Клас об’єктів запису користувача у LDAP.

Типове значення: posixAccount

Атрибут LDAP, що відповідає назві облікового запису користувача.

Типове значення: uid (rfc2307, rfc2307bis і IPA), sAMAccountName (AD)

Атрибут LDAP, що відповідає ідентифікатору користувача.

Типове значення: uidNumber

Атрибут LDAP, що відповідає ідентифікатору основної групи користувача.

Типове значення: gidNumber

Атрибут основної групи Active Directory для встановлення відповідності ідентифікатора. Зауважте, що цей атрибут слід встановлювати вручну, лише якщо ви користуєтеся засобом надання даних “ldap” з прив'язкою до ідентифікаторів.

Типове значення: unset (LDAP), primaryGroupID (AD)

Атрибут LDAP, що відповідає полю gecos користувача.

Типове значення: gecos

Атрибут LDAP, що містить назву домашнього каталогу користувача.

Типове значення: homeDirectory (LDAP та IPA), unixHomeDirectory (AD)

Атрибут LDAP, що містить шлях до типової командної оболонки користувача.

Типове значення: loginShell

Атрибут LDAP, що містить UUID/GUID об’єкта користувача LDAP.

Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA

Атрибут LDAP, що містить objectSID об’єкта користувача LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory.

Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів.

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Типове значення: modifyTimestamp

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (дати останньої зміни пароля).

Типове значення: shadowLastChange

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (мінімального віку пароля).

Типове значення: shadowMin

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (максимального віку пароля).

Типове значення: shadowMax

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (проміжку попередження щодо пароля).

Типове значення: shadowWarning

У разі використання ldap_pwd_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (тривалості періоду невикористання пароля).

Типове значення: shadowInactive

У разі використання ldap_pwd_policy=shadow або ldap_account_expire_policy=shadow цей параметр містить назву атрибута LDAP, який є відповідником параметра shadow(5) (дати завершення строку дії пароля).

Типове значення: shadowExpire

Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час останньої зміни пароля у kerberos.

Типове значення: krbLastPwdChange

Якщо використано значення ldap_pwd_policy=mit_kerberos, цей параметр містить назву атрибута LDAP, у якому зберігається дата і час завершення строку дії поточного пароля.

Типове значення: krbPasswordExpiration

Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо строку завершення дії облікового запису.

Типове значення: accountExpires

Якщо вказано ldap_account_expire_policy=ad, цей параметр містить назву атрибута LDAP, у якому зберігаються дані щодо поля контрольного біта облікового запису користувача.

Типове значення: userAccountControl

Якщо вказано ldap_account_expire_policy=rhds або еквівалентне налаштування, цей параметр визначає, заборонено чи дозволено доступ.

Типове значення: nsAccountLock

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає, дозволено чи заборонено доступ.

Типове значення: loginDisabled

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає дату, до якої надано доступ.

Типове значення: loginDisabled

Якщо вказано ldap_account_expire_policy=nds, цей атрибут визначає годити дня тижня, коли надається доступ.

Типове значення: loginAllowedTimeMap

Атрибут LDAP, що містить Kerberos User Principal Name (UPN) користувача.

Типове значення: krbPrincipalName

Відокремлений комами список атрибутів LDAP, які SSSD має отримувати разом зі звичайним набором атрибутів запису користувача.

Список може або містити лише назви атрибутів LDAP, або відокремлені двокрапками кортежі з назви атрибута кешу SSSD та назви атрибута LDAP. Якщо вказано лише назву атрибута LDAP, атрибут зберігається до кешу буквально. Використання нетипової назви атрибута SSSD може бути потрібним середовищам, де налаштовано декілька доменів SSSD з різними схемами LDAP.

Будь ласка, зауважте, що декілька назв атрибутів зарезервовано SSSD, зокрема атрибут «name». SSSD повідомить про помилку, якщо будь-які із зарезервованих назв атрибутів використано як назву додаткового атрибута.

Приклади:

ldap_user_extra_attrs = telephoneNumber

Зберегти атрибут «telephoneNumber» з LDAP як «telephoneNumber» до кешу.

ldap_user_extra_attrs = phone:telephoneNumber

Зберегти атрибут «telephoneNumber» з LDAP як «phone» до кешу.

Типове значення: not set

Атрибут LDAP, який містить відкриті ключі SSH користувача.

Типове значення: sshPublicKey

Атрибут LDAP, що відповідає повному імені користувача.

Типове значення: cn

Атрибут LDAP зі списком груп, у яких бере участь користувач.

Типове значення: memberOf

Якщо access_provider=ldap і ldap_access_order=authorized_service, SSSD використовуватиме наявність атрибута authorizedService у записі користувача LDAP для визначення прав доступу.

Спочатку визначаються явні заборони (!svc). Далі SSSD шукає явні дозволи (svc) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “authorized_service”, щоб система змогла скористатися параметром ldap_user_authorized_service.

У деяких дистрибутивах (зокрема у Fedora-29+ або RHEL-8) службу PAM “systemd-user” завжди включено до процедури входу до системи. Тому при використанні керування доступом на основі даних служб варто додавати службу “systemd-user” до списку дозволених служб.

Типове значення: authorizedService

Якщо access_provider=ldap і ldap_access_order=host, SSSD використовуватиме наявність атрибута host у записі користувача LDAP для визначення прав доступу.

Спочатку визначаються явні заборони (!host). Далі SSSD шукає явні дозволи (host) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “host”, щоб можна було скористатися параметром ldap_user_authorized_host.

Типове значення: host

Якщо access_provider=ldap і ldap_access_order=rhost, SSSD використовуватиме наявність атрибута rhost у записі користувача LDAP для визначення прав доступу. Те саме стосується і процесу перевірки вузла.

Спочатку визначаються явні заборони (!rhost). Далі SSSD шукає явні дозволи (rhost) і нарешті загальні дозволи або allow_all (*).

Будь ласка, зауважте, що параметр налаштування ldap_access_order має включати “rhost”, щоб можна було скористатися параметром ldap_user_authorized_rhost.

Типове значення: rhost

Назва атрибута LDAP, що містить сертифікат X509 користувача.

Типове значення: userCertificate;binary

Назва атрибута LDAP, який містить адресу електронної пошти користувача.

Зауваження: якщо адреса електронної пошти користувача конфліктує із адресою електронної пошти або повним ім'ям іншого користувача, SSSD не зможе обслуговувати належним чином записи таких користувачів. Якщо з якоїсь причини у декількох користувачів має бути одна адреса електронної пошти, встановіть для цього параметра довільну назву атрибута, щоб вимкнути пошук і вхід до системи за адресою електронної пошти.

Типове значення: mail

Клас об’єктів запису групи у LDAP.

Типове значення: posixGroup

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

Типове значення: cn (rfc2307, rfc2307bis і IPA), sAMAccountName (AD)

Атрибут LDAP, що відповідає ідентифікатору групи.

Типове значення: gidNumber

Атрибут LDAP, у якому містяться імена учасників групи.

Типове значення: memberuid (rfc2307) / member (rfc2307bis)

Атрибут LDAP, що містить UUID/GUID об’єкта групи LDAP.

Типове значення: не встановлено у загальному випадку, objectGUID для AD і ipaUniqueID для IPA

Атрибут LDAP, що містить objectSID об’єкта групи LDAP. Зазвичай, потрібен лише для серверів ActiveDirectory.

Типове значення: objectSid для ActiveDirectory, не встановлено для інших серверів.

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Типове значення: modifyTimestamp

Атрибут LDAP, що містить ціле значення і позначає тип групи, а також, можливо, інші прапорці.

Цей атрибут у поточній версії використовується лише засобом надання даних AD для визначення, чи є група локальною групою домену і чи має бути її відфільтровано у списку надійних (довірених) доменів.

Типове значення: groupType у засобі надання даних AD, у інших засобах не встановлено

Атрибут LDAP, який посилається на записи учасників групи, які визначено у зовнішньому домені. У поточній версії передбачено підтримку лише зовнішніх записів учасників IPA.

Типове значення: ipaExternalMember у засобі надання даних IPA, у інших засобах не визначено.

Клас об’єктів запису мережевої групи (netgroup) у LDAP.

У надавачі даних IPA має бути використано ipa_netgroup_object_class.

Типове значення: nisNetgroup

Атрибут LDAP, що відповідає назві мережевої групи (netgroup).

У надавачі даних IPA має бути використано ipa_netgroup_name.

Типове значення: cn

Атрибут LDAP, у якому містяться імена учасників мережевої групи (netgroup).

У надавачі даних IPA має бути використано ipa_netgroup_member.

Типове значення: memberNisNetgroup

Атрибут LDAP, що містить трійки мережевої групи (вузол, користувач, домен).

Цим параметром не можна скористатися у надавачі даних IPA.

Типове значення: nisNetgroupTriple

Атрибут LDAP, що містить часову позначку останньої зміни батьківського об’єкта.

Цим параметром не можна скористатися у надавачі даних IPA.

Типове значення: modifyTimestamp

Клас об’єктів запису вузла у LDAP.

Типове значення: ipService

Атрибут LDAP, що відповідає назві вузла.

Типове значення: cn

Атрибут LDAP, що відповідає повній назві вузла.

Типове значення: fqdn

Атрибут LDAP, що відповідає назві вузла.

Типове значення: serverHostname

Атрибут LDAP зі списком груп, у яких бере участь вузол.

Типове значення: memberOf

Атрибут LDAP, який містить відкриті ключі SSH вузла.

Типове значення: sshPublicKey

Атрибут LDAP, що містить UUID/GUID об’єкта вузла LDAP.

Типове значення: not set

Клас об’єктів запису служби у LDAP.

Типове значення: ipService

Атрибут LDAP, що містить назву атрибутів служби та замінників цих атрибутів.

Типове значення: cn

Атрибут LDAP, що містить номер порту, яким керує ця служба.

Типове значення: ipServicePort

Атрибут LDAP, що містить протоколи, за яким може працювати ця служба.

Типове значення: ipServiceProtocol

Клас об’єктів запису правила sudo у LDAP.

Типове значення: sudoRole

Атрибут LDAP, що відповідає назві правила sudo.

Типове значення: cn

Атрибут LDAP, що відповідає назві команди.

Типове значення: sudoCommand

Атрибут LDAP, який відповідає назві вузла (або IP-адресі вузла, IP-мережі вузла, мережевій групі вузла)

Типове значення: sudoHost

Атрибут LDAP, що відповідає назві імені користувача (або UID, назві групи або назві мережевої групи користувача)

Типове значення: sudoUser

Атрибут LDAP, що відповідає параметрам sudo.

Типове значення: sudoOption

Атрибут LDAP, що відповідає користувачеві, від імені якого можна виконувати команди.

Типове значення: sudoRunAsUser

Атрибут LDAP, що відповідає назві групи або GID, від імені якої можна виконувати команди.

Типове значення: sudoRunAsGroup

Атрибут LDAP, що відповідає даті і часу набуття чинності правилом sudo.

Типове значення: sudoNotBefore

Атрибут LDAP, що відповідає даті і часу втрати чинності правилом sudo.

Типове значення: sudoNotAfter

Атрибут LDAP, що відповідає порядковому номеру правила.

Типове значення: sudoOrder

Клас об’єктів запису карти автоматичного монтування у LDAP.

Типове значення: nisMap (rfc2307, autofs_provider=ad), у інших випадках automountMap

Назва запису карти автоматичного монтування у LDAP.

Типове значення: nisMapName (rfc2307, autofs_provider=ad), у інших випадках automountMapName

Клас об'єктів автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: nisObject (rfc2307, autofs_provider=ad), у інших випадках automount

Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: cn (rfc2307, autofs_provider=ad), у інших випадках automountKey

Ключ запису автоматичного монтування LDAP. Цей запис зазвичай відповідає точні монтування.

Типове значення: nisMapEntry (rfc2307, autofs_provider=ad), у інших випадках automountInformation

Клас об'єктів запису iphost у LDAP.

Типове значення: ipHost

Атрибут LDAP, що містить назву атрибутів IP вузла та замінників цих атрибутів.

Типове значення: cn

Атрибут LDAP, який містить адресу IP вузла.

Типове значення: ipHostNumber

Клас об'єктів запису ipnetwork у LDAP.

Типове значення: ipNetwork

Атрибут LDAP, що містить назву атрибутів мережі IP та замінників цих атрибутів.

Типове значення: cn

Атрибут LDAP, який містить адресу мережі IP.

Типове значення: ipNetworkNumber