SSSD-LDAP-ATTRIBUT(5) Formatos de Ficheiros e Conven SSSD-LDAP-ATTRIBUT(5) NAME sssd-ldap-attributes - Provedor LDAP do SSSD: Atributos de Mapeamento DESCRICAO Este manual descreve os atributos de mapeamento do provedor LDAP SSSD sssd-ldap(5). Consulte o manual sssd-ldap(5) para detalhes completos acerca das opcoes de configuracao do provedor LDAP do SSSD. ATRIBUTOS DE UTILIZADOR ldap_user_object_class (string) A classe de objecto de uma entrada de utilizador em LDAP. Predefinicao: posixAccount ldap_user_name (string) O atributo LDAP que corresponde ao nome de login do utilizador. Predefinicao: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD) ldap_user_uid_number (string) O atributo LDAP que corresponde ao id do utilizador. Predefinicao: uidNumber ldap_user_gid_number (string) O atributo LDAP que corresponde ao id do grupo principal do utilizador. Predefinicao: gidNumber ldap_user_primary_group (string) Atributo de grupo principal para Active Directory para mapeamento de ID. Note que este atributo so deve ser definido manualmente se voce esta a correr o provedor "ldap" com mapeamento de ID. Predefinicao: nao definido (LDAP), primaryGroupID (AD) ldap_user_gecos (string) O atributo LDAP que corresponde ao campo gecos do utilizador. Predefinicao: gecos ldap_user_home_directory (string) O atributo do LDAP que contem o nome do directorio home do utilizador. Predefinicao: homeDirectory (LDAP e IPA), unixHomeDirectory (AD) ldap_user_shell (string) O atributo LDAP que contem o caminho para a shell predefinida do utilizador. Predefinicao: loginShell ldap_user_uuid (string) O atributo do LDAP que contem o UUID/GUID de um objecto utilizador de LDAP. Predefinicao: nao definida em caso geral, objectGUID para AD e ipaUniqueID para IPA ldap_user_objectsid (string) O atributo do LDAP que contem o objectSID de um objecto utilizador LDAP. Isto e geralmente apenas necessario para servidores ActiveDirectory. Predefinicao: objectSid para ActiveDirectory, nao definida para outros servidores. ldap_user_modify_timestamp (string) O atributo do LDAP que contem a marca temporal da ultima modificacao do objecto pai. Predefinicao: modifyTimestamp ldap_user_shadow_last_change (string) Quando se usa ldap_pwd_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (data da ultima modificacao de palavra passe). Predefinicao: shadowLastChange ldap_user_shadow_min (string) Quando se usa ldap_pwd_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (idade minima da palavra passe). Predefinicao: shadowMin ldap_user_shadow_max (string) Quando se usa ldap_pwd_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (idade maxima da palavra passe). Predefinicao: shadowMax ldap_user_shadow_warning (string) Quando se usa ldap_pwd_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (periodo de aviso da palavra passe). Predefinicao: shadowWarning ldap_user_shadow_inactive (string) Quando se usa ldap_pwd_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (periodo de inactividade da palavra passe). Predefinicao: shadowInactive ldap_user_shadow_expire (string) Quando se usa ldap_pwd_policy=shadow ou ldap_account_expire_policy=shadow, este parametro contem o nome de um atributo LDAP que corresponde ao seu duplicado shadow(5) (data de expiracao da conta). Predefinicao: shadowExpire ldap_user_krb_last_pwd_change (string) Quando se usa ldap_pwd_policy=mit_kerberos, este parametro contem o nome de um atributo LDAP que guarda a data e hora da ultima mudanca de palavra passe no kerberos. Predefinicao: krbLastPwdChange ldap_user_krb_password_expiration (string) Quando se usa ldap_pwd_policy=mit_kerberos, este parametro contem o nome de um atributo LDAP que guarda a data e hora que a palavra passe actual expira. Predefinicao: krbPasswordExpiration ldap_user_ad_account_expires (string) Quando se usa ldap_account_expire_policy=ad, este parametro contem o nome de um atributo LDAP que guarda a hora de expiracao da conta. Predefinicao: accountExpires ldap_user_ad_user_account_control (string) Quando se usa ldap_account_expire_policy=ad, este parametro contem o nome de um atributo LDAP que guarda o campo de bit de controlo da conta de utilizador. Predefinicao: userAccountControl ldap_ns_account_lock (string) Quando se usa ldap_account_expire_policy=rhds ou equivalente, este parametro determina se o acesso e concedido ou nao. Predefinicao: nsAccountLock ldap_user_nds_login_disabled (string) Quando se usa ldap_account_expire_policy=nds, este atributo determina se o acesso e concedido ou nao. Predefinicao: loginDisabled ldap_user_nds_login_expiration_time (string) Quando se usa ldap_account_expire_policy=nds, este atributo determina ate que data o acesso e concedido. Predefinicao: loginDisabled ldap_user_nds_login_allowed_time_map (string) Quando se usa ldap_account_expire_policy=nds, este atributo determina as horas do dia numa semana quando o acesso e concedido. Predefinicao: loginAllowedTimeMap ldap_user_principal (string) O atributo LDAP que contem o Nome Principal de Utilizador Kerberos (UPN) do utilizador. Predefinicao: krbPrincipalName ldap_user_extra_attrs (string) Lista separada por virgulas de atributos LDAP que o SSSD iria obter juntamente com o conjunto usual de atributos de utilizador. A lista pode ou conter apenas nomes de atributos LDAP, ou tuples separados por dois-pontos de nome de atributo de cache SSSD e nome de atributo LDAP. No caso de ser especificado apenas nomes de atributos LDAP, o atributo e guardado na cache literalmente. A utilizacao de nome de atributo SSSD personalizado pode ser requerida por ambientes que configuram varios dominios SSSD com esquemas LDAP diferentes. Por favor note que varios nomes de atributos estao reservados pelo SSSD, notavelmente o atributo "name". O SSSD devera reportar um erro se qualquer um dois nomes de atributo reservados for usado como um nome de atributo extra. Exemplos: ldap_user_extra_attrs = telephoneNumber Salva o atributo "telephoneNumber" do LDAP como "telephoneNumber" na cache. ldap_user_extra_attrs = phone:telephoneNumber Salva o atributo "telephoneNumber" do LDAP como "phone" na cache. Predefinicao: nao definida ldap_user_ssh_public_key (string) O atributo LDAP que contem a chave publica SSH do utilizador. Predefinicao: sshPublicKey ldap_user_fullname (string) O atributo LDAP que corresponde ao nome completo do utilizador. Predefinicao: NC ldap_user_member_of (string) O atributo LDAP que lista os membros do grupo do utilizador. Predefinicao: memberOf ldap_user_authorized_service (string) Se access_provider=ldap e ldap_access_order=authorized_service, o SSSD ira usar a presenca do atributo authorizedService na entrada LDAP do utilizador para determinar o privilegio de acesso. Uma negacao explicita (!svc) e resolvida primeiro. Segundo, o SSSD procura um allow explicito (svc) e finalmente por allow_all (*). Por favor note que a opcao de configuracao ldap_access_order tem de incluir "authorized_service" para que a opcao ldap_user_authorized_service funcione. Algumas distribuicoes (como a Fedora-29+ ou RHEL-8) incluem sempre o servico PAM "systemd-user" como parte do processo de login. Assim quando se usa controle de acesso baseado em servico, o servico "systemd-user" pode precisar de ser adicionado a lista de servicos permitidos. Predefinicao: authorizedService ldap_user_authorized_host (string) Se access_provider=ldap e ldap_access_order=host, o SSSD ira usar a presenca do atributo host na entrada LDAP do utilizador para determinar o privilegio de acesso. Um deny explicito (host) e resolvido primeiro. Segundo, o SSSD procura um allow explicito (host) e finalmente por allow_all (*). Por favor note que a opcao de configuracao ldap_access_order tem de incluir "host" para que a opcao ldap_user_authorized_host funcione. Predefinicao: host ldap_user_authorized_rhost (string) Se access_provider=ldap e ldap_access_order=rhost, o SSSD ira usar a presenca do atributo rhost na entrada LDAP do utilizador para determinar o privilegio de acesso. Semelhante ao processo de verificacao de host. Um deny explicito (rhost) e resolvido primeiro. Segundo, o SSSD procura um allow explicito (rhost) e finalmente por allow_all (*). Por favor note que a opcao de configuracao ldap_access_order tem de incluir "rhost" para que a opcao ldap_user_authorized_rhost funcione. Predefinicao: rhost ldap_user_certificate (string) Nome do atributo LDAP que contem o certificado X509 do utilizador. Predefinicao: userCertificate;binary ldap_user_email (string) Nome do atributo LDAP que contem o endereco email do utilizador. Nota: Se um endereco de email de um utilizador entrar em conflito com um endereco de email ou nome totalmente qualificado de outro utilizador, entao o SSSD nao sera capaz de servir esses utilizadores de maneira apropriada. Esta opcao permite aos utilizadores fazerem login por (1) nome de utilizador, e (2) endereco de email. Se por alguma razao varios utilizadores precisarem de partilhar o mesmo endereco de email entao defina esta opcao para um nome de atributo nao-existente de modo a desactivar a pesquisa/login de utilizador por email. Predefinicao: mail ldap_user_passkey (string) Nome do atributo LDAP que contem os dados de mapeamento da passkey do utilizador. Predefinicao: passkey (LDAP), ipaPassKey (IPA), altSecurityIdentities (AD) ATRIBUTOS DE GRUPO ldap_group_object_class (string) A classe de objecto de uma entrada de grupo em LDAP. Predefinicao: posixGroup ldap_group_name (string) O atributo LDAP que corresponde ao nome do grupo. Num ambiente com grupos aninhados, este valor tem de ser um atributo LDAP que tem um nome unico para cada grupo. Este requerimento inclui grupos nao-POSIX na arvore dos grupos aninhados. Predefinicao: cn (rfc2307, rfc2307bis e IPA), sAMAccountName (AD) ldap_group_gid_number (string) O atributo LDAP que corresponde ao id do grupo. Predefinicao: gidNumber ldap_group_member (string) O atributo do LDAP que contem os nomes dos membros do grupo. Predefinicao: memberuid (rfc2307) / member (rfc2307bis) ldap_group_uuid (string) O atributo do LDAP que contem o UUID/GUID de um objecto grupo de LDAP. Predefinicao: nao definida em caso geral, objectGUID para AD e ipaUniqueID para IPA ldap_group_objectsid (string) O atributo do LDAP que contem o objectSID de um objecto grupo LDAP. Isto e geralmente apenas necessario para servidores ActiveDirectory. Predefinicao: objectSid para ActiveDirectory, nao definida para outros servidores. ldap_group_modify_timestamp (string) O atributo do LDAP que contem a marca temporal da ultima modificacao do objecto pai. Predefinicao: modifyTimestamp ldap_group_type (string) O atributo LDAP que contem um valor inteiro que indica o tipo de grupo e talvez outras bandeiras. Este atributo actualmente e usado apenas pelo provedor AD para determinar se um grupo e um grupo local de dominio e tem de ser filtrado dos dominios de confianca. Predefinicao: groupType no provedor AD, caso contrario nao definido ldap_group_external_member (string) O atributo LDAP que referencia membros de grupo que estao definidos num dominio externo. De momento, apenas os membros externos do IPA sao suportados. Predefinicao: ipaExternalMember no provedor IPA, caso contrario nao definido. ATRIBUTOS DE NETGROUP ldap_netgroup_object_class (string) A classe de objecto de uma entrada netgroup em LDAP. No provedor IPA, deve ser usado ipa_netgroup_object_class em vez deste. Predefinicao: nisNetgroup ldap_netgroup_name (string) O atributo LDAP que corresponde ao nome netgroup. No provedor IPA, deve ser usado ipa_netgroup_name em vez deste. Predefinicao: NC ldap_netgroup_member (string) O atributo do LDAP que contem os nomes dos membros do netgroup. No provedor IPA, deve ser usado ipa_netgroup_member em vez deste. Predefinicao: memberNisNetgroup ldap_netgroup_triple (string) O atributo do LDAP que contem os triplos netgroup (maquina, utilizador, dominio). Esta opcao nao esta disponivel no provedor IPA. Predefinicao: nisNetgroupTriple ldap_netgroup_modify_timestamp (string) O atributo do LDAP que contem a marca temporal da ultima modificacao do objecto pai. Esta opcao nao esta disponivel no provedor IPA. Predefinicao: modifyTimestamp ATRIBUTOS DE ANFITRIAO ldap_host_object_class (string) A classe de objecto de uma entrada de maquina em LDAP. Predefinicao: ipService ldap_host_name (string) O atributo LDAP que corresponde ao nome da maquina. Predefinicao: NC ldap_host_fqdn (string) O atributo LDAP que corresponde ao nome de dominio totalmente qualificado da maquina. Predefinicao: fqdn ldap_host_serverhostname (string) O atributo LDAP que corresponde ao nome da maquina. Predefinicao: serverHostname ldap_host_member_of (string) O atributo LDAP que lista os membros do grupo da maquina. Predefinicao: memberOf ldap_host_ssh_public_key (string) O atributo LDAP que contem as chaves publicas SSH da maquina. Predefinicao: sshPublicKey ldap_host_uuid (string) O atributo do LDAP que contem o UUID/GUID de um objecto maquina de LDAP. Predefinicao: nao definida ATRIBUTOS DE SERVICO ldap_service_object_class (string) A classe de objecto de uma entrada de servico em LDAP. Predefinicao: ipService ldap_service_name (string) O atributo do LDAP que contem o nome dos atributos de servicos e os seus nomes alternativos (aliases). Predefinicao: NC ldap_service_port (string) O atributo do LDAP que contem o porto gerido por este servico. Predefinicao: ipServicePort ldap_service_proto (string) O atributo do LDAP que contem os protocolos compreendidos por este servico. Predefinicao: ipServiceProtocol ATRIBUTOS DO SUDO ldap_sudorule_object_class (string) A classe de objecto de uma entrada de regra sudo em LDAP. Predefinicao: sudoRole ldap_sudorule_name (string) O atributo LDAP que corresponde ao nome da regra sudo. Predefinicao: NC ldap_sudorule_command (string) O atributo LDAP que corresponde ao nome do comando. Predefinicao: sudoCommand ldap_sudorule_host (string) O atributo LDAP que corresponde ao nome da maquina (ou endereco IP da maquina, rede IP da maquina, ou netgroup da maquina) Predefinicao: sudoHost ldap_sudorule_user (string) O atributo LDAP que corresponde ao nome de utilizador (ou UID, nome de grupo, ou netgroup do utilizador) Predefinicao: sudoUser ldap_sudorule_option (string) O atributo LDAP que corresponde as opcoes do sudo. Predefinicao: sudoOption ldap_sudorule_runasuser (string) O atributo LDAP que corresponde ao nome de utilizador com que os comandos podem ser corridos como. Predefinicao: sudoRunAsUser ldap_sudorule_runasgroup (string) O atributo LDAP que corresponde ao nome de grupo ou ID de grupo com que os comandos podem ser corridos como. Predefinicao: sudoRunAsGroup ldap_sudorule_notbefore (string) O atributo LDAP que corresponde a data/hora de arranque para quando a regra sudo e valida. Predefinicao: sudoNotBefore ldap_sudorule_notafter (string) O atributo LDAP que corresponde a data/hora de expiracao, apos a qual a regra sudo nao e mais valida. Predefinicao: sudoNotAfter ldap_sudorule_order (string) O atributo LDAP que corresponde ao indice de ordenacao da regra. Predefinicao: sudoOrder ATRIBUTOS DO AUTOFS ldap_autofs_map_object_class (string) A classe de objecto de uma entrada automount map no LDAP. Predefinicao: nisMap (rfc2307, autofs_provider=ad), caso contrario automountMap ldap_autofs_map_name (string) O nome de uma entrada automount map no LDAP. Predefinicao: nisMapName (rfc2307, autofs_provider=ad), caso contrario automountMapName ldap_autofs_entry_object_class (string) A classe objecto de uma entrada automount no LDAP.. A entrada geralmente corresponde a um ponto de montagem. Predefinicao: nisObject (rfc2307, autofs_provider=ad), caso contrario automount ldap_autofs_entry_key (string) A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem. Predefinicao: cn (rfc2307, autofs_provider=ad), caso contrario automountKey ldap_autofs_entry_value (string) A chave de uma entrada automount no LDAP. A entrada geralmente corresponde a um ponto de montagem. Predefinicao: nisMapEntry (rfc2307, autofs_provider=ad), caso contrario automountInformation ATRIBUTOS DE ANFITRIAO IP ldap_iphost_object_class (string) A classe de objecto de uma entrada iphost no LDAP. Predefinicao: ipHost ldap_iphost_name (string) O atributo do LDAP que contem o nome dos atributos de IP de maquina e os seus nomes alternativos (aliases). Predefinicao: NC ldap_iphost_number (string) O atributo do LDAP que contem o endereco IP da maquina. Predefinicao: ipHostNumber ATRIBUTOS DE REDE IP ldap_ipnetwork_object_class (string) A classe de objecto de uma entrada ipnetwork no LDAP. Predefinicao: ipNetwork ldap_ipnetwork_name (string) O atributo do LDAP que contem o nome dos atributos de rede IP e os seus nomes alternativos (alias). Predefinicao: NC ldap_ipnetwork_number (string) O atributo do LDAP que contem o endereco de rede IP. Predefinicao: ipNetworkNumber SUBID ATTRIBUTES ldap_subuid_object_class (string) The object class of an subid entry in LDAP. Default: subordinateIdEntry ldap_subuid_count (string) Subordinate user ID count (range size) Default: subUidCount ldap_subgid_count (string) Subordinate group ID count (range size) Default: subGidCount ldap_subuid_number (string) Numerical subordinate user ID (range start value) Default: subUidNumber ldap_subgid_number (string) Numerical subordinate group ID (range start value) Default: subGidNumber ldap_subid_range_owner (string) Owner of an entry Default: subidRangeOwner VEJA TAMBEM sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS O autor do SSSD - https://github.com/SSSD/sssd/ SSSD 01/18/2026 SSSD-LDAP-ATTRIBUT(5)