SSSD.CONF(5) Filformat och konventioner SSSD.CONF(5)

sssd.conf - konfigurationsfilen för SSSD

Filen har en syntax i ini-stil och består av sektioner och parametrar. En sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda parametrar:
[sektion]
nyckel = värde
nyckel2 = värde2,värde3

Datatyperna som används är sträng (inga citationstecken behövs), heltal och bool (med värdena “TRUE/FALSE”).

En kommentarsrad börjar med ett nummertecken (“#”) eller ett semikolon (“;”). Kommentarer inom raden stödjs inte.

Alla sektioner kan valfritt ha en parameter description. Dess funktion är endast som en etikett för sektionen.

sssd.conf måste vara en normal fil, ägd av root och endast root får läsa från eller skriva till filen.

Konfigurationsfilen sssd.conf kommer inkludera konfigurationssnuttar från include-katalogen conf.d. Denna funktion är tillgänglig om SSSD kompilerades med version 1.3.0 eller senare av libini.

Filer lagda i conf.d som slutar med “.conf” och inte börjar med en punkt (“.”) kommer användas tillsammans med sssd.conf för att konfigurera SSSD.

Konfigurationssnuttarna från conf.d har högre prioritet än sssd.conf och kommer åsidosätta sssd.conf när konflikter uppstår. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat på lokalen). Filer som inkluderas senare har högre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjälpa till att visualisera prioriteten (högre tals betyder högre prioritet).

Snuttfilerna behöver samma ägare och rättigheter som sssd.conf. Vilket som standard är root:root och 0600.

Följande flaggor är användbara i mer än en konfigurationssektion.

debug_level (heltal)
SSSD stödjer två representationer för att ange felsökningsnivå. Det enklaste är att ange ett decimalt värde från 0-9 som representerar aktivering av den nivån och alla lägre nivåer av felsökningsmeddelanden. Det mer fullständiga alternativet är att ange en hexadecimal bitmask för att aktivera eller avaktivera specifika nivåer (såsom om du önskar undertrycka en nivå).

Observera att varje SSSD-tjänst loggar till sin egen loggfil. Observera också att aktivering av “debug_level” i avsnittet “[sssd]” bara aktiverar felsökning just för själva sssd-processen, inte för respondent- eller leverantörsprocesser. Parametern “debug_level” skall läggas till i alla sektioner som man vill producera felsökningsloggar ifrån.

Utöver att ändra loggnivån i konfigurationsfilen med parametern “debug_level”, som är bestående, men kräver omstart av SSSD, är det även möjligt att ändra felsökningsnivån i farten med verktyget sss_debuglevel(8).

Felsökningsnivåer som för närvarande stödjs:

0, 0x0010: Ödesdigra fel. Allt som skulle hindra SSSD från att starta upp eller får den att sluta köra.

1, 0x0020: Kritiska fel. Ett fel som inte dödar SSSD, men ett som indikerar att åtminstone en viktig funktion inte kommer fungera korrekt.

2, 0x0040: Allvarliga fel. Ett fel som rapporterar att en viss begäran eller operation har misslyckats.

3, 0x0080: Smärre fel. Detta är fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2.

4, 0x0100: Konfigurationsinställningar.

5, 0x0200: Funktionsdata.

6, 0x0400: Spårmeddelanden för åtgärdsfunktioner.

7, 0x1000: Spårmeddelanden för interna styrfunktioner.

8, 0x2000: Innehållet i interna variabler som kan vara intressant.

9, 0x4000: Spårningsinformation på extremt låg nivå.

10, 0x10000: Ännu mer lågnivå spårningsinformation om libldb. Det behövs nästan aldrig.

För att logga begärda bitmaskfelsökningsnivåer, lägg helt enkelt ihop deras tal som visas i följande exempel:

Exempel: För att logga ödesdigra fel, kritiska fel, allvarliga fel och funktionsdata, använd 0x0270.

Exempel: För att logga ödesdigra fel, konfigurationsinställningar, funktionsdata och spårmeddelanden för interna styrfunktioner, använd 0x1310.

Observera: bitmaskformatet för felsökningsnivåer introducerades i 1.7.0.

Default: 0x0070 (i.e. fatal, critical and serious failures; corresponds to setting 2 in decimal notation)

debug (heltal)

SSSD 1.14 och senare inkluderar också aliaset debug för debug_level som en bekvämlighetsfiness. Om båda anges kommer värdet pådebug_level användas.

debug_timestamps (bool)

Lägg till en tidsstämpel till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning ignoreras denna flagga.

Standard: true

debug_microseconds (bool)

Lägg till mikrosekunder till tidsstämpeln till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning ignoreras denna flagga.

Standard: false

timeout (heltal)
Tidsgräns i sekunder mellan hjärtslag för denna tjänst. Detta används för att säkerställa att processen lever och kan svara på begäranden. Observera att efter tre missade hjärtslag kommer processen avsluta sig själv.

Standard: 10

Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna hanteras av en speciell tjänst som ofta kallas “monitor”. Sektionen “[sssd]” används för att konfigurera övervakaren såväl som andra viktiga alternativ som identitetsdomänerna.

Sektionsparametrar

config_file_version (heltal)

Indikerar vilken syntaxen är i konfigurationsfilen. SSSD 0.6.0 och senare använder version 2.

services

Kommaseparerad lista av tjänster som startas när sssd själv startas. Tjänstelistan är frivillig på plattformar där systemd stödjs, eftersom de antingen kommer vara uttags- eller D-Bus-aktiverade vid behov.

Tjänster som stödjs: nss, pam , sudo , autofs , ssh , pac , ifp

Som standard är alla tjänster avaktiverade och administratören måste aktivera de tillåtna genom att köra: ”systemctl enable sssd-@service@.socket".

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörskrasch eller -omstart innan de ger upp

Standard: 3

domains

A domain is a database containing user information. SSSD can use more domains at the same time, but at least one must be configured or SSSD won't start. This parameter describes the list of domains in the order you want them to be queried. A domain name is recommended to contain only alphanumeric ASCII characters, dashes, dots and underscores. '/' character is forbidden.

re_expression (sträng)

Reguljärt standarduttryck som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter.

Varje domän kan ha ett eget reguljärt uttryck konfigurerat. För några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om dessa reguljära uttryck.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Varje domän kan ha en egen formatsträng konfigurerad. Se DOMÄNSEKTIONER för mer information om detta alternativ.

monitor_resolv_conf (boolean)

Styr om SSSD skall övervaka tillståndet för resolv.conf för att identifiera när den behöver uppdatera sin interna DNS-uppslagare.

Standard: true

try_inotify (boolean)

Som standard kommer SSSD försöka använda inotify för att övervaka ändringar av konfigurationsfiler och kommer gå tillbaka till att polla var femte sekund om inotify inte kan användas.

Det finns vissa situationer när det är att föredra att vi skall hoppa över att ens försöka att använda inotify. I dessa sällsynta fall skall detta alternativ sättas till ”false”

Standard: true på plattformar där inotify stödjs. False på andra plattformar.

Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify inte är tillgängligt. På dessa plattformar kommer pollning alltid användas.

krb5_rcache_dir (sträng)

Katalog i filsystemet där SSSD skall spara Kerberos-cachefiler för återuppspelning.

Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för cachefilerna för återuppspelning.

Standard: distributionsspecifikt och anges vid byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat)

user (sträng)

Användaren att släppa privilegierna till där det är tillämpligt för att undvika att köra som användaren root. Detta alternativ fungerar vid körning som uttagsaktiverade tjänster, eftersom användaren som anges för att köra processerna anges vid kompileringstillfället. Sättet att åsidosätta systemd unit-filerna är genom att skapa de tillämpliga i /etc/systemd/system/. Kom ihåg att eventuella ändringar av uttagets användare, grupp eller rättigheter kan resultera i en oanvändbar SSSD. Samma sak kan hända vid ändring av användaren som kör NSS-respondenten.

Standard: inte angivet, processer kommer köra som root

default_domain_suffix (sträng)

Strängen kommer användas som ett standardnamn för domänen för alla namn utan en domännamnsdel. Det huvudsakliga användningsfallet är miljöer där primärdomänen är avsedd för hantering av värdpolicyer och alla användare är placerade i en betrodd domän. Alternativet låter dessa användare att logga in med bara sitt användarnamn utan att dessutom ange ett domännamn.

Observera att om denna flagga är satt måste alla användare från den primära domänen använda sina fullständiga namn, t.ex. användare@domän.namn, för att logga in. Att sätta denna flagga ändrar standardvärdet till use_fully_qualified_names till Sant. Det är inte tillåtet att använda denna flagga tillsammans med use_fully_qualified_names satt till Falskt. Ett undantag från denna regel är domäner med “id_provider=files” som alltid försöker matcha beteendet hos nss_files och därför är deras utdata inte kvalificerat ens när flaggan default_domain_suffix används.

Standard: inte satt

override_space (sträng)

Denna parameter kommer ersätta blanksteg (mellanslag) med det angivna tecknet i användar- och gruppnamn, t.ex. (_). Användarnamnet "sven svensson" blir "sven_svensson" Denna funktion lades till för att hjälpa till med kompatibiliteten med skalskript som har svårigheter att hantera blanka, på grund av att det är standardfältseparatorn i skalet.

Observera att det är ett konfigurationsfel att använda ett ersättningstecken som kan användas i användar- eller gruppnamn. Om ett namn innehåller ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i allmänhet är resultatet av en uppslagning odefinierat.

Standard: inte satt (blanka kommer inte ersättas)

certificate_verification (sträng)

Med denna parameter kan verifieringen av certifikatet justeras med en kommaseparerad lista av alternativ. Alternativ som stödjs är

no_ocsp

Avaktiverar kontroller enligt Online Certificate Status Protocol (OCSP). Detta kan behövas om OCSP-servrarna som definieras i certifikatet inte är nåbara från klienten.

soft_ocsp

If a connection cannot be established to an OCSP responder the OCSP check is skipped. This option should be used to allow authentication when the system is offline and the OCSP responder cannot be reached.

ocsp_dgst

Kontrollsumme- (hash-)funktion som används för att skapa certifikats-ID för OCSP-begäran. Tillåtna värden är:
•sha1
•sha256
•sha384
•sha512

Default: sha1 (to allow compatibility with RFC5019-compliant responder)

no_verification

Avaktiverar helt verifiering. Detta alternativ skall endast användas för testning.

ocsp_default_responder=URL

Anger standard-OCSP-respondent som skall användas istället för den som nämns i certifikatet. URL:en måste ersättas med URL:en till standard-OCSP-respondenten t.ex. http://example.com:80/ocsp.

ocsp_default_responder_signing_cert=NAMN

This option is currently ignored. All needed certificates must be available in the PEM file given by pam_cert_db_path.

crl_file=/SÖKVÄG/TILL/CRL/FIL

Use the Certificate Revocation List (CRL) from the given file during the verification of the certificate. The CRL must be given in PEM format, see crl(1ssl) for details.

soft_crl

If a Certificate Revocation List (CRL) is expired ignore the CRL checks for the related certificates. This option should be used to allow authentication when the system is offline and the CRL cannot be renewed.

Okända alternativ rapporteras men ignoreras.

Standard: inte satt, d.v.s begränsa inte certifikatverifieringen

disable_netlink (boolean)

SSSD-hakar in i netlink-gränssnittet för att övervaka förändringar av rutter, adresser, länkar och utlösa vissa åtgärder.

Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga och kan avaktiveras genom att sätta detta alternativ till ”true”

Standard: false (netlink-förändringar detekteras)

enable_files_domain (boolean)

När detta alternativ är aktiverat skjuter SSSD in en implicit domän med “id_provider=files” före några explicit konfigurerade domäner.

Standard: false

domain_resolution_order

Kommaseparerad lista av domäner och underdomäner som representerar ordningen av uppslagningar skall följa. Listan behöver inte innehålla alla möjliga domäner eftersom de saknade domänerna kommer slås upp baserat på ordningen de presenteras i konfigurationsalternativet “domains”. Underdomäner som inte är listade som en del av “lookup_order” kommer slås upp i en slumpvis ordning för varje föräldradomän.

Observera att när detta alternativ är satt är alltid utmatningsformatet för alla kommandon helt kvalificerat även när kortnamn används för indata, för alla användare utom de som hanteras av filleverantörer. Ifall administratören vill att utdata inte skall vara fullständigt kvalificerat kan alternativet full_name_format anges som visas nedan: “full_name_format=%1$s” Kom dock ihåg att under inloggningen kanoniserar inloggningsprogram ofta användarnamnet genom att anropa getpwnam(3) som, om ett kortnamn returneras för en kvalificerad inmatning (vid försök att nå en användare som finns i flera domäner) kan dirigera om inloggningsförsöket till domänen som använder kortnamn, vilket gör att denna metod absolut inte rekommenderas i fall där användarnamn kan överlappa mellan domäner.

Standard: inte satt

Inställningar som kan användas för att konfigurera olika tjänster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, för tjänsten NSS skulle sektionen vara “[nss]”

Dessa alternativ kan användas för att konfigurera alla tjänster.

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörskrasch eller -omstart innan de ger upp

Standard: 3

fd_limit

Detta alternativ anger det maximala antalet filbeskrivare som kan öppnas på en gång av denna SSSD-process. På system där SSSD ges förmågan CAP_SYS_RESOURCE kommer detta vara en absolut inställning. På system utan denna förmåga kommer det resulterande värdet vara det lägre av detta värde och den ”hårda” gränsen i limits.conf.

Standard: 8192 (eller den ”hårda” gränsen i limits.conf)

client_idle_timeout

Detta alternativ anger antalet sekunder som en klient till en SSSD-process kan hålla fast i en filbeskrivare utan att kommunicera över den. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Tidsgränsen kan inte vara kortare än 10 sekunder. Om ett lägre värde konfigureras kommer det att justeras till 10 sekunder.

Default: 60, KCM: 300

offline_timeout (heltal)

När SSSD byter till frånkopplat läge, kommer tiden före den försöker gå tillbaka till uppkopplat läge öka baserat på tiden tillbringad frånkopplad. Detta värde är i sekunder och beräknas enligt följande:

offline_timeout + slumptillägg

The random offset value is from 0 to 30. After each unsuccessful attempt to go online, the new interval is recalculated by the following:

new_interval = (old_interval * 2) + random_offset

Note that the maximum length of each interval is defined by offline_timeout_max, which defaults to one hour. If the calculated length of new_interval is greater than offline_timeout_max, it will be forced to the offline_timeout_max value.

Standard: 60

offline_timeout_max (integer)

Controls by how much the time between attempts to go online can be incremented following unsuccessful attempts to go online.

A value of 0 disables the incrementing behaviour.

The value of this parameter should be set in correlation to offline_timeout parameter value.

With offline_timeout set to 60 (default value) there is no point in setting offlinet_timeout_max to less than 120 as it will saturate instantly. General rule here should be to set offline_timeout_max to at least 4 times offline_timeout.

Although a value between 0 and offline_timeout may be specified, it has the effect of overriding the offline_timeout value so is of little use.

Default: 3600

responder_idle_timeout

Detta alternativ anger antalet sekunder som en SSSD-respondentprocess kan vara uppe utan att användas. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Det minsta acceptabla värdet för detta alternativ är 60 sekunder. Att sätta detta alternativ till 0 (noll) betyder att ingen tidsgräns kommer att sättas av respondenten. Detta alternativ har bara effekt när SSSD är byggt med stöd för systemd och när tjänster är antingen uttags- eller D-Bus-aktiverade.

Standard: 300

cache_first

Detta alternativ anger huruvida respondenten skall fråga alla cachar före den frågar dataleverantörerna.

Standard: false

Dessa alternativ kan användas för att konfigurera tjänsten Name Service Switch (NSS).

enum_cache_timeout (heltal)

Hur många sekunder skall nss_sss cacha uppräkningar (begäranden för information om alla användare)

Standard: 120

entry_cache_nowait_percentage (heltal)

Cachen över poster kan ställas in att automatiskt uppdatera poster i bakgrunden om de begärs utöver en procentsats av värdet entry_cache_timeout för domänen.

Till exempel, om domänens entry_cache_timeout är satt till 30 s och entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering.

Giltiga värden för detta alternativ är 0-99 och representerar en procentsats av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. (0 avaktiverar denna funktion)

Standard: 50

entry_negative_timeout (heltal)

Anger hur många sekunder nss_sss cachar negativa cacheträffar (det vill säga, frågor om ogiltiga databasposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

local_negative_timeout (heltal)

Anger hur många sekunder nss_sss skall hålla lokala användare och grupper i en negativ cache före den försöker slå upp dem i bakänden igen. Att ställa in alternativet till 0 avaktiverar denna funktion.

Standard: 14400 (4 timmar)

filter_users, filter_groups (sträng)

Uteslut vissa användare eller grupper från att hämtas från sss NSS-databasen. Detta är särskilt användbart för systemkonton. Detta alternativ kan också anges per domän eller inkludera fullständigt kvalificerade namn för att filtrera endast användare från den angivna domänen eller efter ett användarhuvudmansnamn (UPN).

OBS: alternativet filter_groups påverkar inte arvet av nästade gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvändarna i den senare listade.

Standard: root

filter_users_in_groups (bool)

Om du vill att filtrerade användare fortfarande skall vara gruppmedlemmar sätt då detta alternativ till false.

Standard: true

override_homedir (sträng)

Åsidosätt användarens hemkatalog. Du kan antingen ge ett absolut värde eller en mall. I mallen ersätts följande sekvenser:

%u

inloggningsnamn

%U

AID-nummer

%d

domännamn

%f

fullständigt kvalificerat användarnamn (användare@domän)

%l

Första bokstaven i inloggningsnamnet.

%P

UPN – Användarens Huvudmansnamn (namn@RIKE)

%o

Den ursprungliga hemkatalogen som hämtades från identitetsleverantören.

%H

Värdet på konfigurationsalternativet homedir_substring.

%%

ett bokstavligt ”%”

Detta alternativ kan även sättas per domän.

exempel:

override_homedir = /home/%u

Standard: Inte satt (SSSD kommer använda värdet som hämtas från LDAP)

homedir_substring (sträng)

Värdet på detta alternativ kommer användas i expansionen av alternativet override_homedir om mallen innehåller formatsträngen %H. En LDAP-katalogpost kan innehålla denna mall direkt så att detta alternativ kan användas för att expandera sökvägen till hemkatalogen för varje klientmaskin (eller operativsystem). Den kan sättas per domän eller globalt i avsnittet [nss]. Ett värde som anges i ett domänavsnitt kommer åsidosätta ett som är satt i avsnittet [nss].

Standard: /home

fallback_homedir (sträng)

Ange en standardmall för en användares hemkatalog om ingen uttryckligen anges av domänens dataleverantör.

De tillgängliga värdena för detta alternativ är samma som för override_homedir.

exempel:

fallback_homedir = /home/%u

Standard: inte satt (ingen ersättning för ej angivna hemkataloger)

override_shell (sträng)

Åsidosätt inloggningsskalet för alla användare. Detta alternativ går före alla andra skalalternativ om det har effekt och kan sättas antingen i sektionen [nss] eller per domän.

Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP)

allowed_shells (sträng)

Begränsa användarskal till ett av de listade värdena. Beräkningsordningen är:

1. Om skalet finns i “/etc/shells” används det.

2. Om skalet finns i listan allowed_shells men inte i “/etc/shells”, använd värdet på parametern shell_fallback.

3. Om skalet inte finns i listan allowed_shells och inte i “/etc/shells” används ett nologin-skal.

Jokertecknet (*) kan användas för att tillåta godtyckligt skal.

(*) är användbart om du vill använda shell_fallback ifall den användarens skal inte finns i “/etc/shells” och att underhålla listan över alla skal i allowed_shells skulle vara för mycket overhead.

En tom sträng som skal skickas som den är till libc.

“/etc/shells” läses bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behövs ifall ett nytt skal installeras.

Standard: inte satt. Användarens skal används automatiskt.

vetoed_shells (sträng)

Ersätt alla instanser av dessa skal med shell_fallback

shell_fallback (sträng)

Standardskalet att använda om ett tillåtet skal inte är installerat på maskinen.

Standard: /bin/sh

default_shell

Standardskalet att använda om leverantören inte returnerar något under uppslagningen. Detta alternativ kan anges globalt i sektionen [nss] eller per domän.

Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh)

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

memcache_timeout (integer)

Anger tiden i sekunder under vilken poster i minnescachen kommer vara giltiga. Att sätta detta alternativ till noll kommer avaktivera cachen i minnet.

Standard: 300

VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ påverkan på SSSD:s prestanda och skall bara användas för testning.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_passwd (integer)

Size (in megabytes) of the data table allocated inside fast in-memory cache for passwd requests. Setting the size to 0 will disable the passwd in-memory cache.

Standard: 8

WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_group (integer)

Size (in megabytes) of the data table allocated inside fast in-memory cache for group requests. Setting the size to 0 will disable the group in-memory cache.

Standard: 6

WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

memcache_size_initgroups (integer)

Size (in megabytes) of the data table allocated inside fast in-memory cache for initgroups requests. Setting the size to 0 will disable the initgroups in-memory cache.

Standard: 10

WARNING: Disabled or too small in-memory cache can have significant negative impact on SSSD's performance.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

user_attributes (sträng)

Några av de ytterligare NSS-respondentbegäranden kan returnera fler attribut än bara de som definieras av POSIX via NSS-gränssnittet. Listan av attribut styrs av detta alternativ. Det hanteras på samma sätt som alternativet “user_attributes” för InfoPipe-respondenten (se sssd-ifp(5) för detaljer) men utan standardvärden.

För att förenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-alternativet om det inte är satt för NSS-respondenten.

Standard: inte satt, gå tillbaka till InfoPipe-alternativet

pwfield (sträng)

Värdet som NSS-operationer som returnerar användare eller grupper kommer att returnera i fältet “password”.

Default: “*”

Note: This option can also be set per-domain which overwrites the value in [nss] section.

Default: “not set” (remote domains), “x” (the files domain), “x” (proxy domain with nss_files and sssd-shadowutils target)

Dessa alternativ kan användas för att konfigurera tjänsten Pluggable Authentication Module (PAM).

offline_credentials_expiration (heltal)

Om autentiseringsleverantören inte är ansluten, hur länge skall vi tillåta cachade inloggningar (i dagar efter den senaste lyckade uppkopplade inloggningen).

Standard: 0 (ingen gräns)

offline_failed_login_attempts (heltal)

Om autentiseringsleverantören inte är ansluten, hur många misslyckade inloggningsförsök är tillåtna.

Standard: 0 (ingen gräns)

offline_failed_login_delay (heltal)

Tiden i minuter som måste förflyta efter att offline_failed_login_attempts har nåtts före ett nytt inloggningsförsök är möjligt.

Om satt till 0 kan inte användaren autentisera om offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen.

Standard: 5

pam_verbosity (heltal)

Styr vilken sorts meddelanden som visas för användaren under autentisering. Ju högre tal desto fler meddelanden visas.

För närvarande stödjs följande värden:

0: visa inte några meddelanden

1: visa endast viktiga meddelanden

2: visa informationsmeddelanden

3: visa alla meddelanden och felsökningsinformation

Standard: 1

pam_response_filter (string)

En kommaseparerad lista av strängar som möjliggör att ta bort (filtrera) data skickat av PAM-respondenten till pam_sss-PAM-modulen. Det finns olika sorters svar skickade till pam_sss, t.ex. meddelanden som visas för användaren eller miljövariabler som skall sättas av pam_sss.

Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity gör detta alternativ att man kan filtrera ut andra sorters svar dessutom.

För närvarande stödjs följande filter:

ENV

Skicka inte några miljövariabler till någon tjänst.

ENV:varnamn

Skicka inte miljövariabeln varnamn till någon tjänst.

ENV:varnamn:tjänst

Skicka inte miljövariabeln varnamn till tjänst.

Standard: inte satt

Example: ENV:KRB5CCNAME:sudo-i

pam_id_timeout (heltal)

För alla PAM-begäranden när SSSD är uppkopplat kommer SSSD försöka att omedelbart uppdatera cachad identitetsinformation för användaren för att se till att autentisering sker med den senaste informationen.

En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom hantering av konto och öppning av en session. Detta alternativ styr (på per-klientprogrambasis) hur länge (i sekunder) vi kan cacha identitetsinformationen för att undvika överdrivna rundturer till identitetsleverantören.

Standard: 5

pam_pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Denna inställning kan åsidosättas genom att sätta pwd_expiration_warning för en viss domän.

Standard: 0

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

pam_trusted_users (sträng)

Anger den kommaseparerade listan av AID-värden eller användarnamn som tillåts köra PAM-konverteringar mot betrodda domäner. Användare som inte är inkluderade i denna lista kan endast komma åt domäner som är markerade som publika med “pam_public_domains”. Användarnamn slås upp till UID vid uppstart.

Standard: alla användare betraktas som betrodda som standard

Observera att AID 0 alltid tillåts komma åt PAM-respondenten även ifall den inte är i listan pam_trusted_users.

pam_public_domains (sträng)

Anger den kommaseparerade listan över domännamn som är åtkomliga även för ej betrodda användare.

Två speciella värden för alternativet pam_public_domains är definierade:

all (Ej betrodda användare tillåts komma åt alla domäner i PAM-respondenten.)

none (Ej betrodda användare tillåts inte att komma åt några domäner i PAM-respondenten.)

Standard: none

pam_account_expired_message (sträng)

Gör att det går att ange ett anpassat utgångsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om inte pam_verbosity är satt till 3 (visa alla meddelanden och felsökningsinformation).

exempel:

pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten.

Standard: none

pam_account_locked_message (sträng)

Gör att det går att ange ett anpassat utlåsningsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

exempel:

pam_account_locked_message = Kontot är låst, kontakta kundtjänsten.

Standard: none

pam_cert_auth (bool)

Aktivera certifikatbaserad smartkortsautentisering. Eftersom detta förutsätter ytterligare kommunikation med smartkortet vilket kommer fördröja autentiseringsprocessen är detta alternativ avaktiverat som standard.

Standard: False

pam_cert_db_path (sträng)

Sökvägen till certifikatdatabasen.

Standard:

•/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA certificates in PEM format)

p11_child_timeout (heltal)

Hur många sekunder pam_sss kommer vänta på p11_child att avsluta.

Standard: 10

pam_app_services (sträng)

Vilken PAM-tjänster tillåts att kontakta domäner av typen “application”

Standard: inte satt

pam_p11_allowed_services (heltal)

En kommaseparerad lista av PAM-tjänstenamn för vilka det kommer vara tillåtet att använda smarta kort.

Det är möjligt att lägga till ett annat PAM-tjänstenamn till standarduppsättningen genom att använda “+tjänstenamn” eller att uttryckligen ta bort ett PAM-tjänstenamn från standarduppsättningen genom att använda “-tjänstenamn”. Till exempel, för att byta ut ett standard-PAM-tjänstenamn för autentisering med smarta kort (t.ex. “login”) mot ett anpassat PAM-tjänstenamn (t.ex. “min_pam-tjänst”) skulle man använda följande konfiguration:

pam_p11_allowed_services = +min_pam-tjänst, -login

Standard: standarduppsättningen av PAM-tjänstenamn innefattar:

•login
•su
•su-l
•gdm-smartcard
•gdm-password
•kdm
•sudo
•sudo-i
•gnome-screensaver

p11_wait_for_card_timeout (heltal)

Om smartkortsautentisering krävs hur många extra sekunder utöver p11_child_timeout PAM-respondenten skall vänta på att ett smartkort sätts in.

Standard: 60

p11_uri (sträng)

PKCS#11 URI (se RFC-7512 för detaljer) som kan användas för att begränsa urvalet av enheter som används för smartkortsautentisering. Som standard kommer SSSD:s p11_child söka efter ett PKCS#11-fack (läsare) där flaggan ”removable” är satt och läsa certifikaten från det insatta elementet från det första facket som hittas. Om flera läsare är anslutna kan p11_uri användas för att säga till p11_child att använda en specifik läsare.

Exempel:

p11_uri = slot-description=Min%20smartkortsläsare

eller

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

För att hitta en lämplig URI, kontrollera felsökningsutdata från p11_child. Som ett alternativ kommer GnuTLS-verktyget ”p11tool” med t.ex. ”--list-all” visa även PKCS#11 URI:er.

Standard: none

pam_initgroups_scheme

PAM-respondenten kan framtvinga en uppkopplad uppslagning för att ta fram de aktuella gruppmedlemskapen för användaren som försöker logga in. Denna flagga styr när detta skall göras och följande värden är tillåtna:

always

Gör alltid en uppkopplad uppslagning, observera att pam_id_timeout fortfarande gäller

no_session

Gör bara en uppkopplad uppslagning om det inte finns någon aktiv session för användaren, d.v.s. om användaren inte är inloggad för närvarande

never

Gör aldrig uppkopplade uppslagningar, använd data från cachen så länge de inte har gått ut

Standard: no_session

pam_gssapi_services

Comma separated list of PAM services that are allowed to try GSSAPI authentication using pam_sss_gss.so module.

To disable GSSAPI authentication, set this option to “-” (dash).

Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.

Exempel:

pam_gssapi_services = sudo, sudo-i

Default: - (GSSAPI authentication is disabled)

pam_gssapi_check_upn

If True, SSSD will require that the Kerberos user principal that successfully authenticated through GSSAPI can be associated with the user who is being authenticated. Authentication will fail if the check fails.

If False, every user that is able to obtained required service ticket will be authenticated.

Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.

Standard: True

pam_gssapi_indicators_map

Comma separated list of authentication indicators required to be present in a Kerberos ticket to access a PAM service that is allowed to try GSSAPI authentication using pam_sss_gss.so module.

Each element of the list can be either an authentication indicator name or a pair “service:indicator”. Indicators not prefixed with the PAM service name will be required to access any PAM service configured to be used with pam_gssapi_services. A resulting list of indicators per PAM service is then checked against indicators in the Kerberos ticket during authentication by pam_sss_gss.so. Any indicator from the ticket that matches the resulting list of indicators for the PAM service would grant access. If none of the indicators in the list match, access will be denied. If the resulting list of indicators for the PAM service is empty, the check will not prevent the access.

To disable GSSAPI authentication indicator check, set this option to “-” (dash). To disable the check for a specific PAM service, add “service:-”.

Note: This option can also be set per-domain which overwrites the value in [pam] section. It can also be set for trusted domain which overwrites the value in the domain section.

Following authentication indicators are supported by IPA Kerberos deployments:

•pkinit -- pre-authentication using X.509 certificates -- whether stored in files or on smart cards.
•hardened -- SPAKE pre-authentication or any pre-authentication wrapped in a FAST channel.
•radius -- pre-authentication with the help of a RADIUS server.
•otp -- pre-authentication using integrated two-factor authentication (2FA or one-time password, OTP) in IPA.

Example: to require access to SUDO services only for users which obtained their Kerberos tickets with a X.509 certificate pre-authentication (PKINIT), set

pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit

Default: not set (use of authentication indicators is not required)

Dessa alternativ kan användas för att konfigurera tjänsten sudo. De detaljerade instruktionerna för konfiguration av sudo(8) för att fungera med sssd(8) finns i manualsidan sssd-sudo(5).

sudo_timed (bool)

Huruvida attributen sudoNotBefore och sudoNotAfter som implementerar tidsberoende sudoers-poster skall evalueras eller inte.

Standard: false

sudo_threshold (heltal)

Maximalt antal utgångna regler som kan uppdateras på en gång. Om antalet utgångna regler är under gränsen uppdateras dessa regler med mekanismen “regeluppdatering”. Om gränsen överskrids triggas en “fullständig uppdatering” av sudo-regler istället. Detta gränsvärde gäller även IPA-sudo-kommandon och kommandogruppsökningar.

Standard: 50

Dessa alternativ kan användas för att konfigurera tjänsten autofs.

autofs_negative_timeout (heltal)

Anger hur många sekunder autofs-respondenten cachar negativa cacheträffar (det vill säga, frågor om ogiltiga mappningsposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

Observera att automounter:n bara läser master-kartan vid uppstart, så om några autofs-relaterade ändringar görs av sssd.conf behöver du normalt även starta om automounter-demonen efter att ha startat om SSSD.

Dessa alternativ kan användas för att konfigurera tjänsten SSH.

ssh_hash_known_hosts (bool)

Huruvida värdnamn och adresser i den hanterade filen known_hosts skall göras till kontrollsummor eller inte.

Standard: true

ssh_known_hosts_timeout (heltal)

Hur många sekunder en värd behålls i den hanterade filen known_hosts efter att dess värdnycklar begärdes.

Standard: 180

ssh_use_certificate_keys (bool)

Om satt till true kommer sss_ssh_authorizedkeys returnera ssh-nycklar härledda från den publika nyckeln i X.509-certifikat även lagrade i användarposten. Se sss_ssh_authorizedkeys(1) för detaljer.

Standard: true

ssh_use_certificate_matching_rules (sträng)

Som standard kommer ssh-respondenten använda alla tillgängliga certifikatmatchningsregler för att filtrera certifikaten så att ssh-nycklar bara härleds från de matchande. Med denna flagga kan de använda reglerna begränsas med en kommaseparerad lista av avbildningar och matchande regelnamn. Alla andra regler kommer ignoreras.

Det finns två speciella nyckelord ”all_rules” och ”no_rules” som kommer aktivera alla respektive inga regler. Det senare betyder att inga certifikat kommer filtreras ut och att ssh-nycklar kommer genereras från alla giltiga certifikat.

Om inga regler är konfigurerade kommer att använda ”all_rules” aktivera en standardregel som aktiverar alla certifikat som passar klientautentiseringen. Detta är samma beteende som för PAM-respondenten om certifikatautentisering är aktiverat.

Ett namn på en regel som inte finns anses som ett fel. Om som ett resultat ingen regel blir vald kommer alla certifikat ignoreras.

Default: not set, equivalent to 'all_rules', all found rules or the default rule are used

ca_db (sträng)

Sökväg till lagring av betrodda CA-certifikat. Alternativet används för att validera användarcertifikat före publika ssh-nycklar härleds från dem.

Standard:

•/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA certificates in PEM format)

PAC-respondenten fungerar tillsammans med insticksmodulen för auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en underdomänsleverantör. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar domän-SID och ID-intervall för domänen klienten går med i och från betrodda domäner från den lokala domänhanteraren. Om PAC:en är avkodad och beräknad kommer några av följande operationer att göras:
•Om fjärranvändaren inte finns i cachen skapas den. AID:t avgörs med hjälp av SID:t, betrodda domäner kommer ha UPG:er och GID:t kommer ha samma värde som AID:t. Hemkatalogen är satt baserat på parametern subdomain_homedir. Skalet kommer vara tomt som standard, d.v.s. systemstandarden används, men kan skrivas över med parametern default_shell.
•Om det finns SID:er av grupper från domäner sssd känner till kommer användaren läggas till i dessa grupper.

Dessa alternativ kan användas för att konfigurera PAC-respondenten.

allowed_uids (sträng)

Anger den kommaseparerade listan av AID-värden eller användarnamn som tillåts använda PAC-respondenten. Användarnamn slås upp till AID:er vid uppstart.

Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten)

Observera att även om AID 0 används som standard kommer det att skrivas över av detta alternativ. Om du fortfarande vill tillåta root-användaren att komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även 0 i listan av tillåtna AID:er.

pac_lifetime (heltal)

Livslängd på PAC-posterna i sekunder. Så länge som PAC:en är giltig kan PAC-datan användas för att avgöra gruppmedlemskap för en användare.

Standard: 300

Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, för att logga vad användaren ser och skriver när de är inloggade på en textterminal. Se även sssd-session-recording(5).

Dessa alternativ kan användas för att konfigurera inspelning av sessioner.

scope (sträng)

En av följande strängar anger utsträckningen för inspelning av sessioner:

”none”

Inga användare spelas in.

”some”

Användare/grupper angivna i alternativen users och groups spelas in.

”all”

Alla användare spelas in.

Standard: ”none”

users (sträng)

En kommaseparerad lista över användare vilka skall ha inspelning av sessioner aktiverat. Matchar användarnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

Standard: Tomt. Matchar inte några användare.

groups (sträng)

En kommaseparerad lista över gruppmedlemmar vilka skall ha inspelning av sessioner aktiverat. Matchar gruppnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.

Standard: Tom. Matchar inga grupper.

exclude_users (string)

A comma-separated list of users to be excluded from recording, only applicable with 'scope=all'.

Default: Empty. No users excluded.

exclude_groups (string)

A comma-separated list of groups, members of which should be excluded from recording. Only applicable with 'scope=all'.

OBSERVERA: att använda detta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.

Default: Empty. No groups excluded.

Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, det vill säga en sektion som heter “[domain/NAMN]”

enabled

Explicitly enable or disable the domain. If “true”, the domain is always “enabled”. If “false”, the domain is always “disabled”. If this option is not set, the domain is enabled only if it is listed in the domains option in the “[sssd]” section.

domain_type (sträng)

Anger huruvida domänen är avsedd att användas av POSIX-kunniga klienter såsom Name Service Switch eller av program som inte behöver att POSIX-data finns eller genereras. Endast objekt från POSIX-domäner är tillgängliga för operativsystemets gränssnitt och verktyg.

Tillåtna värden på detta alternativ är “posix” och “application”.

POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten.

OBSERVERA: Programdomänerna är för närvarande bara vältestade med “id_provider=ldap”.

För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet “Programdomäner”.

Standard: posix

min_id,max_id (heltal)

AID- och GID-gränser för domänen. Om en domän innehåller en post som ligger utanför dessa gränser ignoreras den.

För användare påverkar detta gränsen för det primära GID:t. Användaren kommer inte returneras till NSS om antingen AID:t eller det primära GID:t ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som ligger i intervallet rapporteras som förväntat.

Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast när de returneras via namn eller ID.

Standard: 1 för min_id, 0 (ingen gräns) för max_id

enumerate (bool)

Bestämmer om en domän kan räknas upp, det vill säga, huruvida domänen kan lista alla användare och grupper den innehåller. Observera att det inte är nödvändigt att aktivera uppräkning för att sekundära grupper skall visas. Denna parameter kan ha ett av följande värden:

TRUE = Användare och grupper räknas upp

FALSE = Inga uppräkningar för denna domän

Standard: FALSE

Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och grupposter från fjärrservern.

Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD medan uppräkningen pågår. Det kan ta upp till flera minuter efter att SSSD startat upp för att helt fullborda uppräkningar. Under denna tid kommer enskilda begäranden om information att gå direkt till LDAP, fast det kan vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att spara ett stort antal poster i cachen efter att uppräkningen är klar kan också vara CPU-intensivt eftersom medlemskap måste beräknas om. Detta kan leda till att processen “sssd_be” blir oåtkomlig eller till och med startas om av den interna vakthunden.

Medan den första uppräkningen körs kan begäranden om den fullständiga användar- eller grupplistan returnera utan resultat tills den är färdig.

Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka urkoppling av nätverk, eftersom längre tidsgränser behövs för att säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer information, se manualsidorna för den specifika id-leverantören som används.

Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i stora miljöer.

subdomain_enumerate (sträng)

Huruvida några av de automatiskt upptäckta betrodda domänerna skall räknas upp. De värden som stödjs är

all

Alla upptäckta betrodda domäner kommer räknas upp

none

Inga upptäckta betrodda domäner kommer räknas upp

Om så önskas kan en lista med en eller flera domännamn aktivera uppräkning bara för dessa betrodda domäner.

Standard: none

entry_cache_timeout (heltal)

Hur många sekunder nss_sss skall anse poster giltiga före den frågar bakänden igen

Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast effekt för nyligen tillagda eller utgångna poster. Du skall köra verktyget sss_cache(8) för att tvinga fram en uppdatering av poster som redan har cachats.

Standard: 5400

entry_cache_user_timeout (heltal)

Hur många sekunder nss_sss skall anse användarposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_group_timeout (heltal)

Hur många sekunder nss_sss skall anse grupposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_netgroup_timeout (heltal)

Hur många sekunder nss_sss skall anse nätgruppsposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_service_timeout (heltal)

Hur många sekunder nss_sss skall anse tjänsteposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_resolver_timeout (heltal)

Hur många sekunder nss_sss skall anse värd- och nätgruppsposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_sudo_timeout (heltal)

Hur många sekunder sudo skall anse regler giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_autofs_timeout (heltal)

Hur många sekunder tjänsten autofs skall anse automatmonteringskartor giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_ssh_host_timeout (heltal)

Hur många sekunder en värds ssh-nyckel behålls efter en uppdatering. D.v.s. hur länge värdnyckeln skall cachas.

Standard: entry_cache_timeout

entry_cache_computer_timeout (heltal)

Hur många sekunder som den lokala datorns post sparas före bakänden frågas igen

Standard: entry_cache_timeout

refresh_expired_interval (heltal)

Anger hur många sekunder SSSD måste vänta före en uppdateringsuppgift startas i bakgrunden som kommer uppdatera alla utgångna eller nästan utgångna poster.

Bakgrundsuppdateringen kommer behandla användare, grupper och nätgrupper i cachen. För användare som har utfört operationen initgroups (hämta gruppmedlemskap för en användare, normalt kört vid inloggning) tidigare uppdateras både användarposten och gruppmedlemskapet.

Denna flagga ärvs automatiskt för alla betrodda domäner.

Du kan överväga att sätta detta värde till ¾ ⋅ entry_cache_timeout.

Cacheposter kommer uppdateras av ett bakgrundsjobb när ⅔ av cachetidsgränsen redan har gått. Om det finns cachade poster kommer bakgrundsjobbet referera till deras urpsprungliga cachetidsgränsvärden istället för det aktuella konfiguartionsvärdet. Detta kan leda till en situation där bakgrundsuppdateringsjobbet förefaller inte fungera. Detta är gjort med avsikt för att förbättra funktionen i frånkopplat läge och återanvändning av giltiga cacheposter. För att göra denna ändring omedelbart kan användaren vilja manuellt invalidera den befintliga cachen.

Standard: 0 (avaktiverat)

cache_credentials (bool)

Bestämmer om användarkreditiv också cachas i den lokala LDB-cachen

Användarkreditiv sparas i en SHA512-kontrollsumma, inte i klartext

Standard: FALSE

cache_credentials_minimal_first_factor_length (heltal)

Om 2-faktorautentisering (2FA) används och kreditiv skall sparas avgör detta värde den minsta längden den första autentiseringsfaktorn (långvarigt lösenord) måste ha för att sparas som en SHA512-kontrollsumma i cachen.

Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande attacker.

Standard: 8

account_cache_expiration (heltal)

Antal dagar poster sparas i cachen efter den senaste lyckade inloggningen före de tas bort under en rensning av cachen. 0 betyder behåll för alltid. Värdet på denna parameter måste vara större än eller lika med offline_credentials_expiration.

Standard: 0 (obegränsat)

pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning. Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden.

Standard: 7 (Kerberos), 0 (LDAP)

id_provider (sträng)

Identifikationsleverantören som används för domänen. ID-leverantörer som stödjs är:

“proxy”: Stöd en tidigare NSS-leverantör.

“files”: FIL-leverantör. Se sssd-files(5) för mer information om hur lokala användare och grupper kan speglas in i SSSD.

“ldap”: LDAP-leverantör. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

use_fully_qualified_names (bool)

Använd det fullständiga namnet och domänen (formaterat med domänens full_name_format) som användarens inloggningsnamn rapporterat till NSS.

Om satt till TRUE måste alla begäranden till denna domän använda fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL som innehåller en användare ”test”, skulle getent passwd test inte hitta användaren medan getent passwd test@LOKAL skulle det.

OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på grund av deras tendens att innehålla nästade nätgrupper utan kvalificerade namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat namn begärs.

Standard: FALSE (TRUE för betrodda domäner/underdomäner eller om default_domain_suffix används)

ignore_group_members (bool)

Returnera inte gruppmedlemmar för gruppuppslagningar.

Om satt till TRUE begärs inte attributet gruppmedlemskap från ldap-servern, och gruppmedlemmar returneras inte vid behandling av gruppuppslagningsanrop, såsom getgrnam(3) eller getgrgid(3). Som en effekt skulle “getent group $groupname” returnera den begärda gruppen som om den vore tom.

Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som innehåller många medlemmar.

Standard: FALSE

auth_provider (sträng)

Autentiseringsleverantören som används för domänen. Leverantörer som stödjs är:

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för Kerberosautentisering. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare autentiseringen till något annat PAM-mål.

“none” avaktiverar explicit autentisering.

Standard: “id_provider” används om det är satt och kan hantera autentiseringsbegäranden.

access_provider (sträng)

Leverantören av åtkomstkontroll för domänen. Det finns två inbyggda åtkomstleverantörer (utöver alla inkluderade i installerade bakändar). Interna specialleverantörer är:

“permit” tillåt alltid åtkomst. Det är den enda tillåtna åtkomstleverantören för en lokal domän.

“deny” neka alltid åtkomst.

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“simple” åtkomstkontroll baserat på åtkomst- eller nekandelistor. Se sssd-simple(5) för mer information om att konfigurera åtkomstmodulen simple.

“krb5”: .k5login-baserad åtkomstkontroll. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“proxy” för att skicka vidare åtkomstkontroll till någon annan PAM-modul.

Standard: “permit”

chpass_provider (sträng)

Leverantören som skall hantera lösenordsändringar för domänen. Leverantörer av lösenordsändring som stödjs är:

“ldap” för att ändra lösenord lagrade i en LDAP-server. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för att ändra Kerberoslösenordet. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare lösenordsändringar till något annat PAM-mål.

“none” tillåter uttryckligen inte lösenordsändringar.

Standard: “auth_provider” används om det är satt och kan hantera begäranden om ändring av lösenord.

sudo_provider (sträng)

SUDO-leverantören som används för domänen. SUDO-leverantörer som stödjs är:

“ldap” för regler lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” samma som “ldap” men med standardsinställningar för IPA.

“ad” samma som “ldap” men med standardsinställningar för AD.

“none” avaktiverar explicit SUDO.

Standard: värdet på “id_provider” används om det är satt.

De detaljerade instruktionerna för att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns många konfigurationsalternativ som kan användas för att justera beteendet. Se ”ldap_sudo_*” i sssd-ldap(5).

OBSERVERA: Sudo-regler hämtas periodiskt i bakgrunden om inte sudo-leverantören uttryckligen avaktiverats. Ange sudo_provider = None för att avaktivera all sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls.

selinux_provider (sträng)

Leverantören som skall hantera inläsning av selinux-inställningar. Observera att denna leverantör kommer anropas direkt efter att åtkomstleverantören avslutar. Selinux-leverantörer som stödjs är:

“ipa” för att läsa in selinux-inställningar från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” tillåter uttryckligen inte att hämta selinux-inställningar.

Standard: “id_provider” används om det är satt och kan hantera begäranden om inläsning av selinux.

subdomains_provider (sträng)

Leverantören som skall hantera hämtandet av underdomäner. Detta värde skall alltid vara samma som id_provider. Underdomänsleverantörer som stödjs är:

“ipa” för att läsa in en lista av underdomäner från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa in en lista av underdomäner från en Active Directory-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” tillåter uttryckligen inte att hämta underdomäner.

Standard: värdet på “id_provider” används om det är satt.

session_provider (sträng)

Leverantören som konfigurerar och hanterar uppgifter relaterade till användarsessioner. De enda användarsessionsuppgifter som för närvarande tillhandahålls är integration med Fleet Commander, vilket fungerar endast med IPA. Sessionsleverantörer som stödjs är:

“ipa” för att utföra uppgifter relaterade till användarsessioner.

“none” utför inte någon sorts uppgifter relaterade till användarsessioner.

Standard: “id_provider” används om det är satt och kan utföra sessionsrelaterade uppgifter.

OBSERVERA: För att denna funktion skall fungera som förväntat måste SSSD köra som ”root” och inte som den oprivilegierade användaren.

autofs_provider (sträng)

Autofs-leverantören som används för domänen. Autofs-leverantörer som stödjs är:

“ldap” för att läsa mappar lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” för att läsa mappar lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa mappar lagrade i en AD-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” avaktiverar explicit autofs.

Standard: värdet på “id_provider” används om det är satt.

hostid_provider (sträng)

Leverantören som används för att hämta värdidentitetsinformation. Värd-id-leverantörer som stödjs är:

“ipa” för att läsa värdidentiteter lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” avaktiverar explicit värd-id:n.

Standard: värdet på “id_provider” används om det är satt.

resolver_provider (sträng)

Leverantören som skall hantera värd- och nätverksuppslagningar. Uppslagsleverantörer som stödjs är:

“proxy” för att vidarebefordra uppslagningar till ett annat NSS-bibliotek. Se “proxy_resolver_lib_name”

“ldap” för att hämta värdar och nätverk lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ldap” för att hämta värdar och nätverk lagrade i AD. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” tillåter uttryckligen inte att hämta värdar och nätverk.

Standard: värdet på “id_provider” används om det är satt.

re_expression (sträng)

Reguljärt uttryck för denna domän som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter. Domänen kan matcha antingen domännamnet i SSSD-konfigurationen eller, i fallet med betrodda underdomäner i IPA och Active Directory-domäner, det platta (NetBIOS) namnet på domänen.

Standard för leverantörerna AD och IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” vilket tillåter tre olika stilar av användarnamn:

•användarnamn
•användarnamn@domän.namn
•domän\användarnamn

Medan de första två motsvarar det allmänna standardfallet introduceras den tredje för att tillåta enkel integration av användare från Windows-domäner.

Standard: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” vilket kan översättas till ”namnet är allting fram till tecknet “@”, sedan är domänen allting efter det”

OBS: några Active Directory-grupper, typiskt de som används för MS Exchange innehåller ett “@”-tecken i namnet, vilket kolliderar med standardvärdet på re_expression för AD- och IPA-leverantörer. Överväg för att stödja dessa grupper att ändra värdet på re_expression till: “((?P<name>.+)@(?P<domain>[^@]+$))”.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Standard: “%1$s@%2$s”.

lookup_family_order (sträng)

Ger möjligheten att välja föredragen adressfamilj att använda vid DNS-uppslagningar.

Värden som stödjs:

ipv4_first: Försök slå upp IPv4-adresser, om det misslyckas, prova IPv6

ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser.

ipv6_first: Försök slå upp IPv6-adresser, om det misslyckas, prova IPv4

ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser.

Standard: ipv4_first

dns_resolver_timeout (heltal)

Definierar tiden (i sekunder) att vänta på ett svar från den interna reservtjänsten före man antar att tjänsten inte kan nås. Om denna tidsgräns nås kommer domänen fortsätta att fungera i frånkopplat läge.

Se avsnittet “RESERVER” för mer information om tjänstevalet.

Standard: 6

dns_discovery_domain (sträng)

Om tjänsteupptäckt används i bakänden anger domändelen av tjänstens DNS-fråga om tjänsteupptäckt.

Standard: använd domändelen av maskinens värdnamn

override_gid (heltal)

Ersätt det primära GID-värdet med det angivna.

case_sensitive (sträng)

Behandla användar- och gruppnamn som skiftlägeskänsliga. Möjliga värden på alternativet är:

True

Skiftlägeskänsligt. Detta värde är inte giltigt för AD-leverantörer.

False

Skiftlägesokänsligt.

Preserving

Samma som False (skiftlägesokänsligt), men skiftar inte ner namn i resultaten från NSS-operationer. Observera att namnalias (och i fallet med tjänster även protokollnamn) fortfarande skiftas ner i utdata.

If you want to set this value for trusted domain with IPA provider, you need to set it on both the client and SSSD on the server.

This option can be also set per subdomain or inherited via subdomain_inherit.

Standard: True (False för AD-leverantören)

subdomain_inherit (sträng)

Anger en lista av konfigurationsparametrar som skall ärvas av underdomänen. Observera att endast valda parametrar kan ärvas. För närvarande kan följande alternativ ärvas:

ignore_group_members

ldap_purge_cache_timeout

ldap_use_tokengroups

ldap_user_principal

ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte ldap_krb5_keytab sätts särskilt)

auto_private_groups

case_sensitive

Exempel:

subdomain_inherit = ldap_purge_cache_timeout

Standard: none

Observera: detta alternativ fungerar endast med leverantörerna IPA och AD.

subdomain_homedir (sträng)

Använd denna hemkatalog som standardvärde för alla underdomäner inom denna domän i IPA AD-förtroende. Se override_homedir för information om möjliga värden. Utöver dessa kan expansionen nedan endast användas med subdomain_homedir.

%F

platt (NetBIOS) namn på en underdomän.

Värdet kan åsidosättas av alternativet override_homedir.

Standard: /home/%d/%u

realmd_tags (sträng)

Diverse taggar lagrade av realmd-konfigurationstjänsten för denna domän.

cached_auth_timeout (heltal)

Anger tiden i sekunder sedan senaste lyckade uppkopplade autentisering under vilka användaren kommer autentiseras med cachade kreditiv medan SSSD är i uppkopplat läge. Om kreditiven är felaktiga faller SSSD tillbaka till uppkopplad autentisering.

Detta alternativs värde ärvs av alla betrodda domäner. För närvarande är det inte möjligt att ange olika värden för varje betrodd domän.

Specialvärdet 0 betyder att denna funktion är avaktiverad.

Observera att om “cached_auth_timeout” är längre än “pam_id_timeout” kan bakänden anropas för att hantera “initgroups.”

Standard: 0

auto_private_groups (sträng)

Detta alternativ tar något av tre tillgängliga värden:

true

Skapa användares privata grupp ovillkorligt från användarens AID-nummer. GID-numret ignoreras i detta läge.

OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från AID-numret stödjs det inte att ha flera poster med samma AID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer över hela ID-rymden.

false

Använd alltid användarens primära GID-nummer. GID-numret måste referera till ett gruppobjekt i LDAP-databasen.

hybrid

En primär grupp autogenereras för användarposter vars AID- och GID-nummer har samma värde och GID-numret på samma gång inte motsvarar ett verkligt gruppobjekt i LDAP. Om värdena är samma, men det primära GID:t i användarposten även används av ett gruppobjekt slås användarens primära GID upp till det gruppobjektet.

Om användarens AID och GID är olika måste GID:t motsvara en gruppost, annars kan GID:t helt enkelt inte slås upp.

Denna funktion är användbar i miljöer som vill sluta underhålla separata gruppobjekt för användares privata grupper, men även vill behålla de befintliga användarnas privata grupper.

För underdomäner är standardvärdet False för underdomäner som använder tilldelade POSIX ID:n och True för underdomäner som använder automatisk ID-översättning.

Värdet på auto_private_groups kan antingen anges per underdomän i en undersektion, till exempel:

[domain/forest.domain/sub.domain]
auto_private_groups = false

eller globalt för alla underdomäner i huvuddomänavsnittet genom att använda alternativet subdomain_inherit:

[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false

Giltiga alternativ för proxy-domäner.

proxy_pam_target (sträng)

Proxymålet PAM är en proxy för.

Standard: inte satt som standard, du måste ta en befintlig pam-konfiguration eller skapa en ny och lägga till tjänstenamnet här.

proxy_lib_name (sträng)

Namnet på NSS-biblioteket att använda i proxy-domäner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_files_getpwent.

proxy_resolver_lib_name (sträng)

Namnet på NSS-biblioteket att använda för uppslagning av värdar och nätverk i proxy-domäner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_dns_gethostbyname2_r.

proxy_fast_alias (boolean)

När en användare eller grupp slås upp efter namn i proxy-leverantören görs en andra uppslagning efter ID för att "kanonisera" namnet i händelse det begärda namnet var ett alias. Att sätta detta alternativ till sant skulle få SSSD att utföra ID-uppslagningen från cachen av prestandaskäl.

Standard: false

proxy_max_children (heltal)

Detta alternativ anger antalet i förhand avgrenade proxy-barn. Det är användbart för SSSD-miljöer med hög last där sssd kan få slut på tillgängliga barnfack, vilket skulle orsaka problem på grund av att begäranden skulle köas upp.

Standard: 10

SSSD, med sitt D-Bus-gränssnitt (se sssd-ifp(5)) är tilltalande för program som en portgång till en LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den traditionella SSSD-installationen där alla användare och grupper antingen har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, har i många fall användarna och grupperna i programstödsscenariot inga POSIX-attribut. Istället för att göra en sektion “[domain/NAMN]” kan administratören skapa en sektion “[application/NAMN]” som internt representerar en domän med typen “application” och eventuellt ärver inställningar från en traditionell SSSD-domän.

Observera att programdomänen fortfarande uttryckligen måste aktiveras i parametern “domains” så att uppslagningsordningen mellan programdomänen och dess POSIX-syskondomän sätts korrekt.

Programdomänparametrar

inherit_from (sträng)

Den SSSD-domän av POSIX-typ som programdomänen ärver alla inställningar ifrån. Programdomänen kan dessutom lägga till sina egna inställningar till programinställningarna som kompletterar eller åsidosätter “syskon”domänens inställningar.

Standard: inte satt

Följande exempel illustrerar användningen av en programdomän. I denna uppsättning är POSIX-domänen kopplad till en LDAP-server och används av OS:et via NSS-respondenten. Dessutom begär programdomänen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gör attributet telefon nåbart via D-Bus-gränssnittet.

[sssd]
domains = progdom, posixdom
[ifp]
user_attributes = +telefon
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/progdom]
inherit_from = posixdom
ldap_user_extra_attrs = telefon:telephoneNumber

Några alternativ som används i domänsektionen kan även användas i sektionen för betrodda domäner, det vill säga, i en sektion som heter “[domain/DOMÄNNAMN/NAMN_PÅ_BETRODD_DOMÄN]”. Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel nedan för förklaring. För närvarande stödda alternativ i sektionen för betrodda domäner är:

ldap_search_base,

ldap_user_search_base,

ldap_group_search_base,

ldap_netgroup_search_base,

ldap_service_search_base,

ldap_sasl_mech,

ad_server,

ad_backup_server,

ad_site,

use_fully_qualified_names

pam_gssapi_services

pam_gssapi_check_upn

För fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan.

För att tillåta autentisering med smartkort och certifikat måste SSSD kunna översätta certifikat till användare. Detta kan göras genom att lägga till det fullständiga certifikatet till användarens LDAP-objekt eller till en lokal ersättning. Medan det krävs att man använder det fullständiga certifikatet för att använda funktionen smartkortsautentisering i SSH (se sss_ssh_authorizedkeys(8) för detaljer) kan det vara besvärligt eller kanske inte ens möjligt att använda detta i det allmänna fallet när lokala tjänster använder PAM för autentisering.

För att göra översättningen mer flexibel lades översättnings- och matchningsregler till till SSSD (se sss-certmap(5) för detaljer).

En översättnings- och matchningsregel kan läggas till till SSSD-konfigurationen i en egen sektion för sig själv med ett namn som “[certmap/DOMÄNNAMN/REGELNAMN]”. I denna sektion är följande alternativ tillåtna:

matchrule (sträng)

Endast certifikat från smartkort som matchar denna regel kommer bearbetas, alla andra ignoreras.

Standard: KRB5:<EKU>clientAuth, d.v.s. endast certifikat som har Extended Key Usage “clientAuth”

maprule (sträng)

Definierar hur användaren hittas för ett givet certifikat.

Standard:

•LDAP:(userCertificate;binary={cert!bin}) för LDAP-baserade leverantörer som “ldap”, “AD” eller “ipa”.
•REGELNAMNet för leverantören “files” som försöker hitta en användare med samma namn.

domains (sträng)

Kommaseparerad lista av domännamn regeln skall användas på. Som standard är endast en regel giltig i domänen där den är konfigurerad i sssd.conf. Om leverantören stödjer underdomäner kan detta alternativ användas för att lägga till regeln till underdomäner också.

Standard: den konfigurerade domänen i sssd.conf

priority (heltal)

Teckenlöst heltalsvärde som definierar prioriteten för regeln. Ju högre talet är desto lägre är prioriteten. “0” står för den högsta prioriteten medan “4294967295” är den lägsta.

Standard: den lägsta prioriteten

För att göra konfigurationen enkel och reducera mängden konfigurationsalternativ har leverantören “files” några speciella egenskaper:

•om maprule inte är satt antas namnet REGELNAMN vara namnet på den matchande användaren
•om en maprule används måste både ett ensamt användarnamn eller en mall som “{subject_rfc822_name.short_name}” vara i krullparenteser som t.ex. “(username)” eller “({subject_rfc822_name.short_name})”
•alternativet “domains” ignoreras

Om en särskild fil (/var/lib/sss/pubconf/pam_preauth_available) finns kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda på vilka autentiseringsmetoder som är tillgängliga för användaren som försöker logga in. Baserat på resultatet kommer pam_sss fråga användaren efter tillämpliga kreditiv.

Med det växande antalet autentiseringsmetoder och möjligheten att det finns flera olika för en enskild användare kan det hända att heuristiken som används av pam_sss för att välja fråga inte är lämplig för alla användarfall. Följande alternativ bör ge en bättre flexibilitet här.

Varje autentiseringsmetod som stödjs har sin egen konfigurationsundersektion under “[prompting/...]”. För närvarande finns det:

[prompting/password]

för att konfigurera lösenordsfråga är de tillåtna alternativen:

password_prompt

för att ändra strängen i lösenordsfrågan

[prompting/2fa]

för att konfigurera frågor för tvåfaktorautentisering är de tillåtna alternativen:

first_prompt

för att ändra strängen som frågar efter den första faktorn

second_prompt

för att ändra strängen som frågar efter den andra faktorn

single_prompt

booleskt värde, om True kommer det bara vara en fråga som använder värdet på first_prompt där det förväntas att båda faktorerna matas in som en enda sträng

Det är möjligt att lägga till en undersektion för specifika PAM-tjänster som t.ex. “[prompting/password/sshd]” för att ändra frågorna enskilt för denna tjänst.

1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av själva domänerna – se dokumentationen om att konfigurera domäner för fler detaljer.
[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

2. Följande exempel visar konfigurationen av IPA AD-förtroende i en förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera kortnamn i barndomänen skall följande konfiguration användas.

[domain/ipa.se/barn.ad.se]
use_fully_qualified_names = false

3. Följande exempel visar konfigurationen för två certifikatmappningsregler. Den första är giltig för den konfigurerade domänen “min.domän” och dessutom för underdomänerna “din.domän” och använder det fullständiga certifikatet i sökfiltret. Det andra exemplet är giltigt för domänen “files” där det antas att files-leverantören används för denna domän och innehåller en matchande regel för den lokala användaren “mittnamn”.

[certmap/min.domän/rule_name]
matchrule = <ISSUER>^CN=My-CA,DC=MIN,DC=DOMÄN$
maprule = (userCertificate;binary={cert!bin})
domains = min.domän, din.domän
priority = 10
[certmap/files/mittnamn]
matchrule = <ISSUER>^CN=My-CA,DC=MIN,DC=DOMÄN$<SUBJECT>^CN=User.Name,DC=MIN,DC=DOMÄN$

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

SSSD uppströms – https://github.com/SSSD/sssd/
02/20/2021 SSSD