SSSD-LDAP(5) Filformat och konventioner SSSD-LDAP(5) NAME sssd-ldap - SSSD LDAP-leverantor BESKRIVNING Denna manualsida beskriver konfigurationen av LDAP-domaner for sssd(8). Se avsnittet "FILFORMAT" av manualsidan sssd.conf(5) for detaljerad syntaxinformation. Du kan konfigurera SSSD for att anvanda mer an en LDAP-doman. LDAP back end supports id, auth, access and chpass providers. If you want to authenticate against an LDAP server either TLS/SSL or LDAPS is required. sssd does not support authentication over an unencrypted channel. Even if the LDAP server is used only as an identity provider, an encrypted channel is strongly recommended. Please refer to "ldap_access_filter" config option for more information about using LDAP as an access provider. KONFIGURATIONSALTERNATIV Alla de vanliga konfigurationsflaggorna som galler for SSSD-domaner galler aven for LDAP-domaner. Se avsnittet "DOMANSEKTIONER" i manualsidan sssd.conf(5) for fullstandiga detaljer. Observera att SSSD LDAP-avbildningsattribut beskrivs i manualsidan sssd-ldap- attributes(5). ldap_uri, ldap_backup_uri (strang) Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD skall ansluta i prioritetsordning. Se avsnittet "RESERVER" for mer information om reserver och serverredundans. Om ingendera alternativ ar angivet kommer tjansteupptackt anvandas. For mer information, se avsnittet "TJANSTEUPPTACKT". Formatet pa URI:n maste stamma med formatet som definieras i RFC 2732: ldap[s]://[:port] For explicita IPv6-adresser maste vara omslutet av hakparenteser [] exempel: ldap://[fc00::126:25]:389 ldap_chpass_uri, ldap_chpass_backup_uri (strang) Anger en kommaseparerad lista av URI:er till LDAP-servrar till vilka SSSD skall ansluta i prioritetsordning for att andra losenordet for en anvandare. Se avsnittet "RESERVER" for mer information om reserver och serverredundans. For att aktivera tjansteuppslagning maste ldap_chpass_dns_service_name vara satt. Standard: tomt, d.v.s. ldap_uri anvands. ldap_search_base (strang) Standard bas-DN att anvanda for att utfora LDAP-anvandaroperationer. Med borjan med SSSD 1.7.0 stodjer SSSD flera sokbaser genom att anvanda syntaxen: sokbas[?rackvidd?[filter][?sokbas?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt Exempel: ldap_search_base = dc=example,dc=com (vilket ar ekvivalent med) ldap_search_base = dc=example,dc=com?subtree? ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree? Observera: det stodjs inte att ha flera sokbaser som refererar identiskt namngivna objekt (till exempel, grupper med samma namn i tva olika sokbaser). Detta kommer medfora oforutsagbart beteende pa klientmaskinerna. Standard: om inte satt anvands vardet fran attributet defaultNamingContext eller namingContexts fran RootDSE:n hos LDAP-servern. Om defaultNamingContext inte finns eller har ett tomt varde anvands namingContexts. Attributet namingContexts maste ha ett ensamt varde med DN:n hos sokbasen hos LDAP-servern for att detta skall fungera. Flera varden stodjs inte. ldap_schema (strang) Anger schematypen som anvands pa mal-LDAP-servern. Beroende pa det valda schemat kan standardattributnamnen som hamtas fran servrarna variera. Sattet som en del attribut hanteras kan ocksa skilja. Fyra schematyper stodjs for narvarande: o rfc2307 o rfc2307bis o IPA o AD Den huvudsakliga skillnaden mellan dessa schematyper ar hur gruppmedlemskap lagras i servern. Med rfc2307 listas gruppmedlemskap med namn i attributet memberUid. Med rfc2307bis och IPA listas gruppmedlemskap av DN och lagras i attributet member. AD-schematypen satter attributen till att motsvara Active Directory 2008r2-varden. Standard: rfc2307 ldap_pwmodify_mode (strang) Ange operationen som anvands for att andra anvandarens losenord. Tva lagen stodjs for narvarande: o exop - Password Modify Extended Operation (RFC 3062) o ldap_modify - Direkt andring av userPassword (rekommenderas inte). Obs: forst etableras en ny forbindelse for att verifiera det aktuella losenordet genom att binda som anvandaren som begarde losenordsandringen. Om det lyckas anvands denna forbindelse for att andra losenordet och darfor maste anvandaren ha skrivratt pa attributet userPassword. Standard: exop ldap_default_bind_dn (strang) Standardbindnings-DN att anvanda for att utfora LDAP-operationer. ldap_default_authtok_type (strang) Typen pa autentiseringstecknet hos standardbindnings-DN. De tva mekanismerna som stodjs for narvarande ar: password obfuscated_password Standard: password Se manualsidan sss_obvuscate(8) for mer information. ldap_default_authtok (strang) Autentiseringstecknet hos standardbindnings-DN. ldap_force_upper_case_realm (boolean) Nagra katalogservrar, till exempel Active Directory, kan leverera delen rike av UPN:en i gemener, vilket kan fa autentiseringen att misslyckas. Satt detta alternativ till ett varde skilt fran noll ifall du vill anvanda ett rike i versaler. Standard: false ldap_enumeration_refresh_timeout (heltal) Anger hur manga sekunder SSSD maste vanta fore den uppdaterar sin cache av uppraknade poster. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 300 ldap_purge_cache_timeout (heltal) Bestam hur ofta cachen skall kontrolleras for inaktiva poster (sasom grupper utan medlemmar och anvandare som aldrig har loggat in) och ta bort dem for att spara utrymme. Att satta detta alternativ till noll kommer avaktivera rensningsoperationen for cachen. Observera att om upprakning ar aktiverat kravs rensningsjobbet for att upptacka poster som tas bort fran servern och inte kan avaktiveras. Som standard kor rensningsjobbet var 3:e timma nar upprakning ar aktiverat. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 0 (avaktiverat) ldap_group_nesting_level (heltal) Om ldap_schema ar satt till ett schemaformat som stodjer nastade grupper (t.ex. RFC2307bis), da styr detta alternativ hur manga nivaer av nastning SSSD kommer folja. Detta alternativ har ingen effekt pa schemat RFC2307. Obs: detta alternativ anger den garanterade nivan av nastade grupper som skall bearbetas for en godtycklig uppslagning. Dock kan nastade grupper utover denna grans returneras om tidigare uppslagningar redan har slagit upp de djupare nastningsnivaerna. Foljande uppslagningar for andra grupper kan ocksa utoka resultatmangden for den ursprungliga uppslagningen om den slas upp igen. Om ldap_group_nesting_level satts till 0 bearbetas inga nastade grupper alls. Dock kravs det dessutom att anvandningen av Token-Groups avaktiveras vid anslutning till Active-Directory Server 2008 och senare vid anvandning av "id_provider=ad" genom att satta ldap_use_tokengroups till false for att begransa gruppnastning. Standard: 2 ldap_use_tokengroups Detta alternativ aktiverar eller avaktiverar anvandningen av attributet Token-Groups nar initgroup utfors for anvandare fran Active Directory Server 2008 och senare. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: true for AD och IPA annars false. ldap_host_search_base (strang) Frivillig. Anvand den givna strangen som en sokbas for vardobjekt. Se "ldap_search_base" for information om konfiguration av multipla sokbaser. Standard: vardet pa ldap_search_base ldap_service_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_iphost_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_ipnetwork_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_search_timeout (heltal) Anger tiden (i sekunder) som ldap-sokningar tillats kora fore de annulleras och cachade resultat returneras (och gar in i frankopplat lage) Obs: detta alternativ kan komma att andras i framtida versioner av SSSD. Det kommer sannolikt ersattas vid nagon tidpunkt med en serie tidsgranser for specifika uppslagningstyper. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 6 ldap_enumeration_search_timeout (heltal) Anger tiden (i sekunder) som ldap-sokningar for anvandar- och gruppupprakningar tillats kora fore de annulleras och cachade resultat returneras (och gar in i frankopplat lage) Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 60 ldap_network_timeout (heltal) Anger tidsgransen (i sekunder) efter vilken poll(2)/select(2) som foljer efter en connect(2) returnerar om inget hander. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 6 ldap_opt_timeout (heltal) Anger en tid (i sekunder) efter vilken anrop till synkrona LDAP API:er kommer avbrytas om det inte kommer nagot svar. Styr aven tidsgransen vid kommunikation med KDC:n i fallet SASL-bindningar, tidsgransen for en LDAP-bindningsoperation, utokad operation for losenordsandring och StartTLS-operationen. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 8 ldap_connection_expire_timeout (heltal) Anger en tidsgrans (i sekunder) som en forbindelse med en LDAP-server kommer underhallas. Efter den tiden kommer forbindelsen ateretableras. Om den anvands parallellt med SASL/GSSAPI kommer det tidigare av de tva vardena (detta varde eller TGT-livslangden) anvandas. Om anslutningen ar inaktiv (inte aktivt kor en atgard) under ldap_opt_timeout sekunders utgangstid, da kommer den att stangas i forvag for att sakerstalla att en ny begaran inte kan krava att forbindelsen skall hallas oppen utover dess utgangstid. Detta implicerar att anslutningar alltid kommer stangas omedelbart och aldrig kommer ateranvandas om ldap_connection_expire_timoute <= ldap_opt_timeout Tidsgransen kan utokas med ett slumpvarde angivet av ldap_connection_expire_offset Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 900 (15 minuter) ldap_connection_expire_offset (heltal) En slumptillagg mellan 0 och ett konfigurerat varde laggs till tillldap_connection_expire_timeout. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 0 ldap_connection_idle_timeout (heltal) Anger en tidsgrans (i sekunder) som en inaktiv forbindelse med en LDAP-server kommer underhallas. Om anslutningen ar inaktiv langre an denna tid kommer forbindelsen att stangas. Man kan avaktivera denna tidsgrans genom att satta vardet till 0. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 900 (15 minuter) ldap_page_size (heltal) Ange antalet poster som skall hamtas fran LDAP i en enskild begaran. Nagra LDAP-servrar framtvingar en maximal grans per begaran. Standard: 1000 ldap_disable_paging (boolean) Avaktivera flodesstyrningen (paging) av LDAP. Detta alternativ bor anvandas om LDAP-servern rapporterar att den stodjer LDAP-flodesstyrning i sin RootDSE men det inte ar aktiverat eller inte fungerar som det skall. Exempel: OpenLDAP-servrar med flodesstyrningsmodulen installerad pa servern men inte aktiverad kommer rapportera det i RootDSE:n men inte kunna anvanda den. Exempel: 389 DS har ett fel dar den endast kan stodja en flodesstyrning at gangen pa en enskild forbindelse. Pa aktiva klienter kan detta resultera i att nagra begaranden nekas. Standard: False ldap_disable_range_retrieval (boolean) Avaktivera Active Directory intervallhamtning. Active Directory begransar antalet medlemmar som kan hamtas i en enskild uppslagning med policyn MaxValRange (vilket som standard ar 1500 medlemmar). Om en grupp innehaller fler medlemmar skulle svaret innehalla en AD-specifik intervallutokning. Detta alternativ avaktiverar tolkning av intervallutokningar, darfor kommer stora grupper forefalla inte ha nagra medlemmar. Standard: False ldap_sasl_minssf (heltal) Vid kommunikation med en LDAP-server med SASL, ange den minsta sakerhetsnivan som ar nodvandig for att etablera forbindelsen. Vardet pa detta alternativ ar definierat av OpenLDAP. Standard: anvand systemstandard (vanligen angivet i ldap.conf) ldap_sasl_maxssf (heltal) Vid kommunikation med en LDAP-server med SASL, ange den masimala sakerhetsnivan som ar nodvandig for att etablera forbindelsen. Vardet pa detta alternativ ar definierat av OpenLDAP. Standard: anvand systemstandard (vanligen angivet i ldap.conf) ldap_deref_threshold (heltal) Ange antalet gruppmedlemmar som maste saknas i den interna cachen for att orsaka en derefereringsuppslagning. Om farre medlemmar saknas slas de upp individuellt. Du kan sla av derefereringsuppslagningar helt genom att satta vardet till 0. Observera att det finns nagra kodvagar i SSSD, som IPA HBAC-leverantoren, som endast ar implementerade med derefereringsanropet, sa att aven med dereferens uttryckligen avaktiverat kommer dessa delar anda anvanda dereferenser om servern stodjer det och annonserar derefereringsstyrning i rootDSE-objektet. En derefereringsuppslagning ar ett satt att hamta alla gruppmedlemmar i ett enda LDAP-anrop. Olika LDAP-servrar kan implementera olika derefereringsmetoder. De servrar som stodjs for narvarande ar 389/RHDS, OpenLDAP och Active Directory. Obs: om nagon av sokbaserna anger ett sokfilter, da kommer prestandaforbattringen med derefereringsuppslagningar avaktiveras oavsett denna installning. Standard: 10 ldap_ignore_unreadable_references (bool) Ignorera olasbara LDAP-poster refererade i gruppens medlemsattribut. Om denna parameter satts till falskt kommer ett fel returneras och atgarden misslyckas istallet for att den olasbara posten bara ignoreras. Denna parameter kan vara anvandbar nar man anvander AD-leverantoren och datorkontot som sssd anvander for att ansluta till AD inte har tillgang till en viss post eller ett visst LDAP-undertrad av sakerhetsskal. Standard: False ldap_tls_reqcert (strang) Anger vilka kontroller som utfors av servercertifikat i en TLS-session, om nagra. Det kan anges som ett av foljande varden: never = Klienten kommer inte begara eller kontrollera nagra servercertifikat. allow = Servercertifikatet begars. Om inget certifikat tillhandahalls fortsatter sessionen normalt. Om ett felaktigt certifikat tillhandahalls kommer det ignoreras och sessionen fortsatta normalt. try = Servercertifikatet begars. Om inget certifikat tillhandahalls fortsatter sessionen normalt. Om ett felaktigt certifikat tillhandahalls avslutas sessionen omedelbart. demand = Servercertifikatet begars. Om inget certifikat tillhandahalls eller ett felaktigt certifikat tillhandahalls avslutas sessionen omedelbart. hard = Samma som "demand" Standard: hard ldap_tls_cacert (strang) Anger filen som innehaller certifikat for alla Certifikatauktoriteterna som sssd kommer godkanna. Standard: anvand standardvarden for OpenLDAP, typiskt i /etc/openldap/ldap.conf ldap_tls_cacertdir (strang) Anger sokvagen till en katalog som innehaller certifikat for Certifikatauktoriteter i individuella filer. Typiskt maste filnamnen vara kontrollsummor av certifikaten foljda av ".0". Om det ar tillgangligt kan cacertdir_rehash anvandas for att skapa de korrekta namnen. Standard: anvand standardvarden for OpenLDAP, typiskt i /etc/openldap/ldap.conf ldap_tls_cert (strang) Anger filen som innehaller certifikatet for klientens nyckel. Standard: inte satt ldap_tls_key (strang) Anger filen som innehaller klientens nyckel. Standard: inte satt ldap_tls_cipher_suite (strang) Anger acceptabla chiffersviter. Typiskt ar detta en kolonseparerad lista. Se ldap.conf(5) for formatet. Standard: anvand standardvarden for OpenLDAP, typiskt i /etc/openldap/ldap.conf ldap_id_use_start_tls (boolean) Specifies that the id_provider connection must also use tls to protect the channel. true is strongly recommended for security reasons. Standard: false ldap_id_mapping (boolean) Anger att SSSD skall forsoka oversatta anvandar- och grupp-ID:n fran attributen ldap_user_objectsid och ldap_group_objectsid istallet for att forlita sig pa ldap_user_uid_number och ldap_group_gid_number. For narvarande stodjer denna funktion endast ActiveDirectory objectSID. Standard: false ldap_min_id, ldap_max_id (heltal) I kontrast mot den SID-baserade ID-oversattningen som anvands om ldap_id_mapping ar satt till sant ar det tillatna ID-intervallet for ldap_user_uid_number och ldap_group_gid_number obegransat. I en uppsattning med underdomaner/betrodda domaner kan detta leda till ID-kollisioner. For att undvika kollisioner kan ldap_min_id och ldap_max_id sattas till att begransa det tillatna intervallet for ID:na som lases direkt fran servern. Underdomaner kan sedan valja andra intervall for att oversatta ID:n. Standard: inte satt (bada alternativen ar satta till 0) ldap_sasl_mech (strang) Ange SASL-mekanismen att anvanda. For narvarande testas och stodjs endast GSSAPI och GSS-SPNEGO. Om bakanden stodjer underdomaner arvs automatiskt vardet av ldap_sasl_mech till underdomanerna. Om ett annat varde behovs for en underdoman kan det skrivas over genom att satta ldap_sasl_mech for denna underdoman explicit. Se avsnittet SEKTIONEN BETRODDA DOMANER i sssd.conf(5) for detaljer. Standard: inte satt ldap_sasl_authid (strang) Ange SASL-auktoriserings-id:t att anvanda. Nar GSSAPI/GSS-SPNEGO anvands representerar detta Kerberos-huvudmannen som anvands for autentisering till katalogen. Detta alternativ kan antingen innehalla den fullstandiga huvudmannen (till exempel host/minvard@EXAMPLE.COM) eller bara huvudmannanamnet (till exempel host/minvard). Som standard ar vardet inte satt och foljande huvudman anvands: vardnamn@RIKE netbiosnamn$@RIKE host/vardnamn@RIKE *$@RIKE host/*@RIKE host/* Om ingen av dem kan hittas returneras den forsta huvudmannen i keytab. Standard: host/vardnamn@RIKE ldap_sasl_realm (strang) Ange SASL-riket att anvanda. Nar det inte anges far detta alternativ standardvardet fran krb5_realm. Om ldap_sasl_authid ocksa innehaller riket ignoreras detta alternativ. Standard: vardet pa krb5_realm. ldap_sasl_canonicalize (boolean) Om satt till sant kommer LDAP-biblioteket utfora en omvand uppslagning for att ta fram vardnamnets kanoniska form under en SASL-bindning. Standard: false; ldap_krb5_keytab (strang) Ange den keytab som skall anvandas vid anvandning av SASL/GSSAPI/GSS-SPNEGO. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: Systemets keytab, normalt /etc/krb5.keytab ldap_krb5_init_creds (boolean) Anger att id-leverantoren skall initiera Kerberoskreditiv (TGT). Denna atgard utfors endast om SASL anvands och den valda mekanismen ar GSSAPI eller GSS-SPNEGO. Standard: true ldap_krb5_ticket_lifetime (heltal) Anger livslangden i sekunder pa TGT:n om GSSAPI eller GSS-SPNEGO anvands. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: 86400 (24 timmar) krb5_server, krb5_backup_server (strang) Anger en kommaseparerad lista av IP-adresser eller vardnamn till Kerberosservrar till vilka SSSD skall ansluta i prioritetsordning. For mer information om reserver och serverredundans se avsnittet "RESERVER". Ett frivilligt portnummer (foreganget av ett kolon) kan laggas till till adresserna eller vardnamnen. Om tomt aktiveras tjansteupptackt - for mer information, se avsnittet "TJANSTEUPPTACKT". Nar tjansteupptackt anvands for KDC eller kpasswd-servrar soker SSSD forst efter DNS-poster som anger _udp som protokoll och provar sedan _tcp om inget hittas. Detta alternativ hade namnet "krb5_kdcip" i tidigare utgavor av SSSD. Medan det aldre namnet kanns igen tills vidare rekommenderas anvandare att migrera sina konfigurationsfiler till att anvanda "krb5_server" istallet. krb5_realm (strang) Ange Kerberos-RIKE (for SASL/GSSAPI/GSS-SPNEGO aut). Standard: Systemstandard, se /etc/krb5.conf krb5_canonicalize (boolean) Anger om vardens huvudman skall goras kanonisk vid anslutning till LDAP-servern. Denna funktion ar tillganglig med MIT Kerberos >= 1.7 Standard: false krb5_use_kdcinfo (boolean) Anger om SSSD skall instruera Kerberos-biblioteken om vilket rike och vilka KDC:er som skall anvandas. Detta alternativ ar pa som standard, om du avaktiverar det behover du konfigurera Kerberos-biblioteket i konfigurationsfilen krb5.conf(5). Se manualsidan sssd_krb5_locator_plugin(8) for mer information om lokaliseringsinsticksmodulen. Standard: true ldap_pwd_policy (strang) Valj policyn for att utvardera utgang av losenord pa klientsidan. Foljande varden ar tillatna: none - Ingen utvardering pa klientsidan. Detta alternativ kan inte avaktivera losenordspolicyer pa serversidan. shadow - Anvand attribut i stilen shadow(5) for att utvardera om losenordet har gatt ut. Se aven alternativet "ldap_chpass_update_last_change". mit_kerberos - Anvand attributen som anvands av MIT Kerberos for att avgora om losenordet har gatt ut. Anvand chpass_provider=krb5 for att uppdatera dessa attribut nar losenordet andras. Standard: none Obs: om en losenordspolicy konfigureras pa serversidan kommer den alltid ga fore framfor policyn som satts med detta alternativ. ldap_referrals (boolean) Anger huruvida automatisk uppfoljning av referenser skall aktiveras. Observera att sssd endast stodjer uppfoljning av referenser nar den ar kompilerad med OpenLDAP version 2.4.13 eller senare. Att folja upp referenser kan orsaka en prestandaforlust i miljoer som anvander dem mycket, ett notabelt exempel ar Microsoft Active Directory. Om din uppsattning inte faktiskt behover anvanda referenser kan att satta detta alternativ till falskt medfora en markbar prestandaforbattring. Att satta denna flagga till falskt rekommenderas darfor ifall SSSD LDAP-leverantoren anvands tillsammans med Microsoft Active Directory som bakande. Aven om SSSD skulle kunna folja referensen till en annan AD DC skulle inga ytterligare data vara tillgangliga. Standard: true ldap_dns_service_name (strang) Anger tjanstenamnet som skall anvandas nar tjansteupptackt ar aktiverat. Standard: ldap ldap_chpass_dns_service_name (strang) Anger tjanstenamnet att anvanda for att hitta en LDAP-server som tillater losenordsandringar nar tjansteupptackt ar aktiverat. Standard: inte satt, d.v.s. tjansteupptackt ar avaktiverat ldap_chpass_update_last_change (boolean) Anger huruvida attributet ldap_user_shadow_last_change skall uppdateras med dagar sedan epoken efter en andring av losenord. Det rekommenderas att explicit satta detta alternativ om "ldap_pwd_policy = shadow" anvands for att lata SSSD veta om LDAP-servern kommer uppdatera LDAP-attributet shadowLastChange automatiskt efter en losenordsandring eller om SSSD maste uppdatera det. Standard: False ldap_access_filter (strang) Om man anvander access_provider = ldap och ldap_access_order = filter (standard) ar detta alternativ nodvandigt. Det anger ett LDAP-sokfilterkriterium som maste uppfyllas for att anvandaren skall ges atkomst till denna vard. Om access_provider = ldap, ldap_access_order = filter och detta alternativ inte ar satt kommer det resultera i att alla anvandare nekas atkomst. Anvand access_provider = permit for att andra detta standardbeteende. Observera att detta filter endast tillampas pa LDAP-anvandarposten och darmed filter baserade pa nastade grupper kanske inte fungerar (t.ex. attributet memberOf i AD-poster pekar endast pa direkta foraldrar). Om filtrering baserad pa nastade grupper behovs, se sssd-simple(5). Exempel: access_provider = ldap ldap_access_filter = (employeeType=admin) Detta exempel betyder att atkomst till denna vard ar begransad till anvandare vars attribut employeeType ar satt till "admin". Frankopplad cachning for denna funktion ar begransad till att avgora huruvida anvandarens senaste uppkopplade inloggning tillats atkomstrattigheter. Om de tillats vid senaste inloggningen kommer de fortsatta ges atkomst under frankoppling, och vice versa. Standard: Empty ldap_account_expire_policy (strang) Med detta alternativ kan en utvardering pa klientsidan av atkomststyrningsattribut aktiveras. Observera att det alltid ar rekommenderat att anvanda atkomstkontroll pa serversidan, d.v.s. LDAP-servern skall neka bindningsbegaran med en passande felkod aven om losenordet ar korrekt. Foljande varden ar tillatna: shadow: anvand vardet pa ldap_user_shadow_expire for att avgora om kontot har gatt ut. ad: anvand vardet pa 32-bitarsfaltet ldap_user_ad_user_account_control och tillat atkomst om den andra biten inte ar satt. Om attributet saknas tillats atkomst. Utgangstiden for kontot kontrolleras ocksa. rhds, ipa, 389ds: anvand vardet pa ldap_ns_account_lock for att avgora om atkomst tillats eller inte. nds: vardena pa ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled och ldap_user_nds_login_expiration_time anvands for att avgora om atkomst tillats. Om bada attributen saknas tillats atkomst. Observera att konfigurationsalternativet ldap_access_order maste innehalla "expire" for att alternativet ldap_account_expire_policy skall fungera. Standard: Empty ldap_access_order (strang) Kommaseparerad lista over atkomststyrningsalternativ. Tillatna varden ar: filter: anvand ldap_access_filter lockout: anvand kontolasning. Om satt nekar detta alternativ atkomst ifall ldap-attributet "pwdAccountLockedTime" finns och har vardet "000001010000Z". Se alternativet ldap_pwdlockout_dn. Observera att "access_provider = ldap" maste vara satt for att denna funktion skall fungera. Observera att detta alternativ ersatts av alternativet "ppolicy" och kan komma att tas bort i en framtida utgava. ppolicy: anvand kontolasning. Om satt nekar detta alternativ atkomst ifall ldap-attributet "pwdAccountLockedTime" finns och har vardet "000001010000Z" eller representerar en tidpunkt i det forgangna. Vardet pa attributet "pwdAccountLockedTime" maste sluta med "Z", som markerar tidszonen UTC. Andra tidszoner stodjs for narvarande inte och kommer resultera i "access-denied" nar anvandare forsoker logga in. Se alternativet ldap_pwdlockout_dn. Observera att "access_provider = ldap" maste vara satt for att denna funktion skall fungera. expire: anvand ldap_account_expire_policy pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Dessa alternativ ar anvandbara om anvandare vill bli varnade att losenordet ar pa gang att ga ut och autentisering ar baserat pa anvandning av en annan metod an losenord - till exempel SSH-nycklar. The difference between these options is the action taken if user password is expired: o pwd_expire_policy_reject - user is denied to log in, o pwd_expire_policy_warn - user is still able to log in, o pwd_expire_policy_renew - user is prompted to change their password immediately. Observera att "access_provider = ldap" maste vara satt for att denna funktion skall fungera. "ldap_pwd_policy" maste ocksa vara satt till en lamplig losenordspolicy. authorized_service: anvand attributet authorizedService for att avgora atkomst host: anvand attributet host for att avgora atkomst rhost: anvand attributet rhost for att avgora huruvida fjarrvardar kan fa atkomst Observera, rhost-faltet i pam satts av programmet, det ar battre att kontrollera vad programmet skickar till pam, fore detta alternativ for atkomstkontroll aktiveras Standard: filter Observera att det ar ett konfigurationsfel om ett varde anvands mer an en gang. ldap_pwdlockout_dn (strang) Detta alternativ anger DN for losenordspolicyposten pa LDAP-servern. Notera att franvaro av detta alternativ i sssd.conf nar kontroll av kontolasning ar aktiverat kommer att resultera i nekad atkomst eftersom ppolicy-attribut pa LDAP-servern inte kan kontrolleras ordentligt. Exempel: cn=ppolicy,ou=policies,dc=example,dc=com Standard: cn=ppolicy,ou=policies,$ldap_search_base ldap_deref (strang) Anger hur dereferering av alias gors nar sokningar utfors. Foljande alternativ ar tillatna: never: Alias ar aldrig derefererade. searching: Alias derefereras i underordnade till basobjektet, men inte vid lokalisering av basobjektet for sokningen. finding: Alias derefereras endast vid lokalisering av basobjektet for sokningen. always: Alias derefereras bade i sokning och i lokalisering av basobjektet for sokningen. Standard: Tomt (detta hanteras som never av LDAP-klientbiblioteken) ldap_rfc2307_fallback_to_local_users (boolean) Tillater att behalla lokala anvandare som medlemmar i en LDAP-grupp for servrar som anvander schemat RFC2307. I en del miljoer dar schemat RFC2307 anvands gors lokala anvandare till medlemmar i LDAP-grupper genom att lagga till deras namn till attributet memberUid. Den interna konsistensen i domanen bryts nar detta gors, sa SSSD skulle normalt ta bort de "saknade" anvandarna fran de cachade gruppmedlemskapen sa fort nsswitch forsoker hamta information om anvandaren via anrop av getpw*() eller initgroups(). Detta alternativ faller tillbaka pa att kontrollera om lokala anvandare ar refererade, och cachar dem sa att senare anrop av initgroups() kommer utoka de lokala anvandarna med de extra LDAP-grupperna. Standard: false wildcard_limit (heltal) Anger en ovre grans pa antalet poster som hamtas under en uppslagning med jokertecken. For narvarande stodjer endast respondenten InfoPipe jokeruppslagningar. Standard: 1000 (ofta storleken pa en sida) ldap_library_debug_level (heltal) Slar pa libldap-felsokning med den angivna nivan. Libldap-felmeddelanden kommer skrivas oberoende av den allmanna debug_level. OpenLDAP anvander en bitavbildning for att aktivera felsokning for specifika komponenter, -1 kommer aktivera fullstandig felsokningsutmatning. Standard: 0 (libldap-felsokning avaktiverat) SUDOALTERNATIV De detaljerade instruktionerna for att konfigurera sudo-leverantoren finns i manualsidan sssd-sudo(5). ldap_sudo_full_refresh_interval (heltal) Hur manga sekunder SSSD kommer vanta mellan korningar av fullstandiga uppdateringar av sudo-regler (som hamtar alla regler som ar lagrade pa servern). Vardet maste vara storre an ldap_sudo_smart_refresh_interval Man kan avaktivera fullstandig uppdatering genom att satta denna flagga till 0. Dock maste antingen smart eller fullstandig uppdatering aktiveras. Standard: 21600 (6 timmar) ldap_sudo_smart_refresh_interval (heltal) Hur manga sekunder SSSD maste vanta mellan korningar av en smart uppdatering av sudo-regler (som hamtar alla regler som har USN hogre an serverns hogsta USN-varde som for narvarande ar kant av SSSD). Om USN-attribut inte stodjs av servern anvands attributet modifyTimestamp istallet. Obs: det hogsta USN-vardet kan uppdateras av tre uppgifter: 1) Genom fullstandig och smart sudo-uppdatering (om det finns uppdaterade regler), 2) genom upprakning av anvandare och grupper (om det finns aktiverade och uppdaterade anvandare eller grupper) och 3) genom att ateransluta till servern (som standard var 15:e minut, se ldap_connection_expire_timeout). Man kan avaktivera smart uppdatering genom att satta denna flagga till 0. Dock maste antingen smart eller fullstandig uppdatering aktiveras. Standard: 900 (15 minuter) ldap_sudo_random_offset (heltal) En slumptillagg mellan 0 och ett konfigurerat varde laggs till till smart och fullstandig uppdateringsperioder varje gang den periodiska uppgiften schemalaggs. Vardet ar i sekunder. Observera att detta slumpvisa tillag aven anvands pa den forsta SSSD-starten vilked fordrojer den forsta uppdateringen av sudo-regler. Detta forlanger tiden under vilken sudo-reglerna inte ar tillgangliga for anvandning. Man kan avaktivera denna fordrojning genom att satta vardet till 0. Standard: 0 (avaktiverat) ldap_sudo_use_host_filter (boolean) Om sann kommer SSSD hamta endast regler som ar tillampliga for denna maskin (genom anvandning av IPv4- och IPv6-vard-/-natverksadresser och vardnamn). Standard: true ldap_sudo_hostnames (strang) Mellanrumsseparerad lista over vardnamn eller fullstandigt kvalificerade domannamn som skall anvandas for att filtrera reglerna. Om detta alternativ ar tomt kommer SSSD forsoka upptacka vardnamnet och det fullstandigt kvalificerade domannamnet automatiskt. Om ldap_sudo_use_host_filter ar false har detta alternativ ingen effekt. Standard: inte angivet ldap_sudo_ip (strang) Mellanrumsseparerad lista over IPv4- eller IPv6 vard-/natverksadresser som skall anvandas for att filtrera reglerna. Om detta alternativ ar tomt kommer SSSD forsoka upptacka adresser automatiskt. Om ldap_sudo_use_host_filter ar false har detta alternativ ingen effekt. Standard: inte angivet ldap_sudo_include_netgroups (boolean) Om sant kommer SSSD hamta varje regel som innehaller en natgrupp i attributet sudoHost. Om ldap_sudo_use_host_filter ar false har detta alternativ ingen effekt. Standard: true ldap_sudo_include_regexp (boolean) Om sant kommer SSSD hamta varje regel som innehaller ett jokertecken i attributet sudoHost. Om ldap_sudo_use_host_filter ar false har detta alternativ ingen effekt. Note Att anvanda jokertecken ar en operation som ar valdigt dyr att evaluera pa LDAP-serversidan! Standard: false Denna manualsida beskriver endast attributnamnsoversattningar. For detaljerade beskrivningar av semantiken hos sudo-relaterade attribut, se sudoers.ldap(5) AUTOFSALTERNATIV Nagra av standardvardena for parametrar nedan ar beroende pa LDAP-schemat. ldap_autofs_map_master_name (strang) Namnet pa automount master-kartan i LDAP. Standard: auto.master ldap_autofs_map_object_class (strang) Objektklassen hos en automatmonteringskartepost i LDAP. Standard: nisMap (rfc2307, autofs_provider=ad), annars automountMap ldap_autofs_map_name (strang) Namnet pa en automatmonteringskartepost i LDAP. Standard: nisMapName (rfc2307, autofs_provider=ad), annars automountMapName ldap_autofs_entry_object_class (strang) Objektklassen hos en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt. Standard: nisObject (rfc2307, autofs_provider=ad), annars automount ldap_autofs_entry_key (strang) Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt. Standard: cn (rfc2307, autofs_provider=ad), annars automountKey ldap_autofs_entry_value (strang) Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt. Standard: nisMapEntry (rfc2307, autofs_provider=ad), annars automountInformation Observera att automounter:n bara laser master-kartan vid uppstart, sa om nagra autofs-relaterade andringar gors av sssd.conf behover du normalt aven starta om automounter-demonen efter att ha startat om SSSD. AVANCERADE ALTERNATIV Dessa alternativ stodjs av LDAP-domaner, men de skall anvandas med forsiktighet. Inkludera dem endast i din konfiguration om du vet vad du gor. ldap_netgroup_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_user_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_group_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. Note Om alternativet "ldap_use_tokengroups" ar aktiverat kommer sokningarna i Active Directory inte vara begransade och returnera alla gruppmedlemskap, aven utan nagon GID-oversattning. Det rekommenderas att avaktivera denna funktion om gruppnamn inte visas korrekt. ldap_sudo_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. ldap_autofs_search_base (strang) En valfri bas-DN, sokrackvidd och LDAP-filter for att begransa LDAP-sokningar for denna attributtyp. syntax: search_base[?rackvidd?[filter][?search_base?rackvidd?[filter]]*] Rackvidden kan vara en av "base", "onelevel" eller "subtree". Rackviddsfunktionerna beskrivs i avsnitt 4.5.1.2 av http://tools.ietf.org/html/rfc4511 Filtret maste vara ett korrekt LDAP-sokfilter som specificerat i http://www.ietf.org/rfc/rfc2254.txt For exempel pa denna syntax, se exempelsektionen av "ldap_search_base". Standard: vardet pa ldap_search_base Observera att angivelse av rackvidd eller filter inte stodjs for sokningar i en Active Directory-server som kan resultera i ett stort antal resultat och trigga utokningen Range Retrieval i svaret. RESERVER Reservfunktionen gor att bakandar automatiskt kan byta till en annan server om den nuvarande servern slutar fungera. Reservsyntax Listan av servrar ges som en kommaseparerad lista; godtyckligt antal mellanslag tillats runt kommatecknet. Servrarna listas i preferensordning. Listan kan innehalla obegransat antal servrar. For varje reservaktiverat konfigurationsalternativ finns det tva varianter: primary och backup. Tanken ar att servrar i den primara listan foredras och backup-servrar bara provas om inga primara servrar kan nas. Om en backup-server valjs satts en tidsgrans pa 31 sekunder. Efter denna tidsgrans kommer SSSD periodiskt att forsoka ateransluta till en av de primara servrarna. Om det lyckas kommer den ersatta den nu aktiva (backup-)servern. Reservmekanismen Reservmekanismen gor skillnad mellan en maskin och en tjanst. Bakanden forsoker forst att sla upp vardnamnet for en given maskin; om denna uppslagning misslyckas antas maskinen vara bortkopplad. Inga ytterligare forsok gors att ansluta till denna maskin for nagon annan tjanst. Om uppslagningsforsoket lyckas forsoker bakanden ansluta till en tjanst pa denna maskin. Om tjansteanslutningen misslyckas anses bara just denna tjanst frankopplad och bakanden byter automatiskt till nasta tjanst. Maskinen betraktas fortfarande som uppkopplad och kan anvandas vid forsok att na en annan tjanst. Ytterligare forsok att ansluta gors till maskiner eller tjanster som markerats som frankopplade efter en viss tidsperiod, detta ar for narvarande hardkodat till 30 sekunder. Om det inte finns nagra fler maskiner att prova byter bakanden i sin helhet till frankopplat lage, och forsoker sedan ateransluta var 30:e sekund. Tidsgranser och trimning av reservfunktioner Att sla upp en server att ansluta till kan vara sa enkelt som att gora en enstaka DNS-fraga eller kan innebara flera steg, sasom att hitta den ratta sajten eller forsoka med flera vardnamn ifall nagra av de konfigurerade servrarna inte kan nas. De mer komplexa scenariona kan ta en stund och SSSD behover balansera mellan att tillhandahalla tillrackligt med tid for att fardigstalla upplosningsprocessen men a andra sidan inte forsoka for lange fore den faller tillbaka pa frankopplat lage. Om SSSD:s felsokningsloggar visar att serverns upplosning overskrider tidsgransen fore en aktiv server nas kan du overvaga att andra tidsgranserna. Detta avsnitt listar tillgangliga trimningsvariabler. Se deras beskrivning i manualsidan sssd.conf(5). dns_resolver_server_timeout Tid i millisekunder som anger hur lange SSSD skall tala med en viss DNS-server fore den provar nasta. Standard: 1000 dns_resolver_op_timeout Tid i sekunder hur lange SSSD skall forsoka sla upp en viss DNS-fraga (t.ex. uppslagning av ett vardnamn eller en SRV-post) fore den provar nasta vardnamn eller upptacktsdoman. Standard: 3 dns_resolver_timeout Hur lange skall SSSD forsoka sla upp en reservtjanst. Denna tjansteuppslagning kan internt besta av flera steg, sasom att sla upp DNS SRV-fragor och lokalisera sajten. Standard: 6 For LDAP-baserade leverantorer utfors uppslagningsoperationen som en del av LDAP-anslutningsoperationen. Darfor skall aven tidsgransen "ldap_opt_timeout" sattas till ett storre varde an "dns_resolver_timeout" som i sin tur skall sattas till ett storre varde an "dns_resolver_op_timeout" som skall vara storre an "dns_resolver_server_timeout". TJANSTEUPPTACKT Tjansteupptacktsfunktionen gor att bakandar automatiskt kan hitta en lamplig server att ansluta till med en speciell DNS-fraga. Denna funktion stodjs inte for backup-servrar. Konfiguration Om inga servrar anges anvander bakanden automatiskt tjansteupptackt for att forsoka hitta en server. Anvandaren kan om sa onskas valja att anvanda bade en bestamd serveradress och tjansteupptackt genom att infoga ett speciellt nyckelord, "_srv_", i listan av servrar. Preferensordningen bibehalls. Denna funktion ar anvandbar om, till exempel, anvandaren foredrar att anvanda tjansteupptackt narhelst det ar mojligt, och falla tillbaka pa en specifik server nar inga servrar kan upptackas med DNS. Domannamnet Se parametern "dns_discovery_domain" i manualsidan sssd.conf(5) for fler detaljer. Protokollet Fragorna anger vanligen _tcp som protokoll. Undantag ar dokumenterade i respektive alternativs beskrivning. Se aven For mer information om tjansteupptacktsmekanismen, se RFC 2782. ID-MAPPNING ID-mappningsfunktionen later SSSD fungera som en klient till Active Directory utan att krava att administratorer utokar anvandarattribut till att stodja POSIX-attribut for anvandar- och gruppidentifierare. OBSERVERA: Nar ID-mappning aktiveras ignoreras attributen uidNumber och gidNumber. Detta ar for att undvika mojligheten av konflikt mellan automatiskt tilldelade och manuellt tilldelade varden. Om du behover anvanda manuellt tilldelade varden maste ALLA varden tilldelas manuellt. Observera att byte av ID-mappnings relaterade konfigurationsalternativ kommer fa anvandar- och grupp-ID:n att andras. For narvarande stodjer inte SSSD byte av ID:n, sa SSSD-databasen maste tas bort. Eftersom cachade losenord ocksa lagras i databasen skall databasen bara tas bort nar autentiseringsservrarna kan nas, annars kan anvandare lasas ute. For att cacha losenordet maste en autentisering goras. Det ar inte tillrackligt att anvanda sss_cache(8) for att ta bort databasen, istallet bestar processen av: o Se till att fjarrservrarna ar nabara o Stoppa tjansten SSSD o Ta bort databasen o Starta tjansten SSSD Dessutom, eftersom andringen av ID:n kan gora det nodvandigt att justera andra systemegenskaper sasom agare av filer och kataloger, ar det lampligt att planera i forvag och testa konfigurationen av ID-oversattningar noggrant. Oversattningsalgoritm Active Directory tillhandahaller ett objectSID for varje anvandar- och gruppobjekt i katalogen. Detta objectSID kan delas upp i komponenter som representerar Active Directorys domanidentitet och den relativa identifieraren (RID) till anvandar- eller gruppobjektet. SSSD ID-oversattningsalgoritmen tar ett intervall av tillgangliga AID:er och delar upp det i lika stora komponentavsnitt - kallade "skivor" ("slices") -. Varje skiva representerar utrymmet som ar tillgangligt for en Active Directory-doman. Nar en anvandar- eller gruppost for en viss doman patraffas for forsta gangen allokerar SSSD en av de tillgangliga skivorna for den domanen. For att gora denna skivtilldelning upprepbar pa olika klientmaskiner valjer vi skivan baserat pa foljande algoritm: SID-strangen skickas genom algoritmen murmurhash3 for att konvertera den till ett 32-bitars hash-varde. Vi tar sedan modulo pa detta varde med det totala antalet tillgangliga skivor och valjer den skivan. OBSERVERA: Det ar mojligt att traffa pa kollisioner i hash:en och den pafoljande moduloberakningen. I dessa situationer kommer vi valja nasta tillgangliga skiva, men det ar kanske inte mojligt att reproducera exakt samma uppsattning av skivor pa andra maskiner (eftersom ordningen som de patraffas kommer avgora deras skiva). I den har situationen rekommenderas det att antingen byta till att anvanda explicita POSIX-attribut i Active Directory (avaktivera ID-mappningen) eller konfigurera en standarddoman for att garantera att atminstone en alltid ar konsistent. Se "Konfiguration" for detaljer. Konfiguration Minimikonfiguration (i avsnittet "[domain/DOMANNAMN]"): ldap_id_mapping = True ldap_schema = ad Standardkonfigurationen resulterar i konfiguration av 10 000 skivor, som var och en kan innehalla upp till 200 000 ID:n, med borjan pa 200 000 och upp till 2 000 200 000. Detta bor vara tillrackligt for de flesta installationer. Avancerad konfiguration ldap_idmap_range_min (heltal) Anger den lagre (inklusiva) gransen for intervallet av POSIX ID:n att anvanda for oversattning av anvandar- och grupp-SID:n fran Active Directory. Det ar det forsta POSIX-ID:t som kan anvandas for oversattning. OBSERVERA: Detta alternativ ar inte detsamma som "min_id" eftersom "min_id" fungerar som ett filter av utmatade begaranden till denna doman, medan detta alternativ styr intervallet av ID-tilldelningen. Detta ar en subtil distinktion, men det allmanna goda radet skulle vara att ha "min_id" mindre an eller lika med "ldap_idmap_range_min" Standard: 200000 ldap_idmap_range_max (heltal) Anger den ovre (exklusiva) gransen for intervallet av POSIX ID:n att anvanda for oversattning av anvandar- och grupp-SID:n fran Active Directory. Det ar det forsta POSIX-ID:t som inte kan anvandas for oversattning langre, d.v.s. ett mer an det sista som kan anvandas for oversattningen. OBSERVERA: Detta alternativ ar inte detsamma som "max_id" eftersom "max_id" fungerar som ett filter av utmatade begaranden till denna doman, medan detta alternativ styr intervallet av ID-tilldelningen. Detta ar en subtil distinktion, men det allmanna goda radet skulle vara att ha "max_id" storre an eller lika med "ldap_idmap_range_max" Standard: 2000200000 ldap_idmap_range_size (heltal) Anger antalet ID:n som ar tillgangliga for varje skiva. Om storleken pa intervallet inte delas jamnt mellan min- och maxvardena kommer den skapa sa manga fullstandiga skivor den kan. OBSERVERA: Vardet pa detta alternativ maste vara atminstone sa stort som den hogsta RID som planeras anvandas i Active Directory-servern. Anvandaruppslagningar och inloggningar kommer misslyckas for eventuella anvandare vars RID ar storre an detta varde. Till exempel, om den senaste tillagda Active Directory-anvandaren har objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, maste "ldap_idmap_range_size" vara atminstone 1108 eftersom intervallstorleken ar lika med maximal SID minus minimal SID plus ett (t.ex. 1108 = 1107 - 0 + 1). Det ar viktigt att planera i forvag for framtida expansioner, eftersom andring av detta varde skulle resultera i att andra alla ID-oversattningar pa systemet, vilket skulle leda till anvandare med andra lokala ID:n an de tidigare hade. Standard: 200000 ldap_idmap_default_domain_sid (strang) Ange doman-SID:n for standarddomanen. Detta kommer garantera att denna doman alltid kommer tilldelas till skiva noll i ID-oversattningen, och undviker murmurhash-algoritmen som beskrivs ovan. Standard: inte satt ldap_idmap_default_domain (strang) Ange namnet pa standarddomanen. Standard: inte satt ldap_idmap_autorid_compat (boolean) Andrar beteendet pa ID-oversattningsalgoritmen till att bete sig mer likt winbind:s "idmap_autorid"-algoritm. When this option is configured, domains will be allocated starting with slice zero and increasing monotonically with each additional domain. OBSERVERA: Denna algoritm ar inte deterministisk (den beror pa ordningen som anvandare och grupper efterfragas). Om detta lage kravs for kompatibilitet med maskiner som kor winbind rekommenderas det att aven anvanda alternativet "ldap_idmap_default_domain_sid" for att garantera att atminstone en doman ar konsekvent allokerat till skiva noll. Standard: False ldap_idmap_helper_table_size (heltal) Maximalt antal sekundara skivor som provas nar mappningen fran UNIX id till SID utfors. Observera: ytterligare sekundara skivor kan genereras nar en SID oversatts till UNIX-id och RID-delen av SID:n ar utanfor intervallet for sekundara skivor som genererats hittills. Om vardet pa ldap_idmap_helper_table_size ar lika med 0 genereras inga ytterligare sekundara skivor. Standard: 10 Valkanda SID:er SSSD stodjer uppslagning av namnen pa valkanda SID:er, d.v.s. SID:er med en speciell hardkodad betydelse. Eftersom de allmanna anvandarna och grupperna relaterade till dessa valkanda SID:er inte har nagon motsvarighet i en Linux-/UNIX-miljo ar inga POSIX-ID:n tillgangliga for dessa objekt. SID-namnrymden ar organiserad i auktoriteter som kan ses som olika domaner. Auktoriteterna for valkanda SID:er ar o Null-auktoritet o Varldsauktoritet o Lokal auktoritet o Skaparauktoritet o Tvingande etikettsauktoritet o Autentiseringsauktoritet o NT-auktoritet o Inbyggd Den versala versionen av dessa namn anvands som domannamn nar det fullstandigt kvalificerade namnet pa en valkand SID returneras. Eftersom nagra verktyg tillater att man andrar SID-baserad atkomststyrningsinformation med hjalp av ett namn istallet for att anvanda SID:en direkt stodjer SSSD uppslagning av SID:en med detta namn ocksa. For att undvika kollisioner kan bara de fullstandigt kvalificerade namnen anvandas for att sla upp valkanda SID:er. Som ett resultat skall domannamnen "NULL AUTHORITY", "WORLD AUTHORITY", "LOCAL AUTHORITY", "CREATOR AUTHORITY", "MANDATORY LABEL AUTHORITY", "AUTHENTICATION AUTHORITY", "NT AUTHORITY" och "BUILTIN" inte anvandas som domannamn i sssd.conf. EXEMPEL Foljande exempel antar att SSSD ar korrekt konfigurerat och att LDAP ar satt till en av domanerna i avsnittet [domains]. [domain/LDAP] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.mindoman.se ldap_search_base = dc=mindoman,dc=se ldap_tls_reqcert = demand cache_credentials = true LDAP-ATKOMSTFILTEREXEMPEL Foljande exempel antar att SSSD ar korrekt konfigurerat och att ldap_access_order=lockout anvands. [domain/LDAP] id_provider = ldap auth_provider = ldap access_provider = ldap ldap_access_order = lockout ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mindoman,dc=se ldap_uri = ldap://ldap.mindoman.se ldap_search_base = dc=mindoman,dc=se ldap_tls_reqcert = demand cache_credentials = true NOTER Beskrivningarna av en del konfigurationsalternativ i denna manualsida ar baserade pa manualsidan ldap.conf(5) fran distributionen OpenLDAP 2.4. SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSSD-LDAP(5)