Arch manual pages

SSSD-LDAP(5) Formatos de archivo y convenci SSSD-LDAP(5)

sssd-ldap - Proveedor SSSD LDAP

Esta página de manual describe la configuración de dominios LDAP para sssd(8). Vea la sección “FILE FORMAT” de la página de manual sssd.conf(5) para información detallada de la sintáxis.

Puede configurar SSSD para usar más de un dominio LDAP.

El punto final de LDAP soporta proveedores de id, auth, acceso y chpass. Si usted desea autenticarse contra un servidor LDAP se requiere bien TLS/SSL o LDAPS. sssd no soporta autenticación sobre un canal no esncriptado. Si el servidor LDAP se usa sólo como un proveedor de identidad, no se necesita un canal encriptado. Por favor vea la opción de configuración “ldap_access_filter” para más información sobre la utilización de LDAP como proveedor de acceso.

Todas las opciones de configuración comunes que se aplican a los dominios SSSD también se aplican a los dominios LDAP. Vea la sección “DOMAIN SECTIONS” de la página de manual sssd.conf(5) para detalles completos.

ldap_uri, ldap_backup_uri (string)

Especifica una lista separada por comas de URIs del servidor LDAP al que SSSD se conectaría en orden de preferencia. Vea la sección “CONMUTACIÓN EN ERROR” para más información sobre la conmutación en error y la redundancia de servidor. Si no hay opción especificada, se habilita el descubridor de servicio. Para más información, vea la sección “DESCUBRIDOR DE SERVICIOS”

El formato de la URI debe coincidir con el formato definido en RFC 2732:

ldap[s]://<host>[:port]

Para direcciones IPv6 explícitas, <host> debe estar entre corchetes []

ejemplo: ldap://[fc00::126:25]:389

ldap_chpass_uri, ldap_chpass_backup_uri (cadena)

Especifica la lista separada por comas de URIs de los servidores LDAP a los que SSSD se conectaría con el objetivo preferente de cambiar la contraseña de un usuario. Vea la sección “FAILOVER” para más información sobre failover y redundancia de servidor.

Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe ser establecido.

Por defecto: vacio, esto es ldap_uri se está usando.

ldap_search_base (cadena)

El DN base por defecto que se usará para realizar operaciones LDAP de usuario.

Desde SSSD 1.7.0, SSSD soporta múltiples bases de búsqueda usando la sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

El alcance puede ser uno de “base”, “onlevel” o “subtree”.

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Ejemplos:

ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?

Nota: No está soportado tener múltiples bases de búsqueda que se referencien a objetos nombrados idénticamente (por ejemplo, grupos con el mismo nombre en dos bases de búsqueda diferentes). Esto llevara a comportamientos impredecibles sobre máquinas cliente.

Por defecto: no se fija, se usa el valor de los atributos defaultNamingContext o namingContexts de RootDSE del servidor LDAP usado. Si defaultNamingContext no existe o tiene un valor vacío se usa namingContexts. El atributo namingContexts debe tener un único valor con el DN de la base de búsqueda del servidor LDAP para hacer este trabajo. No se soportan múltiples valores.

ldap_schema (cadena)

Especifica el Tipo de Esquema en uso en el servidor LDAP objetivo. Dependiendo del esquema seleccionado, los nombres de atributos por defecto que se recuperan de los servidores pueden variar. La manera en que algunos atributos son manejados puede también diferir.

Cuatro tipos de esquema son actualmente soportados:

•rfc2307

•rfc2307bis

•IPA

•AD

La principal diferencia entre estos tipos de esquemas es como las afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros de grupos son listados por nombre en el atributo memberUid. Con rfc2307bis e IPA, los miembros de grupo son listados por DN y almacenados en el atributo member. El tipo de esquema AD fija los atributos para corresponderse con los valores Active Directory 2008r2.

Predeterminado: rfc2307

ldap_pwmodify_mode (cadena)

Especifica la operación que se usa para modificar la contraseña de usuario.

Actualmente se soportan dos modos:

•exop - Operación Extendida de Modificación de Contraseña (RFC 3062)

•ldap_modify - Modificación directa de userPassword (no recomendado).

Aviso: Primero, se establece una nueva conexión para verificar la contraseña acutal uniendo con el usuario que ha pedido el cambio de contraseña. Si tiene éxito, esta conexión se usa para el cambio de contraseña por lo tanto el usuario debe haber escrito el atributo de acceos a userPassword.

Predeterminado: exop

ldap_default_bind_dn (cadena)

El enlazador DN por defecto a usar para llevar a cabo operaciones LDAP.

ldap_default_authtok_type (cadena)

El tipo de ficha de autenticación del enlazador DN por defecto.

Los dos mecanismos actualmente soportados son:

contraseña

obfuscated_password

Por defecto: contraseña

ldap_default_authtok (cadena)

La ficha de autenticación del enlazador DN por defecto. Sólo se soportan actualmente password de texto claro.

ldap_user_object_class (cadena)

La clase de objeto de una entrada de usuario en LDAP.

Predeterminado: posixAccount

ldap_user_name (cadena)

El atributo LDAP que corresponde al nombre de inicio de sesión del usuario.

Predeterminado: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD)

ldap_user_uid_number (cadena)

El atributo LDAP que corresponde al id de usuario.

Predeterminado: uidNumber

ldap_user_gid_number (cadena)

El atributo LDAP que corresponde al id del grupo primario del usuario.

Predeterminado: gidNumber

ldap_user_primary_group (cadena)

Atributo de grupo primario Active Directory para el mapeo de ID. Advierta que este atributo debería solo ser establecido manualmente si usted está ejecutando el proveedor “ldap” con mapeo ID.

Predeterminado: no establecido (LDAP), primaryGroupID (AD)

ldap_user_gecos (cadena)

El atributo LDAP que corresponde al campo de gecos del usuario.

Predeterminado: gecos

ldap_user_home_directory (cadena)

El atributo LDAP que contiene el nombre del directorio principal del usuario.

Default: homeDirectory (LDAP and IPA), unixHomeDirectory (AD)

ldap_user_shell (cadena)

El atributo LDAP que contiene la ruta de acceso a la shell predeterminada del usuario.

Predeterminado: loginShell

ldap_user_uuid (cadena)

El atributo LDAP que contiene el UUID/GUID de un objeto de usuario LDAP.

Predeterminado: no establecido en caso general, objectGUID para AD e ipaUniqueID para IPA

ldap_user_objectsid (cadena)

El atributo LDAP que contiene el objectSID de un objeto usuario LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.

Predeterminado: objectSid para ActiveDirectory, no establecido para otros servidores.

ldap_user_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Predeterminado: modifyTimestamp

ldap_user_shadow_last_change (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (fecha del último cambio de password).

Predeterminado: shadowLastChange

ldap_user_shadow_min (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (edad mínima del password).

Predeterminado: shadowMin

ldap_user_shadow_max (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (edad máxima del password).

Predeterminado: shadowMax

ldap_user_shadow_warning (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (período de aviso de password).

Predeterminado: shadowWarning

ldap_user_shadow_inactive (cadena)

Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su shadow(5) homologo (período de inactividad de password).

Predeterminado: shadowInactive

ldap_user_shadow_expire (cadena)

Cuando se utiliza ldap_pwd_policy=shadow o ldap_account_expire_policy=shadow, este parámetro contiene el nombre de un atributo correspondiente con su shadow(5) homólogo (fecha de expiración de la cuenta).

Predeterminado: shadowExpire

ldap_user_krb_last_pwd_change (cadena)

Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora del último cambio de password en kerberos.

Predeterminado: krbLastPwdChange

ldap_user_krb_password_expiration (cadena)

Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora en la que expira el password actual.

Predeterminado: krbPasswordExpiration

ldap_user_ad_account_expires (cadena)

Cuando se utiliza ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el tiempo de expiración de la cuenta.

Predeterminado: accountExpires

ldap_user_ad_user_account_control (cadena)

Cuando se usa ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el campo bit de control de la cuenta de usuario.

Predeterminado: userAccountControl

ldap_ns_account_lock (cadena)

Cuando se usa ldap_account_expire_policy=rhds o esquivalente, este parámetro determina si el acceso está permitido o no.

Predeterminado: nsAccountLock

ldap_user_nds_login_disabled (cadena)

Cuando se usa ldap_account_expire_policy=nds, este atributo determina si el acceso está permitido o no.

Predeterminado: loginDisabled

ldap_user_nds_login_expiration_time (cadena)

Cuando se usa ldap_account_expire_policy=nds, este atributo determina hasta que fecha se concede el acceso.

Predeterminado: loginDisabled

ldap_user_nds_login_allowed_time_map (cadena)

Cuando se utiliza ldap_account_expire_policy=nds, este atributo determina la hora de un día en la semana cuando se concede el acceso.

Predeterminado: loginAllowedTimeMap

ldap_user_principal (cadena)

El atributo LDAP que contiene le Nombre Principal de Usuario Kerberos (UPN) del usuario.

Predeterminado: krbPrincipalName

ldap_user_extra_attrs (cadena)

Lista separada por comas de atributos LDAP que SSSD debería ir a buscar con el conjunto usual de atributos de usuario.

La lista puede contener bien nombres de atributo LDAP solamente o tuplas separadas por comas de de nombre de atributo SSSD en caché y nombre de atributo LDAP. En el caso de que solo sed especifique el nombre de atributo LDAP, el atributo se salva al caché literal. El uso de un nombre de atributo SSSD personal puede ser requerido por entornos que configuran varios dominios SSSD con diferentes esquemas LDAP.

Por favor advierta que varios nombres de atributos están reservados por SSSD, notablemente el atributo “name”. SSSD informaría de un error si cualquiera de los nombres de atributo reservados es usado como un nombre de atributo extra.

Ejemplos:

ldap_user_extra_attrs = telephoneNumber

Guarda el atributo “telephoneNumber” desde LDAP como “telephoneNumber” al caché.

ldap_user_extra_attrs = phone:telephoneNumber

Guarda el atributo “telephoneNumber” desde LDAP como “phone” al caché.

Predeterminado: no definido

ldap_user_ssh_public_key (cadena)

El atributo LDAP que contiene las claves públicas SSH del usuario.

Predeterminado: sshPublicKey

ldap_force_upper_case_realm (boolean)

Algunos servidores de directorio, por ejemplo Active Directory, pueden entregar la parte real del UPN en minúsculas, lo que puede causar fallos de autenticación. Fije esta opción en un valor distinto de cero si usted desea usar mayúsculas reales.

Predeterminado: false

ldap_enumeration_refresh_timeout (entero)

Especifica cuantos segundos SSSD tiene que esperar antes de refrescar su escondrijo de los registros enumerados.

Predeterminado: 300

ldap_purge_cache_timeout (entero)

Determina la frecuencia de comprobación del cache para entradas inactivas (como grupos sin miembros y usuarios que nunca han accedido) y borrarlos para guardar espacio.

Estableciendo esta opción a cero deshabilitará la operación de limpieza del caché. Por favor advierta que si la enumeración está habilitada, se requiere la tarea de limpieza con el objetivo de detectar entradas borradas desde el servidor y no pueden ser deshabilitadas. Por defecto, la tarea de limpieza correrá cada tres horas con la enumeración habilitada.

Predeterminado: 0 (deshabilitado)

ldap_user_fullname (cadena)

El atributo LDAP que corresponde al nombre completo del usuario.

Predeterminado: cn

ldap_user_member_of (cadena)

El atributo LDAP que lista los afiliación a grupo de usario.

Predeterminado: memberOf

ldap_user_authorized_service (cadena)

Si access_provider=ldap y ldap_access_order=authorized_service, SSSD utilizará la presencia del atributo authorizedService en la entrada LDAP del usuario para determinar el privilegio de acceso.

Una denegación explícita (¡svc) se resuelve primero. Segundo, SSSD busca permiso explícito (svc) y finalmente permitir todo (*).

Por favor advierta que la opcion de configuración ldap_access_order debe incluir “authorized_service” con el objetivo de que la opción ldap_user_authorized_service trabaje.

Some distributions (such as Fedora-29+ or RHEL-8) always include the “systemd-user” PAM service as part of the login process. Therefore when using service-based access control, the “systemd-user” service might need to be added to the list of allowed services.

Predeterminado: iluminada

ldap_user_authorized_host (cadena)

Si access_provider=ldap y ldap_access_order=host, SSSD utilizará la presencia del atributo host en la entrada LDAP del usuario para determinar el privilegio de acceso.

Una denegación explícita (¡host) se resuelve primero. Segundo, la búsqueda SSSD para permiso explícito (host) y finalmente permitir todo (*).

Por favor advierta que la opción de configuración ldap_access_order debe incluir “host” con el objetivo de que la opción ldap_user_authorized_host.

Default: host

ldap_user_authorized_rhost (cadena)

Si access_provider=ldap y ldap_access_order=rhost, SSSD usará la presencia del atributo rhost en la entrada LDAP de usuario para determinar el privilegio de acceso. Similarmente al proceso de verificación de host.

Una denegación explícita (!rhost) se resuelve primero. Segundo, SSSD busca permisos explícitos (rhost) y finalmente allow_all (*).

Por favor advierta que la opción de configuración ldap_access_order debe incluir “rhost” con el objetivo de que la opción ldap_user_authorized_rhost trabaje.

Predeterminado: rhost

ldap_user_certificate (cadena)

Nombre del atributo LDAP que contiene el certificado X509 del usuario.

Predeterminado: userCertificate;binary

ldap_user_email (cadena)

Nombre del atributo LDAP que contiene el correo electrónico del usuario.

Aviso: Si una dirección de correo electrónico de un usuario entra en conflicto con una dirección de correo electrónico o el nombre totalmente cualificado de otro usuario, SSSD no será capaz de servir adecuadamente a esos usuarios. Si por alguna de varias razones los usuarios necesitan compartir la misma dirección de correo electrónico establezca esta opción a un nombre de atributo no existente con elobjetivo de deshabilitar la búsqueda/acceso por correo electrónico.

Predeterminado: mail

ldap_group_object_class (cadena)

La clase de objeto de una entrada de grupo LDAP.

Por defecto: posixGroup

ldap_group_name (cadena)

El atributo LDAP que corresponde al nombre de grupo.

Predeterminado: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_group_gid_number (cadena)

El atributo LDAP que corresponde al id del grupo.

Predeterminado: gidNumber

ldap_group_member (cadena)

El atributo LDAP que contiene los nombres de los miembros del grupo.

Valor predeterminado: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (cadena)

El atributo LDAP que contiene el UUID/GUID de un objeto grupo LDAP.

Predeterminado: no establecido en caso general, objectGUID para AD e ipaUniqueID para IPA

ldap_group_objectsid (cadena)

El atributo LDAP que contiene el objectSID de un objeto grupo LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.

Predeterminado: objectSid para ActiveDirectory, no establecido para otros servidores.

ldap_group_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Predeterminado: modifyTimestamp

ldap_group_type (entero)

El atributo LDAP que contiene un valor entero indicando el tipo del grupo y puede ser otras banderas.

Este atributo es actualmente usado por el proveedor AD para determinar si un grupo está en grupos de dominio local y ha de ser sacado de los dominios de confianza.

Predeterminado: groupType en el proveedor AD, de otro modo no establecido

ldap_group_external_member (cadena)

El atributo LDAP que referencia a los miembros de grupo que están definidos en un dominio externo. En este momento, solo se soportan los miembros externos de IPA.

Predeterminado: ipaExternalMember en el proveedor IPA, de otro modo no estabecido.

ldap_group_nesting_level (entero)

Si ldap_schema está fijado en un formato de esquema que soporte los grupos anidados (por ejemplo, RFC2307bis), entonces esta opción controla cuantos niveles de anidamiento seguirá SSSD. Este opción no tiene efecto en el esquema RFC2307.

Aviso: Esta opción especifica el nivel garantizado d grupos anidados a ser procesados para cualquier búsqueda. Sin embargo, los grupos anidados detrás de este límite pueden ser devueltos si las búsquedas anteriores ya resueltas en os niveles más profundos de anidamiento. También, las búsquedas subsiguientes para otros grupos pueden agrandar el conjunto de resultados de la búsqueda origina si se requiere.

Si ldap_group_nesting_level está establecido a 0 no se procesan de ninguna manera grupos anidados. Sin embargo, cuando está conectado a Active-Directory Server 2008 y posteriores usando “id_provider=ad” se recomienda además deshabilitar la utilización de Token-Groups estableciendo ldap_use_tokengroups a false con el objetivo de restringir el anidamiento de grupos.

Predeterminado: 2

ldap_use_tokengroups

Esta opción habilita o deshabilita el uso del atributo Token-Groups cuando lleva a cabo un initgroup para usuarios de Active Directory Server 2008 y posteriores.

Predeterminado: True para AD e IPA en otro caso False.

ldap_netgroup_object_class (cadena)

La clase de objeto de una entrada netgroup en LDAP.

En proveedor IPA, ipa_netgroup_object_class, se usaría en su lugar.

Predeterminado: nisNetgroup

ldap_netgroup_name (cadena)

El atributo LDAP que corresponde al nombre del netgroup.

Un proveedor IPA, ipa_netgroup_name sería usado en su lugar.

Predeterminado: cn

ldap_netgroup_member (cadena)

El atributo LDAP que contiene los nombres de los miembros de grupo de red.

Un proveedor IPA, ipa_netgroup_member sería usado en su lugar.

Predeterminado: memberNisNetgroup

ldap_netgroup_triple (cadena)

El atributo LDAP que contiene los (host, usuario, dominio) triples de grupo de red.

Esta opción no está disponible en el proveedor IPA.

Predeterminado: nisNetgroupTriple

ldap_netgroup_modify_timestamp (cadena)

El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.

Esta opción no está disponible en el proveedor IPA.

Predeterminado: modifyTimestamp

ldap_host_object_class (cadena)

El objeto clase de una entrada host en LDAP.

Por defecto: ipService

ldap_host_name (cadena)

El atributo LDAP que corresponde al nombre de host.

Predeterminado: cn

ldap_host_fqdn (cadena)

El atributo LDAP que corresponde al nombre de dominio totalmente cualificado del host.

Predeterminado: fqdn

ldap_host_serverhostname (cadena)

El atributo LDAP que corresponde al nombre de host.

Predeterminado: serverHostname

ldap_host_member_of (cadena)

Atributo LDAP que lista los miembros del grupo del host.

Predeterminado: memberOf

ldap_host_search_base (cadena)

Opcional. Usa la cadena dada como base de búsqueda para objetos host.

Vea “ldap_search_base” para información sobre la configuración de múltiples bases de búsqueda.

Predeterminado: el valor de ldap_search_base

ldap_host_ssh_public_key (cadena)

Atributo LDAP que contiene las claves públicas SSH del host.

Predeterminado: sshPublicKey

ldap_host_uuid (cadena)

Atributo LDAP que contiene las UUID/GUID de un objeto host LDAP.

Predeterminado: no definido

ldap_service_object_class (cadena)

La clase objeto de una entrada de servicio en LDAP.

Por defecto: ipService

ldap_service_name (cadena)

El atributo LDAP que contiene el nombre de servicio de atributos y sus alias.

Predeterminado: cn

ldap_service_port (cadena)

El atributo LDAP que contiene el puerto manejado por este servicio.

Por defecto: ipServicePort

ldap_service_proto (cadena)

El atributo LDAP que contiene los protocolos entendidos por este servicio.

Por defecto: ipServiceProtocol

ldap_service_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.

ldap_search_timeout (entero)

Especifica el tiempo de salida (en segundos) que la búsqueda ldap está permitida para correr antes que de quea cancelada y los resultados escondidos devueltos (y se entra en modo fuera de línea)

Nota: esta opción será sujeto de cambios en las futuras versiones del SSSD. Probablemente será sustituido en algunos puntos por una serie de tiempos de espera para tipos específicos de búsqueda.

Predeterminado: 6

ldap_enumeration_search_timeout (entero)

Especifica el tiempo de espera (en segundos) en los que las búsquedas ldap de enumeraciones de usuario y grupo están permitidas de correr antes de que sean canceladas y devueltos los resultados escondidos (y se entra en modo fuera de línea)

Predeterminado: 60

ldap_network_timeout (entero)

Especifica el tiempo de salida (en segudos) después del cual poll(2)/select(2) siguiendo un connect(2) vuelve en caso de no actividad.

Predeterminado: 6

ldap_opt_timeout (entero)

Especifica un tiempo de espera (en segundos) después del cual las llamadas a LDAP APIs asíncronos se abortarán si no se recibe respuesta. También controla el tiempo de espera cuando se comunica con el KDC en caso de enlace SASL, el tiempo de espera de una operación de enlace LDAP, la operación de cambio extendido de contraseña y las operación StartTLS.

Predeterminado: 8

ldap_connection_expire_timeout (entero)

Especifica un tiempo de espera (en segundos) en el que se mantendrá una conexión a un servidor LDAP. Después de este tiempo, la conexión será restablecida. Si su usa en paralelo con SASL/GSSAPI, se usará el valor más temprano (este valor contra el tiempo de vida TGT).

Predeterminado: 900 (15 minutos)

ldap_page_size (entero)

Especifica el número de registros a recuperar desde una única petición LDAP. Algunos servidores LDAP hacen cumplir un límite máximo por petición.

Predeterminado: 1000

ldap_disable_paging (booleano)

Deshabilita el control de paginación LDAP. Esta opción se debería usar si el servidor LDAP reporta que soporta el control de paginación LDAP en sus RootDSE pero no está habilitado o no se comporta apropiadamente.

Ejemplo: los servidores OpenLDAP con el módulo de control de paginación instalado sobre el servidor pero no habilitado lo reportarán en el RootDSE pero es incapaz de usarlo.

Ejemplo: 389 DS tiene un bug donde puede sólo soportar un control de paginación a la vez en una única conexión. Sobre clientes ocupados, esto puede ocasionar que algunas peticiones sean denegadas.

Por defecto: False

ldap_disable_range_retrieval (booleano)

Deshabilitar la recuperación del rango de Active Directory.

Active Directory limita el número de miembros a recuperar en una única búsqueda usando la política MaxValRange (que está predeterminada a 1500 miembros). Si un grupo contiene mas miembros, la replica incluiría una extensión de rango específica AD. Esta opción deshabilita el análisis de la extensión del rango, por eso grupos grandes aparecerán como si no tuvieran miembros.

Por defecto: False

ldap_sasl_minssf (entero)

Cuando se está comunicando con un servidor LDAP usando SASL, especifica el nivel de seguridad mínimo necesario para establecer la conexión. Los valores de esta opción son definidos por OpenLDAP.

Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf)

ldap_deref_threshold (entero)

Especifica el número de miembros del grupo que deben estar desaparecidos desde el escondrijo interno con el objetivo de disparar una búsqueda deference. Si hay menos miembros desaparecidos, se buscarán individualmente.

Puede desactivar las búsquedas de desreferencia completamente estableciendo el valor a 0. Tenga en cuenta que hay algunas rutas de código en SSSD, como el proveedor IPA HBAC, que solo son implementadas usando la llamada de desreferencia, de modo que solo con la desreferencia explícitamente deshabilitada aquellas partes usarán todavía la desreferencia si el servidor lo soporta y auncia el control de la desreferencia en el objeto rootDSE.

Una búsqueda dereference es un medio de descargar todos los miembros del grupo en una única llamada LDAP. Servidores diferentes LDAP pueden implementar diferentes métodos dereference. Los servidores actualmente soportados son 389/RHDS, OpenLDAP y Active Directory.

Nota: Si alguna de las bases de búsqueda especifica un filtro de búsqueda, la mejora del rendimiento de la búsqueda dereference será deshabilitado sin tener en cuenta este ajuste.

Predeterminado: 10

ldap_tls_reqcert (cadena)

Especifica que comprobaciones llevar a cabo sobre los certificados del servidor en una sesión TLS, si las hay. Puede ser especificado como uno de los siguientes valores:

never = El cliente no pedirá o comprobará ningún certificado de servidor.

allow = Se pide el certificado del servidor. Si no se suministra certificado, la sesión sigue normalmente. Si se suministra un certificado malo, será ignorado y la sesión continua normalmente.

try = Se pide el certificado del servidor. Si no se suministra certificado, la sesión continua normalmente. Si se suministra un certificado malo, la sesión se termina inmediatamente.

demand = Se pide el certificado del servidor. Si no se suministra certificado, o se suministra un certificado malo, la sesión se termina inmediatamente.

hard = Igual que “demand”

Predeterminado: hard

ldap_tls_cacert (cadena)

Especifica el fichero que contiene los certificados de todas las Autoridades de Certificación que sssd reconocerá.

Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf

ldap_tls_cacertdir (cadena)

Especifica la ruta de un directorio que contiene los certificados de las Autoridades de Certificación en ficheros individuales separados. Normalmente los nombres de fichero necesita ser el hash del certificado seguido por ‘.0’. si esta disponible cacertdir_rehash puede ser usado para crear los nombres correctos.

Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf

ldap_tls_cert (cadena)

Especifica el fichero que contiene el certificado para la clave del cliente.

Predeterminado: no definido

ldap_tls_key (cadena)

Especifica el archivo que contiene la clave del cliente.

Predeterminado: no definido

ldap_tls_cipher_suite (cadena)

Especifica conjuntos de cifrado aceptable. Por lo general, es una lista searada por dos puntos. Vea el formato en ldap.conf(5).

Por defecto: use los valores por defecto OpenLDAP, normalmente en /etc/openldap/ldap.conf

ldap_id_use_start_tls (booleano)

Especifica que la id_de proveedor de la conexión debe también utilizar tls para proteger el canal.

Predeterminado: false

ldap_id_mapping (booleano)

Especifica que SSSD intentaría mapear las IDs de usuario y grupo desde los atributos ldap_user_objectsid y ldap_group_objectsid en lugar de apoyarse en ldap_user_uid_number y ldap_group_gid_number.

Actualmente está función soporta sólo mapeos de objectSID de ActiveDirectory.

Predeterminado: false

ldap_min_id, ldap_max_id (entero)

En contraste con el SID basado en mapeo de ID que se usa si ldap_id_mapping está establecido a true el rango de ID permitido para ldap_user_uid_number y ldap_group_gid_number está sin consolidar. En una configuración con subdominios de confianza, esto podría producir colisiones de ID. Para evitar las colisiones ldap_min_id y ldap_max_id pueden er establecidos para restringir el rango permitido para las IDs que son leídas directamente desde el servidor. Los subdominios pueden elegir otros rangos para asignar IDs.

Predeterminado: no establecido (ambas opciones se establecen a 0)

ldap_sasl_mech (cadena)

Especifica el mecanismo SASL a usar. Actualmente solo están probados y soportados GSSAPI y GSS-SPNEGO.

Si el backend admite subdominios el valor de ldap_sasl_mech es heredado automáticamente por los subdominios. Si se necesita un valor diferente para un subdominio puede ser sobrescrito estabeciendo ldap_sasl_mech para este subdominio explícitamente. Por favor vea la SECCIÓN DOMINIO DE CONFIANZA es sssd.conf(5) para más detalles.

Predeterminado: no definido

ldap_sasl_authid (cadena)

Especifica la identificación de autorización SASL a usar. Cuando son usados GSSAPI/GSS-SPNEGO, esto representa el principal Kerberos usado para autenticación al directorio. Esta opción puede contener el principal completo (por ejemplo host/myhost@EXAMPLE.COM) o solo el nombre principal (por ejemplo host/myhost). Por defecto, el valor no está establecido y se usan los siguientes principales:

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*
                            

Si no se encuentra ninguno de ellos, se devuelve en primer principal en la pestaña.

Por defecto: host/nombre_de_host@REALM

ldap_sasl_realm (string)

Especifica el reino SASL a usar. Cuando no se especifica, esta opción se pone por defecto al valor de krb5_realm. Si ldap_sasl_authid contiene el reino también, esta opción se ignora.

Por defecto: el valor de krb5_realm.

ldap_sasl_canonicalize (boolean)

Si se fija en true, la librería LDAP llevaría a cabo una búsqueda inversa para para canocalizar el nombre de host durante una unión SASL.

Predeterminado: false;

ldap_krb5_keytab (cadena)

Especifica la pestaña a usar cuando se utiliza SASL/GSSAPI/GSS-SPNEGO.

Por defecto: Keytab del sistema, normalmente /etc/krb5.keytab

ldap_krb5_init_creds (booleano)

Especifica que id_provider debería iniciar las credenciales Kerberos (TGT). Esta acción solo se lleva a cabo si se usa SASL y el mecanismo seleccionado es GSSAPI o GSS-SPNEGO.

Predeterminado: true

ldap_krb5_ticket_lifetime (entero)

Especifica el tiempo de vida en segundos del TGT si se usa GSSAPI o GSS-SPNEGO.

Predeterminado: 86400 (24 horas)

krb5_server, krb5_backup_server (cadena)

Especifica una lista separada por comas de direcciones IP o nombres de host de los servidores Kerberos a los cuales se conectaría SSSD en orden de preferencia. Para más información sobre failover y redundancia de servidor, vea la sección “FAILOVER”. Un número de puerto opcional (precedido de dos puntos) puede ser añadido a las direcciones o nombres de host. Si está vacío, el servicio descubridor está habilitado – para más información, vea la sección “SERVICE DISCOVERY”.

Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, SSSD primero busca entradas DNS que especifiquen _udop como protocolo y regresa a _tcp si no se encuentra nada.

Este opción se llamaba “krb5_kdcip” en las revisiones más tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo que sea, los usuarios son advertidos para migrar sus ficheros de configuración para usar “krb5_server” en su lugar.

krb5_realm (cadena)

Especifica el REALM Kerberos (para autorización SASL/GSSAPI/GSS-SPNEGO).

Predeterminado: Predeterminados del sistema, vea /etc/krb5.conf

krb5_canonicalize (boolean)

Especifica si el host principal sería estandarizado cuando se conecte a un servidor LDAP. Esta función está disponible con MIT Kerberos >= 1.7

Predeterminado: false

krb5_use_kdcinfo (booleano)

Especifica si el SSSD debe instruir a las librerías Kerberos que ámbito y que KDCs usar. Esta opción está por defecto, si la deshabilita, necesita configurar las librerías Kerberos usando el fichero de configuración krb5.conf(5).

Vea la página de manual sssd_krb5_locator_plugin(8) para más información sobre el complemento localizador.

Predeterminado: true

ldap_pwd_policy (cadena)

Seleccione la política para evaluar la caducidad de la contraseña en el lado del cliente. Los siguientes valores son permitidos:

none - Sin evaluación en el lado cliente. Esta opción no puede deshabilitar las políticas de password en el lado servidor.

shadow - Usa los atributos de estilo shadow(5) para evaluar si la contraseña ha expirado.

mit_kerberos - Usa los atributos utilizados por MIT Kerberos para determinar si el password ha expirado. Use chpass_provider=krb5 para actualizar estos atributos cuando se cambia el password.

Predeterminado: none

Aviso: si está configurada una política de contraseña en el lado del servidor siempre tiene prioridad sobre la política establecida por esta opción.

ldap_referrals (boolean)

Especifica si el seguimiento de referencias automático debería ser habilitado.

Por favor advierta que sssd sólo soporta seguimiento de referencias cuando está compilado con OpenLDAP versión 2.4.13 o más alta.

Al perseguir referencia se puede incurrir en una penalización de rendimiento en entornos que lo usen pesadamente, un ejemplo notable es Microsoft Active Directory. Si su ajuste no requieren de hecho el uso de referencias, fijar esta opción a false le llevará a una notable mejora de rendimiento.

Predeterminado: true

ldap_dns_service_name (cadena)

Especifica el nombre del servicio para utilizar cuando está habilitado el servicio de descubrimiento.

Predeterminado: ldap

ldap_chpass_dns_service_name (cadena)

Especifica el nombre del servicio para utilizar al buscar un servidor LDAP que permita cambios de contraseña cuando está habilitado el servicio de descubrimiento.

Por defecto: no fijado, esto es servicio descubridor deshabilitado.

ldap_chpass_update_last_change (booleano)

Especifica si actualizar el atributo ldap_user_shadow_last_change con días desde el Epoch después de una operación de cambio de contraseña.

Por defecto: False

ldap_access_filter (cadena)

Si está usando access_provider = ldap y ldap_access_order = filter (predeterminado), esta opción es obligatoria. Especifica un criterio de filtro de búsqueda LDAP que debe cumplirse para que el usuario obtenga acceso a este host. Si access_provider = ldap, ldap_access_order = filter y esta opción no estñan establecidos resultará que todos los usuarios tendrán el acceso denegado. Use access_provider = permit para cambiar este comportamiento predeterminado. Por favor advierta que este filtro se aplica sobre la entrada LDAP del usuario y, por lo tanto, el filtrado basado en grupos anidados puede no funcionar (e.g. el atributo memberOf sobre entradas AD apunta solo a los parientes directos). Si se requiere el filtrado basado en grupos anidados, vea por favor sssd-simple(5).

Ejemplo:

access_provider = ldap
ldap_access_filter = (employeeType=admin)
                        

Este ejemplo significa que el acceso a este host está restringido a los usuarios cuyo atributo employeeType esté establecido a "admin".

El almacenamiento en caché sin conexión para esta función está limitado a determinar si el último inicio de sesión del usuario recibió permiso de acceso. Si obtuvieron permiso de acceso durante su último inicio de sesión, se les seguirán otorgando acceso sin conexión y viceversa.

Predeterminado: vacío

ldap_account_expire_policy (cadena)

Con esta opción pueden ser habilitados los atributos de evaluación de control de acceso del lado cliente.

Por favor advierta que siempre se recomienda utilizar el control de acceso del lado servidor, esto es el servidor LDAP denegaría petición de enlace con una código de error definible aunque el password sea correcto.

Los siguientes valores están permitidos:

shadow: usa el valor de ldap_user_shadow_expire para determinar si la cuenta ha expirado.

ad: usa el valor del campo de 32 bit ldap_user_ad_user_account_control y permite el acceso si el segundo bit no está fijado. Si el atributo está desaparecido se concede el acceso. También se comprueba el tiempo de expiración de la cuenta.

rhds, ipa, 389ds: usa el valor de ldap_ns_account_lock para comprobar si se permite el acceso o no.

nds: los valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y ldap_user_nds_login_expiration_time se usan para comprobar si el acceso está permitido. Si ambos atributos están desaparecidos se concede el acceso. This is an experimental feature, please use https://pagure.io/SSSD/sssd/ to report any issues.

Por favor advierta que la opción de configuración ldap_access_order debe incluir “expire” con el objetivo de la opción ldap_account_expire_policy funcione.

Predeterminado: vacío

ldap_access_order (cadena)

Lista separada por coma de opciones de control de acceso. Los valores permitidos son:

filtro: utilizar ldap_access_filter

lockout: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z'. Por favor vea la opción ldap_pwdlockout_dn. Por favor advieta que 'access_provider = ldap' debe ser establecido para que está característica funciones.

Por favor tenga en cuenta que esta opción es reemplazada por la opción “ppolicy” y puede ser quitada en un futuro lanzamiento.

ppolicy: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z' o represente cualquier momento en el pasado. El valor del atributo 'pwdAccountLockedTime' debe terminar con 'Z', que denota la zona horaria UTC. Otras zonas horarias no se soportan actualmente y llevarán a "access-denied" cuando los usuarios intenten acceder. Por favor vea la opción ldap_pwdlockout_dn. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta característica funcione.

caducar: utilizar ldap_account_expire_policy

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH.

La diferencia entre estas opciones es la acción que se toma si la contraseña de usuario ha expirado: pwd_expire_policy_reject - se deniega el acceso al usuario, pwd_expire_policy_warn - el usuario es todavía capaz de acceder, pwd_expire_policy_renew - al usuario se le pide que cambie la contraseña inmediatamente.

Nota: si la contraseña de usuario expiró, SSSD no solicita ningún mensaje explícito.

Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta función trabaje. También 'ldap_pwd_policy' debe estar establecido para una política de contraseña apropiada.

authorized_service: utilizar el atributo autorizedService para determinar el acceso

host: usa el atributo host para determinar el acceso

rhost: usar el atributo rhost para determinar si el host remoto puede acceder

Por favor advierta el campo rhost en pam es establecido por la aplicación, es mejor comprobar que la aplicación lo envía a pam, antes de habilitar esta opción de control de acceso

Predeterminado: filter

Tenga en cuenta que es un error de configuración si un valor es usado más de una vez.

ldap_pwdlockout_dn (cadena)

Esta opción especifica la DN de la contraseña de entrada a la política sobre un servidor LDAP. Tenga en cuenta que la ausencia de esta opción en sssd.conf en caso de verificación de bloqueo de cuenta habilitada dará como resultado el acceso denegado ya que los atributos ppolicy en el servidor LDAP no pueden verificarse correctamente.

Ejemplo: cn=ppolicy,ou=policies,dc=example,dc=com

Predeterminado: cn=ppolicy,ou=policies,$ldap_search_base

ldap_deref (cadena)

Especifica cómo se hace la eliminación de referencias al alias cuando se lleva a cabo una búsqueda. Están permitidas las siguientes opciones:

never: Nunca serán eliminadas las referencias al alias.

searching: Las referencias al alias son eliminadas en subordinadas del objeto base, pero no en localización del objeto base de la búsqueda.

finding: Sólo se eliminarán las referencias a alias cuando se localice el objeto base de la búsqueda.

always: Las referencias al alias se eliminarán tanto para la búsqueda como en la localización del objeto base de la búsqueda.

Por defecto: Vacío (esto es manejado como nunca por las librerías cliente LDAP)

ldap_rfc2307_fallback_to_local_users (boolean)

Permite retener los usuarios locales como miembros de un grupo LDAP para servidores que usan el esquema RFC2307.

En algunos entornos donde se usa el esquema RFC2307, los usuarios locales son hechos miembros de los grupos LDAP añadiendo sus nombres al atributo memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace esto, de modo que SSSD debería normalmente quitar los usuarios “desparecidos” de las afiliaciones a grupos escondidas tan pronto como nsswitch intenta ir a buscar información del usuario por medio de las llamadas getpw*() o initgroups().

Esta opción cae de nuevo en comprobar si los usuarios locales están referenciados, y los almacena en caché de manera que más tarde las llamadas initgroups() aumentará los usuarios locales con los grupos LDAP adicionales.

Predeterminado: false

wildcard_limit (entero)

Especifica un límite superior sobre el número de entradas que son descargadas durante una búsqueda de comodín.

En este momento solo el respondedor InfoPipe soporta búsqueda de comodín

Predeterminado: 1000 (frecuentemente el tamaño de una página)

The detailed instructions for configuration of sudo_provider are in the manual page sssd-sudo(5).

ldap_sudorule_object_class (cadena)

El objeto clase de una regla de entrada sudo en LDAP.

Por defecto: sudoRole

ldap_sudorule_name (cadena)

El atributo LDAP que corresponde a la regla nombre de sudo.

Predeterminado: cn

ldap_sudorule_command (cadena)

El atributo LDAP que corresponde al nombre de comando.

Por defecto: sudoCommand

ldap_sudorule_host (cadena)

El atributo LDAP que corresponde al nombre de host (o dirección IP del host, red IP del host o grupo de red del host)

Por defecto: sudoHost

ldap_sudorule_user (cadena)

El atributo LDAP que corresponde al nombre de usuario (o UID. nombre de grupo o grupo de red del usuario)

Por defecto: sudoUser

ldap_sudorule_option (cadena)

El atributo LDAP que corresponde a las opciones sudo.

Por defecto: sudoOption

ldap_sudorule_runasuser (cadena)

El atributo LDAP que corresponde al nombre de usuario que los comandos pueden ejecutar como.

Por defectot: sudoRunAsUser

ldap_sudorule_runasgroup (cadena)

El atributo LDAP que corresponde al nombre de grupo o GID de grupo que puede ejecutar comandos como.

Por defecto: sudoRunAsGroup

ldap_sudorule_notbefore (cadena)

El atributo LDAP que corresponde al inicio de fecha/hora para cuando la regla sudo es válida.

Por defecto: sudoNotBefore

ldap_sudorule_notafter (cadena)

El atributo LDAP que corresponde a la fecha/hora final, después de la cual la regla sudo dejará de ser válida.

Por defecto: sudoNotAfter

ldap_sudorule_order (cadena)

El atributo LDAP que corresponde al índice de ordenación de la regla.

Por defecto: sudoOrder

ldap_sudo_full_refresh_interval (entero)

Cuantos segundos esperará SSSD entre ejecutar un refresco total de las reglas sudo (que descarga todas las reglas que están almacenadas en el servidor).

El valor debe ser mayor que ldap_sudo_smart_refresh_interval

Por defecto: 21600 (6 horas)

ldap_sudo_smart_refresh_interval (entero)

How many seconds SSSD has to wait before executing a smart refresh of sudo rules (which downloads all rules that have USN higher than the highest server USN value that is currently known by SSSD).

Si los atributos USN no se soportan por el servidor, se usa en su lugar el atributo modifyTimestamp.

Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).

Predeterminado: 900 (15 minutos)

ldap_sudo_use_host_filter (booleano)

Si es true, SSSD descargará sólo las reglas que son aplicables a esta máquina (usando las direcciones de host/red y nombres de host IPv4 o IPv6).

Predeterminado: true

ldap_sudo_hostnames (cadena)

Lista separada por espacios de nombres de host o nombres de dominio totalmente cualificados que sería usada para filtrar las reglas.

Si esta opción está vacía, SSSD intentará descubrir el nombre de host y el nombre de dominio totalmente cualificado automáticamente.

Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.

Por defecto: no especificado

ldap_sudo_ip (cadena)

Lista separada por espacios de direcciones de host/red IPv4 o IPv6 que sería usada para filtrar las reglas.

esta opción está vacía, SSSD intentará descrubrir las direcciones automáticamente.

Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.

Por defecto: no especificado

sudo_include_netgroups (booleano)

Si está a true SSSD descargará cada regla que contenga un grupo de red en el atributo sudoHost.

Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.

Predeterminado: true

ldap_sudo_include_regexp (booleano)

Si es verdad SSSD descargará cada regla que contenga un comodín en el atributo sudoHost.

Si ldap_sudo_use_host_filter es false esta opción no tiene efecto.


Note
Using wildcard is an operation that is very costly to evaluate on the LDAP server side!

Predeterminado: false

Esta página de manual sólo describe el atributo de nombre mapping. Para una explicación detallada de la semántica del atributo relacionada con sudo, vea sudoers.ldap(5)

Some of the defaults for the parameters below are dependent on the LDAP schema.

ldap_autofs_map_master_name (string)

The name of the automount master map in LDAP.

Default: auto.master

ldap_autofs_map_object_class (cadena)

El objeto clase de una entrada de mapa de automontaje en LDAP.

Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap

ldap_autofs_map_name (cadena)

El nombre de una entrada de mapa de automontaje en LDAP.

Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName

ldap_autofs_entry_object_class (cadena)

The object class of an automount entry in LDAP. The entry usually corresponds to a mount point.

Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount

ldap_autofs_entry_key (cadena)

La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje.

Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey

ldap_autofs_entry_value (cadena)

La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje.

Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation

Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.

These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.

ldap_netgroup_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.

ldap_user_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.

ldap_group_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.


Note

If the option “ldap_use_tokengroups” is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.

ldap_sudo_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.

ldap_autofs_search_base (cadena)

Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.

sintaxis:

search_base[?scope?[filter][?search_base?scope?[filter]]*]

The scope can be one of "base", "onelevel" or "subtree". The scope functions as specified in section 4.5.1.2 of http://tools.ietf.org/html/rfc4511

El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt

Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de “ldap_search_base”

Predeterminado: el valor de ldap_search_base

Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.

La función conmutación en error permite a los finales conmutar automáticamente a un servidor diferente si el servidor actual falla.

La lista de servidores se da como una lista separada por comas; se permite cualquier número de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier número de servidores.

For each failover-enabled config option, two variants exist: primary and backup. The idea is that servers in the primary list are preferred and backup servers are only searched if no primary servers can be reached. If a backup server is selected, a timeout of 31 seconds is set. After this timeout SSSD will periodically try to reconnect to one of the primary servers. If it succeeds, it will replace the current active (backup) server.

El mecanismo de conmutación por error distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.

Los intentos de conexión adicionales son hechos a máquinas o servicios marcaros como fuera de línea después de un período de tiempo especificado; esto está codificado a fuego actualmente en 30 segundos.

Si no hay más máquinas para intentarlo, el punto final al completo conmutará al modo fuera de línea y después intentará reconectar cada 30 segundo.

Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.

This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.

dns_resolver_server_timeout

Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one.

Predeterminado: 1000

dns_resolver_op_timeout

Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain.

Predeterminado: 2

dns_resolver_timeout

How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site.

Default: 4

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout>” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout” which should be larger than “dns_resolver_server_timeout”.

La función servicio descubridor permite a los puntos finales encontrar automáticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta función no está soportada por los servidores de respaldo.

Si no se especifican servidores, el punto final usar automáticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, “_srv_”, en la lista de servidores. El orden de preferencia se mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor específico cuando no se pueden descubrir servidores usando DNS.

Por favor vea el parámetro “dns_discovery_domain” en la página de manual sssd.conf(5) para más detalles.

Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripción de la opción respectiva.

Para más información sobre el mecanismo del servicio descubridor, vea el RFC 2782.

La función asignación de ID permite a SSSD actuar como un cliente de Active Directory sin requerir de administradores para extender los atributos de usuario para soportar atributos POSIX para los identificadores de usuario y grupo.

NOTA: Cuando asignación de ID está habilitado, los atributos uidNumber y gidNumber son ignorados. Esto es para evitar la posibilidad de conflictos entre los valores automáticamente asignados y los asignados manualmente. Si usted necesita usar los valore asignados manualmente, TODOS los valores deben ser asignados manualmente.

Please note that changing the ID mapping related configuration options will cause user and group IDs to change. At the moment, SSSD does not support changing IDs, so the SSSD database must be removed. Because cached passwords are also stored in the database, removing the database should only be performed while the authentication servers are reachable, otherwise users might get locked out. In order to cache the password, an authentication must be performed. It is not sufficient to use sss_cache(8) to remove the database, rather the process consists of:

•Making sure the remote servers are reachable

•Stopping the SSSD service

•Removing the database

•Starting the SSSD service

Moreover, as the change of IDs might necessitate the adjustment of other system properties such as file and directory ownership, it's advisable to plan ahead and test the ID mapping configuration thoroughly.

Active Directory suministra un objectSID para cada objeto usuario y grupo en el directorio. El objectSID puede ser dividido en componente que representan la identidad del dominio Active Directory y le identificador relativo (RID) del objeto usuario y grupo.

El algoritmo de asignación de ID de SSSD tiene un rango de UIDs disponibles y lo divide en secciones componente de igual tamaño – llamadas “rebanadas” -. Cada rebanada representa el espacio disponible para un dominio Active Directory.

Cuando se encuentra por primera vez una entrada de usuario o grupo para un dominio concreto, SSSD asigna una de las rebanadas disponibles para ese dominio. Con el objetivo de hacer esta asignación de rebanadas repetible sobre diferentes máquinas clientes, seleccionamos la rebanada en base al siguiente algoritmo:

La cadena SID pasada a través del algoritmo murmurhash3 para convertirlo en un valor picado de 32 bit. Después tomamos los módulos de este valor con el número total de rebanadas disponibles para recoger la rebanada.

NOTA: Es posible encontrar colisiones en el picadillo y los módulos subsiguientes. En estas situaciones, seleccionaremos la siguiente rebanada disponible, pero puede no ser posible reproducir los mismos conjuntos exactos de rebanadas sobre otras máquinas (puesto que el orden en que se encuentren desterminará sus rebanadas). En esta situación, se recomienda o bien conmutar para usar los atributos explícitos POSIX en Active Directory (deshabilitando la asignación de ID) o configurar un dominio por defecto para garantizar que al menos uno sea siempre consistente. Vea “Configuración” para detalles.

Configuración mínima (en la sección “[domain/DOMAINNAME]”):

ldap_id_mapping = True ldap_schema = ad 

The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments.

Configuración Avanzada

ldap_idmap_range_min (entero)

Especifica el límite inferior del rango de IDs POXIS a usar para la asignación de SIDs de usuario y grupo de Active Directory.

NOTA: Esta opción es diferente de “min_id” en esta “min_id” actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que “min_id” fuera menor o igual que “ldap_idmap_range_min”

Por defecto: 200000

ldap_idmap_range_max (entero)

Especifica el límite superior del rango de IDs POXIS a usar para la asignación de SIDs de usuario y grupo por Active Directory.

NOTA: Esta opción es diferente de “max_id” en esta “max_id” actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que “max_id” fuera menor o igual que “ldap_idmap_range_max”

Por defecto: 2000200000

ldap_idmap_range_size (entero)

Especifica el número de IDs disponibles para cada rebanada. Si el rango no se divide de forma igual entre los valores mínimo y máximo, creará tantas rebanadas completas como sea posible.

NOTE: The value of this option must be at least as large as the highest user RID planned for use on the Active Directory server. User lookups and login will fail for any user whose RID is greater than this value.

For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, “ldap_idmap_range_size” must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).

It is important to plan ahead for future expansion, as changing this value will result in changing all of the ID mappings on the system, leading to users with different local IDs than they previously had.

Por defecto: 200000

ldap_idmap_default_domain_sid (cadena)

Especifica el SID de dominio del dominio por defecto. Esto garantizará que este dominio será asignado siempre a la rebanada cero en el mapa de ID, sobrepasando el algoritmo murmurhash descrito arriba.

Predeterminado: no definido

ldap_idmap_default_domain (cadena)

Especifica el nombre del dominio por defecto.

Predeterminado: no definido

ldap_idmap_autorid_compat (booleano)

Cambia el comportamiento del algoritmo de asignación de id para que se comporte de un modo más similar al algoritmo “idmap_autorid” de winbind.

Cuando esta opción está configurada, los dominios serán asignados empezando con la rebanada cero e incrementándose de uno en uno con cada dominio adicional.

NOTA: Este algoritmo no es determinista (depende del orden en que usuario y grupos son pedidos). Si se requiere este modo para compatibilidad con máquinas que ejecutan winbind, se recomienda que también use la opción “ldap_idmap_default_domain_sid” para garantizar que al menos un dominio está asignado consistentemente a la rebanada cero.

Por defecto: False

ldap_idmap_helper_table_size (integer)

Maximal number of secondary slices that is tried when performing mapping from UNIX id to SID.

Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated.

Predeterminado: 10

SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a special hardcoded meaning. Since the generic users and groups related to those Well-Known SIDs have no equivalent in a Linux/UNIX environment no POSIX IDs are available for those objects.

The SID name space is organized in authorities which can be seen as different domains. The authorities for the Well-Known SIDs are

•Null Authority

•World Authority

•Local Authority

•Creator Authority

•NT Authority

•Built-in

The capitalized version of these names are used as domain names when returning the fully qualified name of a Well-Known SID.

Since some utilities allow to modify SID based access control information with the help of a name instead of using the SID directly SSSD supports to look up the SID by the name as well. To avoid collisions only the fully qualified names can be used to look up Well-Known SIDs. As a result the domain names “NULL AUTHORITY”, “WORLD AUTHORITY”, “ LOCAL AUTHORITY”, “CREATOR AUTHORITY”, “NT AUTHORITY” and “BUILTIN” should not be used as domain names in sssd.conf.

El siguiente ejemplo asume que SSSS está configurado correctamente y LDAP está fijado a uno de los dominios de la sección [domains].

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

Las descripciones de algunas de las opciones de configuración en esta página de manual están basadas en la página de manual ldap.conf(5) de la distribución OpenLDAP 2.4.

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

The SSSD upstream - https://pagure.io/SSSD/sssd/
11/04/2019 SSSD