SSSD-AD(5) Filformat och konventioner SSSD-AD(5) NAME sssd-ad - SSSD Active Directory-leverantor BESKRIVNING Denna manualsida beskriver konfigurationen av leverantoren AD till sssd(8). For en detaljerad referens om syntaxen, se avsnittet "FILFORMAT" i manualsidan sssd.conf(5). Leverantoren AD ar en bakande som anvands for att ansluta till en Active Directory-server. Leverantoren kraver att maskinen laggs in i AD-domanen och att en keytab ar tillganglig. Bakandekommunikationen sker over en GSSAPI-krypterad kanal, SSL/TLS-alternativ skall inte anvandas tillsammans med AD-leverantoren och kommer ersattas av Kerberos-anvandning. AD-leverantoren stodjer anslutning till Active Directory 2008 R2 eller senare. Tidigare versioner kan fungera, men stodjs inte. AD-leverantoren kan anvandas for att fa anvandarinformation och autentisera anvandare fran betrodda domaner. For narvarande kanns endast betrodda domaner i samma skog igen. Dessutom automatupptacks alltid servrar fran betrodda domaner. AD-leverantoren gor att SSSD kan anvanda identitetsleverantoren sssd- ldap(5) och autentiseringsleverantoren sssd-krb5(5) med optimeringar for Active Directory-miljoer. AD-leverantoren tar samma alternativ som anvands av leverantorerna sssd-ldap och sssd-krb5 med nagra undantag. Dock ar det varken nodvandigt eller lampligt att satta dessa alternativ. AD-leverantoren kopierar i huvudsak standardalternativen for de traditionella leverantorerna ldap och krb5 med nagra undantag. Skillnaderna listas i avsnittet "ANDRADE STANDARDINSTALLNINGAR". AD-leverantoren kan aven anvandas som en atkomst-, chpass-, sudo- och autofs-leverantor. Ingen konfiguration av atkomstleverantoren behovs pa klientsidan. Om "auth_provider=ad" eller "access_provider=ad" konfigureras i sssd.conf maste id-leverantoren ocksa sattas till "ad". Som standard kommer AD-leverantoren oversatta AID- och GID-varden fran parametern objectSID i Active Directory. For detaljer om detta se avsnittet "ID-OVERSATTNING" nedan. Om du vill avaktivera ID-oversattning och istallet lita pa POSIX-attribut definierade i Active Directory skall du satta ldap_id_mapping = False . Om POSIX-attribut skall anvandas rekommenderas det av prestandaskal att attributen aven replikeras till den globala katalogen. Om POSIX-attribut replikeras kommer SSSD forsoka att hitta domanen for den begarda numeriska ID:n med hjalp av den globala katalogen och endast soka i den domanen. Om POSIX-attribut daremot inte replikeras till den globala katalogen maste SSSD soka i alla domanerna i skogen sekventiellt. Observera att alternativet "cache_first" ocksa kan vara till hjalp for att snabba upp domanlosa sokningar. Observera att om endast en delmangd av POSIX-attributen finns i den globala katalogen lases for narvarande inte de attribut som inte replikeras fran LDAP-porten. Anvandare, grupper och andra enheter som servas av SSSD behandlas alltid som skiftlagesokansliga i AD-leverantoren for kompatibilitet med Active Directorys LDAP-implementation. SSSD slar endast up Active Directory Security Groups. For mer information om AD-grupptyper se: Active Directory security grouips[1] SSSD filtrerar ut domanlokala grupper fran fjarrdomaner i AD-skogen. Som standard filtreras de ut t.ex. nar man foljer en nastad grupphierarki i fjarrdomaner for att de inte ar giltiga i den lokala domanen. Detta gors for att stamma med Active Directorys gruppmedlemskapstilldelning vilken kan ses i Kerberosbiljettens PAC for en anvandare utgiven av Active Directory. KONFIGURATIONSALTERNATIV Se "DOMANSEKTIONER" i manualsidan sssd.conf(5) for detaljer om konfigurationen av en SSSD-doman. ad_domain (strang) Anger namnet pa Active Directory-domanen. Detta ar frivilligt. Om det inte anges anvands namnet pa den konfigurerade domanen. For att fungera ordentligt skall detta alternativ anges som den gemena versionen av den langa versionen av Active Directorys doman. Det korta domannamnet (aven kant som NetBIOS-namnet eller det platta namnet) detekteras automatiskt av SSSD. ad_enabled_domains (strang) A comma-separated list of enabled Active Directory domains. If provided, SSSD will ignore any domains not listed in this option. If left unset, all discovered domains from the AD forest will be available. During the discovery of the domains SSSD will filter out some domains where flags or attributes indicate that they do not belong to the local forest or are not trusted. If ad_enabled_domains is set, SSSD will try to enable all listed domains. For att fungera ordentligt bor detta alternativ anges helt i gemener och som det fullstandigt kvalificerade namnet pa Active Directory-domanen. Till exempel: ad_enabled_domains = marknad.example.com, tekn.example.com Det korta domannamnet (aven kant som NetBIOS-namnet eller det platta namnet) kommer detekteras automatiskt av SSSD. Standard: inte satt ad_server, ad_backup_server (strang) Den kommaseparerade listan av vardnamn till AD-servrar till vilka SSSD skall ansluta i prioritetsordning. For mer information om reserver och serverredundans se avsnittet "RESERVER". Detta ar frivilligt om automatupptackt ar aktiverat. For mer information om tjansteupptackt se avsnittet "TJANSTEUPPTACKT". Observera: betrodda domaner kommer alltid automatiskt upptacka servrar aven om den primara servern definieras uttryckligen i alternativet ad_server. ad_hostname (strang) Valfri. Pa maskiner dar hostname(5) inte avspeglar det fullstandigt kvalificerade namnet kommer sssd forsoka expandera det korta namnet. Om det inte ar mojligt eller det korta namnet verkligen skall anvandas istallet, satt da denna parameter uttryckligen. Detta falt anvands for att avgora vard-huvudmannen som anvands i keytab:en och utfora dynamiska DNS-uppdateringar. Det maste stamma med vardnamnet som keytab:en gavs ut for. ad_enable_dns_sites (boolean) Aktiverar DNS-sajter - platsbaserat tjansteupptackt. Om sant och tjansteupptackt (se stycket Tjansteupptackt i slutet av manualsidan) ar aktiverat kommer SSSD forst att forsoka hitta en Active Directory-server att ansluta till med Active Directory Site Discovery och sedan falla tillbaka pa traditionell SRV-upptackt om ingen AD-sajt hittas. Konfigurationen av DNS SRV, inklusive upptacktsdomanen, anvands ocksa under sajtupptackten. Standard: true ad_access_filter (strang) Detta alternativ anger LDAP:s atkomstkontrollfilter som anvandaren maste matcha for att tillatas atkomst. Observera att alternativet "access_provider" maste vara uttryckligen satt till "ad" for att detta alternativ skall ha nagon effekt. Alternativet stodjer ocksa att ange olika filter per doman eller skog. Detta utokade filter skulle besta av: "NYCKELORD:NAMN:FILTER". Nyckelordet kan vara antingen "DOM", "FOREST" eller utelamnas. Om nyckelordet ar lika med "DOM" eller saknas anger "NAMN" domanen eller underdomanen filtret galler for. Om nyckelordet ar lika med "FOREST" ar filtret lika for alla domaner fran skogen som anges av "NAMN". Flera filter kan avgransas med tecknet "?", i likhet med hur sokbaser fungerar. Nastade gruppmedlemskap maste sokas efter med en speciell OID ":1.2.840.113556.1.4.1941:" utover den fullstandiga syntaxen DOM:doman.example.com: for att sakerstalla att tolken inte forsoker tolka kolontecknen som hor till OID:n. Om man inte anvander denna OID kommer nastade gruppmedlemskap inte slas upp. Se anvandningsexempel nedan och se har for ytterligare information om OID:n: [MS-ADTS] avsnittet LDAP-utokningar[2] Den mest specifika matchningen anvands alltid. Till exempel, om alternativet angav filter for en doman anvandaren ar medlem i och ett globalt filter skulle det domanspecifika filtret tillampas. Om det finns fler matchningar med samma specifikation anvands den forsta. Exempel: # tillampa endast filtret pa en doman som heter dom1: dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com) # tillampa endast filtret pa en doman som heter dom2: DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com) # tillampa endast filtret pa en skog som heter EXAMPLE.COM: FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com) # tillampa filtret pa en medlem av en nastad grupp i dom1: DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com) Standard: inte satt ad_site (strang) Ange en AD-sajt som klienten skall forsoka ansluta till. Om detta alternativ inte anges kommer AD-sajten att automatupptackas. Standard: inte satt ad_enable_gc (boolean) Som standard ansluter SSSD till den globala katalogen forst for att hamta anvandare fran betrodda domaner och anvander LDAP-porten for att hamta gruppmedlemskap som en reserv. Att avaktivera detta alternativ gor att SSSD endast ansluter till LDAP-porten pa den aktuella AD-servern. Observera att att avaktivera stod for den globala katalogen inte avaktiverar att hamta anvandare fran betrodda domaner. SSSD skulle ansluta till LDAP-porten pa den betrodda domanen istallet. Dock maste den globala katalogen anvandas for att sla upp gruppmedlemskap over domaner. Standard: true ad_gpo_access_control (strang) Detta alternativ anger arbetslaget for GPO-baserad atkomstkontrollsfunktionalitet: huruvida det arbetar i avaktiverat lage, tvingande lage eller tillatande lage. Observera att alternativet "access_provider" maste vara uttryckligen satt till "ad" for att detta alternativ skall ha nagon effekt. Funktionalitet for GPO-baserad atkomststyrning anvander GPO-policyinstallningar for att avgora huruvida en viss anvandare tillats logga in pa varden eller inte. For mer information om de stodda policyinstallningarna se flaggan "ad_gpo_map". Observera att den aktuella versionen av SSSD inte stojder Active Directorys inbyggda grupper. Inbyggda grupper (sasom administratorer med SID S-1-5-32-544) i GPO-atkomststyrningsregler kommer ignoreras av SSSD. Se uppstroms arendehanterare https://github.com/SSSD/sssd/issues/5063 . Fore atkomstkontroll utfors tillampar SSSD sakerhetsfiltrering enligt gruppolicy pa GPO:erna. For varje enskild anvandares inloggning kontrolleras tillampligheten av GPO:erna som ar lankade till varden. For att en GPO skall vara tillamplig pa en anvandare maste anvandaren eller atminstone en av de grupper den tillhor ha foljande rattigheter pa GPO:n: o Las: anvandaren eller en av dess grupper maste ha lasrattigheter till egenskaperna hos GPO:n (RIGHT_DS_READ_PROPERTY) o Verkstall gruppolicy: anvandaren eller atminstone en av dess grupper maste ha tillatelse att verkstalla GPO:n (RIGHT_DS_CONTROL_ACCESS). Som standard fins en autentiserad anvandares grupp pa en GPO och denna grupp har bade Las- och Verkstall gruppolicy-atkomstrattigheter. Eftersom autentisering av en anvandare maste ha fullgjorts framgangsrikt fore GPO-sakerhetsfiltrering och atkomstkontroll borjar galler alltid aven den autentiserade anvandarens grupprattigheter pa GPO:n for anvandaren. OBS: Om atgardslaget ar satt till tvingande ar det mojligt att anvandarna som tidigare var tillatna inloggningsatkomst nu kommer nekast inloggningsatkomst (som det dikteras av GPO-policyinstallningar). For att mojliggora en smidig overgang for administratorer finns ett tillatande lage tillgangligt som inte kommer genomdriva atkomststyrningsreglerna, utan kommer berakna deom och skriva ut ett syslog-meddelande om atkomst skulle ha nekats. Genom att granska loggarna kan administratorer sedan gora de nodvandiga andringarna fore laget stalls in som tvingande. For att logga felsokningsniva av GPO-baserad atkomstkontroll kravs "trace functions" (se manualsidan sssctl(8)). Det finns tre stodda varden for detta alternativ: o disabled: GPO-baserade atkomstkontrollsregler varken evalueras eller patvingas. o enforcing: GPO-baserade atkomstkontrollregler evalueras och patvingas. o permissive: GPO-baserade atkomstkontrollregler evalueras men patvingas inte. Istallet skickas ett syslog-meddelande ut som indikerar att anvandaren skulle ha nekats atkomst om detta alternativs varde vore satt till enforcing. Standard: enforcing ad_gpo_implicit_deny (boolean) Normalt nar inga tillampliga GPO:er finns tillats anvandarna atkomst. Nar detta alternativ ar satt till True kommer anvandare att tillatas atkomst endast nar det uttryckligen tillats av en GPO-regel. Annars kommer anvandare nekas atkomst. Detta kan anvandas for att starka sakerheten men var forsiktig nar detta alternativ anvands for det kan neka atkomst aven till anvandare i den inbyggda administratorsgruppen om inga GPO-regler ar tillampliga pa dem. Standard: False Foljande 2 tabeller bor illustrera nar en anvandare tillats eller nekas baserat pa de tillatande eller nekande inloggningsrattigheterna definierade pa serversidan och installningen av ad_gpo_implicit_deny. +--------------------------------------------------------+ | ad_gpo_implicit_deny = False (standard) | +-------------------+---------------+--------------------+ |tillatelseregler | nekanderegler | resultat | +-------------------+---------------+--------------------+ | saknas | saknas | alla anvandare | | | | tillats | +-------------------+---------------+--------------------+ | saknas | finns | endast anvandare | | | | som inte finns i | | | | nekanderegler | | | | tillats | +-------------------+---------------+--------------------+ | finns | saknas | endast anvandare i | | | | tillatelseregler | | | | tillats | +-------------------+---------------+--------------------+ | finns | finns | endast anvandare i | | | | tillatelse och | | | | inte i | | | | nekanderegler | | | | tillats | +-------------------+---------------+--------------------+ +--------------------------------------------------------+ | ad_gpo_implicit_deny = True | +-------------------+---------------+--------------------+ |tillatelseregler | nekanderegler | resultat | +-------------------+---------------+--------------------+ | saknas | saknas | inga anvandare | | | | tillats | +-------------------+---------------+--------------------+ | saknas | finns | inga anvandare | | | | tillats | +-------------------+---------------+--------------------+ | finns | saknas | endast anvandare i | | | | tillatelseregler | | | | tillats | +-------------------+---------------+--------------------+ | finns | finns | endast anvandare i | | | | tillatelse och | | | | inte i | | | | nekanderegler | | | | tillats | +-------------------+---------------+--------------------+ ad_gpo_ignore_unreadable (boolean) Normalt nar nagra gruppolicybehallare (AD-objekt) av nagra tillampliga gruppolicyobjekt inte ar lasbara av SSSD sa nekas anvandare atkomst. Detta alternativ tillater att man ignorerar gruppolicybehallare och med dem tillhorande policyer om deras attribut i gruppolicybehallare inte ar lasbara for SSSD. Standard: False ad_gpo_cache_timeout (heltal) Tiden mellan uppslagningar av GPO-policyfiler mot AD-servern. Detta kommer reducera tidsfordrojningen och lasten pa AD-servern om det gors manga begaranden om atkomstkontroll under en kort tid. Standard: 5 (sekunder) ad_gpo_map_interactive (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomstkontroll beraknas baserat pa policyinstallningarna InteractiveLogonRight och DenyInteractiveLogonRight. Endast de GPO:er beraknas for vilka anvandaren har Las- eller Verkstall gruppolicy-rattigheter (se flaggan "ad_gpo_access_control"). Om en beraknad GPO innehaller installningen neka interaktiv inloggning for anvandaren eller en av dess grupper nekas anvandaren lokal atkomst. Om ingen av de evaluerade GPO:erna har en interaktiv inloggningsrattighet definierad ges anvandaren lokal atkomst. Om atminstone en beraknad GPO innehaller installningen interaktiv inloggningsrattighet ges anvandaren lokal atkomst endast om denne eller atminstone en av dess grupper ar del av den policyinstallningen. Obs: nar man anvander gruppolicyhanteringsredigeraren kallas detta varde "Tillat inloggning lokalt" och "Neka inloggning lokalt". Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for denna inloggningsratt (t.ex. "login") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_interactive = +min_pam-tjanst, -login Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o login o su o su-l o gdm-fingerprint o gdm-password o gdm-smartcard o kdm o lightdm o lxdm o sddm o unity o xdm ad_gpo_map_remote_interactive (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomstkontroll beraknas baserat pa policyinstallningarna RemoteInteractiveLogonRight och DenyRemoteInteractiveLogonRight. Endast de GPO:er beraknas for vilka anvandaren har Las- eller Verkstall gruppolicy-rattigheter (se flaggan "ad_gpo_access_control"). Om en beraknad GPO innehaller installningen neka fjarrinloggning for anvandaren eller en av dess grupper nekas anvandaren interaktiv fjarratkomst. Om ingen av de evaluerade GPO:erna har en interaktiv inloggningsrattighet definierad ges anvandaren interaktiv fjarratkomst. Om atminstone en beraknad GPO innehaller installningen interaktiv fjarrinloggningsrattighet ges anvandaren fjarratkomst endast om denne eller atminstone en av dess grupper ar del av den policyinstallningen. Obs: nar man anvander gruppolicyhanteringsredigeraren kallas detta varde "Tillat inloggning via fjarrskrivbordstjanster" och "Neka inloggning via fjarrinloggningstjanster". Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for denna inloggningsratt (t.ex. "sshd") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_remote_interactive = +min_pam-tjanst, -sshd Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o sshd o cockpit ad_gpo_map_network (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomstkontroll beraknas baserat pa policyinstallningarna NetworkLogonRight och DenyNetworkLogonRight. Endast de GPO:er beraknas for vilka anvandaren har Las- eller Verkstall gruppolicy-rattigheter (se flaggan "ad_gpo_access_control"). Om en beraknad GPO innehaller installningen neka natverksinloggning for anvandaren eller en av dess grupper nekas anvandaren natverksatkomst. Om ingen av de evaluerade GPO:erna har en natverksinloggningsrattighet definierad ges anvandaren inloggningsatkomst. Om atminstone en beraknad GPO innehaller installningen natverksinloggningsrattighet ges anvandaren inloggningsatkomst endast om denne eller atminstone en av dess grupper ar del av den policyinstallningen. Obs: nar man anvander gruppolicyhanteringsredigeraren kallas detta varde "Kom at denna dator fran natverket" och "Neka atkomst till denna dator fran natverket". Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for denna inloggningsratt (t.ex. "ftp") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_network = +min_pam-tjanst, -ftp Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o ftp o samba ad_gpo_map_batch (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomstkontroll beraknas baserat pa policyinstallningarna BatchLogonRight och DenyBatchLogonRight. Endast de GPO:er beraknas for vilka anvandaren har Las- eller Verkstall gruppolicy-rattigheter (se flaggan "ad_gpo_access_control"). Om en beraknad GPO innehaller installningen neka satsvis inloggning for anvandaren eller en av dess grupper nekas anvandaren satsvis inloggningsatkomst. Om ingen av de evaluerade GPO:erna har en satsvis inloggningsrattighet definierad ges anvandaren inloggningsatkomst. Om atminstone en beraknad GPO innehaller installningen satsvis inloggningsrattighet ges anvandaren inloggningsatkomst endast om denne eller atminstone en av dess grupper ar del av den policyinstallningen. Obs: nar man anvander gruppolicyhanteringsredigeraren kallas detta varde "Tillat inloggning som ett batch-jobb" och "Neka inloggning som ett batch-jobb". Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for denna inloggningsratt (t.ex. "crond") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_batch = +min_pam-tjanst, -crond Obs: cron-tjanstenamn kan skilja beroende pa vilken Linuxdistribution som anvands. Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o crond ad_gpo_map_service (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomstkontroll beraknas baserat pa policyinstallningarna ServiceLogonRight och DenyServiceLogonRight. Endast de GPO:er beraknas for vilka anvandaren har Las- eller Verkstall gruppolicy-rattigheter (se flaggan "ad_gpo_access_control"). Om en beraknad GPO innehaller installningen neka tjansteinloggning for anvandaren eller en av dess grupper nekas anvandaren tjansteinloggningsatkomst. Om ingen av de evaluerade GPO:erna har en tjansteinloggningsrattighet definierad ges anvandaren inloggningsatkomst. Om atminstone en beraknad GPO innehaller installningen tjansteinloggningsrattighet ges anvandaren inloggningsatkomst endast om denne eller atminstone en av dess grupper ar del av den policyinstallningen. Obs: nar man anvander gruppolicyhanteringsredigeraren kallas detta varde "Tillat inloggning som en tjanst" och "Neka inloggning som en tjanst". Det ar mojligt att lagga till ett PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn". Eftersom standarduppsattningen ar tom ar det inte mojligt att ta bort ett PAM-tjanstenamn fran standarduppsattningen. Till exempel, for att lagga till ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_service = +min_pam-tjanst Standard: inte satt ad_gpo_map_permit (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomst alltid tillats, oavsett nagra andra GPO-inloggningsrattigheter. Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for ovillkorligt tillaten atkomst (t.ex. "sudo") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_permit = +min_pam-tjanst, -sudo Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o polkit-1 o sudo o sudo-i o systemd-user ad_gpo_map_deny (strang) En kommaseparerad lista av PAM-tjanstenamn for vilka GPO-baserad atkomst alltid nekas, oavsett nagra andra GPO-inloggningsrattigheter. Det ar mojligt att lagga till ett PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn". Eftersom standarduppsattningen ar tom ar det inte mojligt att ta bort ett PAM-tjanstenamn fran standarduppsattningen. Till exempel, for att lagga till ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: ad_gpo_map_deny = +min_pam-tjanst Standard: inte satt ad_gpo_default_right (strang) Detta alternativ definierar hur atkomstkontroll beraknas for PAM-tjanstenamn som inte ar uttryckligen listade i en av alternativen ad_gpo_map_*. Detta alternativ kan anges pa tva olika satt. Antingen kan detta alternativ sattas till att ange standardinloggningsrattigheter. Till exempel, om detta alternativ ar satt till "interactive" betyder det att omappade PAM-tjanstenamn kommer bearbetas baserat pa policyinstallningarna InteractiveLogonRight och DenyInteractiveLogonRight. Alternativt kan detta alternativ sattas till att antingen alltid tillata eller alltid neka atkomst for omappade PAM-tjanstenamn. Varden som stodjs for detta alternativ inkluderar: o interactive o remote_interactive o network o batch o service o permit o deny Standard: deny ad_maximum_machine_account_password_age (heltal) SSSD kommer en gang om dagen kontrollera om maskinkontolosenordet ar aldre an den givna aldern i dagar och forsoka fornya det. Ett varde pa 0 kommer forhindra fornyelseforsoket. Standard: 30 dagar ad_machine_account_password_renewal_opts (strang) Detta alternativ skall endast anvandas for att testa maskinkontofornyelsefunktionen. Alternativet forvantar sig 2 heltal separerade av ett kolon (":"). Det forsta heltalet anger intervallet i sekunder hur ofta funktionen kors. Det andra anger den initiala tidsgransen i sekunder fore funktionen kors for forsta gangen efter uppstart. Standard: 86400:750 (24h och 15m) ad_update_samba_machine_account_password (boolean) Om aktiverat kommer losenordet i Sambas databas ocksa uppdateras nar SSSD fornyar maskinkontolosenordet. Detta forhindrar Sambas exemplar av maskinkontolosenordet fran att bli inaktuellt nar det ar uppsatt att anvanda AD for autentisering. Standard: false ad_use_ldaps (bool) Som standard anvander SSSD den enkla LDAP-porten 389 porten 3628 for den globala katalogen. Om denna flagga ar satt till sant kommer SSSD anvanda LDAPS-porten 636 och porten 3629 for den globala katalogen med LDAPS-skydd. Eftersom AD inte tillater att ha flera krypteringsnivaer pa en ensam forbindelse och vi fortfarande vill anvanda SASL/GSSAPI eller SASL/GSS-SPNEGO till autentisering ar SASL-sakerhetsegenskapen maxssf satt till 0 (noll) for dessa forbindelser. Standard: False ad_allow_remote_domain_local_groups (boolean) Om detta alternativ ar satt till "sant" kommer SSSD inte att filtrera ut domanlokala grupper fran fjarrdomaner i AD-skogen. Som standard filtreras de ut t.ex. nar man foljer en nastad grupphierarki i fjarrdomaner for att de inte ar giltiga i den lokala domanen. For att vara kompatibel med andra losningar som gor AD-anvandare och -grupper tillgangliga i Linuxklienter lades detta alternativ till. Observera att satta detta alternativ till "sant" kommer strida mot avsikten med domanlokala grupper i Active Directory och SKALL ENDAST ANVANDAS FOR ATT MOJLIGGORA MIGRERING FRAN ANDRA LOSNINGAR. Aven om grruppen finns och anvandaren kan vara medlem av gruppen ar avsikten att gruppen endast skall anvandas i domanen den ar definierad och inte i nagra andra. Eftersom det endast finns en typ av POSIX-grupper ar det enda sattet att uppna detta pa Linuxsidan att ignorera dessa grupper. Detta gors ocksa av Active Directory som kan ses i PAC:en i Kerberosbiljetten for en lokal tjanst sller i tokenGroups-begaranden dar ocksa de domanlokala fjarrgrupperna saknas. Givet ovanstaende kommentarer, om detta alternativ ar satt till "sant" maste tokenGroups-begaranden avaktiveras genom att satta "ldap_use_tokengroups" till "falskt" for att fa konsistenta gruppmedlemskap for en anvandare. Dessutom skall uppslagningar i Global Catalog ocksa hoppas over genom att satta "ad_enable_gc" till "falskt". Slutligen kan det vara nodvandigt att andra "ldap_group_nesting_level" om de domanlokala fjarrgurpperna endast finns med en djupare nastningsniva. Standard: False dyndns_update (boolean) Valfritt. Detta alternativ sager till SSSD att automatiskt uppdatera DNS-servern i Active Directory med IP-adressen for denna klient. Uppdateringen sakras med GSS-TSIG. Som en konsekvens av det behover Active Directory-administratoren bara tillata sakra uppdateringar for DNS-zonen. IP-adressen for AD-LDAP-forbindelsen anvands for uppdateringar, om det inte specificeras pa annat satt med alternativet "dyndns_iface". OBS: pa aldre system (sasom RHEL 5) maste standardriket for Kerberos sattas i /etc/krb5.conf for att detta beteende skall fungera palitligt Standard: true dyndns_ttl (heltal) TTL:en att anvanda for klientens DNS-post vid uppdatering. Om dyndns_update ar falsk har detta ingen effekt. Detta kommer asidosatta TTL pa serversidan om det ar satt av en administrator. Standard: 3600 (sekunder) dyndns_iface (strang) Valfri. Endast tillampligt nar dyndns_update ar sann. Valj granssnittet eller en lista av granssnitt vars IP-adresser skall anvandas for dynamiska DNS-uppdateringar. Specialvardet "*" betyder att IP:n fran alla granssnitt skall anvandas. Standard: anvand IP-adresser for granssnittet som anvands for AD LDAP-forbindelsen Exempel: dyndns_iface = em1, vnet1, vnet2 dyndns_refresh_interval (heltal) Hur ofta bakanden skall utfora periodiska DNS-uppdateringar utover den automatiska uppdateringen som utfors nar bakanden kopplar upp. Detta alternativ ar valfritt och tillampligt endast nar dyndns_update ar sann. Observera att det lagsta mojliga vardet ar 60 sekunder, ifall ett varde mindre an 60 ges kommer parametern endast anta det lagsta vardet. Standard: 86400 (24 timmar) dyndns_update_ptr (bool) Huruvida PTR-posten ocksa skall uppdateras explicit nar klientens DNS-post uppdateras. Tillampligt endast nar dyndns_update ar sann. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. Standard: True dyndns_force_tcp (bool) Huruvida nsupdate-verktyget som standard skall anvanda TCP for kommunikation med DNS-servern. Standard: False (lat nsupdate valja protokollet) dyndns_auth (strang) Huruvida verktyget nsupdate skall anvanda GSS-TSIG-autentisering for sakra uppdateringar av DNS-servern, osakra uppdateringar kan skickas genom att satta detta alternativ till "none". Standard: GSS-TSIG dyndns_auth_ptr (strang) Huruvida verktyget nsupdate skall anvanda GSS-TSIG-autentisering for sakra PTR-uppdateringar av DNS-servern, osakra uppdateringar kan skickas genom att satta detta alternativ till "none". Standard: samma som dyndns_auth dyndns_server (strang) DNS-servern som skall anvandas nar en uppdatering av DNS utfors. I de flesta uppsattningar rekommenderas det att lata detta alternativ vara osatt. Att satta detta alternativ ar meningsfullt i miljoer dar DNS-servern ar skild fran identitetsservern. Observera att detta alternativ bara kommer anvandas i forsok att falla tillbaka pa nar tidigare forsok som anvander automatiskt upptackta installningar misslyckas. Standard: Ingen (lat nsupdate valja servern) dyndns_update_per_family (boolean) DNS-uppdateringar utfors som standard i tva steg - IPv4-uppdatering och sedan IPv6-uppdatering. I nagra fall kan det vara onskvart att utfora IPv4- och IPv6-uppdateringar i ett enda steg. Standard: true override_homedir (strang) Asidosatt anvandarens hemkatalog. Du kan antingen ge ett absolut varde eller en mall. I mallen ersatts foljande sekvenser: %u inloggningsnamn %U AID-nummer %d domannamn %f fullstandigt kvalificerat anvandarnamn (anvandare@doman) %l Forsta bokstaven i inloggningsnamnet. %P UPN - Anvandarens Huvudmansnamn (namn@RIKE) %o Den ursprungliga hemkatalogen som hamtades fran identitetsleverantoren. %h Den ursprungliga hemkatalogen som hamtades fran identitetsleverantoren, men i gemener. %H Vardet pa konfigurationsalternativet homedir_substring. %% ett bokstavligt "%" Detta alternativ kan aven sattas per doman. exempel: override_homedir = /home/%u Standard: Inte satt (SSSD kommer anvanda vardet som hamtas fran LDAP) Observera att hemkatalog fran ett specifikt asidosattande for anvandaren, antingen lokalt (se sss_override(8)) eller centralt hanterat IPA-id-asidosattande, har en hogre precedens och kommer anvandas istallet for vardet gom ges av override_homedir. homedir_substring (strang) Vardet pa detta alternativ kommer anvandas i expansionen av alternativet override_homedir om mallen innehaller formatstrangen %H. En LDAP-katalogpost kan innehalla denna mall direkt sa att detta alternativ kan anvandas for att expandera sokvagen till hemkatalogen for varje klientmaskin (eller operativsystem). Den kan sattas per doman eller globalt i avsnittet [nss]. Ett varde som anges i ett domanavsnitt kommer asidosatta ett som ar satt i avsnittet [nss]. Standard: /home krb5_confd_path (strang) Absolut sokvag till en katalog dar SSSD skall placera konfigurationsstycken for Kerberos. For att forhindra att konfigurationsstycken skapas, satt parametern till "none". Standard: inte satt (underkatalogen krb5.include.d till SSSD:s pubconf-katalog) ANDRADE STANDARDALTERNATIV Vissa alternativs standardvarde stammer inte med deras respektive bakandars standardvarden, dessa alternativnamn och AD-leverantorspecifika standardvarden ar uppraknade nedan: KRB5-leverantor o krb5_validate = true o krb5_use_enterprise_principal = true LDAP-leverantor o ldap_schema = ad o ldap_force_upper_case_realm = true o ldap_id_mapping = true o ldap_sasl_mech = GSS-SPNEGO o ldap_referrals = false o ldap_account_expire_policy = ad o ldap_use_tokengroups = true o ldap_sasl_authid = sAMAccountName@RIKE (typiskt KORTNAMN$@RIKE) AD-leverantoren letar efter en annan huvudman an LDAP-leverantoren som standard, eftersom huvudmannen i en Active Directory-miljo ar uppdelade i tva grupper - anvandarhuvudman och tjanstehuvudman. Endast anvandarhuvudmannen kan anvandas for att hamta en TGT och som standard ar datorobjekts huvudman konstruerade fran dess sAMAccountName och AD-riket. Den valkanda huvudmannen for vard/vardnamn@RIKE ar en tjanstehuvudman och kan darmed inte anvandas for att hamta en TGT. NSS-konfiguration o fallback_homedir = /home/%d/%u AD-leverantoren satter automatiskt "fallback_homedir = /home/%d/%u" for att tillhandahalla personliga hemkataloger for anvandare utan attributet homeDirectory. Om ens AD-doman ar vederborligen populerad med Posix-attribut, och man vill undvika att falla tillbaka pa detta beteende, kan man uttryckligen satta "fallback_homedir = %o". Observera att systemet typiskt forvantar sig en hemkatalog i mappen /home/%u. Om man bestammer sig for att anvanda en annan katalogstruktur kan nagra andra delar av ens system behova justeras. Till exempel kraver automatiserat skapande av hemkataloger i kombination med selinux anpassningar av selinux, annars kommer hemkatalogen skapas med fel selinux-kontext. RESERVER Reservfunktionen gor att bakandar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera. Reservsyntax Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillats runt kommatecknet. Servrarna listas i preferensordning. Listan kan innehalla obegransat antal servrar. For varje reservaktiverat konfigurationsalternativ finns det tva varianter: primary och backup. Tanken ar att servrar i den primara listan foredras och backup-servrar bara provas om inga primara servrar kan nas. Om en backup-server valjs satts en tidsgrans pa 31 sekunder. Efter denna tidsgrans kommer SSSD periodiskt att forsoka ateransluta till en av de primara servrarna. Om det lyckas kommer den ersatta den nu aktiva (backup-)servern. Reservmekanismen Reservmekanismen gor skillnad mellan en maskin och en tjanst. Bakanden forsoker forst att sla upp vardnamnet for en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare forsok gors att ansluta till denna maskin for nagon annan tjanst. Om uppslagningsforsoket lyckas forsoker bakanden ansluta till en tjanst pa denna maskin. Om tjansteanslutningen misslyckas anses bara just denna tjanst frankopplad och bakanden byter automatiskt till nasta tjanst. Maskinen betraktas fortfarande som uppkopplad och kan anvandas vid forsok att na en annan tjanst. Ytterligare forsok att ansluta gors till maskiner eller tjanster som markerats som frankopplade efter en viss tidsperiod, detta ar for narvarande hardkodat till 30 sekunder. Om det inte finns nagra fler maskiner att prova byter bakanden i sin helhet till frankopplat lage, och forsoker sedan ateransluta var 30:e sekund. Tidsgranser och trimning av reservfunktioner Att sla upp en server att ansluta till kan vara sa enkelt som att gora en enstaka DNS-fraga eller kan innebara flera steg, sasom att hitta den ratta sajten eller forsoka med flera vardnamn ifall nagra av de konfigurerade servrarna inte kan nas. De mer komplexa scenariona kan ta en stund och SSSD behover balansera mellan att tillhandahalla tillrackligt med tid for att fardigstalla upplosningsprocessen men a andra sidan inte forsoka for lange fore den faller tillbaka pa frankopplat lage. Om SSSD:s felsokningsloggar visar att serverns upplosning overskrider tidsgransen fore en aktiv server nas kan du overvaga att andra tidsgranserna. Detta avsnitt listar tillgangliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5). dns_resolver_server_timeout Tid i millisekunder som anger hur lange SSSD skall tala med en viss DNS-server fore den provar nasta. Standard: 1000 dns_resolver_op_timeout Tid i sekunder hur lange SSSD skall forsoka sla upp en viss DNS-fraga (t.ex. uppslagning av ett vardnamn eller en SRV-post) fore den provar nasta vardnamn eller upptacktsdoman. Standard: 3 dns_resolver_timeout Hur lange skall SSSD forsoka sla upp en reservtjanst. Denna tjansteuppslagning kan internt besta av flera steg, sasom att sla upp DNS SRV-fragor och lokalisera sajten. Standard: 6 For LDAP-baserade leverantorer utfors uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Darfor skall aven tidsgransen "ldap_opt_timeout" sattas till ett storre varde an "dns_resolver_timeout" som i sin tur skall sattas till ett storre varde an "dns_resolver_op_timeout" som skall vara storre an "dns_resolver_server_timeout". TJANSTEUPPTACKT Tjansteupptacktsfunktionen gor att bakandar automatiskt kan hitta en lamplig server att ansluta till med en speciell DNS-fraga. Denna funktion stodjs inte for backup-servrar. Konfiguration Om inga servrar anges anvander bakanden automatiskt tjansteupptackt for att forsoka hitta en server. Anvandaren kan om sa onskas valja att anvanda bade en bestamd serveradress och tjansteupptackt genom att infoga ett speciellt nyckelord, "_srv_", i listan av servrar. Preferensordningen bibehalls. Denna funktion ar anvandbar om, till exempel, anvandaren foredrar att anvanda tjansteupptackt narhelst det ar mojligt, och falla tillbaka pa en specifik server nar inga servrar kan upptackas med DNS. Domannamnet Se parametern "dns_discovery_domain" i manualsidan sssd.conf(5) for fler detaljer. Protokollet Fragorna anger vanligen _tcp som protokoll. Undantag ar dokumenterade i respektive alternativs beskrivning. Se aven For mer information om tjansteupptacktsmekanismen, se RFC 2782. ID-MAPPNING ID-mappningsfunktionen later SSSD fungera som en klient till Active Directory utan att krava att administratorer utokar anvandarattribut till att stodja POSIX-attribut for anvandar- och gruppidentifierare. OBSERVERA: Nar ID-mappning aktiveras ignoreras attributen uidNumber och gidNumber. Detta ar for att undvika mojligheten av konflikt mellan automatiskt tilldelade och manuellt tilldelade varden. Om du behover anvanda manuellt tilldelade varden maste ALLA varden tilldelas manuellt. Observera att byte av ID-mappnings relaterade konfigurationsalternativ kommer fa anvandar- och grupp-ID:n att andras. For narvarande stodjer inte SSSD byte av ID:n, sa SSSD-databasen maste tas bort. Eftersom cachade losenord ocksa lagras i databasen skall databasen bara tas bort nar autentiseringsservrarna kan nas, annars kan anvandare lasas ute. For att cacha losenordet maste en autentisering goras. Det ar inte tillrackligt att anvanda sss_cache(8) for att ta bort databasen, istallet bestar processen av: o Se till att fjarrservrarna ar nabara o Stoppa tjansten SSSD o Ta bort databasen o Starta tjansten SSSD Dessutom, eftersom andringen av ID:n kan gora det nodvandigt att justera andra systemegenskaper sasom agare av filer och kataloger, ar det lampligt att planera i forvag och testa konfigurationen av ID-oversattningar noggrant. Oversattningsalgoritm Active Directory tillhandahaller ett objectSID for varje anvandar- och gruppobjekt i katalogen. Detta objectSID kan delas upp i komponenter som representerar Active Directorys domanidentitet och den relativa identifieraren (RID) till anvandar- eller gruppobjektet. SSSD ID-oversattningsalgoritmen tar ett intervall av tillgangliga AID:er och delar upp det i lika stora komponentavsnitt - kallade "skivor" ("slices") -. Varje skiva representerar utrymmet som ar tillgangligt for en Active Directory-doman. Nar en anvandar- eller gruppost for en viss doman patraffas for forsta gangen allokerar SSSD en av de tillgangliga skivorna for den domanen. For att gora denna skivtilldelning upprepbar pa olika klientmaskiner valjer vi skivan baserat pa foljande algoritm: SID-strangen skickas genom algoritmen murmurhash3 for att konvertera den till ett 32-bitars hash-varde. Vi tar sedan modulo pa detta varde med det totala antalet tillgangliga skivor och valjer den skivan. OBSERVERA: Det ar mojligt att traffa pa kollisioner i hash:en och den pafoljande moduloberakningen. I dessa situationer kommer vi valja nasta tillgangliga skiva, men det ar kanske inte mojligt att reproducera exakt samma uppsattning av skivor pa andra maskiner (eftersom ordningen som de patraffas kommer avgora deras skiva). I den har situationen rekommenderas det att antingen byta till att anvanda explicita POSIX-attribut i Active Directory (avaktivera ID-mappningen) eller konfigurera en standarddoman for att garantera att atminstone en alltid ar konsistent. Se "Konfiguration" for detaljer. Konfiguration Minimikonfiguration (i avsnittet "[domain/DOMANNAMN]"): ldap_id_mapping = True ldap_schema = ad Standardkonfigurationen resulterar i konfiguration av 10 000 skivor, som var och en kan innehalla upp till 200 000 ID:n, med borjan pa 200 000 och upp till 2 000 200 000. Detta bor vara tillrackligt for de flesta installationer. Avancerad konfiguration ldap_idmap_range_min (heltal) Anger den lagre (inklusiva) gransen for intervallet av POSIX ID:n att anvanda for oversattning av anvandar- och grupp-SID:n fran Active Directory. Det ar det forsta POSIX-ID:t som kan anvandas for oversattning. OBSERVERA: Detta alternativ ar inte detsamma som "min_id" eftersom "min_id" fungerar som ett filter av utmatade begaranden till denna doman, medan detta alternativ styr intervallet av ID-tilldelningen. Detta ar en subtil distinktion, men det allmanna goda radet skulle vara att ha "min_id" mindre an eller lika med "ldap_idmap_range_min" Standard: 200000 ldap_idmap_range_max (heltal) Anger den ovre (exklusiva) gransen for intervallet av POSIX ID:n att anvanda for oversattning av anvandar- och grupp-SID:n fran Active Directory. Det ar det forsta POSIX-ID:t som inte kan anvandas for oversattning langre, d.v.s. ett mer an det sista som kan anvandas for oversattningen. OBSERVERA: Detta alternativ ar inte detsamma som "max_id" eftersom "max_id" fungerar som ett filter av utmatade begaranden till denna doman, medan detta alternativ styr intervallet av ID-tilldelningen. Detta ar en subtil distinktion, men det allmanna goda radet skulle vara att ha "max_id" storre an eller lika med "ldap_idmap_range_max" Standard: 2000200000 ldap_idmap_range_size (heltal) Anger antalet ID:n som ar tillgangliga for varje skiva. Om storleken pa intervallet inte delas jamnt mellan min- och maxvardena kommer den skapa sa manga fullstandiga skivor den kan. OBSERVERA: Vardet pa detta alternativ maste vara atminstone sa stort som den hogsta RID som planeras anvandas i Active Directory-servern. Anvandaruppslagningar och inloggningar kommer misslyckas for eventuella anvandare vars RID ar storre an detta varde. Till exempel, om den senaste tillagda Active Directory-anvandaren har objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, maste "ldap_idmap_range_size" vara atminstone 1108 eftersom intervallstorleken ar lika med maximal SID minus minimal SID plus ett (t.ex. 1108 = 1107 - 0 + 1). Det ar viktigt att planera i forvag for framtida expansioner, eftersom andring av detta varde skulle resultera i att andra alla ID-oversattningar pa systemet, vilket skulle leda till anvandare med andra lokala ID:n an de tidigare hade. Standard: 200000 ldap_idmap_default_domain_sid (strang) Ange doman-SID:n for standarddomanen. Detta kommer garantera att denna doman alltid kommer tilldelas till skiva noll i ID-oversattningen, och undviker murmurhash-algoritmen som beskrivs ovan. Standard: inte satt ldap_idmap_default_domain (strang) Ange namnet pa standarddomanen. Standard: inte satt ldap_idmap_autorid_compat (boolean) Andrar beteendet pa ID-oversattningsalgoritmen till att bete sig mer likt winbind:s "idmap_autorid"-algoritm. When this option is configured, domains will be allocated starting with slice zero and increasing monotonically with each additional domain. OBSERVERA: Denna algoritm ar inte deterministisk (den beror pa ordningen som anvandare och grupper efterfragas). Om detta lage kravs for kompatibilitet med maskiner som kor winbind rekommenderas det att aven anvanda alternativet "ldap_idmap_default_domain_sid" for att garantera att atminstone en doman ar konsekvent allokerat till skiva noll. Standard: False ldap_idmap_helper_table_size (heltal) Maximalt antal sekundara skivor som provas nar mappningen fran UNIX id till SID utfors. Observera: ytterligare sekundara skivor kan genereras nar en SID oversatts till UNIX-id och RID-delen av SID:n ar utanfor intervallet for sekundara skivor som genererats hittills. Om vardet pa ldap_idmap_helper_table_size ar lika med 0 genereras inga ytterligare sekundara skivor. Standard: 10 Valkanda SID:er SSSD stodjer uppslagning av namnen pa valkanda SID:er, d.v.s. SID:er med en speciell hardkodad betydelse. Eftersom de allmanna anvandarna och grupperna relaterade till dessa valkanda SID:er inte har nagon motsvarighet i en Linux-/UNIX-miljo ar inga POSIX-ID:n tillgangliga for dessa objekt. SID-namnrymden ar organiserad i auktoriteter som kan ses som olika domaner. Auktoriteterna for valkanda SID:er ar o Null-auktoritet o Varldsauktoritet o Lokal auktoritet o Skaparauktoritet o Tvingande etikettsauktoritet o Autentiseringsauktoritet o NT-auktoritet o Inbyggd Den versala versionen av dessa namn anvands som domannamn nar det fullstandigt kvalificerade namnet pa en valkand SID returneras. Eftersom nagra verktyg tillater att man andrar SID-baserad atkomststyrningsinformation med hjalp av ett namn istallet for att anvanda SID:en direkt stodjer SSSD uppslagning av SID:en med detta namn ocksa. For att undvika kollisioner kan bara de fullstandigt kvalificerade namnen anvandas for att sla upp valkanda SID:er. Som ett resultat skall domannamnen "NULL AUTHORITY", "WORLD AUTHORITY", "LOCAL AUTHORITY", "CREATOR AUTHORITY", "MANDATORY LABEL AUTHORITY", "AUTHENTICATION AUTHORITY", "NT AUTHORITY" och "BUILTIN" inte anvandas som domannamn i sssd.conf. EXEMPEL Foljande exempel antar att SSSD ar korrekt konfigurerat och att example.com ar en av domanerna i avsnittet [sssd]. Detta exempel visar endast alternativ som ar specifika for leverantoren AD. [domain/EXEMPEL] id_provider = ad auth_provider = ad access_provider = ad chpass_provider = ad ad_server = dc1.example.com ad_hostname = client.example.com ad_domain = example.com NOTER Leverantoren AD av atkomstkontroll kontrollerar om kontot har gatt ut. Det har samma effekt som foljande konfiguration av LDAP-leverantoren: access_provider = ldap ldap_access_order = expire ldap_account_expire_policy = ad Dock, om inte atkomstleverantoren "ad" ar konfigurerad explicit ar standardatkomstleverantoren "permit". Observera att om man konfigurerar en annan atkomstleverantor an "ad" behover man satta alla anslutningsparametrarna (sasom LDAP URI:er och krypteringsdetaljer) manuellt. Nar autofs-leverantoren ar satt till "ad" anvands oversattningen av schemaattribut enligt RFC2307 (nisMap, nisObject, ...), for att dessa attribut inkluderas i standardschemat for Active Directory. SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ NOTES 1. Active Directory security grouips https://docs.microsoft.com/en-us/windows-server/identity/ad- ds/manage/understand-security-groups 2. [MS-ADTS] avsnittet LDAP-utokningar https://msdn.microsoft.com/en-us/library/cc223367.aspx SSSD 05/17/2024 SSSD-AD(5)