'\" t
.\"     Title: sssd-ldap
.\"    Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/
.\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
.\"      Date: 04/09/2024
.\"    Manual: Форматы файлов и рекомендации
.\"    Source: SSSD
.\"  Language: English
.\"
.TH "SSSD\-LDAP" "5" "04/09/2024" "SSSD" "Форматы файлов и рекомендации"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
sssd-ldap \- Поставщик данных LDAP SSSD
.SH "ОПИСАНИЕ"
.PP
На этой справочной странице представлено описание настройки доменов LDAP для
\fBsssd\fR(8)\&. Подробные сведения о синтаксисе доступны в разделе
\(lqФОРМАТ ФАЙЛА\(rq
справочной страницы
\fBsssd.conf\fR(5)\&.
.PP
Возможно настроить SSSD на использование нескольких доменов LDAP\&.
.PP
LDAP back end supports id, auth, access and chpass providers\&. If you want to authenticate against an LDAP server either TLS/SSL or LDAPS is required\&.
\fBsssd\fR
\fIdoes not\fR
support authentication over an unencrypted channel\&. Even if the LDAP server is used only as an identity provider, an encrypted channel is strongly recommended\&. Please refer to
\(lqldap_access_filter\(rq
config option for more information about using LDAP as an access provider\&.
.SH "ПАРАМЕТРЫ КОНФИГУРАЦИИ"
.PP
Все общие параметры конфигурации, которые применимы к доменам SSSD, также применимы и к доменам LDAP\&. Подробные сведения доступны в разделе
\(lqРАЗДЕЛЫ ДОМЕНА\(rq
справочной страницы
\fBsssd.conf\fR(5)\&. Обратите внимание, что описание атрибутов сопоставления LDAP SSSD LDAP приводится на справочной странице
\fBsssd-ldap-attributes\fR(5)\&.
.PP
ldap_uri, ldap_backup_uri (строка)
.RS 4
Разделённый запятыми список URI серверов LDAP, к которым SSSD следует подключаться в порядке приоритета\&. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе
\(lqОТРАБОТКА ОТКАЗА\(rq\&. Если не указан ни один из параметров, будет включено обнаружение служб\&. Дополнительные сведения доступны в разделе
\(lqОБНАРУЖЕНИЕ СЛУЖБ\(rq\&.
.sp
Формат URI должен соответствовать формату, определённому в RFC 2732:
.sp
ldap[s]://<host>[:port]
.sp
Для явного указания адресов IPv6 <host> необходимо заключать в скобки []
.sp
пример: ldap://[fc00::126:25]:389
.RE
.PP
ldap_chpass_uri, ldap_chpass_backup_uri (строка)
.RS 4
Разделённый запятыми список URI серверов LDAP, к которым SSSD следует подключаться в порядке приоритета для смены пароля пользователя\&. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе
\(lqОТРАБОТКА ОТКАЗА\(rq\&.
.sp
Для включения обнаружения служб необходимо установить значение параметра ldap_chpass_dns_service_name\&.
.sp
По умолчанию: пусто, то есть используется ldap_uri\&.
.RE
.PP
ldap_search_base (строка)
.RS 4
Стандартное base DN, которое следует использовать для выполнения действий от имени пользователя LDAP\&.
.sp
Начиная с версии 1\&.7\&.0, SSSD поддерживает несколько баз поиска\&. Используется следующий синтаксис:
.sp
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&.
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры:
.sp
ldap_search_base = dc=example,dc=com (что эквивалентно) ldap_search_base = dc=example,dc=com?subtree?
.sp
ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example\&.com?subtree?
.sp
Примечание: не поддерживается использование нескольких баз поиска, которые ссылаются на объекты с одинаковыми именами (например, на группы с одинаковым именем в двух разных базах поиска)\&. Это приведёт к непредсказуемому поведению программы на клиентских компьютерах\&.
.sp
По умолчанию: если не задано, используется значение атрибута defaultNamingContext или namingContexts из RootDSE сервера LDAP\&. Если атрибут defaultNamingContext не существует или имеет пустое значение, используется значение namingContexts\&. Для работы этого параметра необходимо, чтобы атрибут namingContexts имел одно значение с DN базы поиска сервера LDAP\&. Использование нескольких значений не поддерживается\&.
.RE
.PP
ldap_schema (строка)
.RS 4
Указывает тип схемы, который используется на сервере LDAP цели\&. Стандартные имена атрибутов, получаемые с серверов, зависят от выбранной схемы\&. Также может различаться и способ обработки некоторых атрибутов\&.
.sp
В настоящее время поддерживаются четыре типа схем:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
rfc2307
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
rfc2307bis
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
IPA
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
AD
.RE
.sp
Главное различие между этими типами схем заключается в способе записи участия в группах на сервере\&. В схеме rfc2307 записи участников групп упорядочиваются по имени в атрибуте
\fImemberUid\fR\&. В схемах rfc2307bis и IPA записи участников групп упорядочиваются по DN и хранятся в атрибуте
\fImember\fR\&. В схеме AD атрибуты будут соответствовать значениям 2008r2 Active Directory\&.
.sp
По умолчанию: rfc2307
.RE
.PP
ldap_pwmodify_mode (строка)
.RS 4
Позволяет указать действие, которое выполняется для смены пароля пользователя\&.
.sp
В настоящее время поддерживаются два режима:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
exop \(em расширенное действие по изменению пароля (RFC 3062)
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ldap_modify \(em прямое изменение userPassword (не рекомендуется)\&.
.RE
.sp
Примечание: сначала устанавливается новое соединение для проверки текущего пароля путём привязки от имени пользователя, запросившего смену пароля\&. В случае успеха это соединение используется для смены пароля, следовательно, у пользователя должны быть права на запись в атрибут userPassword\&.
.sp
По умолчанию: exop
.RE
.PP
ldap_default_bind_dn (строка)
.RS 4
Стандартное DN привязки, которое следует использовать для выполнения действий LDAP\&.
.RE
.PP
ldap_default_authtok_type (строка)
.RS 4
Тип маркера проверки подлинности для bind DN по умолчанию\&.
.sp
В настоящее время поддерживаются два механизма:
.sp
password
.sp
obfuscated_password
.sp
По умолчанию: password
.sp
Дополнительные сведения доступны на справочной странице
\fBsss_obfuscate\fR(8)\&.
.RE
.PP
ldap_default_authtok (строка)
.RS 4
Маркер проверки подлинности стандартного DN привязки\&.
.RE
.PP
ldap_force_upper_case_realm (логическое значение)
.RS 4
Некоторые серверы каталогов, например Active Directory, могут предоставлять часть области UPN в нижнем регистре, что может привести к сбою проверки подлинности\&. Установите этот параметр в значение, отличное от нуля, если следует использовать название области в верхнем регистре\&.
.sp
По умолчанию: false
.RE
.PP
ldap_enumeration_refresh_timeout (целое число)
.RS 4
Указывает время ожидания SSSD (в секундах) перед обновлением своего кэша перечисленных записей\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 300
.RE
.PP
ldap_purge_cache_timeout (целое число)
.RS 4
Позволяет определить, как часто следует проверять кэш на наличие неактивных записей (таких, как группы без участников и пользователи, которые никогда не выполняли вход) и удалять эти записи для экономии места\&.
.sp
Установка этого параметра в значение \(Fo0\(Fc отключит очистку кэша\&. Обратите внимание: если перечисление включено, задание очистки должно выполняться для определения записей, удалённых с сервера, и его нельзя отключить\&. По умолчанию задание очистки выполняется раз в 3 часа, когда перечисление включено\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 0 (отключено)
.RE
.PP
ldap_group_nesting_level (целое число)
.RS 4
Если в качестве значения ldap_schema выбран формат схемы, который поддерживает вложенные группы (например, RFC2307bis), этот параметр определяет количество уровней вложенности, которое будет обрабатываться SSSD\&. Если используется схема RFC2307, этот параметр ни на что не влияет\&.
.sp
Примечание: этот параметр задаёт гарантированный уровень вложенности групп, который будет обрабатываться при любом поиске\&. Тем не менее, в результатах поиска
\fIмогут\fR
присутствовать вложенные группы, уровень вложенности которых превышает указанное значение, если при предыдущих поисках выполнялась обработка более глубоких уровней вложенности\&. Кроме того, последующие поиски других групп могут увеличить набор результатов исходного поиска, когда он будет выполнен повторно\&.
.sp
Если параметр ldap_group_nesting_level установлен в значение \(Fo0\(Fc, обработка вложенных групп выполняться не будет\&. Тем не менее, если с помощью
\(lqid_provider=ad\(rq
установлено соединение с Active Directory Server 2008 и выше, также будет необходимо отключить использование групп маркеров путём установки параметра ldap_use_tokengroups в значение \(Fofalse\(Fc для ограничения вложенности групп\&.
.sp
По умолчанию: 2
.RE
.PP
ldap_use_tokengroups
.RS 4
Этот параметр включает или отключает использование атрибута групп маркеров при выполнении initgroup для пользователей Active Directory Server 2008 или выше\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: True для AD и IPA, в ином случае \(em False\&.
.RE
.PP
ldap_host_search_base (строка)
.RS 4
Необязательный параметр\&. Использовать указанную строку как базу поиска объектов узлов\&.
.sp
Сведения о настройке нескольких баз поиска доступны в описании параметра
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.RE
.PP
ldap_service_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_iphost_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_ipnetwork_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_search_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах) для выполнения поиска LDAP, по истечении которого поиск будет отменён и будут возвращены кэшированные результаты (и выполнен переход в автономный режим)
.sp
Примечание: этот параметр будет изменён в будущих версиях SSSD\&. Вероятно, его заменит ряд тайм\-аутов для отдельных типов поиска\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 6
.RE
.PP
ldap_enumeration_search_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах) для выполнения LDAP поиска перечислений пользователей и групп, по истечении которого поиск будет отменён и будут возвращены кэшированные результаты (и выполнен переход в автономный режим)
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 60
.RE
.PP
ldap_network_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах), по истечении которого в случае отсутствия активности возвращается
\fBpoll\fR(2)/\fBselect\fR(2)
после
\fBconnect\fR(2)\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 6
.RE
.PP
ldap_opt_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах), по истечении которого вызовы синхронных программных интерфейсов LDAP будут прекращены, если не будет получен ответ\&. Этот параметр также управляет тайм\-аутом при обмене данными с KDC в случае использования привязки SASL, тайм\-аутом операции привязки LDAP, расширенного действия по смене пароля и действия StartTLS\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 8
.RE
.PP
ldap_connection_expire_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах), в течение которого будет поддерживаться соединение с сервером LDAP\&. По истечении этого времени будет предпринята попытка повторного подключения\&. Если параллельно используется SASL/GSSAPI, будет использоваться первое по времени наступления из этих двух значений (значение этого параметра или значение времени жизни TGT)\&.
.sp
Если соединение простаивает (активные операции не выполняются) в течение
\fIldap_opt_timeout\fR
секунд после истечения срока действия, оно будет закрыто досрочно, чтобы гарантировать, что новый запрос не может требовать, чтобы соединение оставалось открытым после истечения срока его действия\&. Это означает, что соединения всегда будут закрываться немедленно, и не будут использоваться повторно, если
\fIldap_connection_expire_timeout <= ldap_opt_timout\fR
.sp
Этот тайм\-аут может быть увеличен случайным значением, указанным с помощью параметра
\fIldap_connection_expire_offset\fR
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 900 (15 минут)
.RE
.PP
ldap_connection_expire_offset (целое число)
.RS 4
Случайная задержка от 0 до настроенного значения добавляется к
\fIldap_connection_expire_timeout\fR\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 0
.RE
.PP
ldap_connection_idle_timeout (целое число)
.RS 4
Позволяет указать тайм\-аут (в секундах), в течение которого будет поддерживаться неактивное соединение с сервером LDAP\&. Если соединение бездействует дольше этого времени, соединение будет закрыто\&.
.sp
Можно отключить этот тайм\-аут, установив значение \(Fo0\(Fc\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 900 (15 минут)
.RE
.PP
ldap_page_size (целое число)
.RS 4
Позволяет указать количество записей для получения от LDAP в ответ на один запрос\&. На некоторых серверах LDAP задано ограничение максимального количества на один запрос\&.
.sp
По умолчанию: 1000
.RE
.PP
ldap_disable_paging (логическое значение)
.RS 4
Отключить управление переходами между страницами LDAP\&. Этот параметр следует использовать, если сервер LDAP сообщает о том, что поддерживает управление переходами между страницами LDAP в своём RootDSE, но оно не включено или не работает надлежащим образом\&.
.sp
Пример: серверы OpenLDAP с модулем управлением переходами между страницами, который установлен на сервере, но не включён, будут сообщать о нём в RootDSE, но не смогут использовать его\&.
.sp
Пример: в 389 DS есть внутренняя ошибка, из\-за которой для одного подключения одновременно поддерживается только одно средство управления переходами между страницами\&. Если поступает много запросов, это может привести к отказам в выполнении некоторых из них\&.
.sp
По умолчанию: false
.RE
.PP
ldap_disable_range_retrieval (логическое значение)
.RS 4
Отключить получение диапазонов Active Directory\&.
.sp
Active Directory ограничивает количество участников, которые могут быть получены за один поиск, с помощью политики MaxValRange (значение по умолчанию \(em 1500 участников)\&. Если группа содержит большее количество участников, ответ будет включать специфичное для AD расширение диапазона\&. Этот параметр отключает обработку расширения диапазона, следовательно, большие группы будут показаны как группы без участников\&.
.sp
По умолчанию: false
.RE
.PP
ldap_sasl_minssf (целое число)
.RS 4
Позволяет указать минимальный уровень безопасности, необходимый для установки соединения в случае обмена данными с сервером LDAP с помощью SASL\&. Значение этого параметра определяется OpenLDAP\&.
.sp
По умолчанию: использовать стандартное системное значение (обычно указывается в ldap\&.conf)
.RE
.PP
ldap_sasl_maxssf (целое число)
.RS 4
Позволяет указать максимальный уровень безопасности, необходимый для установки соединения в случае обмена данными с сервером LDAP с помощью SASL\&. Значение этого параметра определяется OpenLDAP\&.
.sp
По умолчанию: использовать стандартное системное значение (обычно указывается в ldap\&.conf)
.RE
.PP
ldap_deref_threshold (целое число)
.RS 4
Позволяет указать количество записей участников групп, которые должны отсутствовать во внутреннем кэше для активации поиска с разыменованием\&. Если отсутствует меньшее количество записей участников, поиск будет выполняться для каждого из них по отдельности\&.
.sp
Чтобы полностью отключить поиск с разыменованием, установите значение \(Fo0\(Fc\&. Обратите внимание, что в коде SSSD, например коде поставщика данных HBAC IPA, имеются некоторые инструкции, которые реализуются только с использованием вызова разыменования\&. Даже если разыменование явно отключено, оно всё равно будет использоваться в этих частях кода, если сервер поддерживает его и объявляет управление разыменованием в объекте rootDSE\&.
.sp
Поиск с разыменованием позволяет получить всех участников групп за один вызов LDAP\&. На разных серверах LDAP могут быть реализованы разные методы разыменования\&. В настоящее время поддерживаются следующие серверы: 389/RHDS, OpenLDAP и Active Directory\&.
.sp
\fIПримечание:\fR
если какая\-либо из баз поиска задаёт фильтр поиска, то улучшение быстродействия поиска с разыменованием будет отключено,независимо от значения этого параметра\&.
.sp
По умолчанию: 10
.RE
.PP
ldap_ignore_unreadable_references (логическое значение)
.RS 4
Игнорировать нечитаемые записи LDAP, указанные в атрибуте участника группы\&. Если для этого параметра установлено значение \(Fofalse\(Fc, будет возвращено сообщение об ошибке, а действие завершится ошибкой вместо простого игнорирования нечитаемой записи\&.
.sp
Этот параметр может быть полезен, если используется поставщик данных AD, а учетная запись компьютера, используемая sssd для установления соединения с AD, не имеет доступа к определенной записи или поддереву LDAP из соображений безопасности\&.
.sp
По умолчанию: false
.RE
.PP
ldap_tls_reqcert (строка)
.RS 4
Позволяет указать, какие проверки следует выполнять для сертификатов сервера в сеансе TLS, если это требуется\&. Можно указать одно из следующих значений:
.sp
\fInever\fR
= клиент не будет запрашивать или проверять сертификаты сервера\&.
.sp
\fIallow\fR
= будет запрашиваться сертификат сервера\&. Если сертификат не предоставлен, сеанс продолжится в обычном режиме\&. Если предоставлен ошибочный сертификат, он будет проигнорирован, и сеанс продолжится в обычном режиме\&.
.sp
\fItry\fR
= будет запрашиваться сертификат сервера\&. Если сертификат не предоставлен, сеанс продолжится в обычном режиме\&. Если предоставлен ошибочный сертификат, сеанс немедленно будет завершён\&.
.sp
\fIdemand\fR
= будет требоваться сертификат сервера\&. Если сертификат не предоставлен или предоставлен ошибочный сертификат, сеанс немедленно будет завершён\&.
.sp
\fIhard\fR
= аналогично
\(lqdemand\(rq
.sp
По умолчанию: hard
.RE
.PP
ldap_tls_cacert (строка)
.RS 4
Позволяет указать файл, который содержит сертификаты для всех центров сертификации, которые распознаются
\fBsssd\fR\&.
.sp
По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно хранятся в
/etc/openldap/ldap\&.conf
.RE
.PP
ldap_tls_cacertdir (строка)
.RS 4
Позволяет указать путь к каталогу, в котором хранятся сертификаты центра сертификации, каждый в своём файле\&. Обычно имена файлов \(em это хэш сертификата, за которым следует \(Fo\&.0\(Fc\&. Для создания корректных имён можно использовать команду
\fBcacertdir_rehash\fR, если она доступна\&.
.sp
По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно хранятся в
/etc/openldap/ldap\&.conf
.RE
.PP
ldap_tls_cert (строка)
.RS 4
Позволяет указать файл, который содержит сертификат для ключа клиента\&.
.sp
По умолчанию: не задано
.RE
.PP
ldap_tls_key (строка)
.RS 4
Позволяет указать файл, который содержит ключ клиента\&.
.sp
По умолчанию: не задано
.RE
.PP
ldap_tls_cipher_suite (строка)
.RS 4
Позволяет указать допустимые комплекты шифров\&. Обычно представляет собой список, разделённый двоеточиями\&. Описание формата доступно на справочной странице
\fBldap.conf\fR(5)\&.
.sp
По умолчанию: использовать стандартные параметры OpenLDAP, которые обычно хранятся в
/etc/openldap/ldap\&.conf
.RE
.PP
ldap_id_use_start_tls (логическое значение)
.RS 4
Specifies that the id_provider connection must also use
tls
to protect the channel\&.
\fItrue\fR
is strongly recommended for security reasons\&.
.sp
По умолчанию: false
.RE
.PP
ldap_id_mapping (логическое значение)
.RS 4
Позволяет указать, что SSSD следует пытаться сопоставить идентификаторы пользователя и группы из атрибутов ldap_user_objectsid и ldap_group_objectsid, а не полагаться на ldap_user_uid_number и ldap_group_gid_number\&.
.sp
В настоящее время эта функциональная возможность поддерживает только сопоставление objectSID Active Directory\&.
.sp
По умолчанию: false
.RE
.PP
ldap_min_id, ldap_max_id (целое число)
.RS 4
В отличие от сопоставления идентификаторов на основе SID, которое используется, если параметр ldap_id_mapping установлен в значение \(Fotrue\(Fc, допустимый диапазон идентификаторов для ldap_user_uid_number и ldap_group_gid_number является неограниченным\&. В конфигурациях с поддоменами и доверенными доменами это может привести к конфликтам идентификаторов\&. Чтобы избежать конфликтов, можно указать параметры ldap_min_id и ldap_max_id для ограничения допустимого диапазона идентификаторов, чтение которых выполняется непосредственно с сервера\&. После этого поддомены могут выбрать другие диапазоны для сопоставления идентификаторов\&.
.sp
По умолчанию: не задано (оба параметра установлены в значение 0)
.RE
.PP
ldap_sasl_mech (строка)
.RS 4
Позволяет указать механизм SASL, который следует использовать\&. В настоящее время протестированы и поддерживаются только GSSAPI и GSS\-SPNEGO\&.
.sp
Если внутренний сервер поддерживает поддомены, значение ldap_sasl_mech автоматически наследуется поддоменами\&. Если для поддомена требуется использовать другое значение, это значение можно перезаписать, явно указав ldap_sasl_mech для этого поддомена\&. Для получения подробных сведений смотрите \(FoРАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ\(Fc на справочной странице
\fBsssd.conf\fR(5)\&.
.sp
По умолчанию: не задано
.RE
.PP
ldap_sasl_authid (строка)
.RS 4
Позволяет указать идентификатор проверки подлинности SASL, который следует использовать\&. Если используется GSSAPI/GSS\-SPNEGO, он представляет собой участника Kerberos, который используется для проверки подлинности при доступе к каталогу\&. Этот параметр может содержать либо полное имя участника (например, host/myhost@EXAMPLE\&.COM), либо просто имя участника (например, host/myhost)\&. По умолчанию это значение не задано, используются следующие участники:
.sp
.if n \{\
.RS 4
.\}
.nf
hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*
                            
.fi
.if n \{\
.RE
.\}
.sp
Если они не найдены, возвращается первый участник из таблицы ключей\&.
.sp
По умолчанию: host/hostname@REALM
.RE
.PP
ldap_sasl_realm (строка)
.RS 4
Позволяет указать область SASL, которую следует использовать\&. Если значение не указано, по умолчанию будет использоваться значение krb5_realm\&. Если ldap_sasl_authid также содержит область, этот параметр игнорируется\&.
.sp
По умолчанию: значение krb5_realm\&.
.RE
.PP
ldap_sasl_canonicalize (логическое значение)
.RS 4
Если установлено в значение \(Fotrue\(Fc, библиотека LDAP будет выполнять обратный просмотр для преобразования имени узла в каноническую форму во время привязки SASL\&.
.sp
По умолчанию: false;
.RE
.PP
ldap_krb5_keytab (строка)
.RS 4
Позволяет указать таблицу ключей, которую следует использовать при использовании проверки подлинности с помощью SASL/GSSAPI/GSS\-SPNEGO\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: системная таблица ключей, обычно
/etc/krb5\&.keytab
.RE
.PP
ldap_krb5_init_creds (логическое значение)
.RS 4
Позволяет указать, что id_provider должен инициализировать учётные данные Kerberos (TGT)\&. Это действие выполняется только в том случае, если используется SASL и выбран механизм GSSAPI или GSS\-SPNEGO\&.
.sp
По умолчанию: true
.RE
.PP
ldap_krb5_ticket_lifetime (целое число)
.RS 4
Позволяет указать время жизни TGT (в секундах), если используется GSSAPI или GSS\-SPNEGO\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: 86400 (24 часа)
.RE
.PP
krb5_server, krb5_backup_server (строка)
.RS 4
Разделённый запятыми список IP\-адресов или имён узлов серверов Kerberos, к которым SSSD следует подключаться в порядке приоритета\&. Дополнительные сведения об отработке отказа и избыточности сервера доступны в разделе
\(lqОТРАБОТКА ОТКАЗА\(rq\&. После адресов или имён узлов можно (необязательно) добавить номер порта (предварив его двоеточием)\&. Если у параметра пустое значение, будет включено обнаружение служб \(em дополнительные сведения доступны в разделе
\(lqОБНАРУЖЕНИЕ СЛУЖБ\(rq\&.
.sp
При использовании обнаружения служб для серверов KDC или kpasswd SSSD сначала выполняет поиск записей DNS, в которых в качестве протокола указан _udp\&. Если такие записи не удаётся найти, SSSD выполняет поиск записей DNS, в которых в качестве протокола указан _tcp\&.
.sp
В предыдущих версиях SSSD этот параметр назывался
\(lqkrb5_kdcip\(rq\&. Это устаревшее имя всё ещё распознаётся, но пользователям рекомендуется перейти на использование
\(lqkrb5_server\(rq
в файлах конфигурации\&.
.RE
.PP
krb5_realm (строка)
.RS 4
Позволяет указать область Kerberos (для проверки подлинности с помощью SASL/GSSAPI/GSS\-SPNEGO)\&.
.sp
По умолчанию: стандартные параметры системы, см\&.
/etc/krb5\&.conf
.RE
.PP
krb5_canonicalize (логическое значение)
.RS 4
Позволяет указать, следует ли приводить в каноническую форму имя участника\-узла при подключении к серверу LDAP\&. Эта возможность доступна в MIT Kerberos >= 1\&.7
.sp
По умолчанию: false
.RE
.PP
krb5_use_kdcinfo (логическое значение)
.RS 4
Позволяет указать, следует ли SSSD сообщать библиотекам, какую область и какие KDC нужно использовать\&. Этот параметр включён по умолчанию\&. Если отключить его, потребуется настроить библиотеку Kerberos с помощью файла конфигурации
\fBkrb5.conf\fR(5)\&.
.sp
Дополнительные сведения о модуле локатора доступны на справочной странице
\fBsssd_krb5_locator_plugin\fR(8)\&.
.sp
По умолчанию: true
.RE
.PP
ldap_pwd_policy (строка)
.RS 4
Позволяет выбрать политику оценки истечения срока действия пароля на стороне клиента\&. Допускаются следующие значения:
.sp
\fInone\fR
\(em без оценки на стороне клиента\&. С помощью этого параметра нельзя отключить политики паролей на стороне сервера\&.
.sp
\fIshadow\fR
\(em использовать атрибуты в стиле
\fBshadow\fR(5)
для проверки того, не истёк ли срок действия пароля\&. См\&. также опцию \(Foldap_chpass_update_last_change\(Fc\&.
.sp
\fImit_kerberos\fR
\(em использовать атрибуты, которые используются MIT Kerberos, для определения того, не истёк ли срок действия пароля\&. Чтобы обновить эти атрибуты в случае смены пароля, воспользуйтесь chpass_provider=krb5\&.
.sp
По умолчанию: none
.sp
\fIПримечание\fR: если на стороне сервера настроена политика паролей, она всегда будет иметь приоритет над политикой, заданной с помощью этого параметра\&.
.RE
.PP
ldap_referrals (логическое значение)
.RS 4
Позволяет указать, следует ли включить автоматическое прослеживание ссылок\&.
.sp
Обратите внимание, что sssd поддерживает прослеживание ссылок только в том случае, если сервис собран с OpenLDAP версии 2\&.4\&.13 или выше\&.
.sp
Прослеживание ссылок может замедлять работу в средах, где оно широко применяется\&. Яркий пример такой среды \(em Microsoft Active Directory\&. Если в используемой среде нет реальной необходимости в прослеживании ссылок, можно установить этот параметр в значение \(Fofalse\(Fc; это позволит заметно повысить производительность\&. Поэтому в том случае, когда поставщик данных LDAP SSSD используется совместно с Microsoft Active Directory в качестве внутреннего сервера, рекомендуется установить этот параметр в значение \(Fofalse\(Fc\&. Даже если бы у SSSD была возможность перейти по ссылке к другому контроллеру домена AD, это не позволило бы получить дополнительные данные\&.
.sp
По умолчанию: true
.RE
.PP
ldap_dns_service_name (строка)
.RS 4
Позволяет указать имя службы, которое будет использоваться, когда включено обнаружение служб\&.
.sp
По умолчанию: ldap
.RE
.PP
ldap_chpass_dns_service_name (строка)
.RS 4
Позволяет указать имя службы для поиска сервера LDAP, который позволяет менять пароль, когда включено обнаружение служб\&.
.sp
По умолчанию: не задано, то есть обнаружение служб отключено
.RE
.PP
ldap_chpass_update_last_change (логическое значение)
.RS 4
Позволяет указать, следует ли обновлять атрибут ldap_user_shadow_last_change данными о количестве дней с момента выполнения действия по смены пароля\&.
.sp
Рекомендуется установить этот параметр явно, если используется \(Foldap_pwd_policy = shadow\(Fc, чтобы сообщить SSSD, будет ли сервер LDAP автоматически обновлять атрибут shadowLastChange LDAP после смены пароля или SSSD должен обновить его\&.
.sp
По умолчанию: false
.RE
.PP
ldap_access_filter (строка)
.RS 4
При использовании access_provider = ldap и ldap_access_order = filter (по умолчанию) этот параметр является обязательным\&. Он задаёт условия фильтра поиска LDAP, при условии соблюдения которых пользователю будет предоставлен доступ к этому узлу\&. Если при использовании access_provider = ldap, ldap_access_order = filter этот параметр не задан, всем пользователям будет отказано в доступе\&. Чтобы изменить это стандартное поведение, используйте access_provider = permit\&. Обратите внимание, что этот фильтр применяется только к записи пользователя LDAP и, соответственно, может не работать фильтрация на основе вложенных групп (например, атрибут memberOf в записях AD указывает только на прямые родительские записи)\&. Если фильтрацию на основе вложенных групп необходимо выполнять, ознакомьтесь со справочной страницей
\fBsssd-simple\fR(5)\&.
.sp
Пример:
.sp
.if n \{\
.RS 4
.\}
.nf
access_provider = ldap
ldap_access_filter = (employeeType=admin)
                        
.fi
.if n \{\
.RE
.\}
.sp
В этом примере доступ к узлу представляется только тем пользователям, атрибут employeeType которых установлен в значение \(Foadmin\(Fc\&.
.sp
Автономное кэширование для этой возможности ограничивается определением того, было ли предоставлено разрешение на доступ при последнем входе пользователя в сетевом режиме\&. Если при последнем входе пользователю был разрешён доступ, он также будет разрешён и в автономном режиме\&. Если же при последнем входе пользователю был запрещён доступ, он также будет запрещён и в автономном режиме\&.
.sp
По умолчанию: пусто
.RE
.PP
ldap_account_expire_policy (строка)
.RS 4
С помощью этого параметра можно включить оценку атрибутов управления доступом на стороне клиента\&.
.sp
Обратите внимание, что всегда рекомендуется использовать управление доступом на стороне сервера, то есть сервер LDAP должен отклонять запрос привязки с соответствующим кодом ошибки, даже если пароль верен\&.
.sp
Допускаются следующие значения:
.sp
\fIshadow\fR: использовать значение ldap_user_shadow_expire для определения того, не истёк ли срок действия учётной записи\&.
.sp
\fIad\fR: использовать значение 32\-битного поля ldap_user_ad_user_account_control и разрешать доступ, если второй бит не задан\&. Если атрибут отсутствует, доступ предоставляется\&. Также проверяется, не истёк ли срок действия учётной записи\&.
.sp
\fIrhds\fR,
\fIipa\fR,
\fI389ds\fR: использовать значение ldap_ns_account_lock, чтобы проверить, разрешён ли доступ\&.
.sp
\fInds\fR: использовать значения ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled и ldap_user_nds_login_expiration_time, чтобы проверить, разрешён ли доступ\&. Если все атрибуты отсутствуют, доступ предоставляется\&.
.sp
Обратите внимание, что параметр конфигурации ldap_access_order
\fIдолжен\fR
включать
\(lqexpire\(rq, чтобы можно было использовать параметр ldap_account_expire_policy\&.
.sp
По умолчанию: пусто
.RE
.PP
ldap_access_order (строка)
.RS 4
Разделённый запятыми список параметров управления доступом\&. Допустимые значения:
.sp
\fIfilter\fR: использовать ldap_access_filter
.sp
\fIlockout\fR: использовать блокировку учётных записей\&. Если этот параметр установлен, он запрещает доступ, когда атрибут LDAP \(FopwdAccountLockedTime\(Fc присутствует и имеет значение \(Fo000001010000Z\(Fc\&. Подробные сведения доступны в описании параметра ldap_pwdlockout_dn\&. Обратите внимание, что для работы этой возможности необходимо задать \(Foaccess_provider = ldap\(Fc\&.
.sp
\fI Обратите внимание, что над этим параметром имеет приоритет параметр \fR\fI\(lqppolicy\(rq\fR\fI и этот параметр может быть удалён в следующей версии\&. \fR
.sp
\fIppolicy\fR: использовать блокировку учётных записей\&. Если этот параметр установлен, он запрещает доступ, когда атрибут LDAP \(FopwdAccountLockedTime\(Fc присутствует и имеет значение \(Fo000001010000Z\(Fc или представляет любое время в прошлом\&. Значение атрибута \(FopwdAccountLockedTime\(Fc должно заканчиваться на \(FoZ\(Fc (это означает часовой пояс UTC)\&. В настоящее время не поддерживается использование других часовых поясов; если они будут заданы, при попытках пользователей войти в систему будет появляться сообщение об отказе в доступе\&. Подробные сведения доступны в описании параметра ldap_pwdlockout_dn\&. Обратите внимание, что для работы этой возможности необходимо задать \(Foaccess_provider = ldap\(Fc\&.
.sp
\fIexpire\fR: использовать ldap_account_expire_policy
.sp
\fIpwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: \fR
эти параметры полезны, если пользователям нужно предупреждение о том, что срок действия пароля истекает, и для проверки подлинности используются не пароли, а, например, ключи SSH\&.
.sp
The difference between these options is the action taken if user password is expired:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_reject \- user is denied to log in,
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_warn \- user is still able to log in,
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pwd_expire_policy_renew \- user is prompted to change their password immediately\&.
.RE
.sp
Следует учитывать, что для работы этой возможности необходимо указать \(Foaccess_provider = ldap\(Fc\&. Также необходимо указать соответствующую политику паролей в качестве значения параметра \(Foldap_pwd_policy\(Fc\&.
.sp
\fIauthorized_service\fR: использовать атрибут authorizedService для определения возможности доступа
.sp
\fIhost\fR: использовать атрибут host для определения возможности доступа
.sp
\fIrhost\fR: использовать атрибут rhost для определения возможности доступа удалённого узла
.sp
Обратите внимание, что значение поля rhost в pam устанавливается приложением; рекомендуется проверить, что приложение отправляет в pam, прежде чем включать этот параметр управления доступом
.sp
По умолчанию: filter
.sp
Обратите внимание, что использование значения более одного раза является ошибкой конфигурации\&.
.RE
.PP
ldap_pwdlockout_dn (строка)
.RS 4
Этот параметр позволяет указать DN записи политики паролей на сервере LDAP\&. Обратите внимание: если в sssd\&.conf не будет этого параметра, когда используется блокировка учётных записей, в доступе будет отказано из\-за невозможности надлежащим образом проверить атрибуты ppolicy на сервере LDAP\&.
.sp
Пример: cn=ppolicy,ou=policies,dc=example,dc=com
.sp
По умолчанию: cn=ppolicy,ou=policies,$ldap_search_base
.RE
.PP
ldap_deref (строка)
.RS 4
Позволяет указать, как осуществляется разыменование псевдонимов при выполнении поиска\&. Допустимые варианты:
.sp
\fInever\fR: разыменование псевдонимов не выполняется\&.
.sp
\fIsearching\fR: разыменование псевдонимов выполняется в подчиненных базового объекта, но не при определении расположения базового объекта поиска\&.
.sp
\fIfinding\fR: разыменование псевдонимов выполняется только при определении расположения базового объекта поиска\&.
.sp
\fIalways\fR: разыменование псевдонимов выполняется как при поиске, так и при определении расположения базового объекта поиска\&.
.sp
По умолчанию: пусто (обрабатывается как
\fInever\fR
клиентскими библиотеками LDAP)
.RE
.PP
ldap_rfc2307_fallback_to_local_users (логическое значение)
.RS 4
Разрешает сохранять локальных пользователей как участников группы LDAP для серверов, которые используют схему RFC2307\&.
.sp
В некоторых средах, где используется схема RFC2307, локальных пользователей можно сделать участниками групп LDAP путём добавления их имён в атрибут memberUid\&. При этом нарушается внутренняя согласованность домена, поэтому SSSD обычно удаляет записи \(Foотсутствующих\(Fc пользователей из кэшированных данных об участии в группах, как только nsswitch выполняет попытку получить информацию о пользователе через вызовы getpw*() или initgroups()\&.
.sp
При использовании этого параметра программа возвращается к проверке наличия ссылок на локальных пользователей и кэширует их записи, чтобы последующие вызовы initgroups() расширяли список локальных пользователей дополнительными группами LDAP\&.
.sp
По умолчанию: false
.RE
.PP
wildcard_limit (целое число)
.RS 4
Позволяет указать верхний предел количества записей, загружаемых во время поиска с использованием подстановочных знаков\&.
.sp
В настоящее время только ответчик InfoPipe поддерживает поиск с использованием подстановочных знаков\&.
.sp
По умолчанию: 1000 (часто размер одной страницы)
.RE
.PP
ldap_library_debug_level (целое число)
.RS 4
Включает отладку libldap на указанном уровне\&. Сообщения отладки libldap записываются независимо от общего debug_level\&.
.sp
OpenLDAP использует битовую карту для включения отладки определённых компонентов, \-1 включает полный отладочный вывод\&.
.sp
По умолчанию: 0 (отладка libldap отключена)
.RE
.SH "ПАРАМЕТРЫ SUDO"
.PP
Подробные инструкции по настройке sudo_provider доступны на справочной странице
\fBsssd-sudo\fR(5)\&.
.PP
.PP
ldap_sudo_full_refresh_interval (целое число)
.RS 4
Интервал в секундах между полными обновлениями правил sudo SSSD (при которых загружаются все правила, которые хранятся на сервере)\&.
.sp
Это значение должно быть больше, чем
\fIldap_sudo_smart_refresh_interval \fR
.sp
Полное обновление можно отключить, установив этот параметр в значение \(Fo0\(Fc\&. Но должно быть включено либо интеллектуальное, либо полное обновление\&.
.sp
По умолчанию: 21600 (6 часов)
.RE
.PP
ldap_sudo_smart_refresh_interval (целое число)
.RS 4
Количество секунд, в течение которого SSSD ожидает перед выполнением интеллектуального обновления правил sudo (при котором загружаются все правила, USN которых больше самого высокого значения USN на сервере, которое в настоящее время известно SSSD)\&.
.sp
Если сервер не поддерживает атрибуты USN, используется атрибут modifyTimestamp\&.
.sp
\fIПримечание:\fR
самое высокое значение USN может быть обновлено тремя заданиями: 1) полным и интеллектуальным обновлением sudo (если найдены обновлённые правила), 2) перечислением пользователей и групп (если оно включено и найдены обновлённые пользователи или группы) и 3) повторным подключением к серверу (по умолчанию каждые 15 минут, см\&.
\fIldap_connection_expire_timeout\fR)\&.
.sp
Интеллектуальное обновление можно отключить, установив этот параметр в значение \(Fo0\(Fc\&. Но должно быть включено либо интеллектуальное, либо полное обновление\&.
.sp
По умолчанию: 900 (15 минут)
.RE
.PP
ldap_sudo_random_offset (целое число)
.RS 4
Случайная задержка от 0 до настроенного значения добавляется к периодам интеллектуального и полного обновления каждый раз при планировании периодического задания\&. Значение указывается в секундах\&.
.sp
Обратите внимание, что эта случайная задержка также применяется при первом запуске SSSD, что откладывает первое обновление правил sudo\&. Это увеличивает время, в течение которого правила sudo недоступны для использования\&.
.sp
Можно отключить эту задержку, установив значение \(Fo0\(Fc\&.
.sp
По умолчанию: 0 (отключено)
.RE
.PP
ldap_sudo_use_host_filter (логическое значение)
.RS 4
Если параметр установлен в значение \(Fotrue\(Fc, SSSD будет загружать только те правила, которые применимы к этому компьютеру (на основе имён узлов и адресов узлов/сетей в формате IPv4 или IPv6)\&.
.sp
По умолчанию: true
.RE
.PP
ldap_sudo_hostnames (строка)
.RS 4
Разделённый пробелами список имён узлов или полных доменных имён, которые следует использовать для фильтрации правил\&.
.sp
Если этот параметр имеет пустое значение, SSSD будет пытаться автоматически обнаружить имя узла и полное доменное имя\&.
.sp
Если значением
\fIldap_sudo_use_host_filter\fR
является
\fIfalse\fR, этот параметр ни на что не влияет\&.
.sp
По умолчанию: не указано
.RE
.PP
ldap_sudo_ip (строка)
.RS 4
Разделённый пробелами список адресов IPv4 или IPv6 узлов/сетей, которые следует использовать для фильтрации правил\&.
.sp
Если этот параметр имеет пустое значение, SSSD будет пытаться автоматически обнаружить адреса\&.
.sp
Если значением
\fIldap_sudo_use_host_filter\fR
является
\fIfalse\fR, этот параметр ни на что не влияет\&.
.sp
По умолчанию: не указано
.RE
.PP
ldap_sudo_include_netgroups (логическое значение)
.RS 4
Если параметр установлен в значение \(Fotrue\(Fc, SSSD будет загружать все правила, которые содержат сетевую группу в атрибуте sudoHost\&.
.sp
Если значением
\fIldap_sudo_use_host_filter\fR
является
\fIfalse\fR, этот параметр ни на что не влияет\&.
.sp
По умолчанию: true
.RE
.PP
ldap_sudo_include_regexp (логическое значение)
.RS 4
Если параметр установлен в значение \(Fotrue\(Fc, SSSD будет загружать все правила, которые содержат подстановочный знак в атрибуте sudoHost\&.
.sp
Если значением
\fIldap_sudo_use_host_filter\fR
является
\fIfalse\fR, этот параметр ни на что не влияет\&.
.if n \{\
.sp
.\}
.RS 4
.it 1 an-trap
.nr an-no-space-flag 1
.nr an-break-flag 1
.br
.ps +1
\fBNote\fR
.ps -1
.br
Использование подстановочного знака \(em крайне ресурсоёмкая вычислительная операция на стороне сервера LDAP!
.sp .5v
.RE
По умолчанию: false
.RE
.PP
На этой справочной странице содержится только описание сопоставления имён атрибутов\&. Подробные сведения о семантике атрибутов, связанных с sudo, доступны на справочной странице
\fBsudoers.ldap\fR(5)
.SH "ПАРАМЕТРЫ AUTOFS"
.PP
Некоторые из стандартных значений приведённых ниже параметров зависят от схемы LDAP\&.
.PP
.PP
ldap_autofs_map_master_name (строка)
.RS 4
Имя основной карты автоматического монтирования в LDAP\&.
.sp
По умолчанию: auto\&.master
.RE
.PP
ldap_autofs_map_object_class (строка)
.RS 4
Класс объектов записи карты автоматического монтирования в LDAP\&.
.sp
По умолчанию: nisMap (rfc2307, autofs_provider=ad), в ином случае \(em automountMap
.RE
.PP
ldap_autofs_map_name (строка)
.RS 4
Имя записи карты автоматического монтирования в LDAP\&.
.sp
По умолчанию: nisMapName (rfc2307, autofs_provider=ad), в ином случае \(em automountMapName
.RE
.PP
ldap_autofs_entry_object_class (строка)
.RS 4
Класс объектов записи автоматического монтирования в LDAP\&. Запись обычно соответствует точке монтирования\&.
.sp
По умолчанию: nisObject (rfc2307, autofs_provider=ad), в ином случае \(em automount
.RE
.PP
ldap_autofs_entry_key (строка)
.RS 4
Ключ записи автоматического монтирования в LDAP\&. Запись обычно соответствует точке монтирования\&.
.sp
По умолчанию: cn (rfc2307, autofs_provider=ad), в ином случае \(em automountKey
.RE
.PP
ldap_autofs_entry_value (строка)
.RS 4
Ключ записи автоматического монтирования в LDAP\&. Запись обычно соответствует точке монтирования\&.
.sp
По умолчанию: nisMapEntry (rfc2307, autofs_provider=ad), в ином случае \(em automountInformation
.RE
.PP
Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких\-либо изменений, связанных с autofs, в файл sssd\&.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD\&.
.SH "ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ"
.PP
Эти параметры поддерживаются доменами LDAP, но их следует использовать с осторожностью\&. Включайте их в конфигурацию, только если точно знаете, какой эффект это произведёт\&.
.PP
ldap_netgroup_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_user_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_group_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.if n \{\
.sp
.\}
.RS 4
.it 1 an-trap
.nr an-no-space-flag 1
.nr an-break-flag 1
.br
.ps +1
\fBNote\fR
.ps -1
.br
.PP
Если параметр
\(lqldap_use_tokengroups\(rq
включён, к поиску в Active Directory не будут применяться какие\-либо ограничения, он вернёт все данные об участии в группах, даже без сопоставления GID\&. Рекомендуется отключить эту возможность, если имена групп отображаются некорректно\&.
.sp .5v
.RE
.PP
ldap_sudo_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.PP
ldap_autofs_search_base (строка)
.RS 4
Необязательное base DN, область поиска и фильтр LDAP для ограничения поисков LDAP для этого типа атрибутов\&.
.sp
синтаксис:
.sp
.if n \{\
.RS 4
.\}
.nf
search_base[?scope?[filter][?search_base?scope?[filter]]*]
.fi
.if n \{\
.RE
.\}
.sp
Значением области может быть одно из следующих: \(Fobase\(Fc, \(Foonelevel\(Fc или \(Fosubtree\(Fc\&. Описание работы области доступно в разделе 4\&.5\&.1\&.2 http://tools\&.ietf\&.org/html/rfc4511
.sp
Фильтр должен являться корректным фильтром поиска LDAP согласно спецификации http://www\&.ietf\&.org/rfc/rfc2254\&.txt
.sp
Примеры синтаксиса доступны в разделе примеров
\(lqldap_search_base\(rq\&.
.sp
По умолчанию: значение
\fIldap_search_base\fR
.sp
Обратите внимание, что указание области или фильтра не поддерживается для поиска на сервере Active Directory; он может привести к получению большого количества результатов и активировать расширение получения диапазонов (Range Retrieval) в ответе\&.
.RE
.SH "ОТРАБОТКА ОТКАЗА"
.PP
Функция обработки отказа позволяет внутренним серверам автоматически переключаться на другой сервер в случае сбоя текущего сервера\&.
.SS "Синтаксис обработки отказа"
.PP
Список серверов разделяется запятыми; рядом с запятыми допускается любое количество пробелов\&. Серверы перечислены в порядке приоритета\&. Список может содержать любое количество серверов\&.
.PP
Для каждого параметра конфигурации с поддержкой отработки отказа существуют два варианта:
\fIосновной\fR
(primary) и
\fIрезервный\fR
(backup)\&. Смысл в том, что приоритет получают серверы из списка основных, а поиск резервных серверов выполняется только в том случае, если не удалось связаться с основными серверами\&. Если выбран резервный сервер, устанавливается 31\-секундный тайм\-аут\&. По его истечении SSSD будет периодически пытаться восстановить подключение к одному из основных серверов\&. Если попытка будет успешной, текущий активный (резервный) сервер будет заменён на основной\&.
.SS "Механизм отработки отказа"
.PP
Механизм отработки отказа различает компьютеры и службы\&. Внутренний сервер сначала пытается разрешить имя узла указанного компьютера; если попытка разрешения завершается неудачей, компьютер считается работающим в автономном режиме\&. Дальнейшие попытки подключиться к этому компьютеру для доступа к другим службам не выполняются\&. Если попытка разрешения успешна, внутренний сервер пытается подключиться к службе на этом компьютере\&. Если попытка подключения к службе завершается неудачей, работающей в автономном режиме будет считаться только эта служба, и внутренний сервер автоматически переключится на следующую службу\&. Компьютер продолжает считаться находящимся в сети, возможны дальнейшие попытки подключения к другим службам на нём\&.
.PP
Дальнейшие попытки подключения к компьютерам или службам, обозначенным, как работающие в автономном режиме, выполняются по истечении определённого периода времени; в настоящее время это значения является жёстко заданным и составляет 30 секунд\&.
.PP
Если список компьютеров исчерпан, внутренний сервер целиком переключается на автономный режим и затем пытается восстановить подключение каждые 30 секунд\&.
.SS "Тайм\-ауты и тонкая настройка отработки отказа"
.PP
Разрешение имени сервера, к которому следует подключиться, может быть выполнено как за один запрос DNS, так и за несколько шагов, например, при поиске корректного сайта или переборе нескольких имён узлов, если некоторые из настроенных серверов недоступны\&. Для более сложных сценариев требуется больше времени, и SSSD требуется соблюсти баланс между предоставлением достаточного количества времени для завершения процесса разрешения и не слишком долгим ожиданием перед переходом в автономный режим\&. Если в журнале отладки SSSD есть данные о том, что время на разрешение сервера истекло до обращения к реальному серверу, рекомендуется изменить значения тайм\-аутов\&.
.PP
В этом разделе перечислены доступные настраиваемые параметры\&. Их описание содержится на справочной странице
\fBsssd.conf\fR(5)\&.
.PP
dns_resolver_server_timeout
.RS 4
Время (в миллисекундах), в течение которого SSSD будет обращаться к одному серверу DNS перед переходом к следующему\&.
.sp
По умолчанию: 1000
.RE
.PP
dns_resolver_op_timeout
.RS 4
Время (в секундах), в течение которого SSSD будет пытаться разрешить один запрос DNS (например, разрешение имени узла или записи SRV) перед переходом к следующему имени узла или домену обнаружения\&.
.sp
По умолчанию: 3
.RE
.PP
dns_resolver_timeout
.RS 4
Как долго SSSD будет пытаться разрешить резервную службу\&. Это разрешение службы может включать несколько внутренних шагов, например, при разрешении запросов SRV DNS или определении расположения сайта\&.
.sp
По умолчанию: 6
.RE
.PP
Для поставщиков данных на основе LDAP операция разрешения выполняется как часть операции установления LDAP\-соединения\&. Следовательно, тайм\-аут
\(lqldap_opt_timeout\(rq
также следует установить в большее значение, чем
\(lqdns_resolver_timeout\(rq, который, в свою очередь, следует установить в большее значение, чем
\(lqdns_resolver_op_timeout\(rq, который должен быть больше
\(lqdns_resolver_server_timeout\(rq\&.
.SH "ОБНАРУЖЕНИЕ СЛУЖБ"
.PP
Функция обнаружения служб позволяет внутренним серверам автоматически находить серверы, к которым следует подключиться, с помощью специального запроса DNS\&. Эта возможность не поддерживается для резервных серверов\&.
.SS "Конфигурация"
.PP
Если серверы не указаны, внутренний сервер будет автоматически использовать обнаружение служб, чтобы попытаться найти сервер\&. Пользователь может (необязательно) задать использование сразу и фиксированных адресов серверов, и обнаружения служб, вставив в список серверов специальное ключевое слово
\(lq_srv_\(rq\&. Обработка выполняется в порядке приоритета\&. Эта возможность полезна, например, если пользователь предпочитает использовать обнаружение служб всегда, когда это возможно, и подключаться к определённому серверу только в тех случаях, когда серверы не удалось обнаружить с помощью DNS\&.
.SS "Имя домена"
.PP
Дополнительные сведения доступны в описании параметра
\(lqdns_discovery_domain\(rq
на справочной странице
\fBsssd.conf\fR(5)\&.
.SS "Протокол"
.PP
В запросах обычно указан протокол _tcp\&. Исключения задокументированы в описаниях соответствующих параметров\&.
.SS "См\&. также"
.PP
Дополнительные сведения о механизме обнаружения служб доступны в RFC 2782\&.
.SH "СОПОСТАВЛЕНИЕ ИДЕНТИФИКАТОРОВ"
.PP
Возможность сопоставления идентификаторов позволяет SSSD выступать в роли клиента Active Directory, при этом администраторам не требуется расширять атрибуты пользователя с целью поддержки атрибутов POSIX для идентификаторов пользователей и групп\&.
.PP
ПРИМЕЧАНИЕ: когда сопоставление идентификаторов включено, атрибуты uidNumber и gidNumber игнорируются\&. Это позволяет избежать возможных конфликтов между значениями, назначенными автоматически, и значениями, назначенными вручную\&. Если требуется использовать значения, назначенные вручную, следует назначить вручную ВСЕ значения\&.
.PP
Обратите внимание, что изменение параметров конфигурации, связанных с сопоставлением идентификаторов, приведёт к изменению идентификаторов пользователей и групп\&. В настоящее время SSSD не поддерживает изменение идентификаторов, поэтому базу данных SSSD необходимо удалить\&. Так как кэшированные пароли также хранятся в в этой базе данных, её удаление должно выполняться только тогда, когда серверы проверки подлинности доступны; в ином случае пользователи могут быть заблокированы\&. Для кэширования пароля необходимо выполнить проверку подлинности\&. Для удаления базы данных недостаточно использовать
\fBsss_cache\fR(8), на самом деле требуются следующие шаги:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Проверка доступности удалённых серверов
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Остановка службы SSSD
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Удаление базы данных
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Запуск службы SSSD
.RE
.sp
Более того, поскольку смена идентификаторов может сделать необходимым изменение других свойств системы, таких как параметры владения файлами и каталогами, рекомендуется спланировать всё заранее и тщательно протестировать конфигурацию сопоставления идентификаторов\&.
.SS "Алгоритм сопоставления"
.PP
Active Directory предоставляет objectSID для всех объектов пользователей и групп в каталоге\&. Этот objectSID можно разбить на компоненты, которые соответствуют идентификатору домена Active Directory и относительному идентификатору (RID) объекта пользователя или группы\&.
.PP
Алгоритм сопоставления идентификаторов SSSD берёт диапазон доступных UID и делит его на разделы равного размера \(em \(Foсрезы\(Fc\&. Каждый срез представляет собой пространство, доступное домену Active Directory\&.
.PP
Когда запись пользователя или группы определённого домена встречается SSSD в первый раз, SSSD выделяет один из доступных срезов для этого домена\&. Чтобы такое назначение срезов воспроизводилось на разных клиентских компьютерах, предусмотрен следующий алгоритм выбора среза:
.PP
Строка SID передаётся через алгоритм murmurhash3 для её преобразования в 32\-битное хэшированное значение\&. Затем для выбора среза это значение с общим количеством срезов берётся по модулю\&.
.PP
ПРИМЕЧАНИЕ: между хэшем и полученным далее модулем возможны конфликты\&. В таких случаях будет выбран следующий доступный срез, но на других компьютерах может быть невозможно воспроизвести точно такой же набор срезов (так как порядок, в котором они встречаются, определяет срез)\&. В такой ситуации рекомендуется либо переключиться на использование явных атрибутов POSIX в Active Directory (отключить сопоставление идентификаторов), либо настроить стандартный домен, чтобы гарантировать согласованность хотя бы для одного\&. См\&.
\(lqКонфигурация\(rq\&.
.SS "Конфигурация"
.PP
Минимальная конфигурация (в разделе
\(lq[domain/DOMAINNAME]\(rq):
.PP
.if n \{\
.RS 4
.\}
.nf
ldap_id_mapping = True
ldap_schema = ad
.fi
.if n \{\
.RE
.\}
.PP
При стандартной конфигурации настраивается 10000 срезов, каждый из которых может содержать до 200000 идентификаторов, начиная от 200000 и до 2000200000\&. Этого должно быть достаточно для большинства вариантов развёртывания\&.
.sp
.it 1 an-trap
.nr an-no-space-flag 1
.nr an-break-flag 1
.br
.ps +1
\fBДополнительная конфигурация\fR
.RS 4
.PP
ldap_idmap_range_min (целое число)
.RS 4
Указывает нижнюю (включительно) границу диапазона идентификаторов POSIX, которые следует использовать для сопоставления SID пользователей и групп Active Directory\&. Это первый идентификатор POSIX, который можно использовать для сопоставления\&.
.sp
ПРИМЕЧАНИЕ: этот параметр отличается от
\(lqmin_id\(rq:
\(lqmin_id\(rq
работает как фильтр ответов на запросы к этому домену, в то время как этот параметр управляет диапазоном назначения идентификаторов\&. Это тонкое различие, но рекомендуется устанавливать значение
\(lqmin_id\(rq
меньшим или равным значению
\(lqldap_idmap_range_min\(rq
.sp
По умолчанию: 200000
.RE
.PP
ldap_idmap_range_max (целое число)
.RS 4
Указывает верхнюю (не включительно) границу диапазона идентификаторов POSIX, которые следует использовать для сопоставления идентификаторов SID пользователей и групп Active Directory\&. Это первый идентификатор POSIX, который нельзя использовать для сопоставления, т\&.е\&. данный идентификатор на единицу больше последнего, которым можно воспользоваться для сопоставления\&.
.sp
ПРИМЕЧАНИЕ: этот параметр отличается от
\(lqmax_id\(rq:
\(lqmax_id\(rq
работает как фильтр ответов на запросы к этому домену, в то время как этот параметр управляет диапазоном назначения идентификаторов\&. Это тонкое различие, но рекомендуется устанавливать значение
\(lqmax_id\(rq
большим или равным значению
\(lqldap_idmap_range_max\(rq
.sp
По умолчанию: 2000200000
.RE
.PP
ldap_idmap_range_size (целое число)
.RS 4
Указывает количество идентификаторов, доступных для каждого среза\&. Если размер диапазона не делится нацело на минимальное и максимальное значения, будет создано столько полных срезов, сколько возможно\&.
.sp
ПРИМЕЧАНИЕ: значение этого параметра должно быть не меньше значения максимального RID пользователя, запланированного для использования на сервере Active Directory\&. Поиск записи пользователя и вход завершатся неудачей для всех пользователей, RID которых превышает значение этого параметра\&.
.sp
Например, если у последнего добавленного пользователя Active Directory objectSid=S\-1\-5\-21\-2153326666\-2176343378\-3404031434\-1107, значение\(lqldap_idmap_range_size\(rq
должно равняться минимум 1108, так как размер диапазона рассчитывается как максимальный SID минус минимальный SID плюс один (т\&.е\&. 1108 = 1107 \- 0 + 1)\&.
.sp
Для будущего расширения важно всё спланировать заранее,поскольку изменение этого значения приведёт к изменению всех сопоставлений идентификаторов в системе и, следовательно, изменению локальных идентификаторов пользователей\&.
.sp
По умолчанию: 200000
.RE
.PP
ldap_idmap_default_domain_sid (строка)
.RS 4
Позволяет указать SID стандартного домена\&. Это гарантирует, что этот домен всегда будет назначаться нулевому срезу в карте идентификаторов, в обход описанного выше алгоритма murmurhash\&.
.sp
По умолчанию: не задано
.RE
.PP
ldap_idmap_default_domain (строка)
.RS 4
Позволяет указать имена домена по умолчанию\&.
.sp
По умолчанию: не задано
.RE
.PP
ldap_idmap_autorid_compat (логическое значение)
.RS 4
Изменяет поведения алгоритма сопоставления идентификаторов, делая его более похожим на алгоритм
\(lqidmap_autorid\(rq
winbind\&.
.sp
When this option is configured, domains will be allocated starting with slice zero and increasing monotonically with each additional domain\&.
.sp
ПРИМЕЧАНИЕ: этот алгоритм является недетерминированным (он зависит от порядка, в котором запрашиваются пользователи и группы)\&. Если этот режим требуется для обеспечения совместимости с компьютерами, где работает winbind, рекомендуется также использовать параметр
\(lqldap_idmap_default_domain_sid\(rq, чтобы гарантировать постоянное выделение хотя бы одного домена для нулевого среза\&.
.sp
По умолчанию: false
.RE
.PP
ldap_idmap_helper_table_size (целое число)
.RS 4
Максимальное количество вторичных срезов, которое можно использовать при сопоставлении идентификатору UNIX номера SID\&.
.sp
Примечание: дополнительные вторичные срезы могут быть созданы, когда выполняется сопоставление SID с идентификатором UNIX и часть RID SID находится за пределами диапазона для уже созданных вторичных срезов\&. Если значение параметра ldap_idmap_helper_table_size равно нулю, дополнительные вторичные срезы не будут созданы\&.
.sp
По умолчанию: 10
.RE
.RE
.SS "Известные SID"
.PP
SSSD поддерживает поиск имён известных SID, то есть SID со специальным жёстко заданным значением\&. Так как типичные пользователи и группы, связанные с этими известными SID, не имеют аналогов в среде Linux/UNIX, для этих объектов недоступны идентификаторы POSIX\&.
.PP
Пространство имён SID организовано по центрам, которые можно рассматривать как разные домены\&. Для известных SID используются следующие центры
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Null Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
World Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Local Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Creator Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Mandatory Label Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Authentication Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
NT Authority
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Built\-in
.RE
.sp
Записанные прописными буквами варианты этих имён используются в качестве имён доменов при возврате полных имён известных SID\&.
.PP
Так как некоторые утилиты позволяют изменять данные управления доступом на основе SID с помощью имени, а не непосредственного использования SID, SSSD также поддерживает поиск SID по имени\&. Чтобы избежать конфликтов, для поиска известных SID разрешается использовать только полные имена\&. Следовательно, нельзя использовать в качестве имён доменов в
sssd\&.conf
следующие названия:
\(lqNULL AUTHORITY\(rq,
\(lqWORLD AUTHORITY\(rq,
\(lq LOCAL AUTHORITY\(rq,
\(lqCREATOR AUTHORITY\(rq,
\(lqMANDATORY LABEL AUTHORITY\(rq,
\(lqAUTHENTICATION AUTHORITY\(rq,
\(lqNT AUTHORITY\(rq
и
\(lqBUILTIN\(rq\&.
.SH "ПРИМЕР"
.PP
В следующем примере предполагается, что конфигурация SSSD корректна и что установка LDAP выполнена для одного из доменов в разделе
\fI[domains]\fR\&.
.PP
.if n \{\
.RS 4
.\}
.nf
[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap\&.mydomain\&.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
.fi
.if n \{\
.RE
.\}
.sp
.SH "ПРИМЕР ФИЛЬТРА ДОСТУПА LDAP"
.PP
В следующем примере предполагается, что конфигурация SSSD корректна и что используется ldap_access_order=lockout\&.
.PP
.if n \{\
.RS 4
.\}
.nf
[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap\&.mydomain\&.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
.fi
.if n \{\
.RE
.\}
.sp
.SH "ПРИМЕЧАНИЯ"
.PP
Описания некоторых параметров конфигурации на этой справочной странице основаны на справочной странице
\fBldap.conf\fR(5)
из дистрибутива OpenLDAP 2\&.4\&.
.SH "СМ\&. ТАКЖЕ"
.PP
\fBsssd\fR(8),
\fBsssd.conf\fR(5),
\fBsssd-ldap\fR(5),
\fBsssd-ldap-attributes\fR(5),
\fBsssd-krb5\fR(5),
\fBsssd-simple\fR(5),
\fBsssd-ipa\fR(5),
\fBsssd-ad\fR(5),
\fBsssd-files\fR(5),
\fBsssd-sudo\fR(5),
\fBsssd-session-recording\fR(5),
\fBsss_cache\fR(8),
\fBsss_debuglevel\fR(8),
\fBsss_obfuscate\fR(8),
\fBsss_seed\fR(8),
\fBsssd_krb5_locator_plugin\fR(8),
\fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8),
\fBsssd-ifp\fR(5),
\fBpam_sss\fR(8)\&.
\fBsss_rpcidmapd\fR(5)
.SH "AUTHORS"
.PP
\fBВосходящий источник (\(Foапстрим\(Fc)
SSSD \(em https://github\&.com/SSSD/sssd/\fR