'\" t
.\"     Title: sssd-krb5
.\"    Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/
.\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
.\"      Date: 04/09/2024
.\"    Manual: Формати файлів та правила
.\"    Source: SSSD
.\"  Language: English
.\"
.TH "SSSD\-KRB5" "5" "04/09/2024" "SSSD" "Формати файлів та правила"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
sssd-krb5 \- Модуль надання даних Kerberos SSSD
.SH "ОПИС"
.PP
На цій сторінці довідника описано налаштування засобу розпізнавання Kerberos 5 для
\fBsssd\fR(8)\&. Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу \(FoФОРМАТ ФАЙЛА\(Fc сторінки довідника
\fBsssd.conf\fR(5)\&.
.PP
Модуль розпізнавання Kerberos 5 містити засоби розпізнавання та зміни паролів\&. З метою отримання належних результатів його слід використовувати разом з інструментом обробки профілів (наприклад, id_provider = ldap)\&. Деякі з даних, потрібних для роботи модуля розпізнавання Kerberos 5, має бути надано інструментом обробки профілів, серед цих даних Kerberos Principal Name (UPN) або реєстраційне ім\(cqя користувача\&. У налаштуваннях інструменту обробки профілів має бути запис з визначенням UPN\&. Докладні настанови щодо визначення такого UPN має бути викладено на сторінці довідника (man) відповідного інструменту обробки профілів\&.
.PP
У цьому інструменті керування даними також передбачено можливості керування доступом, засновані на даних з файла k5login у домашньому каталозі користувача\&. Докладніші відомості можна отримати з підручника до
\fBk5login\fR(5)\&. Зауважте, що якщо файл \&.k5login виявиться порожнім, доступ користувачеві буде заборонено\&. Щоб задіяти можливість керування доступом, додайте рядок \(Foaccess_provider = krb5\(Fc до ваших налаштувань SSSD\&.
.PP
У випадку, коли доступу до UPN у модулі профілів не передбачено,
\fBsssd\fR
побудує UPN у форматі
\fIім\(cqя_користувача\fR@\fIобласть_krb5\fR\&.
.SH "ПАРАМЕТРИ НАЛАШТУВАННЯ"
.PP
Якщо у домені SSSD використано auth\-module krb5, має бути використано вказані нижче параметри\&. Зверніться до сторінки довідника (man)
\fBsssd.conf\fR(5), розділ \(FoРОЗДІЛИ ДОМЕНІВ\(Fc, щоб дізнатися більше про налаштування домену SSSD\&.
.PP
krb5_server, krb5_backup_server (рядок)
.RS 4
Визначає список IP\-адрес або назв вузлів, відокремлених комами, серверів Kerberos, з якими SSSD має встановлювати з\(cqєднання\&. Список має бути впорядковано за пріоритетом\&. Докладніше про резервування та додаткові сервери можна дізнатися з розділу \(FoРЕЗЕРВ\(Fc\&. До адрес або назв вузлів може бути додано номер порту (перед номером слід вписати двокрапку)\&. Якщо параметр матиме порожнє значення, буде увімкнено виявлення служб\&. Докладніше про виявлення служб можна дізнатися з розділу \(FoПОШУК СЛУЖБ\(Fc\&.
.sp
Під час використання виявлення служб для серверів KDC або kpasswd SSSD спочатку намагається знайти записи DNS, у яких визначається протокол _udp\&. Використання протоколу _tcp відбувається, лише якщо таких записів не вдасться знайти\&.
.sp
У попередніх випусках SSSD цей параметр мав назву \(Fokrb5_kdcip\(Fc\&. У поточній версії передбачено розпізнавання цієї застарілої назви, але користувачам варто перейти на використання \(Fokrb5_server\(Fc у файлах налаштувань\&.
.RE
.PP
krb5_realm (рядок)
.RS 4
Назва області Kerberos\&. Цей параметр є обов\(cqязковим, його неодмінно слід вказати\&.
.RE
.PP
krb5_kpasswd, krb5_backup_kpasswd (рядок)
.RS 4
Якщо службу зміни паролів не запущено на KDC, тут можна визначити альтернативні сервери\&. До адрес або назв вузлів можна додати номер порту (перед яким слід вписати двокрапку)\&.
.sp
Додаткові відомості щодо резервних серверів можна знайти у розділі \(FoРЕЗЕРВ\(Fc\&. Зауваження: навіть якщо список всіх серверів kpasswd буде вичерпано, модуль не перемкнеться у автономний режим роботи, якщо розпізнавання за KDC залишатиметься можливим\&.
.sp
Типове значення: використання KDC
.RE
.PP
krb5_ccachedir (рядок)
.RS 4
Каталог для зберігання кешу реєстраційних даних\&. Тут також можна використовувати усі замінники з krb5_ccname_template, окрім %d та %P\&. Каталог створюється як конфіденційний, власником є користувач, права доступу \(em 0700\&.
.sp
Типове значення: /tmp
.RE
.PP
krb5_ccname_template (рядок)
.RS 4
Розташування кешу з реєстраційними даними користувача У поточній версії передбачено підтримку трьох типів кешу реєстраційних даних:
\(lqFILE\(rq,
\(lqDIR\(rq
та
\(lqKEYRING:persistent\(rq\&. Кеш може бути вказано або у форматі
\fIТИП:РЕШТА\fR, або у форматі абсолютного шляху (тоді вважається, що типом кешу є
\(lqFILE\(rq)\&. У шаблоні передбачено можливість використання таких послідовностей\-замінників:
.PP
%u
.RS 4
ім\*(Aqя користувача
.RE
.PP
%U
.RS 4
ідентифікатор користувача
.RE
.PP
%p
.RS 4
назва реєстраційного запису
.RE
.PP
%r
.RS 4
назва області
.RE
.PP
%h
.RS 4
домашній каталог
.RE
.PP
%d
.RS 4
значення krb5_ccachedir
.RE
.PP
%P
.RS 4
ідентифікатор процесу клієнтської частини SSSD
.RE
.PP
%%
.RS 4
символ відсотків (\(Fo%\(Fc)
.RE
.sp
Якщо шаблон завершується послідовністю \(FoXXXXXX\(Fc, для безпечного створення назви файла використовується mkstemp(3)\&.
.sp
Якщо використовуються типи KEYRING, єдиним підтримуваним механізмом є \(FoKEYRING:persistent:%U\(Fc, тобто використання сховища ключів ядра Linux для зберігання реєстраційних даних на основі поділу за UID\&. Цей варіант є рекомендованим, оскільки це найбезпечніший та найпередбачуваніший спосіб\&.
.sp
Типове значення назви кешу реєстраційних даних буде запозичено з загальносистемного профілю, що зберігається у файлі налаштувань krb5\&.conf, розділ [libdefaults]\&. Назва параметра \(em default_ccache_name\&. Див\&. розділ щодо розгортання параметрів (PARAMETER EXPANSION) у довідці щодо krb5\&.conf(5), щоб отримати додаткові дані щодо формату розгортання, використаного у krb5\&.conf\&.
.sp
ЗАУВАЖЕННЯ: майте на увазі, що шаблон розширення ccache libkrb5 з
\fBkrb5.conf\fR(5)
використовує інші послідовності розширення, що не збігаються із використаними у SSSD\&.
.sp
Типове значення: (з libkrb5)
.RE
.PP
krb5_keytab (рядок)
.RS 4
Розташування таблиці ключів, якою слід скористатися під час перевірки реєстраційних даних, отриманих від KDC\&.
.sp
Типове значення: системна таблиця ключів, зазвичай
/etc/krb5\&.keytab
.RE
.PP
krb5_store_password_if_offline (булівське значення)
.RS 4
Зберігати пароль користувача, якщо засіб перевірки перебуває поза мережею, і використовувати його для запитів TGT після встановлення з\(cqєднання з засобом перевірки\&.
.sp
Зауваження: ця можливість у поточній версії доступна лише на платформі Linux\&. Паролі зберігатимуться у форматі звичайного тексту (без шифрування) у сховищі ключів ядра, потенційно до них може отримати доступ адміністративний користувач (root), але йому для цього слід буде подолати деякі перешкоди\&.
.sp
Типове значення: false
.RE
.PP
krb5_use_fast (рядок)
.RS 4
Вмикає безпечне тунелювання для гнучкого розпізнавання (flexible authentication secure tunneling або FAST) для попереднього розпізнавання у Kerberos\&. Передбачено такі варіанти:
.sp
\fInever\fR
використовувати FAST, рівнозначний варіанту, за якого значення цього параметра взагалі не задається\&.
.sp
\fItry\fR
\(em використовувати FAST\&. Якщо на сервері не передбачено підтримки FAST, продовжити розпізнавання без FAST\&.
.sp
\fIdemand\fR
\(em використовувати FAST\&. Якщо на сервері не передбачено підтримки FAST, спроба розпізнавання зазнає невдачі\&.
.sp
Типове значення: не встановлено, тобто FAST не використовується\&.
.sp
Зауваження: будь ласка, зауважте, що для використання FAST потрібна таблиця ключів або підтримка анонімного PKINIT\&.
.sp
Зауваження: у SSSD передбачено підтримку FAST лише у разі використання MIT Kerberos версії 1\&.8 або новішої\&. Якщо SSSD буде використано зі старішою версією MIT Kerberos і цим параметром, буде повідомлено про помилку у налаштуваннях\&.
.RE
.PP
krb5_fast_principal (рядок)
.RS 4
Визначає реєстраційний запис сервера, який слід використовувати для FAST\&.
.RE
.PP
krb5_fast_use_anonymous_pkinit (булеве значення)
.RS 4
Якщо встановлено значення \(Fotrue\(Fc намагатися скористатися анонімним PKINIT замість таблиці ключів для отримання бажаних реєстраційних даних для FAST\&. У цьому випадку параметри krb5_fast_principal буде проігноровано\&.
.sp
Типове значення: false
.RE
.PP
krb5_use_kdcinfo (булеве значення)
.RS 4
Визначає, чи слід SSSD вказувати бібліотекам Kerberos, яку область і які значення KDC слід використовувати\&. Типово, дію параметра увімкнено\&. Якщо ви вимкнете його, вам слід налаштувати бібліотеку Kerberos за допомогою файла налаштувань
\fBkrb5.conf\fR(5)\&.
.sp
Див\&. сторінку підручника (man)
\fBsssd_krb5_locator_plugin\fR(8), щоб дізнатися більше про додаток пошуку\&.
.sp
Типове значення: true
.RE
.PP
krb5_kdcinfo_lookahead (рядок)
.RS 4
Якщо для krb5_use_kdcinfo встановлено значення true, ви можете обмежити кількість серверів, які буде передано
\fBsssd_krb5_locator_plugin\fR(8)\&. Це може бути корисним, якщо за допомогою запису SRV виявляється надто багато серверів\&.
.sp
Параметр krb5_kdcinfo_lookahead містить два числа, які відокремлено двокрапкою\&. Перше число визначає кількість основних серверів, а друге \(em кількість резервних серверів\&.
.sp
Наприклад,
\fI10:0\fR
означає \(Foбуде передано до 10 основних серверів до
\fBsssd_krb5_locator_plugin\fR(8)\(Fc, але не буде передано резервні сервери
.sp
Типове значення: 3:1
.RE
.PP
krb5_use_enterprise_principal (булеве значення)
.RS 4
Визначає, чи слід вважати реєстраційні дані користувача даними промислового рівня\&. Див\&. розділ 5 RFC 6806, щоб дізнатися більше про промислові реєстраційні дані\&.
.sp
Типове значення: false (надається AD: true)
.sp
Засіб надання даних IPA встановить для цього параметра значення \(Fotrue\(Fc, якщо виявить, що сервер здатен обробляти реєстраційні дані промислового класу, і параметр на встановлено явним чином у файлі налаштувань\&.
.RE
.PP
krb5_use_subdomain_realm (булеве значення)
.RS 4
Визначає використання областей піддоменів для розпізнавання користувачів з довірених доменів\&. Для цього параметра можна встановити значення \(Fotrue\(Fc, якщо промислові реєстраційні записи використовуються із upnSuffixes, який не є відомим KDC батьківського домену\&. Якщо для параметра встановлено значення \(Fotrue\(Fc, SSSD спробує надіслати запит безпосередньо до KDC довіреного домену, з якого прийшов користувач\&.
.sp
Типове значення: false
.RE
.PP
krb5_map_user (рядок)
.RS 4
Список прив\(cqязок визначається як список пар \(Foкористувач:основа\(Fc, де \(Foкористувач\(Fc \(em ім\(cqя користувача UNIX, а \(Foоснова\(Fc \(em частина щодо користувача у реєстраційному записі kerberos\&. Ця прив\(cqязка використовується, якщо користувач проходить розпізнавання із використанням \(Foauth_provider = krb5\(Fc\&.
.sp
приклад:
.sp
.if n \{\
.RS 4
.\}
.nf
krb5_realm = REALM
krb5_map_user = joe:juser,dick:richard
.fi
.if n \{\
.RE
.\}
.sp
\(lqjoe\(rq
і
\(lqdick\(rq
\(em імена користувачів UNIX, а
\(lqjuser\(rq
і
\(lqrichard\(rq
основні частини реєстраційних записів kerberos\&. Для користувачів
\(lqjoe\(rq
та, відповідно,
\(lqdick\(rq
SSSD намагатиметься виконати ініціалізацію kinit як
\(lqjuser@REALM\(rq
і, відповідно,
\(lqrichard@REALM\(rq\&.
.sp
Типове значення: not set
.RE
.PP
krb5_auth_timeout (ціле число)
.RS 4
Час очікування, по завершенню якого буде перервано запит щодо розпізнавання або зміни пароля у мережі\&. Якщо це можливо, обробку запиту щодо розпізнавання буде продовжено у автономному режимі\&.
.sp
Типове значення: 6
.RE
.PP
krb5_validate (булеве значення)
.RS 4
Перевірити за допомогою krb5_keytab, чи отриманий TGT не було підмінено\&. Перевірка записів у таблиці ключів виконується послідовно\&. Для перевірки використовується перший запис з відповідним значенням області\&. Якщо не буде знайдено жодного відповідного області запису, буде використано останній запис з таблиці ключів\&. Цим процесом можна скористатися для перевірки середовищ за допомогою зв\(cqязків довіри між записами областей: достатньо розташувати відповідний запис таблиці ключів на останньому місці або зробити його єдиним записом у файлі таблиці ключів\&.
.sp
Типове значення: false (надається IPA та AD: true)
.sp
Будь ласка, зауважте, що перевірка квитка є першим кроком при перевірці PAC (див\&. \(Fopac_check\(Fc на сторінці підручника щодо
\fBsssd.conf\fR(5), щоб дізнатися більше)\&. Якщо перевірку квитків вимкнено, також буде вимкнено і перевірки PAC\&.
.RE
.PP
krb5_renewable_lifetime (рядок)
.RS 4
Надіслати запит щодо поновлюваного квитка з загальним строком дії, вказаним за допомогою цілого числа, за яким одразу вказано одиницю часу:
.sp
\fIs\fR
\(em секунди
.sp
\fIm\fR
\(em хвилини
.sp
\fIh\fR
\(em години
.sp
\fId\fR
\(em дні\&.
.sp
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю
\fIs\fR\&.
.sp
Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
Типове значення: не встановлено, тобто TGT не є оновлюваним
.RE
.PP
krb5_lifetime (рядок)
.RS 4
Надіслати запит щодо квитка з загальним строком дії, вказаним за допомогою цілого числа, за яким одразу вказано одиницю часу:
.sp
\fIs\fR
\(em секунди
.sp
\fIm\fR
\(em хвилини
.sp
\fIh\fR
\(em години
.sp
\fId\fR
\(em дні\&.
.sp
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю
\fIs\fR\&.
.sp
Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
Типове значення: не встановлено, тобто типовий строк дії квитка визначатиметься у налаштуваннях KDC\&.
.RE
.PP
krb5_renew_interval (рядок)
.RS 4
Час у секундах між двома послідовними перевірками того, чи слід оновлювати записи TGT\&. Записи TGT оновлюються після завершення приблизно половини їхнього строку дії, що задається як ціле число з наступним позначенням одиниці часу:
.sp
\fIs\fR
\(em секунди
.sp
\fIm\fR
\(em хвилини
.sp
\fIh\fR
\(em години
.sp
\fId\fR
\(em дні\&.
.sp
Якщо одиниці часу не буде вказано, вважатиметься, що використано одиницю
\fIs\fR\&.
.sp
Зауваження: не можна використовувати одразу декілька одиниць\&. Якщо вам потрібно встановити строк дії у півтори години, слід вказати \(Fo90m\(Fc, а не \(Fo1h30m\(Fc\&.
.sp
Якщо значення для цього параметра встановлено не буде або буде встановлено значення 0, автоматичного оновлення не відбуватиметься\&.
.sp
Типове значення: not set
.RE
.PP
krb5_canonicalize (булеве значення)
.RS 4
Визначає, чи слід перетворювати реєстраційний запис вузла і користувача у канонічну форму\&. Цю можливість передбачено з версії MIT Kerberos 1\&.7\&.
.sp
Типове значення: false
.RE
.SH "РЕЗЕРВ"
.PP
Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з\(cqєднання з поточним сервером зазнає невдачі\&.
.SS "Синтаксичні конструкції визначення резервного сервера"
.PP
Список записів серверів, відокремлених комами\&. Між комами можна використовувати довільну кількість пробілів\&. Порядок у списку визначає пріоритет\&. У списку може бути будь\-яка кількість записів серверів\&.
.PP
Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти:
\fIосновний\fR
і
\fIрезервний\fR\&. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з\(cqєднатися з жодним з основних серверів\&. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду\&. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з\(cqєднання з основними серверами\&. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний\&.
.SS "Механізм визначення резервного сервера"
.PP
Механізмом резервного використання розрізняються окремі комп\(cqютери і служби\&. Спочатку модуль намагається визначити назву вузла вказаного комп\(cqютера\&. Якщо спроби визначення зазнають невдачі, комп\(cqютер вважатиметься від\(cqєднаним від мережі\&. Подальших спроб встановити з\(cqєднання з цим комп\(cqютером для всіх інших служб не виконуватиметься\&. Якщо вдасться виконати визначення, модуль зробити спробу встановити з\(cqєднання зі службою на визначеному комп\(cqютері\&. Якщо спроба з\(cqєднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу\&. Комп\(cqютер служби вважатиметься з\(cqєднаним з мережею, можливі подальші спроби використання інших служб\&.
.PP
Подальші спроби встановлення з\(cqєднання з комп\(cqютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу\&. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам\&.
.PP
Якщо список комп\(cqютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з\(cqєднання кожні 30 секунд\&.
.SS "Час очікування на перемикання на резервний ресурс та точне налаштовування"
.PP
Для визначення сервера для з\*(Aqєднання достатньо одного запиту DNS або декількох кроків, зокрема визначення відповідного сайта або спроба використати декілька назв вузлів у випадку, якщо якісь із налаштованих серверів недоступні\&. Складніші сценарії можуть потребувати додаткового часу, а SSSD треба збалансувати надання достатнього часу для завершення процесу визначення і використання притомного часу на виконання цього запиту перед переходом до автономного режиму\&. Якщо діагностичний журнал SSSD показує, що під час визначення сервера перевищено час очікування на з\*(Aqєднання із працездатним сервером, варто змінити значення параметрів часу очікування\&.
.PP
У цьому розділі наведено списки доступних для коригування параметрів\&. Будь ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника
\fBsssd.conf\fR(5)\&.
.PP
dns_resolver_server_timeout
.RS 4
Час у мілісекундах, протягом якого SSSD має намагатися обмінятися даними із окремим сервером DNS, перш ніж перейти до спроб зв\*(Aqязатися із наступним\&.
.sp
Типове значення: 1000
.RE
.PP
dns_resolver_op_timeout
.RS 4
Час у секундах, який визначає тривалість періоду, протягом якого SSSD намагатиметься обробити окремий запит DNS (наприклад встановити назву вузла або запис SRV), перш ніж перейти до наступної назви вузла або наступного домену пошуку\&.
.sp
Типове значення: 3
.RE
.PP
dns_resolver_timeout
.RS 4
Наскільки довго має чекати SSSD на визначення резервної служби надання даних\&. На внутрішньому рівні визначення такої служби може включати декілька кроків, зокрема визначення адрес запитів DNS SRV або пошук розташування сайта\&.
.sp
Типове значення: 6
.RE
.PP
Для заснованих на LDAP постачальників даних дія з визначення виконується як частина дії зі встановлення з\*(Aqєднання із LDAP\&. Тому слід також встановити для часу очікування
\(lqldap_opt_timeout\(rq
значення, яке перевищуватиме значення
\(lqdns_resolver_timeout\(rq, яке також має перевищувати значення
\(lqdns_resolver_op_timeout\(rq, яке має перевищувати значення
\(lqdns_resolver_server_timeout\(rq\&.
.SH "ПОШУК СЛУЖБ"
.PP
За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з\(cqєднання на основі даних, отриманих у відповідь на спеціальний запит до DNS\&. Підтримки цієї можливості для резервних серверів не передбачено\&.
.SS "Налаштування"
.PP
Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера\&. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб\&. Для цього слід вставити особливе ключове слово, \(Fo_srv_\(Fc, до списку серверів\&. Пріоритет визначається за вказаним порядком\&. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера\&.
.SS "Назва домену"
.PP
З докладнішими відомостями щодо параметра \(Fodns_discovery_domain\(Fc можна ознайомитися на сторінці підручника (man)
\fBsssd.conf\fR(5)\&.
.SS "Протокол"
.PP
Запитами зазвичай визначається протокол _tcp\&. Виключення документовано у описі відповідного параметра\&.
.SS "Також прочитайте"
.PP
Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782\&.
.SH "ПРИКЛАД"
.PP
У наведеному нижче прикладі припускається, що SSSD налаштовано належним чином, а FOO є одним з доменів у розділі
\fI[sssd]\fR\&. У прикладі продемонстровано лише налаштування розпізнавання аз допомогою Kerberos, там не вказано інструменту обробки профілів\&.
.PP
.if n \{\
.RS 4
.\}
.nf
[domain/FOO]
auth_provider = krb5
krb5_server = 192\&.168\&.1\&.1
krb5_realm = EXAMPLE\&.COM
.fi
.if n \{\
.RE
.\}
.sp
.SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ"
.PP
\fBsssd\fR(8),
\fBsssd.conf\fR(5),
\fBsssd-ldap\fR(5),
\fBsssd-ldap-attributes\fR(5),
\fBsssd-krb5\fR(5),
\fBsssd-simple\fR(5),
\fBsssd-ipa\fR(5),
\fBsssd-ad\fR(5),
\fBsssd-files\fR(5),
\fBsssd-sudo\fR(5),
\fBsssd-session-recording\fR(5),
\fBsss_cache\fR(8),
\fBsss_debuglevel\fR(8),
\fBsss_obfuscate\fR(8),
\fBsss_seed\fR(8),
\fBsssd_krb5_locator_plugin\fR(8),
\fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8),
\fBsssd-ifp\fR(5),
\fBpam_sss\fR(8)\&.
\fBsss_rpcidmapd\fR(5)
.SH "AUTHORS"
.PP
\fBОсновна гілка розробки SSSD \(em
https://pagure\&.io/SSSD/sssd/\fR