'\" t .\" Title: sssd-ipa .\" Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 05/17/2024 .\" Manual: Форматы файлов и рекомендации .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-IPA" "5" "05/17/2024" "SSSD" "Форматы файлов и рекомендации" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-ipa \- Поставщик данных IPA SSSD .SH "ОПИСАНИЕ" .PP На этой справочной странице представлено описание настройки поставщика данных IPA для \fBsssd\fR(8)\&. Подробные сведения о синтаксисе доступны в разделе \(lqФОРМАТ ФАЙЛА\(rq справочной страницы \fBsssd.conf\fR(5)\&. .PP Поставщик данных IPA \(em это внутренний сервер, который используется для подключения к серверу IPA\&. (Сведения о серверах IPA доступны на веб\-сайте freeipa\&.org\&.) Для работы этого поставщика требуется, чтобы компьютер был присоединён к домену IPA; настройка почти полностью автоматизирована, получение её данных выполняется непосредственно с сервера\&. .PP Поставщик данных IPA позволяет SSSD использовать поставщика данных идентификации \fBsssd-ldap\fR(5) и поставщика данных проверки подлинности \fBsssd-krb5\fR(5) с оптимизацией для сред IPA\&. Поставщик данных IPA принимает те же параметры, которые используются поставщиками sssd\-ldap и sssd\-krb5 providers, за некоторыми исключениями\&. Но установка этих параметров не является ни необходимой, ни рекомендуемой\&. .PP Поставщик данных IPA в основном копирует стандартные параметры традиционных поставщиков данных ldap и krb5, за некоторыми исключениями\&. Список различий доступен в разделе \(lqИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ\(rq\&. .PP As an access provider, the IPA provider has a minimal configuration (see \(lqipa_access_order\(rq) as it mainly uses HBAC (host\-based access control) rules\&. Please refer to freeipa\&.org for more information about HBAC\&. .PP Если в sssd\&.conf указано \(lqauth_provider=ipa\(rq или \(lqaccess_provider=ipa\(rq, параметр id_provider тоже необходимо установить в значение \(lqipa\(rq\&. .PP Поставщик данных IPA будет использовать ответчик PAC, если билеты Kerberos пользователей из доверенных областей содержат PAC\&. Для упрощения настройки запуск ответчика PAC выполняется автоматически, если настроен поставщик идентификаторов IPA\&. .SH "ПАРАМЕТРЫ КОНФИГУРАЦИИ" .PP Сведения о конфигурации домена SSSD доступны в разделе \(lqРАЗДЕЛЫ ДОМЕНА\(rq справочной страницы \fBsssd.conf\fR(5)\&. .PP ipa_domain (строка) .RS 4 Позволяет указать имя домена IPA\&. Это необязательно\&. Если имя не указано, используется имя домена в конфигурации\&. .RE .PP ipa_server, ipa_backup_server (строка) .RS 4 Разделённый запятыми список IP\-адресов или имён узлов серверов IPA, к которым SSSD следует подключаться в порядке приоритета\&. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе \(lqОТРАБОТКА ОТКАЗА\(rq\&. Этот параметр является необязательным, если включено автоматическое обнаружение служб\&. Дополнительные сведения об обнаружении служб доступны в разделе \(lqОБНАРУЖЕНИЕ СЛУЖБ\(rq\&. .RE .PP ipa_hostname (строка) .RS 4 Необязательный параметр\&. Может быть указан на компьютерах, где hostname(5) не содержит полное имя, которое используется для идентификации этого узла в домене IPA\&. Имя узла должно быть полным\&. .RE .PP dyndns_update (логическое значение) .RS 4 Необязательный параметр\&. Этот параметр указывает SSSD автоматически обновлять на сервере DNS, встроенном во FreeIPA, IP\-адрес клиента\&. Защита обновления обеспечивается с помощью GSS\-TSIG\&. Для обновления будет использован IP\-адрес LDAP\-соединения IPA, если с помощью параметра \(lqdyndns_iface\(rq не указано иное\&. .sp ПРИМЕЧАНИЕ: на устаревших системах (например, RHEL 5) для корректной работы в этом режиме необходимо надлежащим образом задать стандартную область Kerberos в /etc/krb5\&.conf .sp ПРИМЕЧАНИЕ: прежнее имя параметра, \fIipa_dyndns_update\fR, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, \fIdyndns_update\fR, в файле конфигурации\&. .sp По умолчанию: false .RE .PP dyndns_ttl (целое число) .RS 4 Значение TTL, которое применяется при обновлении записи DNS клиента\&. Если параметр dyndns_update установлен в значение \(Fofalse\(Fc, этот параметр ни на что не влияет\&. Если администратором установлено значение TTL на стороне сервера, оно будет переопределено этим параметром\&. .sp ПРИМЕЧАНИЕ: прежнее имя параметра, \fIipa_dyndns_ttl\fR, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, \fIdyndns_ttl\fR, в файле конфигурации\&. .sp По умолчанию: 1200 (секунд) .RE .PP dyndns_iface (строка) .RS 4 Необязательный параметр\&. Применимо только тогда, когда параметр dyndns_update установлен в значение \(Fotrue\(Fc\&. Выберите интерфейс или список интерфейсов, IP\-адреса которых должны использоваться для динамических обновлений DNS\&. Специальное значение \(lq*\(rq подразумевает, что следует использовать IP\-адреса всех интерфейсов\&. .sp ПРИМЕЧАНИЕ: прежнее имя параметра, \fIipa_dyndns_iface\fR, всё ещё можно использовать, но пользователям рекомендуется перейти на использование нового имени, \fIdyndns_iface\fR, в файле конфигурации\&. .sp По умолчанию: использовать IP\-адреса интерфейса, который используется для подключения LDAP IPA .sp Пример: dyndns_iface = em1, vnet1, vnet2 .RE .PP dyndns_auth (строка) .RS 4 Следует ли утилите nsupdate использовать проверку подлинности GSS\-TSIG для защищённых обновлений сервера DNS\&. Незащищённые отправления можно отправлять, установив этот параметр в значение \(Fonone\(Fc\&. .sp По умолчанию: GSS\-TSIG .RE .PP dyndns_auth_ptr (строка) .RS 4 Следует ли утилите nsupdate использовать проверку подлинности GSS\-TSIG для защищённых обновлений PTR сервера DNS\&. Незащищённые отправления можно отправлять, установив этот параметр в значение \(Fonone\(Fc\&. .sp По умолчанию: то же, что и dyndns_auth .RE .PP ipa_enable_dns_sites (логическое значение) .RS 4 Включить сайты DNS \(em обнаружение служб по расположению\&. .sp Если параметр установлен в значение \(Fotrue\(Fc и включено обнаружение служб (смотрите абзац об обнаружении служб в нижней части справочной страницы), SSSD сначала будет пробовать выполнить обнаружение на основе расположения с помощью запроса, который содержит \(Fo_location\&.hostname\&.example\&.com\(Fc, а затем перейдёт к традиционному обнаружению SRV\&. Если обнаружение на основе расположения будет выполнено успешно, серверы IPA, обнаруженные с помощью обнаружения на основе расположения, будут считаться основными, а серверы IPA, обнаруженные с помощью традиционного обнаружения SRV, будут использоваться в качестве резервных .sp По умолчанию: false .RE .PP dyndns_refresh_interval (целое число) .RS 4 Как часто внутреннему серверу следует выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, которое выполняется при переходе внутреннего сервера в сетевой режим\&. Этот параметр является необязательным и применяется только тогда, когда параметр dyndns_update установлен в значение \(Fotrue\(Fc\&. .sp По умолчанию: 0 (отключено) .RE .PP dyndns_update_ptr (логическое значение) .RS 4 Следует ли также явно обновлять запись PTR при обновлении записей DNS клиента\&. Применимо только тогда, когда параметр dyndns_update установлен в значение \(Fotrue\(Fc\&. .sp Этот параметр должен быть установлен в значение \(FoFalse\(Fc в большинстве развёрнутых систем IPA, так как сервер IPA генерирует записи PTR автоматически при смене записей перенаправления\&. .sp Note that \fIdyndns_update_per_family\fR parameter does not apply for PTR record updates\&. Those updates are always sent separately\&. .sp По умолчанию: false (отключено) .RE .PP dyndns_force_tcp (логическое значение) .RS 4 Должна ли утилита nsupdate по умолчанию использовать TCP для обмена данными с сервером DNS\&. .sp По умолчанию: false (разрешить nsupdate выбрать протокол) .RE .PP dyndns_server (строка) .RS 4 Сервер DNS, который следует использовать для выполнения обновления DNS\&. В большинстве конфигураций рекомендуется не устанавливать значение для этого параметра\&. .sp Установка этого параметра имеет смысл для сред, в которых сервер DNS отличается от сервера данных идентификации\&. .sp Обратите внимание, что этот параметр используется только для резервной попытки, которая выполняется тогда, когда предыдущая попытка с использованием автоматически определённых параметров завершилась неудачей\&. .sp По умолчанию: none (разрешить nsupdate выбрать сервер) .RE .PP dyndns_update_per_family (логическое значение) .RS 4 По умолчанию обновление DNS выполняется за два шага: обновление IPv4, а затем обновление IPv4\&. В некоторых случаях может быть желательно выполнить обновление IPv4 и IPv6 за один шаг\&. .sp По умолчанию: true .RE .PP ipa_access_order (string) .RS 4 Разделённый запятыми список параметров управления доступом\&. Допустимые значения: .sp \fIexpire\fR: use IPA\*(Aqs account expiration policy\&. .sp \fIpwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: \fR эти параметры полезны, если пользователям нужно предупреждение о том, что срок действия пароля истекает, и для проверки подлинности используются не пароли, а, например, ключи SSH\&. .sp The difference between these options is the action taken if user password is expired: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} pwd_expire_policy_reject \- user is denied to log in, .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} pwd_expire_policy_warn \- user is still able to log in, .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} pwd_expire_policy_renew \- user is prompted to change their password immediately\&. .RE .sp Please note that \*(Aqaccess_provider = ipa\*(Aq must be set for this feature to work\&. .RE .PP ipa_deskprofile_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска объектов, связанных с профилями рабочего стола\&. .sp По умолчанию: использовать base DN .RE .PP ipa_hbac_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска объектов, связанных с HBAC\&. .sp По умолчанию: использовать base DN .RE .PP ipa_host_search_base (строка) .RS 4 Не рекомендуется\&. Используйте ldap_host_search_base\&. .RE .PP ipa_selinux_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска карт пользователей SELinux\&. .sp Сведения о настройке нескольких баз поиска доступны в описании параметра \(lqldap_search_base\(rq\&. .sp По умолчанию: значение \fIldap_search_base\fR .RE .PP ipa_subdomains_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска доверенных доменов\&. .sp Сведения о настройке нескольких баз поиска доступны в описании параметра \(lqldap_search_base\(rq\&. .sp По умолчанию: значение \fIcn=trusts,%basedn\fR .RE .PP ipa_master_domain_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска объекта главного домена\&. .sp Сведения о настройке нескольких баз поиска доступны в описании параметра \(lqldap_search_base\(rq\&. .sp По умолчанию: значение \fIcn=ad,cn=etc,%basedn\fR .RE .PP ipa_views_search_base (строка) .RS 4 Необязательный параметр\&. Использовать указанную строку как базу поиска контейнеров просмотра\&. .sp Сведения о настройке нескольких баз поиска доступны в описании параметра \(lqldap_search_base\(rq\&. .sp По умолчанию: значение \fIcn=views,cn=accounts,%basedn\fR .RE .PP krb5_realm (строка) .RS 4 Имя области Kerberos\&. Это необязательный параметр, по умолчанию он имеет значение \(lqipa_domain\(rq\&. .sp Имя области Kerberos имеет особое значение в IPA \(em оно преобразуется в base DN, которое следует использовать для выполнения действий LDAP\&. .RE .PP krb5_confd_path (строка) .RS 4 Абсолютный путь к каталогу, в котором SSSD следует размещать фрагменты конфигурации Kerberos\&. .sp Чтобы отключить создание фрагментов конфигурации, установите этот параметр в значение \(Fonone\(Fc\&. .sp По умолчанию: не задано (подкаталог krb5\&.include\&.d каталога pubconf SSSD) .RE .PP ipa_deskprofile_refresh (целое число) .RS 4 Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA\&. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на профили рабочего стола\&. .sp По умолчанию: 5 (секунд) .RE .PP ipa_deskprofile_request_interval (целое число) .RS 4 Временной интервал между сеансами поиска правил профилей рабочего стола на сервере IPA, если при последнем запросе не было возвращено ни одного правила\&. .sp По умолчанию: 60 (минут) .RE .PP ipa_hbac_refresh (целое число) .RS 4 Временной интервал между сеансами поиска правил HBAC на сервере IPA\&. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на управление доступом\&. .sp По умолчанию: 5 (секунд) .RE .PP ipa_hbac_selinux (целое число) .RS 4 Временной интервал между сеансами поиска карт SELinux на сервере IPA\&. Это сократит задержки и нагрузку на сервер IPA, когда за короткое время поступает много запросов на вход пользователей\&. .sp По умолчанию: 5 (секунд) .RE .PP ipa_server_mode (логическое значение) .RS 4 Значение этого параметра будет задано автоматически установщиком IPA (ipa\-server\-install)\&. Оно определяет, работает SSSD на сервере IPA или нет\&. .sp На сервере IPA SSSD выполняет поиск пользователей и групп из доверенных доменов напрямую, но на клиенте SSSD отправит запрос серверу IPA\&. .sp ПРИМЕЧАНИЕ: необходимо соблюсти несколько условий, если SSSD работает на сервере IPA\&. .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} Параметр \(lqipa_server\(rq должен быть настроен так, чтобы он указывал на сам сервер IPA\&. Такое стандартное значение уже задано установщиком IPA, поэтому вносить изменения вручную не требуется\&. .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} Параметр \(lqfull_name_format\(rq не должен быть настроен таким образом, чтобы отображались только краткие имена пользователей из доверенных доменов\&. .RE .sp По умолчанию: false .RE .PP ipa_automount_location (строка) .RS 4 Расположение автоматического монтирования, которое будет использовать этот клиент IPA .sp По умолчанию: расположение с именем \(Fodefault\(Fc .sp Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких\-либо изменений, связанных с autofs, в файл sssd\&.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD\&. .RE .SS "ПРЕДСТАВЛЕНИЯ И ПЕРЕОПРЕДЕЛЕНИЯ" .PP SSSD может обрабатывать представления и переопределения, которые предоставляет FreeIPA версии 4\&.1 и выше\&. Так как все пути и классы объектов зафиксированы на стороне сервера, в целом нет необходимости в дополнительной настройке\&. Для полноты картины далее перечислены соответствующие параметры и их стандартные значения\&. .PP ipa_view_class (строка) .RS 4 Класс объектов контейнера просмотра\&. .sp По умолчанию: nsContainer .RE .PP ipa_view_name (строка) .RS 4 Имя атрибута, в котором хранится имя представления\&. .sp По умолчанию: cn .RE .PP ipa_override_object_class (строка) .RS 4 Объектный класс переопределяемых объектов\&. .sp По умолчанию: ipaOverrideAnchor .RE .PP ipa_anchor_uuid (строка) .RS 4 Имя атрибута, содержащего ссылку на исходный объект в удалённом домене\&. .sp По умолчанию: ipaAnchorUUID .RE .PP ipa_user_override_object_class (строка) .RS 4 Имя класса объектов для переопределений пользователя\&. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой\&. .sp Переопределения пользователя могут содержать атрибуты, указанные с помощью .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_name .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_uid_number .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_gid_number .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_gecos .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_home_directory .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_shell .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_ssh_public_key .RE .sp По умолчанию: ipaUserOverride .RE .PP ipa_group_override_object_class (строка) .RS 4 Имя класса объектов для переопределений группы\&. Используется для того, чтобы определить, связан ли найденный объект переопределения с пользователем или группой\&. .sp Переопределения группы могут содержать атрибуты, указанные с помощью .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_name .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_gid_number .RE .sp По умолчанию: ipaGroupOverride .RE .SH "ИЗМЕНЁННЫЕ СТАНДАРТНЫЕ ПАРАМЕТРЫ" .PP Некоторые стандартные значения параметров не соответствуют стандартным значениям параметров соответствующего внутреннего поставщика данных\&. Имена этих параметров и специфичные для поставщика данных IPA стандартные значения параметров перечислены ниже: .SS "Поставщик данных KRB5" .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} krb5_validate = true .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} krb5_use_fast = try .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} krb5_canonicalize = true .RE .SS "Поставщик данных LDAP \(em Общие параметры" .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_schema = ipa_v1 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_force_upper_case_realm = true .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_sasl_mech = GSSAPI .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_sasl_minssf = 56 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_account_expire_policy = ipa .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_use_tokengroups = true .RE .SS "Поставщик данных LDAP \(em Параметры пользователей" .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_member_of = memberOf .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_uuid = ipaUniqueID .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_ssh_public_key = ipaSshPubKey .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_auth_type = ipaUserAuthType .RE .SS "Поставщик данных LDAP \(em Параметры групп" .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_object_class = ipaUserGroup .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_object_class_alt = posixGroup .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_member = member .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_uuid = ipaUniqueID .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_objectsid = ipaNTSecurityIdentifier .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_external_member = ipaExternalMember .RE .SH "ПОСТАВЩИК ДАННЫХ ПОДДОМЕНОВ" .PP В зависимости от того, настроен ли поставщик данных поддоменов IPA явным или неявным образом, его поведение будет немного отличаться\&. .PP Если в разделе домена sssd\&.conf найден параметр \(Fosubdomains_provider = ipa\(Fc, поставщик данных поддоменов IPA настроен в явном виде, и при необходимости все запросы поддоменов отправляются серверу IPA\&. .PP Если в разделе домена sssd\&.conf не задан параметр \(Fosubdomains_provider\(Fc, но имеется параметр \(Foid_provider = ipa\(Fc, поставщик данных поддоменов IPA настроен в неявном виде\&. В этом случае, если происходит ошибка запроса к поддомену, которая указывает на то, что сервер не поддерживает поддомены, то есть на нём не настроены отношения доверия, поставщик данных поддоменов IPA будет отключён\&. Через час или после того, как поставщик данных IPA выходит в сеть, поставщик данных поддоменов включается снова\&. .SH "КОНФИГУРАЦИЯ ДОВЕРЕННЫХ ДОМЕНОВ" .PP Для доверенного домена также можно задать некоторые параметры конфигурации\&. Настройку доверенного домена можно выполнить с помощью подраздела доверенного домена, как показано в примере ниже\&. Либо можно воспользоваться параметром \(lqsubdomain_inherit\(rq в родительском домене\&. .sp .if n \{\ .RS 4 .\} .nf [domain/ipa\&.domain\&.com/ad\&.domain\&.com] ad_server = dc\&.ad\&.domain\&.com .fi .if n \{\ .RE .\} .PP Дополнительные сведения доступны на справочной странице \fBsssd.conf\fR(5)\&. .PP Для доверенного домена можно выполнить тонкую настройку различных параметров конфигурации в соответствии с тем, где настраивается SSSD: на сервере IPA или на клиенте IPA\&. .SS "ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА ОСНОВНЫХ СЕРВЕРАХ IPA" .PP В разделе поддомена на основном сервере IPA можно настроить следующие параметры: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ad_server .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ad_backup_server .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ad_site .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_search_base .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_user_search_base .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ldap_group_search_base .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} use_fully_qualified_names .RE .sp .SS "ПАРАМЕТРЫ, КОТОРЫЕ МОЖНО НАСТРОИТЬ НА КЛИЕНТАХ IPA" .PP В разделе поддомена на клиенте IPA можно настроить следующие параметры: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ad_server .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} ad_site .RE .PP Обратите внимание: если заданы оба параметра, учитывается только \(lqad_server\(rq\&. .PP Так как любой запрос идентификационных данных пользователя или группы из доверенного домена, который активирован клиентом IPA, разрешается сервером IPA, параметры \(lqad_server\(rq и \(lqad_site\(rq влияют только на то, на каком контроллере домена AD DC будет выполняться проверка подлинности\&. В частности, полученные из этих списков адреса будут записаны в файлы \(lqkdcinfo\(rq, чтение которых выполняет модуль локатора Kerberos\&. Дополнительные сведения о модуле локатора Kerberos доступны на справочной странице\fBsssd_krb5_locator_plugin\fR(8)\&. .SH "ОТРАБОТКА ОТКАЗА" .PP Функция обработки отказа позволяет внутренним серверам автоматически переключаться на другой сервер в случае сбоя текущего сервера\&. .SS "Синтаксис обработки отказа" .PP Список серверов разделяется запятыми; рядом с запятыми допускается любое количество пробелов\&. Серверы перечислены в порядке приоритета\&. Список может содержать любое количество серверов\&. .PP Для каждого параметра конфигурации с поддержкой отработки отказа существуют два варианта: \fIосновной\fR (primary) и \fIрезервный\fR (backup)\&. Смысл в том, что приоритет получают серверы из списка основных, а поиск резервных серверов выполняется только в том случае, если не удалось связаться с основными серверами\&. Если выбран резервный сервер, устанавливается 31\-секундный тайм\-аут\&. По его истечении SSSD будет периодически пытаться восстановить подключение к одному из основных серверов\&. Если попытка будет успешной, текущий активный (резервный) сервер будет заменён на основной\&. .SS "Механизм отработки отказа" .PP Механизм отработки отказа различает компьютеры и службы\&. Внутренний сервер сначала пытается разрешить имя узла указанного компьютера; если попытка разрешения завершается неудачей, компьютер считается работающим в автономном режиме\&. Дальнейшие попытки подключиться к этому компьютеру для доступа к другим службам не выполняются\&. Если попытка разрешения успешна, внутренний сервер пытается подключиться к службе на этом компьютере\&. Если попытка подключения к службе завершается неудачей, работающей в автономном режиме будет считаться только эта служба, и внутренний сервер автоматически переключится на следующую службу\&. Компьютер продолжает считаться находящимся в сети, возможны дальнейшие попытки подключения к другим службам на нём\&. .PP Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как работающие в автономном режиме, выполняются по истечении определённого периода времени; в настоящее время это значения является жёстко заданным и составляет 30 секунд\&. .PP Если список компьютеров исчерпан, внутренний сервер целиком переключается на автономный режим и затем пытается восстановить подключение каждые 30 секунд\&. .SS "Тайм\-ауты и тонкая настройка отработки отказа" .PP Разрешение имени сервера, к которому следует подключиться, может быть выполнено как за один запрос DNS, так и за несколько шагов, например, при поиске корректного сайта или переборе нескольких имён узлов, если некоторые из настроенных серверов недоступны\&. Для более сложных сценариев требуется больше времени, и SSSD требуется соблюсти баланс между предоставлением достаточного количества времени для завершения процесса разрешения и не слишком долгим ожиданием перед переходом в автономный режим\&. Если в журнале отладки SSSD есть данные о том, что время на разрешение сервера истекло до обращения к реальному серверу, рекомендуется изменить значения тайм\-аутов\&. .PP В этом разделе перечислены доступные настраиваемые параметры\&. Их описание содержится на справочной странице \fBsssd.conf\fR(5)\&. .PP dns_resolver_server_timeout .RS 4 Время (в миллисекундах), в течение которого SSSD будет обращаться к одному серверу DNS перед переходом к следующему\&. .sp По умолчанию: 1000 .RE .PP dns_resolver_op_timeout .RS 4 Время (в секундах), в течение которого SSSD будет пытаться разрешить один запрос DNS (например, разрешение имени узла или записи SRV) перед переходом к следующему имени узла или домену обнаружения\&. .sp По умолчанию: 3 .RE .PP dns_resolver_timeout .RS 4 Как долго SSSD будет пытаться разрешить резервную службу\&. Это разрешение службы может включать несколько внутренних шагов, например, при разрешении запросов SRV DNS или определении расположения сайта\&. .sp По умолчанию: 6 .RE .PP Для поставщиков данных на основе LDAP операция разрешения выполняется как часть операции установления LDAP\-соединения\&. Следовательно, тайм\-аут \(lqldap_opt_timeout\(rq также следует установить в большее значение, чем \(lqdns_resolver_timeout\(rq, который, в свою очередь, следует установить в большее значение, чем \(lqdns_resolver_op_timeout\(rq, который должен быть больше \(lqdns_resolver_server_timeout\(rq\&. .SH "ОБНАРУЖЕНИЕ СЛУЖБ" .PP Функция обнаружения служб позволяет внутренним серверам автоматически находить серверы, к которым следует подключиться, с помощью специального запроса DNS\&. Эта возможность не поддерживается для резервных серверов\&. .SS "Конфигурация" .PP Если серверы не указаны, внутренний сервер будет автоматически использовать обнаружение служб, чтобы попытаться найти сервер\&. Пользователь может (необязательно) задать использование сразу и фиксированных адресов серверов, и обнаружения служб, вставив в список серверов специальное ключевое слово \(lq_srv_\(rq\&. Обработка выполняется в порядке приоритета\&. Эта возможность полезна, например, если пользователь предпочитает использовать обнаружение служб всегда, когда это возможно, и подключаться к определённому серверу только в тех случаях, когда серверы не удалось обнаружить с помощью DNS\&. .SS "Имя домена" .PP Дополнительные сведения доступны в описании параметра \(lqdns_discovery_domain\(rq на справочной странице \fBsssd.conf\fR(5)\&. .SS "Протокол" .PP В запросах обычно указан протокол _tcp\&. Исключения задокументированы в описаниях соответствующих параметров\&. .SS "См\&. также" .PP Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782\&. .SH "ПРИМЕР" .PP В следующем примере предполагается, что конфигурация SSSD корректна и что example\&.com \(em один из доменов в разделе \fI[sssd]\fR\&. В примере показаны только параметры, относящиеся к поставщику данных IPA\&. .PP .if n \{\ .RS 4 .\} .nf [domain/example\&.com] id_provider = ipa ipa_server = ipaserver\&.example\&.com ipa_hostname = myhost\&.example\&.com .fi .if n \{\ .RE .\} .sp .SH "СМ\&. ТАКЖЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBВосходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github\&.com/SSSD/sssd/\fR