SSSD-IPA(5) Filformat och konventioner SSSD-IPA(5) NAME sssd-ipa - SSSD IPA-leverantor BESKRIVNING Denna manualsida beskriver konfigurationen av leverantoren IPA till sssd(8). For en detaljerad referens om syntaxen, se avsnittet "FILFORMAT" i manualsidan sssd.conf(5). IPA-leverantoren ar en bakande som anvands for att ansluta till en IPA-server. (Se webbsidan freeipa.org for information om IPA-servrar.) Leverantoren forutsatter att maskinen ar inlagt i IPA-domanen; konfigurationen ar nastan helt sjalvupptackande och hamtas direkt fran servern. IPA-leverantoren gor att SSSD kan anvanda identitetsleverantoren sssd- ldap(5) och autentiseringsleverantoren sssd-krb5(5) med optimeringar for IPA-miljoer. IPA-leverantoren tar samma alternativ som anvands av leverantorerna sssd-ldap och sssd-krb5 med nagra undantag. Dock ar det varken nodvandigt eller lampligt att satta dessa alternativ. IPA-leverantoren kopierar i huvudsak standardalternativen for de traditionella leverantorerna ldap och krb5 med nagra undantag. Skillnaderna listas i avsnittet "ANDRADE STANDARDINSTALLNINGAR". As an access provider, the IPA provider has a minimal configuration (see "ipa_access_order") as it mainly uses HBAC (host-based access control) rules. Please refer to freeipa.org for more information about HBAC. Om "auth_provider=ipa" eller "access_provider=ipa" konfigureras i sssd.conf maste id-leverantoren ocksa sattas till "ipa". IPA-leverantorer kommer anvanda PAC-respondenten om Kerberos-biljetter for anvandare for betrodda riken innehaller en PAC. For att gora konfigurationen enklare startas PAC-respondenten automatiskt om ID-leverantoren IPA ar konfigurerad. KONFIGURATIONSALTERNATIV Se "DOMANSEKTIONER" i manualsidan sssd.conf(5) for detaljer om konfigurationen av en SSSD-doman. ipa_domain (strang) Anger namnet pa IPA-domanen. Detta ar frivilligt. Om det inte anges anvands namnet pa den konfigurerade domanen. ipa_server, ipa_backup_server (strang) Den kommaseparerade listan av IP-adresser eller vardnamn till IPA-servrar till vilka SSSD skall ansluta i prioritetsordning. For mer information om reserver och serverredundans se avsnittet "RESERVER". Detta ar frivilligt om automatupptackt ar aktiverat. For mer information om tjansteupptackt, se avsnittet "TJANSTEUPPTACKT". ipa_hostname (strang) Valfri. Kan sattas pa maskiner dar hostname(5) inte avspeglar det fullstandigt kvalificerade namnet som anvands i IPA-domanen for att identifiera denna vard. Vardnamnet maste vara fullstandigt kvalificerat. dyndns_update (boolean) Valfritt. Detta alternativ sager till SSSD att automatiskt uppdatera DNS-servern som ar inbyggd i FreeIPA med IP-adressen for denna klient. Uppdateringen sakras med GSS-TSIG. IP-adressen for IPA-LDAP-forbindelsen anvands for uppdateringar, om det inte specificeras pa annat satt med alternativet "dyndns_iface". OBS: pa aldre system (sasom RHEL 5) maste standardriket for Kerberos sattas i /etc/krb5.conf for att detta beteende skall fungera palitligt OBS: aven om det fortfarande ar mojligt att anvanda det gamla alternativet ipa_dyndns_update bor anvandare migrera till att anvanda dyndns_update i sin konfigurationsfil. Standard: false dyndns_ttl (heltal) TTL:en att anvanda for klientens DNS-post vid uppdatering. Om dyndns_update ar falsk har detta ingen effekt. Detta kommer asidosatta TTL pa serversidan om det ar satt av en administrator. OBS: aven om det fortfarande ar mojligt att anvanda det gamla alternativet ipa_dyndns_ttl bor anvandare migrera till att anvanda dyndns_ttl i sin konfigurationsfil. Standard: 1200 (sekunder) dyndns_iface (strang) Valfri. Endast tillampligt nar dyndns_update ar sann. Valj granssnittet eller en lista av granssnitt vars IP-adresser skall anvandas for dynamiska DNS-uppdateringar. Specialvardet "*" betyder att IP:n fran alla granssnitt skall anvandas. OBS: aven om det fortfarande ar mojligt att anvanda det gamla alternativet ipa_dyndns_iface bor anvandare migrera till att anvanda dyndns_iface i sin konfigurationsfil. Standard: anvand IP-adresser for granssnittet som anvands for IPA LDAP-forbindelsen Exempel: dyndns_iface = em1, vnet1, vnet2 dyndns_auth (strang) Huruvida verktyget nsupdate skall anvanda GSS-TSIG-autentisering for sakra uppdateringar av DNS-servern, osakra uppdateringar kan skickas genom att satta detta alternativ till "none". Standard: GSS-TSIG dyndns_auth_ptr (strang) Huruvida verktyget nsupdate skall anvanda GSS-TSIG-autentisering for sakra PTR-uppdateringar av DNS-servern, osakra uppdateringar kan skickas genom att satta detta alternativ till "none". Standard: samma som dyndns_auth ipa_enable_dns_sites (boolean) Aktiverar DNS-sajter - platsbaserat tjansteupptackt. Om sant och tjansteupptackt (se stycket Tjansteupptackt i slutet av manualsidan) ar aktiverat kommer SSSD forst att forsoka med platsbaserad upptackt med en fraga som innehaller "_location.hostname.example.com" och sedan falla tillbaka pa traditionell SRV-upptackt. Om platsbaserad upptackt lyckas betraktas IPA-servrarna som lokaliserats med platsbaserad upptackt som primara servrar och IPA-servrarna som hittas med den traditionella SRV-upptackten anvands som backup-servrar Standard: false dyndns_refresh_interval (heltal) Hur ofta bakanden skall utfora periodiska DNS-uppdateringar utover den automatiska uppdateringen som utfors nar bakanden kopplar upp. Detta alternativ ar valfritt och tillampligt endast nar dyndns_update ar sann. Standard: 0 (avaktiverat) dyndns_update_ptr (bool) Huruvida PTR-posten ocksa skall uppdateras explicit nar klientens DNS-post uppdateras. Tillampligt endast nar dyndns_update ar sann. Detta alternativ ar False i de flesta IPA-installationer eftersom IPA-servern genererar PTR-posterna automatiskt nar framatposterna andras. Note that dyndns_update_per_family parameter does not apply for PTR record updates. Those updates are always sent separately. Standard: False (avaktiverat) dyndns_force_tcp (bool) Huruvida nsupdate-verktyget som standard skall anvanda TCP for kommunikation med DNS-servern. Standard: False (lat nsupdate valja protokollet) dyndns_server (strang) DNS-servern som skall anvandas nar en uppdatering av DNS utfors. I de flesta uppsattningar rekommenderas det att lata detta alternativ vara osatt. Att satta detta alternativ ar meningsfullt i miljoer dar DNS-servern ar skild fran identitetsservern. Observera att detta alternativ bara kommer anvandas i forsok att falla tillbaka pa nar tidigare forsok som anvander automatiskt upptackta installningar misslyckas. Standard: Ingen (lat nsupdate valja servern) dyndns_update_per_family (boolean) DNS-uppdateringar utfors som standard i tva steg - IPv4-uppdatering och sedan IPv6-uppdatering. I nagra fall kan det vara onskvart att utfora IPv4- och IPv6-uppdateringar i ett enda steg. Standard: true ipa_access_order (string) Kommaseparerad lista over atkomststyrningsalternativ. Tillatna varden ar: expire: use IPA's account expiration policy. pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Dessa alternativ ar anvandbara om anvandare vill bli varnade att losenordet ar pa gang att ga ut och autentisering ar baserat pa anvandning av en annan metod an losenord - till exempel SSH-nycklar. The difference between these options is the action taken if user password is expired: o pwd_expire_policy_reject - user is denied to log in, o pwd_expire_policy_warn - user is still able to log in, o pwd_expire_policy_renew - user is prompted to change their password immediately. Please note that 'access_provider = ipa' must be set for this feature to work. ipa_deskprofile_search_base (strang) Frivillig. Anvand den givna strangen som sokbas for skrivbordsprofilrelaterade objekt. Standard: anvand bas-DN ipa_hbac_search_base (strang) Frivillig. Anvand den givna strangen som sokbas for HBAC-relaterade objekt. Standard: anvand bas-DN ipa_host_search_base (strang) Undanbedes. Anvand ldap_host_search_base istallet. ipa_selinux_search_base (strang) Frivillig. Anvand den givna strangen som en sokbas for SELinux-anvandaroversattningar. Se "ldap_search_base" for information om konfiguration av multipla sokbaser. Standard: vardet pa ldap_search_base ipa_subdomains_search_base (strang) Frivillig. Anvand den givna strangen som en sokbas for betrodda domaner. Se "ldap_search_base" for information om konfiguration av multipla sokbaser. Standard: vardet pa cn=trusts,%basedn ipa_master_domain_search_base (strang) Frivillig. Anvand den givna strangen som en sokbas for huvuddomanobjekt. Se "ldap_search_base" for information om konfiguration av multipla sokbaser. Standard: vardet av cn=ad,cn=etc,%basedn ipa_views_search_base (strang) Frivillig. Anvand den givna strangen som en sokbas for vybehallare. Se "ldap_search_base" for information om konfiguration av multipla sokbaser. Standard: vardet av cn=views,cn=accounts,%basedn krb5_realm (strang) Namnet pa Kerberos-riket. Detta ar frivilligt och som standard blir det vardet av "ipa_domain". Namnet pa Kerberos-riket har en speciell betydelse i IPA - det konverteras till bas-DN:en for att anvandas nar LDAP-operationer utfors. krb5_confd_path (strang) Absolut sokvag till en katalog dar SSSD skall placera konfigurationsstycken for Kerberos. For att forhindra att konfigurationsstycken skapas, satt parametern till "none". Standard: inte satt (underkatalogen krb5.include.d till SSSD:s pubconf-katalog) ipa_deskprofile_refresh (heltal) Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern. Detta kommer reducera tidsfordrojningen och lasten pa IPA-servern om det gors manga begaranden om skrivbordsprofiler under en kort tid. Standard: 5 (sekunder) ipa_deskprofile_request_interval (heltal) Tiden mellan uppslagningar av skrivbordsprofilsregler mot IPA-servern ifall den senaste forfragan inte returnerade nagon regel. Standard: 60 (minuter) ipa_hbac_refresh (heltal) Tiden mellan uppslagningar av HBAC-regler mot IPA-servern. Detta kommer reducera tidsfordrojningen och lasten pa IPA-servern om det gors manga begaranden om atkomstkontroll under en kort tid. Standard: 5 (sekunder) ipa_hbac_selinux (heltal) Tiden mellan uppslagningar av SELinux-oversattningar mot IPA-servern. Detta kommer reducera tidsfordrojningen och lasten pa IPA-servern om det gors manga begaranden om anvandarinloggningar under en kort tid. Standard: 5 (sekunder) ipa_server_mode (boolean) Detta alternativ satts automatiskt av IPA-installeraren (ipa-server-install) och markerar om SSSD kor pa en IPA-server eller inte. Pa en IPA-server kommer SSSD sla upp anvandare och grupper fran betrodda domaner direkt medan pa en klient kommer den att fraga en IPA-server. OBS: det finns for narvarande nagra antaganden som maste uppfyllas nar SSSD kor pa en IPA-server. o Alternativet "ipa_server" maste konfigureras till att peka pa sjalva IPA-servern. Detta ar redan standardvardet som satts av IPA-installeraren, sa det behovs inga manuella andringar. o Alternativet "full_name_format" far inte andras till att bara skriva korta namn pa anvandare fran betrodda domaner. Standard: false ipa_automount_location (strang) Automonteringsplatsen denna IPA-klient kommer anvanda Standard: platsen som heter "default" Observera att automounter:n bara laser master-kartan vid uppstart, sa om nagra autofs-relaterade andringar gors av sssd.conf behover du normalt aven starta om automounter-demonen efter att ha startat om SSSD. VYER OCH ASIDOSATTANDEN SSSD kan hantera vyer och asidosattanden som erbjuds av FreeIPA 4.1 och senare versioner. Eftersom alla sokvagar och objektklasser ar fasta pa serversidan finns det egentligen inget behov av att konfigurera nagot. For fullstandighets skull ar de tillhorande alternativen listade har med sina standardvarden. ipa_view_class (strang) Objektklass for vybehallaren. Standard: nsContainer ipa_view_name (strang) Namn pa attributet som har namnet pa vyn. Standard: cn ipa_override_object_class (strang) Objektklass for asidosattande objekt. Standard: ipaOverrideAnchor ipa_anchor_uuid (strang) Namn pa attributet som innehaller referensen till originalobjektet i en fjarrdoman. Standard: ipaAnchorUUID ipa_user_override_object_class (strang) Namn pa objektklassen for anvandarasidosattanden. Det anvands for att avgora om det funna asidosattande objektet ar relaterat till en anvandare eller en grupp. Anvandarasidosattanden kan innehalla attribut givna av o ldap_user_name o ldap_user_uid_number o ldap_user_gid_number o ldap_user_gecos o ldap_user_home_directory o ldap_user_shell o ldap_user_ssh_public_key Standard: ipaUserOverride ipa_group_override_object_class (strang) Namn pa objektklassen for gruppasidosattanden. Det anvands for att avgora om det funna asidosattandeobjektet ar relaterat till en anvandare eller en grupp. Gruppasidosattanden kan innehalla attribut givna av o ldap_group_name o ldap_group_gid_number Standard: ipaGroupOverride ANDRADE STANDARDALTERNATIV Vissa alternativs standardvarde stammer inte med deras respektive bakandars standardvarden, dessa alternativnamn och IPA-leverantorspecifika standardvarden ar uppraknade nedan: KRB5-leverantor o krb5_validate = true o krb5_use_fast = try o krb5_canonicalize = true LDAP-leverantor - allmant o ldap_schema = ipa_v1 o ldap_force_upper_case_realm = true o ldap_sasl_mech = GSSAPI o ldap_sasl_minssf = 56 o ldap_account_expire_policy = ipa o ldap_use_tokengroups = true LDAP-leverantor - anvandaralternativ o ldap_user_member_of = memberOf o ldap_user_uuid = ipaUniqueID o ldap_user_ssh_public_key = ipaSshPubKey o ldap_user_auth_type = ipaUserAuthType LDAP-leverantor - gruppalternativ o ldap_group_object_class = ipaUserGroup o ldap_group_object_class_alt = posixGroup o ldap_group_member = member o ldap_group_uuid = ipaUniqueID o ldap_group_objectsid = ipaNTSecurityIdentifier o ldap_group_external_member = ipaExternalMember UNDERDOMANSLEVERANTOR IPA-underdomansleverantoren beter sig nagot annorlunda om den konfigureras explicit eller implicit. Om alternativet "subdomains_provider = ipa" finns i domanavsnittet i sssd.conf konfigureras IPA-underdomansleverantoren explicit, och alla begaranden av underdomaner skickas till IPA-servern om nodvandigt. Om alternativet "subdomains_provider" inte ar satt i domanavsnittet av sssd.conf men alternativet "id_provider = ipa" finns konfigureras IPA-underdomansleverantoren implicit. I det fallet, om en underdomansbegaran misslyckas och indikerar att servern inte stodjer underdomaner, d.v.s. den ar inte konfigurerad for fortroenden, avaktiveras IPA-underdomansleverantoren. Efter en timma eller efter att IPA-leverantoren blir uppkopplad aktiveras underdomansleverantoren igen. KONFIGURATION AV BETRODDA DOMANER Nagra konfigurationflaggor kan aven sattas for betrodda domaner. En betrodd domamns konfiguration kan sattas med den betrodda domanens undersektion som visas i exemplet nedan. Alternativt kan flaggan "subdomain_inherit" anvandas i foraldradomanen. [domain/ipa.domain.com/ad.domain.com] ad_server = dc.ad.domain.com For fler detaljer, se manualsidan sssd.conf(5). Olika konfigurationsalternativ kan stallas in for en betrodd doman beroende pa huruvida man konfigurerar SSSD pa en IPA-server eller en IPA-klient. ALTERNATIV ATT STALLA IN PA IPA-MASTRAR Foljande alternativ kan sattas i ett underdomansavsnitt pa en IPA-master: o ad_server o ad_backup_server o ad_site o ldap_search_base o ldap_user_search_base o ldap_group_search_base o use_fully_qualified_names ALTERNATIV ATT STALLA IN PA IPA-KLIENTER Foljande alternativ kan sattas i ett underdomansavsnitt pa en IPA-klient: o ad_server o ad_site Observera att om bada alternativen satts evalueras endast "ad_server". Eftersom alla begaranden om en anvandar- eller en gruppidentitet fran en betrodd doman startad fran en IPA-klient loses upp av IPA-servern, paverkar alternativen "ad_server" och "ad_site" bara vilken AD DC autentiseringen kommer utforas emot. I synnerhet kommer adresserna som loses upp fran dessa listor att skrivas till "kdcinfo"-filer som lases av Kerberos-lokaliseringsinsticksmodulen. For fler detaljer om Kerberos-lokaliseringsinsticksmodulen hanvisas till manualsidan sssd_krb5_locator_plugin(8). RESERVER Reservfunktionen gor att bakandar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera. Reservsyntax Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillats runt kommatecknet. Servrarna listas i preferensordning. Listan kan innehalla obegransat antal servrar. For varje reservaktiverat konfigurationsalternativ finns det tva varianter: primary och backup. Tanken ar att servrar i den primara listan foredras och backup-servrar bara provas om inga primara servrar kan nas. Om en backup-server valjs satts en tidsgrans pa 31 sekunder. Efter denna tidsgrans kommer SSSD periodiskt att forsoka ateransluta till en av de primara servrarna. Om det lyckas kommer den ersatta den nu aktiva (backup-)servern. Reservmekanismen Reservmekanismen gor skillnad mellan en maskin och en tjanst. Bakanden forsoker forst att sla upp vardnamnet for en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare forsok gors att ansluta till denna maskin for nagon annan tjanst. Om uppslagningsforsoket lyckas forsoker bakanden ansluta till en tjanst pa denna maskin. Om tjansteanslutningen misslyckas anses bara just denna tjanst frankopplad och bakanden byter automatiskt till nasta tjanst. Maskinen betraktas fortfarande som uppkopplad och kan anvandas vid forsok att na en annan tjanst. Ytterligare forsok att ansluta gors till maskiner eller tjanster som markerats som frankopplade efter en viss tidsperiod, detta ar for narvarande hardkodat till 30 sekunder. Om det inte finns nagra fler maskiner att prova byter bakanden i sin helhet till frankopplat lage, och forsoker sedan ateransluta var 30:e sekund. Tidsgranser och trimning av reservfunktioner Att sla upp en server att ansluta till kan vara sa enkelt som att gora en enstaka DNS-fraga eller kan innebara flera steg, sasom att hitta den ratta sajten eller forsoka med flera vardnamn ifall nagra av de konfigurerade servrarna inte kan nas. De mer komplexa scenariona kan ta en stund och SSSD behover balansera mellan att tillhandahalla tillrackligt med tid for att fardigstalla upplosningsprocessen men a andra sidan inte forsoka for lange fore den faller tillbaka pa frankopplat lage. Om SSSD:s felsokningsloggar visar att serverns upplosning overskrider tidsgransen fore en aktiv server nas kan du overvaga att andra tidsgranserna. Detta avsnitt listar tillgangliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5). dns_resolver_server_timeout Tid i millisekunder som anger hur lange SSSD skall tala med en viss DNS-server fore den provar nasta. Standard: 1000 dns_resolver_op_timeout Tid i sekunder hur lange SSSD skall forsoka sla upp en viss DNS-fraga (t.ex. uppslagning av ett vardnamn eller en SRV-post) fore den provar nasta vardnamn eller upptacktsdoman. Standard: 3 dns_resolver_timeout Hur lange skall SSSD forsoka sla upp en reservtjanst. Denna tjansteuppslagning kan internt besta av flera steg, sasom att sla upp DNS SRV-fragor och lokalisera sajten. Standard: 6 For LDAP-baserade leverantorer utfors uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Darfor skall aven tidsgransen "ldap_opt_timeout" sattas till ett storre varde an "dns_resolver_timeout" som i sin tur skall sattas till ett storre varde an "dns_resolver_op_timeout" som skall vara storre an "dns_resolver_server_timeout". TJANSTEUPPTACKT Tjansteupptacktsfunktionen gor att bakandar automatiskt kan hitta en lamplig server att ansluta till med en speciell DNS-fraga. Denna funktion stodjs inte for backup-servrar. Konfiguration Om inga servrar anges anvander bakanden automatiskt tjansteupptackt for att forsoka hitta en server. Anvandaren kan om sa onskas valja att anvanda bade en bestamd serveradress och tjansteupptackt genom att infoga ett speciellt nyckelord, "_srv_", i listan av servrar. Preferensordningen bibehalls. Denna funktion ar anvandbar om, till exempel, anvandaren foredrar att anvanda tjansteupptackt narhelst det ar mojligt, och falla tillbaka pa en specifik server nar inga servrar kan upptackas med DNS. Domannamnet Se parametern "dns_discovery_domain" i manualsidan sssd.conf(5) for fler detaljer. Protokollet Fragorna anger vanligen _tcp som protokoll. Undantag ar dokumenterade i respektive alternativs beskrivning. Se aven For mer information om tjansteupptacktsmekanismen, se RFC 2782. EXEMPEL Foljande exempel antar att SSSD ar korrekt konfigurerat och att example.com ar en av domanerna i avsnittet [sssd]. Dessa exempel visar endast alternativ som ar specifika for leverantoren ipa. [domain/example.com] id_provider = ipa ipa_server = ipaserver.example.com ipa_hostname = minvard.example.com SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSSD-IPA(5)