SSSD\-LDAP

Section: Dateiformate und Konventionen (5)
Updated: 07/28/2020
Page Index

NAME

sssd-ldap - SSSD LDAP-Anbieter

BESCHREIBUNG

Diese Handbuchseite beschreibt die Konfiguration von LDAP-Domains für sssd(8). Detaillierte Syntax-Informationen finden Sie im Abschnitt »DATEIFORMAT« der Handbuchseite sssd.conf(5).

Sie können SSSD so konfigurieren, dass es mehr als eine LDAP-Domain benutzt.

Das LDAP-Backend unterstützt ID-, Authentifizierungs-, Zugriffs- und Chpass-Anbieter. Falls Sie sich bei einem LDAP-Server authentifizieren möchten, wird entweder TLS/SSL oder LDAPS benötigt. sssd unterstützt keine Authentifizierung über einen unverschlüsselten Kanal. Falls der LDAP-Server nur als Identitätsanbieter benutzt wird, wird kein verschlüsselter Kanal benötigt. Weitere Informationen über die Verwendung von LDAP als Zugriffsanbieter finden Sie unter »ldap_access_filter«.

KONFIGURATIONSOPTIONEN

All of the common configuration options that apply to SSSD domains also apply to LDAP domains. Refer to the "DOMAIN SECTIONS" section of the sssd.conf(5) manual page for full details. Note that SSSD LDAP mapping attributes are described in the sssd-ldap-attributes(5) manual page.

ldap_uri, ldap_backup_uri (Zeichenkette)

gibt eine durch Kommata getrennte Liste der LDAP-Server-URIs in der Reihenfolge an, in der sich SSSD mit ihnen verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. Falls keine Option angegeben wurde, wird die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt »DIENSTSUCHE«.

Das Format der URI muss dem in RFC 2732 definierten Format entsprechen:

ldap[s]://<Rechner>[:Port]

Wenn Sie explizit IPv6-Adressen verwenden möchten, muss <Rechner> in eckigen Klammern [] stehen.

Beispiel: ldap://[fc00::126:25]:389

ldap_chpass_uri, ldap_chpass_backup_uri (Zeichenkette)

gibt eine durch Kommata getrennte Liste von URIs der LDAP-Server an, mit denen SSSD sich in dieser Reihenfolge verbinden soll, um das Passwort eines Benutzers zu ändern. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«.

Um die Dienstsuche zu aktivieren, muss »ldap_chpass_dns_service_name« gesetzt sein.

Voreinstellung: leer, d.h., dass »ldap_uri« benutzt wird

ldap_search_base (Zeichenkette)

der Standardbasis-Domain-Name, der zur Durchführung von LDAP-Benutzeraktionen benutzt wird

Beginnend mit SSSD 1.7.0 unterstützt SSSD mehrere Suchgrundlagen mittels der Syntax:

search_base[?Gültigkeitsbereich?[Filter][?search_base?Gültigkeitsbereich?[Filter]]*]

Der Gültigkeitsbereich kann entweder »base«, »onelevel« oder »subtree« sein.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele:

ldap_search_base = dc=example,dc=com (dies entspricht) ldap_search_base = dc=example,dc=com?subtree?

ldap_search_base = cn=host_specific,dc=Beispiel,dc=com?Unterverzeichnis?(host=Dieser_Rechner)?dc=example.com?Unterverzeichnis?

Hinweis: Mehrere Suchgrundlagen, die sich auf Objekte mit gleichem Namen beziehen, werden nicht unterstützt (zum Beispiel Gruppen mit demselben Namen in zwei unterschiedlichen Suchgrundlagen). Dies wird zu unvorhersehbarem Verhalten auf Client-Rechnern führen.

Voreinstellung: Falls nicht gesetzt, wird der Wert der Attribute »defaultNamingContext« oder »namingContexts« vom RootDSE des LDAP-Servers benutzt. Falls »defaultNamingContext« nicht existiert oder ihr Wert leer ist, wird »namingContexts« verwendet. Das Attribut »namingContexts« muss einen einzelnen Wert mit dem Domain-Namen der Suchgrundlage des LDAP-Servers haben, damit dies funktioniert. Mehrere Werte werden nicht unterstützt.

ldap_schema (Zeichenkette)

gibt den Schematyp an, der gerade auf dem Ziel-LDAP-Server benutzt wird. Abhängig vom ausgewählten Schema können sich die von den Servern geholten Standardattributnamen stark unterscheiden. Die Art, wie einige Attribute gehandhabt werden, kann sich ebenfalls unterscheiden.

Derzeit werden vier Schematypen unterstützt:

: • rfc2307

: • rfc2307bis

: • IPA

: • AD

Der Hauptunterschied zwischen diesen Schematypen besteht darin, wie Gruppenmitgliedschaften auf dem Server aufgezeichnet werden. Mit »rfc2307« werden Gruppenmitglieder nach Namen im Attribut memberUid aufgeführt. Mit »rfc2307bis« bis »IPA« werden die Gruppenmitglieder nach Domain-Namen aufgeführt und im Attribut member gespeichert. Der Schematyp »AD« setzt die Attribute passend zu den Werten von Active Directory 2008r2.

Voreinstellung: rfc2307

ldap_pwmodify_mode (string)

Specify the operation that is used to modify user password.

Two modes are currently supported:

: • exop - Password Modify Extended Operation (RFC 3062)

: • ldap_modify - Direct modification of userPassword (not recommended).

Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.

Default: exop

ldap_default_bind_dn (Zeichenkette)

: der Standard-Bind-Domain-Name, der zum Durchführen von LDAP-Aktionen benutzt wird

ldap_default_authtok_type (Zeichenkette)

der Typ des Authentifizierungs-Tokens des Standard-Bind-Domain-Namens

Die beiden derzeit unterstützten Mechanismen sind:

password

obfuscated_password

Voreinstellung: password

See the sss_obfuscate(8) manual page for more information.

ldap_default_authtok (Zeichenkette)

: The authentication token of the default bind DN.

ldap_force_upper_case_realm (Boolesch)

: Einige Verzeichnisserver, zum Beispiel Active Directory, könnten den Realm-Teil der UPN in Kleinbuchstaben liefern, was zum Scheitern der Authentifizierung führen kann. Setzen Sie diese Option auf einen Wert ungleich Null, falls Sie einen Realm in Großbuchstaben wünschen.
Voreinstellung: »false«

ldap_enumeration_refresh_timeout (Ganzzahl)

: gibt an, wie viele Sekunden lang SSSD warten soll, bevor es seinen Zwischenspeicher aufgezählter Datensätze aktualisiert.
Voreinstellung: 300

ldap_purge_cache_timeout (Ganzzahl)

bestimmt, wie oft der Zwischenspeicher auf inaktive Einträge überprüft wird (wie Gruppen ohne Mitglieder und Benutzer, die sich noch nie angemeldet haben) und diese entfernt werden, um Platz zu sparen.

Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.

Voreinstellung: 0 (deaktiviert)

ldap_group_nesting_level (Ganzzahl)

Falls »ldap_schema« auf ein Format gesetzt ist, das verschachtelte Gruppen (z.B. RFC2307bis) unterstützt, dann steuert diese Option, wie viele Stufen tief SSSD der Verschachtelung folgt. Diese Option hat keine Auswirkungen auf das Schema RFC2307.

Hinweis: Diese Option gibt die garantierte Tiefe verschachtelter Gruppen an, die bei Suchvorgängen verarbeitet werden soll. Dennoch können auch tiefer verschachtelte Gruppen einbezogen werden, falls bei früheren Suchvorgängen die tieferen Ebenen bereits einmal berücksichtigt wurden. Außerdem können folgende Suchvorgänge für andere Gruppen die Ergebnisse des ursprünglichen Suchvorgangs vergrößern, wenn die Suche erneut erfolgt.

If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using "id_provider=ad" it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.

Voreinstellung: 2

ldap_use_tokengroups

: Diese Optionen aktivieren oder deaktivieren die Verwendung des Token-Gruppen-Attributs, wenn »initgroup« für Benutzers des Active Directory Servers 2008 und neuere Versionen ausgeführt wird.
Default: True for AD and IPA otherwise False.

ldap_host_search_base (string)

optional, verwendet die angegebene Zeichenkette als Suchgrundlage für Rechnerobjekte

Informationen über das Konfigurieren mehrerer Suchgrundlagen finden Sie unter »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_service_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.

ldap_iphost_search_base (string)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_ipnetwork_search_base (string)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_search_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem LDAP-Suchen laufen dürfen, bevor sie abgebrochen und die zwischengespeicherten Ergebnisse zurückgegeben werden (und in den Offline-Modus gegangen wird).

Hinweis: Diese Option ist in zukünftigen Versionen von SSSD Gegenstand von Änderungen. Sie wird wahrscheinlich an einigen Stellen durch Serien von Zeitüberschreitungspunkten für spezielle Nachschlagetypen ersetzt.

Voreinstellung: 6

ldap_enumeration_search_timeout (Ganzzahl)

: gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem LDAP-Suchen nach Benutzer- und Gruppenaufzählungen laufen dürfen, bevor sie abgebrochen und die zwischengespeicherten Ergebnisse zurückgegeben werden (und in den Offline-Modus gegangen wird).
Voreinstellung: 60

ldap_network_timeout (Ganzzahl)

: gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, nach dem poll(2)/select(2) gefolgt von einem connect(2) zurückkehrt, falls keine Aktivität stattfindet.
Voreinstellung: 6

ldap_opt_timeout (Ganzzahl)

: Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also controls the timeout when communicating with the KDC in case of SASL bind, the timeout of an LDAP bind operation, password change extended operation and the StartTLS operation.
Default: 8

ldap_connection_expire_timeout (Ganzzahl)

gibt den Zeitpunkt der Zeitüberschreitung (in Sekunden) an, bis zu dem eine Verbindung zu einem LDAP-Server aufrechterhalten wird. Nach dieser Zeit wird die Verbindung erneut aufgebaut. Wird dies parallel zu SASL/GSSAPI benutzt, wird der frühere der beiden Werte (dieser Wert gegenüber der TGT-Lebensdauer) verwendet.

This timeout can be extended of a random value specified by ldap_connection_expire_offset

Voreinstellung: 900 (15 Minuten)

ldap_connection_expire_offset (integer)

: Random offset between 0 and configured value is added to ldap_connection_expire_timeout.
Voreinstellung: 0

ldap_page_size (Ganzzahl)

: gibt die Anzahl der Datensätze an, die in einer einzelnen Anfrage von LDAP empfangen werden. Einige LDAP-Server erzwingen eine Begrenzung des Maximums pro Anfrage.
Voreinstellung: 1000

ldap_disable_paging (Boolesch)

deaktiviert die Seitenadressierungssteuerung von LDAP. Diese Option sollte benutzt werden, falls der LDAP-Server meldet, dass er die LDAP-Seitenadressierungssteuerung in seinem RootDSE unterstützt, sie jedoch deaktiviert ist oder sich nicht ordnungsgemäß verhält.

Beispiel: OpenLDAP-Server, bei denen das Seitenadressierungssteuerungsmodul installiert, aber nicht aktiviert ist, werden es im RootDSE melden, sind aber nicht in der Lage, es zu benutzen.

Beispiel: 389 DS hat einen Fehler, durch den es gleichzeitig nur eine einzige Seitenadressierungssteuerung für eine einzelne Verbindung benutzen kann. Bei ausgelasteten Clients kann dies dazu führen, dass manche Anfragen abgelehnt werden.

Voreinstellung: False

ldap_disable_range_retrieval (Boolesch)

deaktiviert die Bereichsabfrage von Active Directory

Active Directory begrenzt die Anzahl der Mitglieder, die in einem einzigen Nachschlagen mittels der MaxValRange-Richtlinie empfangen werden können (die Voreinstellung sind 1.500 Mitglieder). Falls eine Gruppe mehr Mitglieder enthält, wird die Antwort eine AD-spezifische Bereichserweiterung enthalten. Diese Option deaktiviert das Auswerten der Bereichserweiterung, daher wird es so aussehen, als ob große Gruppen keine Mitglieder hätten.

Voreinstellung: False

ldap_sasl_minssf (Ganzzahl)

: Wenn mittels SASL mit einem LDAP-Server kommuniziert wird, gibt dies die mindestens nötige Sicherheitsstufe zum Herstellen der Verbindung an. Die Werte dieser Option werden durch OpenLDAP definiert.
Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

ldap_sasl_maxssf (integer)

: When communicating with an LDAP server using SASL, specify the maximal security level necessary to establish the connection. The values of this option are defined by OpenLDAP.
Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)

ldap_deref_threshold (Ganzzahl)

gibt die Anzahl der Gruppenmitglieder an, die aus dem internen Zwischenspeicher fehlen muss, um ein dereferenzierendes Nachschlagen auszulösen. Falls weniger Mitglieder fehlen, werden sie individuell nachgeschlagen.

You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.

Dereferenzierendes Nachschlagen ist ein Mittel, um alle Gruppenmitglieder in einem einzigen LDAP-Aufruf abzuholen. Verschiedene LDAP-Server können unterschiedliche Methoden zum Dereferenzieren implementieren. Die derzeit unterstützten Server sind 389/RHDS, OpenLDAP und Active Directory.

Hinweis: Falls eine der Suchgrundlagen einen Suchfilter angibt, wird die Verbesserung der Leistung beim dereferenzierenden Nachschlagen ohne Rücksicht auf die Einstellung deaktiviert.

Voreinstellung: 10

ldap_tls_reqcert (Zeichenkette)

gibt an, welche Prüfungen von Server-Zertifikaten in einer TLS-Sitzung durchgeführt werden, falls vorhanden. Dies kann in Form einer der folgenden Werte angegeben werden:

never = Der Client wird kein Server-Zertifikat prüfen oder anfordern.

allow = Das Server-Zertifikat wird angefordert. Falls kein Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird es ignoriert und die Sitzung fährt normal fort.

try = Das Server-Zertifikat wird angefordert. Falls das Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

demand = Das Server-Zertifikat wird angefordert. Falls kein oder ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.

hard = entspricht »demand«

Voreinstellung: hard

ldap_tls_cacert (Zeichenkette)

: gibt die Datei an, die Zertifikate für alle Zertifizierungstellen enthält, die sssd erkennen wird.
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_tls_cacertdir (Zeichenkette)

: gibt den Pfad eines Verzeichnisses an, das Zertifikate von Zertifizierungstellen in separaten individuellen Dateien enthält. Die Dateinamen sollen normalerweise ein Hash-Wert des Zertifikats gefolgt von ».0« sein. Falls verfügbar, kann cacertdir_rehash zum Erstellen der korrekten Namen verwendet werden.
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_tls_cert (Zeichenkette)

: gibt die Datei an, die das Zertifikat für den Schlüssel des Clients enthält.
Voreinstellung: nicht gesetzt

ldap_tls_key (Zeichenkette)

: gibt die Datei an, die den Schlüssel des Clients enthält.
Voreinstellung: nicht gesetzt

ldap_tls_cipher_suite (Zeichenkette)

: Specifies acceptable cipher suites. Typically this is a colon separated list. See ldap.conf(5) for format.
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf

ldap_id_use_start_tls (Boolesch)

: gibt an, dass die Verbindung »id_provider« auch tls benutzen muss, um den Kanal abzusichern.
Voreinstellung: »false«

ldap_id_mapping (Boolesch)

gibt an, dass SSSD versuchen soll, die Benutzer- und Gruppen-ID von den Attributen »ldap_user_objectsid« und »ldap_group_objectsid« abzubilden, statt sich auf »ldap_user_uid_number« und »ldap_group_gid_number« zu verlassen.

Derzeit unterstützt diese Funktionalität nur das Abbilden von Active-Directory-ObjectSIDs.

Voreinstellung: »false«

ldap_min_id, ldap_max_id (integer)

: Im Gegensatz zum SID-basierten ID-Abbilden, das benutzt wird, falls »ldap_id_mapping« auf »true« gesetzt ist, ist der erlaubte ID-Bereich für »ldap_user_uid_number« und »ldap_group_gid_number« offen. In einer Konfiguration mit Unter-Domains und vertrauenswürdigen Domains könnte dies zu ID-Kollisionen führen. Um Kollisionen zu vermeiden, können »ldap_min_id« und »ldap_max_id« zum Begrenzen des erlaubten Bereichs für direkt vom Server gelesene IDs verwendet werden. Unter-Domains können dann andere Bereiche zur Abbildung von IDs wählen.
Voreinstellung: nicht gesetzt (beide Optionen sind auf 0 gesetzt)

ldap_sasl_mech (Zeichenkette)

Specify the SASL mechanism to use. Currently only GSSAPI and GSS-SPNEGO are tested and supported.

If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in sssd.conf(5) for details.

Voreinstellung: nicht gesetzt

ldap_sasl_authid (Zeichenkette)

Specify the SASL authorization id to use. When GSSAPI/GSS-SPNEGO are used, this represents the Kerberos principal used for authentication to the directory. This option can either contain the full principal (for example host/myhost@EXAMPLE.COM) or just the principal name (for example host/myhost). By default, the value is not set and the following principals are used:

hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*

If none of them are found, the first principal in keytab is returned.

Voreinstellung Rechner/MeinRechner@BEREICH

ldap_sasl_realm (Zeichenkette)

: gibt den SASL-Realm an, der benutzt werden soll. Wurde diese Option nicht angegeben, ist die Voreinstellung der Wert von »krb5_realm«. Falls »ldap_sasl_authid« ebenfalls den Realm enthält, wird diese Option ignoriert.
Voreinstellung: der Wert von »krb5_realm«

ldap_sasl_canonicalize (Boolesch)

: Falls dies auf »true« gesetzt wäre, würde die LDAP-Bibliothek ein umgekehrtes Nachschlagen durchführen, um den Rechnernamen während eines SASL-Bind in eine kanonische Form zu bringen.
Voreinstellung: false;

ldap_krb5_keytab (Zeichenkette)

: Specify the keytab to use when using SASL/GSSAPI/GSS-SPNEGO.
Voreinstellung: Keytab des Systems, normalerweise /etc/krb5.keytab

ldap_krb5_init_creds (Boolesch)

: Specifies that the id_provider should init Kerberos credentials (TGT). This action is performed only if SASL is used and the mechanism selected is GSSAPI or GSS-SPNEGO.
Voreinstellung: »true«

ldap_krb5_ticket_lifetime (Ganzzahl)

: Specifies the lifetime in seconds of the TGT if GSSAPI or GSS-SPNEGO is used.
Voreinstellung: 86400 (24 Stunden)

krb5_server, krb5_backup_server (Zeichenkette)

gibt die durch Kommata getrennte Liste von IP-Adressen bzw. Rechnernamen von Kerberos-Servern in der Reihenfolge an, in der sich SSSD mit ihnen verbinden soll. Weitere Informationen über Ausfallsicherung und Redundanz finden Sie im Abschnitt »AUSFALLSICHERUNG«. An die Adressen oder Rechnernamen kann eine optionale Portnummer (der ein Doppelpunkt vorangestellt ist) angehängt werden. Falls dies leer gelassen wurde, wird die Dienstsuche aktiviert. Weitere Informationen finden Sie im Abschnitt »DIENSTSUCHE«.

Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf _tcp aus.

Diese Option hieß in früheren Veröffentlichungen von SSSD »krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von »krb5_server« zu migrieren.

krb5_realm (Zeichenkette)

: Specify the Kerberos REALM (for SASL/GSSAPI/GSS-SPNEGO auth).
Voreinstellung: Systemvoreinstellungen, siehe /etc/krb5.conf

krb5_canonicalize (Boolesch)

: gibt an, ob der Host Principal beim Verbinden mit einem LDAP-Server in eine kanonische Form gebracht werden soll. Diese Funktionalität ist mit MIT Kerberos >= 1.7 verfügbar.
Voreinstellung: »false«

krb5_use_kdcinfo (Boolesch)

gibt an, ob SSSD die Kerberos-Bibliotheken anweisen soll, welcher Realm und welche Schlüsselverwaltungszentralen (KDCs) benutzt werden sollen. Diese Option ist standardmäßig eingeschaltet. Falls Sie sie ausschalten, müssen Sie die Kerberos-Bibliothek mittels der Konfigurationsdatei krb5.conf(5) einrichten.

Weitere Informationen über die Locator-Erweiterung finden Sie auf der Handbuchseite sssd_krb5_locator_plugin(8).

Voreinstellung: »true«

ldap_pwd_policy (Zeichenkette)

wählt das Regelwerk, anhand dessen das Client-seitige Erlöschen des Passworts abgeschätzt werden soll. Die folgenden Werte sind erlaubt:

none - keine Client-seitige Abschätzung. Diese Option kann keine Server-seitigen Passwortregelwerke deaktivieren.

shadow - benutzt Attribute im Stil von shadow(5), um abzuschätzen, ob das Passwort erloschen ist.

mit_kerberos - verwendet die von MIT Kerberos benutzten Attribute, um zu bestimmen, ob das Passwort erloschen ist. Verwenden Sie »chpass_provider=krb5«, um diese Attribute zu aktualisieren, wenn das Passwort geändert wurde.

Voreinstellung: none

Hinweis: Falls serverseitig eine Passwortregel konfiguriert ist, hat diese stets Vorrang vor der mit dieser Option festgelegten Regel.

ldap_referrals (Boolesch)

gibt an, ob automatische Verweisverfolgung aktiviert werden soll.

Bitte beachten Sie, dass SSSD nur Verweisverfolgung unterstützt, falls es mit OpenLDAP Version 2.4.13 oder höher kompiliert wurde.

Verweisverfolgungen können in Umgebungen, die ausgiebig von ihnen Gebrauch machen, einen Leistungsnachteil erleiden, ein beachtenswertes Beispiel ist Microsoft Active Directory. Falls ihre Installation Verweisverfolgungen nicht tatsächlich benötigt, könnte diese Option auf »false« zu setzen eine merkliche Leistungsverbesserung bringen.

Voreinstellung: »true«

ldap_dns_service_name (Zeichenkette)

: gibt an, welcher Dienstname bei aktivierter Dienstsuche benutzt werden soll.
Voreinstellung: ldap

ldap_chpass_dns_service_name (Zeichenkette)

: gibt den Dienstnamen an, der zum Finden eines LDAP-Servers benutzt werden soll, der Passwortänderungen bei aktivierter Dienstsuche ermöglicht.
Voreinstellung: nicht gesetzt, d.h. Dienstsuche ist deaktiviert

ldap_chpass_update_last_change (Boolesch)

: gibt an, ob das Attribut »ldap_user_shadow_last_change« nach einer Passwortänderung mit Unix-Zeit geändert wird.
Voreinstellung: False

ldap_access_filter (Zeichenkette)

Falls access_provider = ldap und ldap_access_order = filter ist (Voreinstellung), dann ist diese Option obligatorisch. Sie gibt ein Suchfilterkriterium für LDAP an, dass auf den Benutzer passen muss, damit diesem Zugriff auf den Host gewährt wird. Falls access_provider = ldap und ldap_access_order = filter ist und diese Option nicht gesetzt ist, wird allen Benutzern der Zugriff verweigert. Verwenden Sie access_provider = permit, um dieses Standardverhalten zu ändern. Bitte beachten Sie, dass dieser Filter nur auf den LDAP-Benutzereintrag angewendet wird und daher die auf verschachtelten Gruppen basierende Filterung nicht funktioniert. Beispielsweise zeigt das Active-Directory-Attribut »memberOf« nur auf die unmittelbaren Eltern. Falls die Filterung basierend auf verschachtelten Gruppen erforderlich sein sollte, finden Sie genauere Anweisungen in der Handbuchseite zu sssd-simple(5).

Beispiel:

access_provider = ldap
ldap_access_filter = (employeeType=admin)

In diesem Beispiel wird der Zugriff auf diesen Host auf jene Benutzer beschränkt, deren employeeType-Attribut auf »admin« gesetzt ist.

Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.

Voreinstellung: leer

ldap_account_expire_policy (Zeichenkette)

Mit dieser Option kann eine Client-seitige Abschätzung der Zugriffssteuerungsattribute aktiviert werden.

Bitte beachten Sie, dass die Server-seitige Zugriffssteuerung generell empfohlen wird, d.h. der LDAP-Server sollte die Bind-Abfrage sogar dann mit einem geeigneten Fehlercode zurückweisen, wenn das Passwort korrekt ist.

Die folgenden Werte sind erlaubt:

shadow: verwendet den Wert von »ldap_user_shadow_expire«, um zu bestimmen, ob das Konto abgelaufen ist.

ad: verwendet den Wert des 32-Bit-Felds »ldap_user_ad_user_account_control« und ermöglicht den Zugriff, falls das zweite Bit nicht gesetzt ist. Falls das Attribut fehlt, wird Zugriff gewährt. Außerdem wird die Ablaufzeit des Kontos geprüft.

rhds, ipa, 389ds: verwenden den Wert von »ldap_ns_account_lock«, um zu prüfen, ob Zugriff erlaubt wird oder nicht.

nds: Die Werte von »ldap_user_nds_login_allowed_time_map«, »ldap_user_nds_login_disabled« und »ldap_user_nds_login_expiration_time« werden benutzt, um zu überprüfen, ob Zugriff gewährt wird. Falls diese Attribute fehlen, wird Zugriff erteilt. This is an experimental feature, please use https://github.com/SSSD/sssd/ to report any issues.

Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »expire« enthalten muss, damit die Option »ldap_account_expire_policy« funktioniert.

Voreinstellung: leer

ldap_access_order (Zeichenkette)

durch Kommata getrennte Liste von Zugriffssteuerungsoptionen. Folgende Werte sind erlaubt:

filter: verwendet »ldap_access_filter«.

lockout: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

Please note that this option is superseded by the "ppolicy" option and might be removed in a future release.

ppolicy: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.

expire: verwendet »ldap_account_expire_policy«.

pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.

The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.

Note If user password is expired no explicit message is prompted by SSSD.

Please note that 'access_provider = ldap' must be set for this feature to work. Also 'ldap_pwd_policy' must be set to an appropriate password policy.

authorized_service: verwendet das Attribut »authorizedService«, um zu bestimmen, ob Zugriff gewährt wird.

host: verwendet das Attribut »host«, um zu bestimmen, ob Zugriff gewährt wird.

rhost: use the rhost attribute to determine whether remote host can access

Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option

Voreinstellung: filter

Bitte beachten Sie, dass es ein Konfigurationsfehler ist, falls ein Wert mehr als einmal benutzt wird.

ldap_pwdlockout_dn (string)

This option specifies the DN of password policy entry on LDAP server. Please note that absence of this option in sssd.conf in case of enabled account lockout checking will yield access denied as ppolicy attributes on LDAP server cannot be checked properly.

Example: cn=ppolicy,ou=policies,dc=example,dc=com

Default: cn=ppolicy,ou=policies,$ldap_search_base

ldap_deref (Zeichenkette)

gibt an, wie Alias-Dereferenzierung bei einer Suche erledigt wird. Die folgenden Optionen sind erlaubt:

never: Alias werden nie dereferenziert.

searching: Alias werden auf Unterebenen des Basisobjekts dereferenziert, nicht jedoch beim Orten des Basisobjekts der Suche.

finding: Alias werden nur beim Orten des Basisobjekts der Suche dereferenziert.

always: Alias werden sowohl bei der Suche als auch beim Orten des Basisobjekts der Suche dereferenziert.

Voreinstellung: leer (Dies wird durch LDAP-Client-Bibliotheken wie never gehandhabt.)

ldap_rfc2307_fallback_to_local_users (Boolesch)

ermöglich, lokale Anwender als Mitglieder einer LDAP-Gruppe für Server beizubehalten, die das Schema RFC2307 benutzen.

In einigen Umgebungen, in denen das Schema RFC2307 verwendet wird, werden lokale Benutzer zu Mitgliedern einer LDAP-Gruppe gemacht, indem ihre Namen dem Attribut »memberUid« hinzugefügt werden. Die eigene Stimmigkeit der Domain wird dabei kompromittiert, daher würde SSSD normalerweise »fehlende« Anwender aus den zwischengespeicherten Gruppenmitgliedschaften entfernen, sobald Nsswitch versucht, Informationen über den Anwender durch Aufrufen von getpw*() oder initgroups() abzurufen.

Diese Option greift auf das Prüfen zurück, ob auf lokale Benutzer Bezug genommen wird und speichert sie, so dass spätere Aufrufe von »initgroups() die lokalen Benutzer um zusätzliche LDAP-Gruppen erweitert werden.

Voreinstellung: »false«

wildcard_limit (integer)

Specifies an upper limit on the number of entries that are downloaded during a wildcard lookup.

At the moment, only the InfoPipe responder supports wildcard lookups.

Default: 1000 (often the size of one page)

SUDO-OPTIONEN

Detaillierte Anweisungen zur Konfiguration von sudo_provider finden Sie in der Handbuchseite zu sssd-sudo(5).

ldap_sudo_full_refresh_interval (Ganzzahl)

wie viele Sekunden SSSD zwischen einer vollständigen Aktualisierung von Sudo-Regeln warten wird (wodurch alle auf dem Server gespeicherten Regeln heruntergeladen werden)

Der Wert muss größer als ldap_sudo_smart_refresh_interval sein.

Voreinstellung: 21600 (6 Stunden)

ldap_sudo_smart_refresh_interval (Ganzzahl)

How many seconds SSSD has to wait before executing a smart refresh of sudo rules (which downloads all rules that have USN higher than the highest server USN value that is currently known by SSSD).

Falls vom Server keine USN-Attribute unterstützt werden, wird stattdessen das Attribut »modifyTimestamp« benutzt.

Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).

Voreinstellung: 900 (15 Minuten)

ldap_sudo_use_host_filter (Boolesch)

: Falls dies auf »true« gesetzt ist, wird SSSD nur die Regeln herunterladen, die auf diese Maschine angewandt werden können (mittels der IPv4- oder IPv6-Netzwerkadressen und Rechnernamen).
Voreinstellung: »true«

ldap_sudo_hostnames (Zeichenkette)

durch Leerzeichen getrennte Listen von Rechnernamen oder voll qualifizierten Domain-Namen, die zum Filtern der Regeln benutzt werden sollen

Falls diese Option leer ist, wird SSSD versuchen, den Rechnernamen und den voll qualifizierten Domain-Namen automatisch herauszufinden.

Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

ldap_sudo_ip (Zeichenkette)

durch Kommata getrennte Liste von IPv4- oder IPv6-Rechner- beziehungsweise Netzwerkadressen, die zum Filtern der Regeln benutzt werden sollen

Falls diese Option leer ist, wird SSSD versuchen, die Adressen automatisch herauszufinden.

Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.

Voreinstellung: nicht angegeben

ldap_sudo_include_netgroups (Boolesch)

Falls dies auf »true« gesetzt ist, wird SSSD jede Regel herunterladen, die eine Netzgruppe im Attribut »sudoHost« enthält.

Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.

Voreinstellung: »true«

ldap_sudo_include_regexp (Boolesch)

Falls dies auf »true« gesetzt ist, wird SSSD jede Regel herunterladen, die einen Platzhalter im Attribut »sudoHost« enthält.

Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.

: Note
Using wildcard is an operation that is very costly to evaluate on the LDAP server side!

Voreinstellung: »false«

Diese Handbuchseite beschreibt nur das Abbilden von Attributnamen. Eine umfassende Erklärung der Sudo-bezogenen Attributsemantik finden Sie unter sudoers.ldap(5).

AUTOFS-OPTIONEN

Some of the defaults for the parameters below are dependent on the LDAP schema.

ldap_autofs_map_master_name (Zeichenkette)

: Der Name der Automount-Master-Abbildung in LDAP.
Voreinstellung: auto.master

ldap_autofs_map_object_class (Zeichenkette)

: die Objektklasse eines Automount-Abbildungseintrags in LDAP
Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap

ldap_autofs_map_name (Zeichenkette)

: der Name eines Automount-Abbildungseintrags in LDAP
Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName

ldap_autofs_entry_object_class (Zeichenkette)

: The object class of an automount entry in LDAP. The entry usually corresponds to a mount point.
Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount

ldap_autofs_entry_key (Zeichenkette)

: der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der Eintrag einem Einhängepunkt.
Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey

ldap_autofs_entry_value (Zeichenkette)

: der Schlüssel eines Automount-Eintrags in LDAP. Normalerweise entspricht der Eintrag einem Einhängepunkt.
Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation

Bitte beachten Sie, dass der Automounter beim Start nur die Master-Abbildung liest. Daher müssen Sie normalerweise, falls irgendwelche zu Autofs gehörigen Änderungen in der »sssd.conf« vorgenommen wurden, den Automounter-Daemon nach dem SSSD-Neustart ebenfalls neu starten.

ERWEITERTE OPTIONEN

These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.

ldap_netgroup_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_user_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_group_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

Note

If the option "ldap_use_tokengroups" is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.

ldap_sudo_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

ldap_autofs_search_base (Zeichenkette)

ein optionaler Basis-DN, Gültigkeitsbereich für die Suche und LDAP-Filter, um die LDAP-Suchen für diesen Attributtyp einzuschränken.

Syntax:

search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]

Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.

Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.

Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.

Voreinstellung: der Wert von ldap_search_base

AUSFALLSICHERUNG

Die Ausfallsicherungsfunktionalität ermöglicht es, dass Backends automatisch auf einen anderen Server wechseln, falls der aktuelle versagt.

AUSFALLSICHERUNGSSYNTAX

Die Server werden als durch Kommata getrennte Liste angegeben. Um das Komma herum ist eine beliebige Anzahl von Leerzeichen erlaubt. Die Server werden in Reihenfolge der Bevorzugung aufgeführt. Die Liste kann eine beliebige Anzahl von Servern enthalten.

Von jeder Konfigurationsoption mit aktivierter Ausfallsicherung existieren zwei Varianten: primary und backup. Die Idee dahinter ist, dass Server in der Liste »primary« bevorzugt werden und nur nach »backup«-Servern gesucht wird, falls kein »primary«-Server erreichbar ist. Falls ein »backup«-Server ausgewählt wird, wird eine Dauer von 31 Sekunden bis zur Zeitüberschreitung festgelegt. Nach dieser Zeit wird SSSD periodisch versuchen, sich mit einem der primären Server zu verbinden. Ist dies erfolgreich, wird es den derzeit aktiven (»backup«-)Server ersetzen.

Der Ausfallsicherungsmechanismus

Der Ausfallsicherungsmechanismus unterscheidet zwischen einer Maschine und einem Dienst. Das Backend versucht zuerst, den Rechnernamen der angegebenen Maschine aufzulösen. Falls dieser Versuch scheitert, wird davon ausgegangen, dass die Maschine offline ist und sie auch für keinen anderen Dienst zur Verfügung steht. Kann der den Namen erfolgreich aufgelöst werden, versucht das Backend, sich mit einem Dienst auf dieser Maschine zu verbinden. Ist das nicht möglich, dann wird nur dieser bestimmte Dienst als offline angesehen und das Backend wechselt automatisch weiter zum nächsten. Die Maschine wird weiterhin als online betrachtet und kann immer noch für andere Dienste herangezogen werden.

Weitere Verbindungsversuche zu Maschinen oder Diensten, die als offline gekennzeichnet sind, werden erst nach einer angegebenen Zeitspanne unternommen. Diese ist derzeit hart auf 30 Sekunden codiert.

Falls es weitere Maschinen durchzuprobieren gibt, wechselt das Backend als Ganzes in den Offline-Modus und versucht dann alle 30 Sekunden, sich erneut zu verbinden.

Failover time outs and tuning

Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.

This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.

dns_resolver_server_timeout

: Time in milliseconds that sets how long would SSSD talk to a single DNS server before trying next one.
Voreinstellung: 1000

dns_resolver_op_timeout

: Time in seconds to tell how long would SSSD try to resolve single DNS query (e.g. resolution of a hostname or an SRV record) before trying the next hostname or discovery domain.
Voreinstellung: 3

dns_resolver_timeout

: How long would SSSD try to resolve a failover service. This service resolution internally might include several steps, such as resolving DNS SRV queries or locating the site.
Voreinstellung: 6

For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the "ldap_opt_timeout>" timeout should be set to a larger value than "dns_resolver_timeout" which in turn should be set to a larger value than "dns_resolver_op_timeout" which should be larger than "dns_resolver_server_timeout".

DIENSTSUCHE

Die Dienstsuchfunktionalität ermöglicht es Backends, automatisch mit Hilfe einer speziellen DNS-Abfrage geeignete Server zu suchen, mit denen sie sich verbinden können. Diese Funktionalität wird nicht für Datensicherungs-Server unterstützt.

Konfiguration

Falls keine Server angegeben wurden, benutzt das Backend die Dienstsuche, um einen Server zu finden. Wahlweise kann der Benutzer sowohl feste Server-Adressen als auch die Dienstsuche durch Eingabe des speziellen Schlüsselworts »_srv_« in der Server-Liste auswählen. Die bevorzugte Reihenfolge wird verwaltet. Diese Funktionalität ist zum Beispiel nützlich, falls der Anwender es vorzieht, die Dienstsuche zu verwenden, wann immer dies möglich ist, und auf einen bestimmten Server zurückzugreifen, wenn mittels DNS keine Server gefunden werden.

Der Domain-Name

Weitere Einzelheiten finden Sie in der Handbuchseite sssd.conf(5) beim Parameter »dns_discovery_domain«.

Das Protokoll

Die Abfragen geben als Protokoll üblicherweise »_tcp« an. Ausnahmen sind in der Beschreibung der entsprechenden Option dokumentiert.

Siehe auch

Weitere Informationen über den Dienstsuchmechanismus finden Sie in RFC 2782.

ID-ABBILDUNG

Die ID-Abbildungsfunktionalität ermöglicht es SSSD, als Client eines Active Directorys zu agieren, ohne dass Administratoren Benutzerattribute erweitern müssen, damit POSIX-Attribute für Benutzer- und Gruppenkennzeichner unterstützt werden.

HINWEIS: Wenn ID-Abbildung aktiviert ist, werden die Attribute »uidNumber« und »gidNumber« ignoriert. Dies geschieht, um mögliche Konflikte zwischen automatisch und manuell zugewiesenen Werten zu vermeiden. Falls Sie manuell zugewiesene Werte benutzen müssen, müssen Sie ALLE Werte manuell zuweisen.

Bitte beachten Sie, dass die Änderung der die ID-Abbildung betreffenden Konfigurationsoptionen auch die Änderung der Benutzer- und Gruppen-IDs nach sich zieht. Momentan unterstützt SSSD die Änderung der IDs nicht, daher muss die Datenbank entfernt werden. Da auch zwischengespeicherte Passwörter in der Datenbank enthalten sind, sollte diese nur entfernt werden, während die Authentifizierungsserver erreichbar sind, anderenfalls könnten Benutzer ausgesperrt werden. Um das Passwort zwischenzuspeichern, muss eine Authentifizierung ausgeführt werden. Es reicht nicht aus, sss_cache(8) zum Löschen der Datenbank auszuführen, vielmehr sind folgende Schritte erforderlich:

: • Stellen Sie sicher, dass entfernte Server erreichbar sind.

: • Stoppen Sie den SSSD-Dienst.

: • Entfernen Sie die Datenbank.

: • Starten Sie den SSSD-Dienst.

Außerdem ist es ratsam, vorauszuplanen und die ID-Abbildung gründlich zu testen, da die Änderung der IDs Änderungen anderer Systemeigenschaften nach sich ziehen könnte, wie die Besitzverhältnisse von Dateien und Verzeichnissen.

Abbildungsalgorithmus

Active Directory stellt für jedes Benutzer- und Gruppenobjekt im Verzeichnis eine »objectSID« bereit. Diese »objectSID« kann in Bestandteile zerlegt werden, die die Active-Directory-Domain-Identität und den relativen Bezeichner (RID) des Benutzer- oder Gruppenobjekts darstellen.

Der ID-Abbildungsalgorithmus von SSSD nimmt einen Bereich verfügbarer UIDs und teilt sie in gleich große Bestandteile, »Slices« genannt. Jeder Slice steht für den verfügbaren Speicher einer Active-Directory-Domain.

Wenn ein Benutzer- oder Gruppeneintrag für eine bestimmt Domain zum ersten Mal vorgefunden wird, reserviert der SSSD einen der verfügbaren Slices für diese Domain. Um eine Slice-Zuteilung auf verschiedenen Client-Maschinen wiederholbar zu machen, wählen wir den Slice, der auf dem folgenden Algorithmus basiert:

Die Zeichenkette durchläuft den Algorithmus Murmurhash3, um sie in einen 32-Bit-Hash-Wert umzuwandeln. Dann wird der Betrag dieses Werts mit der Gesamtzahl verfügbarer Slices genommen, um den Slice auszusuchen.

HINWEIS: Es ist möglich, dass Kollisionen zwischen dem Hash und nachfolgenden Beträgen auftreten. In diesen Situationen werden wir den nächsten verfügbaren Slice auswählen, aber es ist wahrscheinlich nicht möglich, den genau gleichen Satz von Slices auf anderen Maschinen zu reproduzieren (da die Reihenfolge, in der sie vorgefunden werden, ihren Slice bestimmt). In dieser Situtation wird empfohlen, entweder auf die Verwendung expliziter POSIX-Attribute in Active Directory zu wechseln (ID-Abbildung deaktivieren) oder eine Standard-Domain zu konfigurieren, um sicherzustellen, dass wenigstens eine immer beständig ist. Einzelheiten finden Sie unter »Konfiguration«.

Konfiguration

Minimalkonfiguration (im Abschnitt »[domain/DOMAINNAME]«):

ldap_id_mapping = True
ldap_schema = ad

The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments.

Fortgeschrittene Konfiguration

ldap_idmap_range_min (Ganzzahl)

gibt die Untergrenze des Bereichs von POSIX-IDs an, der zum Abbilden von Active-Directory-Benutzern und Gruppen-SIDs benutzt wird.

HINWEIS: Diese Option unterscheidet sich von »min_id«, wobei »min_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »min_id« kleiner oder gleich »ldap_idmap_range_min« sein sollte.

Voreinstellung: 200000

ldap_idmap_range_max (Ganzzahl)

gibt die Obergrenze des Bereichs von POSIX-IDs an, der zum Abbilden von Active-Directory-Benutzern und Gruppen-SIDs benutzt wird.

HINWEIS: Diese Option unterscheidet sich von »max_id« wobei »max_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »max_id« größer oder gleich »ldap_idmap_range_max« sein sollte.

Voreinstellung: 2000200000

ldap_idmap_range_size (Ganzzahl)

gibt die Anzahl der für jeden Slice verfügbaren IDs an. Falls sich die Bereichsgröße nicht gleichmäßig in die minimalen und maximalen Werte teilen lässt, werden so viele komplette Slices wie möglich erstellt.

HINWEIS: Der Wert dieser Option muss mindestens so groß sein wie die größte Benutzer-RID, die jemals auf dem Active-Directory-Server verwendet werden soll. Das Nachschlagen und Anmelden von Benutzern wird scheitern, wenn deren RIDs größer sind als dieser Wert.

For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107, "ldap_idmap_range_size" must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).

Es ist wichtig, für spätere Erweiterungen vorauszuplanen, da die Änderung dieses Wertes zur Änderung aller ID-Abbildungen des Systems führt. Dadurch können Benutzer andere lokale IDs als vorher haben.

Voreinstellung: 200000

ldap_idmap_default_domain_sid (Zeichenkette)

: gibt die Domain-SID der Standard-Domain an. Dies wird sicherstellen, dass diese Domain immer dem Slice null im ID-Abbild zugeordnet wird. Dabei wird der oben beschriebene Murmurhash-Algorithmus umgangen.
Voreinstellung: nicht gesetzt

ldap_idmap_default_domain (Zeichenkette)

: gibt den Namen der Standard-Domain an.
Voreinstellung: nicht gesetzt

ldap_idmap_autorid_compat (Boolesch)

ändert das Verhalten des ID-Abbildungsalgorithmus so, dass es dem Algorithmus »idmap_autorid« von Winbind ähnlicher ist.

Wenn diese Option konfiguriert wurde, werden Domains beginnend bei Slice null reserviert und gleichmäßig mit jeder zusätzlichen Domain vergrößert.

HINWEIS: Der Algorithmus ist nicht deterministisch (er hängt von der Reihenfolge ab, in der Benutzer und Gruppen abgefragt werden). Falls dieser Modus aus Kompatibilitätsgründen mit Maschinen, die Winbind ausführen, erforderlich ist, wird empfohlen, auch die Option »ldap_idmap_default_domain_sid« zu verwenden. Dies soll sicherstellen, dass mindestens eine Domain beständig für den Slice null reserviert ist.

Voreinstellung: False

ldap_idmap_helper_table_size (integer)

Maximal number of secondary slices that is tried when performing mapping from UNIX id to SID.

Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated.

Voreinstellung: 10

Bekannte Sicherheits-IDs

SSSD unterstützt das Nachschlagen der Namen sogenannter bekannter Sicherheits-IDs, die eine spezielle unveränderliche Bedeutung haben. Da generische Benutzer und Gruppen, die sich auf diese bekannten SIDs beziehen, keine Entsprechung in einer Linux/UNIX-Umgebung haben, sind für diese Objekte keine POSIX-IDs verfügbar.

Der SID-Namensraum ist in Autoritäten organisiert, die als unterschiedliche Domains betrachtet werden können. Die Autoritäten für die bekannten SIDs sind

: • Null-Autorität (Null Authority)

: • Weltweit anerkannte Autorität (World Authority)

: • Lokale Autorität (Local Authority)

: • Ersteller-Autorität (Creator Authority)

: • NT-Autorität (NT Authority)

: • Eingebaut

Die mit großem Anfangsbuchstaben geschriebenen Versionen dieser Namen werden als Domainnamen verwendet, wenn der voll qualifizierte Name einer bekannten Sicherheits-ID zurückgegeben wird.

Da einige Dienstprogramme die Änderung der Sicherheits-ID-basierten Zugriffskontrollinformationen mit Hilfe des Namens ermöglichen, anstelle die Sicherheits-ID direkt zu verwenden, unterstützt SSSD die Suche nach der SID anhand des Namens ebenfalls. Um Überschneidungen zu vermeiden, können nur voll qualifizierte Namen bei der Suche nach bekannten Sicherheit-IDs verwendet werden. Daher sollten die Domainnamen "NULL AUTHORITY", "WORLD AUTHORITY", " LOCAL AUTHORITY", "CREATOR AUTHORITY", "NT AUTHORITY" und "BUILTIN" nicht als Domainnamen in sssd.conf verwendet werden.

BEISPIEL

Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert ist und LDAP auf eine der Domains im Abschnitt [domains] gesetzt ist.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

LDAP ACCESS FILTER EXAMPLE

The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true

ANMERKUNGEN

Die Beschreibungen einiger Konfigurationsoptionen auf dieser Handbuchseite basieren auf der Handbuchseite ldap.conf(5) der Distribution OpenLDAP 2.4.

SIEHE AUCH

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)

AUTHORS

The SSSD upstream - https://github.com/SSSD/sssd/