Diese Handbuchseite beschreibt die Konfiguration von LDAP-Domains für sssd(8). Detaillierte Syntax-Informationen finden Sie im Abschnitt »DATEIFORMAT« der Handbuchseite sssd.conf(5).
Sie können SSSD so konfigurieren, dass es mehr als eine LDAP-Domain benutzt.
Das LDAP-Backend unterstützt ID-, Authentifizierungs-, Zugriffs- und Chpass-Anbieter. Falls Sie sich bei einem LDAP-Server authentifizieren möchten, wird entweder TLS/SSL oder LDAPS benötigt. sssd unterstützt keine Authentifizierung über einen unverschlüsselten Kanal. Falls der LDAP-Server nur als Identitätsanbieter benutzt wird, wird kein verschlüsselter Kanal benötigt. Weitere Informationen über die Verwendung von LDAP als Zugriffsanbieter finden Sie unter »ldap_access_filter«.
All of the common configuration options that apply to SSSD domains also apply to LDAP domains. Refer to the "DOMAIN SECTIONS" section of the sssd.conf(5) manual page for full details. Note that SSSD LDAP mapping attributes are described in the sssd-ldap-attributes(5) manual page.
ldap_uri, ldap_backup_uri (Zeichenkette)
Das Format der URI muss dem in RFC 2732 definierten Format entsprechen:
ldap[s]://<Rechner>[:Port]
Wenn Sie explizit IPv6-Adressen verwenden möchten, muss <Rechner> in eckigen Klammern [] stehen.
Beispiel: ldap://[fc00::126:25]:389
ldap_chpass_uri, ldap_chpass_backup_uri (Zeichenkette)
Um die Dienstsuche zu aktivieren, muss »ldap_chpass_dns_service_name« gesetzt sein.
Voreinstellung: leer, d.h., dass »ldap_uri« benutzt wird
ldap_search_base (Zeichenkette)
Beginnend mit SSSD 1.7.0 unterstützt SSSD mehrere Suchgrundlagen mittels der Syntax:
search_base[?Gültigkeitsbereich?[Filter][?search_base?Gültigkeitsbereich?[Filter]]*]
Der Gültigkeitsbereich kann entweder »base«, »onelevel« oder »subtree« sein.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele:
ldap_search_base = dc=example,dc=com (dies entspricht) ldap_search_base = dc=example,dc=com?subtree?
ldap_search_base = cn=host_specific,dc=Beispiel,dc=com?Unterverzeichnis?(host=Dieser_Rechner)?dc=example.com?Unterverzeichnis?
Hinweis: Mehrere Suchgrundlagen, die sich auf Objekte mit gleichem Namen beziehen, werden nicht unterstützt (zum Beispiel Gruppen mit demselben Namen in zwei unterschiedlichen Suchgrundlagen). Dies wird zu unvorhersehbarem Verhalten auf Client-Rechnern führen.
Voreinstellung: Falls nicht gesetzt, wird der Wert der Attribute »defaultNamingContext« oder »namingContexts« vom RootDSE des LDAP-Servers benutzt. Falls »defaultNamingContext« nicht existiert oder ihr Wert leer ist, wird »namingContexts« verwendet. Das Attribut »namingContexts« muss einen einzelnen Wert mit dem Domain-Namen der Suchgrundlage des LDAP-Servers haben, damit dies funktioniert. Mehrere Werte werden nicht unterstützt.
ldap_schema (Zeichenkette)
Derzeit werden vier Schematypen unterstützt:
Der Hauptunterschied zwischen diesen Schematypen besteht darin, wie Gruppenmitgliedschaften auf dem Server aufgezeichnet werden. Mit »rfc2307« werden Gruppenmitglieder nach Namen im Attribut memberUid aufgeführt. Mit »rfc2307bis« bis »IPA« werden die Gruppenmitglieder nach Domain-Namen aufgeführt und im Attribut member gespeichert. Der Schematyp »AD« setzt die Attribute passend zu den Werten von Active Directory 2008r2.
Voreinstellung: rfc2307
ldap_pwmodify_mode (string)
Two modes are currently supported:
Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.
Default: exop
ldap_default_bind_dn (Zeichenkette)
ldap_default_authtok_type (Zeichenkette)
Die beiden derzeit unterstützten Mechanismen sind:
password
obfuscated_password
Voreinstellung: password
See the sss_obfuscate(8) manual page for more information.
ldap_default_authtok (Zeichenkette)
ldap_force_upper_case_realm (Boolesch)
Voreinstellung: »false«
ldap_enumeration_refresh_timeout (Ganzzahl)
Voreinstellung: 300
ldap_purge_cache_timeout (Ganzzahl)
Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.
Voreinstellung: 0 (deaktiviert)
ldap_group_nesting_level (Ganzzahl)
Hinweis: Diese Option gibt die garantierte Tiefe verschachtelter Gruppen an, die bei Suchvorgängen verarbeitet werden soll. Dennoch können auch tiefer verschachtelte Gruppen einbezogen werden, falls bei früheren Suchvorgängen die tieferen Ebenen bereits einmal berücksichtigt wurden. Außerdem können folgende Suchvorgänge für andere Gruppen die Ergebnisse des ursprünglichen Suchvorgangs vergrößern, wenn die Suche erneut erfolgt.
If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using "id_provider=ad" it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.
Voreinstellung: 2
ldap_use_tokengroups
Default: True for AD and IPA otherwise False.
ldap_host_search_base (string)
Informationen über das Konfigurieren mehrerer Suchgrundlagen finden Sie unter »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
ldap_service_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_iphost_search_base (string)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_ipnetwork_search_base (string)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_search_timeout (Ganzzahl)
Hinweis: Diese Option ist in zukünftigen Versionen von SSSD Gegenstand von Änderungen. Sie wird wahrscheinlich an einigen Stellen durch Serien von Zeitüberschreitungspunkten für spezielle Nachschlagetypen ersetzt.
Voreinstellung: 6
ldap_enumeration_search_timeout (Ganzzahl)
Voreinstellung: 60
ldap_network_timeout (Ganzzahl)
Voreinstellung: 6
ldap_opt_timeout (Ganzzahl)
Default: 8
ldap_connection_expire_timeout (Ganzzahl)
This timeout can be extended of a random value specified by ldap_connection_expire_offset
Voreinstellung: 900 (15 Minuten)
ldap_connection_expire_offset (integer)
Voreinstellung: 0
ldap_page_size (Ganzzahl)
Voreinstellung: 1000
ldap_disable_paging (Boolesch)
Beispiel: OpenLDAP-Server, bei denen das Seitenadressierungssteuerungsmodul installiert, aber nicht aktiviert ist, werden es im RootDSE melden, sind aber nicht in der Lage, es zu benutzen.
Beispiel: 389 DS hat einen Fehler, durch den es gleichzeitig nur eine einzige Seitenadressierungssteuerung für eine einzelne Verbindung benutzen kann. Bei ausgelasteten Clients kann dies dazu führen, dass manche Anfragen abgelehnt werden.
Voreinstellung: False
ldap_disable_range_retrieval (Boolesch)
Active Directory begrenzt die Anzahl der Mitglieder, die in einem einzigen Nachschlagen mittels der MaxValRange-Richtlinie empfangen werden können (die Voreinstellung sind 1.500 Mitglieder). Falls eine Gruppe mehr Mitglieder enthält, wird die Antwort eine AD-spezifische Bereichserweiterung enthalten. Diese Option deaktiviert das Auswerten der Bereichserweiterung, daher wird es so aussehen, als ob große Gruppen keine Mitglieder hätten.
Voreinstellung: False
ldap_sasl_minssf (Ganzzahl)
Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)
ldap_sasl_maxssf (integer)
Voreinstellung: verwendet die Voreinstellungen des System (normalerweise in »ldap.conf« angegeben)
ldap_deref_threshold (Ganzzahl)
You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.
Dereferenzierendes Nachschlagen ist ein Mittel, um alle Gruppenmitglieder in einem einzigen LDAP-Aufruf abzuholen. Verschiedene LDAP-Server können unterschiedliche Methoden zum Dereferenzieren implementieren. Die derzeit unterstützten Server sind 389/RHDS, OpenLDAP und Active Directory.
Hinweis: Falls eine der Suchgrundlagen einen Suchfilter angibt, wird die Verbesserung der Leistung beim dereferenzierenden Nachschlagen ohne Rücksicht auf die Einstellung deaktiviert.
Voreinstellung: 10
ldap_tls_reqcert (Zeichenkette)
never = Der Client wird kein Server-Zertifikat prüfen oder anfordern.
allow = Das Server-Zertifikat wird angefordert. Falls kein Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird es ignoriert und die Sitzung fährt normal fort.
try = Das Server-Zertifikat wird angefordert. Falls das Zertifikat bereitgestellt wird, fährt die Sitzung normal fort. Falls ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.
demand = Das Server-Zertifikat wird angefordert. Falls kein oder ein ungültiges Zertifikat bereitgestellt wird, wird die Sitzung sofort beendet.
hard = entspricht »demand«
Voreinstellung: hard
ldap_tls_cacert (Zeichenkette)
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf
ldap_tls_cacertdir (Zeichenkette)
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf
ldap_tls_cert (Zeichenkette)
Voreinstellung: nicht gesetzt
ldap_tls_key (Zeichenkette)
Voreinstellung: nicht gesetzt
ldap_tls_cipher_suite (Zeichenkette)
Voreinstellung: verwendet OpenLDAP-Voreinstellungen, normalerweise aus /etc/openldap/ldap.conf
ldap_id_use_start_tls (Boolesch)
Voreinstellung: »false«
ldap_id_mapping (Boolesch)
Derzeit unterstützt diese Funktionalität nur das Abbilden von Active-Directory-ObjectSIDs.
Voreinstellung: »false«
ldap_min_id, ldap_max_id (integer)
Voreinstellung: nicht gesetzt (beide Optionen sind auf 0 gesetzt)
ldap_sasl_mech (Zeichenkette)
If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in sssd.conf(5) for details.
Voreinstellung: nicht gesetzt
ldap_sasl_authid (Zeichenkette)
hostname@REALM netbiosname$@REALM host/hostname@REALM *$@REALM host/*@REALM host/*
If none of them are found, the first principal in keytab is returned.
Voreinstellung Rechner/MeinRechner@BEREICH
ldap_sasl_realm (Zeichenkette)
Voreinstellung: der Wert von »krb5_realm«
ldap_sasl_canonicalize (Boolesch)
Voreinstellung: false;
ldap_krb5_keytab (Zeichenkette)
Voreinstellung: Keytab des Systems, normalerweise /etc/krb5.keytab
ldap_krb5_init_creds (Boolesch)
Voreinstellung: »true«
ldap_krb5_ticket_lifetime (Ganzzahl)
Voreinstellung: 86400 (24 Stunden)
krb5_server, krb5_backup_server (Zeichenkette)
Wenn die Dienstsuche für Schlüsselverwaltungszentralen- (KDC) oder Kpasswd-Server benutzt wird, durchsucht SSSD zuerst die DNS-Einträge, die_udp als Protokoll angeben. Falls keine gefunden werden, weicht es auf _tcp aus.
Diese Option hieß in früheren Veröffentlichungen von SSSD »krb5_kdcip«. Obwohl der alte Name einstweilen noch in Erinnerung ist, wird Anwendern geraten, ihre Konfigurationsdateien auf die Verwendung von »krb5_server« zu migrieren.
krb5_realm (Zeichenkette)
Voreinstellung: Systemvoreinstellungen, siehe /etc/krb5.conf
krb5_canonicalize (Boolesch)
Voreinstellung: »false«
krb5_use_kdcinfo (Boolesch)
Weitere Informationen über die Locator-Erweiterung finden Sie auf der Handbuchseite sssd_krb5_locator_plugin(8).
Voreinstellung: »true«
ldap_pwd_policy (Zeichenkette)
none - keine Client-seitige Abschätzung. Diese Option kann keine Server-seitigen Passwortregelwerke deaktivieren.
shadow - benutzt Attribute im Stil von shadow(5), um abzuschätzen, ob das Passwort erloschen ist.
mit_kerberos - verwendet die von MIT Kerberos benutzten Attribute, um zu bestimmen, ob das Passwort erloschen ist. Verwenden Sie »chpass_provider=krb5«, um diese Attribute zu aktualisieren, wenn das Passwort geändert wurde.
Voreinstellung: none
Hinweis: Falls serverseitig eine Passwortregel konfiguriert ist, hat diese stets Vorrang vor der mit dieser Option festgelegten Regel.
ldap_referrals (Boolesch)
Bitte beachten Sie, dass SSSD nur Verweisverfolgung unterstützt, falls es mit OpenLDAP Version 2.4.13 oder höher kompiliert wurde.
Verweisverfolgungen können in Umgebungen, die ausgiebig von ihnen Gebrauch machen, einen Leistungsnachteil erleiden, ein beachtenswertes Beispiel ist Microsoft Active Directory. Falls ihre Installation Verweisverfolgungen nicht tatsächlich benötigt, könnte diese Option auf »false« zu setzen eine merkliche Leistungsverbesserung bringen.
Voreinstellung: »true«
ldap_dns_service_name (Zeichenkette)
Voreinstellung: ldap
ldap_chpass_dns_service_name (Zeichenkette)
Voreinstellung: nicht gesetzt, d.h. Dienstsuche ist deaktiviert
ldap_chpass_update_last_change (Boolesch)
Voreinstellung: False
ldap_access_filter (Zeichenkette)
Beispiel:
access_provider = ldap ldap_access_filter = (employeeType=admin)
In diesem Beispiel wird der Zugriff auf diesen Host auf jene Benutzer beschränkt, deren employeeType-Attribut auf »admin« gesetzt ist.
Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.
Voreinstellung: leer
ldap_account_expire_policy (Zeichenkette)
Bitte beachten Sie, dass die Server-seitige Zugriffssteuerung generell empfohlen wird, d.h. der LDAP-Server sollte die Bind-Abfrage sogar dann mit einem geeigneten Fehlercode zurückweisen, wenn das Passwort korrekt ist.
Die folgenden Werte sind erlaubt:
shadow: verwendet den Wert von »ldap_user_shadow_expire«, um zu bestimmen, ob das Konto abgelaufen ist.
ad: verwendet den Wert des 32-Bit-Felds »ldap_user_ad_user_account_control« und ermöglicht den Zugriff, falls das zweite Bit nicht gesetzt ist. Falls das Attribut fehlt, wird Zugriff gewährt. Außerdem wird die Ablaufzeit des Kontos geprüft.
rhds, ipa, 389ds: verwenden den Wert von »ldap_ns_account_lock«, um zu prüfen, ob Zugriff erlaubt wird oder nicht.
nds: Die Werte von »ldap_user_nds_login_allowed_time_map«, »ldap_user_nds_login_disabled« und »ldap_user_nds_login_expiration_time« werden benutzt, um zu überprüfen, ob Zugriff gewährt wird. Falls diese Attribute fehlen, wird Zugriff erteilt. This is an experimental feature, please use https://github.com/SSSD/sssd/ to report any issues.
Bitte beachten Sie, dass die Konfigurationsoption »ldap_access_order« »expire« enthalten muss, damit die Option »ldap_account_expire_policy« funktioniert.
Voreinstellung: leer
ldap_access_order (Zeichenkette)
filter: verwendet »ldap_access_filter«.
lockout: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.
Please note that this option is superseded by the "ppolicy" option and might be removed in a future release.
ppolicy: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.
expire: verwendet »ldap_account_expire_policy«.
pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.
The difference between these options is the action taken if user password is expired: pwd_expire_policy_reject - user is denied to log in, pwd_expire_policy_warn - user is still able to log in, pwd_expire_policy_renew - user is prompted to change his password immediately.
Note If user password is expired no explicit message is prompted by SSSD.
Please note that 'access_provider = ldap' must be set for this feature to work. Also 'ldap_pwd_policy' must be set to an appropriate password policy.
authorized_service: verwendet das Attribut »authorizedService«, um zu bestimmen, ob Zugriff gewährt wird.
host: verwendet das Attribut »host«, um zu bestimmen, ob Zugriff gewährt wird.
rhost: use the rhost attribute to determine whether remote host can access
Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option
Voreinstellung: filter
Bitte beachten Sie, dass es ein Konfigurationsfehler ist, falls ein Wert mehr als einmal benutzt wird.
ldap_pwdlockout_dn (string)
Example: cn=ppolicy,ou=policies,dc=example,dc=com
Default: cn=ppolicy,ou=policies,$ldap_search_base
ldap_deref (Zeichenkette)
never: Alias werden nie dereferenziert.
searching: Alias werden auf Unterebenen des Basisobjekts dereferenziert, nicht jedoch beim Orten des Basisobjekts der Suche.
finding: Alias werden nur beim Orten des Basisobjekts der Suche dereferenziert.
always: Alias werden sowohl bei der Suche als auch beim Orten des Basisobjekts der Suche dereferenziert.
Voreinstellung: leer (Dies wird durch LDAP-Client-Bibliotheken wie never gehandhabt.)
ldap_rfc2307_fallback_to_local_users (Boolesch)
In einigen Umgebungen, in denen das Schema RFC2307 verwendet wird, werden lokale Benutzer zu Mitgliedern einer LDAP-Gruppe gemacht, indem ihre Namen dem Attribut »memberUid« hinzugefügt werden. Die eigene Stimmigkeit der Domain wird dabei kompromittiert, daher würde SSSD normalerweise »fehlende« Anwender aus den zwischengespeicherten Gruppenmitgliedschaften entfernen, sobald Nsswitch versucht, Informationen über den Anwender durch Aufrufen von getpw*() oder initgroups() abzurufen.
Diese Option greift auf das Prüfen zurück, ob auf lokale Benutzer Bezug genommen wird und speichert sie, so dass spätere Aufrufe von »initgroups() die lokalen Benutzer um zusätzliche LDAP-Gruppen erweitert werden.
Voreinstellung: »false«
wildcard_limit (integer)
At the moment, only the InfoPipe responder supports wildcard lookups.
Default: 1000 (often the size of one page)
Detaillierte Anweisungen zur Konfiguration von sudo_provider finden Sie in der Handbuchseite zu sssd-sudo(5).
ldap_sudo_full_refresh_interval (Ganzzahl)
Der Wert muss größer als ldap_sudo_smart_refresh_interval sein.
Voreinstellung: 21600 (6 Stunden)
ldap_sudo_smart_refresh_interval (Ganzzahl)
Falls vom Server keine USN-Attribute unterstützt werden, wird stattdessen das Attribut »modifyTimestamp« benutzt.
Note: the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see ldap_connection_expire_timeout).
Voreinstellung: 900 (15 Minuten)
ldap_sudo_use_host_filter (Boolesch)
Voreinstellung: »true«
ldap_sudo_hostnames (Zeichenkette)
Falls diese Option leer ist, wird SSSD versuchen, den Rechnernamen und den voll qualifizierten Domain-Namen automatisch herauszufinden.
Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.
Voreinstellung: nicht angegeben
ldap_sudo_ip (Zeichenkette)
Falls diese Option leer ist, wird SSSD versuchen, die Adressen automatisch herauszufinden.
Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.
Voreinstellung: nicht angegeben
ldap_sudo_include_netgroups (Boolesch)
Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.
Voreinstellung: »true«
ldap_sudo_include_regexp (Boolesch)
Falls ldap_sudo_use_host_filter false ist, hat diese Option keine Auswirkungen.
Diese Handbuchseite beschreibt nur das Abbilden von Attributnamen. Eine umfassende Erklärung der Sudo-bezogenen Attributsemantik finden Sie unter sudoers.ldap(5).
Some of the defaults for the parameters below are dependent on the LDAP schema.
ldap_autofs_map_master_name (Zeichenkette)
Voreinstellung: auto.master
ldap_autofs_map_object_class (Zeichenkette)
Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap
ldap_autofs_map_name (Zeichenkette)
Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName
ldap_autofs_entry_object_class (Zeichenkette)
Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount
ldap_autofs_entry_key (Zeichenkette)
Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey
ldap_autofs_entry_value (Zeichenkette)
Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation
Bitte beachten Sie, dass der Automounter beim Start nur die Master-Abbildung liest. Daher müssen Sie normalerweise, falls irgendwelche zu Autofs gehörigen Änderungen in der »sssd.conf« vorgenommen wurden, den Automounter-Daemon nach dem SSSD-Neustart ebenfalls neu starten.
These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing.
ldap_netgroup_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_user_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_group_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
If the option "ldap_use_tokengroups" is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.
ldap_sudo_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
ldap_autofs_search_base (Zeichenkette)
Syntax:
search_base[?Gültigkeitsbereich?[Filter][?Suchbasis?Gültigkeitsbereich?[Filter]]*]
Der Bereich kann entweder »base«, »onlevel« oder »subtree« sein. Die Bereiche funktionieren wie im Abschnitt 4.5.1.2 auf http://tools.ietf.org/html/rfc4511 angegeben.
Der Filter muss ein gültiger LDAP-Suchfilter, wie durch http://www.ietf.org/rfc/rfc2254.txt spezifiziert, sein.
Beispiele für diese Syntax finden Sie im Beispielabschnitt von »ldap_search_base«.
Voreinstellung: der Wert von ldap_search_base
Bitte beachten Sie, dass die Angabe von Gültigkeitsbereich oder Filter nicht beim Suchen auf einem Active-Directory-Server unterstützt wird, der möglicherweise eine große Anzahl an Ergebnissen zurückliefern und in der Antwort die Erweiterung »Range Retrieval« auslösen könnte.
Die Ausfallsicherungsfunktionalität ermöglicht es, dass Backends automatisch auf einen anderen Server wechseln, falls der aktuelle versagt.
Die Server werden als durch Kommata getrennte Liste angegeben. Um das Komma herum ist eine beliebige Anzahl von Leerzeichen erlaubt. Die Server werden in Reihenfolge der Bevorzugung aufgeführt. Die Liste kann eine beliebige Anzahl von Servern enthalten.
Von jeder Konfigurationsoption mit aktivierter Ausfallsicherung existieren zwei Varianten: primary und backup. Die Idee dahinter ist, dass Server in der Liste »primary« bevorzugt werden und nur nach »backup«-Servern gesucht wird, falls kein »primary«-Server erreichbar ist. Falls ein »backup«-Server ausgewählt wird, wird eine Dauer von 31 Sekunden bis zur Zeitüberschreitung festgelegt. Nach dieser Zeit wird SSSD periodisch versuchen, sich mit einem der primären Server zu verbinden. Ist dies erfolgreich, wird es den derzeit aktiven (»backup«-)Server ersetzen.
Der Ausfallsicherungsmechanismus unterscheidet zwischen einer Maschine und einem Dienst. Das Backend versucht zuerst, den Rechnernamen der angegebenen Maschine aufzulösen. Falls dieser Versuch scheitert, wird davon ausgegangen, dass die Maschine offline ist und sie auch für keinen anderen Dienst zur Verfügung steht. Kann der den Namen erfolgreich aufgelöst werden, versucht das Backend, sich mit einem Dienst auf dieser Maschine zu verbinden. Ist das nicht möglich, dann wird nur dieser bestimmte Dienst als offline angesehen und das Backend wechselt automatisch weiter zum nächsten. Die Maschine wird weiterhin als online betrachtet und kann immer noch für andere Dienste herangezogen werden.
Weitere Verbindungsversuche zu Maschinen oder Diensten, die als offline gekennzeichnet sind, werden erst nach einer angegebenen Zeitspanne unternommen. Diese ist derzeit hart auf 30 Sekunden codiert.
Falls es weitere Maschinen durchzuprobieren gibt, wechselt das Backend als Ganzes in den Offline-Modus und versucht dann alle 30 Sekunden, sich erneut zu verbinden.
Resolving a server to connect to can be as simple as running a single DNS query or can involve several steps, such as finding the correct site or trying out multiple host names in case some of the configured servers are not reachable. The more complex scenarios can take some time and SSSD needs to balance between providing enough time to finish the resolution process but on the other hand, not trying for too long before falling back to offline mode. If the SSSD debug logs show that the server resolution is timing out before a live server is contacted, you can consider changing the time outs.
This section lists the available tunables. Please refer to their description in the sssd.conf(5), manual page.
dns_resolver_server_timeout
Voreinstellung: 1000
dns_resolver_op_timeout
Voreinstellung: 3
dns_resolver_timeout
Voreinstellung: 6
For LDAP-based providers, the resolve operation is performed as part of an LDAP connection operation. Therefore, also the "ldap_opt_timeout>" timeout should be set to a larger value than "dns_resolver_timeout" which in turn should be set to a larger value than "dns_resolver_op_timeout" which should be larger than "dns_resolver_server_timeout".
Die Dienstsuchfunktionalität ermöglicht es Backends, automatisch mit Hilfe einer speziellen DNS-Abfrage geeignete Server zu suchen, mit denen sie sich verbinden können. Diese Funktionalität wird nicht für Datensicherungs-Server unterstützt.
Falls keine Server angegeben wurden, benutzt das Backend die Dienstsuche, um einen Server zu finden. Wahlweise kann der Benutzer sowohl feste Server-Adressen als auch die Dienstsuche durch Eingabe des speziellen Schlüsselworts »_srv_« in der Server-Liste auswählen. Die bevorzugte Reihenfolge wird verwaltet. Diese Funktionalität ist zum Beispiel nützlich, falls der Anwender es vorzieht, die Dienstsuche zu verwenden, wann immer dies möglich ist, und auf einen bestimmten Server zurückzugreifen, wenn mittels DNS keine Server gefunden werden.
Weitere Einzelheiten finden Sie in der Handbuchseite sssd.conf(5) beim Parameter »dns_discovery_domain«.
Die Abfragen geben als Protokoll üblicherweise »_tcp« an. Ausnahmen sind in der Beschreibung der entsprechenden Option dokumentiert.
Weitere Informationen über den Dienstsuchmechanismus finden Sie in RFC 2782.
Die ID-Abbildungsfunktionalität ermöglicht es SSSD, als Client eines Active Directorys zu agieren, ohne dass Administratoren Benutzerattribute erweitern müssen, damit POSIX-Attribute für Benutzer- und Gruppenkennzeichner unterstützt werden.
HINWEIS: Wenn ID-Abbildung aktiviert ist, werden die Attribute »uidNumber« und »gidNumber« ignoriert. Dies geschieht, um mögliche Konflikte zwischen automatisch und manuell zugewiesenen Werten zu vermeiden. Falls Sie manuell zugewiesene Werte benutzen müssen, müssen Sie ALLE Werte manuell zuweisen.
Bitte beachten Sie, dass die Änderung der die ID-Abbildung betreffenden Konfigurationsoptionen auch die Änderung der Benutzer- und Gruppen-IDs nach sich zieht. Momentan unterstützt SSSD die Änderung der IDs nicht, daher muss die Datenbank entfernt werden. Da auch zwischengespeicherte Passwörter in der Datenbank enthalten sind, sollte diese nur entfernt werden, während die Authentifizierungsserver erreichbar sind, anderenfalls könnten Benutzer ausgesperrt werden. Um das Passwort zwischenzuspeichern, muss eine Authentifizierung ausgeführt werden. Es reicht nicht aus, sss_cache(8) zum Löschen der Datenbank auszuführen, vielmehr sind folgende Schritte erforderlich:
Außerdem ist es ratsam, vorauszuplanen und die ID-Abbildung gründlich zu testen, da die Änderung der IDs Änderungen anderer Systemeigenschaften nach sich ziehen könnte, wie die Besitzverhältnisse von Dateien und Verzeichnissen.
Active Directory stellt für jedes Benutzer- und Gruppenobjekt im Verzeichnis eine »objectSID« bereit. Diese »objectSID« kann in Bestandteile zerlegt werden, die die Active-Directory-Domain-Identität und den relativen Bezeichner (RID) des Benutzer- oder Gruppenobjekts darstellen.
Der ID-Abbildungsalgorithmus von SSSD nimmt einen Bereich verfügbarer UIDs und teilt sie in gleich große Bestandteile, »Slices« genannt. Jeder Slice steht für den verfügbaren Speicher einer Active-Directory-Domain.
Wenn ein Benutzer- oder Gruppeneintrag für eine bestimmt Domain zum ersten Mal vorgefunden wird, reserviert der SSSD einen der verfügbaren Slices für diese Domain. Um eine Slice-Zuteilung auf verschiedenen Client-Maschinen wiederholbar zu machen, wählen wir den Slice, der auf dem folgenden Algorithmus basiert:
Die Zeichenkette durchläuft den Algorithmus Murmurhash3, um sie in einen 32-Bit-Hash-Wert umzuwandeln. Dann wird der Betrag dieses Werts mit der Gesamtzahl verfügbarer Slices genommen, um den Slice auszusuchen.
HINWEIS: Es ist möglich, dass Kollisionen zwischen dem Hash und nachfolgenden Beträgen auftreten. In diesen Situationen werden wir den nächsten verfügbaren Slice auswählen, aber es ist wahrscheinlich nicht möglich, den genau gleichen Satz von Slices auf anderen Maschinen zu reproduzieren (da die Reihenfolge, in der sie vorgefunden werden, ihren Slice bestimmt). In dieser Situtation wird empfohlen, entweder auf die Verwendung expliziter POSIX-Attribute in Active Directory zu wechseln (ID-Abbildung deaktivieren) oder eine Standard-Domain zu konfigurieren, um sicherzustellen, dass wenigstens eine immer beständig ist. Einzelheiten finden Sie unter »Konfiguration«.
Minimalkonfiguration (im Abschnitt »[domain/DOMAINNAME]«):
ldap_id_mapping = True ldap_schema = ad
The default configuration results in configuring 10,000 slices, each capable of holding up to 200,000 IDs, starting from 200,000 and going up to 2,000,200,000. This should be sufficient for most deployments.
ldap_idmap_range_min (Ganzzahl)
HINWEIS: Diese Option unterscheidet sich von »min_id«, wobei »min_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »min_id« kleiner oder gleich »ldap_idmap_range_min« sein sollte.
Voreinstellung: 200000
ldap_idmap_range_max (Ganzzahl)
HINWEIS: Diese Option unterscheidet sich von »max_id« wobei »max_id« als Filter für die Ausgabe von Anfragen an diese Domain agiert, wohingegen diese Option den Bereich der ID-Zuweisung steuert. Dies ist ein feiner Unterschied, aber es wäre ein allgemein guter Ratschlag, dass »max_id« größer oder gleich »ldap_idmap_range_max« sein sollte.
Voreinstellung: 2000200000
ldap_idmap_range_size (Ganzzahl)
HINWEIS: Der Wert dieser Option muss mindestens so groß sein wie die größte Benutzer-RID, die jemals auf dem Active-Directory-Server verwendet werden soll. Das Nachschlagen und Anmelden von Benutzern wird scheitern, wenn deren RIDs größer sind als dieser Wert.
For example, if your most recently-added Active Directory user has objectSid=S-1-5-21-2153326666-2176343378-3404031434-1107,
"ldap_idmap_range_size"
must be at least 1108 as range size is equal to maximal SID minus minimal SID plus one (e.g. 1108 = 1107 - 0 + 1).
Es ist wichtig, für spätere Erweiterungen vorauszuplanen, da die Änderung dieses Wertes zur Änderung aller ID-Abbildungen des Systems führt. Dadurch können Benutzer andere lokale IDs als vorher haben.
Voreinstellung: 200000
ldap_idmap_default_domain_sid (Zeichenkette)
Voreinstellung: nicht gesetzt
ldap_idmap_default_domain (Zeichenkette)
Voreinstellung: nicht gesetzt
ldap_idmap_autorid_compat (Boolesch)
Wenn diese Option konfiguriert wurde, werden Domains beginnend bei Slice null reserviert und gleichmäßig mit jeder zusätzlichen Domain vergrößert.
HINWEIS: Der Algorithmus ist nicht deterministisch (er hängt von der Reihenfolge ab, in der Benutzer und Gruppen abgefragt werden). Falls dieser Modus aus Kompatibilitätsgründen mit Maschinen, die Winbind ausführen, erforderlich ist, wird empfohlen, auch die Option »ldap_idmap_default_domain_sid« zu verwenden. Dies soll sicherstellen, dass mindestens eine Domain beständig für den Slice null reserviert ist.
Voreinstellung: False
ldap_idmap_helper_table_size (integer)
Note: Additional secondary slices might be generated when SID is being mapped to UNIX id and RID part of SID is out of range for secondary slices generated so far. If value of ldap_idmap_helper_table_size is equal to 0 then no additional secondary slices are generated.
Voreinstellung: 10
Fortgeschrittene Konfiguration
SSSD unterstützt das Nachschlagen der Namen sogenannter bekannter Sicherheits-IDs, die eine spezielle unveränderliche Bedeutung haben. Da generische Benutzer und Gruppen, die sich auf diese bekannten SIDs beziehen, keine Entsprechung in einer Linux/UNIX-Umgebung haben, sind für diese Objekte keine POSIX-IDs verfügbar.
Der SID-Namensraum ist in Autoritäten organisiert, die als unterschiedliche Domains betrachtet werden können. Die Autoritäten für die bekannten SIDs sind
Die mit großem Anfangsbuchstaben geschriebenen Versionen dieser Namen werden als Domainnamen verwendet, wenn der voll qualifizierte Name einer bekannten Sicherheits-ID zurückgegeben wird.
Da einige Dienstprogramme die Änderung der Sicherheits-ID-basierten Zugriffskontrollinformationen mit Hilfe des Namens ermöglichen, anstelle die Sicherheits-ID direkt zu verwenden, unterstützt SSSD die Suche nach der SID anhand des Namens ebenfalls. Um Überschneidungen zu vermeiden, können nur voll qualifizierte Namen bei der Suche nach bekannten Sicherheit-IDs verwendet werden. Daher sollten die Domainnamen "NULL AUTHORITY", "WORLD AUTHORITY", " LOCAL AUTHORITY", "CREATOR AUTHORITY", "NT AUTHORITY" und "BUILTIN" nicht als Domainnamen in sssd.conf verwendet werden.
Das folgende Beispiel geht davon aus, dass SSSD korrekt konfiguriert ist und LDAP auf eine der Domains im Abschnitt [domains] gesetzt ist.
[domain/LDAP] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true
The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.
[domain/LDAP] id_provider = ldap auth_provider = ldap access_provider = ldap ldap_access_order = lockout ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org ldap_uri = ldap://ldap.mydomain.org ldap_search_base = dc=mydomain,dc=org ldap_tls_reqcert = demand cache_credentials = true
Die Beschreibungen einiger Konfigurationsoptionen auf dieser Handbuchseite basieren auf der Handbuchseite ldap.conf(5) der Distribution OpenLDAP 2.4.
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
The SSSD upstream - https://github.com/SSSD/sssd/