Arch manual pages

SSSD-LDAP(5) Formats de fichier et conventi SSSD-LDAP(5)

sssd-ldap - Fournisseur LDAP SSSD

Ce manuel décrit la configuration des domaines LDAP pour sssd(8). Se référer à la section “FILE FORMAT” du manuel sssd.conf(5) pour des informations sur la syntaxe détaillée.

Il est possible de configurer SSSD pour utiliser plus d'un domaine LDAP.

Le moteur de traitement LDAP prend en charge les fournisseurs id, auth, access et chpass. Si vous voulez vous authentifier sur un serveur LDAP, il vous faut utiliser TLS/SSL ou LDAPS. sssd ne prend pas en charge l'authentification sur un canal non chiffré. Si le serveur LDAP est utilisé seulement comme fournisseur d'identité, un canal crypté n'est pas nécessaire. Se référer aux options de configurations “ldap_access_filter” pour plus d'information sur l'utilisation en tant que fournisseur d'accès.

Toutes les options de configuration communes appliquées aux domaines SSSD s'appliquent aussi aux domaines LDAP. Voir la section des “SECTIONS DE DOMAINE” dans la page de manuel sssd.conf(5) pour plus de détails.

ldap_uri, ldap_backup_uri (string)

Spécifie par ordre de préférence la liste séparée par des virgules d'URI des serveurs LDAP auquel doit se connecter SSSD. Se reporter à la section de “BASCULE” pour plus d'informations sur le repli et la redondance de serveurs. Si aucune de ces options n'est spécifiée, la découverte d'un service est activé. Pour plus d'informations, se reporter à la section de “DÉCOUVERTE DE SERVICE”.

Le format de l'URI doit correspondre au format définit dans la RFC 2732 :

ldap[s]://<host>[:port]

Pour les adresses explicitement en IPv6, le composant <host> doit être entre crochets []

exemple : ldap://[fc00::126:25]:389

ldap_chpass_uri, ldap_chpass_backup_uri (string)

Spécifie la liste d'URI séparée par des virgules des serveurs LDAP auquel doit se connecter DSSD par ordre de préférence pour changer le mot de passe d'un utilisateur. Reportez-vous à la section de “bascule” pour plus d'informations sur le repli et la redondance de serveurs.

Pour activer la découverte de services, ldap_chpass_dns_service_name doit être défini.

Par défaut : vide, ldap_uri est donc utilisé.

ldap_search_base (chaîne)

Le DN de base par défaut à utiliser pour effectuer les opérations LDAP sur les utilisateurs.

À partir de SSSD 1.7.0, SSSD prend en charge plusieurs bases de recherche à l'aide de la syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ».

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Exemples :

ldap_search_base = dc=example,dc=com (ce qui équivaut à) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?

Remarque : Il est n'est pas possible d'avoir plusieurs bases de recherche qui référencent des objets portant le même nom (par exemple, les groupes portant le même nom dans deux bases de recherche différents). Cela conduira à un comportement imprévisible sur les ordinateurs clients.

Par défaut : si non définie, les valeurs des attributs defaultNamingContext ou namingContexts du RootDSE du serveur LDAP sont utilisées. Si defaultNamingContext n'existe pas ou a une valeur vide, namingContexts est utilisé. Les attributs namingContexts doivent avoir une seule valeur avec un DN de base de recherche pour le serveur LDAP pour que cela fonctionne. Des valeurs multiples ne sont pas permises.

ldap_schema (chaîne)

Spécifie le type de schéma utilisé sur le serveur LDAP cible. Selon le schéma sélectionné, les noms d'attributs par défaut provenant des serveurs peuvent varier. La manière dont certains attributs sont traités peut-être également différer.

Quatre types de schéma sont actuellement pris en charge :

•rfc2307

•rfc2307bis

•IPA

•AD

La principale différence entre ces types de schéma est la façon dont les appartenances aux groupes sont enregistrés dans le serveur. Avec rfc2307, les membres du groupe sont répertoriées par nom dans l'attribut memberUid. Avec rfc2307bis et IPA, les membres du groupe sont répertoriés par DN et stockées dans l'attribut de member. Le type de schéma AD définit les attributs correspondant aux valeurs d'Active Directory 2008r2.

Par défaut : rfc2307

ldap_pwmodify_mode (string)

Specify the operation that is used to modify user password.

Two modes are currently supported:

•exop - Password Modify Extended Operation (RFC 3062)

•ldap_modify - Direct modification of userPassword (not recommended).

Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.

Default: exop

ldap_default_bind_dn (chaîne)

Le DN de connexion par défaut à utiliser pour effectuer les opérations LDAP.

ldap_default_authtok_type (chaîne)

Le type de jeton d'authentification pour le DN de connexion par défaut.

Les deux mécanismes actuellement pris en charge sont :

password

obfuscated_password

Par défaut : password

ldap_default_authtok (chaîne)

Le jeton d'authentification pour le DN de connexion par défaut. Seuls les mots de passe en clair sont actuellement pris en charge.

ldap_user_object_class (chaîne)

La classe d'objet d'une entrée utilisateur dans LDAP.

Par défaut : posixAccount

ldap_user_name (chaîne)

L'attribut LDAP correspondant à l'identifiant de connexion de l'utilisateur.

Default: uid (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_user_uid_number (chaîne)

L'attribut LDAP correspondant à l'id de l'utilisateur.

par défaut : uidNumber

ldap_user_gid_number (chaîne)

L'attribut LDAP correspondant à l'id du groupe primaire de l'utilisateur.

Par défaut : gidNumber

ldap_user_primary_group (string)

Active Directory primary group attribute for ID-mapping. Note that this attribute should only be set manually if you are running the “ldap” provider with ID mapping.

Default: unset (LDAP), primaryGroupID (AD)

ldap_user_gecos (chaîne)

L'attribut LDAP correspondant au champ gecos de l'utilisateur.

Par défaut : gecos

ldap_user_home_directory (chaîne)

L'attribut LDAP qui contient le nom du répertoire personnel de l'utilisateur.

Default: homeDirectory (LDAP and IPA), unixHomeDirectory (AD)

ldap_user_shell (chaîne)

L'attribut LDAP qui contient le chemin vers l'interpréteur de commandes de l'utilisateur.

Par défaut : loginShell

ldap_user_uuid (chaîne)

The LDAP attribute that contains the UUID/GUID of an LDAP user object.

Par défaut : non défini dans le cas général, objectGUID pour AD et ipaUniqueID pour IPA

ldap_user_objectsid (string)

L'attribut LDAP qui contient l'objectSID d'un objet d'utilisateur LDAP. Ceci n'est habituellement nécessaire que pour les serveurs Active Directory.

Default: objectSid for ActiveDirectory, not set for other servers.

ldap_user_modify_timestamp (chaîne)

L'attribut LDAP qui contient l'horodatage de la dernière modification de l'objet parent.

Par défaut : modifyTimestamp

ldap_user_shadow_last_change (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartie shadow(5) (date de changement du dernier mot de passe).

Par défaut : shadowLastChange

ldap_user_shadow_min (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartieshadow(5) (durée de validité minimum du mot de passe).

Par défaut : shadowMin

ldap_user_shadow_max (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartie shadow(5) (âge maximum du mot de passe).

Par défaut : shadowMax

ldap_user_shadow_warning (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartie shadow(5) (période d'avertissement du mot de passe).

Par défaut : shadowWarning

ldap_user_shadow_inactive (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartie shadow(5) (période d'inactivité du mot de passe).

Par défaut : shadowInactive

ldap_user_shadow_expire (chaîne)

Lors de l'utilisation de ldap_pwd_policy=shadow ou ldap_account_expire_policy=shadow, ce paramètre contient le nom de l'attribut LDAP correspondant à sa contrepartie shadow(5) (date d'expiration du compte).

Par défaut : shadowExpire

ldap_user_krb_last_pwd_change (chaîne)

Lors de l'utilisation de ldap_pwd_policy=mit_kerberos, ce paramètre contient le nom de l'attribut LDAP stockant la date et l'heure du dernier changement de mot de passe dans kerberos.

Par défaut : krbLastPwdChange

ldap_user_krb_password_expiration (chaîne)

Lors de l'utilisation de ldap_pwd_policy=mit_kerberos, ce paramètre contient le nom de l'attribut LDAP stockant la date et l'heure d'expiration du mot de passe actuel.

Par défaut : krbPasswordExpiration

ldap_user_ad_account_expires (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=ad, ce paramètre contient le nom d'un attribut LDAP stockant la date d'expiration du compte.

Par défaut : accountExpires

ldap_user_ad_user_account_control (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=ad, ce paramètre contient le nom d'un attribut LDAP stockant le champ de bits de contrôle du compte utilisateur.

Par défaut : userAccountControl

ldap_ns_account_lock (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=rhds ou équivalent, ce paramètre détermine si l'accès est autorisé ou non.

Par défaut : nsAccountLock

ldap_user_nds_login_disabled (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=nds, cet attribut détermine si l'accès est autorisé ou non.

Par défaut : loginDisabled

ldap_user_nds_login_expiration_time (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=nds, cet attribut détermine jusqu'à quand l'accès est autorisé.

Par défaut : loginDisabled

ldap_user_nds_login_allowed_time_map (chaîne)

Lors de l'utilisation de ldap_account_expire_policy=nds, cet attribut détermine les heures des jours dans la semaine pendant lesquelles l'accès est autorisé.

Par défaut : loginAllowedTimeMap

ldap_user_principal (chaîne)

L'attribut LDAP contenant le nom du principal d'utilisateur (UPN) Kerberos de l'utilisateur.

Par défaut : krbPrincipalName

ldap_user_extra_attrs (chaîne)

Liste séparée par des virgules des attributs LDAP que SSSD va demander en plus des attributs utilisateur habituels.

La liste ne peut contenir que des noms d'attributs LDAP, ou des tuples séparés par des virgules de nom d'attribut de cache et nom d'attribut LDAP. Dans le cas où seul le nom d'un attribut LDAP est indiqué, l'attribut est enregistré tel quel dans le cache. L'utilisation d'un nom d'attribut SSSD peut être nécessaire pour les environnements configurant plusieurs domaines SSSD utilisant des schémas LDAP différents.

Veuillez noter que plusieurs noms d'attributs sont réservés par SSSD, dont l'attribut “name”. SSSD émettrait une erreur si l'un des noms d'attributs réservés est utilisé par un nom d'attribut supplémentaire.

Exemples :

ldap_user_extra_attrs = telephoneNumber

Enregistrer l'attribut LDAP “telephoneNumber” en tant que “telephoneNumber” dans le cache.

ldap_user_extra_attrs = phone:telephoneNumber

Enregistrer l'attribut LDAP “telephoneNumber” en tant que “phone” dans le cache.

Par défaut : non défini

ldap_user_ssh_public_key (chaîne)

L'attribut LDAP qui contient les clés publiques SSH de l'utilisateur.

Par défaut : sshPublicKey

ldap_force_upper_case_realm (booléen)

Certains serveurs d'annuaire, comme par exemple Active Directory, peuvent délivrer la partie domaine de l'UPN en minuscules, ce qui peut faire échouer l'authentification. Définir cette option à une valeur non nulle pour utiliser un nom de domaine en majuscules.

Par défaut : false

ldap_enumeration_refresh_timeout (entier)

Spécifie la durée en secondes pendant laquelle SSSD doit attendre avant d'actualiser son cache d"énumération d'enregistrements.

Par défaut : 300

ldap_purge_cache_timeout (entier)

Détermine la fréquence de vérification de la présence d'entrées inactives dans le cache (telles que groupes sans membres et utilisateurs ne s'étant jamais connectés) et de suppression pour économiser de l'espace.

Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.

Par défaut : 0 (désactivé)

ldap_user_fullname (chaîne)

L'attribut LDAP correspondant au nom complet de l'utilisateur.

Par défaut : cn

ldap_user_member_of (chaîne)

L'attribut LDAP énumérant les groupes auquel appartient un utilisateur.

Par défaut : memberOf

ldap_user_authorized_service (chaîne)

Lorsque access_provider=ldap et ldap_access_order=authorized_service, SSSD utilise la présence de l'attribut authorizedService dans l'entrée LDAP de l'utilisateur pour déterminer les autorisations d'accès.

Le refus explicite (!svc) est résolu en premier. Ensuite, SSSD cherche une autorisation explicite (svc) et enfin allow_all (*).

Noter que l'option de configuration ldap_access_order doit inclure “authorized_service” de façon à permettre à l'option ldap_user_authorized_service de fonctionner.

Some distributions (such as Fedora-29+ or RHEL-8) always include the “systemd-user” PAM service as part of the login process. Therefore when using service-based access control, the “systemd-user” service might need to be added to the list of allowed services.

Par défaut : authorizedService

ldap_user_authorized_host (chaîne)

Si access_provider=ldap et ldap_access_order=host, SSSD va utiliser la présence de l'attribut host dans l'entrée LDAP de l'utilisateur pour déterminer les autorisations d'accès.

Le refus explicite (!host) est résolu en premier. SSSD recherche ensuite les autorisations explicites (host) et enfin toutes les autorisations (*).

Noter que l'option de configuration ldap_access_order doit inclure “host” de façon à permettre à l'option ldap_user_authorized_host de fonctionner.

Par défaut : host

ldap_user_authorized_rhost (string)

If access_provider=ldap and ldap_access_order=rhost, SSSD will use the presence of the rhost attribute in the user's LDAP entry to determine access privilege. Similarly to host verification process.

An explicit deny (!rhost) is resolved first. Second, SSSD searches for explicit allow (rhost) and finally for allow_all (*).

Please note that the ldap_access_order configuration option must include “rhost” in order for the ldap_user_authorized_rhost option to work.

Default: rhost

ldap_user_certificate (chaîne)

Name of the LDAP attribute containing the X509 certificate of the user.

Default: userCertificate;binary

ldap_user_email (string)

Name of the LDAP attribute containing the email address of the user.

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

Default: mail

ldap_group_object_class (chaîne)

La classe d'objet d'une entrée de groupe dans LDAP.

Par défaut : posixGroup

ldap_group_name (chaîne)

L'attribut LDAP correspondant au nom du groupe.

Default: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)

ldap_group_gid_number (chaîne)

L'attribut LDAP correspondant à l'identifiant de groupe.

Par défaut : gidNumber

ldap_group_member (chaîne)

L'attribut LDAP contenant les noms des membres du groupe.

Par défaut : memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (chaîne)

The LDAP attribute that contains the UUID/GUID of an LDAP group object.

Par défaut : non défini dans le cas général, objectGUID pour AD et ipaUniqueID pour IPA

ldap_group_objectsid (string)

L'attribut LDAP qui contient l'objectSID d'un objet de groupe LDAP. Ceci n'est habituellement nécessaire que pour les serveurs Active Directory.

Default: objectSid for ActiveDirectory, not set for other servers.

ldap_group_modify_timestamp (chaîne)

L'attribut LDAP qui contient l'horodatage de la dernière modification de l'objet parent.

Par défaut : modifyTimestamp

ldap_group_type (entier)

L'attribut LDAP qui contient une valeur entière indiquant le type de groupe voire d'autres indicateurs.

Cet attribut est actuellement utilisé uniquement par le fournisseur AD pour déterminer si un groupe est un groupe de domaine local et doit être filtré hors des domaines approuvés.

Default: groupType in the AD provider, otherwise not set

ldap_group_external_member (string)

The LDAP attribute that references group members that are defined in an external domain. At the moment, only IPA's external members are supported.

Default: ipaExternalMember in the IPA provider, otherwise unset.

ldap_group_nesting_level (entier)

Si ldap_schema est défini comme un format prenant en charge les groupes imbriqués (par exemple RFC2307bis), alors cette option contrôle le nombre de niveaux d'imbrication que SSSD suivra. Cette option n'a pas d'effet sur le schéma RFC2307.

Note: This option specifies the guaranteed level of nested groups to be processed for any lookup. However, nested groups beyond this limit may be returned if previous lookups already resolved the deeper nesting levels. Also, subsequent lookups for other groups may enlarge the result set for original lookup if re-queried.

If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using “id_provider=ad” it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.

Par défaut : 2

ldap_use_tokengroups

Cette option active ou désactive l'utilisation de l'attribut Token-Groups lors de l'initialisation des groupes pour les utilisateurs Active Directory 2008 et versions ultérieures.

Default: True for AD and IPA otherwise False.

ldap_netgroup_object_class (chaîne)

La classe d'objet d'une entrée de netgroup dans LDAP.

Pour un fournisseur IPA, ipa_netgroup_object_class doit être utilisé à la place.

Par défaut : nisNetgroup

ldap_netgroup_name (chaîne)

L'attribut LDAP correspondant au nom du netgroup.

Dans le fournisseur IPA, ipa_netgroup_name doit être utilisé à la place.

Par défaut : cn

ldap_netgroup_member (chaîne)

L'attribut LDAP contenant les noms des membres du netgroup.

Dans le fournisseur IPA, ipa_netgroup_member doit être utilisé à la place.

Par défaut : memberNisNetgroup

ldap_netgroup_triple (chaîne)

L'attribut LDAP contenant les triplets (hôte, utilisateur, domaine) d'un netgroup.

Cette option n'est pas disponible dans le fournisseur IPA.

Par défaut : nisNetgroupTriple

ldap_netgroup_modify_timestamp (chaîne)

L'attribut LDAP qui contient l'horodatage de la dernière modification de l'objet parent.

Cette option n'est pas disponible dans le fournisseur IPA.

Par défaut : modifyTimestamp

ldap_host_object_class (string)

The object class of a host entry in LDAP.

Par défaut : ipService

ldap_host_name (string)

The LDAP attribute that corresponds to the host's name.

Par défaut : cn

ldap_host_fqdn (string)

The LDAP attribute that corresponds to the host's fully-qualified domain name.

Default: fqdn

ldap_host_serverhostname (string)

The LDAP attribute that corresponds to the host's name.

Default: serverHostname

ldap_host_member_of (string)

The LDAP attribute that lists the host's group memberships.

Par défaut : memberOf

ldap_host_search_base (string)

Facultatif. Utiliser la chaîne donnée comme base de recherche pour héberger des objets.

Cf. “ldap_search_base” pour plus d'informations sur la configuration des bases de recherche multiples.

Par défaut : la valeur de ldap_search_base

ldap_host_ssh_public_key (string)

The LDAP attribute that contains the host's SSH public keys.

Par défaut : sshPublicKey

ldap_host_uuid (string)

The LDAP attribute that contains the UUID/GUID of an LDAP host object.

Par défaut : non défini

ldap_service_object_class (chaîne)

La classe d'objet d'une entrée de service LDAP.

Par défaut : ipService

ldap_service_name (string)

L'attribut LDAP qui contient le nom des attributs de service et de leurs alias.

Par défaut : cn

ldap_service_port (string)

L'attribut LDAP qui contient le port géré par ce service.

Par défaut : ipServicePort

ldap_service_proto (string)

L'attribut LDAP qui contient les protocoles compris par ce service.

Par défaut : ipServiceProtocol

ldap_service_search_base (string)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.

ldap_search_timeout (entier)

Définit le délai d'attente (en secondes) autorisé pour les recherches LDAP avant annulation et utilisation des résultats contenus dans le cache (et activation du mode hors ligne)

Note : cette option est susceptible de changer dans les prochaines version de SSSD. Elle sera sûrement remplacée par une série de délais d'attente pour différents types de recherches.

Par défaut : 6

ldap_enumeration_search_timeout (entier)

Définit le délai d'attente (en secondes) autorisé pour les recherches LDAP sur les utilisateurs et groupes avant annulation et utilisation des résultats mis en cache (et activation du mode hors ligne)

Par défaut : 60

ldap_network_timeout (entier)

Définit le délai d'attente (en secondes) après lequel les fonctions poll(2)/select(2) suivant un connect(2) rendent la main en cas d'inactivité.

Par défaut : 6

ldap_opt_timeout (entier)

Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also controls the timeout when communicating with the KDC in case of SASL bind, the timeout of an LDAP bind operation, password change extended operation and the StartTLS operation.

Par défaut : 8

ldap_connection_expire_timeout (entier)

Spécifie un délai d'attente (en secondes) pendant laquelle une connexion à un serveur LDAP est maintenue. Passé ce délai, la connexion devra être rétablie. Si ce paramètre est utilisé en parallèle avec SASL/GSSAPI, la plus courte des deux valeurs entre celle-ci et la durée de vie TGT sera utilisée.

Par défaut : 900 (15 minutes)

ldap_page_size (entier)

Définit le nombre d'enregistrements à récupérer lors d'une requête LDAP. Certains serveurs LDAP imposent une limite maximale par requête.

Par défaut : 1000

ldap_disable_paging (boolean)

Désactiver le contrôle de pagination LDAP. Cette option doit être utilisée si le serveur LDAP signale qu'il prend en charge le contrôle de pagination LDAP de l'objet RootDSE, mais qu'il n'est pas activé ou ne se comporte pas correctement.

Exemple : le serveurs OpenLDAP avec le module de contrôle de pagination installé sur le serveur mais non activé le signaleront dans RootDSE mais il sera impossible de l'utiliser.

Exemple : 389 DS a un bogue où il ne peut que soutenir qu'un seul contrôle de pagination à la fois sur une connexion donnée. Sur les clients chargés, cela peut entraîner l'échec de certaines demandes.

Par défaut : False

ldap_disable_range_retrieval (booléen)

Désactiver la récupération de plage Active Directory.

Active Directory limite le nombre de membres à récupérer par recherche à l'aide de la stratégie MaxValRange (qui prend la valeur par défaut de 1500 membres). Si un groupe contient plus de membres, la réponse inclura une extension de plage spécifique à Active Directory. Cette option désactive l'analyse de cette extension de plage, les groupes de grande taille apparaissant ainsi sans aucun membre.

Par défaut : False

ldap_sasl_minssf (integer)

Lors de la communication avec un serveur LDAP en utilisant SASL, spécifie le niveau de sécurité minimal nécessaire pour établir la connexion. Les valeurs de cette option sont définies par OpenLDAP.

Par défaut : Utiliser la valeur par défaut du système (généralement spécifié par ldap.conf)

ldap_deref_threshold (entier)

Définit le nombre de membres du groupe qui doivent manquer au sein du cache interne afin de déclencher une recherche de déréférencement. Si le nombre de membres manquants est inférieur, ils sont recherchés individuellement.

You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.

Une recherche de déréférencement est un moyen pour récupérer tous les membres d'un groupe avec un seul appel LDAP. Plusieurs serveurs LDAP peuvent avoir différentes méthodes de déréférencement. Les serveurs actuellement acceptés sont 389/RHDS, OpenLDAP et Active Directory.

Remarque : Si l'une des bases de recherche spécifie un filtre de recherche, alors l'amélioration de la performance de recherche de déréférencement est désactivée indépendamment de ce paramètre.

Par défaut : 10

ldap_tls_reqcert (chaîne)

Définit les vérifications à effectuer sur les certificats serveur sur une session TLS, si elle existe. Une des valeurs suivantes est utilisable :

never : le client ne demandera ni ne vérifiera un quelconque certificat du serveur.

allow : le certificat serveur est demandé. Si aucun certificat n'est fournit, la session continue normalement. Si un mauvais certificat est fourni, il est ignoré et la session continue normalement.

try : le certificat serveur est demandé. Si aucun certificat n'est fourni, la session continue normalement. Si un mauvais certificat est fourni, la session se termine immédiatement.

demand : le certificat serveur est demandé. Si aucun certificat ou un mauvais certificat est fourni, la session se termine immédiatement.

hard : identique à “demand”

Par défaut : hard

ldap_tls_cacert (chaîne)

Définit le fichier qui contient les certificats pour toutes les autorités de certification que sssd reconnaîtra.

Par défaut : utilise les paramètres par défaut de OpenLDAP, en général dans /etc/openldap/ldap.conf

ldap_tls_cacertdir (chaîne)

Spécifie le chemin d'un dossier qui contient les certificats de l'autorité de certificats dans des fichiers séparés. Usuellement, les noms de fichiers sont la somme de contrôle du certificat suivi de « .0 ». Si disponible, cacertdir_rehash peut être utilisé pour créer les noms corrects.

Par défaut : utilise les paramètres par défaut de OpenLDAP, en général dans /etc/openldap/ldap.conf

ldap_tls_cert (chaîne)

Définit le fichier qui contient le certificat pour la clef du client.

Par défaut : non défini

ldap_tls_key (chaîne)

Définit le fichier qui contient la clef du client.

Par défaut : non défini

ldap_tls_cipher_suite (chaîne)

Specifies acceptable cipher suites. Typically this is a colon separated list. See ldap.conf(5) for format.

Par défaut : utilise les paramètres par défaut de OpenLDAP, en général dans /etc/openldap/ldap.conf

ldap_id_use_start_tls (booléen)

Définit le fait que le fournisseur d'identité de connexion doit aussi utiliser tls pour protéger le canal.

Par défaut : false

ldap_id_mapping (boolean)

Indique que SSSD doit tenter de trouver les correspondances des ID d'utilisateur et de groupe dans les attributs ldap_user_objectsid et ldap_group_objectsid au lieu d'utiliser ldap_user_uid_number et ldap_group_gid_number.

Cette fonctionnalité ne prend actuellement en charge que la correspondance par objectSID avec Active Directory.

Par défaut : false

ldap_min_id, ldap_max_id (integer)

Au contraire de la mise en correspondance d'identifiants s'appuyant sur les SID utilisée si ldap_id_mapping est positionné à true, les plages d'identifiants autorisés pour ldap_user_uid_number et ldap_group_gid_number n'ont pas de limite. Dans une configuration avec des sous-domaines ou des domaines approuvés, cela peut engendrer des collisions. Pour les éviter, ldap_min_id et ldap_max_id peuvent être configurés afin de restreindre les plages d'identifiants autorisées lues directement depuis le serveur. Les sous-domaines peuvent ensuite choisir d'autres plages pour leurs propres identifiants.

Par défaut : non indiqué (les deux options sont à 0)

ldap_sasl_mech (chaîne)

Specify the SASL mechanism to use. Currently only GSSAPI and GSS-SPNEGO are tested and supported.

If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in sssd.conf(5) for details.

Par défaut : non défini

ldap_sasl_authid (chaîne)

Specify the SASL authorization id to use. When GSSAPI/GSS-SPNEGO are used, this represents the Kerberos principal used for authentication to the directory. This option can either contain the full principal (for example host/myhost@EXAMPLE.COM) or just the principal name (for example host/myhost). By default, the value is not set and the following principals are used:

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*
                            

If none of them are found, the first principal in keytab is returned.

Par défaut : host/hostname@REALM

ldap_sasl_realm (chaîne)

Spécifie le domaine SASL à utiliser. Si non spécifié, cette option prend par défaut la valeur de krb5_realm. Si le ldap_sasl_authid contient aussi le domaine, cette option est ignorée.

Par défaut : la valeur de krb5_realm.

ldap_sasl_canonicalize (booléen)

Si true, la bibliothèque LDAP effectue une recherche inversée pour canoniser le nom de l'hôte au cours d'une liaison SASL.

Défaut : false;

ldap_krb5_keytab (chaîne)

Specify the keytab to use when using SASL/GSSAPI/GSS-SPNEGO.

Par défaut : le fichier keytab du système, normalement /etc/krb5.keytab

ldap_krb5_init_creds (booléen)

Specifies that the id_provider should init Kerberos credentials (TGT). This action is performed only if SASL is used and the mechanism selected is GSSAPI or GSS-SPNEGO.

Par défaut : true

ldap_krb5_ticket_lifetime (entier)

Specifies the lifetime in seconds of the TGT if GSSAPI or GSS-SPNEGO is used.

Par défaut : 86400 (24 heures)

krb5_server, krb5_backup_server (string)

Spécifie par ordre de préférence la liste séparée par des virgules des adresses IP ou des noms de systèmes des serveurs Kerberos auquel SSSD doit se connecter. Pour plus d'informations sur la redondance de bascule et la redondance de serveur, consulter la section “BASCULE”. Un numéro de port facultatif (précédé de deux-points) peut être ajouté aux adresses ou aux noms de systèmes. Si vide, la découverte de services est activée - pour plus d'informations, se reporter à la section de “DÉCOUVERTE DE SERVICES”.

Lors de l'utilisation de découverte de services pour le KDC ou les serveurs kpasswd, SSSD recherche en premier les entrées DNS qui définissent _udp comme protocole, et passe sur _tcp si aucune entrée n'est trouvée.

Cette option s'appelait “krb5_kdcip” dans les versions précédentes de SSSD. Bien que ce nom soit toujours reconnu à l'heure actuelle, il est conseillé de migrer les fichiers de configuration vers l'utilisation de “krb5_server”.

krb5_realm (chaîne)

Specify the Kerberos REALM (for SASL/GSSAPI/GSS-SPNEGO auth).

Par défaut : valeur par défaut du système, voir /etc/krb5.conf

krb5_canonicalize (booléen)

Spécifie si le principal de l'hôte doit être rendu canonique lors de la connexion au serveur LDAP. Cette fonctionnalité est disponible avec MIT Kerberos > = 1.7

Par défaut : false

krb5_use_kdcinfo (booléen)

Indique si SSSD doit préciser aux bibliothèques Kerberos quels domaine et KDC utiliser. Cette option est activée par défaut, si elle est désactivée, la bibliothèque Kerberos doit être configurée à l'aide du fichier de configuration krb5.conf(5).

Consulter la page de manuel de sssd_krb5_locator_plugin(8) pour plus d'informations sur le greffon de localisation.

Par défaut : true

ldap_pwd_policy (chaîne)

Détermine la politique d'expiration des mots de passe côté client. Les valeurs suivantes sont acceptées :

none : aucun évaluation du côté client. Cette option ne peut pas désactiver la politique sur les mots de passe du côté serveur.

shadow - Utiliser les attributs de style shadow(5) pour évaluer si le mot de passe a expiré.

mit_kerberos : utilise les attributs utilisés par MIT Kerberos pour déterminer si le mot de passe a expiré. Utiliser chpass_provider=krb5 afin de modifier ces attributs lorsque le mot de passe est changé.

Par défaut : aucun

Note : si une politique de mots de passe est configurée côté serveur, elle prend le pas sur la politique indiquée avec cette option.

ldap_referrals (booléen)

Définit si le déréférencement automatique doit être activé.

Veuillez noter que sssd ne supporte que le déréférencement que lorsqu'il est compilé avec OpenLDAP version 2.4.13 ou supérieur.

La déréférenciation de références peut subir une altération notable des performances dans les environnements qui les utilisent fortement, un exemple notable étant Microsoft Active Directory. Si votre installation ne nécessite pas l'utilisation des références, affecter false à cette option devrait permettre d'améliorer de façon notable les performances.

Par défaut : true

ldap_dns_service_name (chaîne)

Définit le nom de service à utiliser quand la découverte de services est activée.

Par défaut : ldap

ldap_chpass_dns_service_name (chaîne)

Définit le nom de service à utiliser pour trouver un serveur LDAP autorisant un changement de mot de passe quand la découverte de services est activée.

Par défaut : non défini, c'est-à-dire que le service de découverte est désactivé.

ldap_chpass_update_last_change (bool)

Spécifie s'il faut mettre à jour l'attribut ldap_user_shadow_last_change avec le nombre de jours depuis Epoch après l'opération de changement de mot de passe.

Par défaut : False

ldap_access_filter (chaîne)

If using access_provider = ldap and ldap_access_order = filter (default), this option is mandatory. It specifies an LDAP search filter criteria that must be met for the user to be granted access on this host. If access_provider = ldap, ldap_access_order = filter and this option is not set, it will result in all users being denied access. Use access_provider = permit to change this default behavior. Please note that this filter is applied on the LDAP user entry only and thus filtering based on nested groups may not work (e.g. memberOf attribute on AD entries points only to direct parents). If filtering based on nested groups is required, please see sssd-simple(5).

Exemple :

access_provider = ldap
ldap_access_filter = (employeeType=admin)
                        

Cet exemple signifie que l'accès à cet hôte est restreint aux utilisateurs dont l'attribut employeeType est « admin ».

Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.

Par défaut : vide

ldap_account_expire_policy (chaîne)

Avec cette option une évaluation du côté client des contrôles d'accès peut être activée.

Veuillez noter qu'il est toujours recommandé d'utiliser un contrôle d'accès du côté serveur, c'est-à-dire que le serveur LDAP doit refuser une requête de connexion avec un code erreur approprié même si le mot de passe est correct.

Les valeurs suivantes sont autorisées :

shadow : utiliser la valeur de ldap_user_shadow_expire pour déterminer si le compte a expiré.

ad : utilise la valeur du champ 32 bits ldap_user_ad_user_account_control et autorise l'accès si le deuxième bit n'est pas défini. Si l'attribut est manquant, l'accès est autorisé. La date d'expiration du compte est aussi vérifiée.

rhds, ipa, 389ds : utilise la valeur de ldap_ns_account_lock afin de vérifier si l'accès est autorisé ou non.

nds : les valeurs de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled et ldap_user_nds_login_expiration_time sont utilisées pour vérifier si l'accès est autorisé. Si les deux attributs sont manquants, l'accès est autorisé. This is an experimental feature, please use https://pagure.io/SSSD/sssd/ to report any issues.

Noter que l'option de configuration ldap_access_order doit inclure “expire” de façon à permettre à l'option ldap_account_expire_policy de fonctionner.

Par défaut : vide

ldap_access_order (chaîne)

Liste séparées par des virgules des options de contrôles d'accès. Les valeurs autorisées sont :

filter : utiliser ldap_access_filter

lockout: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

Please note that this option is superseded by the “ppolicy” option and might be removed in a future release.

ppolicy: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

expire: utiliser ldap_account_expire_policy

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.

The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.

Note If user password is expired no explicit message is prompted by SSSD.

Please note that 'access_provider = ldap' must be set for this feature to work. Also 'ldap_pwd_policy' must be set to an appropriate password policy.

authorized_service : utiliser l'attribut authorizedService pour déterminer l'accès

host : utilise l'attribut host pour déterminer l'accès

rhost: use the rhost attribute to determine whether remote host can access

Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option

Par défaut : filter

Veuillez noter qu'une valeur utilisée plusieurs fois résulte en une erreur de configuration.

ldap_pwdlockout_dn (chaîne)

This option specifies the DN of password policy entry on LDAP server. Please note that absence of this option in sssd.conf in case of enabled account lockout checking will yield access denied as ppolicy attributes on LDAP server cannot be checked properly.

Exemple : cn=ppolicy,ou=policies,dc=example,dc=com

Default: cn=ppolicy,ou=policies,$ldap_search_base

ldap_deref (chaînes)

Définit comment le déréférencement de l'alias est effectué lors d'une recherche. Les options suivantes sont autorisées :

never : les alias ne sont jamais déréférencés.

searching : Les alias sont déréférencés comme des subordonnés de l'objet de base, mais pas en localisant l'objet de base de la recherche.

finding : les alias sont seulement déréférencés lors de la localisation de l'objet de base de la recherche.

always : les alias sont déréférencés à la fois pour la recherche et et la localisation de l'objet de base de la recherche.

Par défaut : vide (ceci est traité comme never par les bibliothèques clientes LDAP)

ldap_rfc2307_fallback_to_local_users (booléen)

Permet de conserver les utilisateurs locaux en tant que membres d'un groupe LDAP pour les serveurs qui utilisent le schéma RFC2307.

Dans certains environnements où le schéma RFC2307 est utilisé, les utilisateurs locaux deviennent membres du groupes LDAP en ajoutant leurs noms à l'attribut memberUid. La cohérence du domaine est compromise quand cela est fait, SSSD supprimerait normalement les utilisateurs « disparus » des appartenances aux groupes mises en cache dès que nsswitch essaie de récupérer des informations sur l'utilisateur via des appels à getpw*() ou initgoups().

Cette option vérifie en dernier recours si les utilisateurs locaux sont référencés et les met en cache afin que des appels ultérieurs à initgoups() ajoutent les utilisateurs locaux aux groupes LDAP.

Par défaut : false

wildcard_limit (integer)

Specifies an upper limit on the number of entries that are downloaded during a wildcard lookup.

At the moment, only the InfoPipe responder supports wildcard lookups.

Default: 1000 (often the size of one page)

The detailed instructions for configuration of sudo_provider are in the manual page sssd-sudo(5).

ldap_sudorule_object_class (string)

La classe d'objet d'une entrée de règle de sudo dans LDAP.

Par défaut : sudoRole

ldap_sudorule_name (string)

L'attribut LDAP qui correspond au nom de la règle de sudo.

Par défaut : cn

ldap_sudorule_command (string)

L'attribut LDAP qui correspond au nom de la commande.

Par défaut : sudoCommand

ldap_sudorule_host (string)

L'attribut LDAP qui correspond au nom d'hôte (ou adresse IP de l'hôte, réseau IP de l'hôte ou netgroup de l'hôte)

Par défaut : sudoHost

ldap_sudorule_user (string)

L'attribut LDAP qui correspond au nom d'utilisateur (ou UID, le nom du groupe ou netgroup de l'utilisateur)

Par défaut : sudoUser

ldap_sudorule_option (string)

L'attribut LDAP qui correspond aux options sudo.

Par défaut : sudoOption

ldap_sudorule_runasuser (string)

L'attribut LDAP qui correspond aux commandes peuvent être exécutées sous le nom d'utilisateur.

Par défaut : sudoRunAsUser

ldap_sudorule_runasgroup (string)

L'attribut LDAP qui correspond au nom du groupe ou GID du groupe sous lequel les commandes seront être exécutées.

Par défaut : sudoRunAsGroup

ldap_sudorule_notbefore (string)

L'attribut LDAP qui correspond à la date/heure de début pour laquelle la règle sudo est valide.

Par défaut : sudoNotBefore

ldap_sudorule_notafter (string)

L'attribut LDAP qui correspond à la date/heure d'expiration, après quoi la règle sudo ne sera plus valide.

Par défaut : sudoNotAfter

ldap_sudorule_order (string)

L'attribut LDAP qui correspond à l'index de tri de la règle.

Par défaut : sudoOrder

ldap_sudo_full_refresh_interval (integer)

La durée en secondes pendant laquelle SSSD va attendre entre deux actualisations complètes des règles de sudo (qui téléchargent toutes les règles qui sont stockées sur le serveur).

La valeur doit être supérieure à ldap_sudo_smart_refresh_interval

Par défaut : 21600 (6 heures)

ldap_sudo_smart_refresh_interval (integer)

How many seconds SSSD has to wait before executing a smart refresh of sudo rules (which downloads all rules that have USN higher than the highest server USN value that is currently known by SSSD).

Si les attributs USN ne sont pas pris en charge par le serveur, l'attribut modifyTimestamp est utilisé à la place.

Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).

Par défaut : 900 (15 minutes)

ldap_sudo_use_host_filter (boolean)

Si true, SSSD téléchargera les seules règles qui s'appliquent à cette machine (à l'aide de l'adresse de système ou de réseau IPv4 ou IPv6 et des noms de systèmes).

Par défaut : true

ldap_sudo_hostnames (string)

Liste séparés par des espaces des noms de systèmes ou de domaines qui doivent être utilisés pour filtrer les règles.

Si cette option est vide, SSSD va essayer de découvrir automatiquement le nom de système et le nom de domaine pleinement qualifié.

Si ldap_sudo_use_host_filter est false, alors cette option n'a aucun effet.

Par défaut : non spécifié

ldap_sudo_ip (string)

Liste séparés par des espaces d'adresses de système ou de réseaux IPv4 ou IPv6 qui doivent être utilisés pour filtrer les règles.

Si cette option est vide, SSSD va essayer de découvrir les adresses automatiquement.

Si ldap_sudo_use_host_filter est false, alors cette option n'a aucun effet.

Par défaut : non spécifié

ldap_sudo_include_netgroups (boolean)

Si elle est vraie alors SSSD téléchargera toutes les règles qui contient un netgroup dans l'attribut sudoHost.

Si ldap_sudo_use_host_filter est false, alors cette option n'a aucun effet.

Par défaut : true

ldap_sudo_include_regexp (boolean)

Si positionnée à true, SSSD téléchargera toutes les règles qui contiennent un joker dans l'attribut sudoHost.

Si ldap_sudo_use_host_filter est false, alors cette option n'a aucun effet.


Note
Using wildcard is an operation that is very costly to evaluate on the LDAP server side!

Par défaut : false

Cette page de manuel décrit uniquement le mappage de noms d'attribut. Pour une explication détaillée des sémantiques d'attributs relatives à sudo, cf. sudoers.ldap(5)

Some of the defaults for the parameters below are dependent on the LDAP schema.

ldap_autofs_map_master_name (chaîne)

Le nom de la table de montage automatique maîtresse dans LDAP.

Par défaut : auto.master

ldap_autofs_map_object_class (string)

La classe d'objet d'une entrée de table de montage automatique dans LDAP.

Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap

ldap_autofs_map_name (string)

Le nom d'une entrée de table de montage automatique dans LDAP.

Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName

ldap_autofs_entry_object_class (string)

The object class of an automount entry in LDAP. The entry usually corresponds to a mount point.

Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount

ldap_autofs_entry_key (string)

La clé d'une entrée de montage automatique dans LDAP. L'entrée correspond généralement à un point de montage.

Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey

ldap_autofs_entry_value (string)

La clé d'une entrée de montage automatique dans LDAP. L'entrée correspond généralement à un point de montage.

Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation

Veuillez noter que l'automounter ne lit que la carte maîtresse au démarrage. Ainsi, si des modifications liées à autofs sont apportées à sssd.conf, vous devrez généralement redémarrer le démon automounter après le redémarrage de SSSD

These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.

ldap_netgroup_search_base (chaînes)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.

ldap_user_search_base (chaînes)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.

ldap_group_search_base (chaînes)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.


Note

If the option “ldap_use_tokengroups” is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.

ldap_sudo_search_base (string)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.

ldap_autofs_search_base (string)

Un DN de base facultatif, une étendue de recherche et un filtre LDAP afin de restreindre les recherches LDAP pour ce type d'attribut.

syntaxe :

search_base[?scope?[filter][?search_base?scope?[filter]]*]

La portée peut être l'une des « base », « onelevel » ou « subtree ». Les fonctions de portée sont spécifiées dans la section 4.5.1.2 de http://tools.ietf.org/html/rfc4511

Le filtre doit être un filtre de recherche LDAP valide tel que spécifié par http://www.ietf.org/rfc/rfc2254.txt

Pour obtenir des exemples de cette syntaxe, reportez-vous à la section d'exemples “ldap_search_base”.

Par défaut : la valeur de ldap_search_base

Noter que la spécification de portée ou de filtre n'est pas prise en charge pour les recherches sur un serveur Active Directory qui serait susceptible de produire un grand nombre de résultats et de déclencher l'extension Range Retrieval dans sa réponse.

La fonctionnalité de bascule autorise le moteur à basculer automatiquement sur un serveur différent si le serveur actuel est défaillant.

La liste des serveurs est donnée sous forme de liste séparée par des virgules ; un nombre quelconque d'espaces est autorisé autour de la virgule. Les serveurs sont répertoriés par ordre de préférence. La liste peut contenir un nombre quelconque de serveurs.

Pour chaque option de configuration alors que la bascule est activée, il existe deux variantes : primary et backup. L'idée est que les serveurs dans la liste principale sont préférés et les serveurs de secours sont interrogés uniquement si aucun serveur primaire ne peut être atteint. Si un serveur de secours est sélectionné, un délai d'attente de 31 secondes est défini. Après ce délai d'attente, SSSD tentera périodiquement de se reconnecter à un des serveurs primaires. S'il réussit, il remplacera l'actuel serveur (de secours) actif.

Le mécanisme de bascule fait la distinction entre une machine et d'un service. Le moteur tente d'abord de résoudre le nom d'hôte d'un ordinateur donné ; en cas d'échec de cette tentative de résolution, la machine est considérée comme hors ligne. Aucune autre tentative n'est faite pour se connecter à cette machine pour tout autre service. Si la tentative de résolution réussit, le serveur principal tente de se connecter à un service sur cette machine. Si la tentative de connexion de service échoue, alors ce seul service est considéré comme hors ligne et le moteur passe automatiquement au service suivant. La machine est toujours considérée en ligne et peut toujours être considérée pour une tentative d'accès à un autre service.

Les tentatives de connexion ultérieures sont faites vers des machines ou des services marqués comme hors connexion après un délai spécifié ; ce délai est actuellement spécifié en dur à 30 secondes.

S'il n'y a plus aucune machine à essayer, le moteur dans son ensemble bascule dans le mode hors connexion et tente ensuite de se reconnecter toutes les 30 secondes.

Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.

This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.

dns_resolver_server_timeout

Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one.

Par défaut : 1000

dns_resolver_op_timeout

Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain.

Par défaut : 2

dns_resolver_timeout

How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site.

Default: 4

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the “ldap_opt_timeout>” timeout should be set to a larger value than “dns_resolver_timeout” which in turn should be set to a larger value than “dns_resolver_op_timeout” which should be larger than “dns_resolver_server_timeout”.

La fonctionnalité de découverte de services permet aux moteurs de trouver automatiquement les serveurs appropriés auxquels se connecter à l'aide d'une requête DNS spéciale. Cette fonctionnalité n'est pas pris en charge pour sur les serveurs secondaires.

Si aucun serveur n'est spécifié, le moteur utilise automatiquement la découverte de services pour tenter de trouver un serveur. L'utilisateur peut aussi choisir d'utiliser des adresses de serveur et de découverte de services fixes en insérant un mot-clé spécial, “_srv_”, dans la liste des serveurs. L'ordre de préférence est maintenu. Cette fonctionnalité est utile si, par exemple, l'utilisateur préfère utiliser la découverte de services chaque fois que possible et se replier vers un serveur spécifique lorsqu'aucun serveur ne peut être découvert à l'aide du DNS.

Se reporter au paramètre “dns_discovery_domain” dans la page de manuel sssd.conf(5) pour plus de détails.

Les requêtes spécifient généralement _tcp comme protocole. Les exceptions sont documentées dans les descriptions respectives des options.

Pour plus d'informations sur le mécanisme de découverte de services, se reporter à la RFC 2782.

La fonctionnalité de correspondance d'ID permet à SSSD d'agir comme un client de Active Directory sans demander aux administrateurs d'étendre les attributs utilisateur pour prendre en charge les attributs POSIX pour les identifiants d'utilisateur et de groupe.

Remarque : Lorsque la mise en correspondance des ID est activée, les attributs uidNumber et gidNumber sont ignorés. Ceci afin d'éviter les risques de conflit entre les valeurs attribuées automatiquement et assignées manuellement. Si vous avez besoin d'utiliser des valeurs attribuées manuellement, TOUTES les valeurs doivent être assignées manuellement.

Please note that changing the ID mapping related configuration options will cause user and group IDs to change. At the moment, SSSD does not support changing IDs, so the SSSD database must be removed. Because cached passwords are also stored in the database, removing the database should only be performed while the authentication servers are reachable, otherwise users might get locked out. In order to cache the password, an authentication must be performed. It is not sufficient to use sss_cache(8) to remove the database, rather the process consists of:

•Making sure the remote servers are reachable

•Arrêter le service SSSD

•Supprimer la base de donnée

•Démarrer le service SSSD

Moreover, as the change of IDs might necessitate the adjustment of other system properties such as file and directory ownership, it's advisable to plan ahead and test the ID mapping configuration thoroughly.

Active Directory fournit un objectSID pour chaque objet d'utilisateur et de groupe dans l'annuaire. Cet objectSID peut être divisé en composants qui représentent l'identité de domaine Active Directory et l'identificateur relatif (RID) de l'objet utilisateur ou groupe.

L'algorithme de mise en correspondance des ID de SSSD tient un éventail d'uid disponibles et le divise en sections de même taille, appelées « tranches ». Chaque tranche représente l'espace disponible dans un domaine Active Directory.

Lorsqu'une entrée d'utilisateur ou de groupe pour un domaine particulier est rencontrée pour la première fois, SSSD alloue une des plages disponibles pour ce domaine. Afin de rendre cette affectation de plage reproductible sur les ordinateurs clients différents, l'algorithme de sélection de plage suivant est utilisé :

La chaîne du SID est passée par l'intermédiaire de l'algorithme murmurhash3 pour le convertir en une valeur de hachage de 32 bits. Nous prenons ensuite le modulo de cette valeur avec le nombre total des tranches disponibles pour prendre la tranche.

Remarque : Il est possible de rencontrer les collisions dans le hachage et le modulo en découlant. Dans ces situations, la tranche suivante disponible sera sélectionnée, mais il n'est pas possible de reproduire le même jeu exact des tranches sur d'autres machines (puisque l'ordre dans lequel elles sont rencontrées déterminera leur tranche). Dans ce cas, il est recommandé de passer à l'utilisation des attributs POSIX explicites dans Active Directory (en désactivant la correspondance d'ID) ou configurer un domaine par défaut afin de garantir qu'au moins un est toujours cohérent. Pour plus d'informations, voir “Configuration”.

Configuration minimale (dans la section “[domain/DOMAINNAME]”) :

ldap_id_mapping = True
ldap_schema = ad

The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments.

Configuration avancée

ldap_idmap_range_min (integer)

Spécifie la limite inférieure de la plage d'ID POSIX à utiliser pour la mise en correspondance d'identifiants utilisateurs et groupes Active Directory.

NOTE : Cette option est différente de “min_id” en ce sens que “min_id” agit comme filtre sur le résultat des requêtes vers ce domaine, alors que cette option contrôle les plages de correspondance d'ID. Il s'agit d'une distinction subtile, mais les bonnes pratiques conseillent d'avoir “min_id” inférieur ou égal à “ldap_idmap_range_min”

Par défaut : 200000

ldap_idmap_range_max (integer)

Spécifie la limite supérieure de la plage d'ID POSIX à utiliser pour la mise en correspondance d'identifiants utilisateurs et groupes Active Directory.

NOTE : Cette option est différente de “max_id” en ce sens que “max_id” agit comme filtre sur le résultat des requêtes vers ce domaine, alors que cette option contrôle les plages de correspondance d'ID. Il s'agit d'une distinction subtile, mais les bonnes pratiques conseillent d'avoir “max_id” supérieur ou égal à “ldap_idmap_range_max”

Par défaut : 2000200000

ldap_idmap_range_size (integer)

Spécifie le nombre d'identifiants pour chaque tranche. Si la taille de la plage ne divise pas uniformément dans les valeurs minimale et maximale, des tranches complètes seront créées autant que possible.

NOTE: The value of this option must be at least as large as the highest user RID planned for use on the Active Directory server. User lookups and login will fail for any user whose RID is greater than this value.

For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, “ldap_idmap_range_size” must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).

It is important to plan ahead for future expansion, as changing this value will result in changing all of the ID mappings on the system, leading to users with different local IDs than they previously had.

Par défaut : 200000

ldap_idmap_default_domain_sid (chaîne)

Spécifier le SID de domaine du domaine par défaut. Cela garantira que ce domaine est toujours affecté à la tranche zéro dans la carte d'ID, sans passer par l'algorithme murmurhash décrit ci-dessus.

Par défaut : non défini

ldap_idmap_default_domain (chaîne)

Spécifier le nom de domaine par défaut.

Par défaut : non défini

ldap_idmap_autorid_compat (boolean)

Modifie le comportement de l'algorithme de mise en correspondance des ID afin qu'il se comporte de manière identique à celui “idmap_autorid” de winbind.

Lorsque cette option est configurée, les domaines seront alloués en commençant par la tranche zéro et augmentant de manière monotone pour chaque domaine supplémentaire.

Remarque : Cet algorithme n'est pas déterministe (il dépend de l'ordre dans lequel utilisateurs et groupes sont invités). Si ce mode est nécessaire pour assurer la compatibilité avec les ordinateurs qui utilisent winbind, il est recommandé d'utiliser également l'option “ldap_idmap_default_domain_sid” pour garantir qu'au moins un domaine est systématiquement alloué à la tranche zéro.

Par défaut : False

ldap_idmap_helper_table_size (integer)

Maximal number of secondary slices that is tried when performing mapping from UNIX id to SID.

Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated.

Par défaut : 10

SSSD supports to look up the names of Well-Known SIDs, i.e. SIDs with a special hardcoded meaning. Since the generic users and groups related to those Well-Known SIDs have no equivalent in a Linux/UNIX environment no POSIX IDs are available for those objects.

The SID name space is organized in authorities which can be seen as different domains. The authorities for the Well-Known SIDs are

•Null Authority

•World Authority

•Local Authority

•Creator Authority

•NT Authority

•Built-in

The capitalized version of these names are used as domain names when returning the fully qualified name of a Well-Known SID.

Since some utilities allow to modify SID based access control information with the help of a name instead of using the SID directly SSSD supports to look up the SID by the name as well. To avoid collisions only the fully qualified names can be used to look up Well-Known SIDs. As a result the domain names “NULL AUTHORITY”, “WORLD AUTHORITY”, “ LOCAL AUTHORITY”, “CREATOR AUTHORITY”, “NT AUTHORITY” and “BUILTIN” should not be used as domain names in sssd.conf.

L'exemple suivant suppose que SSSD est correctement configuré et que LDAP pointe sur un des domaines de la section [domains].

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

Les descriptions de quelques unes des options de configuration des pages de manuel sont basées sur le manuel de ldap.conf(5) de la distribution de OpenLDAP 2.4.

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

The SSSD upstream - https://pagure.io/SSSD/sssd/
11/04/2019 SSSD