SSSD-IPA(5) Filformat och konventioner SSSD-IPA(5)

sssd-ipa - SSSD IPA-leverantör

Denna manualsida beskriver konfigurationen av leverantören IPA till sssd(8). För en detaljerad referens om syntaxen, se avsnittet “FILFORMAT” i manualsidan sssd.conf(5).

IPA-leverantören är en bakände som används för att ansluta till en IPA-server. (Se webbsidan freeipa.org för information om IPA-servrar.) Leverantören förutsätter att maskinen är inlagt i IPA-domänen; konfigurationen är nästan helt självupptäckande och hämtas direkt från servern.

IPA-leverantören gör att SSSD kan använda identitetsleverantören sssd-ldap(5) och autentiseringsleverantören sssd-krb5(5) med optimeringar för IPA-miljöer. IPA-leverantören tar samma alternativ som används av leverantörerna sssd-ldap och sssd-krb5 med några undantag. Dock är det varken nödvändigt eller lämpligt att sätta dessa alternativ.

IPA-leverantören kopierar i huvudsak standardalternativen för de traditionella leverantörerna ldap och krb5 med några undantag. Skillnaderna listas i avsnittet “ÄNDRADE STANDARDINSTÄLLNINGAR”.

As an access provider, the IPA provider has a minimal configuration (see “ipa_access_order”) as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC.

Om “auth_provider=ipa” eller “access_provider=ipa” konfigureras i sssd.conf måste id-leverantören också sättas till “ipa”.

IPA-leverantörer kommer använda PAC-respondenten om Kerberos-biljetter för användare för betrodda riken innehåller en PAC. För att göra konfigurationen enklare startas PAC-respondenten automatiskt om ID-leverantören IPA är konfigurerad.

Se “DOMÄNSEKTIONER” i manualsidan sssd.conf(5) för detaljer om konfigurationen av en SSSD-domän.

ipa_domain (sträng)

Anger namnet på IPA-domänen. Detta är frivilligt. Om det inte anges används namnet på den konfigurerade domänen.

ipa_server, ipa_backup_server (sträng)

Den kommaseparerade listan av IP-adresser eller värdnamn till IPA-servrar till vilka SSSD skall ansluta i prioritetsordning. För mer information om reserver och serverredundans se avsnittet “RESERVER”. Detta är frivilligt om automatupptäckt är aktiverat. För mer information om tjänsteupptäckt, se avsnittet “TJÄNSTEUPPTÄCKT”.

ipa_hostname (sträng)

Valfri. Kan sättas på maskiner där hostname(5) inte avspeglar det fullständigt kvalificerade namnet som används i IPA-domänen för att identifiera denna värd. Värdnamnet måste vara fullständigt kvalificerat.

dyndns_update (boolean)

Valfritt. Detta alternativ säger till SSSD att automatiskt uppdatera DNS-servern som är inbyggd i FreeIPA med IP-adressen för denna klient. Uppdateringen säkras med GSS-TSIG. IP-adressen för IPA-LDAP-förbindelsen används för uppdateringar, om det inte specificeras på annat sätt med alternativet “dyndns_iface”.

OBS: på äldre system (såsom RHEL 5) måste standardriket för Kerberos sättas i /etc/krb5.conf för att detta beteende skall fungera pålitligt

OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_update bör användare migrera till att använda dyndns_update i sin konfigurationsfil.

Standard: false

dyndns_ttl (heltal)

TTL:en att använda för klientens DNS-post vid uppdatering. Om dyndns_update är falsk har detta ingen effekt. Detta kommer åsidosätta TTL på serversidan om det är satt av en administratör.

OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_ttl bör användare migrera till att använda dyndns_ttl i sin konfigurationsfil.

Standard: 1200 (sekunder)

dyndns_iface (sträng)

Valfri. Endast tillämpligt när dyndns_update är sann. Välj gränssnittet eller en lista av gränssnitt vars IP-adresser skall användas för dynamiska DNS-uppdateringar. Specialvärdet “*” betyder att IP:n från alla gränssnitt skall användas.

OBS: även om det fortfarande är möjligt att använda det gamla alternativet ipa_dyndns_iface bör användare migrera till att använda dyndns_iface i sin konfigurationsfil.

Standard: använd IP-adresser för gränssnittet som används för IPA LDAP-förbindelsen

Exempel: dyndns_iface = em1, vnet1, vnet2

dyndns_auth (sträng)

Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att sätta detta alternativ till ”none”.

Standard: GSS-TSIG

dyndns_auth_ptr (sträng)

Huruvida verktyget nsupdate skall använda GSS-TSIG-autentisering för säkra PTR-uppdateringar av DNS-servern, osäkra uppdateringar kan skickas genom att sätta detta alternativ till ”none”.

Standard: samma som dyndns_auth

ipa_enable_dns_sites (boolean)

Aktiverar DNS-sajter – platsbaserat tjänsteupptäckt.

Om sant och tjänsteupptäckt (se stycket Tjänsteupptäckt i slutet av manualsidan) är aktiverat kommer SSSD först att försöka med platsbaserad upptäckt med en fråga som innehåller ”_location.hostname.example.com” och sedan falla tillbaka på traditionell SRV-upptäckt. Om platsbaserad upptäckt lyckas betraktas IPA-servrarna som lokaliserats med platsbaserad upptäckt som primära servrar och IPA-servrarna som hittas med den traditionella SRV-upptäckten används som backup-servrar

Standard: false

dyndns_refresh_interval (heltal)

Hur ofta bakänden skall utföra periodiska DNS-uppdateringar utöver den automatiska uppdateringen som utförs när bakänden kopplar upp. Detta alternativ är valfritt och tillämpligt endast när dyndns_update är sann.

Standard: 0 (avaktiverat)

dyndns_update_ptr (bool)

Huruvida PTR-posten också skall uppdateras explicit när klientens DNS-post uppdateras. Tillämpligt endast när dyndns_update är sann.

Detta alternativ är False i de flesta IPA-installationer eftersom IPA-servern genererar PTR-posterna automatiskt när framåtposterna ändras.

Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately.

Standard: False (avaktiverat)

dyndns_force_tcp (bool)

Huruvida nsupdate-verktyget som standard skall använda TCP för kommunikation med DNS-servern.

Standard: False (låt nsupdate välja protokollet)

dyndns_server (sträng)

DNS-servern som skall användas när en uppdatering av DNS utförs. I de flesta uppsättningar rekommenderas det att låta detta alternativ vara osatt.

Att sätta detta alternativ är meningsfullt i miljöer där DNS-servern är skild från identitetsservern.

Observera att detta alternativ bara kommer användas i försök att falla tillbaka på när tidigare försök som använder automatiskt upptäckta inställningar misslyckas.

Standard: Ingen (låt nsupdate välja servern)

dyndns_update_per_family (boolean)

DNS-uppdateringar utförs som standard i två steg – IPv4-uppdatering och sedan IPv6-uppdatering. I några fall kan det vara önskvärt att utföra IPv4- och IPv6-uppdateringar i ett enda steg.

Standard: true

ipa_access_order (string)

Kommaseparerad lista över åtkomststyrningsalternativ. Tillåtna värden är:

expire: use IPA's account expiration policy.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Dessa alternativ är användbara om användare vill bli varnade att lösenordet är på gång att gå ut och autentisering är baserat på användning av en annan metod än lösenord – till exempel SSH-nycklar.

The difference between these options is the action taken if user password is expired:

•pwd_expire_policy_reject - user is denied to log in,
•pwd_expire_policy_warn - user is still able to log in,
•pwd_expire_policy_renew - user is prompted to change their password immediately.

Please note that 'access_provider = ipa' must be set for this feature to work.

ipa_deskprofile_search_base (sträng)

Frivillig. Använd den givna strängen som sökbas för skrivbordsprofilrelaterade objekt.

Standard: använd bas-DN

ipa_hbac_search_base (sträng)

Frivillig. Använd den givna strängen som sökbas för HBAC-relaterade objekt.

Standard: använd bas-DN

ipa_host_search_base (sträng)

Undanbedes. Använd ldap_host_search_base istället.

ipa_selinux_search_base (sträng)

Frivillig. Använd den givna strängen som en sökbas för SELinux-användaröversättningar.

Se “ldap_search_base” för information om konfiguration av multipla sökbaser.

Standard: värdet på ldap_search_base

ipa_subdomains_search_base (sträng)

Frivillig. Använd den givna strängen som en sökbas för betrodda domäner.

Se “ldap_search_base” för information om konfiguration av multipla sökbaser.

Standard: värdet på cn=trusts,%basedn

ipa_master_domain_search_base (sträng)

Frivillig. Använd den givna strängen som en sökbas för huvuddomänobjekt.

Se “ldap_search_base” för information om konfiguration av multipla sökbaser.

Standard: värdet av cn=ad,cn=etc,%basedn

ipa_views_search_base (sträng)

Frivillig. Använd den givna strängen som en sökbas för vybehållare.

Se “ldap_search_base” för information om konfiguration av multipla sökbaser.

Standard: värdet av cn=views,cn=accounts,%basedn

krb5_realm (sträng)

Namnet på Kerberos-riket. Detta är frivilligt och som standard blir det värdet av “ipa_domain”.

Namnet på Kerberos-riket har en speciell betydelse i IPA – det konverteras till bas-DN:en för att användas när LDAP-operationer utförs.

krb5_confd_path (sträng)

Absolut sökväg till en katalog där SSSD skall placera konfigurationsstycken för Kerberos.

För att förhindra att konfigurationsstycken skapas, sätt parametern till ”none”.

Standard: inte satt (underkatalogen krb5.include.d till SSSD:s pubconf-katalog)

ipa_deskprofile_refresh (heltal)

Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern. Detta kommer reducera tidsfördröjningen och lasten på IPA-servern om det görs många begäranden om skrivbordsprofiler under en kort tid.

Standard: 5 (sekunder)

ipa_deskprofile_request_interval (heltal)

Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern ifall den senaste förfrågan inte returnerade någon regel.

Standard: 60 (minuter)

ipa_hbac_refresh (heltal)

Tiden mellan uppslagningar av HBAC-regler mot IPA-servern. Detta kommer reducera tidsfördröjningen och lasten på IPA-servern om det görs många begäranden om åtkomstkontroll under en kort tid.

Standard: 5 (sekunder)

ipa_hbac_selinux (heltal)

Tiden mellan uppslagningar av SELinux-översättningar mot IPA-servern. Detta kommer reducera tidsfördröjningen och lasten på IPA-servern om det görs många begäranden om användarinloggningar under en kort tid.

Standard: 5 (sekunder)

ipa_server_mode (boolean)

Detta alternativ sätts automatiskt av IPA-installeraren (ipa-server-install) och markerar om SSSD kör på en IPA-server eller inte.

På en IPA-server kommer SSSD slå upp användare och grupper från betrodda domäner direkt medan på en klient kommer den att fråga en IPA-server.

OBS: det finns för närvarande några antaganden som måste uppfyllas när SSSD kör på en IPA-server.

•Alternativet “ipa_server” måste konfigureras till att peka på själva IPA-servern. Detta är redan standardvärdet som sätts av IPA-installeraren, så det behövs inga manuella ändringar.
•Alternativet “full_name_format” får inte ändras till att bara skriva korta namn på användare från betrodda domäner.

Standard: false

ipa_automount_location (sträng)

Automonteringsplatsen denna IPA-klient kommer använda

Standard: platsen som heter ”default”

Observera att automounter:n bara läser master-kartan vid uppstart, så om några autofs-relaterade ändringar görs av sssd.conf behöver du normalt även starta om automounter-demonen efter att ha startat om SSSD.

SSSD kan hantera vyer och åsidosättanden som erbjuds av FreeIPA 4.1 och senare versioner. Eftersom alla sökvägar och objektklasser är fasta på serversidan finns det egentligen inget behov av att konfigurera något. För fullständighets skull är de tillhörande alternativen listade här med sina standardvärden.

ipa_view_class (sträng)

Objektklass för vybehållaren.

Standard: nsContainer

ipa_view_name (sträng)

Namn på attributet som har namnet på vyn.

Standard: cn

ipa_override_object_class (sträng)

Objektklass för åsidosättande objekt.

Standard: ipaOverrideAnchor

ipa_anchor_uuid (sträng)

Namn på attributet som innehåller referensen till originalobjektet i en fjärrdomän.

Standard: ipaAnchorUUID

ipa_user_override_object_class (sträng)

Namn på objektklassen för användaråsidosättanden. Det används för att avgöra om det funna åsidosättande objektet är relaterat till en användare eller en grupp.

Användaråsidosättanden kan innehålla attribut givna av

•ldap_user_name
•ldap_user_uid_number
•ldap_user_gid_number
•ldap_user_gecos
•ldap_user_home_directory
•ldap_user_shell
•ldap_user_ssh_public_key

Standard: ipaUserOverride

ipa_group_override_object_class (sträng)

Namn på objektklassen för gruppåsidosättanden. Det används för att avgöra om det funna åsidosättandeobjektet är relaterat till en användare eller en grupp.

Gruppåsidosättanden kan innehålla attribut givna av

•ldap_group_name
•ldap_group_gid_number

Standard: ipaGroupOverride

ÄNDRADE STANDARDALTERNATIV

Vissa alternativs standardvärde stämmer inte med deras respektive bakändars standardvärden, dessa alternativnamn och IPA-leverantörspecifika standardvärden är uppräknade nedan:

•krb5_validate = true
•krb5_use_fast = try
•krb5_canonicalize = true

LDAP-leverantör – allmänt

•ldap_schema = ipa_v1
•ldap_force_upper_case_realm = true
•ldap_sasl_mech = GSSAPI
•ldap_sasl_minssf = 56
•ldap_account_expire_policy = ipa
•ldap_use_tokengroups = true

LDAP-leverantör – användaralternativ

•ldap_user_member_of = memberOf
•ldap_user_uuid = ipaUniqueID
•ldap_user_ssh_public_key = ipaSshPubKey
•ldap_user_auth_type = ipaUserAuthType

LDAP-leverantör – gruppalternativ

•ldap_group_object_class = ipaUserGroup
•ldap_group_object_class_alt = posixGroup
•ldap_group_member = member
•ldap_group_uuid = ipaUniqueID
•ldap_group_objectsid = ipaNTSecurityIdentifier
•ldap_group_external_member = ipaExternalMember

IPA-underdomänsleverantören beter sig något annorlunda om den konfigureras explicit eller implicit.

Om alternativet ”subdomains_provider = ipa” finns i domänavsnittet i sssd.conf konfigureras IPA-underdomänsleverantören explicit, och alla begäranden av underdomäner skickas till IPA-servern om nödvändigt.

Om alternativet ”subdomains_provider” inte är satt i domänavsnittet av sssd.conf men alternativet ”id_provider = ipa” finns konfigureras IPA-underdomänsleverantören implicit. I det fallet, om en underdomänsbegäran misslyckas och indikerar att servern inte stödjer underdomäner, d.v.s. den är inte konfigurerad för förtroenden, avaktiveras IPA-underdomänsleverantören. Efter en timma eller efter att IPA-leverantören blir uppkopplad aktiveras underdomänsleverantören igen.

Några konfigurationflaggor kan även sättas för betrodda domäner. En betrodd domämns konfiguration kan sättas med den betrodda domänens undersektion som visas i exemplet nedan. Alternativt kan flaggan “subdomain_inherit” användas i föräldradomänen.

[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com

För fler detaljer, se manualsidan sssd.conf(5).

Olika konfigurationsalternativ kan ställas in för en betrodd domän beroende på huruvida man konfigurerar SSSD på en IPA-server eller en IPA-klient.

ALTERNATIV ATT STÄLLA IN PÅ IPA-MASTRAR

Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-master:

•ad_server
•ad_backup_server
•ad_site
•ldap_search_base
•ldap_user_search_base
•ldap_group_search_base
•use_fully_qualified_names

ALTERNATIV ATT STÄLLA IN PÅ IPA-KLIENTER

Följande alternativ kan sättas i ett underdomänsavsnitt på en IPA-klient:

•ad_server
•ad_site

Observera att om båda alternativen sätts evalueras endast “ad_server”.

Eftersom alla begäranden om en användar- eller en gruppidentitet från en betrodd domän startad från en IPA-klient löses upp av IPA-servern, påverkar alternativen “ad_server” och “ad_site” bara vilken AD DC autentiseringen kommer utföras emot. I synnerhet kommer adresserna som löses upp från dessa listor att skrivas till “kdcinfo”-filer som läses av Kerberos-lokaliseringsinsticksmodulen. För fler detaljer om Kerberos-lokaliseringsinsticksmodulen hänvisas till manualsidan sssd_krb5_locator_plugin(8).

Reservfunktionen gör att bakändar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera.

Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillåts runt kommatecknet. Servrarna listas i preferensordning. Listan kan innehålla obegränsat antal servrar.

För varje reservaktiverat konfigurationsalternativ finns det två varianter: primary och backup. Tanken är att servrar i den primära listan föredras och backup-servrar bara provas om inga primära servrar kan nås. Om en backup-server väljs sätts en tidsgräns på 31 sekunder. Efter denna tidsgräns kommer SSSD periodiskt att försöka återansluta till en av de primära servrarna. Om det lyckas kommer den ersätta den nu aktiva (backup-)servern.

Reservmekanismen gör skillnad mellan en maskin och en tjänst. Bakänden försöker först att slå upp värdnamnet för en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare försök görs att ansluta till denna maskin för någon annan tjänst. Om uppslagningsförsöket lyckas försöker bakänden ansluta till en tjänst på denna maskin. Om tjänsteanslutningen misslyckas anses bara just denna tjänst frånkopplad och bakänden byter automatiskt till nästa tjänst. Maskinen betraktas fortfarande som uppkopplad och kan användas vid försök att nå en annan tjänst.

Ytterligare försök att ansluta görs till maskiner eller tjänster som markerats som frånkopplade efter en viss tidsperiod, detta är för närvarande hårdkodat till 30 sekunder.

Om det inte finns några fler maskiner att prova byter bakänden i sin helhet till frånkopplat läge, och försöker sedan återansluta var 30:e sekund.

Att slå upp en server att ansluta till kan vara så enkelt som att göra en enstaka DNS-fråga eller kan innebära flera steg, såsom att hitta den rätta sajten eller försöka med flera värdnamn ifall några av de konfigurerade servrarna inte kan nås. De mer komplexa scenariona kan ta en stund och SSSD behöver balansera mellan att tillhandahålla tillräckligt med tid för att färdigställa upplösningsprocessen men å andra sidan inte försöka för länge före den faller tillbaka på frånkopplat läge. Om SSSD:s felsökningsloggar visar att serverns upplösning överskrider tidsgränsen före en aktiv server nås kan du överväga att ändra tidsgränserna.

Detta avsnitt listar tillgängliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5).

dns_resolver_server_timeout

Tid i millisekunder som anger hur länge SSSD skall tala med en viss DNS-server före den provar nästa.

Standard: 1000

dns_resolver_op_timeout

Tid i sekunder hur länge SSSD skall försöka slå upp en viss DNS-fråga (t.ex. uppslagning av ett värdnamn eller en SRV-post) före den provar nästa värdnamn eller upptäcktsdomän.

Standard: 3

dns_resolver_timeout

Hur länge skall SSSD försöka slå upp en reservtjänst. Denna tjänsteuppslagning kan internt bestå av flera steg, såsom att slå upp DNS SRV-frågor och lokalisera sajten.

Standard: 6

För LDAP-baserade leverantörer utförs uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Därför skall även tidsgränsen “ldap_opt_timeout” sättas till ett större värde än “dns_resolver_timeout” som i sin tur skall sättas till ett större värde än “dns_resolver_op_timeout” som skall vara större än “dns_resolver_server_timeout”.

Tjänsteupptäcktsfunktionen gör att bakändar automatiskt kan hitta en lämplig server att ansluta till med en speciell DNS-fråga. Denna funktion stödjs inte för backup-servrar.

Om inga servrar anges använder bakänden automatiskt tjänsteupptäckt för att försöka hitta en server. Användaren kan om så önskas välja att använda både en bestämd serveradress och tjänsteupptäckt genom att infoga ett speciellt nyckelord, “_srv_”, i listan av servrar. Preferensordningen bibehålls. Denna funktion är användbar om, till exempel, användaren föredrar att använda tjänsteupptäckt närhelst det är möjligt, och falla tillbaka på en specifik server när inga servrar kan upptäckas med DNS.

Se parametern “dns_discovery_domain” i manualsidan sssd.conf(5) för fler detaljer.

Frågorna anger vanligen _tcp som protokoll. Undantag är dokumenterade i respektive alternativs beskrivning.

För mer information om tjänsteupptäcktsmekanismen, se RFC 2782.

Följande exempel antar att SSSD är korrekt konfigurerat och att example.com är en av domänerna i avsnittet [sssd]. Dessa exempel visar endast alternativ som är specifika för leverantören ipa.

[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = minvärd.example.com

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

SSSD uppströms – https://github.com/SSSD/sssd/

04/02/2024 SSSD