SSSD.CONF(5) Filformat och konventioner SSSD.CONF(5) NAME sssd.conf - konfigurationsfilen for SSSD FILFORMAT Filen har en syntax i ini-stil och bestar av sektioner och parametrar. En sektion borjar med namnet pa sektionen i hakparenteser och fortsatter tills nasta sektion borjar. Ett exempel pa en sektion med enkla och flervarda parametrar: [sektion] nyckel = varde nyckel2 = varde2,varde3 Datatyperna som anvands ar strang (inga citationstecken behovs), heltal och bool (med vardena "TRUE/FALSE"). En kommentarsrad borjar med ett nummertecken ("#") eller ett semikolon (";"). Kommentarer inom raden stodjs inte. Alla sektioner kan valfritt ha en parameter description. Dess funktion ar endast som en etikett for sektionen. sssd.conf maste vara en normal fil, agd av root och endast root far lasa fran eller skriva till filen. KONFIGURATIONSSNUTTAR FRAN EN INCLUDE-KATALOG Konfigurationsfilen sssd.conf kommer inkludera konfigurationssnuttar fran include-katalogen conf.d. Denna funktion ar tillganglig om SSSD kompilerades med version 1.3.0 eller senare av libini. Filer lagda i conf.d som slutar med ".conf" och inte borjar med en punkt (".") kommer anvandas tillsammans med sssd.conf for att konfigurera SSSD. Konfigurationssnuttarna fran conf.d har hogre prioritet an sssd.conf och kommer asidosatta sssd.conf nar konflikter uppstar. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat pa lokalen). Filer som inkluderas senare har hogre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjalpa till att visualisera prioriteten (hogre tals betyder hogre prioritet). Snuttfilerna behover samma agare och rattigheter som sssd.conf. Vilket som standard ar root:root och 0600. ALLMANNA FLAGGOR Foljande flaggor ar anvandbara i mer an en konfigurationssektion. Flaggor anvandbara i alla sektioner debug_level (heltal) SSSD stodjer tva representationer for att ange felsokningsniva. Det enklaste ar att ange ett decimalt varde fran 0-9 som representerar aktivering av den nivan och alla lagre nivaer av felsokningsmeddelanden. Det mer fullstandiga alternativet ar att ange en hexadecimal bitmask for att aktivera eller avaktivera specifika nivaer (sasom om du onskar undertrycka en niva). Observera att varje SSSD-tjanst loggar till sin egen loggfil. Observera ocksa att aktivering av "debug_level" i avsnittet "[sssd]" bara aktiverar felsokning just for sjalva sssd-processen, inte for respondent- eller leverantorsprocesser. Parametern "debug_level" skall laggas till i alla sektioner som man vill producera felsokningsloggar ifran. Utover att andra loggnivan i konfigurationsfilen med parametern "debug_level", som ar bestaende, men kraver omstart av SSSD, ar det aven mojligt att andra felsokningsnivan i farten med verktyget sss_debuglevel(8). Felsokningsnivaer som for narvarande stodjs: 0, 0x0010: Odesdigra fel. Allt som skulle hindra SSSD fran att starta upp eller far den att sluta kora. 1, 0x0020: Kritiska fel. Ett fel som inte dodar SSSD, men ett som indikerar att atminstone en viktig funktion inte kommer fungera korrekt. 2, 0x0040: Allvarliga fel. Ett fel som rapporterar att en viss begaran eller operation har misslyckats. 3, 0x0080: Smarre fel. Detta ar fel som skulle kunna bubbla ner till att orsaka funktionsfelet 2. 4, 0x0100: Konfigurationsinstallningar. 5, 0x0200: Funktionsdata. 6, 0x0400: Sparmeddelanden for atgardsfunktioner. 7, 0x1000: Sparmeddelanden for interna styrfunktioner. 8, 0x2000: Innehallet i interna variabler som kan vara intressant. 9, 0x4000: Sparningsinformation pa extremt lag niva. 9,0x20000: Prestanda och statistiska data, observera att pa grund av hur forfragningar behandlas internt kan den loggade exekveringstiden for en forfragan vara langre an den faktiskt var. 10, 0x10000: Annu mer lagniva sparningsinformation om libldb. Det behovs nastan aldrig. For att logga begarda bitmaskfelsokningsnivaer, lagg helt enkelt ihop deras tal som visas i foljande exempel: Exempel: For att logga odesdigra fel, kritiska fel, allvarliga fel och funktionsdata, anvand 0x0270. Exempel: For att logga odesdigra fel, konfigurationsinstallningar, funktionsdata och sparmeddelanden for interna styrfunktioner, anvand 0x1310. Observera: bitmaskformatet for felsokningsnivaer introducerades i 1.7.0. Standard: 0x0070 (d.v.s. odesdigra, kritiska och allvarliga fel; motsvarar installningen 2 i decimal notation) debug (heltal) SSSD 1.14 och senare inkluderar ocksa aliaset debug for debug_level som en bekvamlighetsfiness. Om bada anges kommer vardet padebug_level anvandas. debug_timestamps (bool) Lagg till en tidsstampel till felsokningsmeddelanden. Om journald ar aktiverat for SSSD-felsokningsloggning ignoreras denna flagga. Standard: true debug_microseconds (bool) Lagg till mikrosekunder till tidsstampeln till felsokningsmeddelanden. Om journald ar aktiverat for SSSD-felsokningsloggning ignoreras denna flagga. Standard: false debug_backtrace_enabled (bool) Aktivera felsokningssparning. Ifall SSSD kors med debug_level mindre an 9 loggas allting till en ringbuffert i minnet och skrivs till en loggfil nar nagot fel upp till och inklusive "min(0x0040, debug_level)" (d.v.s. om debug_level uttryckligen ar satt till 0 eller 1 kommer endast dessa felnivaer att orsaka en sparning, annars upp till 2). Funktionen stodjs endast for "logger == files" (d.v.s. att satta denna har ingen effekt for andra loggningstyper). Standard: true Flaggor anvandbara i sektionerna SERVICE och DOMAIN timeout (heltal) Tidsgrans i sekunder mellan hjartslag for denna tjanst. Detta anvands for att sakerstalla att processen lever och kan svara pa begaranden. Observera att efter tre missade hjartslag kommer processen avsluta sig sjalv. Standard: 10 SPECIALSEKTIONER Sektionen [sssd] Enskilda delar av SSSD-funktionalitet tillhandahalls av speciella SSSD-tjanster som startas och stoppas tillsammans med SSSD. Tjansterna hanteras av en speciell tjanst som ofta kallas "monitor". Sektionen "[sssd]" anvands for att konfigurera overvakaren saval som andra viktiga alternativ som identitetsdomanerna. Sektionsparametrar config_file_version (heltal) Indikerar vilken syntaxen ar i konfigurationsfilen. SSSD 0.6.0 och senare anvander version 2. services Kommaseparerad lista av tjanster som startas nar sssd sjalv startas. Tjanstelistan ar frivillig pa plattformar dar systemd stodjs, eftersom de antingen kommer vara uttags- eller D-Bus-aktiverade vid behov. Tjanster som stodjs: nss, pam , sudo , autofs , ssh , pac , ifp Som standard ar alla tjanster avaktiverade och administratoren maste aktivera de tillatna genom att kora: "systemctl enable sssd-@service@.socket". reconnection_retries (heltal) Antal ganger som tjanster skall forsoka ateransluta i handelse av en dataleverantorskrasch eller -omstart innan de ger upp Standard: 3 domains En doman ar en databas som innehaller anvandarinformation. SSSD kan anvanda flera domaner pa samma gang, men atminstone en maste vara konfigurerad, annars kommer inte SSSD starta. Denna parameter beskriver listan av domaner i den ordning du vill att de skall tillfragas. Ett domannamn rekommenderas endast att besta av alfanumeriska ASCII-tecken, bindestreck, punkter och understrykningstecken. Tecknet "/" ar forbjudet. re_expression (strang) Reguljart standarduttryck som beskriver hur man skall tolka strangen som innehaller anvandarnamnet och domanen in i dessa komponenter. Varje doman kan ha ett eget reguljart uttryck konfigurerat. For nagra ID-leverantorer finns det ocksa reguljara standarduttryck. Se DOMANSEKTIONER for mer information om dessa reguljara uttryck. full_name_format (strang) Ett printf(3)-kompatibelt format som beskriver hur man satter samman ett fullstandigt kvalificerat namn fran namn- och domankomponenter. Foljande utvidgningar stodjs: %1$s anvandarnamn %2$s domannamn som det anges i SSSD-konfigurationsfilen. %3$s platt domannamn. Huvudsakligen anvandbart for Active Directory-domaner, bade direkt konfigurerade eller hittade via IPA-fortroenden. Varje doman kan ha en egen formatstrang konfigurerad. Se DOMANSEKTIONER for mer information om detta alternativ. monitor_resolv_conf (boolean) Styr om SSSD skall overvaka tillstandet for resolv.conf for att identifiera nar den behover uppdatera sin interna DNS-uppslagare. Standard: true try_inotify (boolean) Som standard kommer SSSD forsoka anvanda inotify for att overvaka andringar av konfigurationsfiler och kommer ga tillbaka till att polla var femte sekund om inotify inte kan anvandas. Det finns vissa situationer nar det ar att foredra att vi skall hoppa over att ens forsoka att anvanda inotify. I dessa sallsynta fall skall detta alternativ sattas till "false" Standard: true pa plattformar dar inotify stodjs. False pa andra plattformar. Obs: detta alternativ kommer inte ha nagon effekt pa plattformar dar inotify inte ar tillgangligt. Pa dessa plattformar kommer pollning alltid anvandas. krb5_rcache_dir (strang) Katalog i filsystemet dar SSSD skall spara Kerberos-cachefiler for ateruppspelning. Detta alternativ godtar ett specialvarde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att lata libkrb5 bestamma den lampliga platsen for cachefilerna for ateruppspelning. Standard: distributionsspecifikt och anges vid byggtillfallet. (__LIBKRB5_DEFAULTS__ om inte konfigurerat) default_domain_suffix (strang) Strangen kommer anvandas som ett standardnamn for domanen for alla namn utan en domannamnsdel. Det huvudsakliga anvandningsfallet ar miljoer dar primardomanen ar avsedd for hantering av vardpolicyer och alla anvandare ar placerade i en betrodd doman. Alternativet later dessa anvandare att logga in med bara sitt anvandarnamn utan att dessutom ange ett domannamn. Please note that if this option is set all users from the primary domain have to use their fully qualified name, e.g. user@domain.name, to log in. Setting this option changes default of use_fully_qualified_names to True. It is not allowed to use this option together with use_fully_qualified_names set to False. One exception from this rule are domains with "id_provider=files" that always try to match the behaviour of nss_files and therefore their output is not qualified even when the default_domain_suffix option is used. Standard: inte satt override_space (strang) Denna parameter kommer ersatta blanksteg (mellanslag) med det angivna tecknet i anvandar- och gruppnamn, t.ex. (_). Anvandarnamnet "sven svensson" blir "sven_svensson" Denna funktion lades till for att hjalpa till med kompatibiliteten med skalskript som har svarigheter att hantera blanka, pa grund av att det ar standardfaltseparatorn i skalet. Observera att det ar ett konfigurationsfel att anvanda ett ersattningstecken som kan anvandas i anvandar- eller gruppnamn. Om ett namn innehaller ersattningstecknet forsoker SSSD att returnera det omodifierade namnet men i allmanhet ar resultatet av en uppslagning odefinierat. Standard: inte satt (blanka kommer inte ersattas) certificate_verification (strang) Med denna parameter kan verifieringen av certifikatet justeras med en kommaseparerad lista av alternativ. Alternativ som stodjs ar no_ocsp Avaktiverar kontroller enligt Online Certificate Status Protocol (OCSP). Detta kan behovas om OCSP-servrarna som definieras i certifikatet inte ar nabara fran klienten. soft_ocsp Om en anslutning inte kan etableras till en OCSP-respondent hoppas OCSP-kontrollen over. Denna flagga skall anvandas for att tillata autentisering nar systemet ar frankopplat och OCSP-respondenten inte kan nas. ocsp_dgst Kontrollsumme- (hash-)funktion som anvands for att skapa certifikats-ID for OCSP-begaran. Tillatna varden ar: o sha1 o sha256 o sha384 o sha512 Standard: sha1 (for att tillata kompatibilitet med respondenter som foljer RFC5019) no_verification Avaktiverar helt verifiering. Detta alternativ skall endast anvandas for testning. partial_chain Tillat verifikationen att lyckas aven om en fullstandig kedja inte kan byggas till ett sjalvsignerat fortroendeankare, forutsatt att det ar mojligt att konstruera en kedja till ett betrott certifikat som inte behover vara sjalvsignerat. ocsp_default_responder=URL Anger standard-OCSP-respondent som skall anvandas istallet for den som namns i certifikatet. URL:en maste ersattas med URL:en till standard-OCSP-respondenten t.ex. http://example.com:80/ocsp. ocsp_default_responder_signing_cert=NAMN Detta alternativ ignoreras for narvarande. Alla nodvandiga certifikat maste vara tillgangliga i PEM-filen som anges av pam_cert_db_path. crl_file=/SOKVAG/TILL/CRL/FIL Anvand certifikataterkallelselistan (Certificate Revocation List, CRL) fran den givna filen under verifikationen av certifikatet. CRL:en maste ges i PEM-format, se crl(1ssl) for detaljer. soft_crl Om en certifikataterkalleleselista (CRL) gatt ut, ignorera CRL-kontroller for de relaterade certifikaten. Denna flagga skall anvandas for att tillata autentisering nar systemet ar frankopplat och CRL:en inte kan fornyas. Okanda alternativ rapporteras men ignoreras. Standard: inte satt, d.v.s begransa inte certifikatverifieringen disable_netlink (boolean) SSSD-hakar in i netlink-granssnittet for att overvaka forandringar av rutter, adresser, lankar och utlosa vissa atgarder. Forandringar av SSSD-tillstandet fran netlink-handelser kan vara opalitliga och kan avaktiveras genom att satta detta alternativ till "true" Standard: false (netlink-forandringar detekteras) enable_files_domain (boolean) Nar detta alternativ ar aktiverat skjuter SSSD in en implicit doman med "id_provider=files" fore nagra explicit konfigurerade domaner. Standard: false domain_resolution_order Kommaseparerad lista av domaner och underdomaner som representerar ordningen av uppslagningar skall folja. Listan behover inte innehalla alla mojliga domaner eftersom de saknade domanerna kommer slas upp baserat pa ordningen de presenteras i konfigurationsalternativet "domains". Underdomaner som inte ar listade som en del av "lookup_order" kommer slas upp i en slumpvis ordning for varje foraldradoman. Please, note that when this option is set the output format of all commands is always fully-qualified even when using short names for input , for all users but the ones managed by the files provider. In case the administrator wants the output not fully-qualified, the full_name_format option can be used as shown below: "full_name_format=%1$s" However, keep in mind that during login, login applications often canonicalize the username by calling getpwnam(3) which, if a shortname is returned for a qualified input (while trying to reach a user which exists in multiple domains) might re-route the login attempt into the domain which uses shortnames, making this workaround totally not recommended in cases where usernames may overlap between domains. Standard: inte satt implicit_pac_responder (boolean) PAC-respondenten aktiveras automatiskt for IPA- och AD-leverantorerna for att utvardera och kontrollera PAC:en. Om den maste avaktiveras satt detta alternativ till "false". Standard: true core_dumpable (boolean) Detta alternativ kan anvandas for allman forstarkning: att satta det till "false" forbjuder karndumpar for alla SSSD-processer for att undvika att klartextlosenord lacker. Se manualsidan prctl:PR_SET_DUMPABLE for detaljer. Standard: true TJANSTESEKTIONER Installningar som kan anvandas for att konfigurera olika tjanster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, for tjansten NSS skulle sektionen vara "[nss]" Allmanna alternativ for tjanstekonfiguration Dessa alternativ kan anvandas for att konfigurera alla tjanster. reconnection_retries (heltal) Antal ganger som tjanster skall forsoka ateransluta i handelse av en dataleverantorskrasch eller -omstart innan de ger upp Standard: 3 fd_limit Detta alternativ anger det maximala antalet filbeskrivare som kan oppnas pa en gang av denna SSSD-process. Pa system dar SSSD ges formagan CAP_SYS_RESOURCE kommer detta vara en absolut installning. Pa system utan denna formaga kommer det resulterande vardet vara det lagre av detta varde och den "harda" gransen i limits.conf. Standard: 8192 (eller den "harda" gransen i limits.conf) client_idle_timeout Detta alternativ anger antalet sekunder som en klient till en SSSD-process kan halla fast i en filbeskrivare utan att kommunicera over den. Detta varde ar begransat for att undvika att resurserna pa systemet tar slut. Tidsgransen kan inte vara kortare an 10 sekunder. Om ett lagre varde konfigureras kommer det att justeras till 10 sekunder. Standard: 60, KCM: 300 offline_timeout (heltal) Nar SSSD byter till frankopplat lage, kommer tiden fore den forsoker ga tillbaka till uppkopplat lage oka baserat pa tiden tillbringad frankopplad. Som standard anvander SSSD ett inkrementellt beteende for att berakna fordrojningen mellan aterforsok. Sa, vantetiden for ett givet aterforsok kommer vara langre an vantetiden for det foregaende. Efter varje misslyckat forsok att bli uppkopplat beraknas det nya intervallet om enligt foljande: ny_fordrojning = Minimum(gammal_fordrojning * 2, offline_timeout_max) + slumpvarde[0...offline_timeout_random_offset] Standardvardet for offline_timeout ar 60. Standardvardet pa offline_timeout_max ar 3600. Standardvardet pa offline_timeout_random_offset ar 30. Slutresultatet ar antalet sekunder fore nasta omforsok. Observera att den maximala langde pa varje intervall definieras av offline_timeout_max (forutom slumpdelen). Standard: 60 offline_timeout_max (heltal) Styr med hur mycket tiden mellan forsok att ansluta kan okas efter ett misslyckat forsok att koppla upp. Ett varde pa 0 avaktiverar det okande beteendet. Vardet pa denna parameter skall sattas i korrelation med parametervardet offline_timeout. Med offline_timout satt till 60 (standardvardet) ar det ingen poang i att satta ofline_timeout_max till mindre an 120 eftersom det kommer mattas omedelbart. En allman regel har bor vara att satta offline_timeout_max till atminstone 4 ganger offline_timeout. Aven om ett varde mellan 0 och offline_timeout kan anges har det effekten att asidosatta vardet offline_timeout sa det ar inte sa anvandbart. Standard: 3600 offline_timeout_random_offset (heltal) Nar SSSD ar i frankopplat lage fortsatter den att prova bakandesservrar med angivna tidsintervall: ny_fordrojning = Minimum(gammal_fordrojning * 2, offline_timeout_max) + slumpvarde[0...offline_timeout_random_offset] Denna parameter styr vardet pa den slumpvisa forskjutningen som anvands i ovanstaende ekvation. Det slutliga random_offset-vardet kommer vara ett slumptal i intervallet: [0 - offline_timeout_random_offset] Ett varde pa 0 avaktiverar tillagget av en slumpfordrojning. Standard: 30 responder_idle_timeout Detta alternativ anger antalet sekunder som en SSSD-respondentprocess kan vara uppe utan att anvandas. Detta varde ar begransat for att undvika att resurserna pa systemet tar slut. Det minsta acceptabla vardet for detta alternativ ar 60 sekunder. Att satta detta alternativ till 0 (noll) betyder att ingen tidsgrans kommer att sattas av respondenten. Detta alternativ har bara effekt nar SSSD ar byggt med stod for systemd och nar tjanster ar antingen uttags- eller D-Bus-aktiverade. Standard: 300 cache_first Detta alternativ anger huruvida respondenten skall fraga alla cachar fore den fragar dataleverantorerna. Standard: false NSS-konfigurationsalternativ Dessa alternativ kan anvandas for att konfigurera tjansten Name Service Switch (NSS). enum_cache_timeout (heltal) Hur manga sekunder skall nss_sss cacha upprakningar (begaranden for information om alla anvandare) Standard: 120 entry_cache_nowait_percentage (heltal) Cachen over poster kan stallas in att automatiskt uppdatera poster i bakgrunden om de begars utover en procentsats av vardet entry_cache_timeout for domanen. Till exempel, om domanens entry_cache_timeout ar satt till 30 s och entry_cache_nowait_percentage ar satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen pa egen hand, sa att framtida begaranden kommer behova blockera i vantan pa en cacheuppdatering. Giltiga varden for detta alternativ ar 0-99 och representerar en procentsats av entry_cache_timeout for varje doman. Av prestandaskal kommer denna procentsats aldrig reducera nowait-tidsgranser till mindre an 10 sekunder. (0 avaktiverar denna funktion) Standard: 50 entry_negative_timeout (heltal) Anger hur manga sekunder nss_sss cachar negativa cachetraffar (det vill saga, fragor om ogiltiga databasposter, som sadana som inte finns) innan bakanden tillfragas igen. Standard: 15 local_negative_timeout (heltal) Anger hur manga sekunder nss_sss skall halla lokala anvandare och grupper i en negativ cache fore den forsoker sla upp dem i bakanden igen. Att stalla in alternativet till 0 avaktiverar denna funktion. Standard: 14400 (4 timmar) filter_users, filter_groups (strang) Uteslut vissa anvandare eller grupper fran att hamtas fran sss NSS-databasen. Detta ar sarskilt anvandbart for systemkonton. Detta alternativ kan ocksa anges per doman eller inkludera fullstandigt kvalificerade namn for att filtrera endast anvandare fran den angivna domanen eller efter ett anvandarhuvudmansnamn (UPN). OBS: alternativet filter_groups paverkar inte arvet av nastade gruppmedlemmar, eftersom filtrering sker efter att de propagerats for att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvandarna i den senare listade. Standard: root filter_users_in_groups (bool) Om du vill att filtrerade anvandare fortfarande skall vara gruppmedlemmar satt da detta alternativ till false. Standard: true override_homedir (strang) Asidosatt anvandarens hemkatalog. Du kan antingen ge ett absolut varde eller en mall. I mallen ersatts foljande sekvenser: %u inloggningsnamn %U AID-nummer %d domannamn %f fullstandigt kvalificerat anvandarnamn (anvandare@doman) %l Forsta bokstaven i inloggningsnamnet. %P UPN - Anvandarens Huvudmansnamn (namn@RIKE) %o Den ursprungliga hemkatalogen som hamtades fran identitetsleverantoren. %h Den ursprungliga hemkatalogen som hamtades fran identitetsleverantoren, men i gemener. %H Vardet pa konfigurationsalternativet homedir_substring. %% ett bokstavligt "%" Detta alternativ kan aven sattas per doman. exempel: override_homedir = /home/%u Standard: Inte satt (SSSD kommer anvanda vardet som hamtas fran LDAP) Observera att hemkatalog fran ett specifikt asidosattande for anvandaren, antingen lokalt (se sss_override(8)) eller centralt hanterat IPA-id-asidosattande, har en hogre precedens och kommer anvandas istallet for vardet gom ges av override_homedir. homedir_substring (strang) Vardet pa detta alternativ kommer anvandas i expansionen av alternativet override_homedir om mallen innehaller formatstrangen %H. En LDAP-katalogpost kan innehalla denna mall direkt sa att detta alternativ kan anvandas for att expandera sokvagen till hemkatalogen for varje klientmaskin (eller operativsystem). Den kan sattas per doman eller globalt i avsnittet [nss]. Ett varde som anges i ett domanavsnitt kommer asidosatta ett som ar satt i avsnittet [nss]. Standard: /home fallback_homedir (strang) Ange en standardmall for en anvandares hemkatalog om ingen uttryckligen anges av domanens dataleverantor. De tillgangliga vardena for detta alternativ ar samma som for override_homedir. exempel: fallback_homedir = /home/%u Standard: inte satt (ingen ersattning for ej angivna hemkataloger) override_shell (strang) Asidosatt inloggningsskalet for alla anvandare. Detta alternativ gar fore alla andra skalalternativ om det har effekt och kan sattas antingen i sektionen [nss] eller per doman. Standard: inte angivet (SSSD kommer anvanda vardet som hamtats fran LDAP) allowed_shells (strang) Begransa anvandarskal till ett av de listade vardena. Berakningsordningen ar: 1. Om skalet finns i "/etc/shells" anvands det. 2. Om skalet finns i listan allowed_shells men inte i "/etc/shells", anvand vardet pa parametern shell_fallback. 3. Om skalet inte finns i listan allowed_shells och inte i "/etc/shells" anvands ett nologin-skal. Jokertecknet (*) kan anvandas for att tillata godtyckligt skal. (*) ar anvandbart om du vill anvanda shell_fallback ifall den anvandarens skal inte finns i "/etc/shells" och att underhalla listan over alla skal i allowed_shells skulle vara for mycket overhead. En tom strang som skal skickas som den ar till libc. "/etc/shells" lases bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behovs ifall ett nytt skal installeras. Standard: inte satt. Anvandarens skal anvands automatiskt. vetoed_shells (strang) Ersatt alla instanser av dessa skal med shell_fallback shell_fallback (strang) Standardskalet att anvanda om ett tillatet skal inte ar installerat pa maskinen. Standard: /bin/sh default_shell Standardskalet att anvanda om leverantoren inte returnerar nagot under uppslagningen. Detta alternativ kan anges globalt i sektionen [nss] eller per doman. Standard: inte satt (Returnera NULL om inget skal ar angivet och lita pa att libc ersatter med nagot rimligt nar nodvandigt, vanligen /bin/sh) get_domains_timeout (heltal) Anger tiden i sekunder under vilken listan av underdomaner kommer betraktas som giltiga. Standard: 60 memcache_timeout (heltal) Anger tiden i sekunder under vilken poster i minnescachen kommer vara giltiga. Att satta detta alternativ till noll kommer avaktivera cachen i minnet. Standard: 300 VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ paverkan pa SSSD:s prestanda och skall bara anvandas for testning. OBS: om miljovariabeln SSS_NSS_USE_MEMCACHE ar satt till "NO" kommer klientprogram inte anvanda den snabba cachen i minnet. memcache_size_passwd (heltal) Storlek (i megabyte) pa datatabellen som allokeras inuti en snabb i-minnes-cache for losenordsbegaranden. Att satta storleken till 0 kommer avaktivera losenords-cachen i minnet. Standard: 8 VARNING: en avaktiverad eller for liten cache i minnet kan ha signifikant negativ paverkan pa SSSD:s prestanda. OBS: om miljovariabeln SSS_NSS_USE_MEMCACHE ar satt till "NO" kommer klientprogram inte anvanda den snabba cachen i minnet. memcache_size_group (heltal) Storlek (i megabyte) pa datatabellen som allokeras inuti en snabb i-minnes-cache for gruppbegaranden. Att satta storleken till 0 kommer avaktivera grupp-cachen i minnet. Standard: 6 VARNING: en avaktiverad eller for liten cache i minnet kan ha signifikant negativ paverkan pa SSSD:s prestanda. OBS: om miljovariabeln SSS_NSS_USE_MEMCACHE ar satt till "NO" kommer klientprogram inte anvanda den snabba cachen i minnet. memcache_size_initgroups (heltal) Storlek (i megabyte) pa datatabellen som allokeras inuti en snabb i-minnes-cache for initgruppbegaranden. Att satta storleken till 0 kommer avaktivera initgrupp-cachen i minnet. Standard: 10 VARNING: en avaktiverad eller for liten cache i minnet kan ha signifikant negativ paverkan pa SSSD:s prestanda. OBS: om miljovariabeln SSS_NSS_USE_MEMCACHE ar satt till "NO" kommer klientprogram inte anvanda den snabba cachen i minnet. memcache_size_sid (integer) Storlek (i megabyte) pa datatabellen som allokeras inuti en snabb i-minnes-cache for SID-realterade begaranden. Endast SID-via-ID- och ID-via-SID-begaranden sparas for narvarande i den snabba cachen i minnet. Att satta storleken till 0 kommer avaktivera SID-cachen i minnet. Standard: 6 VARNING: en avaktiverad eller for liten cache i minnet kan ha signifikant negativ paverkan pa SSSD:s prestanda. OBS: om miljovariabeln SSS_NSS_USE_MEMCACHE ar satt till "NO" kommer klientprogram inte anvanda den snabba cachen i minnet. user_attributes (strang) Nagra av de ytterligare NSS-respondentbegaranden kan returnera fler attribut an bara de som definieras av POSIX via NSS-granssnittet. Listan av attribut styrs av detta alternativ. Det hanteras pa samma satt som alternativet "user_attributes" for InfoPipe-respondenten (se sssd-ifp(5) for detaljer) men utan standardvarden. For att forenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-alternativet om det inte ar satt for NSS-respondenten. Standard: inte satt, ga tillbaka till InfoPipe-alternativet pwfield (strang) Vardet som NSS-operationer som returnerar anvandare eller grupper kommer att returnera i faltet "password". Standard: "*" Observera: detta alternativ kan aven sattas per doman vilket asidosatter vardet i [nss]-sektionen. Default: "not set" (remote domains), "x" (the files domain), "x" (proxy domain with nss_files and sssd-shadowutils target) PAM-konfigurationsalternativ Dessa alternativ kan anvandas for att konfigurera tjansten Pluggable Authentication Module (PAM). offline_credentials_expiration (heltal) Om autentiseringsleverantoren inte ar ansluten, hur lange skall vi tillata cachade inloggningar (i dagar efter den senaste lyckade uppkopplade inloggningen). Standard: 0 (ingen grans) offline_failed_login_attempts (heltal) Om autentiseringsleverantoren inte ar ansluten, hur manga misslyckade inloggningsforsok ar tillatna. Standard: 0 (ingen grans) offline_failed_login_delay (heltal) Tiden i minuter som maste forflyta efter att offline_failed_login_attempts har natts fore ett nytt inloggningsforsok ar mojligt. Om satt till 0 kan inte anvandaren autentisera om offline_failed_login_attempts har uppnatts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen. Standard: 5 pam_verbosity (heltal) Styr vilken sorts meddelanden som visas for anvandaren under autentisering. Ju hogre tal desto fler meddelanden visas. For narvarande stodjs foljande varden: 0: visa inte nagra meddelanden 1: visa endast viktiga meddelanden 2: visa informationsmeddelanden 3: visa alla meddelanden och felsokningsinformation Standard: 1 pam_response_filter (strang) En kommaseparerad lista av strangar som mojliggor att ta bort (filtrera) data skickat av PAM-respondenten till pam_sss-PAM-modulen. Det finns olika sorters svar skickade till pam_sss, t.ex. meddelanden som visas for anvandaren eller miljovariabler som skall sattas av pam_sss. Medan meddelanden redan kan styras med hjalp av alternativet pam_verbosity gor detta alternativ att man kan filtrera ut andra sorters svar dessutom. For narvarande stodjs foljande filter: ENV Skicka inte nagra miljovariabler till nagon tjanst. ENV:varnamn Skicka inte miljovariabeln varnamn till nagon tjanst. ENV:varnamn:tjanst Skicka inte miljovariabeln varnamn till tjanst. Listan av strangar kan antingen vara listan av filter vilka skulle satta denna lista av filter och asidosatta standardvardet. Eller sa kan varje element i listan ha ett tecken "+" eller "-" som prefix vilket skulle lagga till filtret till det befintliga standardvardet respektive ta bort det fran standardvardet. Observera att antingen maste alla listelement ha ett "+" eller "-" eller inget av dem. Det ses som ett fel att blanda bada satten. Standard: ENV:KRB5CCNAME:sudo, ENV:KRB5CCNAME:sudo-i Exempel: -ENV:KRB5CCNAME:sudo-i kommer ta bort det filtret fran standardlistan pam_id_timeout (heltal) For alla PAM-begaranden nar SSSD ar uppkopplat kommer SSSD forsoka att omedelbart uppdatera cachad identitetsinformation for anvandaren for att se till att autentisering sker med den senaste informationen. En fullstandig PAM-konversation kan utfora flera PAM-begaranden sasom hantering av konto och oppning av en session. Detta alternativ styr (pa per-klientprogrambasis) hur lange (i sekunder) vi kan cacha identitetsinformationen for att undvika overdrivna rundturer till identitetsleverantoren. Standard: 5 pam_pwd_expiration_warning (heltal) Visa en varning N dagar fore losenordet gar ut. Observera att bakandeservern maste leverera information om utgangstiden for losenordet. Om denna information saknas kan sssd inte visa nagon varning. Om noll anges tillampas inte detta filter, d.v.s. om utgangsvarningen mottogs fran bakandeserver kommer den automatiskt visas. Denna installning kan asidosattas genom att satta pwd_expiration_warning for en viss doman. Standard: 0 get_domains_timeout (heltal) Anger tiden i sekunder under vilken listan av underdomaner kommer betraktas som giltiga. Standard: 60 pam_trusted_users (strang) Anger den kommaseparerade listan av AID-varden eller anvandarnamn som tillats kora PAM-konverteringar mot betrodda domaner. Anvandare som inte ar inkluderade i denna lista kan endast komma at domaner som ar markerade som publika med "pam_public_domains". Anvandarnamn slas upp till UID vid uppstart. Standard: alla anvandare betraktas som betrodda som standard Observera att AID 0 alltid tillats komma at PAM-respondenten aven ifall den inte ar i listan pam_trusted_users. pam_public_domains (strang) Anger den kommaseparerade listan over domannamn som ar atkomliga aven for ej betrodda anvandare. Tva speciella varden for alternativet pam_public_domains ar definierade: all (Ej betrodda anvandare tillats komma at alla domaner i PAM-respondenten.) none (Ej betrodda anvandare tillats inte att komma at nagra domaner i PAM-respondenten.) Standard: none pam_account_expired_message (strang) Gor att det gar att ange ett anpassat utgangsmeddelande som ersatter standardmeddelandet "atkomst nekas". Observera: var medveten om att meddelandet endast skrivs for tjansten SSH om inte pam_verbosity ar satt till 3 (visa alla meddelanden och felsokningsinformation). exempel: pam_account_expired_message = Kontot ar utganget, kontakta kundtjansten. Standard: none pam_account_locked_message (strang) Gor att det gar att ange ett anpassat utlasningsmeddelande som ersatter standardmeddelandet "atkomst nekas". exempel: pam_account_locked_message = Kontot ar last, kontakta kundtjansten. Standard: none pam_cert_auth (bool) Aktivera certifikatbaserad smartkortsautentisering. Eftersom detta forutsatter ytterligare kommunikation med smartkortet vilket kommer fordroja autentiseringsprocessen ar detta alternativ avaktiverat som standard. Standard: False pam_cert_db_path (strang) Sokvagen till certifikatdatabasen. Standard: o /etc/sssd/pki/sssd_auth_ca_db.pem (sokvag till en fil med betrodda CA-certifikat i PEM-format) pam_cert_verification (strang) Med denna parameter kan verifieringen av PAM-certifikatet justeras med en kommaseparerad lista av alternativ som asidosatter vardet pa "certificate_verification" i sektionen "[sssd]". Flaggor som stodjs ar samma som for "certificate_verification". exempel: pam_cert_verification = partial_chain Standard: inte satt, d.v.s. anvand standardvardet "certificate_verification" definierat i sektionen "[sssd]". p11_child_timeout (heltal) Hur manga sekunder pam_sss kommer vanta pa p11_child att avsluta. Standard: 10 pam_app_services (strang) Vilken PAM-tjanster tillats att kontakta domaner av typen "application" Standard: inte satt pam_p11_allowed_services (string) En kommaseparerad lista av PAM-tjanstenamn for vilka det kommer vara tillatet att anvanda smarta kort. Det ar mojligt att lagga till ett annat PAM-tjanstenamn till standarduppsattningen genom att anvanda "+tjanstenamn" eller att uttryckligen ta bort ett PAM-tjanstenamn fran standarduppsattningen genom att anvanda "-tjanstenamn". Till exempel, for att byta ut ett standard-PAM-tjanstenamn for autentisering med smarta kort (t.ex. "login") mot ett anpassat PAM-tjanstenamn (t.ex. "min_pam-tjanst") skulle man anvanda foljande konfiguration: pam_p11_allowed_services = +min_pam-tjanst, -login Standard: standarduppsattningen av PAM-tjanstenamn innefattar: o login o su o su-l o gdm-smartcard o gdm-password o kdm o sudo o sudo-i o gnome-screensaver p11_wait_for_card_timeout (heltal) Om smartkortsautentisering kravs hur manga extra sekunder utover p11_child_timeout PAM-respondenten skall vanta pa att ett smartkort satts in. Standard: 60 p11_uri (strang) PKCS#11 URI (se RFC-7512 for detaljer) som kan anvandas for att begransa urvalet av enheter som anvands for smartkortsautentisering. Som standard kommer SSSD:s p11_child soka efter ett PKCS#11-fack (lasare) dar flaggan "removable" ar satt och lasa certifikaten fran det insatta elementet fran det forsta facket som hittas. Om flera lasare ar anslutna kan p11_uri anvandas for att saga till p11_child att anvanda en specifik lasare. Exempel: p11_uri = pkcs11:slot-description=Min%20smartkortslasare eller p11_uri = pkcs11:library-description=OpenSC%20smartkortsramverk;slot-id=2 For att hitta en lamplig URI, kontrollera felsokningsutdata fran p11_child. Som ett alternativ kommer GnuTLS-verktyget "p11tool" med t.ex. "--list-all" visa aven PKCS#11 URI:er. Standard: none pam_initgroups_scheme PAM-respondenten kan framtvinga en uppkopplad uppslagning for att ta fram de aktuella gruppmedlemskapen for anvandaren som forsoker logga in. Denna flagga styr nar detta skall goras och foljande varden ar tillatna: always Gor alltid en uppkopplad uppslagning, observera att pam_id_timeout fortfarande galler no_session Gor bara en uppkopplad uppslagning om det inte finns nagon aktiv session for anvandaren, d.v.s. om anvandaren inte ar inloggad for narvarande never Gor aldrig uppkopplade uppslagningar, anvand data fran cachen sa lange de inte har gatt ut Standard: no_session pam_gssapi_services Kommaseparerad lista over PAM-tjanster som tillats att forsoka med GSSAPI-autentisering med modulen pam_sss_gss.so. For att avaktivera GSSAPI-autentisering, satt denna lista till "-" (streck). Observera: denna flagga kan aven sattas per doman vilket skriver over vardet i sektionen [pam]. Det kan ocksa sattas for betrodda domaner vilket skriver over vardet i domansektionen. Exempel: pam_gssapi_services = sudo, sudo-i Standard: - (GSSAPI-autentisering ar avaktiverat) pam_gssapi_check_upn Om sant kommer SSSD krava att det Kerberos anvandarhuvudmansnamn som lyckats autentisera via GSSAPI kan associeras med anvandaren som autentiseras. Autentisering kommer misslyckas om kontrollen misslyckas. Om falskt kommer varje anvandare som kan fa den begarda biljetten att autentiseras. Observera: denna flagga kan aven sattas per doman vilket skriver over vardet i sektionen [pam]. Det kan ocksa sattas for betrodda domaner vilket skriver over vardet i domansektionen. Standard: True pam_gssapi_indicators_map Kommaseparerad lista over autentiseringsindikatorer som maste finnas i en Kerberos-biljett for att komma at en PAM-tjanst som far prova GSSAPI-autentisering med modulen pam_sss_gss.so. Varje element i listan kan antingen vara ett autentiseringsindikatornamn eller ett par "tjanst:indikator". Indikatorer som inte har PAM-tjansten som prefix kommer kravas for att komma at nagon PAM-tjanst alls som ar konfigurerad att anvandas med pam_gssapi_services. En resulterande lista over indikatorer per PAM-tjanst kontrolleras sedan mot indikatorer i Kerberos-biljetten under autentisering via pam_sss_gss.so. Om nagon indikator fran biljetten matchar den resulterande listan av indikatorer for PAM-tjansten sa ges atkomst. Om ingen av indikatorerna i listan matchar, kommer atkomst nekas. Om den resulterande listan av indikatorer for PAM-tjansten ar tom kommer kontrollen inte att forhindra atkomsten. For att avaktivera indikatorkontrollen med GSSAPI-autentisering, satt denna flagga till "-" (streck). For att avaktivera kontrollen for en specifik PAM-tjanst, lagg till "tjanst:-". Observera: denna flagga kan aven sattas per doman vilket skriver over vardet i sektionen [pam]. Det kan ocksa sattas for betrodda domaner vilket skriver over vardet i domansektionen. Foljande autentiseringsindikatorer stodjs av IPA-Kerberosinstallationer: o pkinit -- forautentisering med X.509-certifikat -- oavsett om de lagrats i filer eller pa smarta kort. o hardened -- SPAKE-forautentisering eller godtycklig forautentisering inslagen i en FAST-kanal. o radius -- forautentisering med hjalp av en RADIUS-server. o otp -- forautentisering med anvandning av integrerad tvafaktorautentisering (2FA eller engangslosenord, OTP) i IPA. o idp -- forautentisering med extern identitetsleverantor. Exempel: for att begara atkomst till SUDO-tjanster endast for anvandare som fick sina Kerberos-biljetter med forautentisering med ett X.509-certifikat (PKINIT), satt pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit Standard: inte satt (anvandning av autentiseringsindikatorer kravs inte) SUDO-konfigurationsalternativ Dessa alternativ kan anvandas for att konfigurera tjansten sudo. De detaljerade instruktionerna for konfiguration av sudo(8) for att fungera med sssd(8) finns i manualsidan sssd-sudo(5). sudo_timed (bool) Huruvida attributen sudoNotBefore och sudoNotAfter som implementerar tidsberoende sudoers-poster skall evalueras eller inte. Standard: false sudo_threshold (heltal) Maximalt antal utgangna regler som kan uppdateras pa en gang. Om antalet utgangna regler ar under gransen uppdateras dessa regler med mekanismen "regeluppdatering". Om gransen overskrids triggas en "fullstandig uppdatering" av sudo-regler istallet. Detta gransvarde galler aven IPA-sudo-kommandon och kommandogruppsokningar. Standard: 50 AUTOFS-konfigurationsalternativ Dessa alternativ kan anvandas for att konfigurera tjansten autofs. autofs_negative_timeout (heltal) Anger hur manga sekunder autofs-respondenten cachar negativa cachetraffar (det vill saga, fragor om ogiltiga mappningsposter, som sadana som inte finns) innan bakanden tillfragas igen. Standard: 15 Observera att automounter:n bara laser master-kartan vid uppstart, sa om nagra autofs-relaterade andringar gors av sssd.conf behover du normalt aven starta om automounter-demonen efter att ha startat om SSSD. SSH-konfigurationsalternativ Dessa alternativ kan anvandas for att konfigurera tjansten SSH. ssh_hash_known_hosts (bool) Huruvida vardnamn och adresser i den hanterade filen known_hosts skall goras till kontrollsummor eller inte. Standard: false ssh_known_hosts_timeout (heltal) Hur manga sekunder en vard behalls i den hanterade filen known_hosts efter att dess vardnycklar begardes. Standard: 180 ssh_use_certificate_keys (bool) Om satt till true kommer sss_ssh_authorizedkeys returnera ssh-nycklar harledda fran den publika nyckeln i X.509-certifikat aven lagrade i anvandarposten. Se sss_ssh_authorizedkeys(1) for detaljer. Standard: true ssh_use_certificate_matching_rules (strang) Som standard kommer ssh-respondenten anvanda alla tillgangliga certifikatmatchningsregler for att filtrera certifikaten sa att ssh-nycklar bara harleds fran de matchande. Med denna flagga kan de anvanda reglerna begransas med en kommaseparerad lista av avbildningar och matchande regelnamn. Alla andra regler kommer ignoreras. Det finns tva speciella nyckelord "all_rules" och "no_rules" som kommer aktivera alla respektive inga regler. Det senare betyder att inga certifikat kommer filtreras ut och att ssh-nycklar kommer genereras fran alla giltiga certifikat. Om inga regler ar konfigurerade kommer att anvanda "all_rules" aktivera en standardregel som aktiverar alla certifikat som passar klientautentiseringen. Detta ar samma beteende som for PAM-respondenten om certifikatautentisering ar aktiverat. Ett namn pa en regel som inte finns anses som ett fel. Om som ett resultat ingen regel blir vald kommer alla certifikat ignoreras. Standard: inte satt, likvardigt med "all_rules", alla regler som finns eller standardregeln anvands ca_db (strang) Sokvag till lagring av betrodda CA-certifikat. Alternativet anvands for att validera anvandarcertifikat fore publika ssh-nycklar harleds fran dem. Standard: o /etc/sssd/pki/sssd_auth_ca_db.pem (sokvag till en fil med betrodda CA-certifikat i PEM-format) PAC-respondentskonfigurationsalternativ PAC-respondenten fungerar tillsammans med insticksmodulen for auktoriseringsdata for MIT Kerberos sssd_pac_plugin.so och en underdomansleverantor. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomansleverantoren samlar doman-SID och ID-intervall for domanen klienten gar med i och fran betrodda domaner fran den lokala domanhanteraren. Om PAC:en ar avkodad och beraknad kommer nagra av foljande operationer att goras: o Om fjarranvandaren inte finns i cachen skapas den. AID:t avgors med hjalp av SID:t, betrodda domaner kommer ha UPG:er och GID:t kommer ha samma varde som AID:t. Hemkatalogen ar satt baserat pa parametern subdomain_homedir. Skalet kommer vara tomt som standard, d.v.s. systemstandarden anvands, men kan skrivas over med parametern default_shell. o Om det finns SID:er av grupper fran domaner sssd kanner till kommer anvandaren laggas till i dessa grupper. Dessa alternativ kan anvandas for att konfigurera PAC-respondenten. allowed_uids (strang) Anger den kommaseparerade listan av AID-varden eller anvandarnamn som tillats anvanda PAC-respondenten. Anvandarnamn slas upp till AID:er vid uppstart. Standard: 0 (endast root-anvandaren tillats komma at PAC-respondenten) Observera att aven om AID 0 anvands som standard kommer det att skrivas over av detta alternativ. Om du fortfarande vill tillata root-anvandaren att komma at PAC-respondenten, vilket man typiskt vill, maste du lagga till aven 0 i listan av tillatna AID:er. pac_lifetime (heltal) Livslangd pa PAC-posterna i sekunder. Sa lange som PAC:en ar giltig kan PAC-datan anvandas for att avgora gruppmedlemskap for en anvandare. Standard: 300 pac_check (strang) Anvand ytterligare kontroller pa PAC:en i Kerberosbiljetten som ar tillgangliga i Active Directory och FreeIPA-domaner, om konfigurerat. Observera att validering av Kerberosbiljetten maste aktiveras for att kunna kontrollera PAC:en, d.v.s. alternativet krb5_validate maste vara satt till "True" vilket ar standardvardet for leverantorerna IPA och AD. Om krb5_validate ar satt till "False" kommer PAC-kontrollerna hoppas over. Foljande alternativ kan anvandas ensamma eller i en kommaseparerad lista: no_check PAC:en far inte finnas och aven om den finns kommer inga ytterligare kontroller att goras. pac_present PAC:en maste finnas i tjanstebiljetten som SSSD kommer begara med hjalp av anvandarens TGT. Om PAC:en inte ar tillganglig kommer autentiseringen att misslyckas. check_upn Om PAC:en finns kontrollera om informationen om anvandarens huvudmannanamn (UPN) ar konsistent. check_upn_allow_missing Detta alternativ skall anvandas tillsammans med "check_upn" och haterar fallet da en UPN ar satt pa serversidan men inte lases av SSSD. Det typiska exemplet ar en FreeIPA-doman dar "ldap_user_principal" ar satt till ett attributnamn som inte finns. Detta gjordes typiskt for att ga runt problem i hanteringen av foretagshuvudman. Men detta ar rattat sedan ganska lang tid tillbaka och FreeIPA kan hantera foretagshuvudman utan problem och det finns inte langre nagon anledning att satta "ldap_user_principal". For narvarande ar detta alternativ satt som standard for att undvika regressioner i sadana miljoer. Ett loggmeddelande kommer laggas till i systemloggen och SSSD:s felsokningslogg ifall en UPN finns i PAC:en men inte i SSSD:s cache. For att undvika detta loggmeddelande vore det bast att avgora om alternativet "ldap_user_principal" kan tas bort. Om detta inte ar mojligt kommer att ta bort "check_upn" hoppa over testen och undvika loggmeddelandet. upn_dns_info_present PAC:en maste innehalla bufferten UPN-DNS-INFO, implicerar "check_upn". check_upn_dns_info_ex Om PAC:en finns och utokningen till bufferten UPN-DNS-INFO ar tillganglig kontrollera om informationen i utokningen ar konsistent. upn_dns_info_ex_present PAC:en maste innehalla utokningen av bufferten UPN-DNS-INFO, implicerar "check_upn_dns_info_ex", "upn_dns_info_present" och "check_upn". Standard: no_check (AD- och IPA-leverantorerna "check_upn, check_upn_allow_missing, check_upn_dns_info_ex") Konfigurationsalternativ for inspelning av sessioner Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, for att logga vad anvandaren ser och skriver nar de ar inloggade pa en textterminal. Se aven sssd-session- recording(5). Dessa alternativ kan anvandas for att konfigurera inspelning av sessioner. scope (strang) En av foljande strangar anger utstrackningen for inspelning av sessioner: "none" Inga anvandare spelas in. "some" Anvandare/grupper angivna i alternativen users och groups spelas in. "all" Alla anvandare spelas in. Standard: "none" users (strang) En kommaseparerad lista over anvandare vilka skall ha inspelning av sessioner aktiverat. Matchar anvandarnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, andring av skiftlage, etc. Standard: Tomt. Matchar inte nagra anvandare. groups (strang) En kommaseparerad lista over gruppmedlemmar vilka skall ha inspelning av sessioner aktiverat. Matchar gruppnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, andring av skiftlage, etc. OBSERVERA: att anvanda detta alternativ (ha det satt till nagot) har en betydande prestandakostnad, ty varje begaran som inte cachas for en anvandare maste hamtas och matchas mot grupperna anvandaren ar en medlem i. Standard: Tom. Matchar inga grupper. exclude_users (strang) En kommaseparerad lista av anvandare att undanta fran inspelning, endast tillampligt med "scope=all". Standard: Tomt. Inga anvandare uteslutna. exclude_groups (strang) En kommaseparerad lista av grupper vars medlemmar skall undantas fran inspelning. Endast tillampligt med "scope=all". OBSERVERA: att anvanda detta alternativ (ha det satt till nagot) har en betydande prestandakostnad, ty varje begaran som inte cachas for en anvandare maste hamtas och matchas mot grupperna anvandaren ar en medlem i. Standard: Tom. Inga grupper uteslutna. DOMANSEKTIONER Dessa konfigurationsalternativ kan finnas i en domankonfigurationssektion, det vill saga en sektion som heter "[domain/NAMN]" aktiverat Aktivera eller avaktivera uttryckligen domanen. Om "true" ar domanen alltid "aktiverad". Om "false" ar domanen alltid "avaktiverad". Om denna flagga inte ar satt ar domanen aktiverad endast om den ar listad i domanflaggan i sektionen "[sssd]". domain_type (strang) Anger huruvida domanen ar avsedd att anvandas av POSIX-kunniga klienter sasom Name Service Switch eller av program som inte behover att POSIX-data finns eller genereras. Endast objekt fran POSIX-domaner ar tillgangliga for operativsystemets granssnitt och verktyg. Tillatna varden pa detta alternativ ar "posix" och "application". POSIX-domaner kan nas av alla tjanster. Programdomaner kan endast nas fran InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten. OBSERVERA: Programdomanerna ar for narvarande bara valtestade med "id_provider=ldap". For ett latt satt att konfigurera en icke-POSIX-DOMAN, se avsnittet "Programdomaner". Standard: posix min_id,max_id (heltal) AID- och GID-granser for domanen. Om en doman innehaller en post som ligger utanfor dessa granser ignoreras den. For anvandare paverkar detta gransen for det primara GID:t. Anvandaren kommer inte returneras till NSS om antingen AID:t eller det primara GID:t ligger utanfor intervallet. For icke primara gruppmedlemskap kommer de som ligger i intervallet rapporteras som forvantat. Dessa ID-granser paverkar aven nar poster sparas till cachen, inte endast nar de returneras via namn eller ID. Standard: 1 for min_id, 0 (ingen grans) for max_id enumerate (bool) Bestammer om en doman kan raknas upp, det vill saga, huruvida domanen kan lista alla anvandare och grupper den innehaller. Observera att det inte ar nodvandigt att aktivera upprakning for att sekundara grupper skall visas. Denna parameter kan ha ett av foljande varden: TRUE = Anvandare och grupper raknas upp FALSE = Inga upprakningar for denna doman Standard: FALSE Att rakna upp en doman tvingar SSSD att hamta och lagra ALLA anvandar- och grupposter fran fjarrservern. Obs: att aktivera upprakning har en mattlig paverkan pa prestandan hos SSSD medan upprakningen pagar. Det kan ta upp till flera minuter efter att SSSD startat upp for att helt fullborda upprakningar. Under denna tid kommer enskilda begaranden om information att ga direkt till LDAP, fast det kan vara langsamt pa grund av den tunga bearbetningen av upprakningen. Att spara ett stort antal poster i cachen efter att upprakningen ar klar kan ocksa vara CPU-intensivt eftersom medlemskap maste beraknas om. Detta kan leda till att processen "sssd_be" blir oatkomlig eller till och med startas om av den interna vakthunden. Medan den forsta upprakningen kors kan begaranden om den fullstandiga anvandar- eller grupplistan returnera utan resultat tills den ar fardig. Vidare, att aktivera upprakning kan oka tiden som behovs for att upptacka urkoppling av natverk, eftersom langre tidsgranser behovs for att sakerstalla att upprakningsuppslagningarna blir klara som de skall. For mer information, se manualsidorna for den specifika id-leverantoren som anvands. Av ovan namnda skal rekommenderas inte att aktivera upprakning, sarskilt i stora miljoer. subdomain_enumerate (strang) Huruvida nagra av de automatiskt upptackta betrodda domanerna skall raknas upp. De varden som stodjs ar all Alla upptackta betrodda domaner kommer raknas upp none Inga upptackta betrodda domaner kommer raknas upp Om sa onskas kan en lista med en eller flera domannamn aktivera upprakning bara for dessa betrodda domaner. Standard: none entry_cache_timeout (heltal) Hur manga sekunder nss_sss skall anse poster giltiga fore den fragar bakanden igen Tidsstamplarna for nar cachen gar ut lagras som attribut pa de enskilda objekten i cachen. Darfor har andringar av tidsgransen for cachen endast effekt for nyligen tillagda eller utgangna poster. Du skall kora verktyget sss_cache(8) for att tvinga fram en uppdatering av poster som redan har cachats. Standard: 5400 entry_cache_user_timeout (heltal) Hur manga sekunder nss_sss skall anse anvandarposter giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_group_timeout (heltal) Hur manga sekunder nss_sss skall anse grupposter giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_netgroup_timeout (heltal) Hur manga sekunder nss_sss skall anse natgruppsposter giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_service_timeout (heltal) Hur manga sekunder nss_sss skall anse tjansteposter giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_resolver_timeout (heltal) Hur manga sekunder nss_sss skall anse vard- och natgruppsposter giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_sudo_timeout (heltal) Hur manga sekunder sudo skall anse regler giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_autofs_timeout (heltal) Hur manga sekunder tjansten autofs skall anse automatmonteringskartor giltiga fore den fragar bakanden igen Standard: entry_cache_timeout entry_cache_ssh_host_timeout (heltal) Hur manga sekunder en vards ssh-nyckel behalls efter en uppdatering. D.v.s. hur lange vardnyckeln skall cachas. Standard: entry_cache_timeout entry_cache_computer_timeout (heltal) Hur manga sekunder som den lokala datorns post sparas fore bakanden fragas igen Standard: entry_cache_timeout refresh_expired_interval (heltal) Anger hur manga sekunder SSSD maste vanta fore en uppdateringsuppgift startas i bakgrunden som kommer uppdatera alla utgangna eller nastan utgangna poster. Bakgrundsuppdateringen kommer behandla anvandare, grupper och natgrupper i cachen. For anvandare som har utfort operationen initgroups (hamta gruppmedlemskap for en anvandare, normalt kort vid inloggning) tidigare uppdateras bade anvandarposten och gruppmedlemskapet. Denna flagga arvs automatiskt for alla betrodda domaner. Du kan overvaga att satta detta varde till 3/4 . entry_cache_timeout. Cacheposter kommer uppdateras av ett bakgrundsjobb nar av cachetidsgransen redan har gatt. Om det finns cachade poster kommer bakgrundsjobbet referera till deras urpsprungliga cachetidsgransvarden istallet for det aktuella konfiguartionsvardet. Detta kan leda till en situation dar bakgrundsuppdateringsjobbet forefaller inte fungera. Detta ar gjort med avsikt for att forbattra funktionen i frankopplat lage och ateranvandning av giltiga cacheposter. For att gora denna andring omedelbart kan anvandaren vilja manuellt invalidera den befintliga cachen. Standard: 0 (avaktiverat) cache_credentials (bool) Determines if user credentials are also cached in the local LDB cache. The cached credentials refer to passwords, which includes the first (long term) factor of two-factor authentication, not other authentication mechanisms. Passkey and Smartcard authentications are expected to work offline as long as a successful online authentication is recorded in the cache without additional configuration. Take a note that while credentials are stored as a salted SHA512 hash, this still potentially poses some security risk in case an attacker manages to get access to a cache file (normally requires privileged access) and to break a password using brute force attack. Standard: FALSE cache_credentials_minimal_first_factor_length (heltal) Om 2-faktorautentisering (2FA) anvands och kreditiv skall sparas avgor detta varde den minsta langden den forsta autentiseringsfaktorn (langvarigt losenord) maste ha for att sparas som en SHA512-kontrollsumma i cachen. Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till latta mal for uttommande attacker. Standard: 8 account_cache_expiration (heltal) Antal dagar poster sparas i cachen efter den senaste lyckade inloggningen fore de tas bort under en rensning av cachen. 0 betyder behall for alltid. Vardet pa denna parameter maste vara storre an eller lika med offline_credentials_expiration. Standard: 0 (obegransat) pwd_expiration_warning (heltal) Visa en varning N dagar fore losenordet gar ut. Om noll anges tillampas inte detta filter, d.v.s. om utgangsvarningen mottogs fran bakandeserver kommer den automatiskt visas. Observera att bakandeservern maste leverera information om utgangstiden for losenordet. Om denna information saknas kan sssd inte visa nagon varning. Dessutom maste en autentiseringsleverantor ha konfigurerats for bakanden. Standard: 7 (Kerberos), 0 (LDAP) id_provider (strang) Identifikationsleverantoren som anvands for domanen. ID-leverantorer som stodjs ar: "proxy": Stod en tidigare NSS-leverantor. "files": FIL-leverantor. Se sssd-files(5) for mer information om hur lokala anvandare och grupper kan speglas in i SSSD. "ldap": LDAP-leverantor. Se sssd-ldap(5) for mer information om att konfigurera LDAP. "ipa": FreeIPA and Red Hat Identity Management provider. See sssd- ipa(5) for more information on configuring FreeIPA. "ad": Active Directory-leverantor. Se sssd-ad(5) for mer information om att konfigurera Active Directory. use_fully_qualified_names (bool) Anvand det fullstandiga namnet och domanen (formaterat med domanens full_name_format) som anvandarens inloggningsnamn rapporterat till NSS. Om satt till TRUE maste alla begaranden till denna doman anvanda fullstandigt kvalificerade namn. Till exempel, om anvant i en doman LOKAL som innehaller en anvandare "test", skulle getent passwd test inte hitta anvandaren medan getent passwd test@LOKAL skulle det. OBSERVERA: Detta alternativ har ingen effekt pa natgruppsuppslagningar pa grund av deras tendens att innehalla nastade natgrupper utan kvalificerade namn. For natgrupper kommer alla domaner sokas igenom nar ett okvalificerat namn begars. Standard: FALSE (TRUE for betrodda domaner/underdomaner eller om default_domain_suffix anvands) ignore_group_members (bool) Returnera inte gruppmedlemmar for gruppuppslagningar. Om satt till TRUE begars inte attributet gruppmedlemskap fran ldap-servern, och gruppmedlemmar returneras inte vid behandling av gruppuppslagningsanrop, sasom getgrnam(3) eller getgrgid(3). Som en effekt skulle "getent group $groupname" returnera den begarda gruppen som om den vore tom. Att aktivera detta alternativ kan aven gora kontroller av gruppmedlemskap hos atkomstleverantoren vasentligt snabbare, sarskilt for grupper som innehaller manga medlemmar. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: FALSE auth_provider (strang) Autentiseringsleverantoren som anvands for domanen. Leverantorer som stodjs ar: "ldap" for inbyggd LDAP-autentisering. Se sssd-ldap(5) for mer information om att konfigurera LDAP. "krb5" for Kerberosautentisering. Se sssd-krb5(5) for mer information om att konfigurera Kerberos. "ipa": FreeIPA and Red Hat Identity Management provider. See sssd- ipa(5) for more information on configuring FreeIPA. "ad": Active Directory-leverantor. Se sssd-ad(5) for mer information om att konfigurera Active Directory. "proxy" for att skicka vidare autentiseringen till nagot annat PAM-mal. "none" avaktiverar explicit autentisering. Standard: "id_provider" anvands om det ar satt och kan hantera autentiseringsbegaranden. access_provider (strang) Leverantoren av atkomstkontroll for domanen. Det finns tva inbyggda atkomstleverantorer (utover alla inkluderade i installerade bakandar). Interna specialleverantorer ar: "permit" tillat alltid atkomst. Det ar den enda tillatna atkomstleverantoren for en lokal doman. "deny" neka alltid atkomst. "ldap" for inbyggd LDAP-autentisering. Se sssd-ldap(5) for mer information om att konfigurera LDAP. "ipa": FreeIPA and Red Hat Identity Management provider. See sssd- ipa(5) for more information on configuring FreeIPA. "ad": Active Directory-leverantor. Se sssd-ad(5) for mer information om att konfigurera Active Directory. "simple" atkomstkontroll baserat pa atkomst- eller nekandelistor. Se sssd-simple(5) for mer information om att konfigurera atkomstmodulen simple. "krb5": .k5login-baserad atkomstkontroll. Se sssd-krb5(5) for mer information om att konfigurera Kerberos. "proxy" for att skicka vidare atkomstkontroll till nagon annan PAM-modul. Standard: "permit" chpass_provider (strang) Leverantoren som skall hantera losenordsandringar for domanen. Leverantorer av losenordsandring som stodjs ar: "ldap" for att andra losenord lagrade i en LDAP-server. Se sssd- ldap(5) for mer information om att konfigurera LDAP. "krb5" for att andra Kerberoslosenordet. Se sssd-krb5(5) for mer information om att konfigurera Kerberos. "ipa": FreeIPA and Red Hat Identity Management provider. See sssd- ipa(5) for more information on configuring FreeIPA. "ad": Active Directory-leverantor. Se sssd-ad(5) for mer information om att konfigurera Active Directory. "proxy" for att skicka vidare losenordsandringar till nagot annat PAM-mal. "none" tillater uttryckligen inte losenordsandringar. Standard: "auth_provider" anvands om det ar satt och kan hantera begaranden om andring av losenord. sudo_provider (strang) SUDO-leverantoren som anvands for domanen. SUDO-leverantorer som stodjs ar: "ldap" for regler lagrade i LDAP. Se sssd-ldap(5) for mer information om att konfigurera LDAP. "ipa" samma som "ldap" men med standardsinstallningar for IPA. "ad" samma som "ldap" men med standardsinstallningar for AD. "none" avaktiverar explicit SUDO. Standard: vardet pa "id_provider" anvands om det ar satt. De detaljerade instruktionerna for att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns manga konfigurationsalternativ som kan anvandas for att justera beteendet. Se "ldap_sudo_*" i sssd-ldap(5). OBSERVERA: Sudo-regler hamtas periodiskt i bakgrunden om inte sudo-leverantoren uttryckligen avaktiverats. Ange sudo_provider = None for att avaktivera all sudo-relaterad aktivitet i SSSD om du inte vill anvanda sudo med SSSD alls. selinux_provider (strang) Leverantoren som skall hantera inlasning av selinux-installningar. Observera att denna leverantor kommer anropas direkt efter att atkomstleverantoren avslutar. Selinux-leverantorer som stodjs ar: "ipa" for att lasa in selinux-installningar fran en IPA-server. Se sssd-ipa(5) for mer information om att konfigurera IPA. "none" tillater uttryckligen inte att hamta selinux-installningar. Standard: "id_provider" anvands om det ar satt och kan hantera begaranden om inlasning av selinux. subdomains_provider (strang) Leverantoren som skall hantera hamtandet av underdomaner. Detta varde skall alltid vara samma som id_provider. Underdomansleverantorer som stodjs ar: "ipa" for att lasa in en lista av underdomaner fran en IPA-server. Se sssd-ipa(5) for mer information om att konfigurera IPA. "ad" for att lasa in en lista av underdomaner fran en Active Directory-server. Se sssd-ad(5) for mer information om att konfigurera AD-leverantoren. "none" tillater uttryckligen inte att hamta underdomaner. Standard: vardet pa "id_provider" anvands om det ar satt. session_provider (strang) Leverantoren som konfigurerar och hanterar uppgifter relaterade till anvandarsessioner. De enda anvandarsessionsuppgifter som for narvarande tillhandahalls ar integration med Fleet Commander, vilket fungerar endast med IPA. Sessionsleverantorer som stodjs ar: "ipa" for att utfora uppgifter relaterade till anvandarsessioner. "none" utfor inte nagon sorts uppgifter relaterade till anvandarsessioner. Standard: "id_provider" anvands om det ar satt och kan utfora sessionsrelaterade uppgifter. OBSERVERA: For att denna funktion skall fungera som forvantat maste SSSD kora som "root" och inte som den oprivilegierade anvandaren. autofs_provider (strang) Autofs-leverantoren som anvands for domanen. Autofs-leverantorer som stodjs ar: "ldap" for att lasa mappar lagrade i LDAP. Se sssd-ldap(5) for mer information om att konfigurera LDAP. "ipa" for att lasa mappar lagrade i en IPA-server. Se sssd-ipa(5) for mer information om att konfigurera IPA. "ad" for att lasa mappar lagrade i en AD-server. Se sssd-ad(5) for mer information om att konfigurera AD-leverantoren. "none" avaktiverar explicit autofs. Standard: vardet pa "id_provider" anvands om det ar satt. hostid_provider (strang) Leverantoren som anvands for att hamta vardidentitetsinformation. Vard-id-leverantorer som stodjs ar: "ipa" for att lasa vardidentiteter lagrade i en IPA-server. Se sssd-ipa(5) for mer information om att konfigurera IPA. "none" avaktiverar explicit vard-id:n. Standard: vardet pa "id_provider" anvands om det ar satt. resolver_provider (strang) Leverantoren som skall hantera vard- och natverksuppslagningar. Uppslagsleverantorer som stodjs ar: "proxy" for att vidarebefordra uppslagningar till ett annat NSS-bibliotek. Se "proxy_resolver_lib_name" "ldap" for att hamta vardar och natverk lagrade i LDAP. Se sssd- ldap(5) for mer information om att konfigurera LDAP. "ldap" for att hamta vardar och natverk lagrade i AD. Se sssd-ad(5) for mer information om att konfigurera AD-leverantoren. "none" tillater uttryckligen inte att hamta vardar och natverk. Standard: vardet pa "id_provider" anvands om det ar satt. re_expression (strang) Reguljart uttryck for denna doman som beskriver hur man skall tolka strangen som innehaller anvandarnamnet och domanen in i dessa komponenter. Domanen kan matcha antingen domannamnet i SSSD-konfigurationen eller, i fallet med betrodda underdomaner i IPA och Active Directory-domaner, det platta (NetBIOS) namnet pa domanen. Default: "^((?P.+)@(?P[^@]*)|(?P[^@]+))$" which allows two different styles for user names: o anvandarnamn o anvandarnamn@doman.namn Default for the AD and IPA provider: "^(((?P[^\\]+)\\(?P.+))|((?P.+)@(?P[^@]+))|((?P[^@\\]+)))$" which allows three different styles for user names: o anvandarnamn o anvandarnamn@doman.namn o doman\anvandarnamn Medan de forsta tva motsvarar det allmanna standardfallet introduceras den tredje for att tillata enkel integration av anvandare fran Windows-domaner. The default re_expression uses the "@" character as a separator between the name and the domain. As a result of this setting the default does not accept the "@" character in short names (as it is allowed in Windows group names). If a user wishes to use short names with "@" they must create their own re_expression. full_name_format (strang) Ett printf(3)-kompatibelt format som beskriver hur man satter samman ett fullstandigt kvalificerat namn fran namn- och domankomponenter. Foljande utvidgningar stodjs: %1$s anvandarnamn %2$s domannamn som det anges i SSSD-konfigurationsfilen. %3$s platt domannamn. Huvudsakligen anvandbart for Active Directory-domaner, bade direkt konfigurerade eller hittade via IPA-fortroenden. Standard: "%1$s@%2$s". lookup_family_order (strang) Ger mojligheten att valja foredragen adressfamilj att anvanda vid DNS-uppslagningar. Varden som stodjs: ipv4_first: Forsok sla upp IPv4-adresser, om det misslyckas, prova IPv6 ipv4_only: Forsok endast sla upp vardnamn som IPv4-adresser. ipv6_first: Forsok sla upp IPv6-adresser, om det misslyckas, prova IPv4 ipv6_only: Forsok endast sla upp vardnamn som IPv6-adresser. Standard: ipv4_first dns_resolver_server_timeout (heltal) Definierar mangden tid (i millisekunder) SSSD skall forsoka att tala med en DNS-server fore den provar nasta DNS-server. AD-leverantoren kommer aven att anvanda detta alternativ for CLDAP-pingtidsgransen. Se avsnittet "RESERVER" for mer information om tjanstevalet. Standard: 1000 dns_resolver_op_timeout (heltal) Definierar mangden tid (i sekunder) att vanta pa att sla upp en viss DNS-fraga (t.ex. uppslagning av ett vardnamn eller en SRV-post) fore den provar nasta vardnamn eller DNS-upptackt. Se avsnittet "RESERVER" for mer information om tjanstevalet. Standard: 3 dns_resolver_timeout (heltal) Definierar tiden (i sekunder) att vanta pa ett svar fran den interna reservtjansten fore man antar att tjansten inte kan nas. Om denna tidsgrans nas kommer domanen fortsatta att fungera i frankopplat lage. Se avsnittet "RESERVER" for mer information om tjanstevalet. Standard: 6 dns_resolver_use_search_list (bool) Normalt soker DNS-uppslagaren domanlistan som ar definierad i direktivet "search" fran filen resolv.conf. Detta kan leda till fordrojningar i miljoer med felaktigt konfigurerad DNS. Om fullstandigt kvalificerade domannamn (eller _srv_) anvands i SSSD-konfigurationen kan att satta detta alternativ till FALSE forhindra onodiga DNS-uppslagningar i sadana miljoer. Standard: TRUE dns_discovery_domain (strang) Om tjansteupptackt anvands i bakanden anger domandelen av tjanstens DNS-fraga om tjansteupptackt. Standard: anvand domandelen av maskinens vardnamn failover_primary_timeout (integer) When no primary server is currently available, SSSD fail overs to a backup server. This option defines the amount of time (in seconds) to wait before SSSD tries to reconnect to a primary server again. Note: The minimum value is 31. Default: 31 override_gid (heltal) Ersatt det primara GID-vardet med det angivna. case_sensitive (strang) Behandla anvandar- och gruppnamn som skiftlageskansliga. De tillgangliga vardena pa alternativen ar: True Skiftlageskansligt. Detta varde ar inte giltigt for AD-leverantorer. False Skiftlagesokansligt. Preserving Samma som False (skiftlagesokansligt), men skiftar inte ner namn i resultaten fran NSS-operationer. Observera att namnalias (och i fallet med tjanster aven protokollnamn) fortfarande skiftas ner i utdata. Om du vill satta detta varde for en betrodd doman med IPA-leverantor behover du satta det pa bade klienten och SSSD pa servern. Detta alternativ kan aven sattas per underdoman eller arvt via subdomain_inherit. Standard: True (False for AD-leverantoren) subdomain_inherit (strang) Anger en lista av konfigurationsparametrar som skall arvas av underdomanen. Observera att endast valda parametrar kan arvas. For narvarande kan foljande alternativ arvas: ldap_search_timeout ldap_network_timeout ldap_opt_timeout ldap_offline_timeout ldap_enumeration_refresh_timeout ldap_enumeration_refresh_offset ldap_purge_cache_timeout ldap_purge_cache_offset ldap_krb5_keytab (vardet pa krb5_keytab kommer anvandas om inte ldap_krb5_keytab satts sarskilt) ldap_krb5_ticket_lifetime ldap_enumeration_search_timeout ldap_connection_expire_timeout ldap_connection_expire_offset ldap_connection_idle_timeout ldap_use_tokengroups ldap_user_principal ignore_group_members auto_private_groups case_sensitive Exempel: subdomain_inherit = ldap_purge_cache_timeout Standard: none Observera: detta alternativ fungerar endast med leverantorerna IPA och AD. subdomain_homedir (strang) Anvand denna hemkatalog som standardvarde for alla underdomaner inom denna doman i IPA AD-fortroende. Se override_homedir for information om mojliga varden. Utover dessa kan expansionen nedan endast anvandas med subdomain_homedir. %F platt (NetBIOS) namn pa en underdoman. Vardet kan asidosattas av alternativet override_homedir. Standard: /home/%d/%u realmd_tags (strang) Diverse taggar lagrade av realmd-konfigurationstjansten for denna doman. cached_auth_timeout (heltal) Anger tiden i sekunder sedan senaste lyckade uppkopplade autentisering under vilka anvandaren kommer autentiseras med cachade kreditiv medan SSSD ar i uppkopplat lage. Om kreditiven ar felaktiga faller SSSD tillbaka till uppkopplad autentisering. Detta alternativs varde arvs av alla betrodda domaner. For narvarande ar det inte mojligt att ange olika varden for varje betrodd doman. Specialvardet 0 betyder att denna funktion ar avaktiverad. Observera att om "cached_auth_timeout" ar langre an "pam_id_timeout" kan bakanden anropas for att hantera "initgroups." Standard: 0 local_auth_policy (string) Local authentication methods policy. Some backends (i.e. LDAP, proxy provider) only support a password based authentication, while others can handle PKINIT based Smartcard authentication (AD, IPA), two-factor authentication (IPA), or other methods against a central instance. By default in such cases authentication is only performed with the methods supported by the backend. With this option additional methods can be enabled which are evaluated and checked locally. There are three possible values for this option: match, only, enable. "match" is used to match offline and online states for Kerberos methods. "only" ignores the online methods and only offer the local ones. enable allows explicitly defining the methods for local authentication. As an example, "enable:passkey", only enables passkey for local authentication. Multiple enable values should be comma-separated, such as "enable:passkey, enable:smartcard" The following table shows which authentication methods, if configured properly, are currently enabled or disabled for each backend, with the default local_auth_policy: "match" +-----------------------------+ |local_auth_policy = match | |(default) | +-----+-----------+-----------+ | | Passkey | Smartcard | +-----+-----------+-----------+ |IPA | aktiverat | aktiverat | +-----+-----------+-----------+ | AD | disabled | aktiverat | +-----+-----------+-----------+ |LDAP | disabled | disabled | +-----+-----------+-----------+ Please note that if local Smartcard authentication is enabled and a Smartcard is present, Smartcard authentication will be preferred over the authentication methods supported by the backend. I.e. there will be a PIN prompt instead of e.g. a password prompt. The following configuration example allows local users to authenticate locally using any enabled method (i.e. smartcard, passkey). [domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only It is expected that the "files" provider ignores the local_auth_policy option and supports Smartcard authentication by default. Default: match auto_private_groups (strang) Detta alternativ tar nagot av tre tillgangliga varden: true Skapa anvandares privata grupp ovillkorligt fran anvandarens AID-nummer. GID-numret ignoreras i detta lage. OBSERVERA: Eftersom GID-numret och anvandarens privata grupp harleds fran AID-numret stodjs det inte att ha flera poster med samma AID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer over hela ID-rymden. false Anvand alltid anvandarens primara GID-nummer. GID-numret maste referera till ett gruppobjekt i LDAP-databasen. hybrid En primar grupp autogenereras for anvandarposter vars AID- och GID-nummer har samma varde och GID-numret pa samma gang inte motsvarar ett verkligt gruppobjekt i LDAP. Om vardena ar samma, men det primara GID:t i anvandarposten aven anvands av ett gruppobjekt slas anvandarens primara GID upp till det gruppobjektet. Om anvandarens AID och GID ar olika maste GID:t motsvara en gruppost, annars kan GID:t helt enkelt inte slas upp. Denna funktion ar anvandbar i miljoer som vill sluta underhalla separata gruppobjekt for anvandares privata grupper, men aven vill behalla de befintliga anvandarnas privata grupper. For underdomaner ar standardvardet False for underdomaner som anvander tilldelade POSIX ID:n och True for underdomaner som anvander automatisk ID-oversattning. Vardet pa auto_private_groups kan antingen anges per underdoman i en undersektion, till exempel: [domain/forest.domain/sub.domain] auto_private_groups = false eller globalt for alla underdomaner i huvuddomanavsnittet genom att anvanda alternativet subdomain_inherit: [domain/forest.domain] subdomain_inherit = auto_private_groups auto_private_groups = false Giltiga alternativ for proxy-domaner. proxy_pam_target (strang) Proxymalet PAM ar en proxy for. Default: not set by default, you have to take an existing pam configuration or create a new one and add the service name here. As an alternative you can enable local authentication with the local_auth_policy option. proxy_lib_name (strang) Namnet pa NSS-biblioteket att anvanda i proxy-domaner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_files_getpwent. proxy_resolver_lib_name (strang) Namnet pa NSS-biblioteket att anvanda for uppslagning av vardar och natverk i proxy-domaner. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_dns_gethostbyname2_r. proxy_fast_alias (boolean) Nar en anvandare eller grupp slas upp efter namn i proxy-leverantoren gors en andra uppslagning efter ID for att "kanonisera" namnet i handelse det begarda namnet var ett alias. Att satta detta alternativ till sant skulle fa SSSD att utfora ID-uppslagningen fran cachen av prestandaskal. Standard: false proxy_max_children (heltal) Detta alternativ anger antalet i forhand avgrenade proxy-barn. Det ar anvandbart for SSSD-miljoer med hog last dar sssd kan fa slut pa tillgangliga barnfack, vilket skulle orsaka problem pa grund av att begaranden skulle koas upp. Standard: 10 Programdomaner SSSD, med sitt D-Bus-granssnitt (se sssd-ifp(5)) ar tilltalande for program som en portgang till en LDAP-katalog dar anvandare och grupper lagras. Dock, tvartemot den traditionella SSSD-installationen dar alla anvandare och grupper antingen har POSIX-attribut eller sa kan dessa attribut harledas Windows-SID:arna, har i manga fall anvandarna och grupperna i programstodsscenariot inga POSIX-attribut. Istallet for att gora en sektion "[domain/NAMN]" kan administratoren skapa en sektion "[application/NAMN]" som internt representerar en doman med typen "application" och eventuellt arver installningar fran en traditionell SSSD-doman. Observera att programdomanen fortfarande uttryckligen maste aktiveras i parametern "domains" sa att uppslagningsordningen mellan programdomanen och dess POSIX-syskondoman satts korrekt. Programdomanparametrar inherit_from (strang) Den SSSD-doman av POSIX-typ som programdomanen arver alla installningar ifran. Programdomanen kan dessutom lagga till sina egna installningar till programinstallningarna som kompletterar eller asidosatter "syskon"domanens installningar. Standard: inte satt Foljande exempel illustrerar anvandningen av en programdoman. I denna uppsattning ar POSIX-domanen kopplad till en LDAP-server och anvands av OS:et via NSS-respondenten. Dessutom begar programdomanen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gor attributet telefon nabart via D-Bus-granssnittet. [sssd] domains = progdom, posixdom [ifp] user_attributes = +telefon [domain/posixdom] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com [application/progdom] inherit_from = posixdom ldap_user_extra_attrs = telefon:telephoneNumber SEKTIONEN BETRODDA DOMANER Nagra alternativ som anvands i domansektionen kan aven anvandas i sektionen for betrodda domaner, det vill saga, i en sektion som heter "[domain/DOMANNAMN/NAMN_PA_BETRODD_DOMAN]". Dar DOMANNAMN ar den aktuella basdomanen som anslutits till. Se exempel nedan for forklaring. For narvarande stodda alternativ i sektionen for betrodda domaner ar: ldap_search_base, ldap_user_search_base, ldap_group_search_base, ldap_netgroup_search_base, ldap_service_search_base, ldap_sasl_mech, ad_server, ad_backup_server, ad_site, use_fully_qualified_names pam_gssapi_services pam_gssapi_check_upn For fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan. CERTIFIKATSMAPPNINGSSEKTION For att tillata autentisering med smartkort och certifikat maste SSSD kunna oversatta certifikat till anvandare. Detta kan goras genom att lagga till det fullstandiga certifikatet till anvandarens LDAP-objekt eller till en lokal ersattning. Medan det kravs att man anvander det fullstandiga certifikatet for att anvanda funktionen smartkortsautentisering i SSH (se sss_ssh_authorizedkeys(8) for detaljer) kan det vara besvarligt eller kanske inte ens mojligt att anvanda detta i det allmanna fallet nar lokala tjanster anvander PAM for autentisering. For att gora oversattningen mer flexibel lades oversattnings- och matchningsregler till till SSSD (se sss-certmap(5) for detaljer). En oversattnings- och matchningsregel kan laggas till till SSSD-konfigurationen i en egen sektion for sig sjalv med ett namn som "[certmap/DOMANNAMN/REGELNAMN]". I denna sektion ar foljande alternativ tillatna: matchrule (strang) Endast certifikat fran smartkort som matchar denna regel kommer bearbetas, alla andra ignoreras. Standard: KRB5:clientAuth, d.v.s. endast certifikat som har Extended Key Usage "clientAuth" maprule (strang) Definierar hur anvandaren hittas for ett givet certifikat. Standard: o LDAP:(userCertificate;binary={cert!bin}) for LDAP-baserade leverantorer som "ldap", "AD" eller "ipa". o REGELNAMNet for leverantoren "files" som forsoker hitta en anvandare med samma namn. domains (strang) Kommaseparerad lista av domannamn regeln skall anvandas pa. Som standard ar endast en regel giltig i domanen dar den ar konfigurerad i sssd.conf. Om leverantoren stodjer underdomaner kan detta alternativ anvandas for att lagga till regeln till underdomaner ocksa. Standard: den konfigurerade domanen i sssd.conf priority (heltal) Teckenlost heltalsvarde som definierar prioriteten for regeln. Ju hogre talet ar desto lagre ar prioriteten. "0" star for den hogsta prioriteten medan "4294967295" ar den lagsta. Standard: den lagsta prioriteten For att gora konfigurationen enkel och reducera mangden konfigurationsalternativ har leverantoren "files" nagra speciella egenskaper: o om maprule inte ar satt antas namnet REGELNAMN vara namnet pa den matchande anvandaren o om en maprule anvands maste bade ett ensamt anvandarnamn eller en mall som "{subject_rfc822_name.short_name}" vara i krullparenteser som t.ex. "(username)" eller "({subject_rfc822_name.short_name})" o alternativet "domains" ignoreras SEKTIONEN FOR FRAGEKONFIGURATION Om en sarskild fil (/var/lib/sss/pubconf/pam_preauth_available) finns kommer SSSD:s PAM-modul pam_sss be SSSD att ta reda pa vilka autentiseringsmetoder som ar tillgangliga for anvandaren som forsoker logga in. Baserat pa resultatet kommer pam_sss fraga anvandaren efter tillampliga kreditiv. Med det vaxande antalet autentiseringsmetoder och mojligheten att det finns flera olika for en enskild anvandare kan det handa att heuristiken som anvands av pam_sss for att valja fraga inte ar lamplig for alla anvandarfall. Foljande alternativ bor ge en battre flexibilitet har. Each supported authentication method has its own configuration subsection under "[prompting/...]". Currently there are: [prompting/password] for att konfigurera losenordsfraga ar de tillatna alternativen: password_prompt for att andra strangen i losenordsfragan [prompting/2fa] for att konfigurera efterfragan av tvafaktorautentisering ar de tillatna flaggorna: first_prompt for att andra strangen som fragar efter den forsta faktorn second_prompt for att andra strangen som fragar efter den andra faktorn single_prompt booleskt varde, om True kommer det bara vara en fraga som anvander vardet pa first_prompt dar det forvantas att bada faktorerna matas in som en enda strang. Observera att bada faktorerna maste anges har, aven om den andra faktorn ar frivillig. Om den andra faktorn ar frivillig och det skall vara mojligt att logga in antingen edast med losenordet eller med bada faktorerna maste tvastegsforfragan anvandas. Det ar mojligt att lagga till en undersektion for specifika PAM-tjanster som t.ex. "[prompting/password/sshd]" for att andra fragorna enskilt for denna tjanst. EXEMPEL 1. Foljande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av sjalva domanerna - se dokumentationen om att konfigurera domaner for fler detaljer. [sssd] domains = LDAP services = nss, pam config_file_version = 2 [nss] filter_groups = root filter_users = root [pam] [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM cache_credentials = true min_id = 10000 max_id = 20000 enumerate = False 2. Foljande exempel visar konfigurationen av IPA AD-fortroende i en foralder-barn-struktur. Anta att IPA-domanen (ipa.se) har fortroende for AD-domanen (ad.se). ad.se har en barndoman (barn.ad.se). For att aktivera kortnamn i barndomanen skall foljande konfiguration anvandas. [domain/ipa.se/barn.ad.se] use_fully_qualified_names = false 3. The following example shows the configuration of a certificate mapping rule. It is valid for the configured domain "my.domain" and additionally for the subdomains "your.domain" and uses the full certificate in the search filter. [certmap/my.domain/rule_name] matchrule = ^CN=My-CA,DC=MY,DC=DOMAIN$ maprule = (userCertificate;binary={cert!bin}) domains = my.domain, your.domain priority = 10 SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 05/17/2024 SSSD.CONF(5)