Arch manual pages

SSSD.CONF(5) Formatos de archivo y convenci SSSD.CONF(5)

sssd.conf - El archivo de configuración de SSSD

El archivo posee una sintaxis de tipo ini consistente de secciones y parámetros. Una sección comienza con el nombre de dicha sección colocado entre corchetes, y continua hasta que comienza la próxima sección. Este es un ejemplo de una sección con parámetros de valores simples y múltiples:

[section]
key = value
key2 = value2,value3
            

Los tipos de datos utilizados son cadenas (no es necesario ingresarlos entre comillas), enteros o booleanos (cuyos valores son “TRUE/FALSE”).

Una línea de comentario empieza con una almohadilla (“#”) o un punto y coma (“;”). Los comentarios en línea no están soportados.

Todas las secciones pueden tener un parámetro opcional de descripción. Su función es solo la de servir como etiqueta a tal sección.

sssd.conf debe ser un archivo regular, cuyo dueño sea el usuario root, y sólo este usuario podrá tener permisos de lectura y escritura sobre él.

El fichero de configuración sssd.conf incluirá fragmenteo de configuración usando el directorio include conf.d. Esta característica está disponible si SSSD fue compilado con libini versión 1.3.0 o posterior.

Cualquier fichero situado en conf.d que termine en “.conf” y no empiece con un punto (“.”) será usado junto con sssd.conf para configurar SSSD.

Los fragmentos de configuración de conf.d tienen mayor prioridad que los de sssd.conf y anularán sssd.conf cuando ocurran conflictos. Si varios fragmentos están presentes en conf.d serán incluidos en orden alfabético (en base a la localización). Los ficheros incluidos más tarde tienen prioridad mas alta. Prefijos numéricos (01_snippet.conf, 02_snippet.conf etc.) pueden ayudar a visualizar la prioridad (números mas altos significan prioridad más alta).

Los ficheros fragmentos requieren los mismos propietarios y permisos que sssd.conf. Que son por defecto root:root y 0600.

Las siguientes opciones son útiles en más de una de las secciones de configuración.

debug_level (entero)
SSSD supports two representations for specifying the debug level. The simplest is to specify a decimal value from 0-9, which represents enabling that level and all lower-level debug messages. The more comprehensive option is to specify a hexadecimal bitmask to enable or disable specific levels (such as if you wish to suppress a level).

Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.

In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.

Niveles de depuración actualmente soportados:

0, 0x0010: Fatal failures. Anything that would prevent SSSD from starting up or causes it to cease running.

1, 0x0020: Critical failures. An error that doesn't kill SSSD, but one that indicates that at least one major feature is not going to work properly.

2, 0x0040: Serious failures. An error announcing that a particular request or operation has failed.

3, 0x0080: Minor failures. These are the errors that would percolate down to cause the operation failure of 2.

4, 0x0100: Configuration settings.

5, 0x0200: Function data.

6, 0x0400: Trace messages for operation functions.

7, 0x1000: Trace messages for internal control functions.

8, 0x2000: Contents of function-internal variables that may be interesting.

9, 0x4000: Extremely low-level tracing information.

To log required bitmask debug levels, simply add their numbers together as shown in following examples:

Ejemplo: Para registrar fallos fatales, críticos y serios y datos de función use 0x0270.

Example: Para registrar fallos fatales, ajustes de configuración, datos de función, mensajes de traza para funciones de control interno use 0x1310.

Note: The bitmask format of debug levels was introduced in 1.7.0.

Default: 0

debug (entero)

SSSD 1.14 y posteriores también incluyen el alias debug para debug_level como ua característica de conveniencia. Si se usan ambas se usará el valor de debug_level.

debug_timestamps (bool)

Añade una sello de tiempo a los mensajes de depuración. Si journald está habilitado para el registro de la depuración SSSD esta opción se ignora.

Predeterminado: true

debug_microseconds (bool)

Añade microsegundos al sello de tiempo en los mensajes de depuración. Si journald está habilitado para el registro de la depuración SSSD esta opción se ignora.

Predeterminado: false

timeout (entero)
Tiempo de salid en segundos entre pulsaciones para este servicio. Se usa para asegurar que el proceso está vivo y capaz de contestar peticiones. Advierta que después de tres pulsaciones perdidas el servicio se terminará.

Predeterminado: 10

Trozos individuales de funcionalidad SSSD son suministrados por servicios especiales SSSD que se inician y parar junto a SSSD. Los servicios son gestionados por un servicio especial frecuentemente llamado “monitor”. La sección “[sssd]” se usa para configurar el monitor así como algunas otras opciones importantes como la identidad de dominios.

Parámetros de sección

config_file_version (entero)

Indica cuál es la sintaxis del archivo de configuración. SSSD 0.6.0 y posteriores utilizan una versión 2.

servicios

Lista separada por comas de los servicios que se han iniciado cuando el mismo sssd se inició. La lista de servicios es opcional sobre plataformas donde se soporta systemd, ya que serán enchufados o activado D-Bus cuando sea necesario.

Servicios soportados: nss, pam , sudo , autofs , ssh , pac , ifp

Por defecto, todos los servicios están deshabilitados y el administrador debe habilitar aquellos que permita que se usen para ejecución: "systemctl enable sssd-@service@.socket".

reconnection_retries (entero)

Cantidad de intentos de reconexión de los servicios ante una eventual caída de datos del proveedor, o de reiniciarse antes de abandonar

Predeterminado: 3

dominios

Un dominio es una base de datos que contiene información del usuario. SSSD puede usar más dominios a la vez, pero al menos se debe configurar uno o SSSD no arrancará. Este parámetros describe la lista de dominios en el orden que usted desea que sean consultados. Un nombre de dominio debería solo constar de caracteres ASCII alfanuméricos, guiones, puntos y guiones bajos.

re_expression (cadena)

Expresión regular por defecto que describe como analizar la cadena que contiene el nombre de usuario y el dominio en estos componentes.

Cada dominio puede tener una expresión regular individual configurada. Para algunos proveedores de ID hay también expresiones regulares por defecto. Vea las SECCIONES DOMINIO para mas información sobre estas expresiones regulares.

full_name_format (cadena)

printf(3)-formato compatible que describe como componer un nombre de dominio totalmente cualificado y los componentes del nombre de dominio.

Son soportadas las siguientes expresiones:

%1$s

nombre de usuario

%2$s

nombre de dominio como se especifica en el fichero de configuración SSSD

%3$s

nombre plano de dominio. Principalmente usado por los dominios Active Directory tanto los configurados directamente como los descubiertos por medio de IPA de confianza.

Cada dominio puede tener una cadena de formato individual configurar. Vea SECCIONES DOMINIO para más información sobre esta opción.

try_inotify (boolean)

SSSD monitorea el estado de resolv.conf para saber cuando es necesario actualizar su resolutor DNS interno. Por defecto, intentaremos utilizar para ello la herramienta inotify, quien consultará a resolv.conf cada cinco segundos en caso que inotify no pueda ser utilizado.

Existen algunas pocas situaciones en donde lo preferible es evitar el uso de inotify. En estas raras excepciones, la opción debería ser definida en 'false'

Predeterminado: 'true' en plataformas donde inotify tenga soporte. 'False' en el resto de las plataformas.

Nota: esta opción no tendrá efecto en plataformas donde inotify no se encuenytre disponible. En estas plataformas, la consulta (polling) será utilizada siempre.

krb5_rcache_dir (cadena)

Directorio en el sistema de archivos donde SSSD debería guardar fichero de reproducción de cache de Kerberos.

Esta opción acepta un valor especial __LIBKRB5_DEFAULTS__ que instruirá a SSSD para dejar a libkrb5 decidir la localización apropiada del escondrijo de respuesta.

Por defecto: Distribución específica y especificado en la acumulación de tiempo. (si no se configura __LIBKRB5_DEFAULTS__)

usuario (cadena)

El usuario debe dejar los privilegios donde corresponda para evitar que se ejecute como usuario root. Esta opción no funciona cuando se están ejecutando servicios activados por socket, puesto que el ajuste para que el usuario corra los procesos se fijan en el momento de la compilación. El modo de anular la unidad de ficheros systemd es creando los ficheros apropiados en /etc/systemd/system/. Tenga en cuenta que cualquier cambio en el socket de usuario, grupo o permisos puede llevar a un SSSD no utilizable. Lo mismo puede ocurrir en el caso de cambios del usuario que ejecuta el contestador NSS.

Por defecto: no ajustado, los procesos correrán como root

default_domain_suffix (cadena)

Esta cadena será usada como nombre de dominio por defecto para todos los nombre sin un componente de nombre de dominio. El principal caso de uso es en entornos donde el dominio principal está dirigido a gestionar las políticas de host y todos los usuarios están localizados en un dominio confiable. La opción permite a esos usuarios acceder sólo con su nombre de usuario sin dar también un nombre de dominio.

Por favor advierta que si se ajusta esta opción todos los usuarios del domino primario tiene que usar su nombre totalmente cualificado, e.g. user@domain.name, para acceder. Fijando esta opción cambia el predeterminado de use_fully_qualified_names a True. No está permitido usar esta opción unto con use_fully_qualified_names fijado a False.

Predeterminado: no definido

override_space (cadena)

Este parámetro reemplazará los espacios (barra espaciadora) con los caracteres dados para los nombres de usuario y grupos. e.g. (_). Nombre de usuario "john doe" será "john_doe" Esta característica se ha añadido para ayudar a la compatibilidad los scripts de shell que tienen dificultades con el manejo de espacios, debido al campo separador predeterminado en el shell.

Por favor advierta que es un error de configuración usar un carácter de reemplazo que pueda ser usado en los nombres de grupo o usuario. Si un nombre contiene el carácter de reemplazo SSSD intentará devolver un nombre no modificado pero en general el resultado de la búsqueda es indefinido.

Por defecto: no ajustado (los espacios no serán reemplazados)

certificate_verification (cadena)

Con este parámetros la verificación del certificado se puede sintonizar con una lista de opciones separadas por comas. Las opciones soportadas son:

no_ocsp

Deshabilita la comprobación de Protocolo de Estado de Certificado en Línea (OCSP). Esto puede ser necesario si los servidores OCSP definidos en el certificado no son alcanzables por el cliente.

no_verification

Deshabilita la verificación completamente. Esto opción solo se debería usar para pruebas.

ocsp_default_responder=URL

Fija el contestador OCSP por defecto que será usando en lugar del mencionado en el certificado. La URL debe ser reemplazada con la URL del contestador OCSP por defecto e.g. http://example.com:80/ocsp.

(Versión NSS) Esta opción debe ser usada junto con ocsp_default_responder_signing_cert.

ocsp_default_responder_signing_cert=NAME

(NSS Version) El apodo del certificado en el que confiar (esperado) para firmar las respuestas OCSP. El certificado con el apodo dado debe estar disponible en la base de datos NSS del sistema.

Esta opción debe ser usada junto con ocsp_default_responder.

(Versión OpenSSL) Esta opción se ignora actualmente. Todos los certificados necesarios deben estar disponibles en el fichero PEM indicado por pam_cert_db_path.

crl_file=/PATH/TO/CRL/FILE

(Versión NSS) Esta opción se ignora, por favor vea en crlutil(1) como importar una Lista de Revocación de Certificado (CRL) en una base de datos NSS.

(Versión OpenSSL) Usa la Lista de Revocación de Certificado (CRL) del fichero dado durante la verificación del certificado. La CRL se debe dar en formato PEM, vea detalles en crl(1ssl).

Esta página de manual fue generada para la versión NSS.

Se informa de las opciones desconocidas pero son ignoradas.

Por defecto: no fijado, i.e. no restringe la verificación de certificado

disable_netlink (boolean)

SSSD se engancha en el interfaz netlink para monitorizar los cambios a rutas, direcciones, enlaces y disparar ciertas acciones.

Los cambios en el estado de SSSD causados por eventos en enlace de red pueden ser no deseados y pueden ser deshabilitados ajustando esta opción a 'true'

Predeterminado: false (se detectan los cambio de enlace de red)

enable_files_domain (boolean)

Cuando se habilita esta opción, SSSD antepone in dominio implícito con “id_provider=files” antes de cualquier dominio explícito configurado.

Predeterminado: false

domain_resolution_order

Lista separada por comas de dominios y subdominios que representa el orden de búsqueda que se seguirá. La lista no tiene que incluir todos los dominios posibles ya que los dominios que falten se buscarán en el orden que se presentan en la opción de configuración “domains”. Los subdominios que no están listados como parte de “lookup_order” serán buscados en un orden aleatorio por cada dominio padre.

Por favor, advierta que cuando se fija esta opción el formato de salida de todos los comandos es siempre plenamente cualificado aunque se usen los nombre cortos para la entrada, para todos los usuarios excepto los gestionados por el proveedro de ficheros. En caso de que el administrador desee la salida no plenamente cualificada se debe usar los opción full_name_format como se muestra abajo: “full_name_format=%1$s” Sin embargo, tenga en cuenta que durante el acceso, las aplicaciones de acceso con frecuencia canonicalizan el nombre de usuario llamando a getpwnam(3) que, si se devuelve un nombre corto para una entrada cualificada (mientras que intenta alcanzar un usuario que existe en múltiples dominios) debe re-enturar el intento de acceso hacia el dominio que usa nombres cortos, haciendo este rodeo totalmente no recomendado en los casos donde los nombres de usuarios se deben compartir entre dominios.

Por defecto: No definido

Los ajustes que pueden ser utilizados para configurar diferentes servicios se describe en esta sección. Ellos deben residir en la sección [$NAME], por ejemplo, para el servicio NSS, la sección sería “[nss]”

Estas opciones pueden usarse para configurar cualquier servicio.

reconnection_retries (entero)

Cantidad de intentos de reconexión de los servicios ante una eventual caída de datos del proveedor, o de reiniciarse antes de abandonar

Predeterminado: 3

fd_limit

Esta opción especifica el número máximo de descriptores de ficheros que pueden ser abiertos a la vez por este proceso SSSD. Sobre sistemas donde SSSD ha alcanzado la capacidad CAP_SYS_RESOURCE, este será un ajuste absoluto. Sobre sistemas sin esta capacidad, el valor resultante será el valor más bajo de este o de limite “hard” en limits.conf.

Por defecto: 8192 (o limite “hard” en limits.conf)

client_idle_timeout

Esta opción especifica el número de segundos que un cliente de un proceso SSSD puede conservar un descriptor de archivo sin comunicarse con él. Este valor está limitado con el objetivo de evitar el agotamiento de recursos del sistema. El tiempo de salida no puede ser más corto de 10 segundos. Si se configura un valor más bajo será ajustado a 10 segundos.

Predeterminado: 60

offline_timeout (entero)

Cuando SSSD conmuta al modo fuera de línea la cantidad tiempo antes de que intente volver a estar en línea se incrementará en base al tiempo que ha estado desconectado. Este valor es en segundos y se calcula mediante lo siguiente:

offline_timeout + random_offset

El desplazamiento aleatorio puede ser incrementado a 30 segundos. Después de cada intento fracasado de ir a línea, el nuevo intervalo se re-calcula de la siguiente forma:

new_interval = old_interval*2 + random_offset

Advierta que la longitud máxima de cada intervalo está limitada actualmente a una hora. Si la longitud calculada de new_interval es mayor de una hora se forzará a una hora.

Predeterminado: 60

responder_idle_timeout

Esta opción especifica el número de segundos que un proceso contestador SSSD puede estar levantado sin ser usado. Este valor está limitado con el objetivo de evitar el agotamiento de recursos del sistema. El valor mínimo aceptable para esta opción es 60 segundos. Fijar esta opción a 0 (cero) significa que se le ajustarña tiempo de espera al contestador. Esta opción solo tiene efecto cuando SSSD está construido con soporte systemd y cuando los servicios activados son socket o D-Bus.

Predeterminado: 300

cache_first

Esta opción especifica si el contestador consultará todos los caches antes de consultar a los Proveedores de Datos.

Predeterminado: false

Estas opciones pueden ser usadas para configurar el servicio Name Service Switch (NSS).

enum_cache_timeout (entero)

Cuantos segundos ocultaría enumeraciones nss_sss (peticiones de información sobre todos los usuarios)

Predeterminado: 120

entry_cache_nowait_percentage (entero)

La entrada a la cache puede ser fijada automáticamente para actualizar entradas en segundo plano si hay peticiones más allá de un porcentanje del valor de entry_cache_timeout para el dominio.

Por ejemplo, si entry_cache_timeout del dominio está fijado a 30 y entry_cache_nowait_percentage está fijado a 50 (por ciento), las entradas que vengan después de 15 segundos pasado el último cache serán devueltas inmediatamente, pero SSSD irá y actualizará el cache por el mismo, de modo que las futuras peticiones no necesitarán bloquearse a la espera de una actualización del cache.

Los valores válidos para esta opción son 0-99 y representan un porcentaje de entry_cache_timeout para cada dominio. Por razones de rendimiento, este porcentaje nunca reducirá el tiempo de salida de no espera a menos de 10 segundos. (0 deshabilita esta función).

Predeterminado: 50

entry_negative_timeout (entero)

Especifica por cuantos segundos nss_sss escondería golpes negativos al cache (esto es, consultas para entradas no válidas a la base de datos, como entradas no existentes) antes de preguntar al punto final otra vez.

Predeterminado: 15

local_negative_timeout (integer)

Especifica por cuantos segundos nss_sss mantendría a los usuarios y grupos locales en cache negativo antes de intentar buscarlo en el extremo final otra vez. Fijando la opción a 0 deshabilita esta característica.

Por defecto: 14400 (4 horas)

filter_users, filter_groups (cadena)

Exclude certain users or groups from being fetched from the sss NSS database. This is particularly useful for system accounts. This option can also be set per-domain or include fully-qualified names to filter only users from the particular domain or by a user principal name (UPN).

AVISO: La opción filter_groups no afecta a la herencia de miembros de grupos anidados, puesto que el filtrado sucede después de que hayan sido propagados para volver por medio de NSS. E.g. un grupo que tenga un miembro del grupo filtrado mantendrá los usuarios miembros del listado posterior.

Predeterminado: root

filter_users_in_groups (bool)

Si usted desea filtrar usuarios aunque sean miembros del grupo, fije esta opción a false.

Predeterminado: true

override_homedir (cadena)

Anula el directorio home del usuario. Usted puede suministras bien un valor absoluto o una plantilla. En la plantilla, serán sustituidas las siguientes secuencias:

%u

nombre de acceso

%U

número UID

%d

nombre de dominio

%f

nombre totalmente cualificado del usuario (user@domain)

%l

The first letter of the login name.

%P

UPN - User Principal Name (name@REALM)

%o

El directorio home original recuperado del proveedor de identidad.

%H

The value of configure option homedir_substring.

%%

un literal ‘%’

Esta opción puede ser también fijada por dominio.

ejemplo:

override_homedir = /home/%u
        

Por defecto: No fijado (SSSD usará el valor recuperado desde LDAP)

homedir_substring (string)

The value of this option will be used in the expansion of the override_homedir option if the template contains the format string %H. An LDAP directory entry can directly contain this template so that this option can be used to expand the home directory path for each client machine (or operating system). It can be set per-domain or globally in the [nss] section. A value specified in a domain section will override one set in the [nss] section.

Default: /home

fallback_homedir (cadena)

Fija la plantilla por defecto para el direcorio home del usuario si no se ha especificado una explícitamente por el proveedor de datos del dominio.

Los valores disponibles para esta opción son los mismos que para override_homedir.

ejemplo:

fallback_homedir = /home/%u
                            

Por defecto: no fijado (sin sustitución para los directorios home no fijados)

override_shell (cadena)

Anula el shell de acceso para todos los usuarios. Esta opción reemplaza cualquier otra opción de shell si tinene efecto y puede ser fijada bien en la sección [nss] o por dominio.

Por defecto: no fijado (SSSD usará el valor recuperado desde LDAP)

allowed_shells (cadena)

Restringe la shell de usuario a uno de los valores listados. El orden de evaluación es:

1. Si el shell está presente en “/etc/shells”, se usa.

2. Si el shell está en la lista allowed_shells pero no en “/etc/shells”, usa el valor del parámetro shell_fallback.

3. Si el shell no está en la lista allowed_shells y tampoco en “/etc/shells”, se usará un shell de no acceso.

Se puede usar el comodín (*) para permitir cualquier shell.

(*) es útil si usted desea usar shell_fallback en caso de que el shell del usuario no esté en “/etc/shells” y las lista que mantiene todos los shells permitidos en allowed_shells estuviera llena.

Una cadena vacía para el shell se pasa como-es a libc.

“/etc/shells” es de sólo lectura en el inicio SSSD, lo que significa que se requiere el reinicio del SSSD en el caso de que se instale una nueva shell.

Por defecto: No fijado. La shell del usuario se usa automáticamente.

vetoed_shells (cadena)

Reemplaza cualquier instancia de estos shells con shell_fallback

shell_fallback (cadena)

La shell por defecto a usar si una shell permitida no está instalada en la máquina.

Predeterminado: /bin/sh

default_shell

El shell por defecto a usar si el proveedor no devuelve uno durante la búsqueda. Esta opción puede ser especificada globalmente en la sección [nss] o por dominio.

Por defecto: no fijado (Devuelve NULL si no se ha especificado una shell y confía en libc para sustituir algo sensible cuando sea necesario, normalmente /bin/sh)

get_domains_timeout (entero)

Especifica el tiempo en segundos por los cuales la lista de subdominios será considerada válida.

Predeterminado: 60

memcache_timeout (entero)

Especifica el tiempo en segundos por el cual os registros en la memoria cache serán validos. Fijando esta opción o cero deshabilita la memoria cache.

Predeterminado: 300

PRECAUCIÓN: Deshabilitar la memoria cache puede llevar a un impacto negativo significativo sobre el rendimiento de SSSD y debería ser usado solo para pruebas.

AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.

user_attributes (string)

Algunas de las solicitudes de respuestas adicionales NSS pueden devolver mas atributos que solos los de POXIS definido por el interfaz NSS. La lista de atributos se controla con esta opción. Se maneja de la misma forma que la opción “user_attributes” del contestador InfoPipe (see sssd-ifp(5) para mas detalles) pero sin valores predeterminados.

Para hacer mas fácil la configuración el contestador NSS comprobará la opción InfoPipe si no está fijada para el contestador NSS.

Por defecto: no ajustada, retroceder a opción InfoPipe

pwfield (cadena)

El valor que las operaciones NSS que devuelven usuarios o grupos devolverán para el campo “password”.

Esta opción puede ser también fijada por dominio.

Por defecto: “*” (dominios remotos) o “x” (los ficheros de dominio)

Estas opciones pueden ser usadas para configurar el servicio Pluggable Authentication Module (PAM)

offline_credentials_expiration (entero)

Si la autenticación del proveedor es fuera de línea, cuanto permitiríamos los accesos escondidos (en días desde el último login en línea con éxito).

Predeterminado: 0 (Sin límite)

offline_failed_login_attempts (entero)

Si la autenticación del proveedor es fuera de línea, cuantos intentos de login fallados están permitidos.

Predeterminado: 0 (Sin límite)

offline_failed_login_delay (entero)

El tiempo en minutos que ha de pasar después de que offline_failed_login_attempts ha sido alcanzado antes de que un nuevo intento de login sea posible.

Si se fija en 0 el usuario no puede autenticarse fuerta de línea si se ha alcanzado offline_failed_login_attempts. Sólo una autenticación en línea con éxito puede habilitar otra vez la autenticación fuera de línea.

Predeterminado: 5

pam_verbosity (entero)

Controla qué tipo de mensajes se muestra al usuario durante la autenticación. Cuanto mayor sea el número de mensajes más aparecen.

Actualmente sssd soporta los siguientes valores:

0: no mostrar ningún mensaje

1: mostrar sólo mensajes importantes

2: mostrar mensajes informativos

3: mostrar todos los mensajes e información de depuración

Predeterminado: 1

pam_response_filter (entero)

Una lista separada por comas de cadenas que permiten borrar (filtrar) datos enviados por el contestador PAM al modulo PAM pam_sss PAM. Hay diferentes clases de respuestas enviadas a pam_sss e.g. mensajes mostrados al usuario o variables de entorno que deberían ser fijadas por pam_sss.

Como los mensajes ya pueden ser controlados con la ayuda de la opción pam_verbosity esta opción permite filtrar otra clase de respuestas también.

Actualmente se soportan los siguientes filtros:

ENV

No envía ninguna variable de entorno a ningún servicio.

ENV:var_name

No envía la variable de entorno var_name a ningún servicio.

ENV:var_name:service

No envía la variable de entorno var_name al servicio.

Predeterminado: no definido

Ejemplo: ENV:KRB5CCNAME:sudo-i

pam_id_timeout (entero)

Para cualquier petición PAM mientras SSSD está en línea, SSSD intentará inmediatamente actualizar la información de identidad escondida por el usuario con el objetivo de asegurar que la autenticación tiene lugar con la información más actual.

Una conversación PAM completa puede llevar a cabo múltiples peticiones PAM, como gestión de cuenta y apertura de sesión. Esta opción controla (sobre una base de por cliente-aplicación) cuanto (en segundos) podemos esconder la información de identidad para evitar excesivos viajes de ida y vuelata al proveedor de identidad.

Predeterminado: 5

pam_pwd_expiration_warning (entero)

Mostrar una advertencia N días antes que la contraseña caduque.

Por favor advierta que el servidor de punto final tiene que suministrar información sobre el tiempo de expiración de la contraseña. Si esta información desaparece, sssd no podrá mostrar un aviso.

Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.

Este ajuste puede ser anulado por el ajuste pwd_expiration_warning para un dominio concreto.

Predeterminado: 0

get_domains_timeout (entero)

Especifica el tiempo en segundos por los cuales la lista de subdominios será considerada válida.

Predeterminado: 60

pam_trusted_users (cadena)

Especifica la lista separada por comas de valores de UID o nombres de usuarios que tienen permitidas conversaciones PAM contra dominios de confianza. Los usuarios no incluidos en esta lista pueden solo acceder a dominios marcadoscomo públicos con “pam_public_domains”. Los nombres de usuarios se resuelven a UIDs en el arranque.

Por defecto: Todos los usuarios se consideran de confianza por defecto

Por favor advierta que la UID 0 siempre permite el acceso al contestador PAM aunque no está en la la lista pam_trusted_users.

pam_public_domains (cadena)

Especifica la lista separada por comas de nombres de dominios que son accesibles hasta para los usuarios en los que no se confíe.

Hay definidos dos valores especiales para la opción pam_public_domains:

all (Los usuarios de no confianza están permitidos para acceder a todos los dominios en el contestador PAM.)

none (Los usuarios de no confianza no tienen permitido acceder a los dominios PAM en el contestador.)

Predeterminado: none

pam_account_expired_message (cadena)

Permite configurar un mensaje de expiración personalizado, reemplazando el mensaje predeterminado 'Permiso denegado'.

Nota: Por favor tenga cuidado que este mensaje solo se imprime por el servicio SSH a no ser que pam_verbosity esté fijado a 3 (mostrar todos los mensajes e información de depuración).

ejemplo:

pam_account_expired_message = Cuenta expirada, por favor contacte con la mesa de ayuda.
                            

Predeterminado: none

pam_account_locked_message (cadena)

Permite fijar un mensaje de bloqueo personalizado, reemplazando el mensaje por defecto 'Permiso denegado'.

ejemplo:

pam_account_locked_message = Cuenta bloqueada, por favor contacte con la mesa de ayuda.
                            

Predeterminado: none

pam_cert_auth (booleano)

Habilita un certificado en base a la autenticación Smartcard. Como esto requiere comunicación adicional con la Smartcard lo que dilatará el proceso de autenticación esta opción está deshabilitada por defecto.

Por defecto: False

pam_cert_db_path (cadena)

La ruta a la base de datos de certificado que contiene los módulos PKCS#11 para acceder a la Smartcard.

Predeterminado:

•/etc/pki/nssdb (versión NSS, ruta a la base de datos NSS)

•/etc/sssd/pki/sssd_auth_ca_db.pem (Versión de OpenSSL, ruta a un fichero con certificados CA de confianza en formato PEM)

Esta página de manual fue generada para la versión NSS.

p11_child_timeout (entero)

Cuantos segundos esperará pam_sss wait para que p11_child finalice.

Predeterminado: 10

pam_app_services (cadena)

Cuales son los servicios PAM que tiene permitido contactar con dominios del tipo “application”

Por defecto: No definido

pam_p11_allowed_services (entero)

Una lista separada por comas de nombres de servicios PAM a los que les será permitidos usar Smartcards.

Es posible añadir otro nombre de servicio PAM al conjunto predeterminado usando “+service_name” o quitar explícitamente nombre de servicio PAM de los predeterminados usando “-service_name”. Por ejemplo, con el objetivo de reemplazar un nombre de servicio PAM por autenticación con Smartcards (e.g. “login”) con un nombre de servicio PAM personalizado (e.g. “my_pam_service”), debería usar la siguiente configuración:

pam_p11_allowed_services = +my_pam_service, -login
                            

Predeterminado: el conjunto predeterminado de nombres de servicio PAM incluye:

•login

•su

•su-l

•gdm-smartcard

•gdm-password

•kdm

•sudo

•sudo-i

•gnome-screensaver

p11_wait_for_card_timeout (entero)

Si se requiere la autenticación con Smartcard cuantos segundos extras se añaden a p11_child_timeout para que el contestador PAM espera hasta que se inserte la Smartcard.

Predeterminado: 60

p11_uri (cadena)

PKCS#11 URI (see RFC-7512 for details) which can be used to restrict the selection of devices used for Smartcard authentication. By default SSSD's p11_child will search for a PKCS#11 slot (reader) where the 'removable' flags is set and read the certificates from the inserted token from the first slot found. If multiple readers are connected p11_uri can be used to tell p11_child to use a specific reader.

Ejemplo:

p11_uri = slot-description=My%20Smartcar%20Reader
                            

o

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
                            

Para encontrar la URI adecuada compruebe por favor la salida de depuración de p11_child. Como alternativa la utilidad GnuTLS 'p11tool' con e.g. '--list-all' mostrará PKCS#11 URIs también.

Predeterminado: none

Se pueden usar estas opciones para configurar el servicio sudo. Las instrucciones detalladas para la configuración de sudo(8) para trabajar con sssd(8) están en la página de manual sssd-sudo(5).

sudo_timed (booleano)

Si se evalúan o no los atributos sudoNotBefore y sudoNotAfter que implementa entradas de sudoers dependientes del tiempo.

Predeterminado: false

sudo_threshold (entero)

Número máxio de reflas expiradas que pueden ser refrescadas a la vez. Si el número de reglas expiradas está por debajo del umbral son refrescadas con el mecanismo “refrescar reglas” mechanism. SI se supera el umbral un “refresco total” de reglas sudo se dispara en su lugar. Este umbral también se aplica al comando IPA sudo y a las búsquedas de grupo de comando.

Predeterminado: 50

Estas opciones pueden ser usadas para configurar el servicio autofs.

autofs_negative_timeout (entero)

Especifica cuantos segundos debería el respondedor negativo autofs esconder golpes (esto es, consultas a entradas de mapa no válidad, como las no existentes) antes de preguntar al punto final otra vez.

Predeterminado: 15

Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.

Estas opciones se pueden usar para configurar el servicio SSH.

ssh_hash_known_hosts (booleano)

Si se pican o no los nombres y las direcciones de host en fichero gestionado known_host.

Predeterminado: true

ssh_known_hosts_timeout (entero)

Cuantos segundos se mantiene un host en el fichero known_hosts gestionados después de que se hayan pedido sus claves de host.

Por defecto: 180

ssh_use_certificate_keys (booleano)

Si se ajusta a true sss_ssh_authorizedkeys devolverá claves ssh derivadas de la clave pública de los certificados X.509 almacenados en la entrada de usuario también. Vea detalles en sss_ssh_authorizedkeys(1) for details.

Predeterminado: true

ca_db (cadena)

Ruta al almacenamiento de certificados CA de confianza. Esta opción se usa para validar los certificados de usuario antes de derivar las claves públicas ssh de ellos.

Predeterminado:

•/etc/pki/nssdb (versión NSS, ruta a la base de datos NSS)

•/etc/sssd/pki/sssd_auth_ca_db.pem (Versión de OpenSSL, ruta a un fichero con certificados CA de confianza en formato PEM)

Esta página de manual fue generada para la versión NSS.

El contestador PAC trabaja junto con el plugin de autorización de datos para MIT Kerberos sssd_pac_plugin.so y un proveedor de sub dominios. El plugin envía los datos PAC durante la autenticación GSSAPI al contestador PAC. El proveedor de sub dominio recoge el SID de dominio y los rangos de ID del dominio al que el cliente se ha unido y de los dominios remotos de confianza desde el controlador local de dominio. Si el PAC es decodificado y evaluado se hacen algunas de las siguientes operaciones:

•Si el usuario remoto no existe en la cache, se crea. Se determina la UID con la ayuda del SID, los dominios de confianza tendrán UPGs y el GID tendrá el mismo valor que la UID. El directorio home se ajusta en base al parámetro subdomain_homedir. La shell estará vacía por defecto, i.e. se usa el sistema predeterminado, pero se puede sustituir con el parámetro default_shell.

•Si se conocen los SIDs de los grupos de los dominios, se añadirá el usuario a esos grupos.

Estas opciones pueden ser usadas para configurar el respondedor PAC.

allowed_uids (cadena)

Especifica la lista separada por comas de los valores UID o nombres de usuario que tiene el acceso permitido al respondedor PAC.

Por defecto: 0 (sólo el usuario root tiene permitido el acceso al respondedor PAC)

Por favor advierta que aunque la UID 0 se usa por defecto será anulada con esta opción. Si usted deses todavía permitir al usuario root acceder al respondedor PAC, que sería el caso típico, usted tiene que añadir 0 a la lista de UIDs permitidas también.

pac_lifetime (entero)

Tiempo de vida de la entrada PAC en segundos. Tanto como la PAC es válida los datos PAC pueden ser usados para determinar la membresia de grupo de un usuario.

Predeterminado: 300

Trabajos de grabación de sesión en conjunto con tlog-rec-session(8), una parte del paquete tlog, para registrar lo que los usuarios ven y el tipo cuando ellos lo registran en un terminal de texto. Vea también sssd-session-recording(5).

Se pueden usar estas opciones para configurar la grabación de sesión.

scope (cadena)

Una de las siguientes cadena especifica el alcande de la sesión de grabación:

"none"

NO se grabaron usuarios.

"some"

Usuarios/grupos especificados por las opciones users ygroups son grabados.

"all"

Se graban todos los usuarios.

Predeterminado: "none"

users (cadena)

Una lista separada por comas de usuarios que deberían tener la grabación de sesión habilitada. Coincide con los nombres de usuario que son devueltos por NSS. I.e. después de las posibles sustituciones de espacios, cambios de mayúsculas/minúsculas, etc.

Predeterminado: Vacío. No hay usuarios coincidentes.

groups (cadena)

Una lista separada por comas de grupos, cuyos miembros tendrían habilitado la grabación de sesión. Coincide con los nombres de grupo devueltos por NSS. I.e. después de los posibles cambios de espacio, cambios de mayúsculas/minúsculas, etc.

AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un costo considerable de rendimiento, puesto que cada petición sin caché para un usuario requiere a recuperación y el emparejado de los grupos a los que pertenece el usuario.

Predeterminado: Vacío. No empareja grupos.

Estas opciones de configuración pueden estar presentes en la sección configuración de dominio, esto es, en una sección llamada “[domain/NAME]”

domain_type (cadena)

Especifica si el dominio está destinado a ser usado por clientes atentos a POSIX como Name Service Switch o por aplicaciones que no necesitan datos POSIX presentes o generados. Solo los objetos de dominios POSIX están disponibles para las interfaces y utilidades de sistema operativo.

Los valores permitidos para esta opción son “posix” y “application”.

Los dominios POSIX son alcanzables por todos los servicios. Los dominios aplicación son solo alcanzables desde el contestador InfoPipe (vea sssd-ifp(5)) y el contestador PAM.

AVISO: LOs dominios aplicación actualmente están bien probados solamente con “id_provider=ldap”.

Para una manera fácil de configurar dominios no POSIX, vea la sección “Dominios aplicación”.

Predeterminado: posix

min_id, max_id (entero)

Límites de UID y GID para el dominio. Si un dominio contiene una entrada que está fuera de estos límites, ésta es ignorada.

Para usuarios, esto afecta al límite primario GID. El usuario no será devuelto a NSS si bien la UID o el GID primario está fuera de rango. Para los miembros de grupos no primarios, aquellos que estén en rango serán reportados como en espera.

Estos límites de ID afectan aunque se guarden entrada en la caché, no solo devolviéndolas por nombre o ID.

Predeterminado: 1 para min_id, 0 (sin límite) para max_id

enumerar (bool)

Determina si un dominio puede ser enumerado, esto es, si el dominio puede listar tods los usuarios y grupos que contiene. Advierta que no requiere habilitar la enumeración con el objetivo de visualizar grupos secundarios. Este parámetros puede tener uno de los siguientes valores:

TRUE = Usuarios y grupos son enumerados

FALSE = Sin enumeraciones para este dominio

Predeterminado: FALSE

Enumerar un dominio requiere que SSSD descargue y almacene TODAS las entradas de usuario y grupo del servidor remoto.

Aviso: Habilitar la enumeración tiene un impacto moderado en el rendimiento sobre SSSD mientras está corriendo la enumeración. Puede llevar varios minutos después de que SSSD inicie una enumeración completa total. Durante este tiempo, las peticiones individuales de información irán directamente a LDAP, piense que puede ser lento, debido al pesado procesamiento de la enumeración. El guardar gran número de entradas en la caché después de una enumeración completa puede ser también intensiva para la CPU puesto que la membresía debe ser vuelta a computar. Esto puede llevar a que el proceso “sssd_be” no responda o que sea reiniciado por el perro guardián interno.

Mientras está corriendo la primera enumeración, peticiones para el usuario completo o listas de grupo pueden no devolver resultados hasta que se completen.

Adicionalmente, la habilitación de la enumeración puede incrementar el tiempo necesario para detectar la desconexión de red, tanto como los tiempos de espera necesarios para asegurar que las búsquedas de enumeración se han completado. Para más información vea las páginas de manual para el específico id_provider en uso.

Por las razones citadas arriba, no se recomienda habilitar la enumeración, especialmente en entornos grandes.

subdomain_enumerate (cadena)

Si se debe enumerar alguno de los dominios de confianza autodetectados. Los valores soportados son:

all

Se enumerarán todos los dominios de confianza descubiertos

none

No serán enumerados dominios de confianza descubiertos

Opcionalmente, una lista de uno o más nombres de dominio puede habilitar la enumeración solo para estos dominios de confianza.

Predeterminado: none

entry_cache_timeout (entero)

Cuántos segundos debe considerar nss_sss como válidas las entradas antes de volver a consultar al backend

Los sellos de tiempo de expiración de caché son almacenados somo atributos de los objetos individuales en caché. Por lo tanto, el cambio del tiempo de expiración de la caché solo tendrá efecto para las entradas más nuevas o expiradas. Debería ejecutar la herramienta sss_cache(8) con el objetivo de forzar el refresco de las entradas que ya están en la caché.

Predeterminado: 5400

entry_cache_user_timeout (entero)

Cuantos segundos debería nss_sss considerar las entradas de usuario válidas antes de preguntar al punto final otra vez.

Por defecto: entry_cache_timeout

entry_cache_group_timeout (entero)

Cuantos segundos debería nss_sss considerar las entradas de grupo válidas antes de preguntar al punto final otra vez.

Por defecto: entry_cache_timeout

entry_cache_netgroup_timeout (entero)

Cuantos segundos debería nss_sss considerar las entradas de grupo de red válidas antes de preguntar al punto final otra vez.

Por defecto: entry_cache_timeout

entry_cache_service_timeout (entero)

Cuantos segundos debería nss_sss considerar las entradas de servicio válidas antes de preguntar al punto final otra vez.

Por defecto: entry_cache_timeout

entry_cache_sudo_timeout (entero)

Cuantos segundos debería considerar las regulas sudo válidas antes de preguntar al backend otra vez.

Por defecto: entry_cache_timeout

entry_cache_autofs_timeout (entero)

Cuantos segundos deberá considerar el servicio autofs los mapas de automontaje válidos antes de preguntar al punto final otra vez.

Por defecto: entry_cache_timeout

entry_cache_ssh_host_timeout (entero)

Cuantos segundos mantener una clave ssh de host después de refrescar. IE cuanto guardar en caché la clave de host.

Por defecto: entry_cache_timeout

refresh_expired_interval (entero)

Especifica cuantos segundos tiene que esperar SSSD antes de disparar una tarea de refresco en segundo plano que refrescará todos los registros expirados o a punto de hacerlo.

El refresco en segundo plano procesará usuarios grupos y grupos de red en la caché.

Usted puede considerar ajustar este valor a 3/4 * entry_cache_timeout.

Predeterminado: 0 (deshabilitado)

cache_credentials (bool)

Determina si las credenciales del usuario están también escondidas en el cache LDB local

Las credenciales de usuario son almacenadas en un hash SHA512, no en texto plano

Predeterminado: FALSE

cache_credentials_minimal_first_factor_length (entero)

Si se usa 2-Factor-Authentication (2FA) y las credenciales deberían ser guardadas este valor determina la longitud mínima del primer factor de autenticación (contraseña de largo plazo) que debe ser guardado como hash SHA512 en el caché.

Esto evitaría que los PINs cortos de un esquema de PIN basado en 2FA se guarden en caché lo que les haría objetivos fáciles de ataques de fuerza bruta.

Predeterminado: 8

account_cache_expiration (entero)

Entradas de números de días que son dejadas en el cache después del último login con éxito antes de ser borrado durante la limpieza de la cache. 0 significa mantener para siempre. El valor de este parámetro debe ser más grande o igual que offline_credentials_expiration.

Predeterminado: 0 (ilimitado)

pwd_expiration_warning (entero)

Mostrar una advertencia N días antes que la contraseña caduque.

Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.

Por favor advierta que el servidor de backend tiene que suministrar información sobre la hora expiración de la contraseña. Si esta información está desaparecida, sssd no puede mostrar un aviso. También se tiene que configurar un proveedor de autorización para el backend.

Por defecto: 7 (Kerberos), 0 (LDAP)

id_provider (cadena)

El proveedor de identificación usado por el dominio. Los proveedores de ID soportados son:

“proxy”: Soporta un proveedor NSS heredado.

“files”: Proveedor de FICHEROS. Vea sssd-files(5) para más información sobre como hacer espejo de usuarios y grupos locales en SSSD.

“ldap”: Proveedor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.

“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.

“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.

use_fully_qualified_names (bool)

Utiliza el nombre completo y el dominio (formateado en el formato nombre_completo de dominio) como el nombre de acceso del usuario reportado a NSS.

Si es TRUE, todas las peticiones a este dominio deben usar nombres totalmente cualificados. Por ejemplo, si se usa en el dominio LOCAL que contiene un usuario “test”, getent passwd test no encontraría al usuario mientras que getent passwd test@LOCAL lo haría.

AVISO: Esta opción no tiene efecto sobre búsquedas de grupo de red debido a su tendencia a incluir grupos de red anidados sin nombres cualificados. Para grupos de red, se buscará en todos los dominios cuando se pida un no no cualificado.

Predeterminado: FALSE (TRUE si se usa default_domain_suffix)

ignore_group_members (bool)

No devuelve miembros de grupo para búsquedas de grupo.

Si se fija a TRUE, no se pide el atributo de membresía de grupo al servidor ldap y los miembros no son devueltos cuando se procesan llamadas de búsqueda, como getgrnam(3) o getgrgid(3). Como efecto, “getent group $groupname” debería devolver el grupo pedido como si estuviera vacío.

Habilitar esta opción puede también hacer acceso a las comprobaciones de proveedor ara membresía de grupo significativamente más rápidas, especialmente para grupos que contienen muchos miembros.

Predeterminado: FALSE

auth_provider (cadena)

El proveedor de autenticación usado por el dominio. Los proveedores de autenticación soportados son:

“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.

“krb5” para autenticación Kerberos. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.

“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.

“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.

“proxy” para la reinstalación de la autenticación a algún otro objetivo PAM.

“none” deshabilita la autenticación explícitamente.

Por defecto: “id_provider” se usa si se ha fijado y puede manejar las peticiones de autenticación.

access_provider (cadena)

El proveedor de control de acceso usado por el dominio. Hay dos provedores de acceso integrados (además de cualquiera instalado en los finales). Los proveedores especiales internos son:

“permit” siempre permite el acceso. Es el proveedor de acceso sólo permitido para un dominio local.

“deny” siempre niega el acceso.

“ldap” para autenticación nativa LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.

“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.

“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.

“simple” control de acceso basado en listas de acceso o denegación. Vea sssd-simple(5) para más información sobre la configuración del módulo de acceso sencillo.

“krb5”: .k5login basado en control de acceso. Vea sssd-krb5(5) para más información sobre la configuración de Kerberos.

“proxy” para transmitir control de acceso a otro módulo PAM.

Predeterminado: “permit”

chpass_provider (cadena)

El proveedor que debería manejar las operaciones de cambio de password para el dominio. Los proveedores de cambio de passweord soportados son:

“ldap” para cambiar una contraseña almacenada en un servidor LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.

“krb5” para cambiar una contraseña Kerberos. Vea sssd-krb5(5) para más información sobre configurar Kerberos.

“ipa”: Proveedor FreeIPA y Red Hat Enterprise Identity Management. Vea sssd-ipa(5) para más información sobre la configuración de FreeIPA.

“ad”: Proveedor Active Directory. Vea sssd-ad(5) para más información sobre la configuración de Active Directory.

“proxy” para la reinstalación de cambios de password en algunos otros objetivos PAM.

“none” deniega explícitamente los cambios en la contraseña.

Por defecto: “auth_provider” se utiliza si se ha fijado y se puede manejar las peticiones de cambio de password.

sudo_provider (cadena)

El proveedor SUDO usado por el dominio. Los proveedores SUDO soportados son:

“ldap” para reglas almacenadas en LDAP. Vea sssd-ldap(5) para más información sobre la configuración LDAP.

“ipa” lo mismo que “ldap” pero con ajustes predeterminados IPA.

“ad” lo mismo que “ldap” pero con ajustes predeterminados AD.

“none”deshabilita SUDO explícitamente.

Por defecto: el valor de “id_provider” se usa si está fijado.

Las instrucciones detalladas para la configuración de sudo_provider están el la página de manual sssd-sudo(5). Hay muchas opciones de configuración que se puden usar para ajustar el comportamiento. Vea por favor "ldap_sudo_*" en sssd-ldap(5).

AVISO: Las reglas sudo son periódicamente descargadas en segundo plano a no ser que proveedor sudo esté explícitamente deshabilitado. Ajuste sudo_provider = None para deshabilitatr toda la actividad relacionada con sudo en SSSD si usted no desea usar sudo cn SSSD mas.

selinux_provider (cadena)

El proveedor que manejaría la carga de los ajustes selinux. Advierta que este proveedor será llamado justo después de que el proveedor de acceso finalice. Los proveedores selinux soportados son:

“ipa” para cargar ajustes selinux desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.

“none” deshabilita ir a buscar los ajustes selinux explícitamente.

Por defecto: “id_provider” se usa si está fijado y puede manejar las peticiones de carga selinux.

subdomains_provider (cadena)

El proveedor que debería manejar el atractivo de subdominios. Este valor debería ser siempre el mismo que id_provider. Los proveedores de subdominio soportados son:

“ipa” para cargar una lista de subdominios desde un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.

“ad” para descargar una lista de subdominios desde un servidor Active Directory. Vea sssd-ad(5) para más información sobre la configuración del proveedor AD.

“none” deshabilita el buscador de subdominios explícitamente.

Por defecto: el valor de “id_provider” se usa si está fijado.

session_provider (cadena)

El proveedor que configura y gestiona las tareas relacionadas con la sesión de usuario. La única tarea de usuario que actualmente se provee es la integración con Fleet Commander, que trabaja solo con IPA. Los proveedores de sesiones soportados son:

“ipa” para permitir llevar a cabo tareas relacionadas con la sesión de usuario.

“none” no lleva a cabo ninguna tarea relacionada con la sesión de usuario.

Predeterminado: “id_provider” se usa si está ajustado y puede llevar a cabo tareas relacionadas con la sesión de usuario.

AVISO: Con el objetivo de tener esta característica trabajando como se espera SSSD se debe correr como "root" y o como usuario sin privilegios.

autofs_provider (cadena)

El proveedor autofs usado por el dominio. Los proveedores autofs soportados son:

“ldap” para cargar mapas almacenados en LDAP. Vea sssd-ldap(5) para más información sobre la configuración de LDAP.

“ipa” para cargar mapas almacenados en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.

“ad” para cargar mapas almacenados en un servidor AD. Vea sssd-ad(5) para más información sobre como configurar un proveedor AD.

“none” deshabilita autofs explícitamente.

Por defecto: el valor de “id_provider” se usa si está fijado.

hostid_provider (cadena)

El proveedor usado para recuperar información de identidad de host. Los proveedores de hostid soportados son:

“ipa” para cargar la identidad del equipo almacenada en un servidor IPA. Vea sssd-ipa(5) para más información sobre la configuración de IPA.

“none” deshabilita hostid explícitamente.

Por defecto: el valor de “id_provider” se usa si está fijado.

re_expression (cadena)

Expresión regular para este dominio que describe como analizar gramaticalmente la cadena que contiene el nombre de usuario y el dominio en estos componentes. El "dominio" puede coincidir bien con el nombre de dominio de configuración SSSD o en el caso de subdominios de confianza IPA y dominios Active Directory, el nombre plano (NetBIOS) del dominio.

Por defecto para el proveedor AD e IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” que permite tres estilos diferentes de nombres de usuario:

•nombre de usuario

•username@domain.name

•dominio/nombre_de_usuario

Mientras los primeros dos corresponden al valor por defecto general el tercero se introduce para permitir una fácil integración de usuarios desde dominios Windows.

Predeterminado: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” que traduce al "todo lo que hay hasta el signo “@” es el nombre, el dominio es el resto detrás de este signo"

AVISO: Algunos grupos Active Directory, normalmente aquellos que se usan por MS Exchange contienen un signo “@” en el nombre, lo que choca con el valor predeterminado de re_expressionpara los proveedores AD e IPA. Para soportar estos grupos, considere cambiar el valor de re_expression a: “((?P<name>.+)@(?P<domain>[^@]+$))”.

full_name_format (cadena)

printf(3)-formato compatible que describe como componer un nombre de dominio totalmente cualificado y los componentes del nombre de dominio.

Son soportadas las siguientes expresiones:

%1$s

nombre de usuario

%2$s

nombre de dominio como se especifica en el fichero de configuración SSSD

%3$s

nombre plano de dominio. Principalmente usado por los dominios Active Directory tanto los configurados directamente como los descubiertos por medio de IPA de confianza.

Predeterminado: “%1$s@%2$s”.

lookup_family_order (cadena)

Suministra la capacidad para seleccionar la familia de dirección preferente a usar cuando se lleven a cabo búsquedas DNS.

Valores soportados:

ipv4_first: Intenta buscar dirección IPv4, si falla, intenta IPv6

ipv4_only: Sólo intenta resolver nombres de host a direccones IPv4.

ipv6_first: Intenta buscar dirección IPv6, si falla, intenta IPv4

ipv6_only: Sólo intenta resolver nombres de host a direccones IPv6.

Predeterminado: ipv4_first

dns_resolver_timeout (entero)

Define la cantidad de tiempo (en segundos) a esperar una respuesta de un fallo interno sobre un servicio ntes de asumir que ese servicio es inalcanzable. ISi se alcanza este tiempo de salida, el dominio continuará trabajando en modo offline.

Por favor vea la sección “RECUPERACIÓN DE FALLOS” para más información sobre la resolución del servicio.

Predeterminado: 6

dns_discovery_domain (cadena)

Si el descubridor de servicio se usa en el punto final, especifica la parte de dominio de la pregunta al descubridor de servicio DNS.

Predeterminado: Utilizar la parte del dominio del nombre de host del equipo

override_gid (entero)

Anula el valor primario GID con el especificado.

case_sensitive (cadena)

Trata nombres de usuario y de grupo como sensibles a mayúsculas/minúsculas. Los valores de opción posibles son:

True

Distingue mayúsculas y minúsculas. Este valor es invalido para el proveedor AD.

False

No sensible a mayúsculas minúsculas.

Preserving

Igual que False (no sensible a mayúsculas minúsculas.), pero sin minúsculas en los nombres en el resultado de las operaciones NSS. Advierta que los nombres de alias (y en el caso de servicios también los nombres de protocolo) están en minúsculas en la salida.

Predeterminado: True (False para proveedor AD)

subdomain_inherit (cadena)

Especifica una lista de parámetros de configuración que deberían ser heredados por un subdominio. Por favor advierta que solo pueden ser heredados parámetros seleccionados. Actualmente se pueden heredar las siguientes opciones:

ignore_group_members

ldap_purge_cache_timeout

ldap_use_tokengroups

ldap_user_principal

ldap_krb5_keytab (se deberá usar el valor de krb5_keytab si no se ha fijado explícitamente ldap_krb5_keytab)

Ejemplo:

subdomain_inherit = ldap_purge_cache_timeout
                            

Predeterminado: none

Aviso: Esta opción solo trabaja con el proveedor IPA y AD.

subdomain_homedir (cadena)

Use este directorio home como valor predeterminado para todos los subdominios dentro de este dominio en IPA AD de confianza. Vea override_homedir para información sobre los posibles valores. Además de esto, la expansión de abajo sólo puede ser usada con subdomain_homedir.

%F

flat (NetBIOS) nombre de un subdominio.

Este valor puede ser anulado por la opción override_homedir.

Por defecto: /home/%d/%u

realmd_tags (cadena)

Diversas banderas almacenadas por el servicio de configuración realmd para este dominio.

cached_auth_timeout (entero)

Specifies time in seconds since last successful online authentication for which user will be authenticated using cached credentials while SSSD is in the online mode. If the credentials are incorrect, SSSD falls back to online authentication.

This option's value is inherited by all trusted domains. At the moment it is not possible to set a different value per trusted domain.

El valor especial 0 implica que esta función está deshabilitada.

Por favor advierta que si “cached_auth_timeout” es mayor que “pam_id_timeout” el otro extremo podría ser llamado para gestionar “initgroups.”

Predeterminado: 0

auto_private_groups (cadena)

This option takes any of three available values:

true

Create user's private group unconditionally from user's UID number. The GID number is ignored in this case.

AVISO: Puesto que el número GID y el grupo privado de usuario se infieren de número UID, no está soportado tener múltiples entrada con los mismos UID o GID con esta opción. En otras palabras, habilitando esta opción se fuerza la unicidad den el espacio de ID.

false

Always use the user's primary GID number. The GID number must refer to a group object in the LDAP database.

hybrid

A primary group is autogenerated for user entries whose UID and GID numbers have the same value and at the same time the GID number does not correspond to a real group object in LDAP If the values are the same, but the primary GID in the user entry is also used by a group object, the primary GID of the user resolves to that group object.

If the UID and GID of a user are different, then the GID must correspond to a group entry, otherwise the GID is simply not resolvable.

This feature is useful for environments that wish to stop maintaining a separate group objects for the user private groups, but also wish to retain the existing user private groups.

For subdomains, the default value is False for subdomains that use assigned POSIX IDs and True for subdomains that use automatic ID-mapping.

The value of auto_private_groups can either be set per subdomains in a subsection, for example:

[domain/forest.domain/sub.domain]
auto_private_groups = false

or globally for all subdomains in the main domain section using the subdomain_inherit option:

[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false

Opciones válidas para dominios proxy.

proxy_pam_target (cadena)

El proxy de destino PAM próximo a.

Por defecto: no se fija por defecto, usted tiene que coger una configuración pam existente o crear una nueva y añadir el nombre de servicio aquí.

proxy_lib_name (cadena)

El nombre de la librería NSS para usar en los dominios proxy. Las funciones NSS buscadas dentro de la librería están el formato de _nss_$(libName)_$(function), por ejemplo _nss_files_getpwent.

proxy_fast_alias (booleano)

Cuando un usuario o grupo es buscado por nombre en el proveedor proxy, una segunda búsqueda por ID es llevada a cabo para “estandarizar” el nombre en el caso de que el nombre pedido fuera un alias. Fijando esta opción a true se causaría que SSSD lleve a cabo una búsqueda de ID desde el escondrijo por razones de rendimiento.

Predeterminado: false

proxy_max_children (entero)

Esta opción especifica el número de hijos proxy pre-bifurcados. Es útil para entornor SSSD de alta carga donde sssd puede quedarse sin espacios para hijos disponibles, lo que podría causar errores debido a las peticiones que son encoladas.

Predeterminado: 10

SSSD, con su interfaz D-Bus (see sssd-ifp(5)) es atractivo para las aplicaciones como puerta de entrada a un directorio LDAP donde se almacenan usuarios y grupos. Sin embargo, de modo distinto al tradicional despliegue SSSD donde todos los usuarios y grupos bien tienen atributos POSIX o esos atributos se pueden inferir desde los Windows SIDs, en muchos casos los usuarios y grupos en el escenario de soporte de la aplicación no tienen atributos POSIX. En lugar de establecer una sección “[domain/NAME]”, el administrador puede configurar una sección “[application/NAME]” que internamente represente un dominio con un tipo “application” que opcionalmente herede ajustes de un dominio SSSD tradicional.

Por favor advierta que el dominio de aplicación debe aún ser habilitado explícitamente en el parámetros “domains” de modo que la orden de búsqueda entre el dominio de aplicación y su dominio POSIX hermano está establecido correctamente.

Parámetros de dominio de aplicación

inherit_from (cadena)

En el dominio tipo SSSD POSIX el dominio de aplicación hereda todos los ajustes. El dominio de aplicación puede además añadir sus propios ajustes a los ajustes de aplicación que aumentan o anulan los ajustes del dominio “hermano”.

Por defecto: No definido

El siguiente ejemplo ilustra el uso de un dominio de aplicación. En este ajuste, el dominio POSIX está conectado a un servidor LDAP y se usa por el SO a través de un contestador NSS. Además, el dominio de aplicación también pide el atributo telephoneNumber, lo almacena como el atributo phone en la cache y hace al atributo phone alcanzable a través del interfaz D-Bus.

[sssd]
domains = appdom, posixdom
[ifp]
user_attributes = +phone
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/appdom]
inherit_from = posixdom
ldap_user_extra_attrs = phone:telephoneNumber

Algunas opciones usadas en la sección dominio puede ser usadas también en la sección dominio de confianza, esto es, en una sección llamada“[domain/DOMAIN_NAME/TRUSTED_DOMAIN_NAME]”. Donde DOMAIN_NAME es el dominio base real. Por favor vea los ejemplos de abajo para una explicación. Actualmente las opciones soportadas en la sección de dominio de confianza son:

ldap_search_base,

ldap_user_search_base,

ldap_group_search_base,

ldap_netgroup_search_base,

ldap_service_search_base,

ldap_sasl_mech,

ad_server,

ad_backup_server,

ad_site,

use_fully_qualified_names

Para más detalles sobre estas opciones vea su descripción individual en la página de manual.

Para permitir la autenticación con Smartcards y certificados SSSD debe ser capaz de mapear los certificados con los usuarios. Esto puede ser hecho añadiendo el certificado completo al objeto LDAP del usuario o a una anulación local. Mientras requierir el uso del certificado completo para usar la característica autenticación Smartcard de SSH (ver sss_ssh_authorizedkeys(8) para más detalles) puede ser engorroso o no siempre posible de hacer esto en el caso general donde los servicios locales usan autenticación PAM.

Para hacer que la asignación sea más flexible, se agregaron reglas de asignación y coincidencia a SSSD (ver más detalles en sss-certmap(5)).

Un regla de mapeo y coincidencia puede ser añadida a la configuración SSSD en una sección en si misma con un nombre como “[certmap/DOMAIN_NAME/RULE_NAME]”. En esta sección están permitidas las siguientes opciones:

matchrule (cadena)

Solo los certificados de la Smartcard que coincidan con esta regla serán procesados, los demás son ignorados.

Predeterminado: KRB5:<EKU>clientAuth, i.e. solo los certificados que tengan Extended Key Usage “clientAuth”

maprule (cadena)

Define como se encuentra un usuario desde un certificado dado.

Predeterminado:

•LDAP:(userCertificate;binary={cert!bin}) para proveedores basados en LDAP como “ldap”, “AD” o “ipa”.

•El RULE_NAME para el proveedor de “ficheros” que intenta encontrar un usuario con el mismo nombre.

domains (cadena)

Lista separada por comas de nombrs de dominios a los que la regla debería ser aplicada. Por defecto una regla solo es válida en el dominio configurado en sssd.conf. Si el proveedor soporta subdominios esta opción puede ser usada para añadir la regla a los subdominios también.

Predetermiado: el dominio configurado en sssd.conf

priority (entero)

Valor entero sin signo que define la prioridad de la regla. El número más alto la prioridad más baja. “0” se mantiene para la prioridad más alte mientras que “4294967295” es la más baja.

Predeterminado: la prioridad más baja

Para hacer la configuración sencilla y reducir la cantidad de opciones de configuración el proveedor de “ficheros” tiene algunas propiedades especiales:

•si maprule no está establecido el nombre RULE_NAME se asume como en del usuario coincidente

•si se usa una maprule tanto un único nombre de usuario como una plantilla como “{subject_rfc822_name.short_name}” debe ir entre llaves como e.g. “(username)” or “({subject_rfc822_name.short_name})”

•la opción “domains” es ignorada

If a special file (/var/lib/sss/pubconf/pam_preauth_available) exists SSSD's PAM module pam_sss will ask SSSD to figure out which authentication methods are available for the user trying to log in. Based on the results pam_sss will prompt the user for appropriate credentials.

With the growing number of authentication methods and the possibility that there are multiple ones for a single user the heuristic used by pam_sss to select the prompting might not be suitable for all use cases. To following options should provide a better flexibility here.

Each supported authentication method has it's own configuration sub-section under “[prompting/...]”. Currently there are:

[prompting/password]

to configure password prompting, allowed options are:

password_prompt

to change the string of the password prompt

[prompting/2fa]

to configure two-factor authentication prompting, allowed options are:

first_prompt

to change the string of the prompt for the first factor

second_prompt

to change the string of the prompt for the second factor

single_prompt

boolean value, if True there will be only a single prompt using the value of first_prompt where it is expected that both factor are entered as a single string

It is possible to add a sub-section for specific PAM services like e.g. “[prompting/password/sshd]” to individual change the prompting for this service.

1. El siguiente ejemplo muestra una configuración SSSD típica.No describe la configuración de los dominios en si mismos - vea la documentación sobre configuración de dominios para mas detalles.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

2. El siguiente ejemplo muestra la configuración de confianza IPA AD el bosque AD consta de dos dominios en una estructura padre-hijo. Supone que el dominio IPA (ipa.com) tiene confianza con el dominio AD (ad.com). ad.com tiene dominio hijo (child.ad.com). Para habilitar nombres cortos en el dominio hijo se debería usar la siguiente configuración.

[domain/ipa.com/child.ad.com]
use_fully_qualified_names = false

3. El siguiente ejemplo muestra la configuración para dos reglas de mapeo de certificado. La primera es válida para el dominio configurado “my.domain” y adicionalmente para los subdominios “your.domain” y usa el certificado completo en el filtro de búsqueda. El segundo ejemplo es válido para el dominio “files” donde se asume que el proveedor de ficheros se usa por este dominio y contiene la regla de coincidencia para el usuario local “myname”.

[certmap/my.domain/rule_name]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$
maprule = (userCertificate;binary={cert!bin})
domains = my.domain, your.domain
priority = 10
[certmap/files/myname]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$<SUBJECT>^CN=User.Name,DC=MY,DC=DOMAIN$

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

The SSSD upstream - https://pagure.io/SSSD/sssd/
06/14/2019 SSSD