'\" t
.\"     Title: sssd-ipa
.\"    Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/
.\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
.\"      Date: 04/09/2024
.\"    Manual: Формати файлів та правила
.\"    Source: SSSD
.\"  Language: English
.\"
.TH "SSSD\-IPA" "5" "04/09/2024" "SSSD" "Формати файлів та правила"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
sssd-ipa \- Модуль надання даних IPA SSSD
.SH "ОПИС"
.PP
На цій сторінці довідника описано налаштування засобу керування доступом IPA для
\fBsssd\fR(8)\&. Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу \(FoФОРМАТ ФАЙЛІВ\(Fc сторінки довідника
\fBsssd.conf\fR(5)\&.
.PP
Інструмент надання даних IPA \(em модуль, який використовується для встановлення з\(cqєднання з сервером IPA\&. (Інформацію щодо серверів IPA можна знайти на сайті freeipa\&.org\&.) Цей інструмент надання доступу потребує включення комп\(cqютера до домену IPA\&. Налаштування майже повністю автоматизовано, дані для нього отримуються безпосередньо з сервера\&.
.PP
Засіб надання даних IPA уможливлює для SSSD використання засобу надання даних профілів
\fBsssd-ldap\fR(5)
та засобу надання даних розпізнавання
\fBsssd-krb5\fR(5)
з оптимізацією для середовищ IPA\&. Засіб надання даних IPA приймає ті самі параметри, які використовуються засобами надання даних sssd\-ldap та sssd\-krb5, із деякими виключеннями\&. Втім, встановлювати ці параметри не обов\*(Aqязково і не рекомендовано\&.
.PP
Засіб надання даних IPA в основному копіює типові параметри традиційних засобів надання даних ldap і krb5 із деякими виключенням\&. Відмінності наведено у розділі
\(lqЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ\(rq\&.
.PP
As an access provider, the IPA provider has a minimal configuration (see
\(lqipa_access_order\(rq) as it mainly uses HBAC (host\-based access control) rules\&. Please refer to freeipa\&.org for more information about HBAC\&.
.PP
Якщо у sssd\&.conf вказано
\(lqauth_provider=ipa\(rq
або
\(lqaccess_provider=ipa\(rq, для id_provider також має бути вказано
\(lqipa\(rq\&.
.PP
Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки Kerberos користувачів з довірених областей містять PAC\&. Для полегшення налаштовування відповідач PAC запускається автоматично, якщо налаштовано інструмент надання даних ідентифікаторів IPA\&.
.SH "ПАРАМЕТРИ НАЛАШТУВАННЯ"
.PP
Зверніться до розділу \(FoРОЗДІЛИ ДОМЕНІВ\(Fc сторінки довідника (man)
\fBsssd.conf\fR(5), щоб дізнатися більше про налаштування домену SSSD\&.
.PP
ipa_domain (рядок)
.RS 4
Визначає назву домену IPA\&. Є необов\(cqязковим\&. Якщо не вказано, буде використано назву домену з налаштувань\&.
.RE
.PP
ipa_server, ipa_backup_server (рядок)
.RS 4
Впорядкований за пріоритетом список IP\-адрес або назв вузлів, відокремлених комами, серверів IPA, з якими має встановити з\(cqєднання SSSD\&. Докладніші відомості щодо резервних серверів викладено у розділі \(FoРЕЗЕРВ\(Fc\&. Цей список є необов\(cqязковим, якщо увімкнено автоматичне виявлення служб\&. Докладніші відомості щодо автоматичного виявлення служб наведено у розділі \(FoПОШУК СЛУЖБ\(Fc\&.
.RE
.PP
ipa_hostname (рядок)
.RS 4
Необов\(cqязковий\&. Може бути встановлено на комп\(cqютерах, де hostname(5) не відповідає повній назві, що використовується доменом IPA для розпізнавання цього вузла\&. Назву вузла слід вказувати повністю\&.
.RE
.PP
dyndns_update (булеве значення)
.RS 4
Необов\(cqязковий\&. За допомогою цього параметра можна наказати SSSD автоматично оновити на сервері DNS, вбудованому до FreeIPA, IP\-адресу клієнта\&. Захист оновлення буде забезпечено за допомогою GSS\-TSIG\&. Для оновлення буде використано IP\-адресу з\(cqєднання LDAP IPA, якщо не вказано іншу адресу за допомогою параметра \(Fodyndns_iface\(Fc\&.
.sp
ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у цьому режимі типову область дії Kerberos має бути належним чином визначено у /etc/krb5\&.conf
.sp
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра,
\fIipa_dyndns_update\fR, користувачам слід переходити на нову назву,
\fIdyndns_update\fR, у файлі налаштувань\&.
.sp
Типове значення: false
.RE
.PP
dyndns_ttl (ціле число)
.RS 4
TTL, до якого буде застосовано клієнтський запис DNS під час його оновлення\&. Якщо dyndns_update має значення false, цей параметр буде проігноровано\&. Перевизначає TTL на боці сервера, якщо встановлено адміністратором\&.
.sp
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра,
\fIipa_dyndns_ttl\fR, користувачам слід переходити на нову назву,
\fIdyndns_ttl\fR, у файлі налаштувань\&.
.sp
Типове значення: 1200 (секунд)
.RE
.PP
dyndns_iface (рядок)
.RS 4
Необов\*(Aqязковий\&. Застосовний, лише якщо dyndns_update має значення true\&. Виберіть інтерфейс або список інтерфейсів, чиї IP\-адреси має бути використано для динамічних оновлень DNS\&. Спеціальне значення
\(lq*\(rq
означає, що слід використовувати IP\-адреси з усіх інтерфейсів\&.
.sp
ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра,
\fIipa_dyndns_iface\fR, користувачам слід переходити на нову назву,
\fIdyndns_iface\fR, у файлі налаштувань\&.
.sp
Типове значення: використовувати IP\-адреси інтерфейсу, який використовується для з\(cqєднання LDAP IPA
.sp
Приклад: dyndns_iface = em1, vnet1, vnet2
.RE
.PP
dyndns_auth (рядок)
.RS 4
Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання GSS\-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені оновлення можна надсилати встановленням для цього параметра значення \(Fonone\(Fc\&.
.sp
Типове значення: GSS\-TSIG
.RE
.PP
dyndns_auth_ptr (рядок)
.RS 4
Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання GSS\-TSIG для безпечних оновлень PTR за допомогою сервера DNS, незахищені оновлення можна надсилати встановленням для цього параметра значення \(Fonone\(Fc\&.
.sp
Типове значення: те саме, що і dyndns_auth
.RE
.PP
ipa_enable_dns_sites (булеве значення)
.RS 4
Вмикає сайти DNS \(em визначення служб на основі адрес\&.
.sp
Якщо вказано значення true і увімкнено визначення служб (див\&. розділ щодо пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку спробує визначення на основі адрес за допомогою запиту, що містить "_location\&.hostname\&.example\&.com", а потім повертається до традиційного визначення SRV\&. Якщо визначення на основі адреси буде успішним, сервери IPA, виявлені на основі визначення за адресою, вважатимуться основним серверами, а сервери IPA, виявлені за допомогою традиційного визначення SRV, вважатимуться резервними серверами\&.
.sp
Типове значення: false
.RE
.PP
dyndns_refresh_interval (ціле число)
.RS 4
Визначає, наскільки часто серверний модуль має виконувати періодичні оновлення DNS на додачу до автоматичного оновлення, яке виконується під час кожного встановлення з\(cqєднання серверного модуля з мережею\&. Цей параметр не є обов\(cqязкоми, його застосовують, лише якщо dyndns_update має значення true\&.
.sp
Типове значення: 0 (вимкнено)
.RE
.PP
dyndns_update_ptr (булеве значення)
.RS 4
Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів DNS клієнта\&. Застосовується, лише якщо значенням dyndns_update буде true\&.
.sp
Значенням цього параметра у більшості розгорнутих систем IPA має бути False, оскільки сервер IPA створює записи PTR автоматично після зміни у записах переспрямовування\&.
.sp
Note that
\fIdyndns_update_per_family\fR
parameter does not apply for PTR record updates\&. Those updates are always sent separately\&.
.sp
Типове значення: False (вимкнено)
.RE
.PP
dyndns_force_tcp (булеве значення)
.RS 4
Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну даними з сервером DNS\&.
.sp
Типове значення: False (надати змогу nsupdate вибирати протокол)
.RE
.PP
dyndns_server (рядок)
.RS 4
Сервер DNS, який слід використовувати для виконання оновлення DNS\&. У більшості конфігурацій рекомендуємо не встановлювати значення для цього параметра\&.
.sp
Встановлення значення для цього параметра потрібне для середовищ, де сервер DNS відрізняється від сервера профілів\&.
.sp
Будь ласка, зауважте, що цей параметр буде використано лише для резервних спроб, якщо попередні спроби із використанням автовиявлення завершаться невдало\&.
.sp
Типове значення: немає (надати nsupdate змогу вибирати сервер)
.RE
.PP
dyndns_update_per_family (булеве значення)
.RS 4
Оновлення DNS, типово, виконується у два кроки \(em оновлення IPv4, а потім оновлення IPv6\&. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один крок\&.
.sp
Типове значення: true
.RE
.PP
ipa_access_order (string)
.RS 4
Список відокремлених комами параметрів керування доступом\&. Можливі значення списку:
.sp
\fIexpire\fR: use IPA\*(Aqs account expiration policy\&.
.sp
\fIpwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: \fR
Ці параметри корисні, якщо користувачам потрібні попередження щодо скорого завершення строку дії пароля, і у випадках, коли розпізнавання засновано на відмінних від паролів методах, наприклад на ключах SSH\&.
.sp
The difference between these options is the action taken if user password is expired:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_reject \- user is denied to log in,
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_warn \- user is still able to log in,
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_renew \- user is prompted to change their password immediately\&.
.RE
.sp
Please note that \*(Aqaccess_provider = ipa\*(Aq must be set for this feature to work\&.
.RE
.PP
ipa_deskprofile_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку пов\(cqязаних з профілями станції (Desktop Profile) об\(cqєктів\&.
.sp
Типове значення: використання базової назви домену
.RE
.PP
ipa_hbac_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку пов\(cqязаних з HBAC об\(cqєктів\&.
.sp
Типове значення: використання базової назви домену
.RE
.PP
ipa_host_search_base (рядок)
.RS 4
Застарілий\&. Скористайтеся замість нього ldap_host_search_base\&.
.RE
.PP
ipa_selinux_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку карт користувачів SELinux\&.
.sp
Ознайомтеся з розділом щодо \(Foldap_search_base\(Fc, щоб дізнатися більше про налаштування декількох основ пошуку\&.
.sp
Типове значення: значення
\fIldap_search_base\fR
.RE
.PP
ipa_subdomains_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку надійних доменів\&.
.sp
Ознайомтеся з розділом щодо \(Foldap_search_base\(Fc, щоб дізнатися більше про налаштування декількох основ пошуку\&.
.sp
Типове значення: значення
\fIcn=trusts,%basedn\fR
.RE
.PP
ipa_master_domain_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку основного об\(cqєкта домену\&.
.sp
Ознайомтеся з розділом щодо \(Foldap_search_base\(Fc, щоб дізнатися більше про налаштування декількох основ пошуку\&.
.sp
Типове значення: значення виразу
\fIcn=ad,cn=etc,%basedn\fR
.RE
.PP
ipa_views_search_base (рядок)
.RS 4
Необов\(cqязковий\&. Використати вказаний рядок як основу пошуку контейнерів перегляду\&.
.sp
Ознайомтеся з розділом щодо \(Foldap_search_base\(Fc, щоб дізнатися більше про налаштування декількох основ пошуку\&.
.sp
Типове значення: значення
\fIcn=views,cn=accounts,%basedn\fR
.RE
.PP
krb5_realm (рядок)
.RS 4
Назва області дії Kerberos\&. Є необов\(cqязковою, типовим значенням є значення \(Foipa_domain\(Fc\&.
.sp
Назва області дії Kerberos має особливе значення у IPA: цю назву буде перетворено у основний DN для виконання дій LDAP\&.
.RE
.PP
krb5_confd_path (рядок)
.RS 4
Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти налаштувань Kerberos\&.
.sp
Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра значення \(Fonone\(Fc\&.
.sp
Типове значення: не встановлено (підкаталог krb5\&.include\&.d каталогу pubconf SSSD)
.RE
.PP
ipa_deskprofile_refresh (ціле число)
.RS 4
Проміжок часу між послідовними пошуками правил профілів станції (Desktop Profile) щодо сервера IPA\&. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо профілів станції\&.
.sp
Типове значення: 5 (секунд)
.RE
.PP
ipa_deskprofile_request_interval (ціле число)
.RS 4
Час між пошуками у правилах профілів станцій на сервері IPA, якщо за останнім запитом не повернуто жодного правила\&.
.sp
Типове значення: 60 (хвилин)
.RE
.PP
ipa_hbac_refresh (ціле число)
.RS 4
Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA\&. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо керування доступом\&.
.sp
Типове значення: 5 (секунд)
.RE
.PP
ipa_hbac_selinux (ціле число)
.RS 4
Проміжок часу між послідовними пошуками у картах SELinux щодо сервера IPA\&. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо входу користувача до системи\&.
.sp
Типове значення: 5 (секунд)
.RE
.PP
ipa_server_mode (булеве значення)
.RS 4
Цей параметр буде встановлено засобом встановлення IPA (ipa\-server\-install) автоматично, він визначає, чи запущено SSSD на сервері IPA\&.
.sp
На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA\&.
.sp
Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD працює на сервері IPA\&.
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Параметр
\(lqipa_server\(rq
має бути налаштовано так, щоб він вказував на сам сервер IPA\&. Це типово робить засіб встановлення IPA, тому зміни вручну є зайвими\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Не слід змінювати значення параметра
\(lqfull_name_format\(rq
для того, щоб лише виводити короткі імена користувачів з довірених доменів\&.
.RE
.sp
Типове значення: false
.RE
.PP
ipa_automount_location (рядок)
.RS 4
Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA
.sp
Типове значення: адреса з назвою "default"
.sp
Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту лише під час запуску, отже якщо до ssd\&.conf внесено будь\-які пов\(cqязані з autofs зміни, типово слід перезапустити фонову службу автоматичного монтування після перезапуску SSSD\&.
.RE
.SS "ПЕРЕГЛЯДИ і ПЕРЕВИЗНАЧЕННЯ"
.PP
SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA 4\&.1 та новішими версіями\&. Оскільки усі шляхи і класи об\(cqєктів зафіксовано на боці сервера, в основному, немає потреби у додатковому налаштовуванні\&. Для повноти, усі відповідні параметри наведено у списку разом з їхніми типовими значеннями\&.
.PP
ipa_view_class (рядок)
.RS 4
Клас об\(cqєктів для контейнерів перегляду\&.
.sp
Типове значення: nsContainer
.RE
.PP
ipa_view_name (рядок)
.RS 4
Назва атрибута, у якому зберігається назва перегляду\&.
.sp
Типове значення: cn
.RE
.PP
ipa_override_object_class (рядок)
.RS 4
Клас об\(cqєктів для об\(cqєктів перевизначення
.sp
Типове значення: ipaOverrideAnchor
.RE
.PP
ipa_anchor_uuid (рядок)
.RS 4
Назва атрибута, у якому зберігається посилання на початковий об\(cqєкт на віддаленому домені\&.
.sp
Типове значення: ipaAnchorUUID
.RE
.PP
ipa_user_override_object_class (рядок)
.RS 4
Назва класу об\(cqєктів для перевизначень користувачів\&. Використовується для визначення того, чи знайдений об\(cqєкт перевизначення пов\(cqязано з користувачем або групою\&.
.sp
Перевизначення користувачів можуть містити атрибути, задані
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_name
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_uid_number
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_gid_number
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_gecos
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_home_directory
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_shell
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_ssh_public_key
.RE
.sp
Типове значення: ipaUserOverride
.RE
.PP
ipa_group_override_object_class (рядок)
.RS 4
Назва класу об\(cqєктів для перевизначень груп\&. Використовується для визначення того, чи знайдений об\(cqєкт перевизначення пов\(cqязано з користувачем або групою\&.
.sp
Перевизначення груп можуть містити атрибути, задані
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_name
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_gid_number
.RE
.sp
Типове значення: ipaGroupOverride
.RE
.SH "ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ"
.PP
Деякі типові значення параметрів не збігаються із типовими значеннями параметрів засобу надання даних\&. Із назвами відповідних параметрів та специфічні для засобу надання даних IPA значення цих параметрів можна ознайомитися за допомогою наведеного нижче списку:
.SS "Модуль надання даних KRB5"
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
krb5_validate = true
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
krb5_use_fast = try
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
krb5_canonicalize = true
.RE
.SS "Модуль надання даних LDAP \(em Загальне"
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_schema = ipa_v1
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_force_upper_case_realm = true
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_sasl_mech = GSSAPI
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_sasl_minssf = 56
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_account_expire_policy = ipa
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_use_tokengroups = true
.RE
.SS "Модуль надання даних LDAP \(em Параметри користувачів"
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_member_of = memberOf
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_uuid = ipaUniqueID
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_ssh_public_key = ipaSshPubKey
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_auth_type = ipaUserAuthType
.RE
.SS "Модуль надання даних LDAP \(em Параметри груп"
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_object_class = ipaUserGroup
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_object_class_alt = posixGroup
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_member = member
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_uuid = ipaUniqueID
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_objectsid = ipaNTSecurityIdentifier
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_external_member = ipaExternalMember
.RE
.SH "СЛУЖБА ПІДДОМЕНІВ"
.PP
Поведінка інструмента надання даних піддоменів IPA залежить від того, у який спосіб його налаштовано: явний чи неявний\&.
.PP
Якщо у розділі домену sssd\&.conf буде знайдено запис параметра \(Fosubdomains_provider = ipa\(Fc, інструмент надання даних піддоменів IPA налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, якщо це потрібно\&.
.PP
Якщо у розділі домену sssdconf не встановлено параметр \(Fosubdomains_provider\(Fc, але встановлено параметр \(Foid_provider = ipa\(Fc, інструмент надання даних піддоменів IPA налаштовано неявним чином\&. У цьому випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, отже інструмент надання даних піддоменів IPA вимкнено\&. Щойно мине година або відкриється доступ до інструмента надання даних IPA, інструмент надання даних піддоменів буде знову увімкнено\&.
.SH "НАЛАШТОВУВАННЯ ДОВІРЕНИХ ДОМЕНІВ"
.PP
Крім того, деякі параметри налаштування може бути встановлено для довіреного домену\&. Налаштування довіреного домену можна встановити за допомогою підрозділу довіреного домену, як це показано у наведеному нижче прикладі\&. Крім того, можна скористатися параметром
\(lqsubdomain_inherit\(rq
у батьківському домені\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[domain/ipa\&.domain\&.com/ad\&.domain\&.com]
ad_server = dc\&.ad\&.domain\&.com
.fi
.if n \{\
.RE
.\}
.PP
Щоб дізнатися більше, ознайомтеся зі сторінкою підручника щодо
\fBsssd.conf\fR(5)\&.
.PP
Перелік параметрів налаштовування для довіреного домену залежить від того, як ви налаштували SSSD на сервері IPA або клієнт IPA\&.
.SS "ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА ОСНОВНИХ СЕРВЕРАХ IPA"
.PP
У розділі піддомену на основному сервері IPA можна вказати такі параметри:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ad_server
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ad_backup_server
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ad_site
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_search_base
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_user_search_base
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_group_search_base
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
use_fully_qualified_names
.RE
.sp
.SS "ПАРАМЕТРИ, ЯКІ МОЖНА НАЛАШТУВАТИ НА КЛІЄНТАХ IPA"
.PP
У розділі піддомену на клієнті IPA можна вказати такі параметри:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ad_server
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ad_site
.RE
.PP
Зауважте, що якщо встановлено обидва параметри, буде враховано лише
\(lqad_server\(rq\&.
.PP
Оскільки будь\-який запит щодо ідентифікації користувача або групи від довіреного домену, який започатковано клієнтом IPA, обробляється сервером IPA, параметри
\(lqad_server\(rq
і
\(lqad_site\(rq
впливають лише на те, який з DC AD виконуватиме процедуру розпізнавання\&. Зокрема, адреси, які визначено за цими списками, буде записано до файлів
\(lqkdcinfo\(rq, читання яких виконуватиметься додатком пошуку Kerberos\&. Будь ласка, зверніться до сторінки підручника щодо
\fBsssd_krb5_locator_plugin\fR(8), щоб дізнатися більше про додаток пошуку Kerberos\&.
.SH "РЕЗЕРВ"
.PP
Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з\(cqєднання з поточним сервером зазнає невдачі\&.
.SS "Синтаксичні конструкції визначення резервного сервера"
.PP
Список записів серверів, відокремлених комами\&. Між комами можна використовувати довільну кількість пробілів\&. Порядок у списку визначає пріоритет\&. У списку може бути будь\-яка кількість записів серверів\&.
.PP
Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти:
\fIосновний\fR
і
\fIрезервний\fR\&. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з\(cqєднатися з жодним з основних серверів\&. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду\&. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з\(cqєднання з основними серверами\&. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний\&.
.SS "Механізм визначення резервного сервера"
.PP
Механізмом резервного використання розрізняються окремі комп\(cqютери і служби\&. Спочатку модуль намагається визначити назву вузла вказаного комп\(cqютера\&. Якщо спроби визначення зазнають невдачі, комп\(cqютер вважатиметься від\(cqєднаним від мережі\&. Подальших спроб встановити з\(cqєднання з цим комп\(cqютером для всіх інших служб не виконуватиметься\&. Якщо вдасться виконати визначення, модуль зробити спробу встановити з\(cqєднання зі службою на визначеному комп\(cqютері\&. Якщо спроба з\(cqєднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу\&. Комп\(cqютер служби вважатиметься з\(cqєднаним з мережею, можливі подальші спроби використання інших служб\&.
.PP
Подальші спроби встановлення з\(cqєднання з комп\(cqютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу\&. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам\&.
.PP
Якщо список комп\(cqютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з\(cqєднання кожні 30 секунд\&.
.SS "Час очікування на перемикання на резервний ресурс та точне налаштовування"
.PP
Для визначення сервера для з\*(Aqєднання достатньо одного запиту DNS або декількох кроків, зокрема визначення відповідного сайта або спроба використати декілька назв вузлів у випадку, якщо якісь із налаштованих серверів недоступні\&. Складніші сценарії можуть потребувати додаткового часу, а SSSD треба збалансувати надання достатнього часу для завершення процесу визначення і використання притомного часу на виконання цього запиту перед переходом до автономного режиму\&. Якщо діагностичний журнал SSSD показує, що під час визначення сервера перевищено час очікування на з\*(Aqєднання із працездатним сервером, варто змінити значення параметрів часу очікування\&.
.PP
У цьому розділі наведено списки доступних для коригування параметрів\&. Будь ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника
\fBsssd.conf\fR(5)\&.
.PP
dns_resolver_server_timeout
.RS 4
Час у мілісекундах, протягом якого SSSD має намагатися обмінятися даними із окремим сервером DNS, перш ніж перейти до спроб зв\*(Aqязатися із наступним\&.
.sp
Типове значення: 1000
.RE
.PP
dns_resolver_op_timeout
.RS 4
Час у секундах, який визначає тривалість періоду, протягом якого SSSD намагатиметься обробити окремий запит DNS (наприклад встановити назву вузла або запис SRV), перш ніж перейти до наступної назви вузла або наступного домену пошуку\&.
.sp
Типове значення: 3
.RE
.PP
dns_resolver_timeout
.RS 4
Наскільки довго має чекати SSSD на визначення резервної служби надання даних\&. На внутрішньому рівні визначення такої служби може включати декілька кроків, зокрема визначення адрес запитів DNS SRV або пошук розташування сайта\&.
.sp
Типове значення: 6
.RE
.PP
Для заснованих на LDAP постачальників даних дія з визначення виконується як частина дії зі встановлення з\*(Aqєднання із LDAP\&. Тому слід також встановити для часу очікування
\(lqldap_opt_timeout\(rq
значення, яке перевищуватиме значення
\(lqdns_resolver_timeout\(rq, яке також має перевищувати значення
\(lqdns_resolver_op_timeout\(rq, яке має перевищувати значення
\(lqdns_resolver_server_timeout\(rq\&.
.SH "ПОШУК СЛУЖБ"
.PP
За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з\(cqєднання на основі даних, отриманих у відповідь на спеціальний запит до DNS\&. Підтримки цієї можливості для резервних серверів не передбачено\&.
.SS "Налаштування"
.PP
Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера\&. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб\&. Для цього слід вставити особливе ключове слово, \(Fo_srv_\(Fc, до списку серверів\&. Пріоритет визначається за вказаним порядком\&. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера\&.
.SS "Назва домену"
.PP
З докладнішими відомостями щодо параметра \(Fodns_discovery_domain\(Fc можна ознайомитися на сторінці підручника (man)
\fBsssd.conf\fR(5)\&.
.SS "Протокол"
.PP
Запитами зазвичай визначається протокол _tcp\&. Виключення документовано у описі відповідного параметра\&.
.SS "Також прочитайте"
.PP
Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782\&.
.SH "ПРИКЛАД"
.PP
У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example\&.com є одним з доменів у розділі
\fI[sssd]\fR\&. У прикладі продемонстровано лише параметри доступу, специфічні для засобу ipa\&.
.PP
.if n \{\
.RS 4
.\}
.nf
[domain/example\&.com]
id_provider = ipa
ipa_server = ipaserver\&.example\&.com
ipa_hostname = myhost\&.example\&.com
.fi
.if n \{\
.RE
.\}
.sp
.SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ"
.PP
\fBsssd\fR(8),
\fBsssd.conf\fR(5),
\fBsssd-ldap\fR(5),
\fBsssd-ldap-attributes\fR(5),
\fBsssd-krb5\fR(5),
\fBsssd-simple\fR(5),
\fBsssd-ipa\fR(5),
\fBsssd-ad\fR(5),
\fBsssd-files\fR(5),
\fBsssd-sudo\fR(5),
\fBsssd-session-recording\fR(5),
\fBsss_cache\fR(8),
\fBsss_debuglevel\fR(8),
\fBsss_obfuscate\fR(8),
\fBsss_seed\fR(8),
\fBsssd_krb5_locator_plugin\fR(8),
\fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8),
\fBsssd-ifp\fR(5),
\fBpam_sss\fR(8)\&.
\fBsss_rpcidmapd\fR(5)
.SH "AUTHORS"
.PP
\fBОсновна гілка розробки SSSD \(em
https://pagure\&.io/SSSD/sssd/\fR