'\" t
.\"     Title: sssd-krb5
.\"    Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/
.\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
.\"      Date: 05/17/2024
.\"    Manual: Форматы файлов и рекомендации
.\"    Source: SSSD
.\"  Language: English
.\"
.TH "SSSD\-KRB5" "5" "05/17/2024" "SSSD" "Форматы файлов и рекомендации"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
sssd-krb5 \- Поставщик данных Kerberos SSSD
.SH "ОПИСАНИЕ"
.PP
На этой справочной странице представлено описание настройки внутреннего сервера проверки подлинности Kerberos 5 для
\fBsssd\fR(8)\&. Подробные сведения о синтаксисе доступны в разделе
\(lqФОРМАТ ФАЙЛА\(rq
справочной страницы
\fBsssd.conf\fR(5)\&.
.PP
Внутренний сервер проверки подлинности Kerberos 5 содержит поставщиков данных для проверки подлинности (auth) и смены пароля (chpass)\&. Для корректной работы его необходимо использовать совместно с поставщиком данных идентификации (например, id_provider = ldap)\&. Некоторые данные, которые требуются внутреннему серверу проверки подлинности Kerberos 5, должны предоставляться поставщиком данных идентификации (например, имя участника Kerberos пользователя (UPN))\&. В конфигурации поставщика данных идентификации должна быть запись с указанием UPN\&. Сведения о том, как выполнить такую настройку, доступны на справочной странице соответствующего поставщика данных идентификации\&.
.PP
Этот внутренний сервер также предоставляет возможность управления доступом на основе файла \&.k5login в домашнем каталоге пользователя\&. Дополнительные сведения доступны на справочной странице
\fBk5login\fR(5)\&. Обратите внимание, что пользователю будет отказано в доступе, если файл \&.k5login пуст\&. Чтобы активировать эту возможность, укажите \(Foaccess_provider = krb5\(Fc в конфигурации SSSD\&.
.PP
Если на внутреннем сервере идентификации недоступен UPN,
\fBsssd\fR
создаст UPN в формате
\fIusername\fR@\fIkrb5_realm\fR\&.
.SH "ПАРАМЕТРЫ КОНФИГУРАЦИИ"
.PP
Если в домене SSSD используется модуль проверки подлинности krb5, необходимо использовать следующие параметры\&. Сведения о конфигурации домена SSSD доступны на справочной странице
\fBsssd.conf\fR(5), в разделе
\(lqРАЗДЕЛЫ ДОМЕНА\(rq\&.
.PP
krb5_server, krb5_backup_server (строка)
.RS 4
Разделённый запятыми список IP\-адресов или имён узлов серверов Kerberos, к которым SSSD следует подключаться в порядке приоритета\&. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе
\(lqОТРАБОТКА ОТКАЗА\(rq\&. После адресов или имён узлов можно (необязательно) добавить номер порта (предварив его двоеточием)\&. Если у параметра пустое значение, будет включено обнаружение служб \(em дополнительные сведения доступны в разделе
\(lqОБНАРУЖЕНИЕ СЛУЖБ\(rq\&.
.sp
При использовании обнаружения служб для серверов KDC или kpasswd SSSD сначала выполняет поиск записей DNS, в которых в качестве протокола указан _udp\&. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS, в которых в качестве протокола указан _tcp\&.
.sp
В предыдущих версиях SSSD этот параметр назывался
\(lqkrb5_kdcip\(rq\&. Это устаревшее имя всё ещё распознаётся, но пользователям рекомендуется перейти на использование
\(lqkrb5_server\(rq
в файлах конфигурации\&.
.RE
.PP
krb5_realm (строка)
.RS 4
Имя области Kerberos\&. Этот параметр является обязательным и должен быть указан\&.
.RE
.PP
krb5_kpasswd, krb5_backup_kpasswd (строка)
.RS 4
Если на KDC не запущена служба смены паролей, здесь можно задать альтернативные серверы\&. После адресов или имён узлов можно добавить необязательный номер порта (предварив его двоеточием)\&.
.sp
Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе
\(lqОТРАБОТКА ОТКАЗА\(rq\&. ПРИМЕЧАНИЕ: даже если список серверов kpasswd будет исчерпан, внутренний сервер не перейдёт в автономный режим работы, если всё ещё возможна проверка подлинности с помощью KDC\&.
.sp
По умолчанию: использовать KDC
.RE
.PP
krb5_ccachedir (строка)
.RS 4
Каталог для хранения кэшей учётных данных\&. Здесь также можно использовать все последовательности замещения krb5_ccname_template, за исключением %d и %P\&. Каталог создаётся как закрытый, его владельцем является пользователь, права доступа \(em 0700\&.
.sp
По умолчанию: /tmp
.RE
.PP
krb5_ccname_template (строка)
.RS 4
Расположение кэша учётных данных пользователя\&. В настоящее время поддерживаются три типа кэша учётных данных:
\(lqFILE\(rq,
\(lqDIR\(rq
и
\(lqKEYRING:persistent\(rq\&. Кэш можно указать либо как
\fITYPE:RESIDUAL\fR, либо как абсолютный путь, что предполагает тип
\(lqFILE\(rq\&. В шаблоне заменяются следующие последовательности:
.PP
%u
.RS 4
имя для входа
.RE
.PP
%U
.RS 4
UID для входа
.RE
.PP
%p
.RS 4
имя участника
.RE
.PP
%r
.RS 4
имя области
.RE
.PP
%h
.RS 4
домашний каталог
.RE
.PP
%d
.RS 4
значение krb5_ccachedir
.RE
.PP
%P
.RS 4
идентификатор процесса клиента SSSD
.RE
.PP
%%
.RS 4
литерал \(Fo%\(Fc
.RE
.sp
Если шаблон заканчивается на \(FoXXXXXX\(Fc, для безопасного создания уникального имени файла используется mkstemp(3)\&.
.sp
Если используются типы KEYRING, единственным поддерживаемым механизмом является
\(lqKEYRING:persistent:%U\(rq, то есть использование набора ключей ядра Linux для хранения учётных данных на основе разделения по UID\&. Этот вариант также является рекомендуемым, так как этот способ обеспечивает наибольшую безопасность и предсказуемость\&.
.sp
Источником стандартного значения имени кэша учётных данных является профиль, который хранится в общесистемном файле конфигурации krb5\&.conf в разделе [libdefaults]\&. Имя параметра \(em default_ccache_name\&. Дополнительные сведения о формате расширения, определённом krb5\&.conf, доступны в абзаце о расширении параметров (PARAMETER EXPANSION) krb5\&.conf(5)\&.
.sp
ПРИМЕЧАНИЕ: обратите внимание, что в шаблоне расширения ccache libkrb5 из
\fBkrb5.conf\fR(5)
используются другие последовательности расширения, чем в SSSD\&.
.sp
По умолчанию: (из libkrb5)
.RE
.PP
krb5_keytab (строка)
.RS 4
Расположение таблицы ключей, которую следует использовать при проверке учётных данных, полученных от KDC\&.
.sp
По умолчанию: системная таблица ключей, обычно
/etc/krb5\&.keytab
.RE
.PP
krb5_store_password_if_offline (логическое значение)
.RS 4
Сохранять пароль пользователя, если поставщик не в сети, и использовать его для запроса TGT, когда поставщик снова появляется в сети\&.
.sp
ПРИМЕЧАНИЕ: эта возможность доступна только в Linux\&. Пароли, сохранённые таким образом, хранятся как простой текст в наборе ключей ядра и потенциально доступны пользователю root (потребуются некоторые усилия)\&.
.sp
По умолчанию: false
.RE
.PP
krb5_use_fast (строка)
.RS 4
Включает защищённое туннелирование гибкой проверки подлинности (FAST) для предварительной проверки подлинности Kerberos\&. Поддерживаются следующие параметры:
.sp
\fInever\fR
\(em никогда не использовать FAST\&. Это равнозначно тому варианту, когда значение этого параметра вообще не указано\&.
.sp
\fItry\fR
\(em пытаться использовать FAST\&. Если сервер не поддерживает FAST, проверка подлинности будет продолжена без него\&.
.sp
\fIdemand\fR
\(em требовать использования FAST\&. Проверка подлинности будет неудачной, если сервер не требует использования FAST\&.
.sp
По умолчанию: не задано, то есть FAST не используется\&.
.sp
ПРИМЕЧАНИЕ: для использования FAST необходима таблица ключей или поддержка анонимного PKINIT\&.
.sp
ПРИМЕЧАНИЕ: SSSD поддерживает FAST только для MIT Kerberos версии 1\&.8 и выше\&. Если SSSD используется с более ранней версией MIT Kerberos, использование этого параметра является ошибкой конфигурации\&.
.RE
.PP
krb5_fast_principal (строка)
.RS 4
Указывает участник\-сервер, который следует использовать для FAST\&.
.RE
.PP
krb5_fast_use_anonymous_pkinit (логическое значение)
.RS 4
Если установлено значение \(Fotrue\(Fc, попытаться воспользоваться анонимным PKINIT вместо таблицы ключей для получения необходимых учётных данных для FAST\&. В этом случае параметры krb5_fast_principal игнорируются\&.
.sp
По умолчанию: false
.RE
.PP
krb5_use_kdcinfo (логическое значение)
.RS 4
Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и какие KDC нужно использовать\&. Этот параметр включён по умолчанию\&. Если отключить его, потребуется настроить библиотеку Kerberos с помощью файла конфигурации
\fBkrb5.conf\fR(5)\&.
.sp
Дополнительные сведения о модуле локатора доступны на справочной странице
\fBsssd_krb5_locator_plugin\fR(8)\&.
.sp
По умолчанию: true
.RE
.PP
krb5_kdcinfo_lookahead (строка)
.RS 4
Когда параметр krb5_use_kdcinfo установлен в значение \(Fotrue\(Fc, можно ограничить количество серверов, которые передаются
\fBsssd_krb5_locator_plugin\fR(8)\&. Это может быть полезно, когда с помощью записи SRV обнаруживается слишком много серверов\&.
.sp
Параметр krb5_kdcinfo_lookahead содержит два числа, разделённых двоеточием\&. Первое число представляет количество используемых основных серверов, а второе \(em количество резервных серверов\&.
.sp
Например,
\fI10:0\fR
означает, что
\fBsssd_krb5_locator_plugin\fR(8)
будут переданы 10 основных серверов, но ни одного резервного сервера\&.
.sp
По умолчанию: 3:1
.RE
.PP
krb5_use_enterprise_principal (логическое значение)
.RS 4
Позволяет указать, следует ли обрабатывать участника\-пользователя как участника\-предприятие\&. Дополнительные сведения об участниках\-предприятиях доступны в разделе 5 RFC 6806\&.
.sp
По умолчанию: false (поставщик данных AD: true)
.sp
Поставщик данных IPA установит этот параметр в значение \(Fotrue\(Fc, если определит, что сервер может обрабатывать участников\-предприятия, и если этот параметр не задан в явном виде в файле конфигурации\&.
.RE
.PP
krb5_use_subdomain_realm (логическое значение)
.RS 4
Указывает использовать области поддоменов для проверки подлинности пользователей из доверенных доменов\&. Этот параметр можно установить в значение \(Fotrue\(Fc, если участники\-предприятия используются с upnSuffixes, неизвестными KDC родительского домена\&. Если этот параметр установлен в значение \(Fotrue\(Fc, SSSD будет пытаться отправить запрос напрямую KDC того доверенного домена, из которого пришёл пользователь\&.
.sp
По умолчанию: false
.RE
.PP
krb5_map_user (строка)
.RS 4
Перечень сопоставлений указывается в виде разделённого запятыми списка пар
\(lqusername:primary\(rq, где
\(lqusername\(rq
\(em имя пользователя UNIX, а
\(lqprimary\(rq
\(em часть пользователя в записи участника Kerberos\&. Это сопоставление задействуется, когда для проверки подлинности пользователя используется
\(lqauth_provider = krb5\(rq\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
krb5_realm = REALM
krb5_map_user = joe:juser,dick:richard
.fi
.if n \{\
.RE
.\}
.sp
\(lqjoe\(rq
и
\(lqdick\(rq
\(em имена пользователей UNIX, а
\(lqjuser\(rq
и
\(lqrichard\(rq
\(em основные части участников Kerberos\&. Для пользователей
\(lqjoe\(rq
и
\(lqdick\(rq
SSSD попытается выполнить kinit как, соответственно,
\(lqjuser@REALM\(rq
и
\(lqrichard@REALM\(rq\&.
.sp
По умолчанию: не задано
.RE
.PP
krb5_auth_timeout (целое число)
.RS 4
Тайм\-аут в секундах после прерывания запроса проверки подлинности или смены пароля в сетевом режиме\&. Обработка запроса проверки подлинности будет продолжена в автономном режиме, если это возможно\&.
.sp
По умолчанию: 6
.RE
.PP
krb5_validate (логическое значение)
.RS 4
Проверить с помощью krb5_keytab, что полученный TGT не был подменён\&. Проверка записей в таблице ключей выполняется последовательно, для проверки действительности используется первая запись с соответствующей областью\&. Если области не соответствует ни одна из записей, используется последняя запись в таблице ключей\&. Этот процесс можно использовать для проверки сред, где используются межобластные отношения доверия, поместив соответствующую запись таблицы ключей в качестве последней или единственной записи в файле таблицы ключей\&.
.sp
По умолчанию: false (для поставщиков данных IPA и AD: true)
.sp
Обратите внимание, что проверка билета \(em это первый шаг при проверке PAC (дополнительные сведения доступны в описании параметра \(Fopac_check\(Fc на справочной странице
\fBsssd.conf\fR(5))\&. Если проверка билета отключена, проверки PAC также будут пропущены\&.
.RE
.PP
krb5_renewable_lifetime (строка)
.RS 4
Запросить обновляемый билет с общим временем жизни, указанным как целое число, сразу после которого следует единица измерения времени:
.sp
\fIs\fR
для секунд
.sp
\fIm\fR
для минут
.sp
\fIh\fR
для часов
.sp
\fId\fR
для дней\&.
.sp
Если единица измерения не указана, предполагается, что используется значение
\fIs\fR\&.
.sp
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить обновляемое время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
По умолчанию: не задано, то есть TGT не является обновляемым
.RE
.PP
krb5_lifetime (строка)
.RS 4
Запросить билет с временем жизни, указанным как целое число, сразу после которого следует единица измерения времени:
.sp
\fIs\fR
для секунд
.sp
\fIm\fR
для минут
.sp
\fIh\fR
для часов
.sp
\fId\fR
для дней\&.
.sp
Если единица измерения не указана, предполагается, что используется значение
\fIs\fR\&.
.sp
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
По умолчанию: не задано, то есть стандартное время жизни билета, настроенное в параметрах KDC\&.
.RE
.PP
krb5_renew_interval (строка)
.RS 4
Время в секундах между двумя проверками того, следует ли обновить TGT\&. Обновление TGT выполняется в том случае, если прошла примерно половина времени жизни билета, указанного как целое число, сразу после которого следует единица измерения времени:
.sp
\fIs\fR
для секунд
.sp
\fIm\fR
для минут
.sp
\fIh\fR
для часов
.sp
\fId\fR
для дней\&.
.sp
Если единица измерения не указана, предполагается, что используется значение
\fIs\fR\&.
.sp
ПРИМЕЧАНИЕ: единицы измерения нельзя смешивать\&. Чтобы установить обновляемое время жизни равным полутора часам, укажите \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
Если этот параметр не указан или установлен в значение \(Fo0\(Fc, автоматическое обновление отключено\&.
.sp
По умолчанию: не задано
.RE
.PP
krb5_canonicalize (логическое значение)
.RS 4
Позволяет указать, следует ли приводить в каноническую форму имя участника\-узла и участника\-пользователя\&. Эта возможность доступна в MIT Kerberos 1\&.7 и выше\&.
.sp
По умолчанию: false
.RE
.SH "ОТРАБОТКА ОТКАЗА"
.PP
Функция обработки отказа позволяет внутренним серверам автоматически переключаться на другой сервер в случае сбоя текущего сервера\&.
.SS "Синтаксис обработки отказа"
.PP
Список серверов разделяется запятыми; рядом с запятыми допускается любое количество пробелов\&. Серверы перечислены в порядке приоритета\&. Список может содержать любое количество серверов\&.
.PP
Для каждого параметра конфигурации с поддержкой отработки отказа существуют два варианта:
\fIосновной\fR
(primary) и
\fIрезервный\fR
(backup)\&. Смысл в том, что приоритет получают серверы из списка основных, а поиск резервных серверов выполняется только в том случае, если не удалось связаться с основными серверами\&. Если выбран резервный сервер, устанавливается 31\-секундный тайм\-аут\&. По его истечении SSSD будет периодически пытаться восстановить подключение к одному из основных серверов\&. Если попытка будет успешной, текущий активный (резервный) сервер будет заменён на основной\&.
.SS "Механизм отработки отказа"
.PP
Механизм отработки отказа различает компьютеры и службы\&. Внутренний сервер сначала пытается разрешить имя узла указанного компьютера; если попытка разрешения завершается неудачей, компьютер считается работающим в автономном режиме\&. Дальнейшие попытки подключиться к этому компьютеру для доступа к другим службам не выполняются\&. Если попытка разрешения успешна, внутренний сервер пытается подключиться к службе на этом компьютере\&. Если попытка подключения к службе завершается неудачей, работающей в автономном режиме будет считаться только эта служба, и внутренний сервер автоматически переключится на следующую службу\&. Компьютер продолжает считаться находящимся в сети, возможны дальнейшие попытки подключения к другим службам на нём\&.
.PP
Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как работающие в автономном режиме, выполняются по истечении определённого периода времени; в настоящее время это значения является жёстко заданным и составляет 30 секунд\&.
.PP
Если список компьютеров исчерпан, внутренний сервер целиком переключается на автономный режим и затем пытается восстановить подключение каждые 30 секунд\&.
.SS "Тайм\-ауты и тонкая настройка отработки отказа"
.PP
Разрешение имени сервера, к которому следует подключиться, может быть выполнено как за один запрос DNS, так и за несколько шагов, например, при поиске корректного сайта или переборе нескольких имён узлов, если некоторые из настроенных серверов недоступны\&. Для более сложных сценариев требуется больше времени, и SSSD требуется соблюсти баланс между предоставлением достаточного количества времени для завершения процесса разрешения и не слишком долгим ожиданием перед переходом в автономный режим\&. Если в журнале отладки SSSD есть данные о том, что время на разрешение сервера истекло до обращения к реальному серверу, рекомендуется изменить значения тайм\-аутов\&.
.PP
В этом разделе перечислены доступные настраиваемые параметры\&. Их описание содержится на справочной странице
\fBsssd.conf\fR(5)\&.
.PP
dns_resolver_server_timeout
.RS 4
Время (в миллисекундах), в течение которого SSSD будет обращаться к одному серверу DNS перед переходом к следующему\&.
.sp
По умолчанию: 1000
.RE
.PP
dns_resolver_op_timeout
.RS 4
Время (в секундах), в течение которого SSSD будет пытаться разрешить один запрос DNS (например, разрешение имени узла или записи SRV) перед переходом к следующему имени узла или домену обнаружения\&.
.sp
По умолчанию: 3
.RE
.PP
dns_resolver_timeout
.RS 4
Как долго SSSD будет пытаться разрешить резервную службу\&. Это разрешение службы может включать несколько внутренних шагов, например, при разрешении запросов SRV DNS или определении расположения сайта\&.
.sp
По умолчанию: 6
.RE
.PP
Для поставщиков данных на основе LDAP операция разрешения выполняется как часть операции установления LDAP\-соединения\&. Следовательно, тайм\-аут
\(lqldap_opt_timeout\(rq
также следует установить в большее значение, чем
\(lqdns_resolver_timeout\(rq, который, в свою очередь, следует установить в большее значение, чем
\(lqdns_resolver_op_timeout\(rq, который должен быть больше
\(lqdns_resolver_server_timeout\(rq\&.
.SH "ОБНАРУЖЕНИЕ СЛУЖБ"
.PP
Функция обнаружения служб позволяет внутренним серверам автоматически находить серверы, к которым следует подключиться, с помощью специального запроса DNS\&. Эта возможность не поддерживается для резервных серверов\&.
.SS "Конфигурация"
.PP
Если серверы не указаны, внутренний сервер будет автоматически использовать обнаружение служб, чтобы попытаться найти сервер\&. Пользователь может (необязательно) задать использование сразу и фиксированных адресов серверов, и обнаружения служб, вставив в список серверов специальное ключевое слово
\(lq_srv_\(rq\&. Обработка выполняется в порядке приоритета\&. Эта возможность полезна, например, если пользователь предпочитает использовать обнаружение служб всегда, когда это возможно, и подключаться к определённому серверу только в тех случаях, когда серверы не удалось обнаружить с помощью DNS\&.
.SS "Имя домена"
.PP
Дополнительные сведения доступны в описании параметра
\(lqdns_discovery_domain\(rq
на справочной странице
\fBsssd.conf\fR(5)\&.
.SS "Протокол"
.PP
В запросах обычно указан протокол _tcp\&. Исключения задокументированы в описаниях соответствующих параметров\&.
.SS "См\&. также"
.PP
Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782\&.
.SH "ПРИМЕР"
.PP
В следующем примере предполагается, что конфигурация SSSD корректна и что FOO \(em один из доменов в разделе
\fI[sssd]\fR\&. В примере показана только конфигурация проверки подлинности Kerberos; он не включает какого\-либо поставщика данных идентификации\&.
.PP
.if n \{\
.RS 4
.\}
.nf
[domain/FOO]
auth_provider = krb5
krb5_server = 192\&.168\&.1\&.1
krb5_realm = EXAMPLE\&.COM
.fi
.if n \{\
.RE
.\}
.sp
.SH "СМ\&. ТАКЖЕ"
.PP
\fBsssd\fR(8),
\fBsssd.conf\fR(5),
\fBsssd-ldap\fR(5),
\fBsssd-ldap-attributes\fR(5),
\fBsssd-krb5\fR(5),
\fBsssd-simple\fR(5),
\fBsssd-ipa\fR(5),
\fBsssd-ad\fR(5),
\fBsssd-files\fR(5),
\fBsssd-sudo\fR(5),
\fBsssd-session-recording\fR(5),
\fBsss_cache\fR(8),
\fBsss_debuglevel\fR(8),
\fBsss_obfuscate\fR(8),
\fBsss_seed\fR(8),
\fBsssd_krb5_locator_plugin\fR(8),
\fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8),
\fBsssd-ifp\fR(5),
\fBpam_sss\fR(8)\&.
\fBsss_rpcidmapd\fR(5)
.SH "AUTHORS"
.PP
\fBВосходящий источник (\(Foапстрим\(Fc)
SSSD \(em https://github\&.com/SSSD/sssd/\fR