'\" t
.\"     Title: sssd.conf
.\"    Author: Восходящий источник (\(Foапстрим\(Fc) SSSD \(em https://github.com/SSSD/sssd/
.\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
.\"      Date: 05/17/2024
.\"    Manual: Форматы файлов и рекомендации
.\"    Source: SSSD
.\"  Language: English
.\"
.TH "SSSD\&.CONF" "5" "05/17/2024" "SSSD" "Форматы файлов и рекомендации"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
sssd.conf \- файл конфигурации SSSD
.SH "ФОРМАТ ФАЙЛА"
.PP
В файле используются синтаксические конструкции в стиле ini, он состоит из разделов и параметров\&. Раздел начинается с имени раздела в квадратных скобках и продолжается до начала нового раздела\&. Пример раздела с параметрами, которые имеют одно или несколько значений:
.sp
.if n \{\
.RS 4
.\}
.nf
\fI[section]\fR
\fIkey\fR = \fIvalue\fR
\fIkey2\fR = \fIvalue2,value3\fR
            
.fi
.if n \{\
.RE
.\}
.PP
Используемые типы данных: строка (кавычки не требуются), целое число и логическое значение (возможны два значения:
\(lqTRUE\(rq
или
\(lqFALSE\(rq)\&.
.PP
Строка комментария начинается со знака \(Foрешётка\(Fc (\(lq#\(rq) или точки с запятой (\(lq;\(rq)\&. Поддержка встроенных комментариев не предусмотрена\&.
.PP
Для всех разделов предусмотрен необязательный параметр
\fIdescription\fR\&. Он предназначен только для обозначения раздела\&.
.PP
sssd\&.conf
должен быть обычным файлом, владельцем которого является пользователь root\&. Права на чтение этого файла или запись в него должен иметь только пользователь root\&.
.SH "ФРАГМЕНТЫ КОНФИГУРАЦИИ ИЗ КАТАЛОГА ВКЛЮЧЕНИЯ"
.PP
В файл конфигурации
sssd\&.conf
будут включены фрагменты конфигурации из каталога
conf\&.d\&. Эта возможность доступна, если сборка SSSD была выполнена с библиотекой libini версии 1\&.3\&.0 или более поздней\&.
.PP
Любой находящийся в каталоге
conf\&.d
файл, имя которого заканчивается расширением
\(lq\&.conf\(rq
и не начинается с точки (\(lq\&.\(rq), будет использоваться для настройки SSSD вместе с файлом
sssd\&.conf\&.
.PP
Фрагменты конфигурации из каталога
conf\&.d
имеют более высокий приоритет, чем файл
sssd\&.conf\&. В случае возникновения конфликтов они переопределят параметры, заданные в файле
sssd\&.conf\&. Если в каталоге
conf\&.d
присутствуют несколько фрагментов, их включение выполняется в алфавитном порядке (на основе локали)\&. Чем позже включён файл, тем выше его приоритет\&. Числовые префиксы (01_snippet\&.conf,
02_snippet\&.conf
и так далее) могут помочь визуализировать приоритет (чем больше число, тем выше приоритет)\&.
.PP
Файлы фрагментов должны иметь того же владельца и те же права доступа, что и файл
sssd\&.conf\&. По умолчанию: root:root и 0600\&.
.SH "ОБЩИЕ ПАРАМЕТРЫ"
.PP
Следующие параметры используются в нескольких разделах конфигурации\&.
.SS "Параметры, используемые во всех разделах"
.PP
.PP
debug_level (целое число)
.RS 4
В SSSD предусмотрены два представления для указания уровня отладки\&. Более простое представление позволяет указать десятичное значение в диапазоне от 0 до 9, которое будет включать соответствующий уровень и все более низкие уровни сообщений отладки\&. Более сложное представление позволяет указать шестнадцатеричную битовую маску для включения или отключения (подавления) отдельных уровней\&.
.sp
Обратите внимание, что каждая служба SSSD ведёт журнал в своём собственном файле\&. Также следует учитывать, что включение параметра
\(lqdebug_level\(rq
в разделе
\(lq[sssd]\(rq
включает отладку только для самого процесса sssd, а не для процессов ответчика или поставщика данных\&. Параметр
\(lqdebug_level\(rq
следует добавить во все разделы, для которых требуется создать журналы отладки\&.
.sp
Уровень отладки можно изменить не только с помощью параметра
\(lqdebug_level\(rq
в файле конфигурации (этот параметр является постоянным, но требует перезапуска SSSD), но и \(Foна лету\(Fc, с помощью инструмента
\fBsss_debuglevel\fR(8)\&.
.sp
В настоящее время поддерживаются следующие уровни отладки:
.sp
\fI0\fR,
\fI0x0010\fR: фатальные ошибки\&. Всё, что не позволяет выполнить запуск SSSD или вызывает прекращение работы сервиса\&.
.sp
\fI1\fR,
\fI0x0020\fR: критические ошибки\&. Ошибка, которая не прекращает работу SSSD, но означает, что как минимум одна важная функциональная возможность не будет работать надлежащим образом\&.
.sp
\fI2\fR,
\fI0x0040\fR: серьёзные ошибки\&. Ошибка, которая сообщает о завершении неудачей определённого запроса или действия\&.
.sp
\fI3\fR,
\fI0x0080\fR: незначительные ошибки\&. Это ошибки, которые могут стать причиной ошибок 2\-го уровня (ошибок при выполнении действий)\&.
.sp
\fI4\fR,
\fI0x0100\fR: параметры конфигурации\&.
.sp
\fI5\fR,
\fI0x0200\fR: данные функций\&.
.sp
\fI6\fR,
\fI0x0400\fR: сообщения трассировки для функций действий\&.
.sp
\fI7\fR,
\fI0x1000\fR: сообщения трассировки для функций внутреннего управления\&.
.sp
\fI8\fR,
\fI0x2000\fR: содержимое внутренних переменных функций, которое может представлять интерес\&.
.sp
\fI9\fR,
\fI0x4000\fR: информация трассировки крайне низкого уровня\&.
.sp
\fI9\fR,
\fI0x20000\fR: быстродействие и статистические данные\&. Пожалуйста, обратите внимание, что из\-за способа обработки запросов на внутреннем уровне, записанное в журнал время выполнения запроса может быть больше, чем оно было на самом деле\&.
.sp
\fI10\fR,
\fI0x10000\fR: информация трассировки libldb ещё более низкого уровня\&. Практически никогда не требуется\&.
.sp
Чтобы выполнять ведение журнала для необходимых уровней отладки, указанных в представлении битовых масок, просто сложите их номера, как показано в следующих примерах:
.sp
\fIПример\fR: используйте 0x0270, чтобы вести журнал данных фатальных ошибок, критических ошибок, серьёзных ошибок и данных функций\&.
.sp
\fIПример\fR: используйте 0x1310, чтобы вести журнал данных фатальных ошибок, параметров конфигурации, данных функций, сообщений трассировки для функций внутреннего управления\&.
.sp
\fIПримечание\fR: формат битовых масок уровней отладки был введён в версии 1\&.7\&.0\&.
.sp
\fIПо умолчанию\fR: 0x0070 (то есть фатальные, критические и серьёзные ошибки; соответствует указанию значения \(Fo2\(Fc в десятичной записи)
.RE
.PP
debug (целое число)
.RS 4
В SSSD 1\&.14 и более поздних версиях для параметра
\fIdebug_level\fR
из соображений удобства предусмотрен псевдоним
\fIdebug\fR\&. Если указаны оба параметра, будет использовано значение
\fIdebug_level\fR\&.
.RE
.PP
debug_timestamps (логическое значение)
.RS 4
Добавить к сообщениям отладки отметку времени\&. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться\&.
.sp
По умолчанию: true
.RE
.PP
debug_microseconds (логическое значение)
.RS 4
Добавить микросекунды в отметку времени в сообщениях отладки\&. Если для ведения журнала отладки SSSD включена служба journald, этот параметр будет игнорироваться\&.
.sp
По умолчанию: false
.RE
.PP
debug_backtrace_enabled (логическое значение)
.RS 4
Включить обратную трассировку отладки\&.
.sp
Если SSSD работает со значением debug_level, которое меньше 9, весь журнал работы записывается в кольцевой буфер в памяти и сбрасывается в файл журнала при возникновении любой ошибки до уровня `min(0x0040, debug_level)` включительно (если для параметра debug_level явно указано значение 0 или 1, только ошибки соответствующих уровней вызовут обратную трассировку; в ином случае \(em до 2)\&.
.sp
Возможность поддерживается только для `logger == files` (параметр не влияет на другие типы журнала)\&.
.sp
По умолчанию: true
.RE
.SS "Параметры, используемые в разделах SERVICE и DOMAIN"
.PP
.PP
timeout (целое число)
.RS 4
Тайм\-аут в секундах между пакетами пульса этой службы\&. Используется, чтобы убедиться в том, что процесс работает и может отвечать на запросы\&. Обратите внимание: после трёх пропущенных пакетов пульса процесс самостоятельно завершит свою работу\&.
.sp
По умолчанию: 10
.RE
.SH "ОСОБЫЕ РАЗДЕЛЫ"
.SS "Раздел [sssd]"
.PP
Отдельные функциональные возможности SSSD обеспечиваются специальными службами SSSD, которые запускаются и останавливаются вместе с SSSD\&. Эти службы находятся под управлением специальной службы, которую часто называют
\(lqмонитором\(rq\&. Настройка монитора и некоторых других важных параметров (например, доменов идентификации) выполняется в разделе
\(lq[sssd]\(rq\&.
.PP
\fBПараметры раздела\fR
.PP
config_file_version (целое число)
.RS 4
Обозначает версию синтаксических конструкций файла конфигурации\&. Для SSSD 0\&.6\&.0 и более поздних версий используется версия 2\&.
.RE
.PP
services
.RS 4
Разделённый запятыми список служб, которые запускаются вместе с sssd\&.
Список служб является необязательным на платформах, которые поддерживают systemd, так как эти службы при необходимости будут активированы с помощью сокета или D\-Bus\&.
.sp
Поддерживаемые службы: nss, pam
, sudo
, autofs
, ssh
, pac
, ifp
.sp
По умолчанию все службы отключены\&. Администратор должен включить разрешённые для использования службы с помощью следующей команды: \(Fosystemctl enable sssd\-@service@\&.socket\(Fc\&.
.RE
.PP
reconnection_retries (целое число)
.RS 4
Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных
.sp
По умолчанию: 3
.RE
.PP
domains
.RS 4
Домен \(em это база данных, содержащая сведения о пользователях\&. SSSD поддерживает использование сразу нескольких доменов, но необходимо настроить как минимум один \(em иначе запуск SSSD не будет выполнен\&. С помощью этого параметра можно указать список доменов в том порядке, в котором к ним следует отправлять запросы\&. Рекомендуется использовать в именах доменов только буквенно\-цифровые символы ASCII, дефисы, точки и знаки подчёркивания\&. Символ \(Fo/\(Fc использовать нельзя\&.
.RE
.PP
re_expression (строка)
.RS 4
Регулярное выражение по умолчанию, которое задаёт способ обработки строки, содержащей имя пользователя и домен, для выделения этих частей\&.
.sp
Для каждого домена можно настроить отдельное регулярное выражение\&. Для некоторых поставщиков ID также предусмотрены регулярные выражения по умолчанию\&. Более подробные сведения об этих регулярных выражениях доступны в разделе справки \(FoРАЗДЕЛЫ ДОМЕНА\(Fc\&.
.RE
.PP
full_name_format (строка)
.RS 4
Совместимый с
\fBprintf\fR(3)
формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена\&.
.sp
Поддерживаются следующие расширения:
.PP
%1$s
.RS 4
имя пользователя
.RE
.PP
%2$s
.RS 4
имя домена, указанное в файле конфигурации SSSD\&.
.RE
.PP
%3$s
.RS 4
плоское имя домена\&. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA\&.
.RE
.sp
Для каждого домена можно настроить отдельную строку формата\&. Более подробные сведения об этом параметре доступны в разделе справки \(FoРАЗДЕЛЫ ДОМЕНОВ\(Fc\&.
.RE
.PP
monitor_resolv_conf (логическое значение)
.RS 4
Управляет тем, следует ли SSSD отслеживать состояние resolv\&.conf для определения момента, когда требуется обновить данные встроенного сопоставителя DNS\&.
.sp
По умолчанию: true
.RE
.PP
try_inotify (логическое значение)
.RS 4
По умолчанию SSSD будет пытаться использовать inotify для отслеживания изменений файлов конфигурации\&. Если невозможно использовать inotify, вместо этого снова будет выполняться опрос каждые пять секунд\&.
.sp
В некоторых редких ситуациях не следует даже пытаться использовать inotify\&. В таких случаях в этот параметр следует установить значение \(Fofalse\(Fc
.sp
По умолчанию: true на платформах, которые поддерживают inotify\&. False на других платформах\&.
.sp
Примечание: этот параметр ни на что не влияет на тех платформах, где недоступна подсистема inotify\&. На этих платформах всегда будет использоваться опрос\&.
.RE
.PP
krb5_rcache_dir (строка)
.RS 4
Каталог файловой системы, в котором SSSD следует сохранять файлы кэша повтора Kerberos\&.
.sp
Этот параметр принимает специальное значение __LIBKRB5_DEFAULTS__, которое указывает SSSD разрешить libkrb5 выбрать подходящее расположение кэша повтора\&.
.sp
По умолчанию: зависит от дистрибутива и указывается при сборке\&. (__LIBKRB5_DEFAULTS__, если не настроено)
.RE
.PP
default_domain_suffix (строка)
.RS 4
Эта строка будет использоваться как стандартное имя домена для всех имён без компонента имени домена\&. В основном, этот параметр применяется в средах, где основной домен предназначен для управления политиками узлов и все пользователи находятся в доверенном домене\&. Параметр позволяет этим пользователям входить в систему, предоставляя только своё имя пользователя и не указывая имя домена\&.
.sp
Please note that if this option is set all users from the primary domain have to use their fully qualified name, e\&.g\&. user@domain\&.name, to log in\&. Setting this option changes default of use_fully_qualified_names to True\&. It is not allowed to use this option together with use_fully_qualified_names set to False\&.
One exception from this rule are domains with \(lqid_provider=files\(rq that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used\&.
.sp
По умолчанию: не задано
.RE
.PP
override_space (строка)
.RS 4
С помощью этого параметра пробелы (клавиша \(Foпробел\(Fc) в именах пользователей и групп можно заменить указанным символом, например \(Fo_\(Fc\&. Имя пользователя "john doe" превратится в "john_doe"\&. Эта возможность была добавлена для обеспечения совместимости со сценариями оболочки, у которых возникают проблемы при обработке пробелов из\-за того, что в оболочке пробел является стандартным разделителем полей\&.
.sp
Обратите внимание, что использование заменяющего символа, который может использоваться в именах пользователей или групп, является ошибкой конфигурации\&. Если имя содержит заменяющий символ, SSSD выполнит попытку вернуть неизменённое имя, но в целом результат поиска будет не определён\&.
.sp
По умолчанию: не задано (пробелы не будут заменены)
.RE
.PP
certificate_verification (строка)
.RS 4
При установке этого параметра проверку сертификатов можно настроить с помощью разделённого запятыми списка параметров\&. Поддерживаемые параметры:
.PP
no_ocsp
.RS 4
Отключает проверки OCSP\&. Это может потребоваться, если указанные в сертификате серверы OCSP недоступны со стороны клиента\&.
.RE
.PP
soft_ocsp
.RS 4
Если соединение с ответчиком OCSP невозможно установить, проверка OCSP будет пропущена\&. Этот параметр следует использовать для того, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя связаться с ответчиком OCSP\&.
.RE
.PP
ocsp_dgst
.RS 4
Функция вычисления контрольной суммы (хэша), используемая для создания ID сертификата для запроса OCSP\&. Допустимые значения:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sha1
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sha256
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sha384
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sha512
.RE
.sp
По умолчанию: sha1 (для обеспечения совместимости с ответчиком, соответствующим стандарту RFC5019)
.RE
.PP
no_verification
.RS 4
Полностью отключает проверку\&. Этот параметр следует использовать только для тестирования\&.
.RE
.PP
partial_chain
.RS 4
Разрешить признать проверку успешной даже в том случае, если не удаётся построить
\fIполную\fR
цепочку до самоподписанного якоря доверия, при условии, что возможно построить цепочку до доверенного сертификата, который может быть не самоподписанным\&.
.RE
.PP
ocsp_default_responder=URL
.RS 4
Задаёт стандартный ответчик OCSP, который следует использовать вместо ответчика, указанного в сертификате\&. URL необходимо заменить URL\-адресом стандартного ответчика OCSP, например: http://example\&.com:80/ocsp\&.
.RE
.PP
ocsp_default_responder_signing_cert=NAME
.RS 4
В настоящее время этот параметр игнорируется\&. Все необходимые сертификаты должны быть доступны в файле PEM, указанном параметром pam_cert_db_path\&.
.RE
.PP
crl_file=/ПУТЬ/К/ФАЙЛУ/CRL
.RS 4
Использовать список отзыва сертификатов (CRL) из указанного файла при проверке этого сертификата\&. CRL должен быть указан в формате PEM\&. Подробнее:
\fBcrl\fR(1ssl)\&.
.RE
.PP
soft_crl
.RS 4
Если срок действия списка отзыва сертификатов (CRL) истёк, игнорировать проверки CRL для соответствующих сертификатов\&. Этот параметр следует использовать, чтобы разрешить проверку подлинности, когда система находится в автономном режиме и нельзя обновить CRL\&.
.RE
.sp
Неизвестные параметры передаются, но игнорируются\&.
.sp
По умолчанию: не задано, то есть не ограничивать проверку сертификатов
.RE
.PP
disable_netlink (логическое значение)
.RS 4
SSSD подключается к интерфейсу netlink для отслеживания изменений в маршрутах,адресах, ссылках и вызова определённых действий\&.
.sp
Изменения состояния SSSD, вызванные событиями netlink, могут быть нежелательными\&. Чтобы их отключить, установите этот параметр в значение \(Fotrue\(Fc
.sp
По умолчанию: false (изменения netlink обнаруживаются)
.RE
.PP
enable_files_domain (логическое значение)
.RS 4
Когда этот параметр включён, SSSD добавляет перед всеми явно настроенными доменами неявный домен с\(lqid_provider=files\(rq\&.
.sp
По умолчанию: false
.RE
.PP
domain_resolution_order
.RS 4
Разделённый запятыми список доменов и поддоменов, который указывает порядок поиска\&. В список не требуется включать все возможные домены, так как поиск отсутствующих доменов будет выполняться на основе порядка, в котором они представлены в параметре конфигурации
\(lqdomains\(rq\&. Поиск поддоменов, которые не указаны в параметре
\(lqlookup_order\(rq, будет выполняться в случайном порядке для каждого родительского домена\&.
.sp
Please, note that when this option is set the output format of all commands is always fully\-qualified even when using short names for input
, for all users but the ones managed by the files provider\&. In case the administrator wants the output not fully\-qualified, the full_name_format option can be used as shown below:
\(lqfull_name_format=%1$s\(rq
However, keep in mind that during login, login applications often canonicalize the username by calling
\fBgetpwnam\fR(3)
which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re\-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains\&.
.sp
По умолчанию: не задано
.RE
.PP
implicit_pac_responder (логическое значение)
.RS 4
Ответчик PAC включается автоматически для поставщиков IPA и AD для оценки и проверки PAC\&. Если его необходимо отключить, установите для этого параметра значение \(Fofalse\(Fc\&.
.sp
По умолчанию: true
.RE
.PP
core_dumpable (логическое значение)
.RS 4
Этот параметр можно использовать для общей защиты системы: установка значения \(Fofalse\(Fc запрещает создание дампов памяти для всех процессов SSSD, чтобы избежать утечки паролей в открытом виде\&. Дополнительные сведения доступны на справочной странице prctl:PR_SET_DUMPABLE\&.
.sp
По умолчанию: true
.RE
.SH "РАЗДЕЛЫ СЛУЖБ"
.PP
В этом разделе приводится описание параметров, которые можно использовать для настройки различных служб\&. Они должны находится в разделах с именами [\fI$NAME\fR]\&. Например, для службы NSS это будет раздел
\(lq[nss]\(rq
.SS "Общие параметры настройки служб"
.PP
Эти параметры можно использовать для настройки любых служб\&.
.PP
reconnection_retries (целое число)
.RS 4
Количество попыток восстановления подключения службами в случае сбоя или перезапуска поставщика данных
.sp
По умолчанию: 3
.RE
.PP
fd_limit
.RS 4
Этот параметр задаёт максимальное количество файловых дескрипторов, которые может одновременно открыть этот процесс SSSD\&. В системах, где у SSSD имеется возможность CAP_SYS_RESOURCE, этот параметр будет использоваться независимо от других параметров системы\&. В системах без такой возможности количество дескрипторов будет определяться наименьшим значением этого параметра или ограничением \(Fohard\(Fc в limits\&.conf\&.
.sp
По умолчанию: 8192 (или ограничение \(Fohard\(Fc в limits\&.conf)
.RE
.PP
client_idle_timeout
.RS 4
Этот параметр задаёт количество секунд, в течение которого клиент процесса SSSD может удерживать файловый дескриптор без передачи данных\&. Это значение ограничено в целях предотвращения исчерпания ресурсов системы\&. Оно не может быть меньше 10 секунд\&. Если указано меньшее значение, оно будет исправлено на 10 секунд\&.
.sp
По умолчанию: 60, KCM: 300
.RE
.PP
offline_timeout (целое число)
.RS 4
Когда SSSD переключается в автономный режим, количество времени до выполнения попытки вернуться в сеть будет увеличиваться в соответствии со временем, проведённым без подключения\&. По умолчанию SSSD использует приращение для расчёта задержки между повторными попытками\&. Поэтому время ожидания для конкретной попытки будет больше, чем для предыдущих\&. После каждой неудачной попытки вернуться в сеть интервал будет пересчитываться по следующей формуле:
.sp
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0\&.\&.\&.offline_timeout_random_offset]
.sp
Стандартное значение offline_timeout составляет 60\&. Стандартное значение offline_timeout_max \(em 3600\&. Стандартное значение offline_timeout_random_offset \(em 30\&. Конечный результат представляет собой количество секунд до следующей попытки\&.
.sp
Обратите внимание, что максимальная длительность каждого интервала задана параметром offline_timeout_max (кроме случайной части)\&.
.sp
По умолчанию: 60
.RE
.PP
offline_timeout_max (целое число)
.RS 4
Управляет тем, насколько можно увеличить время между попытками вернуться в сеть после неудачных попыток восстановления подключения\&.
.sp
Значение \(Fo0\(Fc отключает использование приращения\&.
.sp
Значение этого параметра следует устанавливать с учётом значения параметра offline_timeout\&.
.sp
Если параметр offline_timeout установлен в значение \(Fo60\(Fc (значение по умолчанию), нет смысла указывать для параметра offlinet_timeout_max значение меньше 120, поскольку первый же шаг увеличения приведёт к его превышению\&. Общее правило таково: значение offline_timeout_max должно по крайней мере в 4 раза превышать значение offline_timeout\&.
.sp
Несмотря на то, что возможно указать значение от 0 до offline_timeout, результатом этого станет переопределение значения offline_timeout, что не имеет практического смысла\&.
.sp
По умолчанию: 3600
.RE
.PP
offline_timeout_random_offset (целое число)
.RS 4
Когда сервис SSSD находится в автономном режиме, он продолжает обращаться к внутренним серверам через заданные промежутки времени:
.sp
new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0\&.\&.\&.offline_timeout_random_offset]
.sp
Этот параметр управляет значением случайной задержки, которое используется для приведённого выше уравнения\&. Итоговым значением random_offset будет случайное число, принадлежащее диапазону:
.sp
[0 \- offline_timeout_random_offset]
.sp
Значение \(Fo0\(Fc отключает добавление случайной задержки\&.
.sp
По умолчанию: 30
.RE
.PP
responder_idle_timeout
.RS 4
Этот параметр задаёт количество секунд, в течение которого процесс ответчика SSSD может работать без использования\&. Это значение ограничено в целях предотвращения исчерпания ресурсов системы\&. Минимально допустимое значение: 60 секунд\&. Установка этого параметра в значение \(Fo0\(Fc (ноль) означает, что для ответчика не устанавливается тайм\-аут\&. Этот параметр используется только в том случае, если сервис SSSD собран с поддержкой systemd и если службы активируются с помощью сокетов или D\-Bus\&.
.sp
По умолчанию: 300
.RE
.PP
cache_first
.RS 4
Этот параметр определяет, следует ли ответчику опрашивать все кэши перед опросом поставщиков данных\&.
.sp
По умолчанию: false
.RE
.SS "Параметры настройки NSS"
.PP
Эти параметры можно использовать для настройки службы диспетчера службы имён (NSS)\&.
.PP
enum_cache_timeout (целое число)
.RS 4
Длительность хранения перечислений (запросов информации обо всех пользователях) в кэше nss_sss в секундах
.sp
По умолчанию: 120
.RE
.PP
entry_cache_nowait_percentage (целое число)
.RS 4
Можно настроить кэш записей на автоматическое обновление записей в фоновом режиме, если запрос о них поступает в срок, определённый в процентах от значения entry_cache_timeout для домена\&.
.sp
Например, если параметр entry_cache_timeout домена установлен в значение \(Fo30s\(Fc (секунд), а параметр entry_cache_nowait_percentage установлен в значение \(Fo50\(Fc (процентов), записи, которые поступят через 15 секунд после последнего обновления кэша, будут возвращены сразу, но SSSD выполнит обновление кэша, поэтому будущим запросам не потребуется блокировка в ожидании обновления кэша\&.
.sp
Корректные значения этого параметра находятся в диапазоне 0\-99 и представляют собой значение в процентах от entry_cache_timeout для каждого домена\&. Чтобы сохранить производительность, это значение никогда не уменьшает тайм\-аут nowait так, что он становится меньше 10 секунд\&. Установка значения \(Fo0\(Fc отключает эту возможность\&.
.sp
По умолчанию: 50
.RE
.PP
entry_negative_timeout (целое число)
.RS 4
Означает количество секунд, в течение которого в кэше nss_sss будут храниться неудачные обращения к кэшу (запросы некорректных записей базы данных, например, несуществующих) перед повторным запросом к внутреннему серверу\&.
.sp
По умолчанию: 15
.RE
.PP
local_negative_timeout (целое число)
.RS 4
Означает количество секунд, в течение которого в негативном кэше nss_sss будут храниться локальные пользователи и группы перед попыткой повторного поиска на внутреннем сервере\&. Установка значения \(Fo0\(Fc отключает эту возможность\&.
.sp
По умолчанию: 14400 (4 часа)
.RE
.PP
filter_users, filter_groups (строка)
.RS 4
Исключить определённых пользователей или группы из списка получения данных из базы данных NSS sss\&. Эта возможность особенно полезна для системных учётных записей\&. Этот параметр также можно задать для каждого домена отдельно или включить в него полные имена, чтобы выполнить фильтрацию только пользователей из конкретного домена или по именам участников\-пользователей (UPN)\&.
.sp
ПРИМЕЧАНИЕ: параметр filter_groups не влияет на наследование участников вложенных групп, так как фильтрация выполняется после их распространения для возврата с помощью NSS\&. Например, в списке участников группы, вложенная группа которой была отфильтрована, останутся пользователи из этой отфильтрованной вложенной группы\&.
.sp
По умолчанию: root
.RE
.PP
filter_users_in_groups (логическое значение)
.RS 4
Если отфильтрованные пользователи должны оставаться участниками групп, установите этот параметр в значение \(Fofalse\(Fc\&.
.sp
По умолчанию: true
.RE
.PP
override_homedir (строка)
.RS 4
Переопределить домашний каталог пользователя\&. Можно указать либо абсолютное значение, либо шаблон\&. В шаблоне заменяются следующие последовательности:
.PP
%u
.RS 4
имя для входа
.RE
.PP
%U
.RS 4
номер UID
.RE
.PP
%d
.RS 4
имя домена
.RE
.PP
%f
.RS 4
полное имя пользователя (user@domain)
.RE
.PP
%l
.RS 4
Первая буква имени для входа\&.
.RE
.PP
%P
.RS 4
UPN \(em имя участника\-пользователя (name@REALM)
.RE
.PP
%o
.RS 4
Исходный домашний каталог, полученный от поставщика данных идентификации\&.
.RE
.PP
%h
.RS 4
Исходный домашний каталог, полученный от поставщика данных идентификации, но в нижнем регистре\&.
.RE
.PP
%H
.RS 4
Значение параметра конфигурации
\fIhomedir_substring\fR\&.
.RE
.PP
%%
.RS 4
литерал \(Fo%\(Fc
.RE
.sp
Этот параметр также можно задать для каждого домена отдельно\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
override_homedir = /home/%u
        
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)
.sp
Обратите внимание, что домашний каталог из конкретного переопределения для пользователя, локально (см\&.
\fBsss_override\fR(8)) или централизованно управляемых переопределений идентификаторов IPA, обладает более высоким приоритетом и будет использоваться вместо значения, указанного с помощью override_homedir\&.
.RE
.PP
homedir_substring (строка)
.RS 4
Значение этого параметра будет использоваться в расширении параметра
\fIoverride_homedir\fR, если шаблон содержит строку формата
\fI%H\fR\&. Запись каталога LDAP может непосредственно содержать этот шаблон, поэтому этот параметр можно использовать для расширения пути домашнего каталога для каждого клиентского компьютера (или операционной системы)\&. Его можно задать для отдельного домена или глобально в разделе [nss]\&. Значение, указанное в разделе домена, переопределит то значение, которое задано в разделе [nss]\&.
.sp
По умолчанию: /home
.RE
.PP
fallback_homedir (строка)
.RS 4
Установить стандартный шаблон для домашнего каталога пользователя, если он явно не указан поставщиком данных домена\&.
.sp
Допустимые значения этого параметра совпадают с допустимыми значениями параметра override_homedir\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
fallback_homedir = /home/%u
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: не задано (без замен для незаданных домашних каталогов)
.RE
.PP
override_shell (строка)
.RS 4
Переопределить командную оболочку входа для всех пользователей\&. Этот параметр имеет приоритет над любыми другими параметрами оболочки, когда действует\&. Его возможно установить либо в разделе [nss], либо для каждого домена отдельно\&.
.sp
По умолчанию: не задано (SSSD будет использовать значение, полученное от LDAP)
.RE
.PP
allowed_shells (строка)
.RS 4
Ограничить оболочку пользователя одним из указанных в списке значений\&. Порядок вычисления:
.sp
1\&. Если оболочка присутствует в файле
\(lq/etc/shells\(rq, будет использована она\&.
.sp
2\&. Если оболочка присутствует в списке allowed_shells, но не в файле
\(lq/etc/shells\(rq, использовать значение параметра shell_fallback\&.
.sp
3\&. Если оболочка отсутствует в списке allowed_shells и файле
\(lq/etc/shells\(rq, будет использована оболочка, которая не требует входа\&.
.sp
Чтобы разрешить использование любой оболочки, можно использовать подстановочный знак (*)\&.
.sp
Знаком (*) можно воспользоваться, чтобы использовать shell_fallback, когда оболочка пользователя отсутствует в файле
\(lq/etc/shells\(rq, а ведение списка всех разрешённых оболочек в allowed_shells было бы излишним\&.
.sp
Пустая строка оболочки передаётся libc \(Foкак есть\(Fc\&.
.sp
Чтение файла
\(lq/etc/shells\(rq
выполняется только при запуске SSSD\&. Следовательно, в случае установки новой оболочки потребуется перезапуск SSSD\&.
.sp
По умолчанию: не задано\&. Автоматически используется оболочка пользователя\&.
.RE
.PP
vetoed_shells (строка)
.RS 4
Заменять все экземпляры этих оболочек на shell_fallback
.RE
.PP
shell_fallback (строка)
.RS 4
Оболочка по умолчанию, которую следует использовать, если разрешённая оболочка не установлена на компьютере\&.
.sp
По умолчанию: /bin/sh
.RE
.PP
default_shell
.RS 4
Оболочка по умолчанию, которую следует использовать, если поставщик не вернул оболочку при поиске\&. Этот параметр можно указать как глобальный в разделе [nss] или для каждого домена отдельно\&.
.sp
По умолчанию: не задано (вернуть NULL, если оболочка не указана, и положиться на libc в плане подстановки подходящего варианта, обычно /bin/sh)
.RE
.PP
get_domains_timeout (целое число)
.RS 4
Указывает время в секундах, в течение которого список поддоменов считается действительным\&.
.sp
По умолчанию: 60
.RE
.PP
memcache_timeout (целое число)
.RS 4
Указывает время в секундах, в течение которого записи кэша в памяти будут оставаться действительными\&. Установка этого параметра в значение \(Fo0\(Fc отключит кэш в памяти\&.
.sp
По умолчанию: 300
.sp
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти окажет значительное негативное воздействие на производительность SSSD\&. Этот параметр следует использовать только для тестирования\&.
.sp
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение \(FoNO\(Fc, клиентские приложения не будут использовать быстрый кэш в памяти\&.
.RE
.PP
memcache_size_passwd (целое число)
.RS 4
Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов passwd\&. Установка размера в значение \(Fo0\(Fc отключит кэш в памяти для запросов passwd\&.
.sp
По умолчанию: 8
.sp
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD\&.
.sp
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение \(FoNO\(Fc, клиентские приложения не будут использовать быстрый кэш в памяти\&.
.RE
.PP
memcache_size_group (целое число)
.RS 4
Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов group\&. Установка размера в значение \(Fo0\(Fc отключит кэш в памяти для запросов group\&.
.sp
По умолчанию: 6
.sp
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD\&.
.sp
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение \(FoNO\(Fc, клиентские приложения не будут использовать быстрый кэш в памяти\&.
.RE
.PP
memcache_size_initgroups (целое число)
.RS 4
Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для запросов групп инициализации\&. Установка размера в значение \(Fo0\(Fc отключит кэш в памяти для запросов групп инициализации\&.
.sp
По умолчанию: 10
.sp
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD\&.
.sp
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение \(FoNO\(Fc, клиентские приложения не будут использовать быстрый кэш в памяти\&.
.RE
.PP
memcache_size_sid (целое число)
.RS 4
Размер (в мегабайтах) таблицы данных, которая размещена в быстром кэше в памяти для связанных с SID запросов\&. В настоящее время кэширование в быстрой памяти предусмотрено только для запросов SID\-по\-ID и ID\-по\-SID\&. Установка размера в значение \(Fo0\(Fc отключит кэш SID в памяти\&.
.sp
По умолчанию: 6
.sp
ПРЕДУПРЕЖДЕНИЕ: отключение кэша в памяти или его слишком малый размер окажет значительное негативное воздействие на производительность SSSD\&.
.sp
ПРИМЕЧАНИЕ: если переменная среды SSS_NSS_USE_MEMCACHE установлена в значение \(FoNO\(Fc, клиентские приложения не будут использовать быстрый кэш в памяти\&.
.RE
.PP
user_attributes (строка)
.RS 4
Некоторые из дополнительных запросов ответчика NSS могут возвращать больше атрибутов, чем просто атрибуты POSIX, определённые интерфейсом NSS\&. Этот параметр управляет списком атрибутов\&. Обработка выполняется тем же способом, что и для параметра
\(lquser_attributes\(rq
ответчика InfoPipe (см\&.
\fBsssd-ifp\fR(5)), но без стандартных значений\&.
.sp
Для упрощения настройки ответчик NSS проверит параметр InfoPipe на то, задан ли он для ответчика NSS\&.
.sp
По умолчанию: не задано, использовать параметр InfoPipe
.RE
.PP
pwfield (строка)
.RS 4
Значение, которое операции NSS, возвращающие пользователей или группы, вернут для поля
\(lqpassword\(rq\&.
.sp
По умолчанию:
\(lq*\(rq
.sp
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [nss]\&.
.sp
Default:
\(lqnot set\(rq
(remote domains),
\(lqx\(rq (the files domain),
\(lqx\(rq
(proxy domain with nss_files and sssd\-shadowutils target)
.RE
.SS "Параметры настройки PAM"
.PP
Эти параметры можно использовать для настройки службы подключаемых модулей проверки подлинности (PAM)\&.
.PP
offline_credentials_expiration (целое число)
.RS 4
Определяет как долго следует разрешать вход по кэшированным данным, если поставщик данных для аутентификации находится в автономном режиме (в днях с момента последнего успешного входа)\&.
.sp
По умолчанию: 0 (без ограничений)
.RE
.PP
offline_failed_login_attempts (целое число)
.RS 4
Если поставщик данных для проверки подлинности находится в автономном режиме, сколько следует допускать неудачных попыток входа\&.
.sp
По умолчанию: 0 (без ограничений)
.RE
.PP
offline_failed_login_delay (целое число)
.RS 4
Время в минутах, которое должно пройти после достижения значения offline_failed_login_attempts, прежде чем станет возможной новая попытка входа\&.
.sp
Если задано значение \(Fo0\(Fc, пользователь не сможет пройти проверку подлинности в автономном режиме после достижения значения offline_failed_login_attempts\&. Для того, чтобы проверка подлинности в автономном режиме снова стала возможной, необходимо успешно пройти проверку подлинности в сетевом режиме\&.
.sp
По умолчанию: 5
.RE
.PP
pam_verbosity (целое число)
.RS 4
Управляет тем, какие сообщения будут показаны пользователю во время проверки подлинности\&. Чем больше число, тем больше сообщений будет показано\&.
.sp
В настоящее время sssd поддерживает следующие значения:
.sp
\fI0\fR: не показывать никаких сообщений
.sp
\fI1\fR: показывать только важные сообщения
.sp
\fI2\fR: показывать информационные сообщения
.sp
\fI3\fR: показывать все сообщения и отладочную информацию
.sp
По умолчанию: 1
.RE
.PP
pam_response_filter (строка)
.RS 4
Разделённый запятыми список строк, который позволяет удалять (фильтровать) данные, отправленные ответчиком PAM модулю PAM pam_sss\&. Ответы, которые отправляются pam_sss, могут быть разного вида (например, сообщения, которые показываются пользователю, или переменные среды, которые должны быть установлены pam_sss)\&.
.sp
Сообщениями можно управлять с помощью параметра pam_verbosity, а этот параметр позволяет отфильтровать также и другие типы ответов\&.
.sp
В настоящее время поддерживаются следующие фильтры:
.PP
ENV
.RS 4
Не отправлять никаким службам никакие переменные среды\&.
.RE
.PP
ENV:var_name
.RS 4
Не отправлять переменную среды var_name никаким службам\&.
.RE
.PP
ENV:var_name:service
.RS 4
Не отправлять переменную среды var_name указанной службе\&.
.RE
.sp
Список строк может представлять собой список фильтров, который установит эти фильтры, перезаписав стандартные значения\&. Либо каждый элемент списка может предваряться символом \(Fo+\(Fc или \(Fo\-\(Fc, что, соответственно, добавит этот фильтр к существующим стандартным фильтрам или удалит его из стандартных фильтров\&. Обратите внимание, что следует либо использовать префикс \(Fo+\(Fc или \(Fo\-\(Fc для всех элементов списка, либо не использовать его вообще\&. Использование префикса только для части элементов списка считается ошибкой\&.
.sp
По умолчанию: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo\-i
.sp
Пример: \-ENV:KRB5CCNAME:sudo\-i удалит фильтр из списка стандартных
.RE
.PP
pam_id_timeout (целое число)
.RS 4
При любом запросе PAM, поступающем во время работы SSSD в сети, SSSD выполняет попытку незамедлительно обновить кэшированные данные идентификации пользователя, чтобы при проверке подлинности использовались самые последние данные\&.
.sp
Полный обмен данными PAM может включать несколько запросов PAM (в частности, для управления учётными записями и открытия сеансов)\&. Этот параметр управляет (для каждого клиента\-приложения отдельно) длительностью (в секундах) кэширования данных идентификации, позволяющего избежать повторных обменов данными с поставщиком данных идентификации\&.
.sp
По умолчанию: 5
.RE
.PP
pam_pwd_expiration_warning (целое число)
.RS 4
Показать предупреждение за N дней до истечения срока действия пароля\&.
.sp
Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля\&. Если она отсутствует, sssd не сможет показать предупреждение\&.
.sp
Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически\&.
.sp
Этот параметр можно переопределить, установив
\fIpwd_expiration_warning\fR
для конкретного домена\&.
.sp
По умолчанию: 0
.RE
.PP
get_domains_timeout (целое число)
.RS 4
Указывает время в секундах, в течение которого список поддоменов считается действительным\&.
.sp
По умолчанию: 60
.RE
.PP
pam_trusted_users (строка)
.RS 4
Разделённый запятыми список значений UID или имён пользователей, которым разрешено выполнять обмен данными PAM с доверенными доменами\&. Пользователям, которые отсутствуют в этом списке, разрешён доступ только к доменам, отмеченным как общедоступные с помощью параметра
\(lqpam_public_domains\(rq\&. Имена пользователей разрешаются в UID при запуске\&.
.sp
По умолчанию: все пользователи считаются доверенными по умолчанию
.sp
Обратите внимание, что UID 0 всегда разрешён доступ к ответчику PAM, даже если этот идентификатор пользователя отсутствует в списке pam_trusted_users\&.
.RE
.PP
pam_public_domains (строка)
.RS 4
Разделённый запятыми список имён доменов, которые доступны даже для недоверенных пользователей\&.
.sp
Для параметра pam_public_domains определены два специальных значения:
.sp
all (недоверенным пользователя разрешён доступ ко всем доменам в ответчике PAM)
.sp
none (недоверенным пользователя запрещён доступ ко всем доменам в ответчике PAM)
.sp
По умолчанию: none
.RE
.PP
pam_account_expired_message (строка)
.RS 4
Позволяет задать пользовательское сообщение об истечении срока действия, которое заменит стандартное сообщение \(FoДоступ запрещён\(Fc\&.
.sp
Примечание: следует учитывать, что для службы SSH сообщение будет показано только при условии, что параметр pam_verbosity установлен в значение \(Fo3\(Fc (показывать все сообщения и отладочную информацию)\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
pam_account_expired_message = Срок действия учётной записи истёк, обратитесь в службу поддержки\&.
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: none
.RE
.PP
pam_account_locked_message (строка)
.RS 4
Позволяет задать пользовательское сообщение о блокировке, которое заменит стандартное сообщение \(FoДоступ запрещён\(Fc\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
pam_account_locked_message = Учётная запись заблокирована, обратитесь в службу поддержки\&.
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: none
.RE
.PP
pam_cert_auth (логическое значение)
.RS 4
Включить проверку подлинности на основе сертификата или смарт\-карты\&. Так как для этого требуется дополнительный обмен данными со смарт\-картой, который задержит процесс проверки подлинности, по умолчанию этот параметр отключён\&.
.sp
По умолчанию: false
.RE
.PP
pam_cert_db_path (строка)
.RS 4
Путь к базе данных сертификатов\&.
.sp
По умолчанию:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
/etc/sssd/pki/sssd_auth_ca_db\&.pem (путь к файлу с доверенными сертификатами CA в формате PEM)
.RE
.sp
.RE
.PP
pam_cert_verification (строка)
.RS 4
Этот параметр позволяет выполнить тонкую настройку проверки сертификатов PAM с помощью разделённого запятыми списка параметров\&. Эти параметры переопределяют значение
\(lqcertificate_verification\(rq
в разделе
\(lq[sssd]\(rq\&. Поддерживаются те же параметры, что и для
\(lqcertificate_verification\(rq\&.
.sp
пример:
.sp
.if n \{\
.RS 4
.\}
.nf
pam_cert_verification = partial_chain
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: не задано, то есть следует использовать стандартный параметр
\(lqcertificate_verification\(rq, указанный в разделе
\(lq[sssd]\(rq\&.
.RE
.PP
p11_child_timeout (целое число)
.RS 4
Разрешённое количество секунд, в течение которого pam_sss ожидает завершения работы p11_child\&.
.sp
По умолчанию: 10
.RE
.PP
pam_app_services (строка)
.RS 4
Указывает, каким службам PAM разрешено устанавливать соединение с доменами типа
\(lqapplication\(rq
.sp
По умолчанию: не задано
.RE
.PP
pam_p11_allowed_services (string)
.RS 4
Разделённый запятыми список имён служб PAM, для которых будет разрешено использовать смарт\-карты\&.
.sp
Можно добавить имя ещё одной службы PAM в стандартный набор с помощью
\(lq+service_name\(rq\&. Также можно явно удалить имя службы PAM из стандартного набора с помощью
\(lq\-service_name\(rq\&. Например, чтобы заменить стандартное имя службы PAM для проверки подлинности с помощью смарт\-карт (например,
\(lqlogin\(rq) на пользовательское имя службы PAM (например,
\(lqmy_pam_service\(rq), необходимо использовать следующую конфигурацию:
.sp
.if n \{\
.RS 4
.\}
.nf
pam_p11_allowed_services = +my_pam_service, \-login
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: стандартный набор имён служб PAM включает:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
login
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
su
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
su\-l
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
gdm\-smartcard
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
gdm\-password
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
kdm
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sudo
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
sudo\-i
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
gnome\-screensaver
.RE
.sp
.RE
.PP
p11_wait_for_card_timeout (целое число)
.RS 4
Когда требуется проверка подлинности по смарт\-карте, этот параметр определяет, в течение какого количества секунд (в дополнение к значению p11_child_timeout) ответчик PAM должен ожидать вставки смарт\-карты\&.
.sp
По умолчанию: 60
.RE
.PP
p11_uri (строка)
.RS 4
URI PKCS#11 (подробное описание доступно в RFC\-7512) для ограничения перечня устройств с проверкой подлинности по смарт\-карте\&. По умолчанию p11_child SSSD выполняет поиск слота PKCS#11 (устройства чтения) с установленным флагом \(Foremovable\(Fc и затем чтение сертификатов со вставленного маркера из первого найденного слота\&. Если подключено несколько устройств чтения, с помощью p11_uri можно указать p11_child использовать конкретное устройство чтения\&.
.sp
Пример:
.sp
.if n \{\
.RS 4
.\}
.nf
p11_uri = pkcs11:slot\-description=My%20Smartcard%20Reader
                            
.fi
.if n \{\
.RE
.\}
.sp
или
.sp
.if n \{\
.RS 4
.\}
.nf
p11_uri = pkcs11:library\-description=OpenSC%20smartcard%20framework;slot\-id=2
                            
.fi
.if n \{\
.RE
.\}
.sp
Чтобы найти подходящий URI, проверьте отладочный вывод p11_child\&. Либо можно использовать утилиту \(Fop11tool\(Fc GnuTLS, например, с параметром \(Fo\-\-list\-all\(Fc: это тоже позволит просмотреть URI PKCS#11\&.
.sp
По умолчанию: none
.RE
.PP
pam_initgroups_scheme
.RS 4
Ответчик PAM может принудительно запустить поиск в сети для получения данных об участии в группах того пользователя, который пытается войти в систему\&. Этот параметр управляет тем, когда это следует делать, и имеет следующие допустимые значения:
.PP
always
.RS 4
Всегда выполнять поиск в сети (обратите внимание, что параметр pam_id_timeout всё равно применяется)
.RE
.PP
no_session
.RS 4
Выполнять поиск в сети только при отсутствии активного сеанса пользователя, то есть тогда, когда пользователь не находится в системе
.RE
.PP
never
.RS 4
Никогда не выполнять поиск в сети принудительно, использовать данные из кэша до тех пор, пока они не устареют
.RE
.sp
По умолчанию: no_session
.RE
.PP
pam_gssapi_services
.RS 4
Разделённый запятыми список служб PAM, которым разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss\&.so\&.
.sp
Чтобы отключить проверку подлинности с помощью GSSAPI, установите этот параметр в значение
\(lq\-\(rq
(дефис)\&.
.sp
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]\&. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена\&.
.sp
Пример:
.sp
.if n \{\
.RS 4
.\}
.nf
pam_gssapi_services = sudo, sudo\-i
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: \- (проверка подлинности с помощью GSSAPI отключена)
.RE
.PP
pam_gssapi_check_upn
.RS 4
Если значение \(FoTrue\(Fc, SSSD будет требоваться наличие привязки участника\-пользователя Kerberos, который успешно прошёл проверку подлинности с помощью GSSAPI, к пользователю, проверка подлинности которого выполняется\&. Если такой привязки нет, проверка подлинности завершится ошибкой\&.
.sp
Если значение \(FoFalse\(Fc, проверка подлинности будет выполняться для всех пользователей, получивших необходимый билет службы\&.
.sp
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]\&. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена\&.
.sp
По умолчанию: true
.RE
.PP
pam_gssapi_indicators_map
.RS 4
Разделённый запятыми список индикаторов проверки подлинности, которые должны присутствовать в билете Kerberos для получения доступа к службе PAM, которой разрешено пытаться выполнить проверку подлинности по GSSAPI с помощью модуля pam_sss_gss\&.so\&.
.sp
Каждый элемент списка может быть либо именем индикатора проверки подлинности, либо парой
\(lqservice:indicator\(rq\&. Индикаторы, которые не предваряются именем службы PAM, будут требоваться для доступа к любой службе PAM, настроенной на использование с
\fBpam_gssapi_services\fR\&. Итоговый список индикаторов для отдельной службы PAM затем проверяется на соответствие индикаторам в билете Kerberos во время проверки подлинности с помощью pam_sss_gss\&.so\&. Доступ будет предоставлен, если в билете будет найден индикатор, совпадающий с индикатором из итогового списка индикаторов для соответствующей службы PAM\&. Доступ будет запрещён, если в списке не обнаружатся совпадающие индикаторы\&. Если итоговый список индикаторов для службы PAM пуст, проверка не закроет доступ\&.
.sp
Чтобы отключить проверку индикаторов для проверки подлинности с помощью GSSAPI, установите этот параметр в значение
\(lq\-\(rq
(дефис)\&. Чтобы отключить проверку индикаторов для определённой службы PAM, добавьте
\(lqservice:\-\(rq\&.
.sp
Примечание: этот параметр также можно задать для каждого домена отдельно, что будет иметь приоритет над значением в разделе [pam]\&. Также этот параметр можно задать для доверенного домена, что будет иметь приоритет над значением в разделе домена\&.
.sp
В развёрнутых системах IPA с Kerberos предусмотрена поддержка следующих индикаторов проверки подлинности:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
pkinit \(em предварительная проверка подлинности с помощью сертификатов X\&.509, которые хранятся в файлах или на смарт\-картах\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
hardened \(em предварительная проверка подлинности SPAKE или любая предварительная проверка подлинности, помещённая в канал FAST\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
radius \(em предварительная проверка подлинности с помощью сервера RADIUS\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
otp \(em предварительная проверка подлинности с помощью встроенной двухфакторной аутентификации (2FA или одноразовый пароль, OTP) в IPA\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
idp \-\- предварительная аутентификация с использованием внешнего поставщика удостоверений\&.
.RE
.sp
Пример: чтобы доступ к службам SUDO предоставлялся только пользователям, которые получили свои билеты Kerberos с предварительной проверкой подлинности сертификата X\&.509 (PKINIT), укажите
.sp
.if n \{\
.RS 4
.\}
.nf
pam_gssapi_indicators_map = sudo:pkinit, sudo\-i:pkinit
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: не задано (использование индикаторов проверки подлинности не требуется)
.RE
.SS "Параметры настройки SUDO"
.PP
Эти параметры можно использовать для настройки службы sudo\&. Подробные инструкции по настройке
\fBsudo\fR(8)
для работы с
\fBsssd\fR(8)
доступны на справочной странице
\fBsssd-sudo\fR(5)\&.
.PP
sudo_timed (логическое значение)
.RS 4
Следует ли обрабатывать атрибуты sudoNotBefore и sudoNotAfter, предназначенные для определения временных ограничений для записей sudoers\&.
.sp
По умолчанию: false
.RE
.PP
sudo_threshold (целое число)
.RS 4
Максимальное количество устаревших правил, которые можно обновить за один раз\&. Если количество устаревших правил меньше заданного порогового значения, эти правила обновляются с помощью механизма
\(lqобновления правил\(rq\&. Если пороговое значение превышено, будет использоваться механизм
\(lqполного обновления\(rq\&. Это пороговое значение также применяется к поискам команд и групп команд sudo IPA\&.
.sp
По умолчанию: 50
.RE
.SS "Параметры настройки AUTOFS"
.PP
Эти параметры можно использовать для настройки службы autofs\&.
.PP
autofs_negative_timeout (целое число)
.RS 4
Означает количество секунд, в течение которого в кэше ответчика autofs будут храниться неудачные обращения к кэшу (запросы некорректных записей карты, например, несуществующих) перед повторным запросом к внутреннему серверу\&.
.sp
По умолчанию: 15
.RE
.PP
Следует учитывать, что средство автоматического монтирования выполняет чтение основной карты только при запуске, поэтому в случае внесения каких\-либо изменений, связанных с autofs, в файл sssd\&.conf, обычно также потребуется перезапустить внутреннюю службу автоматического монтирования после перезапуска SSSD\&.
.SS "Параметры настройки SSH"
.PP
Эти параметры можно использовать для настройки службы SSH\&.
.PP
ssh_hash_known_hosts (логическое значение)
.RS 4
Следует ли хэшировать имена и адреса узлов в управляемом файле known_hosts\&.
.sp
По умолчанию: false
.RE
.PP
ssh_known_hosts_timeout (целое число)
.RS 4
Разрешённое количество секунд, в течение которого узел хранится в управляемом файле known_hosts после запроса ключей этого узла\&.
.sp
По умолчанию: 180
.RE
.PP
ssh_use_certificate_keys (логическое значение)
.RS 4
Если задано значение \(Fotrue\(Fc, команда
\fBsss_ssh_authorizedkeys\fR
вернёт ключи SSH, производные от открытого ключа сертификатов X\&.509, которые также хранятся в записи пользователя\&. Подробнее:
\fBsss_ssh_authorizedkeys\fR(1)\&.
.sp
По умолчанию: true
.RE
.PP
ssh_use_certificate_matching_rules (строка)
.RS 4
По умолчанию ответчик SSH использует все доступные правила сопоставления сертификатов для фильтрации сертификатов, поэтому ключи SSH будут создаваться на основе только тех сертификатов, для которых было установлено соответствие\&. Этот параметр позволяет ограничить используемые правила разделённым запятыми списком имён правил привязки и сопоставления\&. Все другие правила будут игнорироваться\&.
.sp
Два особых ключевых слова \(Foall_rules\(Fc и \(Fono_rules\(Fc позволяют, соответственно, включить все правила или не включать их вообще\&. Последнее означает, что фильтрация сертификатов не будет выполняться; следовательно, ключи SSH будут создаваться на основе всех действительных сертификатов\&.
.sp
Если не настроено никаких правил, использование \(Foall_rules\(Fc приведёт к включению стандартного правила, которое разрешает использовать все сертификаты, подходящие для проверки подлинности клиента\&. Это поведение соответствует поведению ответчика PAM в том случае, когда включена проверка подлинности сертификатов\&.
.sp
Несуществующее имя правила считается ошибкой\&. Если в результате не будет выбрано ни одного правила, все сертификаты будут проигнорированы\&.
.sp
По умолчанию: не задано, равнозначно \(Foall_rules\(Fc, используются все найденные правила или правило по умолчанию
.RE
.PP
ca_db (строка)
.RS 4
Путь к хранилищу доверенных сертификатов CA\&. Параметр используется для проверки сертификатов пользователей перед получением из них открытых ключей SSH\&.
.sp
По умолчанию:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
/etc/sssd/pki/sssd_auth_ca_db\&.pem (путь к файлу с доверенными сертификатами CA в формате PEM)
.RE
.sp
.RE
.SS "Параметры настройки ответчика PAC"
.PP
Ответчик PAC работает совместно с модулем данных проверки подлинности sssd_pac_plugin\&.so для MIT Kerberos и поставщиком данных поддоменов\&. Этот модуль отправляет данные PAC ответчику PAC во время проверки подлинности с помощью GSSAPI\&. Поставщик данных поддоменов собирает данные по диапазонам SID и ID домена, к которому присоединён клиент, а также удалённых доверенных доменов с локального контроллера доменов\&. Если PAC расшифровывается и обрабатывается, выполняются некоторые из следующих операций:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Если запись удалённого пользователя отсутствует в кэше, она будет создана\&. UID определяется с помощью SID, у доверенных доменов будут UPG, а GID будет иметь то же значение, что и UID\&. Домашний каталог устанавливается на основе значения параметра subdomain_homedir\&. По умолчанию значение оболочки будет пустым, то есть будут использованы стандартные параметры системы, но их можно переопределить с помощью параметра default_shell\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Если имеются SID групп из известных SSSD доменов, пользователь будет добавлен в эти группы\&.
.RE
.PP
Эти параметры можно использовать для настройки ответчика PAC\&.
.PP
allowed_uids (строка)
.RS 4
Разделённый запятыми список значений UID или имён пользователей, которым разрешён доступ к ответчику PAC\&. Имена пользователей разрешаются в UID при запуске\&.
.sp
По умолчанию: 0 (доступ к ответчику PAC разрешён только пользователю root)
.sp
Обратите внимание: несмотря на то, что в качестве стандартного значения используется UID 0, оно будет перезаписано этим параметром\&. Если всё равно требуется разрешить пользователю root доступ к ответчику PAC (типичный случай), будет необходимо добавить запись \(Fo0\(Fc в список UID, которым разрешён доступ\&.
.RE
.PP
pac_lifetime (целое число)
.RS 4
Время жизни записи PAC (в секундах)\&. Пока запись PAC действительна, данные PAC можно использовать для определения участия пользователя в группах\&.
.sp
По умолчанию: 300
.RE
.PP
pac_check (строка)
.RS 4
Если настроено, применить дополнительные проверки к PAC билету Kerberos, доступному в доменах Active Directory и FreeIPA\&. Обратите внимание, что для проверки PAC должна быть включена проверка билетов Kerberos, то есть для параметра krb5_validate должно быть установлено значение \(FoTrue\(Fc, которое является значением по умолчанию для поставщиков данных IPA и AD\&. Если для параметра krb5_validate установлено значение \(FoFalse\(Fc, проверка PAC будет пропущена\&.
.sp
Следующие параметры можно использовать отдельно или в виде разделённого запятыми списка:
.PP
no_check
.RS 4
PAC не должен присутствовать, и даже если он имеется, никакие дополнительные проверки выполняться не будут\&.
.RE
.PP
pac_present
.RS 4
PAC должен присутствовать в билете службы, который SSSD запрашивает с помощью TGT пользователя\&. Если PAC недоступен, аутентификация завершится ошибкой\&.
.RE
.PP
check_upn
.RS 4
Если PAC присутствует, проверить, что информация об основном имени пользователя (UPN) верна\&.
.RE
.PP
check_upn_allow_missing
.RS 4
Этот параметр следует использовать вместе с \*(Aqcheck_upn\*(Aq и он обрабатывает случай, когда для UPN установлено значение на стороне сервера, но не читается SSSD\&. Типичным примером является домен FreeIPA, в котором для \*(Aqldap_user_principal\*(Aq установлено название не существующего атрибута\&. Обычно это делалось для обхода проблем при обработке корпоративных регистрационных записей\&. Но это исправлено довольно давно, и FreeIPA может обрабатывать корпоративные регистрационные записи, поэтому больше нет необходимости устанавливать \*(Aqldap_user_principal\*(Aq\&.
.sp
В настоящее время этот параметр установлен по умолчанию, чтобы избежать регрессии в подобных средах\&. В системный журнал и журнал отладки SSSD будет добавлено сообщение в случае обнаружения UPN в PAC, но не в кэше SSSD\&. Чтобы избежать появления такого сообщения, проверьте, можно ли удалить параметр \*(Aqldap_user_principal\*(Aq\&. Если это невозможно, удаление \*(Aqcheck_upn\*(Aq приведет к пропуску проверки и сообщение не появится в журнале\&.
.RE
.PP
upn_dns_info_present
.RS 4
PAC должен содержать буфер UPN\-DNS\-INFO, неявным образом устанавливает \*(Aqcheck_upn\*(Aq\&.
.RE
.PP
check_upn_dns_info_ex
.RS 4
Если PAC присутствует и доступно расширение буфера UPN\-DNS\-INFO, проверить, согласованы ли данные в расширении\&.
.RE
.PP
upn_dns_info_ex_present
.RS 4
PAC должен содержать расширение буфера UPN\-DNS\-INFO, неявным образом устанавливает \*(Aqcheck_upn_dns_info_ex\*(Aq, \*(Aqupn_dns_info_present\*(Aq и \*(Aqcheck_upn\*(Aq\&.
.RE
.sp
По умолчанию: no_check (для поставщиков AD и IPA \(em \*(Aqcheck_upn, check_upn_allow_missing, check_upn_dns_info_ex\*(Aq)
.RE
.SS "Параметры настройки записи сеансов"
.PP
Запись сеансов работает совместно с
\fBtlog-rec-session\fR(8), частью пакета tlog, обеспечивая ведение журнала данных, которые пользователи видят и вводят после входа на текстовый терминал\&. См\&. также
\fBsssd-session-recording\fR(5)\&.
.PP
Эти параметры можно использовать для настройки записи сеансов\&.
.PP
scope (строка)
.RS 4
Одна из следующих строк, которые определяют область записи сеанса:
.PP
\(Fonone\(Fc
.RS 4
Пользователи не записываются\&.
.RE
.PP
\(Fosome\(Fc
.RS 4
Записываются пользователи и группы, указанные с помощью параметров
\fIusers\fR
и
\fIgroups\fR\&.
.RE
.PP
\(Foall\(Fc
.RS 4
Записываются все пользователи\&.
.RE
.sp
По умолчанию: \(Fonone\(Fc
.RE
.PP
users (строка)
.RS 4
Разделённый запятыми список пользователей, для которых включена запись сеансов\&. Соответствие списку устанавливается по именам пользователей, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее\&.
.sp
По умолчанию: пусто\&. Не соответствует ни одному пользователю\&.
.RE
.PP
groups (строка)
.RS 4
Разделённый запятыми список групп, для участников которых включена запись сеансов\&. Соответствие списку устанавливается по именам групп, возвращённым NSS, то есть после возможной замены пробелов, смены регистра и так далее\&.
.sp
ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является\&.
.sp
По умолчанию: пусто\&. Не соответствует ни одной группе\&.
.RE
.PP
exclude_users (строка)
.RS 4
Разделённый запятыми список пользователей, которые исключаются из записи; применимо только при \(Foscope=all\(Fc\&.
.sp
По умолчанию: пусто\&. Не исключается ни один пользователь\&.
.RE
.PP
exclude_groups (строка)
.RS 4
Разделённый запятыми список групп, участники которых исключаются из записи; применимо только при \(Foscope=all\(Fc\&.
.sp
ПРИМЕЧАНИЕ: использование этого параметра (его установка в одно из значений) значительно сказывается на производительности, поскольку при каждом некэшированном запросе данных пользователя требуется выполнить получение и установление соответствия групп, участником которых он является\&.
.sp
По умолчанию: пусто\&. Не исключается ни одна группа\&.
.RE
.SH "РАЗДЕЛЫ ДОМЕНА"
.PP
Эти параметры конфигурации могут присутствовать в разделе конфигурации домена, то есть в разделе с именем
\(lq[domain/\fINAME\fR]\(rq
.PP
enabled
.RS 4
Явно включить или отключить домен\&. Если
\(lqtrue\(rq, домен всегда
\(lqвключён\(rq\&. Если
\(lqfalse\(rq, домен всегда
\(lqотключён\(rq\&. Если значение параметра не задано, домен будет включён только в том случае, если он находится в списке, указанном с помощью параметра domains в разделе
\(lq[sssd]\(rq\&.
.RE
.PP
domain_type (строка)
.RS 4
Указывает, предназначен ли домен для использования клиентами, поддерживающими POSIX (например, NSS), или приложениями, которым не требуется наличие или создание данных POSIX\&. Интерфейсам и утилитам операционной системы доступны только объекты из доменов POSIX\&.
.sp
Допустимые значение этого параметра:
\(lqposix\(rq
и
\(lqapplication\(rq\&.
.sp
Домены POSIX доступны для всех служб\&. Домены приложений доступны только для ответчика InfoPipe (см\&.
\fBsssd-ifp\fR(5)) и ответчика PAM\&.
.sp
ПРИМЕЧАНИЕ: в настоящее время тщательно тестируются только домены приложений с
\(lqid_provider=ldap\(rq\&.
.sp
Описание простого способа настройки доменов не\-POSIX доступно в разделе
\(lqДомены приложений\(rq\&.
.sp
По умолчанию: posix
.RE
.PP
min_id,max_id (целое число)
.RS 4
Пределы диапазона UID и GID для домена\&. Если домен содержит запись, находящуюся вне указанного диапазона, она будет проигнорирована\&.
.sp
Что касается записей пользователей, этот параметр ограничивает диапазон основного GID\&. Запись пользователя не будет возвращена в NSS, если UID или основной GID находится за пределами диапазона\&. Находящиеся в пределах диапазона записи пользователей, которые не являются участниками основной группы, будут выведены в обычном режиме\&.
.sp
Эти пределы диапазона идентификаторов влияют даже на сохранение записей в кэш, а не только на их возврат по имени или идентификатору\&.
.sp
По умолчанию: 1 для min_id, 0 (без ограничений) для max_id
.RE
.PP
enumerate (логическое значение)
.RS 4
Определяет, можно ли выполнить перечисление для домена, то есть может ли домен вывести перечень всех содержащихся в нём пользователей и групп\&. Обратите внимание, что перечисление не требуется включать для просмотра вторичных групп\&. Этот параметр может иметь одно из следующих значений:
.sp
TRUE = пользователи и группы перечисляются
.sp
FALSE = для этого домена не выполняется перечисление
.sp
По умолчанию: FALSE
.sp
Чтобы выполнить перечисление для домена, SSSD потребуется загрузить и сохранить ВСЕ записи пользователей и групп с удалённого сервера\&.
.sp
Примечание: если включить перечисление, во время его выполнения производительность SSSD умеренно снижается\&. Перечисление может занять до нескольких минут после запуска SSSD\&. В это время отдельные запросы информации отправляются непосредственно в LDAP, хотя это может выполняться медленно из\-за ресурсоёмкой обработки перечисления\&. Сохранение большого количества записей в кэш после завершения перечисления также может давать интенсивную вычислительную нагрузку на центральный процессор, так как данные об участии в группах требуется вычислить заново\&. Это может привести к тому, что процесс
\(lqsssd_be\(rq
перестанет отвечать или даже будет перезапущен внутренним сторожевым таймером\&.
.sp
Когда выполняется первое перечисление, запросы полных списков пользователей или групп могут не вернуть результатов до момента завершения перечисления\&.
.sp
Более того, включение перечисления может увеличить время, необходимое для обнаружения отсутствия подключения к сети, так как для успешного выполнения поисков перечисления требуются более длительные тайм\-ауты\&. Дополнительные сведения доступны на man\-страницах конкретного используемого поставщика идентификаторов (id_provider)\&.
.sp
По вышеуказанным причинам не рекомендуется включать перечисление, особенно в средах большого размера\&.
.RE
.PP
subdomain_enumerate (строка)
.RS 4
Следует ли выполнять перечисление для каких\-либо автоматически обнаруженных доверенных доменов\&. Поддерживаемые значения:
.PP
all
.RS 4
Выполнить перечисление для всех обнаруженных доверенных доменов
.RE
.PP
none
.RS 4
Не выполнять перечисление для обнаруженных доверенных доменов
.RE
.sp
При необходимости можно указать список из одного или нескольких имён доверенных доменов, чтобы включить перечисление только для них\&.
.sp
По умолчанию: none
.RE
.PP
entry_cache_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи действительными, прежде чем снова обратиться к внутреннему серверу
.sp
Отметки времени устаревания записей кэша хранятся как атрибуты отдельных объектов в кэше\&. Следовательно, изменение тайм\-аута кэша повлияет только на новые добавленные или устаревшие записи\&. Следует запустить инструмент
\fBsss_cache\fR(8)
для принудительного обновления записей, которые уже были кэшированы\&.
.sp
По умолчанию: 5400
.RE
.PP
entry_cache_user_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи пользователей действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_group_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи групп действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_netgroup_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи сетевых групп действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_service_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи служб действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_resolver_timeout (целое число)
.RS 4
Количество секунд, в течение которого nss_sss следует считать записи узлов и сетей действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_sudo_timeout (целое число)
.RS 4
Количество секунд, в течение которого sudo следует считать правила действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_autofs_timeout (целое число)
.RS 4
Количество секунд, в течение которого службе autofs следует считать карты автоматического монтирования действительными, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_ssh_host_timeout (целое число)
.RS 4
Количество секунд, в течение которого ключ SSH узла хранится после обновления\&. Иными словами, параметр определяет длительность хранения ключа узла в кэше\&.
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
entry_cache_computer_timeout (целое число)
.RS 4
Количество секунд, в течение которого следует хранить запись локального компьютера, прежде чем снова обратиться к внутреннему серверу
.sp
По умолчанию: entry_cache_timeout
.RE
.PP
refresh_expired_interval (целое число)
.RS 4
Указывает время ожидания SSSD (в секундах) перед активацией задания фонового обновления всех устаревших или почти устаревших записей\&.
.sp
При фоновом обновлении обрабатываются содержащиеся в кэше записи пользователей, групп и сетевых групп\&. Обновление как записи пользователя, так и участия в группах выполняется для тех пользователей, для которых ранее выполнялись действия по инициализации групп (получение данных об участии пользователя в группах, обычно выполняется при запуске)\&.
.sp
Этот параметр автоматически наследуется для всех доверенных доменов\&.
.sp
Рекомендуется установить это значение равным 3/4 * entry_cache_timeout\&.
.sp
Запись кэша будет обновлена фоновым заданием, если прошло 2/3 времени ожидания устаревания кэша\&. Если в кэше уже есть записи, фоновое задание будет использовать значения времени ожидания устаревания исходных записей, а не текущее значение конфигурации\&. Может возникнуть ситуация, в которой будет казаться, что фоновое задание по обновлению записей не работает\&. Это сделано специально для усовершенствования работы в автономном режиме и повторного использования имеющихся корректных записей в кэше\&. Чтобы мгновенно выполнить изменение, пользователю следует вручную объявить недействительность существующего кэша\&.
.sp
По умолчанию: 0 (отключено)
.RE
.PP
cache_credentials (логическое значение)
.RS 4
Determines if user credentials are also cached in the local LDB cache\&. The cached credentials refer to passwords, which includes the first (long term) factor of two\-factor authentication, not other authentication mechanisms\&. Passkey and Smartcard authentications are expected to work offline as long as a successful online authentication is recorded in the cache without additional configuration\&.
.sp
Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack\&.
.sp
По умолчанию: FALSE
.RE
.PP
cache_credentials_minimal_first_factor_length (целое число)
.RS 4
Если используется двухфакторная проверка подлинности (2FA) и следует сохранить учётные данные, это значение определяет минимальную длину первого фактора проверки подлинности (долговременного пароля), который должен быть сохранён в формате контрольной суммы SHA512 в кэше\&.
.sp
Таким образом удаётся предотвратить ситуацию, когда короткие PIN\-коды основанной на PIN\-кодах схемы 2FA хранятся в кэше и становятся лёгкой мишенью для атак методом подбора\&.
.sp
По умолчанию: 8
.RE
.PP
account_cache_expiration (целое число)
.RS 4
Количество дней, в течение которого записи хранятся в кэше после последнего успешного входа, прежде чем будут удалены при очистке кэша\&. Значение \(Fo0\(Fc означает, что записи будут храниться вечно\&. Значение этого параметра должно быть больше или равно значению offline_credentials_expiration\&.
.sp
По умолчанию: 0 (без ограничений)
.RE
.PP
pwd_expiration_warning (целое число)
.RS 4
Показать предупреждение за N дней до истечения срока действия пароля\&.
.sp
Если указан ноль, этот фильтр не применяется: если от внутреннего сервера было получено предупреждение об истечении строка действия, оно будет показано автоматически\&.
.sp
Обратите внимание, что внутренний сервер должен предоставить информацию о времени истечения срока действия пароля\&. Если она отсутствует, sssd не сможет показать предупреждение\&. Кроме того, для этого сервера следует настроить поставщика данных проверки подлинности\&.
.sp
По умолчанию: 7 (Kerberos), 0 (LDAP)
.RE
.PP
id_provider (строка)
.RS 4
Поставщик данных идентификации, который используется для домена\&. Поддерживаемые поставщики ID:
.sp
\(lqproxy\(rq: поддержка устаревшего поставщика NSS\&.
.sp
\(lqfiles\(rq: поставщик данных ФАЙЛОВ\&. Дополнительные сведения о зеркалировании локальных пользователей и групп в SSSD:
\fBsssd-files\fR(5)\&.
.sp
\(lqldap\(rq: поставщик данных LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqipa\(rq: FreeIPA and Red Hat Identity Management provider\&. See
\fBsssd-ipa\fR(5)
for more information on configuring FreeIPA\&.
.sp
\(lqad\(rq: поставщик данных Active Directory\&. Дополнительные сведения о настройке Active Directory:
\fBsssd-ad\fR(5)\&.
.RE
.PP
use_fully_qualified_names (логическое значение)
.RS 4
Использовать полные имя и домен (в формате, заданном full_name_format домена) в качестве имени для входа пользователя, которое сообщается NSS\&.
.sp
Если задано значение \(FoTRUE\(Fc, во всех запросах к домену должны использоваться полные имена\&. Например, если этот параметр используется в домене LOCAL, содержащем пользователя \(Fotest\(Fc, с помощью команды
\fBgetent passwd test\fR
его не удастся найти, а с помощью команды
\fBgetent passwd test@LOCAL\fR
получится это сделать\&.
.sp
ПРИМЕЧАНИЕ: этот параметр не влияет на поиск сетевых групп, так как они зачастую включают вложенные сетевые группы без полных имён\&. Для сетевых групп выполняется поиск во всех доменах, когда запрашивается неполное имя\&.
.sp
По умолчанию: FALSE (TRUE для доверенных доменов/поддоменов или в случае использования default_domain_suffix)
.RE
.PP
ignore_group_members (логическое значение)
.RS 4
Не возвращать участников групп для поиска групп\&.
.sp
Если установлено значение \(FoTRUE\(Fc, атрибут участия в группах не запрашивается с сервера LDAP, а списки участников групп не возвращаются при обработке вызовов поиска групп, таких как
\fBgetgrnam\fR(3)
или
\fBgetgrgid\fR(3)\&. Как следствие,
\(lqgetent group $groupname\(rq
вернёт запрошенную группу так, как будто она пуста\&.
.sp
Включение этого параметра также может значительно ускорить проверки участия в группах у поставщика доступа (особенно для групп, содержащих большое количество участников)\&.
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: FALSE
.RE
.PP
auth_provider (строка)
.RS 4
Поставщик данных для проверки подлинности, который используется для домена\&. Поддерживаемые поставщики данных для проверки подлинности:
.sp
\(lqldap\(rq
\(em использовать собственную проверку подлинности LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqkrb5\(rq
\(em использовать проверку подлинности Kerberos\&. Дополнительные сведения о настройке Kerberos:
\fBsssd-krb5\fR(5)\&.
.sp
\(lqipa\(rq: FreeIPA and Red Hat Identity Management provider\&. See
\fBsssd-ipa\fR(5)
for more information on configuring FreeIPA\&.
.sp
\(lqad\(rq: поставщик данных Active Directory\&. Дополнительные сведения о настройке Active Directory:
\fBsssd-ad\fR(5)\&.
.sp
\(lqproxy\(rq
\(em передать проверку подлинности какой\-либо другой цели PAM\&.
.sp
\(lqnone\(rq
\(em явно отключить проверку подлинности\&.
.sp
По умолчанию: использовать
\(lqid_provider\(rq, если этот параметр задан и поддерживает обработку запросов проверки подлинности\&.
.RE
.PP
access_provider (строка)
.RS 4
Поставщик управления доступом, который используется для домена\&. Существуют два встроенных поставщика доступа (в дополнение к тем поставщикам, которые включены в установленные внутренние серверы)\&. Внутренние особые поставщики:
.sp
\(lqpermit\(rq
\(em всегда разрешать доступ\&. Это единственный поставщик разрешённого доступа для локального домена\&.
.sp
\(lqdeny\(rq
\(em всегда отказывать в доступе\&.
.sp
\(lqldap\(rq
\(em использовать собственную проверку подлинности LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqipa\(rq: FreeIPA and Red Hat Identity Management provider\&. See
\fBsssd-ipa\fR(5)
for more information on configuring FreeIPA\&.
.sp
\(lqad\(rq: поставщик данных Active Directory\&. Дополнительные сведения о настройке Active Directory:
\fBsssd-ad\fR(5)\&.
.sp
\(lqsimple\(rq
\(em управление доступом на основе разрешающего или запрещающего списка\&. Дополнительные сведения о настройке модуля доступа simple:
\fBsssd-simple\fR(5)\&.
.sp
\(lqkrb5\(rq
\(em управление доступом на основе \&.k5login\&. Дополнительные сведения о настройке Kerberos:
\fBsssd-krb5\fR(5)\&.
.sp
\(lqproxy\(rq
\(em передать управление доступом другому модулю PAM\&.
.sp
По умолчанию:
\(lqpermit\(rq
.RE
.PP
chpass_provider (строка)
.RS 4
Поставщик данных, который должен обрабатывать операции смены пароля для домена\&. Поддерживаемые поставщики данных смены пароля:
.sp
\(lqldap\(rq
\(em сменить пароль, который хранится на сервере LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqkrb5\(rq
\(em сменить пароль Kerberos\&. Дополнительные сведения о настройке Kerberos:
\fBsssd-krb5\fR(5)\&.
.sp
\(lqipa\(rq: FreeIPA and Red Hat Identity Management provider\&. See
\fBsssd-ipa\fR(5)
for more information on configuring FreeIPA\&.
.sp
\(lqad\(rq: поставщик данных Active Directory\&. Дополнительные сведения о настройке Active Directory:
\fBsssd-ad\fR(5)\&.
.sp
\(lqproxy\(rq
\(em передать смену пароля какой\-либо другой цели PAM\&.
.sp
\(lqnone\(rq
\(em явно запретить смену пароля\&.
.sp
По умолчанию: использовать
\(lqauth_provider\(rq, если этот параметр задан и поддерживает обработку запросов смены пароля\&.
.RE
.PP
sudo_provider (строка)
.RS 4
Поставщик данных SUDO, который используется для домена\&. Поддерживаемые поставщики данных SUDO:
.sp
\(lqldap\(rq
\(em для правил, которые хранятся в LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqipa\(rq
\(em то же, что и
\(lqldap\(rq, но со стандартными параметрами IPA\&.
.sp
\(lqad\(rq
\(em то же, что и
\(lqldap\(rq, но со стандартными параметрами AD\&.
.sp
\(lqnone\(rq
\(em явно отключить SUDO\&.
.sp
По умолчанию: использовать значение
\(lqid_provider\(rq, если этот параметр задан\&.
.sp
Подробные инструкции по настройке sudo_provider доступны на справочной странице
\fBsssd-sudo\fR(5)\&. Предусмотрено много параметров, которыми можно воспользоваться для настройки поведения программы\&. Подробное описание доступно в разделах \(Foldap_sudo_*\(Fc
\fBsssd-ldap\fR(5)\&.
.sp
\fIПРИМЕЧАНИЕ:\fR
загрузка правил sudo периодически выполняется в фоновом режиме (при условии, что поставщик данных SUDO не был явно отключён)\&. Укажите
\fIsudo_provider = None\fR
для отключения в SSSD всей связанной с sudo активности, если в SSSD вообще не планируется использовать sudo\&.
.RE
.PP
selinux_provider (строка)
.RS 4
Поставщик данных, который должен обрабатывать загрузку параметров SELinux\&. Обратите внимание, что этот поставщик будет вызываться сразу после окончания работы поставщика доступа\&. Поддерживаемые поставщики данных SELinux:
.sp
\(lqipa\(rq
\(em загрузить параметры SELinux с сервера IPA\&. Дополнительные сведения о настройке IPA:
\fBsssd-ipa\fR(5)\&.
.sp
\(lqnone\(rq
\(em явно отключает получение параметров SELinux\&.
.sp
По умолчанию: использовать
\(lqid_provider\(rq, если этот параметр задан и поддерживает обработку запросов загрузки параметров SELinux\&.
.RE
.PP
subdomains_provider (строка)
.RS 4
Поставщик данных, который должен обрабатывать получение данных поддоменов\&. Это значение всегда должно совпадать со значением id_provider\&. Поддерживаемые поставщики данных поддоменов:
.sp
\(lqipa\(rq
\(em загрузить список поддоменов с сервера IPA\&. Дополнительные сведения о настройке IPA:
\fBsssd-ipa\fR(5)\&.
.sp
\(lqad\(rq
\(em загрузить список поддоменов с сервера Active Directory\&. Дополнительные сведения о настройке поставщика данных AD:
\fBsssd-ad\fR(5)\&.
.sp
\(lqnone\(rq
\(em явно отключает получение данных поддоменов\&.
.sp
По умолчанию: использовать значение
\(lqid_provider\(rq, если этот параметр задан\&.
.RE
.PP
session_provider (строка)
.RS 4
Поставщик данных, который настраивает задания, связанные с сеансами пользователей, и управляет ими\&. В настоящее время предоставляется только одно задание, связанное с сеансами пользователей: интеграция с Fleet Commander (работает только c IPA)\&. Поддерживаемые поставщики данных сеансов:
.sp
\(lqipa\(rq
\(em разрешить выполнение заданий, связанных с сеансами пользователей\&.
.sp
\(lqnone\(rq
\(em не выполнять никакие задания, связанные с сеансами пользователей\&.
.sp
По умолчанию: использовать
\(lqid_provider\(rq, если этот параметр задан и поддерживает выполнение заданий, связанных с сеансами\&.
.sp
\fIПРИМЕЧАНИЕ:\fR
чтобы эта возможность работала должным образом, SSSD необходимо запускать от имени пользователя root, а не от имени пользователя без привилегий\&.
.RE
.PP
autofs_provider (строка)
.RS 4
Поставщик данных autofs, который используется для домена\&. Поддерживаемые поставщики данных autofs:
.sp
\(lqldap\(rq
\(em загрузить карты, которые хранятся в LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqipa\(rq
\(em загрузить карты, которые хранятся на сервере IPA\&. Дополнительные сведения о настройке IPA:
\fBsssd-ipa\fR(5)\&.
.sp
\(lqad\(rq
\(em загрузить карты, которые хранятся на сервере AD\&. Дополнительные сведения о настройке поставщика данных AD:
\fBsssd-ad\fR(5)\&.
.sp
\(lqnone\(rq
\(em явно отключить autofs\&.
.sp
По умолчанию: использовать значение
\(lqid_provider\(rq, если этот параметр задан\&.
.RE
.PP
hostid_provider (строка)
.RS 4
Поставщик данных, который используется для получения данных идентификации узла\&. Поддерживаемые поставщики hostid:
.sp
\(lqipa\(rq
\(em загрузить данные идентификации узла, которые хранятся на сервере IPA\&. Дополнительные сведения о настройке IPA:
\fBsssd-ipa\fR(5)\&.
.sp
\(lqnone\(rq
\(em явно отключить hostid\&.
.sp
По умолчанию: использовать значение
\(lqid_provider\(rq, если этот параметр задан\&.
.RE
.PP
resolver_provider (строка)
.RS 4
Поставщик данных, который должен обрабатывать поиск узлов и сетей\&. Поддерживаемые поставщики данных сопоставления:
.sp
\(lqproxy\(rq
\(em перенаправлять поисковые запросы другой библиотеке NSS\&. См\&.
\(lqproxy_resolver_lib_name\(rq
.sp
\(lqldap\(rq
\(em получить записи узлов и сетей, которые хранятся в LDAP\&. Дополнительные сведения о настройке LDAP:
\fBsssd-ldap\fR(5)\&.
.sp
\(lqad\(rq
\(em получить записи узлов и сетей, которые хранятся на сервере AD\&. Дополнительные сведения о настройке поставщика данных AD:
\fBsssd-ad\fR(5)\&.
.sp
\(lqnone\(rq
\(em явно отключает получение записей узлов и сетей\&.
.sp
По умолчанию: использовать значение
\(lqid_provider\(rq, если этот параметр задан\&.
.RE
.PP
re_expression (строка)
.RS 4
Регулярное выражение для этого домена, которое описывает, как получить из строки, содержащей имя пользователя и домен, эти компоненты\&. \(Fodomain\(Fc может соответствовать либо имени домена в конфигурации SSSD, либо (в случае поддоменов доверия IPA и доменов Active Directory) плоскому (NetBIOS) имени домена\&.
.sp
Default:
\(lq^((?P<name>\&.+)@(?P<domain>[^@]*)|(?P<name>[^@]+))$\(rq
which allows two different styles for user names:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
username
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
username@domain\&.name
.RE
.sp
Default for the AD and IPA provider:
\(lq^(((?P<domain>[^\e\e]+)\e\e(?P<name>\&.+))|((?P<name>\&.+)@(?P<domain>[^@]+))|((?P<name>[^@\e\e]+)))$\(rq
which allows three different styles for user names:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
username
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
username@domain\&.name
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
domain\eusername
.RE
.sp
Первые два стиля соответствуют общим стандартным стилям, а третий введён для обеспечения простой интеграции пользователей из доменов Windows\&.
.sp
The default re_expression uses the
\(lq@\(rq
character as a separator between the name and the domain\&. As a result of this setting the default does not accept the
\(lq@\(rq
character in short names (as it is allowed in Windows group names)\&. If a user wishes to use short names with
\(lq@\(rq
they must create their own re_expression\&.
.RE
.PP
full_name_format (строка)
.RS 4
Совместимый с
\fBprintf\fR(3)
формат, который описывает способ создания полностью определённого имени из имени пользователя и имени домена\&.
.sp
Поддерживаются следующие расширения:
.PP
%1$s
.RS 4
имя пользователя
.RE
.PP
%2$s
.RS 4
имя домена, указанное в файле конфигурации SSSD\&.
.RE
.PP
%3$s
.RS 4
плоское имя домена\&. Чаще всего используется для доменов Active Directory, как непосредственно настроенных, так и обнаруженных с помощью отношений доверия IPA\&.
.RE
.sp
По умолчанию:
\(lq%1$s@%2$s\(rq\&.
.RE
.PP
lookup_family_order (строка)
.RS 4
Предоставляет возможность выбрать предпочитаемое семейство адресов, которое следует использовать при выполнении запросов DNS\&.
.sp
Поддерживаемые значения:
.sp
ipv4_first: попытаться найти адрес IPv4, в случае неудачи попытаться найти адрес IPv6
.sp
ipv4_only: пытаться разрешать имена узлов только в адреса IPv4\&.
.sp
ipv6_first: попытаться найти адрес IPv6, в случае неудачи попытаться найти адрес IPv4
.sp
ipv6_only: пытаться разрешать имена узлов только в адреса IPv6\&.
.sp
По умолчанию: ipv4_first
.RE
.PP
dns_resolver_server_timeout (целое число)
.RS 4
Определяет количество времени (в миллисекундах), в течение которого SSSD будет пытаться обменяться данными с сервером DNS перед переходом к следующему\&.
.sp
Поставщик данных AD также будет использовать этот параметр для ограничения времени проверки связи CLDAP\&.
.sp
Более подробные сведения о разрешении служб доступны в разделе
\(lqОБРАБОТКА ОТКАЗА\(rq\&.
.sp
По умолчанию: 1000
.RE
.PP
dns_resolver_op_timeout (целое число)
.RS 4
Определяет количество времени (в секундах), в течение которого будет ожидаться разрешение одного запроса DNS (например, разрешение имени узла или записи SRV) перед попыткой перехода к следующему имени узла или поиску следующего DNS\&.
.sp
Более подробные сведения о разрешении служб доступны в разделе
\(lqОБРАБОТКА ОТКАЗА\(rq\&.
.sp
По умолчанию: 3
.RE
.PP
dns_resolver_timeout (целое число)
.RS 4
Определяет количество времени (в секундах), в течение которого будет ожидаться ответ от внутренней службы отказоустойчивости, прежде служба будет считаться недоступной\&. Если это время ожидания истекло, домен продолжит работу в автономном режиме\&.
.sp
Более подробные сведения о разрешении служб доступны в разделе
\(lqОБРАБОТКА ОТКАЗА\(rq\&.
.sp
По умолчанию: 6
.RE
.PP
dns_resolver_use_search_list (логическое значение)
.RS 4
Обычно сопоставитель DNS выполняет поиск в списке доменов, указанных в директиве \(Fosearch\(Fc в файле resolv\&.conf\&. Это может привести к задержкам в средах с неправильно настроенным DNS\&.
.sp
Если в конфигурации SSSD используются полные доменные имена (или _srv_), установка для этого параметра значения FALSE может предотвратить ненужные запросы DNS в таких средах\&.
.sp
По умолчанию: TRUE
.RE
.PP
dns_discovery_domain (строка)
.RS 4
Если на внутреннем сервере используется обнаружение служб, указывает доменную часть запроса обнаружения служб DNS\&.
.sp
По умолчанию: использовать доменную часть имени узла компьютера
.RE
.PP
failover_primary_timeout (integer)
.RS 4
When no primary server is currently available, SSSD fail overs to a backup server\&. This option defines the amount of time (in seconds) to wait before SSSD tries to reconnect to a primary server again\&.
.sp
Note: The minimum value is 31\&.
.sp
Default: 31
.RE
.PP
override_gid (целое число)
.RS 4
Переопределить значение основного GID указанным значением\&.
.RE
.PP
case_sensitive (строка)
.RS 4
Учитывать регистр символов в именах пользователей и групп\&. Возможные значения:
.PP
True
.RS 4
С учётом регистра\&. Это значение не является корректным для поставщика данных AD\&.
.RE
.PP
False
.RS 4
Без учёта регистра\&.
.RE
.PP
Preserving
.RS 4
То же, что \(FoFalse\(Fc (без учёта регистра), но не переводит в нижний регистр имена в результатах операций NSS\&. Обратите внимание, что псевдонимы (а в случае служб также и имена протоколов) всё равно будут переведены в нижний регистр в выведенных данных\&.
.sp
Если требуется установить это значение для доверенного домена с поставщиком данных IPA, необходимо установить его как на стороне клиента, так и для SSSD на сервере\&.
.RE
.sp
Этот параметр также может быть задан для каждого поддомена отдельно или унаследован с помощью
\fIsubdomain_inherit\fR\&.
.sp
По умолчанию: True (False для поставщика данных AD)
.RE
.PP
subdomain_inherit (строка)
.RS 4
Позволяет указать список параметров конфигурации, которые должны наследоваться поддоменом\&. Обратите внимание, что наследоваться могут не все параметры\&. В настоящее время поддерживается наследование следующих параметров:
.sp
ldap_search_timeout
.sp
ldap_network_timeout
.sp
ldap_opt_timeout
.sp
ldap_offline_timeout
.sp
ldap_enumeration_refresh_timeout
.sp
ldap_enumeration_refresh_offset
.sp
ldap_purge_cache_timeout
.sp
ldap_purge_cache_offset
.sp
ldap_krb5_keytab (будет использоваться значение krb5_keytab, если параметр ldap_krb5_keytab не задан явно)
.sp
ldap_krb5_ticket_lifetime
.sp
ldap_enumeration_search_timeout
.sp
ldap_connection_expire_timeout
.sp
ldap_connection_expire_offset
.sp
ldap_connection_idle_timeout
.sp
ldap_use_tokengroups
.sp
ldap_user_principal
.sp
ignore_group_members
.sp
auto_private_groups
.sp
case_sensitive
.sp
Пример:
.sp
.if n \{\
.RS 4
.\}
.nf
subdomain_inherit = ldap_purge_cache_timeout
                            
.fi
.if n \{\
.RE
.\}
.sp
По умолчанию: none
.sp
Примечание: этот параметр работает только для поставщиков данных IPA и AD\&.
.RE
.PP
subdomain_homedir (строка)
.RS 4
Использовать этот домашний каталог как значение по умолчанию для всех поддоменов в пределах доверия AD IPA\&. Сведения о возможных значениях доступны в описании параметра
\fIoverride_homedir\fR\&. В дополнение к этому, приведённое ниже расширение можно использовать только с
\fIsubdomain_homedir\fR\&.
.PP
%F
.RS 4
плоское (NetBIOS) имя поддомена\&.
.RE
.sp
Это значение может быть переопределено параметром
\fIoverride_homedir\fR\&.
.sp
По умолчанию:
/home/%d/%u
.RE
.PP
realmd_tags (строка)
.RS 4
Различные метки, сохранённые службой настройки realmd для этого домена\&.
.RE
.PP
cached_auth_timeout (целое число)
.RS 4
Указывает время в секундах с момента последней успешной проверки подлинности в сетевом режиме, в течение которого пользователь будет распознан с помощью кэшированных учётных данных, когда SSSD находится в сетевом режиме\&. Если учётные данные некорректны, SSSD будет использовать проверку подлинности в сетевом режиме\&.
.sp
Значение этого параметра наследуется всеми доверенными доменами\&. В настоящее время невозможно устанавливать для отдельных доверенных доменов другие значения\&.
.sp
Специальное значение \(Fo0\(Fc подразумевает, что эта возможность отключена\&.
.sp
Обратите внимание: если
\(lqcached_auth_timeout\(rq
превышает
\(lqpam_id_timeout\(rq, то может быть вызван внутренний сервер для обработки
\(lqinitgroups\&.\(rq
.sp
По умолчанию: 0
.RE
.PP
local_auth_policy (string)
.RS 4
Local authentication methods policy\&. Some backends (i\&.e\&. LDAP, proxy provider) only support a password based authentication, while others can handle PKINIT based Smartcard authentication (AD, IPA), two\-factor authentication (IPA), or other methods against a central instance\&. By default in such cases authentication is only performed with the methods supported by the backend\&. With this option additional methods can be enabled which are evaluated and checked locally\&.
.sp
There are three possible values for this option: match, only, enable\&.
\(lqmatch\(rq
is used to match offline and online states for Kerberos methods\&.
\(lqonly\(rq
ignores the online methods and only offer the local ones\&. enable allows explicitly defining the methods for local authentication\&. As an example,
\(lqenable:passkey\(rq, only enables passkey for local authentication\&. Multiple enable values should be comma\-separated, such as
\(lqenable:passkey, enable:smartcard\(rq
.sp
The following table shows which authentication methods, if configured properly, are currently enabled or disabled for each backend, with the default local_auth_policy:
\(lqmatch\(rq
.TS
allbox tab(:);
cB s s
cB cB cB.
T{
local_auth_policy = match (default)
T}
T{
\ \&
T}:T{
Passkey
T}:T{
Smartcard
T}
.T&
c c c
c c c
c c c.
T{
IPA
T}:T{
enabled
T}:T{
enabled
T}
T{
AD
T}:T{
disabled
T}:T{
enabled
T}
T{
LDAP
T}:T{
disabled
T}:T{
disabled
T}
.TE
.sp 1
Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend\&. I\&.e\&. there will be a PIN prompt instead of e\&.g\&. a password prompt\&.
.sp
The following configuration example allows local users to authenticate locally using any enabled method (i\&.e\&. smartcard, passkey)\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[domain/shadowutils]
id_provider = proxy
proxy_lib_name = files
auth_provider = none
local_auth_policy = only
.fi
.if n \{\
.RE
.\}
.sp
It is expected that the
\(lqfiles\(rq
provider ignores the local_auth_policy option and supports Smartcard authentication by default\&.
.sp
Default: match
.RE
.PP
auto_private_groups (строка)
.RS 4
Этот параметр принимает одно из трёх допустимых значений:
.PP
true
.RS 4
Без проверки условий создавать закрытую группу пользователя на основе номера UID пользователя\&. Номер GID в этом случае игнорируется\&.
.sp
ПРИМЕЧАНИЕ: так как номер GID и закрытая группа пользователя зависят от номера UID, при использовании этого параметра не предусмотрена поддержка нескольких записей с одинаковым номером UID или GID\&. Иными словами, включение этого параметра принудительно устанавливает уникальность записей в пространстве идентификаторов\&.
.RE
.PP
false
.RS 4
Всегда использовать основной номер GID пользователя\&. Номер GID должен ссылаться на объект группы в базе данных LDAP\&.
.RE
.PP
hybrid
.RS 4
Основная группа автоматически генерируется для записей пользователей, номера UID и GID которых имеют одно и то же значение, и при этом номер GID не соответствует реальному объекту группы в LDAP\&. Если значения совпадают, но основной GID в записи пользователя также используется объектом группы, основной GID этого пользователя разрешается в этот объект группы\&.
.sp
Если UID и GID пользователя отличаются, GID должен соответствовать записи группы; в ином случае GID просто будет невозможно разрешить\&.
.sp
Эта возможность полезна для сред, где требуется прекратить поддерживать отдельные объекты групп для закрытых групп пользователей, но в то же время сохранить существующие закрытые группы пользователей\&.
.RE
.sp
В случае поддоменов, \(FoFalse\(Fc является значением по умолчанию для поддоменов, которые используют назначенные идентификаторы POSIX, а \(FoTrue\(Fc \(em для поддоменов, которые используют автоматическое сопоставление идентификаторов\&.
.sp
Значение auto_private_groups можно установить либо на уровне отдельных поддоменов в подразделе, например:
.sp
.if n \{\
.RS 4
.\}
.nf
[domain/forest\&.domain/sub\&.domain]
auto_private_groups = false
.fi
.if n \{\
.RE
.\}
.sp
, либо на глобальном уровне для всех поддоменов в разделе основного домена с помощью параметра subdomain_inherit:
.sp
.if n \{\
.RS 4
.\}
.nf
[domain/forest\&.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false
.fi
.if n \{\
.RE
.\}
.sp
.RE
.PP
Параметры, которые являются действительными для доменов прокси\&.
.PP
proxy_pam_target (строка)
.RS 4
Цель, которой пересылает данные прокси PAM\&.
.sp
Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here\&. As an alternative you can enable local authentication with the local_auth_policy option\&.
.RE
.PP
proxy_lib_name (строка)
.RS 4
Имя библиотеки NSS, которую следует использовать в доменах прокси\&. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_files_getpwent\&.
.RE
.PP
proxy_resolver_lib_name (строка)
.RS 4
Имя библиотеки NSS, которую следует использовать для поиска узлов и сетей в доменах прокси\&. Функции NSS, поиск которых выполняется в библиотеке, имеют вид _nss_$(libName)_$(function), например: _nss_dns_gethostbyname2_r\&.
.RE
.PP
proxy_fast_alias (логическое значение)
.RS 4
Когда на поставщике данных прокси выполняется поиск пользователя или группы по имени, выполнять второй поиск по идентификатору для перевода имени в каноническую форму в случае, если запрашиваемое имя было псевдонимом\&. При установке этого параметра в значение \(Fotrue\(Fc SSSD будет выполнять поиск идентификатора в кэше в целях ускорения предоставления результатов\&.
.sp
По умолчанию: false
.RE
.PP
proxy_max_children (целое число)
.RS 4
Этот параметр задаёт количество предварительно ответвлённых дочерних прокси\&. Он полезен в средах SSSD с высокой нагрузкой, в которых у sssd могут закончиться доступные дочерние слоты, что может вызывать проблемы из\-за постановки запросов в очередь\&.
.sp
По умолчанию: 10
.RE
.SS "Домены приложений"
.PP
SSSD, с его интерфейсом D\-Bus (см\&.
\fBsssd-ifp\fR(5)), обращается к программам как шлюз в каталог LDAP, где хранятся данные пользователей и групп\&. Впрочем, в отличие от традиционного формата работы SSSD, где все пользователи и группы имеют либо атрибуты POSIX, либо атрибуты, производные от SID Windows, во многих случаях пользователи и группы в сценарии поддержки приложений не имеют атрибутов POSIX\&. Вместо установки раздела
\(lq[domain/\fINAME\fR]\(rq
администратор может установить раздел
\(lq[application/\fINAME\fR]\(rq, который на внутреннем уровне представляет собой домен с типом
\(lqapplication\(rq, который может наследовать параметры традиционного домена SSSD\&.
.PP
Обратите внимание: домен приложений всё равно должен быть явно включён с помощью параметра
\(lqdomains\(rq; это позволит корректно задать порядок поиска для домена приложений и его родственного домена POSIX\&.
.PP
\fBПараметры доменов приложений\fR
.PP
inherit_from (строка)
.RS 4
Домен типа POSIX SSSD, от которого домен приложений наследует все параметры\&. Домен приложений также может добавить свои собственные параметры к параметрам приложений для расширения или переопределения параметров
\(lqродственного\(rq
домена\&.
.sp
По умолчанию: не задано
.RE
.PP
В следующем примере показано использование домена приложений\&. В этой конфигурации домен POSIX подключён к серверу LDAP и используется ОС с помощью ответчика NSS\&. Кроме того, домен приложений также запрашивает атрибут telephoneNumber, сохраняет его как атрибут phone в кэше и делает атрибут phone доступным через интерфейс D\-Bus\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[sssd]
domains = appdom, posixdom

[ifp]
user_attributes = +phone

[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap\&.example\&.com
ldap_search_base = dc=example,dc=com

[application/appdom]
inherit_from = posixdom
ldap_user_extra_attrs = phone:telephoneNumber
.fi
.if n \{\
.RE
.\}
.SH "РАЗДЕЛ ДОВЕРЕННЫХ ДОМЕНОВ"
.PP
Некоторые параметры, которые используются в разделе домена, также могут использоваться в разделе доверенного домена, то есть разделе с именем
\(lq[domain/\fIDOMAIN_NAME\fR/\fITRUSTED_DOMAIN_NAME\fR]\(rq\&. DOMAIN_NAME \(em это фактический базовый домен, к которому выполнено присоединение\&. Объяснение приводится в примерах ниже\&. В настоящее время для раздела доверенного домена поддерживаются следующие параметры:
.PP
ldap_search_base,
.PP
ldap_user_search_base,
.PP
ldap_group_search_base,
.PP
ldap_netgroup_search_base,
.PP
ldap_service_search_base,
.PP
ldap_sasl_mech,
.PP
ad_server,
.PP
ad_backup_server,
.PP
ad_site,
.PP
use_fully_qualified_names
.PP
pam_gssapi_services
.PP
pam_gssapi_check_upn
.PP
Дополнительные сведения об этих параметрах доступны в их описаниях на справочной странице\&.
.SH "РАЗДЕЛ СОПОСТАВЛЕНИЯ СЕРТИФИКАТОВ"
.PP
Чтобы сделать возможной проверку подлинности по смарт\-картам и сертификатам, SSSD необходима возможность сопоставления сертификатов пользователям\&. Это можно сделать путём добавления полного сертификата к объекту LDAP пользователя или к локальному переопределению\&. В то время как использование полного сертификата необходимо для использования функции проверки подлинности по смарт\-картам SSH (см\&.
\fBsss_ssh_authorizedkeys\fR(8)), это может быть затруднительно или даже невозможно в общем случае, когда локальные службы используют PAM для проверки подлинности\&.
.PP
Чтобы сделать сопоставление более гибким, в SSSD были добавлены правила привязки и сопоставления (см\&.
\fBsss-certmap\fR(5))\&.
.PP
Правило привязки и сопоставления можно добавить в конфигурацию SSSD как отдельный раздел с именем наподобие
\(lq[certmap/\fIDOMAIN_NAME\fR/\fIRULE_NAME\fR]\(rq\&. В этом разделе допустимы следующие параметры:
.PP
matchrule (строка)
.RS 4
Будут обрабатываться только те сертификаты со смарт\-карты, которые соответствуют этому правилу\&. Все остальные будут игнорироваться\&.
.sp
По умолчанию: KRB5:<EKU>clientAuth, то есть только те сертификаты, в которых Extended Key Usage (расширенное использование ключа) равно
\(lqclientAuth\(rq
.RE
.PP
maprule (строка)
.RS 4
Определяет способ поиска пользователя для указанного сертификата\&.
.sp
По умолчанию:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
LDAP:(userCertificate;binary={cert!bin}) для поставщиков данных на основе LDAP, таких как
\(lqldap\(rq,
\(lqAD\(rq
или
\(lqipa\(rq\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
RULE_NAME для поставщика данных
\(lqfiles\(rq, который пытается найти пользователя с таким же именем\&.
.RE
.sp
.RE
.PP
domains (строка)
.RS 4
Разделённый запятыми список имён доменов, к которым должно применяться правило\&. По умолчанию правило действительно только в домене, настроенном в sssd\&.conf\&. Если поставщик данных поддерживает поддомены, с помощью этого параметра можно добавить правило также и в поддомены\&.
.sp
По умолчанию: настроенный домен в sssd\&.conf
.RE
.PP
priority (целое число)
.RS 4
Беззнаковое целое значение, которое определяет приоритет правила\&. Чем больше число, тем ниже приоритет\&.
\(lq0\(rq
означает самый высокий приоритет, а
\(lq4294967295\(rq
\(em самый низкий\&.
.sp
По умолчанию: самый низкий приоритет
.RE
.PP
Чтобы упростить настройку и уменьшить количество её параметров, для поставщика данных
\(lqfiles\(rq
предусмотрены некоторые особые свойства:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Если значение maprule не задано, именем совпадающего пользователя считается RULE_NAME
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Если используется maprule, необходимо заключать в скобки как отдельное имя пользователя, так и шаблон наподобие
\(lq{subject_rfc822_name\&.short_name}\(rq\&. Например:
\(lq(username)\(rq
или
\(lq({subject_rfc822_name\&.short_name})\(rq
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
параметр
\(lqdomains\(rq
игнорируется
.RE
.sp
.SH "РАЗДЕЛ НАСТРОЙКИ ЗАПРОСОВ"
.PP
Если специальный файл (/var/lib/sss/pubconf/pam_preauth_available) существует, модуль PAM SSSD pam_sss отправит SSSD запрос, чтобы узнать, какие способы проверки подлинности доступны для пользователя, который пытается выполнить вход\&. В зависимости от полученного ответа pam_sss запросит у пользователя соответствующие учётные данные\&.
.PP
Так как количество способов проверки подлинности растёт и есть вероятность, что для одного пользователя их имеется несколько, эвристика, которая используется pam_sss для выбора запроса, подходит не для всех случаев\&. Следующие параметры обеспечивают более гибкую настройку\&.
.PP
Each supported authentication method has its own configuration subsection under
\(lq[prompting/\&.\&.\&.]\(rq\&. Currently there are:
.PP
[prompting/password]
.RS 4
допустимые параметры настройки запроса пароля:
.PP
password_prompt
.RS 4
изменить строку запроса пароля
.RE
.sp
.RE
.PP
[prompting/2fa]
.RS 4
допустимые параметры настройки запроса двухфакторной проверки подлинности:
.PP
first_prompt
.RS 4
изменить строку запроса первого фактора
.RE
.PP
second_prompt
.RS 4
изменить строку запроса второго фактора
.RE
.PP
single_prompt
.RS 4
логическое значение, если \(FoTrue\(Fc, будет выполнен только один запрос с использованием значения first_prompt\&. Ожидается, что оба фактора будет введены как одна строка\&. Обратите внимание, что здесь необходимо ввести оба фактора, даже если второй фактор является необязательным\&.
.RE
.sp
Если второй фактор является необязательным и должно быть возможно выполнить вход, указав либо только пароль, либо оба фактора, следует использовать двухэтапный запрос\&.
.RE

.PP
Возможно добавить подраздел для определённых служб PAM, например
\(lq[prompting/password/sshd]\(rq; это позволяет изменить запрос конкретно для этой службы\&.
.SH "ПРИМЕРЫ"
.PP
1\&. В следующем примере показана типичная конфигурация SSSD\&. Описание конфигурации самих доменов не приводится \(em оно доступно в соответствующей документации\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2

[nss]
filter_groups = root
filter_users = root

[pam]

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap\&.example\&.com
ldap_search_base = dc=example,dc=com

auth_provider = krb5
krb5_server = kerberos\&.example\&.com
krb5_realm = EXAMPLE\&.COM
cache_credentials = true

min_id = 10000
max_id = 20000
enumerate = False
.fi
.if n \{\
.RE
.\}
.PP
2\&. В следующем примере показана конфигурация доверия AD IPA, где лес AD состоит из двух доменов структуры \(Foродитель \(em потомок\(Fc\&. Предположим, что домен IPA (ipa\&.com) имеет отношения доверия с доменом AD (ad\&.com)\&. У ad\&.com есть дочерний домен (child\&.ad\&.com)\&. Чтобы включить краткие имена в дочернем домене, следует использовать следующую конфигурацию\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[domain/ipa\&.com/child\&.ad\&.com]
use_fully_qualified_names = false
.fi
.if n \{\
.RE
.\}
.PP
3\&. The following example shows the configuration of a certificate mapping rule\&. It is valid for the configured domain
\(lqmy\&.domain\(rq
and additionally for the subdomains
\(lqyour\&.domain\(rq
and uses the full certificate in the search filter\&.
.sp
.if n \{\
.RS 4
.\}
.nf
[certmap/my\&.domain/rule_name]
matchrule = <ISSUER>^CN=My\-CA,DC=MY,DC=DOMAIN$
maprule = (userCertificate;binary={cert!bin})
domains = my\&.domain, your\&.domain
priority = 10
.fi
.if n \{\
.RE
.\}
.sp
.SH "СМ\&. ТАКЖЕ"
.PP
\fBsssd\fR(8),
\fBsssd.conf\fR(5),
\fBsssd-ldap\fR(5),
\fBsssd-ldap-attributes\fR(5),
\fBsssd-krb5\fR(5),
\fBsssd-simple\fR(5),
\fBsssd-ipa\fR(5),
\fBsssd-ad\fR(5),
\fBsssd-files\fR(5),
\fBsssd-sudo\fR(5),
\fBsssd-session-recording\fR(5),
\fBsss_cache\fR(8),
\fBsss_debuglevel\fR(8),
\fBsss_obfuscate\fR(8),
\fBsss_seed\fR(8),
\fBsssd_krb5_locator_plugin\fR(8),
\fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8),
\fBsssd-ifp\fR(5),
\fBpam_sss\fR(8)\&.
\fBsss_rpcidmapd\fR(5)
.SH "AUTHORS"
.PP
\fBВосходящий источник (\(Foапстрим\(Fc)
SSSD \(em https://github\&.com/SSSD/sssd/\fR