SSSD-IPA(5) Formatos de archivo y convenci SSSD-IPA(5) NAME sssd-ipa - Proveedor SSSD IPA DESCRIPCION Este pagina de manual describe la configuracion del proveedor IPA para sssd(8). Para una referencia de sintaxis detalladas, vea la seccion "FILE FORMAT" de la pagina de manual sssd.conf(5). El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea el sitio web freeipa.org para informacion sobre los servidores IPA). Este proveedor requiere que la maquina este unido al dominio IPA; la configuracion es casi enteramente auto descubierta y obtenida directamente del servidor. El proveedor IPA habilita a SSSD para usar el proveedor de identidad sssd-ldap(5) y el proveedor de autenticacion sssd-krb5(5) con optimizaciones para entornos IPA. El proveedor IPA acepta las mismas opciones que las usadas por los proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones. El proveedor IPA copia primariamente las opciones por defecto tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias estan listadas en la seccion "OPCIONES PREDETERMINADAS MODIFICADAS". As an access provider, the IPA provider has a minimal configuration (see "ipa_access_order") as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC. Si "auth_provider=ipa" o "access_provider=ipa" esta configurado en sssd.conf id_provider se debe establecer tambien a "ipa". El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los usuario de reinos confiables contienen un PAC. Para hacer la configuracion mas facil el respondedor PAC es iniciado automaticamente si la ID del proveedor IPA esta configurada. OPCIONES DE CONFIGURACION Vea la seccion "DOMAIN SECTIONS" de la pagina de manual sssd.conf(5) para detalles sobre la configuracion de un dominio SSSD. ipa_domain (cadena) Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra, se usa el nombre de configuracion del dominio. ipa_server, ipa_backup_server (cadena) La lista separada por comas de direcciones IP o nombres de host de los servidores IPA a los que SSSD se conectaria en orden de preferencia. Para mas informacion sobre conmutacion en error y redundancia de servidores, vea la seccion "FAILOVER". Esto es opcional si autodiscovery esta habilitado. Para mas informacion sobre el servicio descubridor, vea la seccion "SERVICE DISCOVERY". ipa_hostname (cadena) Opcional. Se puede establecer sobre maquinas donde el hostname(5) no refleje el nombre totalmente cualificado usado en el dominio IPA para identificar este host. El nombre de host debe ser totalmente cualificado. dyndns_update (booleano) Opcional. Esta opcion le dice a SSSD que actualice automaticamente el servidor DNS incorporado a FreeIPA con la direccion IP de este cliente. La actualizacion esta asegurada utilizando GSS-TSIG. La direccion IP de la conexion IPA LDAP se usa para las actualizaciones, si no se especifica de otra manera utilizando la opcion "dyndns_iface". NOTA: Sobre sistemas mas antiguos (como RHEL 5), para que este comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser fijado apropiadamente en /etc/krb5.conf AVISO: Aunque todas es posible usar la vieja opcion ipa_dyndns_update, los usuarios deberian migrar para usar dyndns_update en su fichero de configuracion. Predeterminado: false dyndns_ttl (entero) El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si dyndns_update esta a false esto no tiene efecto. Esto anula el TTL del lado servidor si se establece por un administrador. AVISO: Aunque todavia es posible usar la antigua opcion ipa_dyndns_ttl, los usuarios deberian migrar usando dyndns_ttl en su fichero de configuracion. Por defecto: 1200 (segundos) dyndns_iface (cadena) Opcional. Aplicable solo cuando dyndns_update esta a true. Elija la interfaz o la lista de interfaces cuyas direcciones IP serian usadas para las actualizaciones DNS dinamicas. El valor especial "*" implica que las IPs de todas las interfaces serian las usadas. AVISO: Aunque todavia es posible usar la vieja opcion ipa_dyndns_iface, los usuarios deberian migrar usando dyndns_iface en su fichero de configuracion. Predeterminado: Usa las direcciones IP de la interfaz que es usada para la conexion IPA LDAP Ejemplo: dyndns_iface = em1, vnet1, vnet2 dyndns_auth (cadena) Si la utilidad nsupdate debe usar la autenticacion GSS-TSIG para actualizaciones seguras con el servidor DNS, las actualizaciones inseguras se pueden enviar fijando esta opcion a 'none'. Predeterminado: GSS-TSIG dyndns_auth_ptr (string) Whether the nsupdate utility should use GSS-TSIG authentication for secure PTR updates with the DNS server, insecure updates can be sent by setting this option to 'none'. Default: Same as dyndns_auth ipa_enable_dns_sites (booleano) Habilita sitios DNS - descubrimiento de servicio basado en la ubicacion. Si es ciertp y descubrimiento de servicio (vea el parrafo Descubrimiento del Servicio en la parte inferior de la pagina de manual) esta habilitado, SSSD primero intentara la localizacion basada en el descubrimiento usando una consulta que contenga "_location.hostname.example.com" y despues ira al descubrimiento tradicional SRV. Si la localizacion basada en el descubrimiento tiene exito, los servidores IPA localizados con la localizacion basada en el descubrimiento son tratados como servidores primarios y los servidores IPA localizados usando el descubrimiento tradicional SRV son usados como servidores de respaldo Predeterminado: false dyndns_refresh_interval (entero) Con que frecuencia el back-end debe realizar una actualizacion periodica de DNS ademas de la actualizacion automatica que se realiza cuando el back-end se conecta. Esto es una posibilidad opcional y aplicable solo cuando dyndns_update esta a true. Predeterminado: 0 (deshabilitado) dyndns_update_ptr (booleano) Si el registro PTR deberia ser explicitamente actualizado cuando se actualizan los registros DNS del cliente. Aplicable solo cuando dyndns_update esta a true. Esta opcion deberia estar a False en la mayoria de los despliegues IPA puesto que el servidor IPA genera los registros PTR automaticamente cuando se cambian los registros que envia. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. Predeterminado: False (deshabilitado) dyndns_force_tcp (booleano) Si la utilidad nsupdate deberia usar de manera predeterminada TCP cuando se comunica con el servidor DNS. Predeterminado: False (permitir a nsupdate elegir el protocolol) dyndns_server (cadena) El servidor DNA a usar cuando se lleva a cabo una actualizacion DNS update. En la mayoria de las configuraciones se recomienda dejar esta opcion sin establecer. El establecimiento de esta opcion tiene sentido en entornos donde el servidor DNS es distinto del servidor de identidad. Tenga en cuenta que esta opcion solo se usara en un intento de recuperacion cuando el intento anterior de usar la configuracion autodetectada fallo. Predeterminado: None (permitir a nsupdate elegir el servidor) dyndns_update_per_family (booleano) La actualizacion DNS es llevada a cabo de manera predeterminada en dos pasos - actualizacion IPv4 y despues actualizacion IPv6. En algunos casos puede ser deseable llevar a cabo la actualizacion IPv4 e IPv6 en un unico paso. Predeterminado: true ipa_access_order (string) Lista separada por coma de opciones de control de acceso. Los valores permitidos son: expire: use IPA's account expiration policy. pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son utiles si los usuarios estan interesados en que se les avise de que la contrasena esta proxima a expirar y la autenticacion esta basada en la utilizacion de un metodo distinto a las contrasenas - por ejemplo claves SSH. The difference between these options is the action taken if user password is expired: o pwd_expire_policy_reject - user is denied to log in, o pwd_expire_policy_warn - user is still able to log in, o pwd_expire_policy_renew - user is prompted to change their password immediately. Please note that 'access_provider = ipa' must be set for this feature to work. ipa_deskprofile_search_base (cadena) Opcional. Usa la cadena dada como base de busqueda de los objetos relacionados con Desktop Profile. Predeterminado: Utilizar DN base ipa_hbac_search_base (cadena) Opcional. Usa la cadena dada como base de busqueda para los objetos HBAC relacionados. Predeterminado: Utilizar DN base ipa_host_search_base (cadena) Obsoleto. Usa en su lugar ldap_host_search_base. ipa_selinux_search_base (cadena)Opcional. Opcional. Usa la cadena dada como base de busqueda para los mapas de usuario SELinux. Vea "ldap_search_base" para informacion sobre la configuracion de multiples bases de busqueda. Predeterminado: el valor de ldap_search_base ipa_subdomains_search_base (cadena) Opcional: Usa la cadena dada como base de busqueda de dominios de confianza. Vea "ldap_search_base" para informacion sobre la configuracion de multiples bases de busqueda. Por defecto: el valor de cn=trusts,%basedn ipa_master_domain_search_base (cadena) Opcional: Usa la cadena dada como base de busqueda para el objeto maestro de dominio. Vea "ldap_search_base" para informacion sobre la configuracion de multiples bases de busqueda. Por defecto: el valor de cn=ad,cn=etc,%basedn ipa_views_search_base (cadena) Opcional. Usa la cadena dada como base de busqueda de contenedores de vista. Vea "ldap_search_base" para informacion sobre la configuracion de multiples bases de busqueda. Predeterminado: el valor de cn=views,cn=accounts,%basedn krb5_realm (cadena) El nombre del reino Kerberos. Esto es opcional y por defecto esta al valor de "ipa_domain". El nombre del reino Kerberos tiene un significado especial en IPA - es convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP. krb5_confd_path (cadena) Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de configuracion de Kerberos. Para deshabilitar la creacion de fragmentos de configuracion establezca el parametro a 'none'. Predeterminado: no establecido (krb5.include.d subdirectorio del directorio pubconf de SSSD) ipa_deskprofile_refresh (entero) La cantidad de tiempo entre busquedas de reglas Desktop Profile contra el servidor IPA. Esto reducira la latencia y la carga sobre el servidor IPA si hay muchas solicitudes de perfiles de escritorio en un periodo corto. Predeterminado: 5 (segundos) ipa_deskprofile_request_interval (entero) La cantidad de tiempo entre busquedas de las reglas Desktop Profile contra el servidor IPA en el caso de que la ultima peticion no devolvio ninguna regla. Predeterminado: 60 (minutos) ipa_hbac_refresh (entero) La cantidad de tiempo entre vbusquedas de las reglas HBAC contra el servidor IPA. Esto reducira la latencia y la carga sobre el servidor IPA si hay muchas peticiones de control de acceso hechas en un corto periodo. Predeterminado: 5 (segundos) ipa_hbac_selinux (entero) La cantidad de tiempo entre busquedas de los mapas SELinux contra el servidor IPA. Esto reducira la latencia y la carga sobre el servidor IPA si hay muchas peticiones de acceso de usuario hechas en un corto periodo. Predeterminado: 5 (segundos) ipa_server_mode (booleano) Esta opcion sera establecida por el instalador IPA (ipa-server-install) automaticamente y denota si SSSD esta corriendo sobre un servidor IPA o no. Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de confianza directamente mientras que sobre un cliente preguntara a un servidor IPA. NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD se ejecuta en un servidor IPA. o La opcion "ipa_server" debe configurarse para que apunte al servidor IPA mismo. Esto esta establecido de manera predeterminada por el instalador IPA de modo que no se necesitan cambios manuales. o La opcion "full_name_format" no debe modificarse para imprimir solo nombres cortos de los usuarios de los dominios de confianza. Predeterminado: false ipa_automount_location (cadena) La localizacion del automontador de este cliente IPA que sera usada Por defecto: La localizacion llamada "default" Por favor advierta que el automontador solo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente tambien necesitara reiniciar el demonio automontador despues de reiniciar el SSSD. VISTAS Y ANULACIONES SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y versiones posteriores. Como todas las rutas y objectclasses son fijadas en el lado servidor no se necesita configurar nada. Para completar, las opciones relacionadas son listadas aqui con sus valores predeterminados. ipa_view_class (cadena) Objectclass del contenedorde vistas. Predeterminado: nsContainer ipa_view_name (cadena) Nombre del atributo que contiene el nombre de la vista. Predeterminado: cn ipa_override_object_class (cadena) Objectclass de los objetos anulados. Predeterminado: ipaOverrideAnchor ipa_anchor_uuid (cadena) Nombre del atributo que contiene la referencia al objeto original en un dominio remoto. Predeterminado: ipaAnchorUUID ipa_user_override_object_class (cadena) Nombre de los objectclass para los usuarios anulados. Se usa para determinar si el objeto anulado encontrado esta relacionado con un usuario o un grupo. Las anulaciones de usuario pueden contener atributos dados por o ldap_user_name o ldap_user_uid_number o ldap_user_gid_number o ldap_user_gecos o ldap_user_home_directory o ldap_user_shell o ldap_user_ssh_public_key Predeterminado: ipaUserOverride ipa_group_override_object_class (cadena) Nombre del objectclass para grupos anulados. Se usa para determinar si el objeto anulado encontrado esta relacionado con un usuario o un grupo. Las anulaciones de grupo pueden contener atributos dados por o ldap_group_name o ldap_group_gid_number Predeterminado: ipaGroupOverride MODIFIED DEFAULT OPTIONS Certain option defaults do not match their respective backend provider defaults, these option names and IPA provider-specific defaults are listed below: KRB5 Provider o krb5_validate = true o krb5_use_fast = try o krb5_canonicalize = true LDAP Provider - General o ldap_schema = ipa_v1 o ldap_force_upper_case_realm = true o ldap_sasl_mech = GSSAPI o ldap_sasl_minssf = 56 o ldap_account_expire_policy = ipa o ldap_use_tokengroups = true LDAP Provider - User options o ldap_user_member_of = memberOf o ldap_user_uuid = ipaUniqueID o ldap_user_ssh_public_key = ipaSshPubKey o ldap_user_auth_type = ipaUserAuthType LDAP Provider - Group options o ldap_group_object_class = ipaUserGroup o ldap_group_object_class_alt = posixGroup o ldap_group_member = member o ldap_group_uuid = ipaUniqueID o ldap_group_objectsid = ipaNTSecurityIdentifier o ldap_group_external_member = ipaExternalMember PROVEEDOR DE SUBDOMINIOS El proveedor de subdominios IPA se comporta de forma ligeramente diferente si esta configurado explicitamente o implicitamente. Si la opcion ' subdomains_provider = ipa' se encuentra en la seccion de dominio de sssd.conf, el proveedor de subdominios de IPA se configura explicitamente, y todas las peticiones de subdominio se envian al servidor de IPA si es necesario. Si la opcion 'subdomains_provider' no esta establecida en la seccion dominio de sssd.conf pero hay la opcion 'id_provider = ipa', el proveedor de subdominios IPA esta configurado implicitamente. En este caso, si una peticion de subdominio falla e indica que el servidor no soporta subdominios, i.e. no esta configurado para confianza, el proveedor de subdominios IPA esta deshabilitado. Despues de una hora o despues de que el proveedor IPA este en linea, el proveedor de subdominios esta habilitado otra vez. CONFIGURACION DE DOMINIOS DE CONFIANZA Some configuration options can also be set for a trusted domain. A trusted domain configuration can be set using the trusted domain subsection as shown in the example below. Alternatively, the "subdomain_inherit" option can be used in the parent domain. [domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com For more details, see the sssd.conf(5) manual page. Se pueden ajustar diferentes opciones de configuracion para un dominio de confianza dependiendo de si usted esta configurando SSSD sobre un servidor IPA o un cliente IPA. OPCIONES AJUSTABLES EN IPA MAESTROS Se pueden establecer las siguientes opciones en una seccion subdominio sobre un IPA maestro: o ad_server o ad_backup_server o ad_site o ldap_search_base o ldap_user_search_base o ldap_group_search_base o use_fully_qualified_names OPCIONES AJUSTABLES SOBRE CLIENTES IPA Las siguientes opciones pueden ser establecidas en una seccion subdominio sobre un cliente IPA: o ad_server o ad_site Advierta que si ambas opciones estan establecidas solo se evalua "ad_server". Puesto que cualquier peticion para una identidad de usuario o de grupo de un dominio de confianza disparada desde un cliente IPA se resuelve por el servidor IPA, las opciones "ad_server" y "ad_site" solo afectan a que AD DC llevara a cabo la autenticacion. En concreto, las direcciones resueltas desde estas listas seran escritas a ficheros "kdcinfo" leidos por el complemento localizador Kerberos. Por favor vea la pagina de manual sssd_krb5_locator_plugin(8) para mas detalles sobre el complemento localizador Kerberos. CONMUTACION POR ERROR La funcion conmutacion en error permite a los finales conmutar automaticamente a un servidor diferente si el servidor actual falla. Sintaxis de conmutacion por error La lista de servidores se da como una lista separada por comas; se permite cualquier numero de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier numero de servidores. For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server. El mecanismo de conmutacion por errorEl mecanismo de failover distingue entre una maquina y un servicio. El punto final intenta primero resolver el nombre de host de una maquina dada; si el intento de resolucion falla, la maquina es considerada fuera de linea. No se haran mas intentos de conexion con esta maquina para ningun otro servicio. Si el intento de resolucion tiene exito, el punto final intenta conectar a un servicio en esa maquina. Si el intento de conexion al servicio falla, entonces solo se considera fuera de linea este servicio concreto y el punto final conmutara automaticamente sobre el siguientes servicio. La maquina se considera que sigue en linea y se puede intentar el acceso a otros servicios. El mecanismo de conmutacion por error distingue entre una maquina y un servicio. El punto final intenta primero resolver el nombre de host de una maquina dada; si el intento de resolucion falla, la maquina es considerada fuera de linea. No se haran mas intentos de conexion con esta maquina para ningun otro servicio. Si el intento de resolucion tiene exito, el punto final intenta conectar a un servicio en esa maquina. Si el intento de conexion al servicio falla, entonces solo se considera fuera de linea este servicio concreto y el punto final conmutara automaticamente sobre el siguientes servicio. La maquina se considera que sigue en linea y se puede intentar el acceso a otros servicios. Los intentos de conexion adicionales son hechos a maquinas o servicios marcaros como fuera de linea despues de un periodo de tiempo especificado; esto esta codificado a fuego actualmente en 30 segundos. Si no hay mas maquinas para intentarlo, el punto final al completo conmutara al modo fuera de linea y despues intentara reconectar cada 30 segundo. Failover time outs and tuning Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs. This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page. dns_resolver_server_timeout Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one. Predeterminado: 1000 dns_resolver_op_timeout Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain. Predeterminado: 3 dns_resolver_timeout How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site. Predeterminado: 6 For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the "ldap_opt_timeout" timeout should be set to a larger value than "dns_resolver_timeout" which in turn should be set to a larger value than "dns_resolver_op_timeout" which should be larger than "dns_resolver_server_timeout". SERVICIO DE DESCUBRIMIENTO La funcion servicio descubridor permite a los puntos finales encontrar automaticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta funcion no esta soportada por los servidores de respaldo. Configuracion Si no se especifican servidores, el punto final usar automaticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, "_srv_", en la lista de servidores. El orden de preferencia se mantiene. Esta funcion es util si, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor especifico cuando no se pueden descubrir servidores usando DNS. El nombre de dominio Por favor vea el parametro "dns_discovery_domain" en la pagina de manual sssd.conf(5) para mas detalles. El protocolo Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripcion de la opcion respectiva. Vea tambien Para mas informacion sobre el mecanismo del servicio descubridor, vea el RFC 2782. EJEMPLO El siguiente ejemplo asume que SSSD esta correctamente configurado y example.com es uno de los dominios en la seccion [sssd]. Este ejemplo muestra solo las opciones especificas del proveedor ipa. [domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = myhost.example.com VEA TAMBIEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS The SSSD upstream - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSSD-IPA(5)