Arch manual pages

SSSD-IPA(5) Формати файлів та правила SSSD-IPA(5)

sssd-ipa - Модуль надання даних IPA SSSD

На цій сторінці довідника описано налаштування засобу керування доступом IPA для sssd(8). Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу «ФОРМАТ ФАЙЛІВ» сторінки довідника sssd.conf(5).

Інструмент надання даних IPA — модуль, який використовується для встановлення з’єднання з сервером IPA. (Інформацію щодо серверів IPA можна знайти на сайті freeipa.org.) Цей інструмент надання доступу потребує включення комп’ютера до домену IPA. Налаштування майже повністю автоматизовано, дані для нього отримуються безпосередньо з сервера.

Засіб надання даних IPA уможливлює для SSSD використання засобу надання даних профілів sssd-ldap(5) та засобу надання даних розпізнавання sssd-krb5(5) з оптимізацією для середовищ IPA. Засіб надання даних IPA приймає ті самі параметри, які використовуються засобами надання даних sssd-ldap та sssd-krb5, із деякими виключеннями. Втім, встановлювати ці параметри не обов'язково і не рекомендовано.

Засіб надання даних IPA в основному копіює типові параметри традиційних засобів надання даних ldap і krb5 із деякими виключенням. Відмінності наведено у розділі “ЗМІНЕНІ ТИПОВІ ПАРАМЕТРИ”.

Як інструмент надання доступу, інструмент надання даних IPA для керування доступом використовує правила HBAC (host-based access control або керування доступом на основі даних щодо вузлів). Докладнішу інформацію щодо HBAC можна отримати на сайті freeipa.org. У налаштуванні керування доступом на боці клієнта немає потреби.

Якщо у sssd.conf вказано “auth_provider=ipa” або “access_provider=ipa”, для id_provider також має бути вказано “ipa”.

Інструмент надання даних IPA використовуватиме відповідач PAC, якщо квитки Kerberos користувачів з довірених областей містять PAC. Для полегшення налаштовування відповідач PAC запускається автоматично, якщо налаштовано інструмент надання даних ідентифікаторів IPA.

Зверніться до розділу «РОЗДІЛИ ДОМЕНІВ» сторінки довідника (man) sssd.conf(5), щоб дізнатися більше про налаштування домену SSSD.

ipa_domain (рядок)

Визначає назву домену IPA. Є необов’язковим. Якщо не вказано, буде використано назву домену з налаштувань.

ipa_server, ipa_backup_server (рядок)

Впорядкований за пріоритетом список IP-адрес або назв вузлів, відокремлених комами, серверів IPA, з якими має встановити з’єднання SSSD. Докладніші відомості щодо резервних серверів викладено у розділі «РЕЗЕРВ». Цей список є необов’язковим, якщо увімкнено автоматичне виявлення служб. Докладніші відомості щодо автоматичного виявлення служб наведено у розділі «ПОШУК СЛУЖБ».

ipa_hostname (рядок)

Необов’язковий. Може бути встановлено на комп’ютерах, де hostname(5) не відповідає повній назві, що використовується доменом IPA для розпізнавання цього вузла. Назву вузла слід вказувати повністю.

dyndns_update (булеве значення)

Необов’язковий. За допомогою цього параметра можна наказати SSSD автоматично оновити на сервері DNS, вбудованому до FreeIPA, IP-адресу клієнта. Захист оновлення буде забезпечено за допомогою GSS-TSIG. Для оновлення буде використано IP-адресу з’єднання LDAP IPA, якщо не вказано іншу адресу за допомогою параметра «dyndns_iface».

ЗАУВАЖЕННЯ: на застарілих системах (зокрема RHEL 5) для надійної роботи у цьому режимі типову область дії Kerberos має бути належним чином визначено у /etc/krb5.conf

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_update, користувачам слід переходити на нову назву, dyndns_update, у файлі налаштувань.

Типове значення: false

dyndns_ttl (ціле число)

TTL, до якого буде застосовано клієнтський запис DNS під час його оновлення. Якщо dyndns_update має значення false, цей параметр буде проігноровано. Перевизначає TTL на боці сервера, якщо встановлено адміністратором.

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_ttl, користувачам слід переходити на нову назву, dyndns_ttl, у файлі налаштувань.

Типове значення: 1200 (секунд)

dyndns_iface (рядок)

Необов'язковий. Застосовний, лише якщо dyndns_update має значення true. Виберіть інтерфейс або список інтерфейсів, чиї IP-адреси має бути використано для динамічних оновлень DNS. Спеціальне значення “*” означає, що слід використовувати IP-адреси з усіх інтерфейсів.

ЗАУВАЖЕННЯ: хоча можна використовувати і попередню назву параметра, ipa_dyndns_iface, користувачам слід переходити на нову назву, dyndns_iface, у файлі налаштувань.

Типове значення: використовувати IP-адреси інтерфейсу, який використовується для з’єднання LDAP IPA

Приклад: dyndns_iface = em1, vnet1, vnet2

dyndns_auth (рядок)

Визначає, чи має використовувати допоміжний засіб nsupdate розпізнавання GSS-TSIG для безпечних оновлень за допомогою сервера DNS, незахищені оновлення можна надсилати встановленням для цього параметра значення «none».

Типове значення: GSS-TSIG

ipa_enable_dns_sites (булеве значення)

Вмикає сайти DNS — визначення служб на основі адрес.

Якщо вказано значення true і увімкнено визначення служб (див. розділ щодо пошуку служб у нижній частині сторінки підручника (man)), SSSD спочатку спробує визначення на основі адрес за допомогою запиту, що містить "_location.hostname.example.com", а потім повертається до традиційного визначення SRV. Якщо визначення на основі адреси буде успішним, сервери IPA, виявлені на основі визначення за адресою, вважатимуться основним серверами, а сервери IPA, виявлені за допомогою традиційного визначення SRV, вважатимуться резервними серверами.

Типове значення: false

dyndns_refresh_interval (ціле число)

Визначає, наскільки часто серверний модуль має виконувати періодичні оновлення DNS на додачу до автоматичного оновлення, яке виконується під час кожного встановлення з’єднання серверного модуля з мережею. Цей параметр не є обов’язкоми, його застосовують, лише якщо dyndns_update має значення true.

Типове значення: 0 (вимкнено)

dyndns_update_ptr (булеве значення)

Визначає, чи слід явним чином оновлювати запис PTR під час оновлення записів DNS клієнта. Застосовується, лише якщо значенням dyndns_update буде true.

Значенням цього параметра у більшості розгорнутих систем IPA має бути False, оскільки сервер IPA створює записи PTR автоматично після зміни у записах переспрямовування.

Типове значення: False (вимкнено)

dyndns_force_tcp (булеве значення)

Визначає, чи слід у програмі nsupdate типово використовувати TCP для обміну даними з сервером DNS.

Типове значення: False (надати змогу nsupdate вибирати протокол)

dyndns_server (рядок)

Сервер DNS, який слід використовувати для виконання оновлення DNS. У більшості конфігурацій рекомендуємо не встановлювати значення для цього параметра.

Встановлення значення для цього параметра потрібне для середовищ, де сервер DNS відрізняється від сервера профілів.

Будь ласка, зауважте, що цей параметр буде використано лише для резервних спроб, якщо попередні спроби із використанням автовиявлення завершаться невдало.

Типове значення: немає (надати nsupdate змогу вибирати сервер)

dyndns_update_per_family (булеве значення)

Оновлення DNS, типово, виконується у два кроки — оновлення IPv4, а потім оновлення IPv6. Іноді бажаним є виконання оновлення IPv4 і IPv6 за один крок.

Типове значення: true

ipa_deskprofile_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з профілями станції (Desktop Profile) об’єктів.

Типове значення: використання базової назви домену

ipa_hbac_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку пов’язаних з HBAC об’єктів.

Типове значення: використання базової назви домену

ipa_host_search_base (рядок)

Застарілий. Скористайтеся замість нього ldap_host_search_base.

ipa_selinux_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку карт користувачів SELinux.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення ldap_search_base

ipa_subdomains_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку надійних доменів.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення cn=trusts,%basedn

ipa_master_domain_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку основного об’єкта домену.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення виразу cn=ad,cn=etc,%basedn

ipa_views_search_base (рядок)

Необов’язковий. Використати вказаний рядок як основу пошуку контейнерів перегляду.

Ознайомтеся з розділом щодо «ldap_search_base», щоб дізнатися більше про налаштування декількох основ пошуку.

Типове значення: значення cn=views,cn=accounts,%basedn

krb5_realm (рядок)

Назва області дії Kerberos. Є необов’язковою, типовим значенням є значення «ipa_domain».

Назва області дії Kerberos має особливе значення у IPA: цю назву буде перетворено у основний DN для виконання дій LDAP.

krb5_confd_path (рядок)

Абсолютний шлях до каталогу, у якому SSSD має зберігати фрагменти налаштувань Kerberos.

Щоб вимкнути створення фрагментів налаштувань, встановіть для параметра значення «none».

Типове значення: не встановлено (підкаталог krb5.include.d каталогу pubconf SSSD)

ipa_deskprofile_refresh (ціле число)

Проміжок часу між послідовними пошуками правил профілів станції (Desktop Profile) щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо профілів станції.

Типове значення: 5 (секунд)

ipa_deskprofile_request_interval (ціле число)

Час між пошуками у правилах профілів станцій на сервері IPA, якщо за останнім запитом не повернуто жодного правила.

Типове значення: 60 (хвилин)

ipa_hbac_refresh (ціле число)

Проміжок часу між послідовними пошуками правил HBAC щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо керування доступом.

Типове значення: 5 (секунд)

ipa_hbac_selinux (ціле число)

Проміжок часу між послідовними пошуками у картах SELinux щодо сервера IPA. Зміна може зменшити час затримки та навантаження на сервер IPA, якщо протягом короткого періоду часу надходить багато запитів щодо входу користувача до системи.

Типове значення: 5 (секунд)

ipa_server_mode (булеве значення)

Цей параметр буде встановлено засобом встановлення IPA (ipa-server-install) автоматично, він визначає, чи запущено SSSD на сервері IPA.

На сервері IPA SSSD шукатиме записи користувачів і груп із довірених доменів безпосередньо, хоча на клієнті SSSD надсилатиме запит на сервер IPA.

Зауваження: у поточній версії має бути виконано декілька умов, якщо SSSD працює на сервері IPA.

•Параметр “ipa_server” має бути налаштовано так, щоб він вказував на сам сервер IPA. Це типово робить засіб встановлення IPA, тому зміни вручну є зайвими.

•Не слід змінювати значення параметра “full_name_format” для того, щоб лише виводити короткі імена користувачів з довірених доменів.

Типове значення: false

ipa_automount_location (рядок)

Адреса автоматичного монтування, яку буде використовувати цей клієнт IPA

Типове значення: адреса з назвою "default"

Будь ласка, зауважте, що засіб автоматичного монтування читає основну карту лише під час запуску, отже якщо до ssd.conf внесено будь-які пов’язані з autofs зміни, типово слід перезапустити фонову службу автоматичного монтування після перезапуску SSSD.

SSSD може обробляти перегляди та перевизначення, які пропонуються FreeIPA 4.1 та новішими версіями. Оскільки усі шляхи і класи об’єктів зафіксовано на боці сервера, в основному, немає потреби у додатковому налаштовуванні. Для повноти, усі відповідні параметри наведено у списку разом з їхніми типовими значеннями.

ipa_view_class (рядок)

Клас об’єктів для контейнерів перегляду.

Типове значення: nsContainer

ipa_view_name (рядок)

Назва атрибута, у якому зберігається назва перегляду.

Типове значення: cn

ipa_override_object_class (рядок)

Клас об’єктів для об’єктів перевизначення

Типове значення: ipaOverrideAnchor

ipa_anchor_uuid (рядок)

Назва атрибута, у якому зберігається посилання на початковий об’єкт на віддаленому домені.

Типове значення: ipaAnchorUUID

ipa_user_override_object_class (рядок)

Назва класу об’єктів для перевизначень користувачів. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою.

Перевизначення користувачів можуть містити атрибути, задані

•ldap_user_name

•ldap_user_uid_number

•ldap_user_gid_number

•ldap_user_gecos

•ldap_user_home_directory

•ldap_user_shell

•ldap_user_ssh_public_key

Типове значення: ipaUserOverride

ipa_group_override_object_class (рядок)

Назва класу об’єктів для перевизначень груп. Використовується для визначення того, чи знайдений об’єкт перевизначення пов’язано з користувачем або групою.

Перевизначення груп можуть містити атрибути, задані

•ldap_group_name

•ldap_group_gid_number

Типове значення: ipaGroupOverride

Деякі типові значення параметрів не збігаються із типовими значеннями параметрів засобу надання даних. Із назвами відповідних параметрів та специфічні для засобу надання даних IPA значення цих параметрів можна ознайомитися за допомогою наведеного нижче списку:

•krb5_validate = true

•krb5_use_fast = try

•krb5_canonicalize = true

•ldap_schema = ipa_v1

•ldap_force_upper_case_realm = true

•ldap_sasl_mech = GSSAPI

•ldap_sasl_minssf = 56

•ldap_account_expire_policy = ipa

•ldap_use_tokengroups = true

•ldap_user_member_of = memberOf

•ldap_user_uuid = ipaUniqueID

•ldap_user_ssh_public_key = ipaSshPubKey

•ldap_user_auth_type = ipaUserAuthType

•ldap_group_object_class = ipaUserGroup

•ldap_group_object_class_alt = posixGroup

•ldap_group_member = member

•ldap_group_uuid = ipaUniqueID

•ldap_group_objectsid = ipaNTSecurityIdentifier

•ldap_group_external_member = ipaExternalMember

Поведінка інструмента надання даних піддоменів IPA залежить від того, у який спосіб його налаштовано: явний чи неявний.

Якщо у розділі домену sssd.conf буде знайдено запис параметра «subdomains_provider = ipa», інструмент надання даних піддоменів IPA налаштовано явно, отже всі запити піддоменів надсилатимуться серверу IPA, якщо це потрібно.

Якщо у розділі домену sssdconf не встановлено параметр «subdomains_provider», але встановлено параметр «id_provider = ipa», інструмент надання даних піддоменів IPA налаштовано неявним чином. У цьому випадку спроба запиту щодо піддомену зазнає невдачі і вказуватиме на те, що на сервері не передбачено піддоменів, тобто його не налаштовано на довіру, отже інструмент надання даних піддоменів IPA вимкнено. Щойно мине година або відкриється доступ до інструмента надання даних IPA, інструмент надання даних піддоменів буде знову увімкнено.

Для довіреного домену можна також встановити деякі параметри налаштовування. Налаштовування довіреного домену можна виконати за допомогою підрозділу, приклад:

[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com

Крім того, деякі параметри можна встановити у батьківському домені і успадкувати для довіреного домену за допомогою параметра “subdomain_inherit”. Щоб дізнатися більше, ознайомтеся зі сторінкою підручника sssd.conf(5).

Перелік параметрів налаштовування для довіреного домену залежить від того, як ви налаштували SSSD на сервері IPA або клієнт IPA.

У розділі піддомену на основному сервері IPA можна вказати такі параметри:

•ad_server

•ad_backup_server

•ad_site

•ldap_search_base

•ldap_user_search_base

•ldap_group_search_base

•use_fully_qualified_names

У розділі піддомену на клієнті IPA можна вказати такі параметри:

•ad_server

•ad_site

Зауважте, що якщо встановлено обидва параметри, буде враховано лише “ad_server”.

Оскільки будь-який запит щодо ідентифікації користувача або групи від довіреного домену, який започатковано клієнтом IPA, обробляється сервером IPA, параметри “ad_server” і “ad_site” впливають лише на те, який з DC AD виконуватиме процедуру розпізнавання. Зокрема, адреси, які визначено за цими списками, буде записано до файлів “kdcinfo”, читання яких виконуватиметься додатком пошуку Kerberos. Будь ласка, зверніться до сторінки підручника щодо sssd_krb5_locator_plugin(8), щоб дізнатися більше про додаток пошуку Kerberos.

Можливість резервування надає змогу модулям обробки автоматично перемикатися на інші сервери, якщо спроба встановлення з’єднання з поточним сервером зазнає невдачі.

Список записів серверів, відокремлених комами. Між комами можна використовувати довільну кількість пробілів. Порядок у списку визначає пріоритет. У списку може бути будь-яка кількість записів серверів.

Для кожного з параметрів налаштування з увімкненим резервним отриманням існує два варіанти: основний і резервний. Ідея полягає у тому, що сервери з основного списку мають вищий пріоритет за резервні сервери, пошук же на резервних серверах виконується, лише якщо не вдасться з’єднатися з жодним з основних серверів. Якщо буде вибрано резервний сервер, встановлюється час очікування у 31 секунду. Після завершення часу очікування SSSD періодично намагатиметься повторно встановити з’єднання з основними серверами. Якщо спроба буде успішною, поточний активний резервний сервер буде замінено на основний.

Механізмом резервного використання розрізняються окремі комп’ютери і служби. Спочатку модуль намагається визначити назву вузла вказаного комп’ютера. Якщо спроби визначення зазнають невдачі, комп’ютер вважатиметься від’єднаним від мережі. Подальших спроб встановити з’єднання з цим комп’ютером для всіх інших служб не виконуватиметься. Якщо вдасться виконати визначення, модуль зробити спробу встановити з’єднання зі службою на визначеному комп’ютері. Якщо спроба з’єднання зі службою не призведе до успіху, непрацездатною вважатиметься лише служба, модуль автоматично перемкнеться на наступну службу. Комп’ютер служби вважатиметься з’єднаним з мережею, можливі подальші спроби використання інших служб.

Подальші спроби встановлення з’єднання з комп’ютерами або службами, позначеними як такі, що перебувають поза мережею, буде виконано за певний проміжок часу. У поточній версії цей проміжок є незмінним і дорівнює 30 секундам.

Якщо список комп’ютерів буде вичерпано, основний модуль перейде у режим автономної роботи і повторюватиме спроби з’єднання кожні 30 секунд.

Для визначення сервера для з'єднання достатньо одного запиту DNS або декількох кроків, зокрема визначення відповідного сайта або спроба використати декілька назв вузлів у випадку, якщо якісь із налаштованих серверів недоступні. Складніші сценарії можуть потребувати додаткового часу, а SSSD треба збалансувати надання достатнього часу для завершення процесу визначення і використання притомного часу на виконання цього запиту перед переходом до автономного режиму. Якщо діагностичний журнал SSSD показує, що під час визначення сервера перевищено час очікування на з'єднання із працездатним сервером, варто змінити значення параметрів часу очікування.

У цьому розділі наведено списки доступних для коригування параметрів. Будь ласка, ознайомтеся із їхніми описами за допомогою сторінки підручника sssd.conf(5).

dns_resolver_server_timeout

Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one.

Типове значення: 1000

dns_resolver_op_timeout

Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain.

Типове значення: 2

dns_resolver_timeout

Наскільки довго має чекати SSSD на визначення резервної служби надання даних. На внутрішньому рівні визначення такої служби може включати декілька кроків, зокрема визначення адрес запитів DNS SRV або пошук розташування сайта.

Типове значення: 4

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout>” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout” which should be larger than “dns_resolver_server_timeout”.

За допомогою можливості виявлення служб основні модулі мають змогу автоматично визначати відповідні сервери для встановлення з’єднання на основі даних, отриманих у відповідь на спеціальний запит до DNS. Підтримки цієї можливості для резервних серверів не передбачено.

Якщо серверів не буде вказано, модуль автоматично використає визначення служб для пошуку сервера. Крім того, користувач може використовувати і фіксовані адреси серверів і виявлення служб. Для цього слід вставити особливе ключове слово, «_srv_», до списку серверів. Пріоритет визначається за вказаним порядком. Ця можливість є корисною, якщо, наприклад, користувач надає перевагу використанню виявлення служб, якщо це можливо, з поверненням до використання певного сервера, якщо за допомогою DNS не вдасться виявити жодного сервера.

З докладнішими відомостями щодо параметра «dns_discovery_domain» можна ознайомитися на сторінці підручника (man) sssd.conf(5).

Запитами зазвичай визначається протокол _tcp. Виключення документовано у описі відповідного параметра.

Докладніші відомості щодо механізмів визначення служб можна знайти у RFC 2782.

У наведеному нижче прикладі припускаємо, що SSSD налаштовано належним чином, а example.com є одним з доменів у розділі [sssd]. У прикладі продемонстровано лише параметри доступу, специфічні для засобу ipa.

[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

Основна гілка розробки SSSD — https://pagure.io/SSSD/sssd/
09/16/2019 SSSD