SSSD-IPA(5) Форматы файлов и рекомендации SSSD-IPA(5)

sssd-ipa - Поставщик данных IPA SSSD

ОПИСАНИЕ

На этой справочной странице представлено описание настройки поставщика данных IPA для sssd(8). Подробные сведения о синтаксисе доступны в разделе “ФОРМАТ ФАЙЛА” справочной страницы sssd.conf(5).

Поставщик данных IPA — это внутренний сервер, который используется для подключения к серверу IPA. (Сведения о серверах IPA доступны на веб-сайте freeipa.org.) Для работы этого поставщика требуется, чтобы компьютер был присоединён к домену IPA; настройка почти полностью автоматизирована, получение её данных выполняется непосредственно с сервера.

Поставщик данных IPA позволяет SSSD использовать поставщика данных идентификации sssd-ldap(5) и поставщика данных проверки подлинности sssd-krb5(5) с оптимизацией для сред IPA. Поставщик данных IPA принимает те же параметры, которые используются поставщиками sssd-ldap и sssd-krb5 providers, за некоторыми исключениями. Но установка этих параметров не является ни необходимой, ни рекомендуемой.

Поставщик данных IPA в основном копирует стандартные параметры традиционных поставщиков данных ldap и krb5, за некоторыми исключениями. Список различий доступен в разделе “ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ”.

As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.

Если в sssd.conf указано “auth_provider=ipa” или “access_provider=ipa”, параметр id_provider тоже необходимо установить в значение “ipa”.

Поставщик данных IPA будет использовать ответчик PAC, если билеты Kerberos пользователей из доверенных областей содержат PAC. Для упрощения настройки запуск ответчика PAC выполняется автоматически, если настроен поставщик идентификаторов IPA.

ПАРАМЕТРЫ КОНФИГУРАЦИИ

Сведения о конфигурации домена SSSD доступны в разделе “РАЗДЕЛЫ ДОМЕНА” справочной страницы sssd.conf(5).

ipa_domain (строка)

Позволяет указать имя домена IPA. Это необязательно. Если имя не указано, используется имя домена в конфигурации.

ipa_server, ipa_backup_server (строка)

Разделённый запятыми список IP-адресов или имён узлов серверов IPA, к которым SSSD следует подключаться в порядке приоритета. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе “ОТРАБОТКА ОТКАЗА”. Этот параметр является необязательным, если включено автоматическое обнаружение служб. Дополнительные сведения об обнаружении служб доступны в разделе “ОБНАРУЖЕНИЕ СЛУЖБ”.

ipa_hostname (строка)

Необязательный параметр. Может быть указан на компьютерах, где hostname(5) не содержит полное имя, которое используется для идентификации этого узла в домене IPA. Имя узла должно быть полным.

dyndns_update (логическое значение)

Необязательный параметр. Этот параметр указывает SSSD автоматически обновлять на сервере DNS, встроенном во FreeIPA, IP-адрес клиента. Защита обновления обеспечивается с помощью GSS-TSIG. Для обновления будет использован IP-адрес LDAP-соединения IPA, если с помощью параметра “dyndns_iface” не указано иное.

ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы в этом режиме необходимо надлежащим образом задать стандартную область Kerberos в /etc/krb5.conf

ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_update, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_update, в файле конфигурации.

По умолчанию: false

dyndns_ttl (целое число)

Значение TTL, которое применяется при обновлении записи DNS клиента. Если параметр dyndns_update установлен в значение «false», этот параметр ни на что не влияет. Если администратором установлено значение TTL на стороне сервера, оно будет переопределено этим параметром.

ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_ttl, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_ttl, в файле конфигурации.

По умолчанию: 1200 (секунд)

dyndns_iface (строка)

Необязательный параметр. Применимо только тогда, когда параметр dyndns_update установлен в значение «true». Выберите интерфейс или список интерфейсов, IP-адреса которых должны использоваться для динамических обновлений DNS. Специальное значение “*” подразумевает, что следует использовать IP-адреса всех интерфейсов.

ПРИМЕЧАНИЕ: прежнее имя параметра, ipa_dyndns_iface, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, dyndns_iface, в файле конфигурации.

По умолчанию: использовать IP-адреса интерфейса, который используется для подключения LDAP IPA

Пример: dyndns_iface = em1, vnet1, vnet2

dyndns_auth (строка)

Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для защищённых обновлений сервера DNS. Незащищённые отправления можно отправлять, установив этот параметр в значение «none».

По умолчанию: GSS-TSIG

dyndns_auth_ptr (строка)

Следует ли утилите nsupdate использовать проверку подлинности GSS-TSIG для защищённых обновлений PTR сервера DNS. Незащищённые отправления можно отправлять, установив этот параметр в значение «none».

По умолчанию: то же, что и dyndns_auth

ipa_enable_dns_sites (логическое значение)

Включить сайты DNS — обнаружение служб по расположению.

Если параметр установлен в значение «true» и включено обнаружение служб (смотрите абзац об обнаружении служб в нижней части справочной страницы), SSSD сначала будет пробовать выполнить обнаружение на основе расположения с помощью запроса, который содержит «_location.hostname.example.com», а затем перейдёт к традиционному обнаружению SRV. Если обнаружение на основе расположения будет выполнено успешно, серверы IPA, обнаруженные с помощью обнаружения на основе расположения, будут считаться основными, а серверы IPA, обнаруженные с помощью традиционного обнаружения SRV, будут использоваться в качестве резервных

По умолчанию: false

dyndns_refresh_interval (целое число)

Как часто внутреннему серверу следует выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, которое выполняется при переходе внутреннего сервера в сетевой режим. Этот параметр является необязательным и применяется только тогда, когда параметр dyndns_update установлен в значение «true».

По умолчанию: 0 (отключено)

dyndns_update_ptr (логическое значение)

Следует ли также явно обновлять запись PTR при обновлении записей DNS клиента. Применимо только тогда, когда параметр dyndns_update установлен в значение «true».

Этот параметр должен быть установлен в значение «False» в большинстве развёрнутых систем IPA, так как сервер IPA генерирует записи PTR автоматически при смене записей перенаправления.

Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.

По умолчанию: false (отключено)

dyndns_force_tcp (логическое значение)

Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными с сервером DNS.

По умолчанию: false (разрешить nsupdate выбрать протокол)

dyndns_server (строка)

Сервер DNS, который следует использовать для выполнения обновления DNS. В большинстве конфигураций рекомендуется не устанавливать значение для этого параметра.

Установка этого параметра имеет смысл для сред, в которых сервер DNS отличается от сервера данных идентификации.

Обратите внимание, что этот параметр используется только для резервной попытки, которая выполняется тогда, когда предыдущая попытка с использованием автоматически определённых параметров завершилась неудачей.

По умолчанию: none (разрешить nsupdate выбрать сервер)

dyndns_update_per_family (логическое значение)

По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а затем обновление IPv4. В некоторых случаях может быть желательно выполнить обновление IPv4 и IPv6 за один шаг.

По умолчанию: true

ipa_access_order (string)

Разделённый запятыми список параметров управления доступом. Допустимые значения:

expire: use IPA's account expiration policy.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: эти параметры полезны, если пользователям нужно предупреждение о том, что срок действия пароля истекает, и для проверки подлинности используются не пароли, а, например, ключи SSH.

The difference between these options is the action taken if user password is expired:

•pwd_expire_policy_reject - user is denied to log in,
•pwd_expire_policy_warn - user is still able to log in,
•pwd_expire_policy_renew - user is prompted to change their password immediately.

Please note that 'access_provider = ipa' must be set for this feature to work.

ipa_deskprofile_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска объектов, связанных с профилями рабочего стола.

По умолчанию: использовать base DN

ipa_hbac_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска объектов, связанных с HBAC.

По умолчанию: использовать base DN

ipa_host_search_base (строка)

Не рекомендуется. Используйте ldap_host_search_base.

ipa_selinux_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска карт пользователей SELinux.

Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.

По умолчанию: значение ldap_search_base

ipa_subdomains_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска доверенных доменов.

Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.

По умолчанию: значение cn=trusts,%basedn

ipa_master_domain_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска объекта главного домена.

Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.

По умолчанию: значение cn=ad,cn=etc,%basedn

ipa_views_search_base (строка)

Необязательный параметр. Использовать указанную строку как базу поиска контейнеров просмотра.

Сведения о настройке нескольких баз поиска доступны в описании параметра “ldap_search_base”.

По умолчанию: значение cn=views,cn=accounts,%basedn

krb5_realm (строка)

Имя области Kerberos. Это необязательный параметр, по умолчанию он имеет значение “ipa_domain”.

Имя области Kerberos имеет особое значение в IPA — оно преобразуется в base DN, которое следует использовать для выполнения действий LDAP.

krb5_confd_path (строка)

Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты конфигурации Kerberos.

Чтобы отключить создание фрагментов конфигурации, установите этот параметр в значение «none».

По умолчанию: не задано (подкаталог krb5.include.d каталога pubconf SSSD)

ipa_deskprofile_refresh (целое число)

Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на профили рабочего стола.

По умолчанию: 5 (секунд)

ipa_deskprofile_request_interval (целое число)

Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA, если при последнем запросе не было возвращено ни одного правила.

По умолчанию: 60 (минут)

ipa_hbac_refresh (целое число)

Временной интервал между сеансами поиска правил HBAC на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на управление доступом.

По умолчанию: 5 (секунд)

ipa_hbac_selinux (целое число)

Временной интервал между сеансами поиска карт SELinux на сервере IPA. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на вход пользователей.

По умолчанию: 5 (секунд)

ipa_server_mode (логическое значение)

Значение этого параметра будет задано автоматически установщиком IPA (ipa-server-install). Оно определяет, работает SSSD на сервере IPA или нет.

На сервере IPA SSSD выполняет поиск пользователей и групп из доверенных доменов напрямую, но на клиенте SSSD отправит запрос серверу IPA.

ПРИМЕЧАНИЕ: необходимо соблюсти несколько условий, если SSSD работает на сервере IPA.

•Параметр “ipa_server” должен быть настроен так, чтобы он указывал на сам сервер IPA. Такое стандартное значение уже задано установщиком IPA, поэтому вносить изменения вручную не требуется.
•Параметр “full_name_format” не должен быть настроен таким образом, чтобы отображались только краткие имена пользователей из доверенных доменов.

По умолчанию: false

ipa_automount_location (строка)

Расположение автоматического монтирования, которое будет использовать этот клиент IPA

По умолчанию: расположение с именем «default»

Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких-либо изменений, связанных с autofs, в файл sssd.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD.

ПРЕДСТАВЛЕНИЯ И ПЕРЕОПРЕДЕЛЕНИЯ

SSSD может обрабатывать представления и переопределения, которые предоставляет FreeIPA версии 4.1 и выше. Так как все пути и классы объектов зафиксированы на стороне сервера, в целом нет необходимости в дополнительной настройке. Для полноты картины далее перечислены соответствующие параметры и их стандартные значения.

ipa_view_class (строка)

Класс объектов контейнера просмотра.

По умолчанию: nsContainer

ipa_view_name (строка)

Имя атрибута, в котором хранится имя представления.

По умолчанию: cn

ipa_override_object_class (строка)

Объектный класс переопределяемых объектов.

По умолчанию: ipaOverrideAnchor

ipa_anchor_uuid (строка)

Имя атрибута, содержащего ссылку на исходный объект в удалённом домене.

По умолчанию: ipaAnchorUUID

ipa_user_override_object_class (строка)

Имя класса объектов для переопределений пользователя. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой.

Переопределения пользователя могут содержать атрибуты, указанные с помощью

•ldap_user_name
•ldap_user_uid_number
•ldap_user_gid_number
•ldap_user_gecos
•ldap_user_home_directory
•ldap_user_shell
•ldap_user_ssh_public_key

По умолчанию: ipaUserOverride

ipa_group_override_object_class (строка)

Имя класса объектов для переопределений группы. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой.

Переопределения группы могут содержать атрибуты, указанные с помощью

•ldap_group_name
•ldap_group_gid_number

По умолчанию: ipaGroupOverride

ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ

Некоторые стандартные значения параметров не соответствуют стандартным значениям параметров соответствующего внутреннего поставщика данных. Имена этих параметров и специфичные для поставщика данных IPA стандартные значения параметров перечислены ниже:

Поставщик данных KRB5

•krb5_validate = true
•krb5_use_fast = try
•krb5_canonicalize = true

Поставщик данных LDAP — Общие параметры

•ldap_schema = ipa_v1
•ldap_force_upper_case_realm = true
•ldap_sasl_mech = GSSAPI
•ldap_sasl_minssf = 56
•ldap_account_expire_policy = ipa
•ldap_use_tokengroups = true

Поставщик данных LDAP — Параметры пользователей

•ldap_user_member_of = memberOf
•ldap_user_uuid = ipaUniqueID
•ldap_user_ssh_public_key = ipaSshPubKey
•ldap_user_auth_type = ipaUserAuthType

Поставщик данных LDAP — Параметры групп

•ldap_group_object_class = ipaUserGroup
•ldap_group_object_class_alt = posixGroup
•ldap_group_member = member
•ldap_group_uuid = ipaUniqueID
•ldap_group_objectsid = ipaNTSecurityIdentifier
•ldap_group_external_member = ipaExternalMember

ПОСТАВЩИК ДАННЫХ ПОДДОМЕНОВ

В зависимости от того, настроен ли поставщик данных поддоменов IPA явным или неявным образом, его поведение будет немного отличаться.

Если в разделе домена sssd.conf найден параметр «subdomains_provider = ipa», поставщик данных поддоменов IPA настроен в явном виде, и при необходимости все запросы поддоменов отправляются серверу IPA.

Если в разделе домена sssd.conf не задан параметр «subdomains_provider», но имеется параметр «id_provider = ipa», поставщик данных поддоменов IPA настроен в неявном виде. В этом случае, если происходит ошибка запроса к поддомену, которая указывает на то, что сервер не поддерживает поддомены, то есть на нём не настроены отношения доверия, поставщик данных поддоменов IPA будет отключён. Через час или после того, как поставщик данных IPA выходит в сеть, поставщик данных поддоменов включается снова.

КОНФИГУРАЦИЯ ДОВЕРЕННЫХ ДОМЕНОВ

Для доверенного домена также можно задать некоторые параметры конфигурации. Настройку доверенного домена можно выполнить с помощью подраздела доверенного домена, как показано в примере ниже. Либо можно воспользоваться параметром “subdomain_inherit” в родительском домене.

[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com

Дополнительные сведения доступны на справочной странице sssd.conf(5).

Для доверенного домена можно выполнить тонкую настройку различных параметров конфигурации в соответствии с тем, где настраивается SSSD: на сервере IPA или на клиенте IPA.

ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА ОСНОВНЫХ СЕРВЕРАХ IPA

В разделе поддомена на основном сервере IPA можно настроить следующие параметры:

•ad_server
•ad_backup_server
•ad_site
•ldap_search_base
•ldap_user_search_base
•ldap_group_search_base
•use_fully_qualified_names

ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА КЛИЕНТАХ IPA

В разделе поддомена на клиенте IPA можно настроить следующие параметры:

•ad_server
•ad_site

Обратите внимание: если заданы оба параметра, учитывается только “ad_server”.

Так как любой запрос идентификационных данных пользователя или группы из доверенного домена, который активирован клиентом IPA, разрешается сервером IPA, параметры “ad_server” и “ad_site” влияют только на то, на каком контроллере домена AD DC будет выполняться проверка подлинности. В частности, полученные из этих списков адреса будут записаны в файлы “kdcinfo”, чтение которых выполняет модуль локатора Kerberos. Дополнительные сведения о модуле локатора Kerberos доступны на справочной страницеsssd_krb5_locator_plugin(8).

ОТРАБОТКА ОТКАЗА

Функция обработки отказа позволяет внутренним серверам автоматически переключаться на другой сервер в случае сбоя текущего сервера.

Синтаксис обработки отказа

Список серверов разделяется запятыми; рядом с запятыми допускается любое количество пробелов. Серверы перечислены в порядке приоритета. Список может содержать любое количество серверов.

Для каждого параметра конфигурации с поддержкой отработки отказа существуют два варианта: основной (primary) и резервный (backup). Смысл в том, что приоритет получают серверы из списка основных, а поиск резервных серверов выполняется только в том случае, если не удалось связаться с основными серверами. Если выбран резервный сервер, устанавливается 31-секундный тайм-аут. По его истечении SSSD будет периодически пытаться восстановить подключение к одному из основных серверов. Если попытка будет успешной, текущий активный (резервный) сервер будет заменён на основной.

Механизм отработки отказа

Механизм отработки отказа различает компьютеры и службы. Внутренний сервер сначала пытается разрешить имя узла указанного компьютера; если попытка разрешения завершается неудачей, компьютер считается работающим в автономном режиме. Дальнейшие попытки подключиться к этому компьютеру для доступа к другим службам не выполняются. Если попытка разрешения успешна, внутренний сервер пытается подключиться к службе на этом компьютере. Если попытка подключения к службе завершается неудачей, работающей в автономном режиме будет считаться только эта служба, и внутренний сервер автоматически переключится на следующую службу. Компьютер продолжает считаться находящимся в сети, возможны дальнейшие попытки подключения к другим службам на нём.

Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как работающие в автономном режиме, выполняются по истечении определённого периода времени; в настоящее время это значения является жёстко заданным и составляет 30 секунд.

Если список компьютеров исчерпан, внутренний сервер целиком переключается на автономный режим и затем пытается восстановить подключение каждые 30 секунд.

Тайм-ауты и тонкая настройка отработки отказа

Разрешение имени сервера, к которому следует подключиться, может быть выполнено как за один запрос DNS, так и за несколько шагов, например, при поиске корректного сайта или переборе нескольких имён узлов, если некоторые из настроенных серверов недоступны. Для более сложных сценариев требуется больше времени, и SSSD требуется соблюсти баланс между предоставлением достаточного количества времени для завершения процесса разрешения и не слишком долгим ожиданием перед переходом в автономный режим. Если в журнале отладки SSSD есть данные о том, что время на разрешение сервера истекло до обращения к реальному серверу, рекомендуется изменить значения тайм-аутов.

В этом разделе перечислены доступные настраиваемые параметры. Их описание содержится на справочной странице sssd.conf(5).

dns_resolver_server_timeout

Время (в миллисекундах), в течение которого SSSD будет обращаться к одному серверу DNS перед переходом к следующему.

По умолчанию: 1000

dns_resolver_op_timeout

Время (в секундах), в течение которого SSSD будет пытаться разрешить один запрос DNS (например, разрешение имени узла или записи SRV) перед переходом к следующему имени узла или домену обнаружения.

По умолчанию: 3

dns_resolver_timeout

Как долго SSSD будет пытаться разрешить резервную службу. Это разрешение службы может включать несколько внутренних шагов, например, при разрешении запросов SRV DNS или определении расположения сайта.

По умолчанию: 6

Для поставщиков данных на основе LDAP операция разрешения выполняется как часть операции установления LDAP-соединения. Следовательно, тайм-аут “ldap_opt_timeout” также следует установить в большее значение, чем “dns_resolver_timeout”, который, в свою очередь, следует установить в большее значение, чем “dns_resolver_op_timeout”, который должен быть больше “dns_resolver_server_timeout”.

ОБНАРУЖЕНИЕ СЛУЖБ

Функция обнаружения служб позволяет внутренним серверам автоматически находить серверы, к которым следует подключиться, с помощью специального запроса DNS. Эта возможность не поддерживается для резервных серверов.

Конфигурация

Если серверы не указаны, внутренний сервер будет автоматически использовать обнаружение служб, чтобы попытаться найти сервер. Пользователь может (необязательно) задать использование сразу и фиксированных адресов серверов, и обнаружения служб, вставив в список серверов специальное ключевое слово “_srv_”. Обработка выполняется в порядке приоритета. Эта возможность полезна, например, если пользователь предпочитает использовать обнаружение служб всегда, когда это возможно, и подключаться к определённому серверу только в тех случаях, когда серверы не удалось обнаружить с помощью DNS.

Имя домена

Дополнительные сведения доступны в описании параметра “dns_discovery_domain” на справочной странице sssd.conf(5).

Протокол

В запросах обычно указан протокол _tcp. Исключения задокументированы в описаниях соответствующих параметров.

См. также

Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782.

ПРИМЕР

В следующем примере предполагается, что конфигурация SSSD корректна и что example.com — один из доменов в разделе [sssd]. В примере показаны только параметры, относящиеся к поставщику данных IPA.

[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com

СМ. ТАКЖЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

04/09/2024 SSSD