SSSD-LDAP(5) Formatos de archivo y convenci SSSD-LDAP(5) NAME sssd-ldap - Proveedor SSSD LDAP DESCRIPCION Esta pagina de manual describe la configuracion de dominios LDAP para sssd(8). Vea la seccion "FILE FORMAT" de la pagina de manual sssd.conf(5) para informacion detallada de la sintaxis. Puede configurar SSSD para usar mas de un dominio LDAP. LDAP back end supports id, auth, access and chpass providers. If you want to authenticate against an LDAP server either TLS/SSL or LDAPS is required. sssd does not support authentication over an unencrypted channel. Even if the LDAP server is used only as an identity provider, an encrypted channel is strongly recommended. Please refer to "ldap_access_filter" config option for more information about using LDAP as an access provider. OPCIONES DE CONFIGURACION Todas las opciones comunes de configuracion que se aplican a los dominios SSSD tambien se aplican a los dominios LDAP. Vea la seccion "DOMAIN SECTIONS" de la pagina de manual sssd.conf(5) para todos los detalles. Advierta que los atributos de mapeo SSSD LDAP estan descritos en la pagina de manual sssd-ldap-attributes(5). ldap_uri, ldap_backup_uri (string) Especifica una lista separada por comas de URIs del servidor LDAP al que SSSD se conectaria en orden de preferencia. Vea la seccion "CONMUTACION EN ERROR" para mas informacion sobre la conmutacion en error y la redundancia de servidor. Si no hay opcion especificada, se habilita el descubridor de servicio. Para mas informacion, vea la seccion "DESCUBRIDOR DE SERVICIOS" El formato de la URI debe coincidir con el formato definido en RFC 2732: ldap[s]://[:port] Para direcciones IPv6 explicitas, debe estar entre corchetes [] ejemplo: ldap://[fc00::126:25]:389 ldap_chpass_uri, ldap_chpass_backup_uri (cadena) Especifica la lista separada por comas de URIs de los servidores LDAP a los que SSSD se conectaria con el objetivo preferente de cambiar la contrasena de un usuario. Vea la seccion "FAILOVER" para mas informacion sobre failover y redundancia de servidor. Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe ser establecido. Por defecto: vacio, esto es ldap_uri se esta usando. ldap_search_base (cadena) El DN base por defecto que se usara para realizar operaciones LDAP de usuario. Desde SSSD 1.7.0, SSSD soporta multiples bases de busqueda usando la sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] El alcance puede ser uno de "base", "onlevel" o "subtree". El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Ejemplos: ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base = dc=example,dc=com?subtree? ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? Nota: No esta soportado tener multiples bases de busqueda que se referencien a objetos nombrados identicamente (por ejemplo, grupos con el mismo nombre en dos bases de busqueda diferentes). Esto llevara a comportamientos impredecibles sobre maquinas cliente. Por defecto: no se fija, se usa el valor de los atributos defaultNamingContext o namingContexts de RootDSE del servidor LDAP usado. Si defaultNamingContext no existe o tiene un valor vacio se usa namingContexts. El atributo namingContexts debe tener un unico valor con el DN de la base de busqueda del servidor LDAP para hacer este trabajo. No se soportan multiples valores. ldap_schema (cadena) Especifica el Tipo de Esquema en uso en el servidor LDAP objetivo. Dependiendo del esquema seleccionado, los nombres de atributos por defecto que se recuperan de los servidores pueden variar. La manera en que algunos atributos son manejados puede tambien diferir. Cuatro tipos de esquema son actualmente soportados: o rfc2307 o rfc2307bis o IPA o AD La principal diferencia entre estos tipos de esquemas es como las afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros de grupos son listados por nombre en el atributo memberUid. Con rfc2307bis e IPA, los miembros de grupo son listados por DN y almacenados en el atributo member. El tipo de esquema AD fija los atributos para corresponderse con los valores Active Directory 2008r2. Predeterminado: rfc2307 ldap_pwmodify_mode (cadena) Especifica la operacion que se usa para modificar la contrasena de usuario. Actualmente se soportan dos modos: o exop - Operacion Extendida de Modificacion de Contrasena (RFC 3062) o ldap_modify - Modificacion directa de userPassword (no recomendado). Aviso: Primero, se establece una nueva conexion para verificar la contrasena acutal uniendo con el usuario que ha pedido el cambio de contrasena. Si tiene exito, esta conexion se usa para el cambio de contrasena por lo tanto el usuario debe haber escrito el atributo de acceos a userPassword. Predeterminado: exop ldap_default_bind_dn (cadena) El enlazador DN por defecto a usar para llevar a cabo operaciones LDAP. ldap_default_authtok_type (cadena) El tipo de ficha de autenticacion del enlazador DN por defecto. Los dos mecanismos actualmente soportados son: contrasena obfuscated_password Por defecto: contrasena See the sss_obfuscate(8) manual page for more information. ldap_default_authtok (cadena) The authentication token of the default bind DN. ldap_force_upper_case_realm (boolean) Algunos servidores de directorio, por ejemplo Active Directory, pueden entregar la parte real del UPN en minusculas, lo que puede causar fallos de autenticacion. Fije esta opcion en un valor distinto de cero si usted desea usar mayusculas reales. Predeterminado: false ldap_enumeration_refresh_timeout (entero) Especifica cuantos segundos SSSD tiene que esperar antes de refrescar su escondrijo de los registros enumerados. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 300 ldap_purge_cache_timeout (entero) Determina la frecuencia de comprobacion del cache para entradas inactivas (como grupos sin miembros y usuarios que nunca han accedido) y borrarlos para guardar espacio. Estableciendo esta opcion a cero deshabilitara la operacion de limpieza del cache. Por favor advierta que si la enumeracion esta habilitada, se requiere la tarea de limpieza con el objetivo de detectar entradas borradas desde el servidor y no pueden ser deshabilitadas. Por defecto, la tarea de limpieza correra cada tres horas con la enumeracion habilitada. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 0 (deshabilitado) ldap_group_nesting_level (entero) Si ldap_schema esta fijado en un formato de esquema que soporte los grupos anidados (por ejemplo, RFC2307bis), entonces esta opcion controla cuantos niveles de anidamiento seguira SSSD. Este opcion no tiene efecto en el esquema RFC2307. Aviso: Esta opcion especifica el nivel garantizado d grupos anidados a ser procesados para cualquier busqueda. Sin embargo, los grupos anidados detras de este limite pueden ser devueltos si las busquedas anteriores ya resueltas en os niveles mas profundos de anidamiento. Tambien, las busquedas subsiguientes para otros grupos pueden agrandar el conjunto de resultados de la busqueda origina si se requiere. Si ldap_group_nesting_level esta establecido a 0 no se procesan de ninguna manera grupos anidados. Sin embargo, cuando esta conectado a Active-Directory Server 2008 y posteriores usando "id_provider=ad" se recomienda ademas deshabilitar la utilizacion de Token-Groups estableciendo ldap_use_tokengroups a false con el objetivo de restringir el anidamiento de grupos. Predeterminado: 2 ldap_use_tokengroups Esta opcion habilita o deshabilita el uso del atributo Token-Groups cuando lleva a cabo un initgroup para usuarios de Active Directory Server 2008 y posteriores. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: True para AD e IPA en otro caso False. ldap_host_search_base (cadena) Opcional. Usa la cadena dada como base de busqueda para objetos host. Vea "ldap_search_base" para informacion sobre la configuracion de multiples bases de busqueda. Predeterminado: el valor de ldap_search_base ldap_service_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_iphost_search_base (string) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_ipnetwork_search_base (string) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_search_timeout (entero) Especifica el tiempo de salida (en segundos) que la busqueda ldap esta permitida para correr antes que de quea cancelada y los resultados escondidos devueltos (y se entra en modo fuera de linea) Nota: esta opcion sera sujeto de cambios en las futuras versiones del SSSD. Probablemente sera sustituido en algunos puntos por una serie de tiempos de espera para tipos especificos de busqueda. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 6 ldap_enumeration_search_timeout (entero) Especifica el tiempo de espera (en segundos) en los que las busquedas ldap de enumeraciones de usuario y grupo estan permitidas de correr antes de que sean canceladas y devueltos los resultados escondidos (y se entra en modo fuera de linea) This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 60 ldap_network_timeout (entero) Especifica el tiempo de salida (en segudos) despues del cual poll(2)/select(2) siguiendo un connect(2) vuelve en caso de no actividad. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 6 ldap_opt_timeout (entero) Especifica un tiempo de espera (en segundos) despues del cual las llamadas a LDAP APIs asincronos se abortaran si no se recibe respuesta. Tambien controla el tiempo de espera cuando se comunica con el KDC en caso de enlace SASL, el tiempo de espera de una operacion de enlace LDAP, la operacion de cambio extendido de contrasena y las operacion StartTLS. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 8 ldap_connection_expire_timeout (entero) Especifica un tiempo de espera (en segundos) en el que se mantendra una conexion a un servidor LDAP. Despues de este tiempo, la conexion sera restablecida. Si su usa en paralelo con SASL/GSSAPI, se usara el valor mas temprano (este valor contra el tiempo de vida TGT). If the connection is idle (not actively running an operation) within ldap_opt_timeout seconds of expiration, then it will be closed early to ensure that a new query cannot require the connection to remain open past its expiration. This implies that connections will always be closed immediately and will never be reused if ldap_connection_expire_timeout <= ldap_opt_timout This timeout can be extended of a random value specified by ldap_connection_expire_offset This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 900 (15 minutos) ldap_connection_expire_offset (integer) Random offset between 0 and configured value is added to ldap_connection_expire_timeout. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 0 ldap_connection_idle_timeout (integer) Specifies a timeout (in seconds) that an idle connection to an LDAP server will be maintained. If the connection is idle for more than this time then the connection will be closed. You can disable this timeout by setting the value to 0. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 900 (15 minutos) ldap_page_size (entero) Especifica el numero de registros a recuperar desde una unica peticion LDAP. Algunos servidores LDAP hacen cumplir un limite maximo por peticion. Predeterminado: 1000 ldap_disable_paging (booleano) Deshabilita el control de paginacion LDAP. Esta opcion se deberia usar si el servidor LDAP reporta que soporta el control de paginacion LDAP en sus RootDSE pero no esta habilitado o no se comporta apropiadamente. Ejemplo: los servidores OpenLDAP con el modulo de control de paginacion instalado sobre el servidor pero no habilitado lo reportaran en el RootDSE pero es incapaz de usarlo. Ejemplo: 389 DS tiene un bug donde puede solo soportar un control de paginacion a la vez en una unica conexion. Sobre clientes ocupados, esto puede ocasionar que algunas peticiones sean denegadas. Por defecto: False ldap_disable_range_retrieval (booleano) Deshabilitar la recuperacion del rango de Active Directory. Active Directory limita el numero de miembros a recuperar en una unica busqueda usando la politica MaxValRange (que esta predeterminada a 1500 miembros). Si un grupo contiene mas miembros, la replica incluiria una extension de rango especifica AD. Esta opcion deshabilita el analisis de la extension del rango, por eso grupos grandes apareceran como si no tuvieran miembros. Por defecto: False ldap_sasl_minssf (entero) Cuando se esta comunicando con un servidor LDAP usando SASL, especifica el nivel de seguridad minimo necesario para establecer la conexion. Los valores de esta opcion son definidos por OpenLDAP. Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf) ldap_sasl_maxssf (integer) When communicating with an LDAP server using SASL, specify the maximal security level necessary to establish the connection. The values of this option are defined by OpenLDAP. Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf) ldap_deref_threshold (entero) Especifica el numero de miembros del grupo que deben estar desaparecidos desde el escondrijo interno con el objetivo de disparar una busqueda deference. Si hay menos miembros desaparecidos, se buscaran individualmente. Puede desactivar las busquedas de desreferencia completamente estableciendo el valor a 0. Tenga en cuenta que hay algunas rutas de codigo en SSSD, como el proveedor IPA HBAC, que solo son implementadas usando la llamada de desreferencia, de modo que solo con la desreferencia explicitamente deshabilitada aquellas partes usaran todavia la desreferencia si el servidor lo soporta y auncia el control de la desreferencia en el objeto rootDSE. Una busqueda dereference es un medio de descargar todos los miembros del grupo en una unica llamada LDAP. Servidores diferentes LDAP pueden implementar diferentes metodos dereference. Los servidores actualmente soportados son 389/RHDS, OpenLDAP y Active Directory. Nota: Si alguna de las bases de busqueda especifica un filtro de busqueda, la mejora del rendimiento de la busqueda dereference sera deshabilitado sin tener en cuenta este ajuste. Predeterminado: 10 ldap_ignore_unreadable_references (bool) Ignore unreadable LDAP entries referenced in group's member attribute. If this parameter is set to false an error will be returned and the operation will fail instead of just ignoring the unreadable entry. This parameter may be useful when using the AD provider and the computer account that sssd uses to connect to AD does not have access to a particular entry or LDAP sub-tree for security reasons. Por defecto: False ldap_tls_reqcert (cadena) Especifica que comprobaciones llevar a cabo sobre los certificados del servidor en una sesion TLS, si las hay. Puede ser especificado como uno de los siguientes valores: never = El cliente no pedira o comprobara ningun certificado de servidor. allow = Se pide el certificado del servidor. Si no se suministra certificado, la sesion sigue normalmente. Si se suministra un certificado malo, sera ignorado y la sesion continua normalmente. try = Se pide el certificado del servidor. Si no se suministra certificado, la sesion continua normalmente. Si se suministra un certificado malo, la sesion se termina inmediatamente. demand = Se pide el certificado del servidor. Si no se suministra certificado, o se suministra un certificado malo, la sesion se termina inmediatamente. hard = Igual que "demand" Predeterminado: hard ldap_tls_cacert (cadena) Especifica el fichero que contiene los certificados de todas las Autoridades de Certificacion que sssd reconocera. Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_tls_cacertdir (cadena) Especifica la ruta de un directorio que contiene los certificados de las Autoridades de Certificacion en ficheros individuales separados. Normalmente los nombres de fichero necesita ser el hash del certificado seguido por `.0'. si esta disponible cacertdir_rehash puede ser usado para crear los nombres correctos. Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_tls_cert (cadena) Especifica el fichero que contiene el certificado para la clave del cliente. Predeterminado: no definido ldap_tls_key (cadena) Especifica el archivo que contiene la clave del cliente. Predeterminado: no definido ldap_tls_cipher_suite (cadena) Especifica conjuntos de cifrado aceptable. Por lo general, es una lista searada por dos puntos. Vea el formato en ldap.conf(5). Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf ldap_id_use_start_tls (booleano) Specifies that the id_provider connection must also use tls to protect the channel. true is strongly recommended for security reasons. Predeterminado: false ldap_id_mapping (booleano) Especifica que SSSD intentaria mapear las IDs de usuario y grupo desde los atributos ldap_user_objectsid y ldap_group_objectsid en lugar de apoyarse en ldap_user_uid_number y ldap_group_gid_number. Actualmente esta funcion soporta solo mapeos de objectSID de ActiveDirectory. Predeterminado: false ldap_min_id, ldap_max_id (entero) En contraste con el SID basado en mapeo de ID que se usa si ldap_id_mapping esta establecido a true el rango de ID permitido para ldap_user_uid_number y ldap_group_gid_number esta sin consolidar. En una configuracion con subdominios de confianza, esto podria producir colisiones de ID. Para evitar las colisiones ldap_min_id y ldap_max_id pueden er establecidos para restringir el rango permitido para las IDs que son leidas directamente desde el servidor. Los subdominios pueden elegir otros rangos para asignar IDs. Predeterminado: no establecido (ambas opciones se establecen a 0) ldap_sasl_mech (cadena) Especifica el mecanismo SASL a usar. Actualmente solo estan probados y soportados GSSAPI y GSS-SPNEGO. Si el backend admite subdominios el valor de ldap_sasl_mech es heredado automaticamente por los subdominios. Si se necesita un valor diferente para un subdominio puede ser sobrescrito estabeciendo ldap_sasl_mech para este subdominio explicitamente. Por favor vea la SECCION DOMINIO DE CONFIANZA es sssd.conf(5) para mas detalles. Predeterminado: no definido ldap_sasl_authid (cadena) Especifica la identificacion de autorizacion SASL a usar. Cuando son usados GSSAPI/GSS-SPNEGO, esto representa el principal Kerberos usado para autenticacion al directorio. Esta opcion puede contener el principal completo (por ejemplo host/myhost@EXAMPLE.COM) o solo el nombre principal (por ejemplo host/myhost). Por defecto, el valor no esta establecido y se usan los siguientes principales: hostname@REALM netbiosname$@REALM host/hostname@REALM *$@REALM host/*@REALM host/* Si no se encuentra ninguno de ellos, se devuelve en primer principal en la pestana. Por defecto: host/nombre_de_host@REALM ldap_sasl_realm (string) Especifica el reino SASL a usar. Cuando no se especifica, esta opcion se pone por defecto al valor de krb5_realm. Si ldap_sasl_authid contiene el reino tambien, esta opcion se ignora. Por defecto: el valor de krb5_realm. ldap_sasl_canonicalize (boolean) Si se fija en true, la libreria LDAP llevaria a cabo una busqueda inversa para para canocalizar el nombre de host durante una union SASL. Predeterminado: false; ldap_krb5_keytab (cadena) Especifica la pestana a usar cuando se utiliza SASL/GSSAPI/GSS-SPNEGO. This option can be also set per subdomain or inherited via subdomain_inherit. Por defecto: Keytab del sistema, normalmente /etc/krb5.keytab ldap_krb5_init_creds (booleano) Especifica que id_provider deberia iniciar las credenciales Kerberos (TGT). Esta accion solo se lleva a cabo si se usa SASL y el mecanismo seleccionado es GSSAPI o GSS-SPNEGO. Predeterminado: true ldap_krb5_ticket_lifetime (entero) Especifica el tiempo de vida en segundos del TGT si se usa GSSAPI o GSS-SPNEGO. This option can be also set per subdomain or inherited via subdomain_inherit. Predeterminado: 86400 (24 horas) krb5_server, krb5_backup_server (cadena) Especifica una lista separada por comas de direcciones IP o nombres de host de los servidores Kerberos a los cuales se conectaria SSSD en orden de preferencia. Para mas informacion sobre failover y redundancia de servidor, vea la seccion "FAILOVER". Un numero de puerto opcional (precedido de dos puntos) puede ser anadido a las direcciones o nombres de host. Si esta vacio, el servicio descubridor esta habilitado - para mas informacion, vea la seccion "SERVICE DISCOVERY". Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, SSSD primero busca entradas DNS que especifiquen _udop como protocolo y regresa a _tcp si no se encuentra nada. Este opcion se llamaba "krb5_kdcip" en las revisiones mas tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo que sea, los usuarios son advertidos para migrar sus ficheros de configuracion para usar "krb5_server" en su lugar. krb5_realm (cadena) Especifica el REALM Kerberos (para autorizacion SASL/GSSAPI/GSS-SPNEGO). Predeterminado: Predeterminados del sistema, vea /etc/krb5.conf krb5_canonicalize (boolean) Especifica si el host principal seria estandarizado cuando se conecte a un servidor LDAP. Esta funcion esta disponible con MIT Kerberos >= 1.7 Predeterminado: false krb5_use_kdcinfo (booleano) Especifica si el SSSD debe instruir a las librerias Kerberos que ambito y que KDCs usar. Esta opcion esta por defecto, si la deshabilita, necesita configurar las librerias Kerberos usando el fichero de configuracion krb5.conf(5). Vea la pagina de manual sssd_krb5_locator_plugin(8) para mas informacion sobre el complemento localizador. Predeterminado: true ldap_pwd_policy (cadena) Seleccione la politica para evaluar la caducidad de la contrasena en el lado del cliente. Los siguientes valores son permitidos: none - Sin evaluacion en el lado cliente. Esta opcion no puede deshabilitar las politicas de password en el lado servidor. shadow - Use shadow(5) style attributes to evaluate if the password has expired. Please see option "ldap_chpass_update_last_change" as well. mit_kerberos - Usa los atributos utilizados por MIT Kerberos para determinar si el password ha expirado. Use chpass_provider=krb5 para actualizar estos atributos cuando se cambia el password. Predeterminado: none Aviso: si esta configurada una politica de contrasena en el lado del servidor siempre tiene prioridad sobre la politica establecida por esta opcion. ldap_referrals (boolean) Especifica si el seguimiento de referencias automatico deberia ser habilitado. Por favor advierta que sssd solo soporta seguimiento de referencias cuando esta compilado con OpenLDAP version 2.4.13 o mas alta. Chasing referrals may incur a performance penalty in environments that use them heavily, a notable example is Microsoft Active Directory. If your setup does not in fact require the use of referrals, setting this option to false might bring a noticeable performance improvement. Setting this option to false is therefore recommended in case the SSSD LDAP provider is used together with Microsoft Active Directory as a backend. Even if SSSD would be able to follow the referral to a different AD DC no additional data would be available. Predeterminado: true ldap_dns_service_name (cadena) Especifica el nombre del servicio para utilizar cuando esta habilitado el servicio de descubrimiento. Predeterminado: ldap ldap_chpass_dns_service_name (cadena) Especifica el nombre del servicio para utilizar al buscar un servidor LDAP que permita cambios de contrasena cuando esta habilitado el servicio de descubrimiento. Por defecto: no fijado, esto es servicio descubridor deshabilitado. ldap_chpass_update_last_change (booleano) Especifica si actualizar el atributo ldap_user_shadow_last_change con dias desde el Epoch despues de una operacion de cambio de contrasena. It is recommend to set this option explicitly if "ldap_pwd_policy = shadow" is used to let SSSD know if the LDAP server will update shadowLastChange LDAP attribute automatically after a password change or if SSSD has to update it. Por defecto: False ldap_access_filter (cadena) Si esta usando access_provider = ldap y ldap_access_order = filter (predeterminado), esta opcion es obligatoria. Especifica un criterio de filtro de busqueda LDAP que debe cumplirse para que el usuario obtenga acceso a este host. Si access_provider = ldap, ldap_access_order = filter y esta opcion no estnan establecidos resultara que todos los usuarios tendran el acceso denegado. Use access_provider = permit para cambiar este comportamiento predeterminado. Por favor advierta que este filtro se aplica sobre la entrada LDAP del usuario y, por lo tanto, el filtrado basado en grupos anidados puede no funcionar (e.g. el atributo memberOf sobre entradas AD apunta solo a los parientes directos). Si se requiere el filtrado basado en grupos anidados, vea por favor sssd- simple(5). Ejemplo: access_provider = ldap ldap_access_filter = (employeeType=admin) Este ejemplo significa que el acceso a este host esta restringido a los usuarios cuyo atributo employeeType este establecido a "admin". El almacenamiento en cache sin conexion para esta funcion esta limitado a determinar si el ultimo inicio de sesion del usuario recibio permiso de acceso. Si obtuvieron permiso de acceso durante su ultimo inicio de sesion, se les seguiran otorgando acceso sin conexion y viceversa. Predeterminado: vacio ldap_account_expire_policy (cadena) Con esta opcion pueden ser habilitados los atributos de evaluacion de control de acceso del lado cliente. Por favor advierta que siempre se recomienda utilizar el control de acceso del lado servidor, esto es el servidor LDAP denegaria peticion de enlace con una codigo de error definible aunque el password sea correcto. Los siguientes valores estan permitidos: shadow: usa el valor de ldap_user_shadow_expire para determinar si la cuenta ha expirado. ad: usa el valor del campo de 32 bit ldap_user_ad_user_account_control y permite el acceso si el segundo bit no esta fijado. Si el atributo esta desaparecido se concede el acceso. Tambien se comprueba el tiempo de expiracion de la cuenta. rhds, ipa, 389ds: usa el valor de ldap_ns_account_lock para comprobar si se permite el acceso o no. nds: los valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y ldap_user_nds_login_expiration_time se usan para comprobar si el acceso esta permitido. Si ambos atributos estan desaparecidos se concede el acceso. Por favor advierta que la opcion de configuracion ldap_access_order debe incluir "expire" con el objetivo de la opcion ldap_account_expire_policy funcione. Predeterminado: vacio ldap_access_order (cadena) Lista separada por coma de opciones de control de acceso. Los valores permitidos son: filtro: utilizar ldap_access_filter lockout: usar bloqueo de cuenta. Si se establece, esta opcion deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' este presente y tenga un valor de '000001010000Z'. Por favor vea la opcion ldap_pwdlockout_dn. Por favor advieta que 'access_provider = ldap' debe ser establecido para que esta caracteristica funciones. Por favor tenga en cuenta que esta opcion es reemplazada por la opcion "ppolicy" y puede ser quitada en un futuro lanzamiento. ppolicy: usar bloqueo de cuenta. Si se establece, esta opcion deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' este presente y tenga un valor de '000001010000Z' o represente cualquier momento en el pasado. El valor del atributo 'pwdAccountLockedTime' debe terminar con 'Z', que denota la zona horaria UTC. Otras zonas horarias no se soportan actualmente y llevaran a "access-denied" cuando los usuarios intenten acceder. Por favor vea la opcion ldap_pwdlockout_dn. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta caracteristica funcione. caducar: utilizar ldap_account_expire_policy pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son utiles si los usuarios estan interesados en que se les avise de que la contrasena esta proxima a expirar y la autenticacion esta basada en la utilizacion de un metodo distinto a las contrasenas - por ejemplo claves SSH. The difference between these options is the action taken if user password is expired: o pwd_expire_policy_reject - user is denied to log in, o pwd_expire_policy_warn - user is still able to log in, o pwd_expire_policy_renew - user is prompted to change their password immediately. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta funcion trabaje. Tambien 'ldap_pwd_policy' debe estar establecido para una politica de contrasena apropiada. authorized_service: utilizar el atributo autorizedService para determinar el acceso host: usa el atributo host para determinar el acceso rhost: usar el atributo rhost para determinar si el host remoto puede acceder Por favor advierta el campo rhost en pam es establecido por la aplicacion, es mejor comprobar que la aplicacion lo envia a pam, antes de habilitar esta opcion de control de acceso Predeterminado: filter Tenga en cuenta que es un error de configuracion si un valor es usado mas de una vez. ldap_pwdlockout_dn (cadena) Esta opcion especifica la DN de la contrasena de entrada a la politica sobre un servidor LDAP. Tenga en cuenta que la ausencia de esta opcion en sssd.conf en caso de verificacion de bloqueo de cuenta habilitada dara como resultado el acceso denegado ya que los atributos ppolicy en el servidor LDAP no pueden verificarse correctamente. Ejemplo: cn=ppolicy,ou=policies,dc=example,dc=com Predeterminado: cn=ppolicy,ou=policies,$ldap_search_base ldap_deref (cadena) Especifica como se hace la eliminacion de referencias al alias cuando se lleva a cabo una busqueda. Estan permitidas las siguientes opciones: never: Nunca seran eliminadas las referencias al alias. searching: Las referencias al alias son eliminadas en subordinadas del objeto base, pero no en localizacion del objeto base de la busqueda. finding: Solo se eliminaran las referencias a alias cuando se localice el objeto base de la busqueda. always: Las referencias al alias se eliminaran tanto para la busqueda como en la localizacion del objeto base de la busqueda. Por defecto: Vacio (esto es manejado como nunca por las librerias cliente LDAP) ldap_rfc2307_fallback_to_local_users (boolean) Permite retener los usuarios locales como miembros de un grupo LDAP para servidores que usan el esquema RFC2307. En algunos entornos donde se usa el esquema RFC2307, los usuarios locales son hechos miembros de los grupos LDAP anadiendo sus nombres al atributo memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace esto, de modo que SSSD deberia normalmente quitar los usuarios "desparecidos" de las afiliaciones a grupos escondidas tan pronto como nsswitch intenta ir a buscar informacion del usuario por medio de las llamadas getpw*() o initgroups(). Esta opcion cae de nuevo en comprobar si los usuarios locales estan referenciados, y los almacena en cache de manera que mas tarde las llamadas initgroups() aumentara los usuarios locales con los grupos LDAP adicionales. Predeterminado: false wildcard_limit (entero) Especifica un limite superior sobre el numero de entradas que son descargadas durante una busqueda de comodin. En este momento solo el respondedor InfoPipe soporta busqueda de comodin Predeterminado: 1000 (frecuentemente el tamano de una pagina) ldap_library_debug_level (integer) Switches on libldap debugging with the given level. The libldap debug messages will be written independent of the general debug_level. OpenLDAP uses a bitmap to enable debugging for specific components, -1 will enable full debug output. Default: 0 (libldap debugging disabled) OPCIONES SUDO Las instrucciones detalladas para la configuracion de sudo_provider estan en la pagina de manual sssd-sudo(5). ldap_sudo_full_refresh_interval (entero) Cuantos segundos esperara SSSD entre ejecutar un refresco total de las reglas sudo (que descarga todas las reglas que estan almacenadas en el servidor). El valor debe ser mayor que ldap_sudo_smart_refresh_interval You can disable full refresh by setting this option to 0. However, either smart or full refresh must be enabled. Por defecto: 21600 (6 horas) ldap_sudo_smart_refresh_interval (entero) Cuantos segundos tiene SSSD que esperar antes de ejecutar una actualizacion inteligente de las reglas sudo (lo que descarga todas las reglas que tienen un USN mas alto que el valor mas alto del servidor USN que conoce actualmente SSSD). Si los atributos USN no se soportan por el servidor, se usa en su lugar el atributo modifyTimestamp. Aviso: el valor mas alto de USN puede ser actualizado por tres tareas: 1) Por una actualizacion total o inteligente de sudo (si se encuentran reglas actualizadas), 2) por la enumeracion de usuarios y grupos (si se encuentran usuarios y grupos habilitados y actualizados) y 3) reconectando con el servidor (por defecto cada 15 minutos, vea ldap_connection_expire_timeout). You can disable smart refresh by setting this option to 0. However, either smart or full refresh must be enabled. Predeterminado: 900 (15 minutos) ldap_sudo_random_offset (integer) Random offset between 0 and configured value is added to smart and full refresh periods each time the periodic task is scheduled. The value is in seconds. Note that this random offset is also applied on the first SSSD start which delays the first sudo rules refresh. This prolongs the time when the sudo rules are not available for use. You can disable this offset by setting the value to 0. Predeterminado: 0 (deshabilitado) ldap_sudo_use_host_filter (booleano) Si es true, SSSD descargara solo las reglas que son aplicables a esta maquina (usando las direcciones de host/red y nombres de host IPv4 o IPv6). Predeterminado: true ldap_sudo_hostnames (cadena) Lista separada por espacios de nombres de host o nombres de dominio totalmente cualificados que seria usada para filtrar las reglas. Si esta opcion esta vacia, SSSD intentara descubrir el nombre de host y el nombre de dominio totalmente cualificado automaticamente. Si ldap_sudo_use_host_filter es false esta opcion no tiene efecto. Por defecto: no especificado ldap_sudo_ip (cadena) Lista separada por espacios de direcciones de host/red IPv4 o IPv6 que seria usada para filtrar las reglas. esta opcion esta vacia, SSSD intentara descrubrir las direcciones automaticamente. Si ldap_sudo_use_host_filter es false esta opcion no tiene efecto. Por defecto: no especificado sudo_include_netgroups (booleano) Si esta a true SSSD descargara cada regla que contenga un grupo de red en el atributo sudoHost. Si ldap_sudo_use_host_filter es false esta opcion no tiene efecto. Predeterminado: true ldap_sudo_include_regexp (booleano) Si es verdad SSSD descargara cada regla que contenga un comodin en el atributo sudoHost. Si ldap_sudo_use_host_filter es false esta opcion no tiene efecto. Note !Usar comodines es una operacion que es muy costosa de evaluar en el lado del servidor LDAP! Predeterminado: false Esta pagina de manual solo describe el atributo de nombre mapping. Para una explicacion detallada de la semantica del atributo relacionada con sudo, vea sudoers.ldap(5) OPCIONES AUTOFS Algunos de los valores por defecto para los parametros de abajo dependen del esquema LDAP. ldap_autofs_map_master_name (cadena) El nombre del mapa maestro de montaje automatico en LDAP. Pfredeterminado: auto.master ldap_autofs_map_object_class (cadena) El objeto clase de una entrada de mapa de automontaje en LDAP. Predeterminado: nisMap (rfc2307, autofs_provider=ad), de otra manera automountMap ldap_autofs_map_name (cadena) El nombre de una entrada de mapa de automontaje en LDAP. Predeterminado: nisMapName (rfc2307, autofs_provider=ad), de otra manera automountMapName ldap_autofs_entry_object_class (cadena) El objeto clase de una entrada de montaje automatico en LDAP. La entrada normalmente corresponde a un punto de montaje. Predeterminado: nisObject (rfc2307, autofs_provider=ad), de otra manera automount ldap_autofs_entry_key (cadena) La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje. Predeterminado: cn (rfc2307, autofs_provider=ad), de otra manera automountKey ldap_autofs_entry_value (cadena) La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje. Predeterminado: nisMapEntry (rfc2307, autofs_provider=ad), de otra manera automountInformation Por favor advierta que el automontador solo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente tambien necesitara reiniciar el demonio automontador despues de reiniciar el SSSD. OPCIONES AVANZADAS Estas opciones estan soportadas por dominios LDAP, pero deberian ser usadas con precaucion. Por favor incluyalas en su configuracion si usted sabe lo que esta haciendo. ldap_netgroup_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_user_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_group_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. Note Si la opcion "ldap_use_tokengroups" esta habilitada, las busquedas contra Active Directory no seran restringidas y devolveran todos los grupos miembros, incluso sin mapeo GID. Se recomienda deshabilitar esta funcion, si los nombres de grupo no estan siendo visualizados correctamente. ldap_sudo_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. ldap_autofs_search_base (cadena) Una base DN opcional, alcance de la busqueda y filtro LDAP para busquedas LDAP de este tipo de atributo. sintaxis: search_base[?scope?[filter][?search_base?scope?[filter]]*] The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511 El filtro debe ser un filtro de busqueda LDAP valido como se especifica en http://www.ietf.org/rfc/rfc2254.txt Para ejemplos de esta sintaxis, por favor vea la seccion de ejemplos de "ldap_search_base" Predeterminado: el valor de ldap_search_base Por favor advierta que especificar el alcance o el filtro no esta soportado para busquedas contra un Active Directory Server que puede ceder un gran numero de resultados y disparar la extension Range Retrieval en la respuesta. CONMUTACION POR ERROR La funcion conmutacion en error permite a los finales conmutar automaticamente a un servidor diferente si el servidor actual falla. Sintaxis de conmutacion por error La lista de servidores se da como una lista separada por comas; se permite cualquier numero de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier numero de servidores. For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server. El mecanismo de conmutacion por errorEl mecanismo de failover distingue entre una maquina y un servicio. El punto final intenta primero resolver el nombre de host de una maquina dada; si el intento de resolucion falla, la maquina es considerada fuera de linea. No se haran mas intentos de conexion con esta maquina para ningun otro servicio. Si el intento de resolucion tiene exito, el punto final intenta conectar a un servicio en esa maquina. Si el intento de conexion al servicio falla, entonces solo se considera fuera de linea este servicio concreto y el punto final conmutara automaticamente sobre el siguientes servicio. La maquina se considera que sigue en linea y se puede intentar el acceso a otros servicios. El mecanismo de conmutacion por error distingue entre una maquina y un servicio. El punto final intenta primero resolver el nombre de host de una maquina dada; si el intento de resolucion falla, la maquina es considerada fuera de linea. No se haran mas intentos de conexion con esta maquina para ningun otro servicio. Si el intento de resolucion tiene exito, el punto final intenta conectar a un servicio en esa maquina. Si el intento de conexion al servicio falla, entonces solo se considera fuera de linea este servicio concreto y el punto final conmutara automaticamente sobre el siguientes servicio. La maquina se considera que sigue en linea y se puede intentar el acceso a otros servicios. Los intentos de conexion adicionales son hechos a maquinas o servicios marcaros como fuera de linea despues de un periodo de tiempo especificado; esto esta codificado a fuego actualmente en 30 segundos. Si no hay mas maquinas para intentarlo, el punto final al completo conmutara al modo fuera de linea y despues intentara reconectar cada 30 segundo. Failover time outs and tuning Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs. This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page. dns_resolver_server_timeout Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one. Predeterminado: 1000 dns_resolver_op_timeout Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain. Predeterminado: 3 dns_resolver_timeout How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site. Predeterminado: 6 For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the "ldap_opt_timeout" timeout should be set to a larger value than "dns_resolver_timeout" which in turn should be set to a larger value than "dns_resolver_op_timeout" which should be larger than "dns_resolver_server_timeout". SERVICIO DE DESCUBRIMIENTO La funcion servicio descubridor permite a los puntos finales encontrar automaticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta funcion no esta soportada por los servidores de respaldo. Configuracion Si no se especifican servidores, el punto final usar automaticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, "_srv_", en la lista de servidores. El orden de preferencia se mantiene. Esta funcion es util si, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor especifico cuando no se pueden descubrir servidores usando DNS. El nombre de dominio Por favor vea el parametro "dns_discovery_domain" en la pagina de manual sssd.conf(5) para mas detalles. El protocolo Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripcion de la opcion respectiva. Vea tambien Para mas informacion sobre el mecanismo del servicio descubridor, vea el RFC 2782. ASIGNACION DE ID La funcion asignacion de ID permite a SSSD actuar como un cliente de Active Directory sin requerir de administradores para extender los atributos de usuario para soportar atributos POSIX para los identificadores de usuario y grupo. NOTA: Cuando asignacion de ID esta habilitado, los atributos uidNumber y gidNumber son ignorados. Esto es para evitar la posibilidad de conflictos entre los valores automaticamente asignados y los asignados manualmente. Si usted necesita usar los valore asignados manualmente, TODOS los valores deben ser asignados manualmente. Please note that changing the ID mapping related configuration options will cause user and group IDs to change. At the moment, SSSD does not support changing IDs, so the SSSD database must be removed. Because cached passwords are also stored in the database, removing the database should only be performed while the authentication servers are reachable, otherwise users might get locked out. In order to cache the password, an authentication must be performed. It is not sufficient to use sss_cache(8) to remove the database, rather the process consists of: o Making sure the remote servers are reachable o Stopping the SSSD service o Removing the database o Starting the SSSD service Moreover, as the change of IDs might necessitate the adjustment of other system properties such as file and directory ownership, it's advisable to plan ahead and test the ID mapping configuration thoroughly. Algoritmo de asignacion Active Directory suministra un objectSID para cada objeto usuario y grupo en el directorio. El objectSID puede ser dividido en componente que representan la identidad del dominio Active Directory y le identificador relativo (RID) del objeto usuario y grupo. El algoritmo de asignacion de ID de SSSD tiene un rango de UIDs disponibles y lo divide en secciones componente de igual tamano - llamadas "rebanadas" -. Cada rebanada representa el espacio disponible para un dominio Active Directory. Cuando se encuentra por primera vez una entrada de usuario o grupo para un dominio concreto, SSSD asigna una de las rebanadas disponibles para ese dominio. Con el objetivo de hacer esta asignacion de rebanadas repetible sobre diferentes maquinas clientes, seleccionamos la rebanada en base al siguiente algoritmo: La cadena SID pasada a traves del algoritmo murmurhash3 para convertirlo en un valor picado de 32 bit. Despues tomamos los modulos de este valor con el numero total de rebanadas disponibles para recoger la rebanada. NOTA: Es posible encontrar colisiones en el picadillo y los modulos subsiguientes. En estas situaciones, seleccionaremos la siguiente rebanada disponible, pero puede no ser posible reproducir los mismos conjuntos exactos de rebanadas sobre otras maquinas (puesto que el orden en que se encuentren desterminara sus rebanadas). En esta situacion, se recomienda o bien conmutar para usar los atributos explicitos POSIX en Active Directory (deshabilitando la asignacion de ID) o configurar un dominio por defecto para garantizar que al menos uno sea siempre consistente. Vea "Configuracion" para detalles. Configuracion Configuracion minima (en la seccion "[domain/DOMAINNAME]"): ldap_id_mapping = True ldap_schema = ad The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments. Configuracion Avanzada ldap_idmap_range_min (entero) Specifies the lower (inclusive) bound of the range of POSIX IDs to use for mapping Active Directory user and group SIDs. It is the first POSIX ID which can be used for the mapping. NOTA: Esta opcion es diferente de "min_id" en esta "min_id" actua para filtrar la salida de las peticiones a este dominio, mientras esta opcion controla el rango de la asignacion de ID. Esto es una sutil diferencia, pero el buen consejo general seria que "min_id" fuera menor o igual que "ldap_idmap_range_min" Por defecto: 200000 ldap_idmap_range_max (entero) Specifies the upper (exclusive) bound of the range of POSIX IDs to use for mapping Active Directory user and group SIDs. It is the first POSIX ID which cannot be used for the mapping anymore, i.e. one larger than the last one which can be used for the mapping. NOTA: Esta opcion es diferente de "max_id" en esta "max_id" actua para filtrar la salida de las peticiones a este dominio, mientras esta opcion controla el rango de la asignacion de ID. Esto es una sutil diferencia, pero el buen consejo general seria que "max_id" fuera menor o igual que "ldap_idmap_range_max" Por defecto: 2000200000 ldap_idmap_range_size (entero) Especifica el numero de IDs disponibles para cada rebanada. Si el rango no se divide de forma igual entre los valores minimo y maximo, creara tantas rebanadas completas como sea posible. NOTE: The value of this option must be at least as large as the highest user RID planned for use on the Active Directory server. User lookups and login will fail for any user whose RID is greater than this value. For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, "ldap_idmap_range_size" must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1). It is important to plan ahead for future expansion, as changing this value will result in changing all of the ID mappings on the system, leading to users with different local IDs than they previously had. Por defecto: 200000 ldap_idmap_default_domain_sid (cadena) Especifica el SID de dominio del dominio por defecto. Esto garantizara que este dominio sera asignado siempre a la rebanada cero en el mapa de ID, sobrepasando el algoritmo murmurhash descrito arriba. Predeterminado: no definido ldap_idmap_default_domain (cadena) Especifica el nombre del dominio por defecto. Predeterminado: no definido ldap_idmap_autorid_compat (booleano) Cambia el comportamiento del algoritmo de asignacion de id para que se comporte de un modo mas similar al algoritmo "idmap_autorid" de winbind. When this option is configured, domains will be allocated starting with slice zero and increasing monotonically with each additional domain. NOTA: Este algoritmo no es determinista (depende del orden en que usuario y grupos son pedidos). Si se requiere este modo para compatibilidad con maquinas que ejecutan winbind, se recomienda que tambien use la opcion "ldap_idmap_default_domain_sid" para garantizar que al menos un dominio esta asignado consistentemente a la rebanada cero. Por defecto: False ldap_idmap_helper_table_size (integer) Maximal number of secondary slices that is tried when performing mapping from UNIX id to SID. Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated. Predeterminado: 10 Well-Known SIDs SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a special hardcoded meaning. Since the generic users and groups related to those Well-Known SIDs have no equivalent in a Linux/UNIX environment no POSIX IDs are available for those objects. The SID name space is organized in authorities which can be seen as different domains. The authorities for the Well-Known SIDs are o Null Authority o World Authority o Local Authority o Creator Authority o Mandatory Label Authority o Authentication Authority o NT Authority o Built-in The capitalized version of these names are used as domain names when returning the fully qualified name of a Well-Known SID. Since some utilities allow to modify SID based access control information with the help of a name instead of using the SID directly SSSD supports to look up the SID by the name as well. To avoid collisions only the fully qualified names can be used to look up Well-Known SIDs. As a result the domain names "NULL AUTHORITY", "WORLD AUTHORITY", "LOCAL AUTHORITY", "CREATOR AUTHORITY", "MANDATORY LABEL AUTHORITY", "AUTHENTICATION AUTHORITY", "NT AUTHORITY" and "BUILTIN" should not be used as domain names in sssd.conf. EJEMPLO El siguiente ejemplo asume que SSSS esta configurado correctamente y LDAP esta fijado a uno de los dominios de la seccion [domains]. [domain/LDAP] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true EJEMPLO DE FILTRO DE ACCESO LDAP El siguiente ejemplo asume que SSSD esta correctamente configurado y usa ldap_access_order=lockout. [domain/LDAP] id_provider = ldap auth_provider = ldap access_provider = ldap ldap_access_order = lockout ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true NOTAS Las descripciones de algunas de las opciones de configuracion en esta pagina de manual estan basadas en la pagina de manual ldap.conf(5) de la distribucion OpenLDAP 2.4. VEA TAMBIEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS The SSSD upstream - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSSD-LDAP(5)