Arch manual pages

SSSD-SIMPLE(5) Dateiformate und Konventionen SSSD-SIMPLE(5)

sssd-simple - die Konfigurationsdatei für den »einfachen« Zugriffssteuerungsanbieter von SSSD

Diese Handbuchseite beschreibt die Konfiguration des einfachen Zugriffssteuerungsanbieters für sssd(8). Eine ausführliche Syntax-Referenz finden Sie im Abschnitt »DATEIFORMAT« der Handbuchseite sssd.conf(5).

Der einfache Zugriffsanbieter gewährt oder verweigert den Zugriff auf Basis einer Zugriffs- oder Verbotsliste von Benutzer- oder Gruppennamen. Es gelten die folgenden Regeln:

•Falls alle Listen leer sind, wird Zugriff gewährt.

•Falls irgendeine Liste bereitgestellt wird, ist die Reihenfolge der Auswertung »erlauben,verbieten«. Das heißt, dass eine passende verbietende Regeln jede passende erlaubende Regel ersetzt.

•Falls eine oder beide »Erlaubnislisten« bereitgestellt werden, ist der Zugriff allen Benutzern verboten, sofern sie nicht auf der Liste erscheinen.

•Falls nur »Verbotslisten« bereitgestellt werden, wird der Zugriff allen Benutzern gewährt, sofern sie nicht auf der Liste stehen.

Einzelheiten über die Konfiguration einer SSSD-Domain finden Sie im Abschnitt »DOMAIN-ABSCHNITTE« der Handbuchseite sssd.conf(5).

simple_allow_users (Zeichenkette)

Durch Kommata getrennte Liste von Benutzern, die sich anmelden dürfen.

simple_deny_users (Zeichenkette)

Durch Kommata getrennte Liste von Benutzern, denen der Zugriff explizit verwehrt wird.

simple_allow_groups (Zeichenkette)

Durch Kommata getrennte Liste von Gruppen, die sich anmelden dürfen. Dies gilt nur für Gruppen innerhalb dieser SSSD-Domain. Lokale Gruppen werden nicht ausgewertet.

simple_deny_groups (Zeichenkette)

Durch Kommata getrennte Liste von Gruppen, denen der Zugriff explizit verwehrt wird. Dies gilt nur für Gruppen innerhalb dieser SSSD-Domain. Lokale Gruppen werden nicht ausgewertet.

Keine Werte für eine der Listen anzugeben ist so, als ob sie ganz übersprungen würde. Hüten Sie sich davor, solange Parameter für den einfachen Anbieter mittels automatischer Skripte erzeugt werden.

Bitte beachten Sie, das es ein Konfigurationsfehler ist, wenn sowohl »simple_allow_users« als auch »simple_deny_users« definiert sind.

Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert ist und example.com eine der im Abschnitt [sssd] erwähnten Domains ist. Die Beispiele zeigen nur die anbieterspezifischen Optionen des einfachen Anbieters.

[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2

Die vollständige Hierarchie der Gruppenmitgliedschaft wird aufgelöst, bevor die Zugriffsprüfung ausgeführt wird. Daher können selbst verschachtelte Gruppen Teil der Zugriffslisten werden. Bitte beachten Sie, dass die Option “ldap_group_nesting_level” die Ergebnisse beeinflussen kann und daher auf einen ausreichenden Wert gesetzt werden sollte. Siehe (sssd-ldap(5)).

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

The SSSD upstream - https://pagure.io/SSSD/sssd/
11/04/2019 SSSD