Arch manual pages

SSSD.CONF(5) Filformat och konventioner SSSD.CONF(5)

sssd.conf - konfigurationsfilen för SSSD

Filen har en syntax i ini-stil och består av sektioner och parametrar. En sektion börjar med namnet på sektionen i hakparenteser och fortsätter tills nästa sektion börjar. Ett exempel på en sektion med enkla och flervärda parametrar:

[sektion]
nyckel = värde
nyckel2 = värde2,värde3
            

Datatyperna som används är sträng (inga citationstecken behövs) , heltal och bool (med värdena “TRUE/FALSE”).

En kommentarsrad börjar med ett nummertecken (“#”) eller ett semikolon (“;”). Kommentarer inom raden stödjs inte.

Alla sektioner kan valfritt ha en parameter description. Dess funktion är endast som en etikett för sektionen.

sssd.conf måste vara en normal fil, ägd av root och endast root får läsa från eller skriva till filen.

Konfigurationsfilen sssd.conf kommer inkludiera konfigurationssnuttar från include-katalogen conf.d. Denna fuktion är tillgänglig om SSSD kompilerades med version 1.3.0 eller senare av libini.

Filer lagda i conf.d som slutar med “.conf” och inte börjar med en punkt (“.”) kommer användas tillsammans med sssd.conf för att konfigurera SSSD.

Konfigurationssnuttarna från conf.d har högre prioritet än sssd.conf och kommer åsidosätta sssd.conf när konflikter uppstår. Om flera snuttar finns i conf.d inkluderas de i alfabetisk ordning (baserat på lokalen). Filer som inkluderas senare har högre prioritet. Numeriska prefix (01_snutt.conf, 02_snutt.conf etc.) kan hjälpa till att visualisera prioriteten (högre tals betyder högre prioritet).

Snuttfilerna behöver samma ägare och rättigheter som sssd.conf. Vilket som standard är root:root och 0600.

Följande flaggor är användbara i mer än en konfigurationssektion.

debug_level (heltal)
SSSD supports two representations for specifying the debug level. The simplest is to specify a decimal value from 0-9, which represents enabling that level and all lower-level debug messages. The more comprehensive option is to specify a hexadecimal bitmask to enable or disable specific levels (such as if you wish to suppress a level).

Please note that each SSSD service logs into its own log file. Also please note that enabling “debug_level” in the “[sssd]” section only enables debugging just for the sssd process itself, not for the responder or provider processes. The “debug_level” parameter should be added to all sections that you wish to produce debug logs from.

In addition to changing the log level in the config file using the “debug_level” parameter, which is persistent, but requires SSSD restart, it is also possible to change the debug level on the fly using the sss_debuglevel(8) tool.

Currently supported debug levels:

0, 0x0010: Fatal failures. Anything that would prevent SSSD from starting up or causes it to cease running.

1, 0x0020: Critical failures. An error that doesn't kill SSSD, but one that indicates that at least one major feature is not going to work properly.

2, 0x0040: Serious failures. An error announcing that a particular request or operation has failed.

3, 0x0080: Minor failures. These are the errors that would percolate down to cause the operation failure of 2.

4, 0x0100: Configuration settings.

5, 0x0200: Function data.

6, 0x0400: Trace messages for operation functions.

7, 0x1000: Trace messages for internal control functions.

8, 0x2000: Contents of function-internal variables that may be interesting.

9, 0x4000: Extremely low-level tracing information.

To log required bitmask debug levels, simply add their numbers together as shown in following examples:

Example: To log fatal failures, critical failures, serious failures and function data use 0x0270.

Example: To log fatal failures, configuration settings, function data, trace messages for internal control functions use 0x1310.

Note: The bitmask format of debug levels was introduced in 1.7.0.

Default: 0

debug (heltal)

SSSD 1.14 och senare inkluderar också aliaset debug för debug_level som en bekvämlighetsfiness. Om båda anges kommer värdet pådebug_level användas.

debug_timestamps (bool)

Lägg till en tidsstämpel till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning igoreras denna flagga.

Standard: true

debug_microseconds (bool)

Lägg till mikrosekunder till tidsstämpeln till felsökningsmeddelanden. Om journald är aktiverat för SSSD-felsökningsloggning igoreras denna flagga.

Standard: false

timeout (heltal)
Tidsgräns i sekunder mellan hjärtslag för denna tjänst. Detta används för att säkerställa att processen lever och kan svara på begäranden. Observera att efter tre missade hjärtslag kommer processen avsluta sig själv.

Standard: 10

Enskilda delar av SSSD-funktionalitet tillhandahålls av speciella SSSD-tjänster som startas och stoppas tillsammans med SSSD. Tjänsterna hanteras av en speciell tjänst som ofta kallas “monitor”. Sektionen “[sssd]” används för att konfigurerara övervakaren såväl som andra viktiga alternativ som identitetsdomänerna.

Sektionsparametrar

config_file_version (heltal)

Indikerar vilken syntaxen är i konfigurationsfilen. SSSD 0.6.0 och senare använder version 2.

services

Kommaseparerad lista av tjänster som startas när sssd själv startas. Tjänstelistan är frivillig på plattformar där systemd stödjs, eftersom de antingen kommer vara uttags- eller D-Bus-aktiverade vid behov.

Tjänster som stödjs: nss, pam , sudo , autofs , ssh , pac , ifp

Som standard är alla tjänster avaktiverade och administratören måste aktivera de tillåtna genom att köra: ”systemctl enable sssd-@service@.socket".

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörkrasch eller starta om innan de ger upp

Standard: 3

domains

En domän är en databas som innehåller användarinformation. SSSD kan använda flera domäner på samma gång, men åtminstone en måste vara konfigurerad, annars kommer inte SSSD starta. Denna parameter beskriver listan av domäner i den ordning du vill att de skall tillfrågas. Ett domännamn skall endast bestå av alfanumeriska ASCII-tecken, bindestreck, punkter och understrykningstecken.

re_expression (sträng)

Reguljärt standarduttryck som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter.

Varje domän kan ha ett eget reguljärt uttryck konfigurerat. Får några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om dessa reguljära uttryck.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Varje domän kan ha en egen formatsträng konfigurerad. Får några ID-leverantörer finns det också reguljära standarduttryck. Se DOMÄNSEKTIONER för mer information om detta alternativ.

try_inotify (boolean)

SSSD övervakar tillståndet hos resolv.conf för att identifiera när den behöver uppdatera sin interna DNS-uppslagning. Som standard kommer vi försöka använda inotify till detta, och kommer falla tillbaka på att polla resolv.conf var femte sekund om inotify inte kan användas.

Det finns vissa situationer när det är att föredra att vi skall hoppa över att ens försöka att använda inotify. I dessa sällsynta fall skall detta alternativ sättas till ”false”

Standard: true på plattformar där inotify stödjs. False på andra plattformar.

Obs: detta alternativ kommer inte ha någon effekt på plattformar där inotify inte är tillgängligt. På dessa plattformar kommer pollning alltid användas.

krb5_rcache_dir (sträng)

Katalog i filsystemet där SSSD skall spara Kerberos-cachefiler för återuppspelning.

Detta alternativ godtar ett specialvärde __LIBKRB5_DEFAULTS__ som kommer instruera SSSD att låta libkrb5 bestämma den lämpliga platsen för cachefilerna för återuppspelning.

Standard: distributionsspecifikt och anges vid byggtillfället. (__LIBKRB5_DEFAULTS__ om inte konfigurerat)

user (sträng)

Användaren att släppa privilegierna till där det är tillämpligt för att undvika att köra som användaren root. Detta alternativ fungerar vid körning som uttagsaktiverade tjänster, eftersom användaren som anges för att köra processerna anges vid kompileringstillfället. Sättet att åsidosätta systemd unit-filerna är genom att skapa de tillämpliga i /etc/systemd/system/. Kom ihåg att eventuella ändringar av uttagets användare, grupp eller rättigheter kan resultera i en oanvändbar SSSD. Samma sak kan hända vid ändring av användaren som kör NSS-respondenten.

Standard: inte angivet, processer kommer köra som root

default_domain_suffix (sträng)

Strängen kommmer användas som ett standardnamn för domänen för alla namn utan en domännamnsdel. Det huvudsakliga användningsfallet är miljöer där primärdomänen är avsedd för hantering av värdpolicyer och alla användare är placerade i en betrodd domän. Alternativet låter dessa användare att logga in med bara sitt användarnamn utan att ange ett domännamn dessutom.

Observera att om detta alternativ anges måste alla användare från den primära domänen använda sitt fullständigt kvalificerade namn, t.ex. användare@domän.namn, för att logga in. Att ange detta alternativ ändrar standardet på use_fully_qualified_names till True. Det är inte tillåtet att använda detta alternativ tillsammans med use_fully_qualified_names satt till False.

Standard: inte satt

override_space (sträng)

Denna parameter kommer ersätta blanksteg (mellanslag) med det angivna tecknet i användar- och gruppnamn, t.ex. (_). Användarnamnet "sven svensson" blir "sven_svensson" Denna funktion lades till för att hjälpa till med kompatibiliteten med skalskript som har svårigheter att hantera blanka, på grund av att det är standardfältsepearatorn i skalet.

Observera att det är ett konfigurationsfel att använda ett ersättningstecken som kan användas i användar- eller gruppnamn. Om ett namn innehåller ersättningstecknet försöker SSSD att returnera det omodifierade namnet men i allmänhet är resultatet av en uppslagning odefinierat.

Default: not set (blanka kommer inte ersättas)

certificate_verification (sträng)

Med denna parameter kan verifieringen av certifikatet justeras med en kommaseparerad lista av alternativ. Alternativ som stödjs är

no_ocsp

Avaktiverar kontroller enligt Online Certificate Status Protocol (OCSP). Detta kan behövas om OCSP-servrarna som definieras i certifikatet inte är nåbara från klienten.

no_verification

Avaktiverar helt verifiering. Detta alternativ skall endast användas för testning.

ocsp_default_responder=URL

Anger standard-OCSP-respondent som skall användas istället för den som nämns i certifikatet. URL:en måste ersättas med URL:en till standard-OCSP-respondenten t.ex. http://example.com:80/ocsp.

(NSS Version) This option must be used together with ocsp_default_responder_signing_cert.

ocsp_default_responder_signing_cert=NAMN

(NSS Version) The nickname of the cert to trust (expected) to sign the OCSP responses. The certificate with the given nickname must be available in the systems NSS database.

Detta alternativ måste anges tillsammans med ocsp_default_responder.

(OpenSSL version) This option is currently ignored. All needed certificates must be available in the PEM file given by pam_cert_db_path.

crl_file=/PATH/TO/CRL/FILE

(NSS Version) This option is ignored, please see crlutil(1) how to import a Certificate Revocation List (CRL) into a NSS database.

(OpenSSL Version) Use the Certificate Revocation List (CRL) from the given file during the verification of the certificate. The CRL must be given in PEM format, see crl(1ssl) for details.

Denna manualsida genererades för NSS-versionen.

Okända alternativ rapporteras men ignoreras.

Standard: inte satt, d.v.s begränsa inte certifikatverifieringen

disable_netlink (boolean)

SSSD-hakar in i netlink-gränssnittet för att övervaka förändringar av rutter, adresser, länkar och utlösa vissa åtgärder.

Förändringar av SSSD-tillståndet från netlink-händelser kan vara opålitliga och kan avaktiveras genom att sätta detta alternativ till ”true”

Standard: false (netlink-förändringar detekteras)

enable_files_domain (boolean)

När detta alternativ är aktiverat skjuter SSSD in en implicit domän med “id_provider=files” före några explicit konfigurerade domäner.

Standard: false

domain_resolution_order

Kommaseparerad lista av domäner och underdomäner som representerar ordningen av uppslagningar skall följa. Listan behöver inte innehålla alla möjliga domäner eftersom de saknade domänerna kommer slås upp baserat på ordningen de presenteras i i konfigurationsalternativet “domains”. Underdomäner som inte är listade som den del av “lookup_order” kommer slås upp i en slumpvis ordning för varje föräldradomän.

Observera att när detta alternativ är satt är alltid utmatningsformatet för alla kommandon helt kvalificerat även när kortnamn används för indata, för alla användare utom de som hanteras av filleverantörer. Ifall administratören vill att utdata inte skall vara fullständigt kvalificerat kan alternativet full_name_format anges som visas nedan: “full_name_format=%1$s” Kom dock ihåg att under inloggningen kanoniserar inloggningsprogram ofta användarnamnet genom att anropa getpwnam(3) som, om ett kortnamn returneras för en kvalificerad inmatning (vid försök att nå en användare som finns i flera domäner) kan dirigera om inloggningsförsöket till domänen som använder kortnamn, vilket gör att denna metod absolut inte rekommenderas i fall där användarnamn kan överlappa mellan domäner.

Standard: inte satt

Inställningar som kan användas för att konfigurera olika tjänster beskrivs i detta avsnitt. De skall ligga i sektionen [$NAME], till exempel, för tjänsten NSS skulle sektionen vara “[nss]”

Dessa alternativ kan användas för att konfigurera alla tjänster.

reconnection_retries (heltal)

Antal gånger som tjänster skall försöka återansluta i händelse av en dataleverantörkrasch eller starta om innan de ger upp

Standard: 3

fd_limit

Detta alternativ anger det maximala antalet filbeskrivare som kan öppnas på en gång av denna SSSD-process. P system där SSSD ges förmågan CAP_SYS_RESOURCE kommer detta vara en absolut inställning. På system utan denna förmåga kommer det reulterande värdet vara det lägre av detta värde och den ”hårda” gränsen i limits.conf.

Standard: 8192 (eller den ”hårda” gränsen i limits.conf)

client_idle_timeout

Detta alternativ anger antalet sekunder som en klient till en SSSD-process kan hålla fast i en filbeskrivare utan att kommunincera över den. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Tidsgränsen kan inte vara kortare än 10 sekunder. Om ett lägre värde konfigureras kommer det att justeras till 10 sekunder.

Standard: 60

offline_timeout (heltal)

När SSSD byter till frånkopplat läge, tiden före den försöker gå tillbaka till uppkopplat läge kommer öka baserat på tiden tillbringad frånkopplad. Detta värde är i sekunder och beräknas enligt följande:

offline_timeout + slumptillägg

Slumptillägget kan öka upp till 30 sekunder. Efter varje misslyckat försöka att koppla upp kalkyleras det nya intervallet om enligt följande:

nytt_intervall = gammalt_intervall⋅2 + slumptillägg

Observera att den maximala längden på varje intervall för närvarande är begränsat till en timma. Om den beräknade längden av nytt_intervall är större än en timma kommer det att tvingas tillbaka till en timma.

Standard: 60

responder_idle_timeout

Detta alternativ anger antalet sekunder som en SSSD-respondentprocess kan vara uppe utan att användas. Detta värde är begränsat för att undvika att resurserna på systemet tar slut. Det minsta acceptabla värdet för detta alternativ är 60 sekunder. Att sätta detta alternativ till 0 (noll) betyder att ingen tidsgräns kommer att sättas av respondenten. Detta alternativ har bara effekt när SSSD är byggt med stöd för systemd och när tjänster är antingen uttags- eller D-Bus-aktiverade.

Standard: 300

cache_first

Detta alternativ anger huruvida respondenten skall fråga alla cachar före den frågar dataleverantörerna.

Standard: false

Dessa alternativ kan användas för att konfigurera tjänsten Name Service Switch (NSS).

enum_cache_timeout (heltal)

Hur många sekunder skall nss_sss cacha uppräkningar (begäranden för information om alla användare)

Standard: 120

entry_cache_nowait_percentage (heltal)

Cachen över poster kan ställas in att automatiskt uppdatera poster i bakgrunden om de begärs utöver en procentsats av värdet entry_cache_timeout för domänen.

Till exempel, om domänens entry_cache_timeout är satt till 30 s och entry_cache_nowait_percentage är satt till 50 (procent) kommer poster som kommer in 15 sekunder efter den sista cacheuppdateringen returneras omedelbart, men SSSD kommer att ta och uppdatera cachen på egen hand, så att framtida begäranden kommer behöva blockera i väntan på en cacheuppdatering.

Giltiga värden för detta alternativ är 0-99 och representerar en procentsats av entry_cache_timeout för varje domän. Av prestandaskäl kommer denna procentsats aldrig reducera nowait-tidsgränser till mindre än 10 sekunder. (0 avaktiverar denna funktion)

Standard: 50

entry_negative_timeout (heltal)

Anger hur många sekunder nss_sss cachar negativa cacheträffar (det vill säga, frågor om ogiltiga databasposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

local_negative_timeout (heltal)

Anger hur många sekunder nss_sss skall hålla lokala användare och grupper i en negativ cache före den försöker slå upp dem i bakänden igen. Att ställa in alternativet till 0 avaktiverar denna funktion.

Standard: 14400 (4 timmar)

filter_users, filter_groups (sträng)

Exclude certain users or groups from being fetched from the sss NSS database. This is particularly useful for system accounts. This option can also be set per-domain or include fully-qualified names to filter only users from the particular domain or by a user principal name (UPN).

OBS: alternativet filter_groups påverkar inte arvet av nästade gruppmedlemmar, eftersom filtrering sker efter att de propagerats för att returnera via NSS. T.ex. en grupp som har en medlemsgrupp bortfiltrerad kommer fortfarande ha medlemsanvändarna i den senare listade.

Standard: root

filter_users_in_groups (bool)

Om du vill att filtrerade användare fortfarande skall vara gruppmedlemmar sätt då detta alternativ till false.

Standard: true

override_homedir (string)

Override the user's home directory. You can either provide an absolute value or a template. In the template, the following sequences are substituted:

%u

login name

%U

UID number

%d

domain name

%f

fully qualified user name (user@domain)

%l

The first letter of the login name.

%P

UPN - User Principal Name (name@REALM)

%o

The original home directory retrieved from the identity provider.

%H

The value of configure option homedir_substring.

%%

a literal '%'

Detta alternativ kan även sättas per domän.

exempel:

override_homedir = /home/%u
        

Default: Not set (SSSD will use the value retrieved from LDAP)

homedir_substring (string)

The value of this option will be used in the expansion of the override_homedir option if the template contains the format string %H. An LDAP directory entry can directly contain this template so that this option can be used to expand the home directory path for each client machine (or operating system). It can be set per-domain or globally in the [nss] section. A value specified in a domain section will override one set in the [nss] section.

Default: /home

fallback_homedir (sträng)

Ange en standardmall för en användares hemkatalog om ingen uttryckligen anges av domänens dataleverantör.

De tillgängliga värdena för detta alternativ är samma som för override_homedir.

exempel:

fallback_homedir = /home/%u
                            

Standard: inte satt (ingen ersättning för ej angivna hemkataloger)

override_shell (sträng)

Åsidosätt inloggningsskalet för alla användare. Detta alternativ går före alla andra skalalternativ om det har effekt och kan sättas antingen i sektionen [nss] eller per domän.

Standard: inte angivet (SSSD kommer använda värdet som hämtats från LDAP)

allowed_shells (sträng)

Begränsa användarskal till en av de listade värdena. Beräkningsordningen är:

1. Om skalet finns i “/etc/shells” används det.

2. Om skalet finns i listan allowed_shells men inte i “/etc/shells”, använd värdet på parametern shell_fallback.

3. Om skalet inte finns i listan allowed_shells och inte i “/etc/shells” används ett nologin-skal.

Jokertecknet (*) kan användas för att tillåta godtyckligt skal.

(*) är användbart om du vill använda shell_fallback ifall den användarens skal inte finns i “/etc/shells” och att underhålla listan över alla skal i allowed_shells skulle vara för mycket overhead.

En tom sträng som skal skickas som den är till libc.

“/etc/shells” läses bara vid uppstart av SSSD, vilket betyder att en omstart av SSSD behövs ifall ett nytt skal installeras.

Standard: inte satt. Användarens skal används automatiskt.

vetoed_shells (sträng)

Ersätt alla instanser av dessa skal med shell_fallback

shell_fallback (sträng)

Standardskalet att använda om ett tillåtet skal inte är installerat på maskinen.

Standard: /bin/sh

default_shell

Standardskalet att använda om leverantören inte returnerar något under uppslagningen. Detta alternativ kan anges globalt i sektionen [nss] eller per domän.

Standard: inte satt (Returnera NULL om inget skal är angivet och lita på att libc ersätter med något rimligt när nödvändigt, vanligen /bin/sh)

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

memcache_timeout (heltal)

Anger tiden i sekunder under vilken poster i minnescachen kommer vara giltiga. Att sätta detta alternativ till noll kommer avaktivera cachen i minnet.

Standard: 300

VARNING: att avaktivera cachen i minnet kommer ha signifikant negativ påverkan på SSSDs prestanda och skall bara användas för testning.

OBS: om miljövariabeln SSS_NSS_USE_MEMCACHE är satt till ”NO” kommer klientprogram inte använda den snabba cachen i minnet.

user_attributes (sträng)

Några av de ytterligare NSS-respondentbegäranden kan returnera fler attribut än bara de som definieras av POSIX via NSS-gränssnittet. Listan av attribut styrs av detta alternativ. Det hanteras på samma sätt som alternativet “user_attributes” för InfoPipe-respondenten (se sssd-ifp(5) för detaljer) men utan standardvärden.

För att förenkla konfigurationen kommer NSS-respondenten kontrollera InfoPipe-altenativet om det inte är satt för NSS-respondenten.

Standard: inte satt, gåtillbaka till InfoPipe-alternativet

pwfield (sträng)

Värdet som NSS-operationer som returnerar användare eller grupper kommer att returnera i fältet “password”.

Detta alternativ kan även sättas per domän.

Standard: “*” (fjärrdomäner) eller “x” (fildomänerna)

Dessa alternativ kan användas för att konfigurera tjänsten Pluggable Authentication Module (PAM).

offline_credentials_expiration (heltal)

Om autentiseringsleverantören inte är ansluten, hur länge skall vi tillåta cachade inloggningar (i dagar efter den senaste lyckade uppkopplade inloggningen).

Standard: 0 (ingen gräns)

offline_failed_login_attempts (heltal)

Om autentiseringsleverantören inte är ansluten, hur många misslyckade inloggningsförsök är tillåtna.

Standard: 0 (ingen gräns)

offline_failed_login_delay (heltal)

Tiden i minuter som måste förflyta efter att offline_failed_login_attempts har nåtts före ett nytt inloggningsförsök är möjligt.

Om satt till 0 kan inte användaren autentisera om offline_failed_login_attempts har uppnåtts. Endast en lyckad uppkopplad autentisering kan aktivera autentisering utan uppkoppling igen.

Standard: 5

pam_verbosity (heltal)

Styr vilken sorts meddelanden som visas för användaren under autentisering. Ju högre tal desto fler meddelanden visas.

För närvarande stödjs följande värden:

0: visa inte några meddelanden

1: visa endast viktiga meddelanden

2: visa informationsmeddelanden

3: visa alla meddelanden och felsökningsinformation

Standard: 1

pam_response_filter (heltal)

En kommaseparerad lista av strängar som möjliggör att ta bort (filtrera) data skickat av PAM-respondenten till pam_sss-PAM-modulen. Det finns olika sorters svar skickade till pam_sss, t.ex. meddelanden som visas för användaren eller miljövariabler som skall sättas av pam_sss.

Medan meddelanden redan kan styras med hjälp av alternativet pam_verbosity gör detta alternativ att man kan filtrera ut andra sorters svar dessutom.

För närvarande dtldjs följande filter:

ENV

Skicka inte några miljövariabler till någon tjänst.

ENV:varnamn

Skicka inte miljövariableln varnamn till någon tjänst.

ENV:varnamn:tjänst

Skicka inte miljövariabeln varnamn till tjänst.

Standard: inte satt

Example: ENV:KRB5CCNAME:sudo-i

pam_id_timeout (heltal)

För alla PAM-begäranden när SSSD är uppkopplat kommer SSSD försöka att omedelbart uppdatera cachad identitetsinformation för användaren för att se till att autentisering sker med den senaste informationen.

En fullständig PAM-konversation kan utföra flera PAM-begäranden såsom hantering av konto och öppning av en session. Detta alternativ styr (på per-klientprogrambasis) hur länge (i sekunder) vi kan cacha identitetsinformationen för att undvika överdrivna rundturer till identitetsleverantören.

Standard: 5

pam_pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Denna inställning kan åsidosättas genom att sätta pwd_expiration_warning för en viss domän.

Standard: 0

get_domains_timeout (heltal)

Anger tiden i sekunder under vilken listan av underdomäner kommer betraktas som giltiga.

Standard: 60

pam_trusted_users (sträng)

Anger den kommaseparerade listan av UID-värden eller användarnamn som tillåts köra PAM-konverteringar mot betrodda domäner. Användare som inte är inkluderade i denna lista kan endast kom åt domäner som är markerade som publika med “pam_public_domains”. Anvädarnamn slås upp till UID vid uppstart.

Standard: alla användare betraktas som betrodda som standard

Observera att UID 0 alltid tillåts komma åt PAM-respondenten även ifall den inte är i listan pam_trusted_users.

pam_public_domains (sträng)

Anger den kommaseparerade listan över domännamn som är åtkomliga även för ej betrodda användare.

Två speciella värden för alternativet pam_public_domains är definierade:

all (Ej betrodda användare tillåts komma åt alla domäner i PAM-respondenten.)

none (Ej betrodda användare tillåts inte att komma åt några domäner i PAM-respondenten.)

Standard: none

pam_account_expired_message (sträng)

Gör att det går att ange ett anpassat utgångsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

Observera: var medveten om att meddelandet endast skrivs för tjänsten SSH om inte pam_verbosity är satt till 3 (visa alla meddelanden och felsökningsinformation).

exempel:

pam_account_expired_message = Kontot är utgånget, kontakta kundtjänsten.
                            

Standard: none

pam_account_locked_message (sträng)

Gör att det går att ange ett anpassat utlåsningsmeddelande som ersätter standardmeddelandet ”åtkomst nekas”.

exempel:

pam_account_locked_message = Kontot är låst, kontakta kundtjänsten.                            

Standard: none

pam_cert_auth (bool)

Aktivera certifikatbaserad smartkortsautentisering. Eftersom detta förutsätter ytterligare kommunikation med smartkortet vilket kommer fördröja autentiseringsprocessen är detta alternativ avaktiverat som standard.

Default: False

pam_cert_db_path (sträng)

Sökvägen till certifikatdatabasen som innehåller PKCS#11-mudulerna för att komma åt smartkortet.

Standard:

•/etc/pki/nssdb (NSS-version, sökväg till en NSS-databas)

•/etc/sssd/pki/sssd_auth_ca_db.pem (OpenSSL-version, sökväg till en fil med betrodda CA-certifikat i PEM-format)

Denna manualsida genererades för NSS-versionen.

p11_child_timeout (heltal)

Hur många sekunder pam_sss kommer vänta på p11_child att avsluta.

Standard: 10

pam_app_services (sträng)

Vilken PAM-tjänster tillåts att kontakta domäner av typen “application”

Standard: inte satt

pam_p11_allowed_services (integer)

A comma-separated list of PAM service names for which it will be allowed to use Smartcards.

It is possible to add another PAM service name to the default set by using “+service_name” or to explicitly remove a PAM service name from the default set by using “-service_name”. For example, in order to replace a default PAM service name for authentication with Smartcards (e.g. “login”) with a custom PAM service name (e.g. “my_pam_service”), you would use the following configuration:

pam_p11_allowed_services = +my_pam_service, -login
                            

Default: the default set of PAM service names includes:

•login

•su

•su-l

•gdm-smartcard

•gdm-password

•kdm

•sudo

•sudo-i

•gnome-screensaver

p11_wait_for_card_timeout (integer)

If Smartcard authentication is required how many extra seconds in addition to p11_child_timeout should the PAM responder wait until a Smartcard is inserted.

Standard: 60

p11_uri (string)

PKCS#11 URI (see RFC-7512 for details) which can be used to restrict the selection of devices used for Smartcard authentication. By default SSSD's p11_child will search for a PKCS#11 slot (reader) where the 'removable' flags is set and read the certificates from the inserted token from the first slot found. If multiple readers are connected p11_uri can be used to tell p11_child to use a specific reader.

Example:

p11_uri = slot-description=My%20Smartcar%20Reader
                            

or

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
                            

To find suitable URI please check the debug output of p11_child. As an alternative the GnuTLS utility 'p11tool' with e.g. the '--list-all' will show PKCS#11 URIs as well.

Standard: none

Dessa alternativ kan användas för att konfigurera tjänsten sudo. De detaljerade instruktionerna för konfiguration av sudo(8) för att fungera med sssd(8) finns i manualsidan sssd-sudo(5).

sudo_timed (bool)

Huruvida attributen sudoNotBefore och sudoNotAfter som implementerar tidsberoende sudoers-poster skall evalueras eller inte.

Standard: false

sudo_threshold (heltal)

Maximalt antal utgångna regler som kan uppdateras på en gång. Om antalet utgångna regler är under gränsen uppdateras dessa regler med mekanismen “regeluppdatering”. Om grånsen överkrids triggas en “fullständig uppdatering” av sudo-regler istället. Detta gränsvärde gäller även IPA-sudo-kommandon och kommandugruppsökningar.

Standard: 50

Dessa alternativ kan användas för att konfigurera tjänsten autofs.

autofs_negative_timeout (heltal)

Anger hur många sekunder autofs-respondenten cachar negativa cacheträffar (det vill säga, frågor om ogiltiga mappningsposter, som sådana som inte finns) innan bakänden tillfrågas igen.

Standard: 15

Please note that the automounter only reads the master map on startup, so if any autofs-related changes are made to the sssd.conf, you typically also need to restart the automounter daemon after restarting the SSSD.

Dessa alternativ kan användas för att konfigurera tjänsten SSH.

ssh_hash_known_hosts (bool)

Huruvida värdnamn och adresser i den hanterade filen known_hosts skall göras till kontrollsummor eller inte.

Standard: true

ssh_known_hosts_timeout (heltal)

Hur många sekunder en värd behållas i den hanterade filen known_hosts efter att dess värdnycklar begärdes

Standard: 180

ssh_use_certificate_keys (bool)

Om satt till true true kommer sss_ssh_authorizedkeys returnera ssh-nycklar härledda från den publika nyckeln i X.509-certifikat även lagrade in användarposten. Se sss_ssh_authorizedkeys(1) för detaljer.

Standard: true

ca_db (sträng)

Sökväg till lagring av betrodda CA-certifikat. Alternativet används för att validera användarcertifikat före publika ssh-nycklar härleds från dem.

Standard:

•/etc/pki/nssdb (NSS-version, sökväg till en NSS-databas)

•/etc/sssd/pki/sssd_auth_ca_db.pem (OpenSSL-version, sökväg till en fil med betrodda CA-certifikat i PEM-format)

Denna manualsida genererades för NSS-versionen.

PAC-respondenten fungerar tillsammans med insticksmodulen för auktoriseringsdata för MIT Kerberos sssd_pac_plugin.so och en underdomänsleverantör. Insticksmodulen skickar PAC-data under en GSSAPI-autentisering till PAC-respondenten. Underdomänsleverantören samlar domän-SID och ID-intervall för domänen klienten går med i och från betrodda domäner från den lokala domänhanteraren. Om PAC:en är avkodad och och beräknad kommer några av följande operationer att göras:

•Om fjärranvändaren inte finns i cachen skapas den. UID:t avgörs med hjälp av SID:t, betrodda domäner kommer ha UPG:er och GID:en kommer ha samma värde som UID:t. Hemkatalogen är satt baserat på parametern subdomain_homedir. Skalet kommer vara tomt som standard, d.v.s. systemstandarden används, men kan skrivas över med parametern default_shell.

•Om det finns SID:er av grupper från domäner sssd känner till kommer användaren läggas till i dessa grupper.

Dessa alternativ kan användas för att konfigurera PAC-respondenten.

allowed_uids (sträng)

Anger den kommaseparerade listan av UID-värden eller användarnamn som tillåts använda PAC-respondenten. Användarnamn slås upp till UID:er vid uppstart.

Standard: 0 (endast root-användaren tillåts komma åt PAC-respondenten)

Observera att även om UID 0 används som standard kommer det att skrivas över av detta alternativ. Om du fortfarande vill tillåta root-användaren att komma åt PAC-respondenten, vilket man typiskt vill, måste du lägga till även 0 i listan av tillåtna UID:er.

pac_lifetime (heltal)

Livslängt på PAC-posterna i sekunder. Så länge som PAC:en är giltig kan PAC-datan användas för att avgöra gruppmedlemskap för en användare.

Standard: 300

Inspelning av sessioner fungerar tillsammans med tlog-rec-session(8), en del av paketet tlog, för att logga vad användaren ser och skriver när de är inloggade på en textterminal. Se även sssd-session-recording(5).

Dessa alternativ kan användas för att konfigurera inspelning av sessioner.

scope (sträng)

En av följande strängar anger utsträckningen för inspelning av sessioner:

”none”

Inga användare spelas in.

”some”

Användare/grupper angivna i alternativen users och groups spelas in.

”all”

Alla användare spelas in.

Standard: ”none”

users (sträng)

En kommaseparerad lista över användare vilka skall ha inspelning av sessioner aktiverat. Matchar användarnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

Default: Tomt. Matchar inte några användare.

groups (sträng)

En kommaseparerad lista över gruppmedlemmar vilka skall ha inspelning av sessioner aktiverat. Matchar gruppnamn som de returneras av NSS. D.v.s. efter eventuellt utbyte av mellanslag, ändring av skiftläge, etc.

OBSERVERA: att använda dettta alternativ (ha det satt till något) har en betydande prestandakostnad, ty varje begäran som inte cachas för en användare måste hämtas och matchas mot grupperna användaren är en medlem i.

Standard: Tom. Matchar inga grupper.

Dessa konfigurationsalternativ kan finnas i en domänkonfigurationssektion, det vill säga en sektion som heter “[domain/NAMN]”

domain_type (sträng)

Anger huruvida domänen är avsedd att användas av POSIX-kunniga klienter såsom Name SErvice Switch eller av program som inte behöver att POSIX-data finns eller genereras. Endast objekt från POSIX-domäner är tillgängliga för operativsystemets gränssnitt och verktyg.

Tillåtna värden på detta alternativ är “posix” och “application”.

POSIX-domäner kan nås av alla tjänster. Programdomäner kan endast nås från InfoPipe-respondenten (se sssd-ifp(5)) och PAM-respondenten.

OBSERVERA: Programdomänerna är för närvarande bara vältestade med “id_provider=ldap”.

För ett lätt sätt att konfigurera en icke-POSIX-DOMÄN, se avsnittet “Programdomäner”.

Standard: posix

min_id,max_id (heltal)

UID- och GID-gränser för domänen. Om en domän innehåller en post som ligger utanför dessa gränser ignoreras den.

För användare påverkar detta gränsen för den primara GID:n. Användaren kommer inte returneras till NSS om antingen UID:n eller den primära GID:n ligger utanför intervallet. För icke primära gruppmedlemskap kommer de som ligger i intervallet rapporteras som förväntat.

Dessa ID-gränser påverkar även när poster sparas till cachen, inte endast när de returneras via namn eller ID.

Standard: 1 för min_id, 0 (ingen gräns) för max_id

enumerate (bool)

Bestämmer om en domän kan räknas upp, det vill säga, huruvida domänen kan lista alla användare och grupper den innehåller. Observera att det inte är nödvändigt att aktivera uppräkning för att sekundära grupper skall visas. Denna parameter kan ha ett av följande värden:

TRUE = Användare och grupper räknas upp

FALSE = Inga uppräkningar för denna domän

Standard: FALSE

Att räkna upp en domän tvingar SSSD att hämta och lagra ALLA användar- och grupposter från fjärrservern.

Obs: att aktivera uppräkning har en måttlig påverkan på prestandan hos SSSD medan uppräkningen pågor. Det kan ta upp till flera minuter efter att SSSD startat upp för att helt fullborda uppräkningar. Under denna tid kommer enskilda begäranden om information att gå direkt till LDAP, fast det kan vara långsamt på grund av den tunga bearbetningen av uppräkningen. Att spara ett stort antal poster i cachen efter att uppräkningen är klar kan också vara CPU-intensivt eftersom medlemsskap måste beräknas om. Detta kan leda till att processen “sssd_be” blir oåtkomlig eller till och med startas om av den interna vakthunden.

Medan den första uppräkningen körs kan begäranden om den fullständiga användar- eller grupplistan returnera utan resultat tills den är färdig.

Vidare, att aktivera uppräkning kan öka tiden som behövs för att upptäcka urkoppling av nätverk, eftersom längre tidsgränser behövs för att säkerställa att uppräkningsuppslagningarna blir klara som de skall. För mer information, se manualsidorna för den specifika id-leverantören som används.

Av ovan nämnda skäl rekommenderas inte att aktivera uppräkning, särskilt i stora miljöer.

subdomain_enumerate (sträng)

Huruvida några av de automatiskt upptäckta betrodda domänerna skall räknas upp. De värden som stödjs är

all

Alla upptäckta betrodda domäner kommer räknas upp

none

Inga upptäckta betrodda domäner kommer räknas upp

Om så önskas kan en lista med en eller flera domännamn aktivera uppräkning bara för dessa betrodda domäner.

Standard: none

entry_cache_timeout (heltal)

Hur många sekunder nss_sss skall anse poster giltiga före den frågar bakänden igen

Tidsstämplarna för när cachen går ut lagras som attribut på de enskilda objekten i cachen. Därför har ändringar av tidsgränsen för cachen endast effekt för nyligen tillagda eller utgånga poster. Du skall köra verktyget sss_cache(8) för att tvinga fram en uppdatering av poster som redan har cachats.

Standard: 5400

entry_cache_user_timeout (heltal)

Hur många sekunder nss_sss skall anse användarposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_group_timeout (heltal)

Hur många sekunder nss_sss skall anse grupposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_netgroup_timeout (heltal)

Hur många sekunder nss_sss skall anse nätgruppsposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_service_timeout (heltal)

Hur många sekunder nss_sss skall anse tjänsteposter giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_sudo_timeout (heltal)

Hur många sekunder sudo skall anse regler giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_autofs_timeout (heltal)

Hur många sekunder tjänsten autofs skall anse automatmonteringskartor giltiga före den frågar bakänden igen

Standard: entry_cache_timeout

entry_cache_ssh_host_timeout (heltal)

Hur många sekunder en värds ssh-nyckel behålls efter en uppdatering. D.v.s. hur länge värdnyckeln skall cachas.

Standard: entry_cache_timeout

refresh_expired_interval (heltal)

Anger hur många sekunder SSSD måste vänta före en uppdateringuppgift startas i bakgrunden som kommer uppdatera alla utgångna eller nästan utgångna poster.

Bakgrundsuppdateringen kommer bearbeta användare, grupper och nätgrupper i cachen.

Du kan överväga att sätta detta värde till ¾ ⋅ entry_cache_timeout.

Standard: 0 (avaktiverat)

cache_credentials (bool)

Bestämmer om användarkreditiv också cachas i den lokala LDB-cachen

Användarkreditiv sparas i en SHA512-kontrollsumma, inte i klartext

Standard: FALSE

cache_credentials_minimal_first_factor_length (heltal)

Om 2-faktorautentisering (2FA) används och kreditiv skall sparas avgör detta värde den minsta längden den första autentiseringsfaktorn (långvarigt lösenord) måste ha för att sparas som en SHA512-kontrollsumma i cachen.

Detta skall undvika att de korta PIN:arna i ett PIN-baserat 2FA-arrangemang sparas i cachen vilket skulle gjort dem till lätta mål för uttömmande attacker.

Standard: 8

account_cache_expiration (heltal)

Antal dagar poster sparas i cachen efter den senaste lyckade inloggningen före de tas bort under en rensning av cachen. 0 betyder behåll för alltid. Värdet på denna parameter måste vara större än eller lika med offline_credentials_expiration.

Standard: 0 (obegränsat)

pwd_expiration_warning (heltal)

Visa en varning N dagar före lösenordet går ut.

Om noll anges tillämpas inte detta filter, d.v.s. om utgångsvarningen mottogs från bakändeserver kommer den automatiskt visas.

Observera att bakändeservern måste leverera information om utgångstiden för lösenordet. Om denna information saknas kan sssd inte visa någon varning. Dessutom måste en autentiseringsleverantör ha konfigurerats för bakänden.

Standard: 7 (Kerberos), 0 (LDAP)

id_provider (sträng)

Identifikationsleverantören som används för domänen. ID-leverantörer som stödjs är:

“proxy”: Stöd en tidigare NSS-leverantör.

“files”: FIL-leverantör. Se sssd-files(5) för mer information om hur lokala användare och grupper kan speglas in i SSSD.

“ldap”: LDAP-leverantör. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

use_fully_qualified_names (bool)

Använd det fullständinga namnet och domänen (formaterat med domänens full_name_format) som användarens inloggningsnamn rapporterat till NSS.

Om satt till TRUE måste alla begäranden till denna domän använda fullständigt kvalificerade namn. Till exempel, om använt i en domän LOKAL som innehåller en användare ”test”, skulle getent passwd test inte hitta användaren medan getent passwd test@LOKAL skulle det.

OBSERVERA: Detta alternativ har ingen effekt på nätgruppsuppslagningar på grund av deras tendens att innehålla nästlade nätgrupper utan kvalificerade namn. För nätgrupper kommer alla domäner sökas igenom när ett okvalificerat namn begärs.

Standard: FALSE (TRUE om default_domain_suffix används)

ignore_group_members (bool)

Returnera inte gruppmedlemmar för gruppuppslagningar.

Om satt till TRUE begärs inte attributet gruppmedlemsskap från ldap-servern, och gruppmedlemmar retuneras inte vid behandling av gruppuppslagningsanrop, såsom getgrnam(3) eller getgrgid(3). Som en effekt skulle “getent group $groupname” returnera den begärda gruppen som om den vore tom.

Att aktivera detta alternativ kan även göra kontroller av gruppmedlemskap hos åtkomstleverantören väsentligt snabbare, särskilt för grupper som innehåller många medlemmar.

Standard: FALSE

auth_provider (sträng)

Autenticeringsleverantören som används för domänen. Leverantörer som stödjs är:

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för Kerberosautentisering. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare autentiseringen till något annat PAM-mål.

“none” avaktiverar explicit autentisering.

Standard: “id_provider” används om det är satt och kan hantera autentiseringsbegäranden.

access_provider (sträng)

Leverantören av åtkomstkontroll för domänen. Det finns två inbyggda åtkomstleverantörer (utöver alla inkluderade in installerade bakändar). Interna specialleverantörer är:

“permit” tillåt alltid åtkomst. Det är den enda tillåtna åtkomstleverantören för en lokal domän.

“deny” neka alltid åtkomst.

“ldap” för inbyggd LDAP-autentisering. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“simple” åtkomstkontroll baserat på åtkomst- eller nekandelistor. Se sssd-simple(5) för mer information om att konfigurera åtkomstmodulen simple.

“krb5”: .k5login-baserad åtkomstkontroll. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“proxy” för att skicka vidare åtkomstkontroll till någon annam PAM-modul.

Standard: “permit”

chpass_provider (sträng)

Leverantören som skall hantera lösenordsändringar för domänen. Leverantörer av lösenordsändring som stödjs är:

“ldap” för att ändra lösenord lagrade i en LDAP-server. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“krb5” för att ändra Kerberoslösenordet. Se sssd-krb5(5) för mer information om att konfigurera Kerberos.

“ipa”: Leverantören FreeIPA och Red Hat Enterprise Identity Management. Se sssd-ipa(5) för mer information om att konfigurera FreeIPA.

“ad”: Active Directory-leverantör. Se sssd-ad(5) för mer information om att konfigurera Active Directory.

“proxy” för att skicka vidare lösenordsändringar till något annat PAM-mål.

“none” tillåter uttryckligen inte lösenordsändringar..

Standard: “auth_provider” används om det är satt och kan hantera begäranden om ändring av lösenord.

sudo_provider (sträng)

SUDO-leverantören som används för domänen. SUDO-leverantörer som stödjs är:

“ldap” för regler lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” samma som “ldap” men med standandardsinställningar för IPA.

“ad” samma som “ldap” men med standandardsinställningar för AD.

“none” avaktiverar explicit SUDO.

Standard: värdet på “id_provider” används om det är satt.

De detaljerade instruktionerna för att konfigurera sudo_provider finns i manualsidan sssd-sudo(5). Det finns många konfigurationsalternativ som kan användas för att justera beteendet. Se ”ldap_sudo_*” i sssd-ldap(5).

OBSERVERA: Sudo-regler hämtas periodiskt i bakgrunden om inte sudo-leverantören uttryckligen avaktiverats. Ange sudo_provider = None för att avatkivera all sudo-relaterad aktivitet i SSSD om du inte vill använda sudo med SSSD alls.

selinux_provider (sträng)

Leverantören som skall hantera inläsning av selinux-inställningar. Observera att denna leverantör kommer anropas direkt efter att åtkomstleverantören avslutar. Selinux-leverantörer som stödjs är:

“ipa” för att läsa in selinux-inställningar från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” tillåter uttryckligen inte att hämta selinux-inställningar.

Standard: “id_provider” används om det är satt och kan hantera begäranden om inläsning av selinux.

subdomains_provider (sträng)

Leverantören som skall hantera hämtandet av underdomäner. Detta värde skall alltid vara samma som id_provider. Underdomänleverantörer som stödjs är:

“ipa” för att läsa in en lista av underdomäner från en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa in en lista av underdomäner från en Active Directory-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” tillåter uttryckligen inte att hämta underdomäner.

Standard: värdet på “id_provider” används om det är satt.

session_provider (sträng)

Leverantören som konfigurerar och hanterar uppgifter relaterade till användarsessioner. De enda användarsessionsuppgifter som för närvarande tillhandahålls är integration med Fleet Commander, vilket fungerar endast med IPA. Sessionsleverantörer som stödjs är:

“ipa” för att utföra uppgifter relaterade till användarsessioner.

“none” utför inte någon sorts uppgifter relaterade till användarsessioner.

Standard: “id_provider” används om det är satt och kan iygäts sessionsrelaterade uppgifter.

OBSERVERA: För att denna funktion skall fungera som förväntat måste SSSD köra som ”root” och inte som den opriviligierade användaren.

autofs_provider (sträng)

Autofs-leverantören som används för domänen. Autofs-leverantörer som stödjs är:

“ldap” för att läsa mappar lagrade i LDAP. Se sssd-ldap(5) för mer information om att konfigurera LDAP.

“ipa” för att läsa mappar lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“ad” för att läsa mappar lagrade i en AD-server. Se sssd-ad(5) för mer information om att konfigurera AD-leverantören.

“none” avaktiverar explicit autofs.

Standard: värdet på “id_provider” används om det är satt.

hostid_provider (sträng)

Leverantören som används för att hämta värdidentitetsinformation. Värd-id-leverantörer som stödjs är:

“ipa” för att läsa värdidentiteter lagrade i en IPA-server. Se sssd-ipa(5) för mer information om att konfigurera IPA.

“none” avaktiverar explicit värd-id:n.

Standard: värdet på “id_provider” används om det är satt.

re_expression (sträng)

Reguljärt uttryck för denna domän som beskriver hur man skall tolka strängen som innehåller användarnamnet och domänen in i dessa komponenter. Domänen kan matcha antingen domännamnet i SSSD-konfigurationen eller, i fallet med betrodda underdomäner i IPA och Active Directory-domäner, det platta (NetBIOS) namnet på domänen.

Standard för leverantörerna AD och IPA: “(((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))” vilket tillåter tre olika stilar av användarnamn:

•användarnamn

•användarnamn@domän.namn

•domån\användarnamn

Medan de första två motsvarar det allmänna standardfallet introduceras den tredje för att tillåta enkel integration av användare från Windows-domäner.

Standard: “(?P<name>[^@]+)@?(?P<domain>[^@]*$)” vilket kan översättas till ”namnet är allting fram till tecknet “@”, sedan är domänen allting efter det”

NOTE: Some Active Directory groups, typically those used for MS Exchange contain an “@” sign in the name, which clashes with the default re_expression value for the AD and IPA providers. To support these groups, consider changing the re_expression value to: “((?P<name>.+)@(?P<domain>[^@]+$))”.

full_name_format (sträng)

Ett printf(3)-kompatibelt format som beskriver hur man sätter samman ett fullständigt kvalificerat namn från namn- och domänkomponenter.

Följande utvidgningar stödjs:

%1$s

användarnamn

%2$s

domännamn som det anges i SSSD-konfigurationsfilen.

%3$s

platt domännamn. Huvudsakligen användbart för Active Directory-domäner, både direkt konfigurerade eller hittade via IPA-förtroenden.

Standard: “%1$s@%2$s”.

lookup_family_order (sträng)

Ger möjligheten att välja föredragen adressfamilj att använda vid DNS-uppslagningar.

Värden som stödjs:

ipv4_first: Försök slå up IPv4-adresser, om det misslyckas, prova IPv6

ipv4_only: Försök endast slå upp värdnamn som IPv4-adresser.

ipv6_first: Försök slå up IPv6-adresser, om det misslyckas, prova IPv4

ipv6_only: Försök endast slå upp värdnamn som IPv6-adresser.

Standard: ipv4_first

dns_resolver_timeout (heltal)

Definierar tiden (i sekunder) att vänta på ett svar från den interna reservtjänsten före man antar att tjänsten inte kan nås. Om denna tidsgräns nås kommer domänen fortsätta att fungera i frånkopplat läge.

Se avsnittet “RESERVER” för mer information om tjänstevalet.

Standard: 6

dns_discovery_domain (sträng)

Om tjänsteupptäckt används i bakänden anger domändelen av tjänstens DNS-fråga om tjänsteupptäckt.

Standard: använd domändelen av maskinens värdnamn

override_gid (heltal)

Ersätt det primära GID-värdet med det angivna.

case_sensitive (sträng)

Treat user and group names as case sensitive. Possible option values are:

True

Skiftlägeskänsligt. Detta värde är inte giltigt för AD-leverantörer.

False

Skiftlägesokänsligt.

Preserving

Samma som False (skiftlägesokänsligt), men skiftar inte ner namn i resultaten från NSS-operationer. Observera att namnalias (och i fallet med tjänster även protokollnamn) fortfarande skiftas ner i utdata.

Standard: True (False för AD-leverantören)

subdomain_inherit (sträng)

Anger en lista av konfigurationsparametrar som skall ärvas av underdomänen. Observera att endast valda parametrar kan ärvas. För närvarande kan följande alternativ ärvas:

ignore_group_members

ldap_purge_cache_timeout

ldap_use_tokengroups

ldap_user_principal

ldap_krb5_keytab (värdet på krb5_keytab kommer användas om inte ldap_krb5_keytab sätts särskilt)

Exempel:

subdomain_inherit = ldap_purge_cache_timeout
                            

Standard: none

Observera: detta alternativ fungerar endast med leverantörerna IPA och AD.

subdomain_homedir (sträng)

Använd denna hemkatalog som standardvärde för alla underdomäner inom denna domän i IPA AD tillit. Se override_homedir för information om möjliga värden. Utöver dessa kan expansionen nedan endast användas med subdomain_homedir.

%F

platt (NetBIOS) namn på en underdomän.

Värdet kan åsidosättas av alternativet override_homedir.

Standard: /home/%d/%u

realmd_tags (sträng)

Diverse taggar lagrade av ralmd-konfigurationstjänsten för denna domän.

cached_auth_timeout (heltal)

Specifies time in seconds since last successful online authentication for which user will be authenticated using cached credentials while SSSD is in the online mode. If the credentials are incorrect, SSSD falls back to online authentication.

This option's value is inherited by all trusted domains. At the moment it is not possible to set a different value per trusted domain.

Specialvärdet 0 betyder att denna funktion är avaktiverad.

Observera att om “cached_auth_timeout” är längre än “pam_id_timeout” kan bakänden anropas för att hantera “initgroups.”

Standard: 0

auto_private_groups (sträng)

This option takes any of three available values:

true

Create user's private group unconditionally from user's UID number. The GID number is ignored in this case.

OBSERVERA: Eftersom GID-numret och användarens privata grupp härleds från UID-numret stödjs det inte att ha flera poster med samma UID- eller GID-nummer med detta alternativ. Med andra ord, att aktivera detta alternativ framtvingar unika nummer över hela ID-rymden.

false

Always use the user's primary GID number. The GID number must refer to a group object in the LDAP database.

hybrid

A primary group is autogenerated for user entries whose UID and GID numbers have the same value and at the same time the GID number does not correspond to a real group object in LDAP If the values are the same, but the primary GID in the user entry is also used by a group object, the primary GID of the user resolves to that group object.

If the UID and GID of a user are different, then the GID must correspond to a group entry, otherwise the GID is simply not resolvable.

This feature is useful for environments that wish to stop maintaining a separate group objects for the user private groups, but also wish to retain the existing user private groups.

For subdomains, the default value is False for subdomains that use assigned POSIX IDs and True for subdomains that use automatic ID-mapping.

The value of auto_private_groups can either be set per subdomains in a subsection, for example:

[domain/forest.domain/sub.domain]
auto_private_groups = false

or globally for all subdomains in the main domain section using the subdomain_inherit option:

[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false

Giltiga alternativ för proxy-domäner.

proxy_pam_target (sträng)

Proxymålet PAM är en proxy för.

Standard: inte satt som standard, du måste ta en befintlig pam-konfiguration eller skapa en ny och lägga till tjänstenamnet här.

proxy_lib_name (sträng)

Namnet på NSS-biblioteket att använda i proxy-dämenter. NSS-funktioner som letas efter i biblioteket har formen _nss_$(libName)_$(function), till exempel _nss_files_getpwent.

proxy_fast_alias (boolean)

När en användare eller grupp slås upp efter namn i proxy-leverantören görs en andra uppslagning efter ID för att "kanonisera" namnet i händelse det begärda namnet var ett alias. Att sätta detta alternativ till sant skulle få SSSD att utföra ID-uppslagningen från cachen av prestandaskäl

Standard: false

proxy_max_children (heltal)

Detta alternativ anger antalet i förhand avgrenade proxy-barn. Det är användbart för SSSD-miljöer med hög last där sssd kan få slut på tillgängliga barnfack, vilket skulle orsaka problem på grund av att begäranden skulle köas upp.

Standard: 10

SSSD, med sitt D-Bus-gränssnitt (se sssd-ifp(5)) är tilltalande för program som en portgång till en LDAP-katalog där användare och grupper lagras. Dock, tvärtemot den traditionella SSSD-installationen där alla användare och grupper antingen har POSIX-attribut eller så kan dessa attribut härledas Windows-SID:arna, har i många fall användarna och grupperna i programstödsscenariot inga POSIX-attribut. Istället för att göra en sektion “[domain/NAMN]” kan administratören skapa en sektion “[application/NAMN]” som internt representerar en domän med typen “application” och eventuellt ärver inställningar från en traditionell SSSD-domän.

Observera att programdomänen måste fortfarande uttryckligen aktiveras i parmametern “domains” så att uppslagningsordningen mellan programdomänen och dess POSIX-syskondomän sätts korrekt.

Programdomänparametrar

inherit_from (sträng)

Den SSSD-domän av POSIX-typ som programdomänen ärver alla inställningar ifrån. Programdomänen kan dessutom lägga till sina egna inställningar till programinställningarna som kompletterar eller åsidosätter “syskon”domänens inställningar.

Standard: inte satt

Följande exempel illustrerar användningen av en programdomän. I denna uppsättning är POSIX-domänen kopplad till en LDAP-server och används av OS:et via NSS-respondenten. Dessutom,begär programdomänen attributet telephoneNumber, lagrar det som attributet telefon i cachen och gör attributet telefon nåbart via D-Bus-gränssnittet.

[sssd]
domains = progdom, posixdom
[ifp]
user_attributes = +telefon
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/progdom]
inherit_from = posixdom
ldap_user_extra_attrs = telefon:telephoneNumber

Några alternativ som används i domänsektionen kan även användas i sektionen för betrodda domäner, det vill säga, i en sektion som heter “[domain/DOMÄNNAMN/NAMN_PÅ_BETRODD_DOMÄN]”. Där DOMÄNNAMN är den aktuella basdomänen som anslutits till. Se exempel nedan för förklaring. För närvarande stödda alternativ i sektionen för betrodda domäner är:

ldap_search_base,

ldap_user_search_base,

ldap_group_search_base,

ldap_netgroup_search_base,

ldap_service_search_base,

ldap_sasl_mech,

ad_server,

ad_backup_server,

ad_site,

use_fully_qualified_names

För fler detaljer om dessa alternativ se deras individuella beskrivningar i manualsidan.

To allow authentication with Smartcards and certificates SSSD must be able to map certificates to users. This can be done by adding the full certificate to the LDAP object of the user or to a local override. While using the full certificate is required to use the Smartcard authentication feature of SSH (see sss_ssh_authorizedkeys(8) for details) it might be cumbersome or not even possible to do this for the general case where local services use PAM for authentication.

To make the mapping more flexible mapping and matching rules were added to SSSD (see sss-certmap(5) for details).

A mapping and matching rule can be added to the SSSD configuration in a section on its own with a name like “[certmap/DOMAIN_NAME/RULE_NAME]”. In this section the following options are allowed:

matchrule (string)

Only certificates from the Smartcard which matches this rule will be processed, all others are ignored.

Default: KRB5:<EKU>clientAuth, i.e. only certificates which have the Extended Key Usage “clientAuth”

maprule (string)

Defines how the user is found for a given certificate.

Standard:

•LDAP:(userCertificate;binary={cert!bin}) for LDAP based providers like “ldap”, “AD” or “ipa”.

•The RULE_NAME for the “files” provider which tries to find a user with the same name.

domains (string)

Comma separated list of domain names the rule should be applied. By default a rule is only valid in the domain configured in sssd.conf. If the provider supports subdomains this option can be used to add the rule to subdomains as well.

Default: the configured domain in sssd.conf

priority (integer)

Unsigned integer value defining the priority of the rule. The higher the number the lower the priority. “0” stands for the highest priority while “4294967295” is the lowest.

Default: the lowest priority

To make the configuration simple and reduce the amount of configuration options the “files” provider has some special properties:

•if maprule is not set the RULE_NAME name is assumed to be the name of the matching user

•if a maprule is used both a single user name or a template like “{subject_rfc822_name.short_name}” must be in braces like e.g. “(username)” or “({subject_rfc822_name.short_name})”

•the “domains” option is ignored

If a special file (/var/lib/sss/pubconf/pam_preauth_available) exists SSSD's PAM module pam_sss will ask SSSD to figure out which authentication methods are available for the user trying to log in. Based on the results pam_sss will prompt the user for appropriate credentials.

With the growing number of authentication methods and the possibility that there are multiple ones for a single user the heuristic used by pam_sss to select the prompting might not be suitable for all use cases. To following options should provide a better flexibility here.

Each supported authentication method has it's own configuration sub-section under “[prompting/...]”. Currently there are:

[prompting/password]

to configure password prompting, allowed options are:

password_prompt

to change the string of the password prompt

[prompting/2fa]

to configure two-factor authentication prompting, allowed options are:

first_prompt

to change the string of the prompt for the first factor

second_prompt

to change the string of the prompt for the second factor

single_prompt

boolean value, if True there will be only a single prompt using the value of first_prompt where it is expected that both factor are entered as a single string

It is possible to add a sub-section for specific PAM services like e.g. “[prompting/password/sshd]” to individual change the prompting for this service.

1. Följande exempel visar en typisk SSSD-konfiguration. Den beskriver inte konfigurationen av själva domänerna – se dokumentationen om att konfigurera domäner för fler detaljer.

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False

2. Följande exempel visar konfigurationen av IPA AD-förtroende i en förälder-barn-struktur. Anta att IPA-domänen (ipa.se) har förtroende för AD-domänen (ad.se). ad.se har en barndomän (barn.ad.se). För att aktivera kortnamn i barndomänen skall följande konfiguration användas.

[domain/ipa.se/barn.ad.se]
use_fully_qualified_names = false

3. The following example shows the configuration for two certificate mapping rules. The first is valid for the configured domain “my.domain” and additionally for the subdomains “your.domain” and uses the full certificate in the search filter. The second example is valid for the domain “files” where it is assumed the files provider is used for this domain and contains a matching rule for the local user “myname”.

[certmap/my.domain/rule_name]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$
maprule = (userCertificate;binary={cert!bin})
domains = my.domain, your.domain
priority = 10
[certmap/files/myname]
matchrule = <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$<SUBJECT>^CN=User.Name,DC=MY,DC=DOMAIN$

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

SSSD uppströms – https://pagure.io/SSSD/sssd/
06/14/2019 SSSD