SSSD-IPA(5) Formatos de archivo y convenci SSSD-IPA(5)

sssd-ipa - Proveedor SSSD IPA

Este página de manual describe la configuración del proveedor IPA para sssd(8). Para una referencia de sintaxis detalladas, vea la sección “FILE FORMAT” de la página de manual sssd.conf(5).

El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea el sitio web freeipa.org para información sobre los servidores IPA). Este proveedor requiere que la máquina este unido al dominio IPA; la configuración es casi enteramente auto descubierta y obtenida directamente del servidor.

El proveedor IPA habilita a SSSD para usar el proveedor de identidad sssd-ldap(5) y el proveedor de autenticación sssd-krb5(5) con optimizaciones para entornos IPA. El proveedor IPA acepta las mismas opciones que las usadas por los proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones.

El proveedor IPA copia primariamente las opciones por defecto tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias están listadas en la sección “OPCIONES PREDETERMINADAS MODIFICADAS”.

As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.

Si “auth_provider=ipa” o “access_provider=ipa” está configurado en sssd.conf id_provider se debe establecer también a “ipa”.

El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los usuario de reinos confiables contienen un PAC. Para hacer la configuración más fácil el respondedor PAC es iniciado automáticamente si la ID del proveedor IPA está configurada.

Vea la sección “DOMAIN SECTIONS” de la página de manual sssd.conf(5) para detalles sobre la configuración de un dominio SSSD.

ipa_domain (cadena)

Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra, se usa el nombre de configuración del dominio.

ipa_server, ipa_backup_server (cadena)

La lista separada por comas de direcciones IP o nombres de host de los servidores IPA a los que SSSD se conectaría en orden de preferencia. Para más información sobre conmutación en error y redundancia de servidores, vea la sección “FAILOVER”. Esto es opcional si autodiscovery está habilitado. Para más información sobre el servicio descubridor, vea la sección “SERVICE DISCOVERY”.

ipa_hostname (cadena)

Opcional. Se puede establecer sobre máquinas donde el hostname(5) no refleje el nombre totalmente cualificado usado en el dominio IPA para identificar este host. El nombre de host debe ser totalmente cualificado.

dyndns_update (booleano)

Opcional. Esta opción le dice a SSSD que actualice automáticamente el servidor DNS incorporado a FreeIPA con la dirección IP de este cliente. La actualización está asegurada utilizando GSS-TSIG. La dirección IP de la conexión IPA LDAP se usa para las actualizaciones, si no se especifica de otra manera utilizando la opción “dyndns_iface”.

NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser fijado apropiadamente en /etc/krb5.conf

AVISO: Aunque todas es posible usar la vieja opción ipa_dyndns_update, los usuarios deberían migrar para usar dyndns_update en su fichero de configuración.

Predeterminado: false

dyndns_ttl (entero)

El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si dyndns_update está a false esto no tiene efecto. Esto anula el TTL del lado servidor si se establece por un administrador.

AVISO: Aunque todavía es posible usar la antigua opción ipa_dyndns_ttl, los usuarios deberían migrar usando dyndns_ttl en su fichero de configuración.

Por defecto: 1200 (segundos)

dyndns_iface (cadena)

Opcional. Aplicable solo cuando dyndns_update está a true. Elija la interfaz o la lista de interfaces cuyas direcciones IP serían usadas para las actualizaciones DNS dinámicas. El valor especial “*” implica que las IPs de todas las interfaces serían las usadas.

AVISO: Aunque todavía es posible usar la vieja opción ipa_dyndns_iface, los usuarios deberían migrar usando dyndns_iface en su fichero de configuración.

Predeterminado: Usa las direcciones IP de la interfaz que es usada para la conexión IPA LDAP

Ejemplo: dyndns_iface = em1, vnet1, vnet2

dyndns_auth (cadena)

Si la utilidad nsupdate debe usar la autenticación GSS-TSIG para actualizaciones seguras con el servidor DNS, las actualizaciones inseguras se pueden enviar fijando esta opción a 'none'.

Predeterminado: GSS-TSIG

dyndns_auth_ptr (string)

Whether the nsupdate utility should use GSS-TSIG authentication for secure PTR updates with the DNS server, insecure updates can be sent by setting this option to 'none'.

Default: Same as dyndns_auth

ipa_enable_dns_sites (booleano)

Habilita sitios DNS - descubrimiento de servicio basado en la ubicación.

Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del Servicio en la parte inferior de la página de manual) está habilitado, SSSD primero intentará la localización basada en el descubrimiento usando una consulta que contenga "_location.hostname.example.com" y después irá al descubrimiento tradicional SRV. Si la localización basada en el descubrimiento tiene éxito, los servidores IPA localizados con la localización basada en el descubrimiento son tratados como servidores primarios y los servidores IPA localizados usando el descubrimiento tradicional SRV son usados como servidores de respaldo

Predeterminado: false

dyndns_refresh_interval (entero)

Con qué frecuencia el back-end debe realizar una actualización periódica de DNS además de la actualización automática que se realiza cuando el back-end se conecta. Esto es una posibilidad opcional y aplicable solo cuando dyndns_update está a true.

Predeterminado: 0 (deshabilitado)

dyndns_update_ptr (booleano)

Si el registro PTR debería ser explícitamente actualizado cuando se actualizan los registros DNS del cliente. Aplicable solo cuando dyndns_update está a true.

Esta opción debería estar a False en la mayoría de los despliegues IPA puesto que el servidor IPA genera los registros PTR automáticamente cuando se cambian los registros que envía.

Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.

Predeterminado: False (deshabilitado)

dyndns_force_tcp (booleano)

Si la utilidad nsupdate debería usar de manera predeterminada TCP cuando se comunica con el servidor DNS.

Predeterminado: False (permitir a nsupdate elegir el protocolol)

dyndns_server (cadena)

El servidor DNA a usar cuando se lleva a cabo una actualización DNS update. En la mayoría de las configuraciones se recomienda dejar esta opción sin establecer.

El establecimiento de esta opción tiene sentido en entornos donde el servidor DNS es distinto del servidor de identidad.

Tenga en cuenta que esta opción solo se usará en un intento de recuperación cuando el intento anterior de usar la configuración autodetectada falló.

Predeterminado: None (permitir a nsupdate elegir el servidor)

dyndns_update_per_family (booleano)

La actualización DNS es llevada a cabo de manera predeterminada en dos pasos - actualización IPv4 y después actualización IPv6. En algunos casos puede ser deseable llevar a cabo la actualización IPv4 e IPv6 en un único paso.

Predeterminado: true

ipa_access_order (string)

Lista separada por coma de opciones de control de acceso. Los valores permitidos son:

expire: use IPA's account expiration policy.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH.

The difference between these options is the action taken if user password is expired:

•pwd_expire_policy_reject - user is denied to log in,
•pwd_expire_policy_warn - user is still able to log in,
•pwd_expire_policy_renew - user is prompted to change their password immediately.

Please note that 'access_provider = ipa' must be set for this feature to work.

ipa_deskprofile_search_base (cadena)

Opcional. Usa la cadena dada como base de búsqueda de los objetos relacionados con Desktop Profile.

Predeterminado: Utilizar DN base

ipa_hbac_search_base (cadena)

Opcional. Usa la cadena dada como base de búsqueda para los objetos HBAC relacionados.

Predeterminado: Utilizar DN base

ipa_host_search_base (cadena)

Obsoleto. Usa en su lugar ldap_host_search_base.

ipa_selinux_search_base (cadena)Opcional.

Opcional. Usa la cadena dada como base de búsqueda para los mapas de usuario SELinux.

Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.

Predeterminado: el valor de ldap_search_base

ipa_subdomains_search_base (cadena)

Opcional: Usa la cadena dada como base de búsqueda de dominios de confianza.

Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.

Por defecto: el valor de cn=trusts,%basedn

ipa_master_domain_search_base (cadena)

Opcional: Usa la cadena dada como base de búsqueda para el objeto maestro de dominio.

Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.

Por defecto: el valor de cn=ad,cn=etc,%basedn

ipa_views_search_base (cadena)

Opcional. Usa la cadena dada como base de búsqueda de contenedores de vista.

Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.

Predeterminado: el valor de cn=views,cn=accounts,%basedn

krb5_realm (cadena)

El nombre del reino Kerberos. Esto es opcional y por defecto está al valor de “ipa_domain”.

El nombre del reino Kerberos tiene un significado especial en IPA – es convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP.

krb5_confd_path (cadena)

Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de configuración de Kerberos.

Para deshabilitar la creación de fragmentos de configuración establezca el parámetro a 'none'.

Predeterminado: no establecido (krb5.include.d subdirectorio del directorio pubconf de SSSD)

ipa_deskprofile_refresh (entero)

La cantidad de tiempo entre búsquedas de reglas Desktop Profile contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas solicitudes de perfiles de escritorio en un período corto.

Predeterminado: 5 (segundos)

ipa_deskprofile_request_interval (entero)

La cantidad de tiempo entre búsquedas de las reglas Desktop Profile contra el servidor IPA en el caso de que la última petición no devolvió ninguna regla.

Predeterminado: 60 (minutos)

ipa_hbac_refresh (entero)

La cantidad de tiempo entre vbúsquedas de las reglas HBAC contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de control de acceso hechas en un corto período.

Predeterminado: 5 (segundos)

ipa_hbac_selinux (entero)

La cantidad de tiempo entre búsquedas de los mapas SELinux contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de acceso de usuario hechas en un corto período.

Predeterminado: 5 (segundos)

ipa_server_mode (booleano)

Esta opción será establecida por el instalador IPA (ipa-server-install) automáticamente y denota si SSSD está corriendo sobre un servidor IPA o no.

Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de confianza directamente mientras que sobre un cliente preguntará a un servidor IPA.

NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD se ejecuta en un servidor IPA.

•La opcion “ipa_server” debe configurarse para que apunte al servidor IPA mismo. Esto está establecido de manera predeterminada por el instalador IPA de modo que no se necesitan cambios manuales.
•La opción “full_name_format” no debe modificarse para imprimir solo nombres cortos de los usuarios de los dominios de confianza.

Predeterminado: false

ipa_automount_location (cadena)

La localización del automontador de este cliente IPA que será usada

Por defecto: La localización llamada “default”

Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.

SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y versiones posteriores. Como todas las rutas y objectclasses son fijadas en el lado servidor no se necesita configurar nada. Para completar, las opciones relacionadas son listadas aquí con sus valores predeterminados.

ipa_view_class (cadena)

Objectclass del contenedorde vistas.

Predeterminado: nsContainer

ipa_view_name (cadena)

Nombre del atributo que contiene el nombre de la vista.

Predeterminado: cn

ipa_override_object_class (cadena)

Objectclass de los objetos anulados.

Predeterminado: ipaOverrideAnchor

ipa_anchor_uuid (cadena)

Nombre del atributo que contiene la referencia al objeto original en un dominio remoto.

Predeterminado: ipaAnchorUUID

ipa_user_override_object_class (cadena)

Nombre de los objectclass para los usuarios anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo.

Las anulaciones de usuario pueden contener atributos dados por

•ldap_user_name
•ldap_user_uid_number
•ldap_user_gid_number
•ldap_user_gecos
•ldap_user_home_directory
•ldap_user_shell
•ldap_user_ssh_public_key

Predeterminado: ipaUserOverride

ipa_group_override_object_class (cadena)

Nombre del objectclass para grupos anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo.

Las anulaciones de grupo pueden contener atributos dados por

•ldap_group_name
•ldap_group_gid_number

Predeterminado: ipaGroupOverride

Certain option defaults do not match their respective backend provider defaults, these option names and IPA provider-specific defaults are listed below:

•krb5_validate = true
•krb5_use_fast = try
•krb5_canonicalize = true

LDAP Provider - General

•ldap_schema = ipa_v1
•ldap_force_upper_case_realm = true
•ldap_sasl_mech = GSSAPI
•ldap_sasl_minssf = 56
•ldap_account_expire_policy = ipa
•ldap_use_tokengroups = true

LDAP Provider - User options

•ldap_user_member_of = memberOf
•ldap_user_uuid = ipaUniqueID
•ldap_user_ssh_public_key = ipaSshPubKey
•ldap_user_auth_type = ipaUserAuthType

LDAP Provider - Group options

•ldap_group_object_class = ipaUserGroup
•ldap_group_object_class_alt = posixGroup
•ldap_group_member = member
•ldap_group_uuid = ipaUniqueID
•ldap_group_objectsid = ipaNTSecurityIdentifier
•ldap_group_external_member = ipaExternalMember

El proveedor de subdominios IPA se comporta de forma ligeramente diferente si está configurado explícitamente o implícitamente.

Si la opción ' subdomains_provider = ipa' se encuentra en la sección de dominio de sssd.conf, el proveedor de subdominios de IPA se configura explícitamente, y todas las peticiones de subdominio se envían al servidor de IPA si es necesario.

Si la opción 'subdomains_provider' no está establecida en la sección dominio de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de subdominios IPA está configurado implícitamente. En este caso, si una petición de subdominio falla e indica que el servidor no soporta subdominios, i.e. no está configurado para confianza, el proveedor de subdominios IPA está deshabilitado. Después de una hora o después de que el proveedor IPA esté en línea, el proveedor de subdominios está habilitado otra vez.

Some configuration options can also be set for a trusted domain. A trusted domain configuration can be set using the trusted domain subsection as shown in the example below. Alternatively, the “subdomain_inherit” option can be used in the parent domain.

[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com

For more details, see the sssd.conf(5) manual page.

Se pueden ajustar diferentes opciones de configuración para un dominio de confianza dependiendo de si usted está configurando SSSD sobre un servidor IPA o un cliente IPA.

Se pueden establecer las siguientes opciones en una sección subdominio sobre un IPA maestro:

•ad_server
•ad_backup_server
•ad_site
•ldap_search_base
•ldap_user_search_base
•ldap_group_search_base
•use_fully_qualified_names

Las siguientes opciones pueden ser establecidas en una sección subdominio sobre un cliente IPA:

•ad_server
•ad_site

Advierta que si ambas opciones están establecidas solo se evalúa “ad_server”.

Puesto que cualquier petición para una identidad de usuario o de grupo de un dominio de confianza disparada desde un cliente IPA se resuelve por el servidor IPA, las opciones “ad_server” y “ad_site” solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las direcciones resueltas desde estas listas serán escritas a ficheros “kdcinfo” leídos por el complemento localizador Kerberos. Por favor vea la página de manual sssd_krb5_locator_plugin(8) para mas detalles sobre el complemento localizador Kerberos.

La función conmutación en error permite a los finales conmutar automáticamente a un servidor diferente si el servidor actual falla.

La lista de servidores se da como una lista separada por comas; se permite cualquier número de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier número de servidores.

For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server.

El mecanismo de conmutación por error distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.

Los intentos de conexión adicionales son hechos a máquinas o servicios marcaros como fuera de línea después de un período de tiempo especificado; esto está codificado a fuego actualmente en 30 segundos.

Si no hay más máquinas para intentarlo, el punto final al completo conmutará al modo fuera de línea y después intentará reconectar cada 30 segundo.

Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.

This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.

dns_resolver_server_timeout

Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one.

Predeterminado: 1000

dns_resolver_op_timeout

Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain.

Predeterminado: 3

dns_resolver_timeout

How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site.

Predeterminado: 6

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout” which should be larger than “dns_resolver_server_timeout”.

La función servicio descubridor permite a los puntos finales encontrar automáticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta función no está soportada por los servidores de respaldo.

Si no se especifican servidores, el punto final usar automáticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, “_srv_”, en la lista de servidores. El orden de preferencia se mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor específico cuando no se pueden descubrir servidores usando DNS.

Por favor vea el parámetro “dns_discovery_domain” en la página de manual sssd.conf(5) para más detalles.

Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripción de la opción respectiva.

Para más información sobre el mecanismo del servicio descubridor, vea el RFC 2782.

El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección [sssd]. Este ejemplo muestra sólo las opciones específicas del proveedor ipa.

[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

The SSSD upstream - https://github.com/SSSD/sssd/

04/02/2024 SSSD