.conf(5) para o formato.

Predefinição: usa predefinições do OpenLDAP, tipicamente em /etc/openldap/ldap.conf

ldap_id_use_start_tls (booleano)

Especifica que a ligação id_provider tem também de usar tls para proteger o canal. true é fortemente recomendado por razões de segurança.

Predefinição: true

ldap_id_mapping (booleano)

Especifica que o SSSD deve tentar mapear os IDs de utilizador e grupo a partir dos atributos ldap_user_objectsid e ldap_group_objectsid em vez de confiar em ldap_user_uid_number e ldap_group_gid_number.

Actualmente esta funcionalidade apenas suporta mapeamento objectSID de ActiveDirectory.

Predefinição: false

ldap_min_id, ldap_max_id (inteiro)

Em contraste ao mapeamento de ID baseado em SID o qual é usado se ldap_id_mapping estiver definido para true, o alcance de ID permitido para ldap_user_uid_number e ldap_group_gid_number não está vinculado. Numa configuração com subdomínios de confiança isto pode levar a colisões de ID. Para evitar colisões, ldap_min_id e ldap_max_id podem ser definidos para restringir o alcance permitido para os IDs os quais são lidos diretamente do servidor. Os subdomínios podem então escolher outros alcances para mapear os IDs.

Predefinição: não definida (ambas opções são definidas para 0)

ldap_sasl_mech (string)

Especifica o mecanismo SASL a usar. Presentemente apenas GSSAPI e GSS-SPNEGO estão testados e são suportados.

Se o backend suportar sub-domínios o valor de ldap_sasl_mech é herdado automaticamente aos sub-domínios. Se for necessário um valor diferentes para um sub-domínio pode ser sobreposto ao definir ldap_sasl_mech para esse sub-domínio explicitamente. Por favor veja a SECÇÃO DOMÍNIO DE CONFIANÇA em sssd.conf(5) para detalhes.

Predefinição: não definida

ldap_sasl_authid (string)

Especifica o id de autorização SASL a usar. Quando é usado GSSAPI/GSS-SPNEGO isto representa o principal Kerberos usado para autenticação para o directório. Esta opção pode ou conter o principal completo (por exemplo host/myhost@EXAMPLE.COM) ou apenas o nome principal (por exemplo host/myhost). Por predefinição, este valor não está definido e são usados os principais seguintes:

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
netbiosname$@*
host/*

Se nenhum deles for encontrado, é retornado o primeiro principal em keytab.

Predefinição: host/hostname@REALM

ldap_sasl_realm (string)

Especifica o reino SASL a usar. Quando não especificado, esta opção vem predefinida para o valor de krb5_realm. Se ldap_sasl_authid conter também o reino, esta opção é ignorada.

Predefinição: o valor de krb5_realm.

ldap_sasl_canonicalize (booleano)

Se definido para true, a biblioteca do LDAP irá executar uma procura reversa para canonizar o nome de máquina durante uma união SASL.

Predefinição: false;

ldap_krb5_keytab (string)

Especifica a keytab a usar quando se usa SASL/GSSAPI/GSS-SPNEGO.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: Sistema keytab, normalmente /etc/krb5.keytab

ldap_krb5_init_creds (booleano)

Especifica que o provedor de id deve iniciar credenciais Kerberos (TGT). Esta acção é apenas executada se SASL for usado e o mecanismo selecionado for GSSAPI ou GSS-SPNEGO.

Predefinição: true

ldap_krb5_ticket_lifetime (inteiro)

Especifica o tempo de vida em segundos de TGT se for usado GSSAPI ou GSS-SPNEGO.

Esta opção pode ser definida por-domínio ou herdada via subdomain_inherit.

Predefinição: 86400 (24 horas)

krb5_server, krb5_backup_server (string)

Especifica a lista separada por vírgulas de endereços IP ou nomes de máquinas dos servidores Kerberos aos quais o SSSD deve ligar pela ordem de preferência. Para mais informação sobre failover e redundância de servidores, veja a secção “FAILOVER”. Um número de porto opcional (com dois pontos a preceder) pode ser acrescentado aos endereços ou nomes de máquinas. Se vazia, é activada a descoberta de serviços - para mais informação, consulte a secção “DESCOBERTA DE SERVIÇOS”.

Quando se usa descoberta de serviços para servidores KDC ou kpasswd, o SSSD primeiro procura por entradas DNS que especifiquem _udp como o protocolo e regressa a _tcp se nenhuma for encontrada.

Esta opção tinha o nome “krb5_kdcip” em lançamentos anteriores do SSSD. Apesar do nome antigo ser reconhecido por agora, aconselha-se os utilizadores a migrarem os seus ficheiros de configuração para usar “krb5_server” em vez disto.

krb5_realm (string)

Especifica o REINO Kerberos (para autenticação SASL/GSSAPI/GSS-SPNEGO).

Predefinição: Predefinições do sistema, veja /etc/krb5.conf

krb5_canonicalize (booleano)

Especifica se a máquina principal deve ser canonizada quando se liga ao servidor LDAP. Esta funcionalidade está disponível com MIT Kerberos >= 1.7

Predefinição: false

krb5_use_kdcinfo (booleano)

Especifica se o SSSD deve instruir as bibliotecas Kerberos qual reino e quais KDCs usar. Esta opção está ligada por predefinição, se você a desactivar, você precisa de configurar a biblioteca Kerberos usando o ficheiro de configuração krb5.conf(5).

Veja o manual sssd_krb5_locator_plugin(8) para mais informação no plugin locador.

Predefinição: true

ldap_pwd_policy (string)

Seleciona a política para avaliar o expirar de palavra passe no lado do cliente. Os seguintes valores são permitidos:

none - Nenhuma avaliação no lado do cliente. Esta opção não consegue desactivar as políticas de palavra passe no lado do servidor.

shadow - Usa atributos do estilo shadow(5) para avaliar se a palavra passe expirou. Por favor veja também a opção "ldap_chpass_update_last_change".

mit_kerberos - Usa os atributos usados pelo MIT Kerberos para determinar se a palavra passe expirou. Usa chpass_provider=krb5 para actualizar estes atributos quando a palavra passe é mudada.

Predefinição: none

Nota: se uma política de palavra passe for configurada no lado do servidor, essa toma sempre precedência sobre a política definida com esta opção.

ldap_referrals (booleano)

Especifica se a perseguição de referência automática deve ser activada.

Por favor note que o sssd apenas suporta perseguição de referência quando é compilado com OpenLDAP versão 2.4.13 ou superior.

A perseguição de referência pode incluir uma penalização de performance em ambientes que a usem pesadamente, um exemplo notável é Microsoft Active Directory. Se a sua configuração não precisa de facto a utilização de referências, definir esta opção para false pode trazer uma melhoria de performance notável. Definir esta opção para falso é assim recomendado no caso do provedor LDAP do SSSD ser usado juntamente com Microsoft Active Directory como backend. Mesmo que o SSSD seja capaz de seguir a referência a um AD DC diferente, nenhuns dados adicionais estarão disponíveis.

Predefinição: true

ldap_dns_service_name (string)

Especifica o nome de serviço a usar quando a descoberta de serviços está activa.

Predefinição: ldap

ldap_chpass_dns_service_name (string)

Especifica o nome de serviço a usar para encontrar um servidor LDAP e qual permite alterações de palavra passe quando a descoberta de serviços está desactivada.

Predefinição: não definido, isto é, a descoberta de serviços é desativada

ldap_chpass_update_last_change (booleano)

Especifica se deve-se actualizar o atributo ldap_user_shadow_last_change com dias desde o Epoch após uma operação de mudança de palavra passe.

It is recommended to set this option explicitly if "ldap_pwd_policy = shadow" is used to let SSSD know if the LDAP server will update shadowLastChange LDAP attribute automatically after a password change or if SSSD has to update it.

Predefinição: False

ldap_access_filter (string)

Se se usar access_provider = ldap e ldap_access_order = filter (predefinição), esta opção é obrigatória. Especifica um critério de filtro de procura LDAP que tem de ser reconhecido ao utilizador para ter acesso garantido a esta máquina. Caso access_provider = ldap, ldap_access_order = filter e esta opção não esteja definida, irá resultar em que todos os utilizadores tenham acesso negado. Use access_provider = permit para mudar este comportamento predefinido. Por favor note que este filtro é aplicado à entrada de utilizador LDAP apenas e assim a filtragem baseada em grupos aninhados pode não funcionar (ex. atributo memberOf em entradas AD que apontam apenas para parentes diretos). Se for requerido filtragem baseada em grupos aninhados, por favor veja sssd-simple(5).

Exemplo:

access_provider = ldap
ldap_access_filter = (employeeType=admin)

Este exemplo significa que o acesso a esta máquina é restrito a utilizadores cujo atributo employeeType está definido para "admin".

A cache offline para esta funcionalidade está limitada a determinar se no último login online do utilizador foi garantida permissão de acesso. Se lhe foi dado acesso durante o seu último login, irá continuar a ter acesso concedido enquanto em offline e vice versa.

Predefinição: Empty

ldap_account_expire_policy (string)

Com esta opção pode ser activada uma avaliação no lado do cliente dos atributos de controle de acesso.

Por favor note que é sempre recomendado usar controle de acesso no lado do servidor, isto é, o servidor LDAP deve negar o pedido de união com um código de erro apropriado mesmo que a palavra passe esteja correcta.

Os seguintes valores são permitidos:

shadow: usa o valor de ldap_user_shadow_expire para determinar se a conta está expirada.

ad: usa o valor do campo de 32bit ldap_user_ad_user_account_control e permite acesso se o segundo bit não estiver definido. Se o atributo estiver em falta é concedido acesso. Também é verificado o tempo de expiração da conta.

rhds, ipa, 389ds: usa o valor de ldap_ns_account_lock para verificar se o acesso é permitido ou não.

nds: são usados os valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled e ldap_user_nds_login_expiration_time para verificar se o acesso é permitido. Se ambos os atributos estiverem em falta o acesso é concedido.

Por favor note que a opção de configuração ldap_access_order tem de incluir “expire” de modo a que a opção ldap_account_expire_policy funcione.

Predefinição: Empty

ldap_access_order (string)

Lista separada por vírgulas de opções de controlo de acesso. Os valores permitidos são:

filter: usa ldap_access_filter

lockout: usa bloqueio de conta. Se definida, esta opção nega acesso no caso do atributo ldap 'pwdAccountLockedTime' estar presente e ter o valor de '000001010000Z'. Por favor veja a opção ldap_pwdlockout_dn. Por favor note que 'access_provider = ldap' tem de estar definido para esta funcionalidade funcionar.

Por favor note que esta opção é suplantada pela opção “ppolicy” e poderá ser removida num lançamento futuro.

ppolicy: usa bloqueio de conta. Se definida, esta opção nega acesso no caso do atributo ldap 'pwdAccountLockedTime' estar presente e ter o valor '000001010000Z' ou represente qualquer hora no passado. O valor do atributo 'pwdAccountLockedTime' tem de terminar com 'Z', o que denota a zona horária UTC. Outras zonas horárias não são presentemente suportadas e irão resultar em "acesso-negado" quando os utilizadores tentarem fazer login. Por favor veja a opção ldap_pwdlockout_dn. Por favor note que 'access_provider = ldap' tem de estar definido para esta funcionalidade funcionar.

expire: usa ldap_account_expire_policy

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opções são úteis se os utilizadores estiverem interessados em serem avisados que a palavra passe está prestes a expirar e a autenticação é baseada em se usar um método diferente que palavras passe - por exemplo chaves SSH.

A diferença entre estas opções é a acção tomada se a palavra passe do utilizador estiver expirada:

•pwd_expire_policy_reject - é negado o login ao utilizador,

•pwd_expire_policy_warn - o utilizador ainda é capaz de fazer login,

•pwd_expire_policy_renew - o utilizador é incitado a mudar a sua palavra passe imediatamente.

Por favor note que 'access_provider = ldap' tem de estar definido para esta funcionalidade funcionar. E também 'ldap_pwd_policy' tem de estar definido para shadow ou mit_kerberos, estas opções não funcionam com políticas de palavra passe do lado do servidor.

authorized_service: usa o atributo authorizedService para determinar o acesso

host: usa o atributo host para determinar o acesso

rhost: usa o atributo rhost para determinar se a máquina remota pode ter acesso

Por favor note, o campo rhost no pam é definido por aplicação, é melhor verificar que a aplicação envia para o pam, antes de activar esta opção de controlo de acesso

Predefinição: filter

Por favor note que é um erro de configuração se um valor for usado mais do que uma vez.

ldap_pwdlockout_dn (string)

Esta opção especifica o DN de entrada de política de palavra passe no servidor LDAP. Por favor note que a ausência desta opção no sssd.conf no caso de bloqueio de conta activa a verificação irá colher negação de acesso pois os atributos ppolicy no servidor LDAP não podem ser verificados apropriadamente.

Exemplo: cn=ppolicy,ou=policies,dc=example,dc=com

Predefinição: cn=ppolicy,ou=policies,$ldap_search_base

ldap_deref (string)

Especifica como a diferenciação de nomes alternativos é feita quando se executa uma busca. As seguintes opções são permitidas:

never: Os nomes alternativos nunca são diferenciados.

searching: Os nomes alternativos são diferenciados em subordinados do objecto base, mas não ao localizar o objecto base da busca.

finding: Os nomes alternativos são apenas diferenciados quando se localiza o objecto base da busca.

always: Os nomes alternativos são diferenciados tanto na busca como ao localizar o objecto base da busca.

Predefinição: Vazio (isto é lidado como never pelas bibliotecas cliente do LDAP)

ldap_rfc2307_fallback_to_local_users (booleano)

Permite reter utilizadores locais como membros dum grupo LDAP para servidores que usam o esquema RFC2307.

Em alguns ambientes onde o esquema RFC2307 é usado, os utilizadores locais são tornados membros de grupos LDAP ao adicionar os seus nomes ao atributo memberUid. A auto-consistência do domínio fica comprometida quando isto acontece, assim o SSSD deveria normalmente remover os utilizadores "em falta" dos membros de grupo em cache assim que o nsswitch tente obter informação acerca do utilizador via chamadas getpw*() ou initgroups().

Esta opção cai para o verificar se os utilizadores locais são referenciados, e põe-os em cache para que as chamadas initgroups() posteriores acrescentem os utilizadores locais com os grupos LDAP adicionais.

Predefinição: false

wildcard_limit (inteiro)

Especifica o limite máximo do número de entradas que são descarregadas durante uma procura de wildcard.

De momento, apenas o respondedor InfoPipe suporta procuras wildcard.

Predefinição: 1000 (muitas vezes o tamanho de uma página)

ldap_library_debug_level (inteiro)

Liga a depuração de libldap com o nível dado. As mensagens de depuração do libldap serão escritas independentemente do debug_level geral.

OpenLDAP usa um mapa de bits para activar a depuração para componentes específicos. -1 irá activar a saída completa de depuração.

Predefinição: 0 (depuração libldap desactivada)

ldap_use_ppolicy (booleano)

Ativa o requisitar e confiar nos controles de política de palavra passe do lado do servidor. Desativar isto permite interações com serviços que devolvem uma extensão ppolicy inválida.

Predefinição: true

ldap_ppolicy_pwd_change_threshold (inteiro)

Força uma mudança de palavra passe quando os controlos de política de palavra passe do lado do servidor estão ativos e os logins de graça restantes retornados pelo servidor após a autenticação atingiram ou estão abaixo do limiar. Note que o valor útil mínimo é 2, pois mudar a palavra passe consome 2 logins de graça adicionais, um para verificar a palavra passe atual e o segundo para executar a mudança da palavra passe.

Predefinição: 0

OPÇÕES DO SUDO

As instruções detalhadas para configuração do provedor sudo estão no manual sssd-sudo(5).

ldap_sudo_full_refresh_interval (inteiro)

Quantos segundos o SSSD irá esperar entre execuções de refrescar total das regras sudo (as quais descarregam todas as regras que estão guardadas no servidor).

O valor tem de ser maior que ldap_sudo_smart_refresh_interval

Você pode desactivar o refrescamento total ao definir esta opção para 0. No entanto, o refrescamento seja inteligente ou total tem de ser activado.

Predefinição: 21600 (6 horas)

ldap_sudo_smart_refresh_interval (inteiro)

Quantos segundos o SSSD tem de esperar antes de executar um refrescar inteligente de regras sudo (o qual descarrega todas as regras que têm USN mais alto que o valor USN do servidor mais alto que é actualmente conhecido pelo SSSD).

Se os atributos USN não forem suportados pelo servidor, é usado o atributo modifyTimestamp em vez destes.

Nota: o valor USN mais alto pode ser actualizado por três tarefas: 1) Por refrescar total e inteligente do sudo (se forem encontradas regras actualizadas). 2) pela enumeração de utilizadores e grupos (se activa e se forem encontrados utilizadores e grupos actualizados) e 3) ao religar ao servidor (por predefinição a cada 15 minutos, veja ldap_connection_expire_timeout).

Você pode desactivar o refrescamento inteligente ao definir esta opção para 0. No entanto, o refrescamento seja inteligente ou total tem de ser activado.

Predefinição: 900 (15 minutos)

ldap_sudo_random_offset (inteiro)

Desvio aleatório entre 0 e valor configurado é adicionado a períodos de refrescamento inteligente e completo de cada vez que a tarefa periódica é agendada. O valor é em segundos.

Note que o desvio aleatório é também aplicado no primeiro arranque do SSSD o que atrasa o primeiro refrescamento de regras sudo. Isto prolonga o tempo em que as regras sudo não estão disponíveis para uso.

Você pode desactivar este desvio ao definir o valor para 0.

Predefinição: 0 (desactivado)

ldap_sudo_use_host_filter (booleano)

Se true, o SSSD irá descarregar apenas regras que são aplicáveis a esta máquina (usando endereços e nomes de máquinas IPv4 ou IPv6 máquina/rede).

Predefinição: true

ldap_sudo_hostnames (string)

Lista separada por espaços de nomes de máquinas ou nomes de domínio totalmente qualificados que devem ser usados para filtras as regras.

Se esta opção estiver vazia, o SSSD irá tentar descobrir automaticamente o nome de máquina e o nome de domínio totalmente qualificado.

Se ldap_sudo_use_host_filter for false então esta opção não tem nenhum efeito.

Predefinição: não especificada

ldap_sudo_ip (string)

Lista separada por espaços de endereços IPv4 ou IPv6 máquina/rede que devem ser usados para filtrar as regras.

Se esta opção estiver vazia, o SSSD irá tentar descobrir os endereços automaticamente.

Se ldap_sudo_use_host_filter for false então esta opção não tem nenhum efeito.

Predefinição: não especificada

ldap_sudo_include_netgroups (booleano)

Se true então o SSSD irá descarregar todas as regras que contenham um netgroup no atributo sudoHost.

Se ldap_sudo_use_host_filter for false então esta opção não tem nenhum efeito.

Predefinição: true

ldap_sudo_include_regexp (booleano)

Se true então o SSSD irá descarregar todas as regras que contenham um wildcard no atributo sudoHost.

Se ldap_sudo_use_host_filter for false então esta opção não tem nenhum efeito.

Note
Usar a wildcard é uma operação com muito custo para avaliar no lado do servidor LDAP!

Predefinição: false

Este manual apenas descreve o mapeamento de nomes de atributos. Para explicação detalhada de semânticas de atributos relacionados com sudo, veja sudoers.ldap(5)

OPÇÕES DO AUTOFS

Algumas das predefinições para os parâmetros em baixo dependem do esquema LDAP.

ldap_autofs_map_master_name (string)

O nome do mapa mestre automount no LDAP.

Predefinição: auto.master

ldap_autofs_map_object_class (string)

A classe de objecto de uma entrada automount map no LDAP.

Predefinição: nisMap (rfc2307, autofs_provider=ad), caso contrário automountMap

ldap_autofs_map_name (string)

O nome de uma entrada automount map no LDAP.

Predefinição: nisMapName (rfc2307, autofs_provider=ad), caso contrário automountMapName

ldap_autofs_entry_object_class (string)

A classe objecto de uma entrada automount no LDAP.. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: nisObject (rfc2307, autofs_provider=ad), caso contrário automount

ldap_autofs_entry_key (string)

A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: cn (rfc2307, autofs_provider=ad), caso contrário automountKey

ldap_autofs_entry_value (string)

A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem.

Predefinição: nisMapEntry (rfc2307, autofs_provider=ad), caso contrário automountInformation

Por favor note que o automounter apenas lê o mapa mestre no arranque, assim se quaisquer alterações relacionadas com autofs forem feitas no sssd.conf, tipicamente você também precisa de reiniciar o daemon automounter após reiniciar o SSSD.

OPÇÕES AVANÇADAS

Estas opções são suportadas por domínios LDAP, mas devem ser usadas com cuidado. Por favor inclua-as na sua configuração apenas se souber o que está a fazer.

ldap_netgroup_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

ldap_user_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

ldap_group_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

Note

Se a opção “ldap_use_tokengroups” estiver activa, as buscas contra Active Directory não ficam restritas e retornam todos os membros dos grupos, mesmo sem mapeamento GID. É recomendado desactivar esta funcionalidade, se os nomes de grupos não forem mostrados corretamente.

ldap_sudo_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

ldap_autofs_search_base (string)

Um DN base opcional, escopo de busca e filtro LDAP para restringir as buscas LDAP para este tipo de atributo.

sintaxe:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

O escopo pode ser um de "base", "onelevel" ou "subtree". O escopo funciona como especificado na secção 4.5.1.2 de http://tools.ietf.org/html/rfc4511

O filtro tem de ser um filtro de busca LDAP válido como especificado por http://www.ietf.org/rfc/rfc2254.txt

Para exemplos desta sintaxe, por favor consulte a secção exemplos de “ldap_search_base”.

Predefinição: o valor de ldap_search_base

FAILOVER

A funcionalidade failover permite aos backends mudarem automaticamente para o servidor diferente se o servidor actual falhar.

Sintaxe do Failover

A lista de servidores é dada como uma lista separada por vírgulas; é permitido qualquer número de espaços em volta das vírgulas. Os servidores são listados pela ordem de preferência. A lista pode conter qualquer número de servidores.

Para cada opção de configuração activa-failover, existem duas variantes: primary e backup. A ideia é que os servidores na lista primária são preferidos e os servidores backup são apenas procurados se os servidores primários não puderem ser alcançados. Se um servidor backup for selecionado, é definido um tempo limite de 31 segundos. Após este tempo limite o SSSD irá periodicamente tentar re-ligar a um dos servidores primários. Se tiver sucesso, irá substituir o servidor actualmente activo (backup).

O Mecanismo Failover

O mecanismo failover distingue entre uma máquina e um serviço. O backend primeiro tenta resolver o nome de máquina de uma dada máquina; se esta tentativa de resolução falhar, a máquina é considerada offline. Não são feitas mais tentativas de ligar a esta máquina para qualquer outro serviço. Se a tentativa de resolução tiver sucesso, o backend tenta ligar a um serviço nesta máquina. Se a tentativa de ligação a serviço falhar, então este serviço particular é considerado offline e o backend automaticamente muda para o próximo serviço. A máquina continua a ser considerada online e pode ainda ser tentada para outro serviço.

São feitas mais tentativas de ligação a máquinas ou serviços marcados como offline após um período de tempo especificado; isto é actualmente duramente codificado a 30 segundos.

Se não existirem mais máquinas para tentar, o backend muda todos para modo offline, e depois tenta re-ligar a cada 30 segundos.

Tempo limite e afinação do Failover

Resolver um servidor a onde ligar pode ser tão simples como correr uma única consulta DNS ou pode invocar vários passos, tais como encontrar o sítio correto ou tentar múltiplos nomes de máquinas no caso de alguns dos servidores configurados não estarem alcançáveis. Os cenários mais complexos podem durar algum tempo e o SSSD precisa de equilibrar entre disponibilizar tempo suficiente para terminar o processo de resolução mas por outro lado, não demorar muito tempo antes de regressar ao modo offline. Se os registos de depuração do SSSD mostrarem que a resolução do servidor atingiu o tempo limite antes de ser contactado um servidor vivo, você pode considerar mudar os tempos limite.

Esta secção lista as afinações disponíveis. Por favor consulte as suas descrições no manual sssd.conf(5).

dns_resolver_server_timeout

Tempo em milissegundos que define quanto tempo deve o SSSD falar com um único servidor DNS antes de tentar o próximo.

Predefinição: 1000

dns_resolver_op_timeout

Tempo em segundos que diz quanto tempo deve o SSSD tentar resolver uma única consulta DNS (ex. resolução de um nome de máquina ou dum registo SRV) antes de tentar o próximo nome de máquina ou domínio de descoberta.

Predefinição: 3

dns_resolver_timeout

Quanto tempo deve o SSSD tentar resolver um serviço failover. Esta resolução de serviço internamente pode incluir vários passos, tal como resolver consultas SRV de DNS ou localizar o sítio.

Predefinição: 6

Para provedores baseados em LDAP, a operação de resolução é executada como parte de uma operação de ligação LDAP. Assim, também o tempo limite “ldap_opt_timeout” deve ser definido para um valor maior que “dns_resolver_timeout” que por sua vez deve ser definido para um valor maior que “dns_resolver_op_timeout” o qual deve ser maior que “dns_resolver_server_timeout”.

DESCOBERTA DE SERVIÇOS

A funcionalidade de descoberta de serviços permite aos backends encontrarem automaticamente os servidores apropriados para ligarem para usarem uma consulta DNS especial. Esta funcionalidade não é suportada para servidores de salvaguarda (backup).

Configuração

Se nenhum servidor for especificado, o backend automaticamente usa a descoberta de serviços para tentar encontrar um servidor. Opcionalmente, o utilizador pode escolher usar ambos endereços de servidor fixos e a descoberta de serviços ao inserir uma palavra chave especial “_srv_”, na lista de servidores. A ordem de preferência é mantida. Esta funcionalidade é útil se, por exemplo, o utilizador prefere usar descoberta de serviços sempre que possível, e regressar a um servidor específico quando não se descobrem servidores usando DNS.

O nome de domínio

Por favor consulte o parâmetro “dns_discovery_domain” no manual sssd.conf(5) para mais detalhes.

O protocolo

As consultas geralmente especificam _tcp como o protocolo. As excepções estão documentadas na descrição da opção respectiva.

Veja também

Para mais informação sobre o mecanismo de descoberta de serviços, consulte RFC 2782.

MAPEAMENTO DE ID

A funcionalidade de mapeamento de ID permite ao SSSD actuar como um cliente de Active Directory sem requerer aos administradores estenderem os atributos de utilizador para suportar atributos POSIX para identificadores de utilizador e grupo.

NOTA: Quando o mapeamento de ID está activo, os atributos uidNumber e gidNumber são ignorados. Isto é para evitar a possibilidade de conflitos entre valores designados automaticamente e designados manualmente. Se você precisa usar valores designados manualmente, TODOS os valores têm de ser atribuídos manualmente.

Por favor note que alterar as opções de configuração relacionadas com mapeamento de ID irá fazer com que os IDs de utilizador e grupo mudem. De momento, o SSSD não suporta alterar os IDs, assim a base de dados do SSSD tem de ser removida. Porque as palavras passe em cache são também guardadas na base de dados, remover a base de dados só deve ser feito enquanto os servidores de autenticação estão alcançáveis, caso contrário os utilizadores podem ficar bloqueados de fora. De modo a palavra passe em cache, tem de ser executada uma autenticação. Não é suficiente usar sss_cache(8) para remover a base de dados, em vez disso o processo consiste de:

•Certificar que os servidores remotos são alcançáveis

•Parar serviço SSSD

•Remover a base de dados

•Arrancar o serviço SSSD

Mais ainda, como a mudança de IDs pode necessitar de ajustes noutras propriedades do sistema tais como o dono de ficheiros e directórios, é recomendado planear com antecedência e testar a configuração do mapeamento de ID meticulosamente.

Algoritmo de Mapeamento

Active Directory fornece um objectSID para cada objecto utilizador e grupo no directório. Este objectSID pode ser partido em componentes que representam a identidade de domínio Active Directory e o identificador relativo (RID) do objecto utilizador ou grupo.

O algoritmo de mapeamento de ID do SSSD toma uma gama de UIDs disponíveis e divide-a em secções de componente de tamanho igual - chamadas fatias ou "slices"-. Cada fatia representa o espaço disponível para um domínio Active Directory.

Quando uma entrada de utilizador ou grupo para um domínio particular é encontrada pela primeira vez, o SSSD aloca uma das fatias disponíveis para esse domínio. De modo a tornar esta atribuição de fatia repetível em diferentes máquinas cliente, nós selecionamos a fatia com base no seguinte algoritmo:

A string SID é passada através do algoritmo murmurhash3 para a converter num valor cinza de 32-bit. Depois nós pegamos no modulus deste valor com o número total de fatias disponíveis para escolher a fatia.

NOTA: É possível de se encontrar colisões na cinza e modulus subsequentes. Nestas situações, iremos selecionar a próxima fatia disponível, mas pode não ser possível de reproduzir o mesmo conjunto exacto de fatias em outras máquinas (pois a ordem com que são encontradas irá determinar a sua fatia). Nesta situação, é recomendado ou mudar para usar atributos POSIX explícitos em Active Directory (desactivando o mapeamento de ID) ou configurar um domínio predefinido para garantir que pelo menos um é sempre consistente. Veja “Configuração” para detalhes.

Configuração

Configuração mínima (na secção “[domain/DOMAINNAME]”):

ldap_id_mapping = True
ldap_schema = ad

A configuração predefinida consiste em configurar 10,000 fatias, cada uma capaz de conter até 200,000 IDs, a começar de 200,000 e ir até a 2,000,200,000. Isto deve ser suficiente para a maioria dos desenvolvimentos.

Configuração Avançada

ldap_idmap_range_min (inteiro)

Especifica o limite mais baixo (inclusive) do alcance de IDs POSIX a usar para mapear SIDs de utilizador e grupo Active Directory. É o primeiro ID POSIX que pode ser usado para o mapeamento.

NOTA: Esta opção é diferente de “min_id” em que “min_id” actua para filtrar o resultado de pedidos a este domínio, ao passo que esta opção controla a gama de atribuição de ID. Esta é uma distinção subtil, mas o bom conselho geral será que “min_id” seja menor ou igual a “ldap_idmap_range_min”

Predefinição: 200000

ldap_idmap_range_max (inteiro)

Especifica o limite mais alto (exclusivo) do alcance de IDs POSIX a usar para mapear SIDs de utilizador e grupo Active Directory. É o primeiro ID POSIX que não pode mais ser usado para o mapeamento, isto é, um maior que o último que pode ser usado para o mapeamento.

NOTA: Esta opção é diferente de “max_id” em que “max_id” actua para filtrar o resultado de pedidos a este domínio, ao passo que esta opção controla a gama de atribuição de ID. Esta é uma distinção subtil, mas o bom conselho geral será que “max_id” seja maior ou igual a “ldap_idmap_range_max”

Predefinição: 2000200000

ldap_idmap_range_size (inteiro)

Especifica o número de IDs disponível para cada fatia. Se o tamanho do alcance não se dividir uniforme nos valores mínimo e máximo, irá criar o máximo de fatias completas que conseguir.

NOTA: O valor desta opção tem de ser pelo menos tão grande quando o RID planeado do mais alto utilizador para usar no servidor Active Directory. As procuras e login de utilizador irão falhar para qualquer utilizador cujo RID seja maior que este valor.

Por exemplo, o seu utilizador Active Directory adicionado mais recente tem um objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, “ldap_idmap_range_size” tem de ser pelo menos 1108 pois o tamanho de alcance é igual ao RID máximo menos o RID mínimo mais um (ex. 1108 = 1107 - 0 + 1).

É importante planear com antecedência para futura expansão, pois modificar este valor ira resultar e modificar todos os mapeamentos de ID no sistema, deixando os utilizadores com IDs locais diferentes dos que antes tinham.

Predefinição: 200000

ldap_idmap_default_domain_sid (string)

Especifica o SID de domínio do domínio predefinido. Isto irá garantir que este domínio irá sempre ser atribuído à fatia zero no mapa de ID, contornando o algoritmo murmurhash descrito em cima.

Predefinição: não definida

ldap_idmap_default_domain (string)

Especifica o nome do domínio predefinido.

Predefinição: não definida

ldap_idmap_autorid_compat (booleano)

Muda o comportamento do algoritmo de mapeamento de ID para se comportar de modo mais semelhante ao algoritmo “idmap_autorid” do winbind.

Quando esta opção está configurada, os domínios serão alocados começando da fatia zero e aumentando monotonicamente com cada domínio adicional.

NOTA: Este algoritmo é não-determinístico (depende da ordem em que os utilizadores e grupos são requisitados). Se este modo for requerido para compatibilidade com máquinas que correm winbind, é recomendado que se também use a opção “ldap_idmap_default_domain_sid” para garantir que pelo menos um domínio é consistentemente alocado para a fatia zero.

Predefinição: False

ldap_idmap_helper_table_size (inteiro)

Número máximo de fatias secundárias que é tentado quando se executa mapeamento de id UNIX para SID.

Nota: Podem ser geradas fatias secundárias adicionais quando o SID está a ser mapeado para id de UNIX e RID parte do SID está fora de alcance para as fatias secundárias geradas até ao momento. Se o valor de ldap_idmap_helper_table_size for igual a 0 então nenhuma fatia secundária adicional será gerada.

Predefinido: 10

SIDs Well-Known

SSSD suporta procurar nomes de SIDs Well-Known, isto é, SIDs com um significado especial codificado. Como os utilizadores e grupos genéricos relacionados a esses SIDs Well-Known não têm equivalente num ambiente Linux/UNIX, nenhuns IDs de POSIX estão disponíveis para esses objectos.

O espaço de nome SID está organizado em autoridades que podem ser vistas como diferentes domínios. As autoridades para os SIDs Well-Known são

•Null Authority

•World Authority

•Local Authority

•Creator Authority

•Mandatory Label Authority

•Authentication Authority

•NT Authority

•Built-in

As versões capitalizada desses nomes são usadas como nomes de domínio quando se retorna o nome totalmente qualificado de um SID Well-Known.

Como alguns utilitários permitem modificar informação de controle de acesso baseado em SID com a ajuda de um nome em vez de se usar o SID diretamente, o SSSD suporta procurar o SID pelo nome também. Para evitar colisões apenas os nomes totalmente qualificados podem ser usados para procurar SIDs Well-Known. Como resultado os nomes de domínio “NULL AUTHORITY”, “WORLD AUTHORITY”, “ LOCAL AUTHORITY”, “CREATOR AUTHORITY”, “MANDATORY LABEL AUTHORITY”, “AUTHENTICATION AUTHORITY”, “NT AUTHORITY” e “BUILTIN” não devem ser usados como nomes de domínio no sssd.conf.

EXEMPLO

O seguinte exemplo assume que o SSSD está actualmente configurado e o LDAP está definido para um dos domínios na secção [domains].

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

EXEMPLO DE FILTRO DE ACESSO LDAP

O seguinte exemplo assume que o SSSD está actualmente configurado e usa o ldap_access_order=lockout.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

NOTAS

As descrições de algumas das opções de configuração neste manual são baseadas no manual ldap.conf(5) da distribuição OpenLDAP 2.4.

AUTHORS

O autor do SSSD - https://github.com/SSSD/sssd/

01/18/2026

SSSD