Product SiteDocumentation Site

6.12.2. Настройки SSSD в ЦУС

Некоторые параметры SSSD можно установить в модуле ЦУС Аутентификация. В окне модуля Аутентификация следует нажать кнопку Настройка SSSD… откроется окно настроек SSSD:
Настройки SSSD в Alterator

Таблица 6.14. Настройки SSSD в Alterator

Настройка
Опция в файле /etc/sssd/sssd.conf
Описание
Правила применения групповых политик
ad_gpo_access_control
Определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
Доступные режимы:
  • enforced (принудительный режим) — правила управления доступом в SSSD, основанные на GPO, выполняются, ведётся логирование
  • permissived (разрешающий режим) — правила управления доступом в SSSD, основанные на GPO, не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить, как срабатывают новые правила
  • disabled (отключить) — правила управления доступом в SSSD, основанные на GPO, не логируются и не выполняются
  • default (по умолчанию) — настройка контроля доступом в SSSD, основанная на GPO, сброшена на значение по умолчанию в пакете
Игнорировать, если групповые политики не читаются
ad_gpo_ignore_unreadable
Определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
Доступные режимы:
  • enabled (включить) — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • disabled (отключить) — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • default (по умолчанию) — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кешировать учётные данные
cache-credentials
Определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кеше SSSD
Доступные режимы:
  • enabled (включить) — сохранение в локальном кеше SSSD учётных данных пользователей включено
  • disabled (отключить) — сохранение в локальном кеше SSSD учётных данных пользователей отключено
  • default (по умолчанию) — настройка сохранения в локальном кеше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Привилегии запуска SSSD
sssd-drop-privileges
Позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
Доступные режимы:
  • privileged (привилегированный) — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • unprivileged (непривилегированный) — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • default (по умолчанию) — режим привилегий службы SSSD задан по умолчанию в пакете
Интервал обновления записей DNS
dyndns_refresh_interval
Определяет как часто серверная часть должна выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, выполняемому при подключении серверной части к сети. Этот параметр применим только в том случае, если для параметра dyndns_update установлено значение true.
Доступные режимы:
  • enabled (включить) — задать интервал
  • disabled (отключить) — установить значение по умолчанию (86400)
  • unknown
TTL для клиентской записи DNS
dyndns_ttl
Срок жизни, применяемый к DNS-записи клиента при ее обновлении. Если dyndns_update имеет значение false, этот параметр не имеет никакого эффекта
Доступные режимы:
  • enabled (включить) — задать TTL
  • disabled (отключить) — установить значение по умолчанию (3600)
  • unknown
Обновлять IP-адрес машины в DNS
dyndns_update
Позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
Доступные режимы:
  • enabled (включить) — автоматическое обновление DNS-записи клиента через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS-записи клиента через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
  • unknown
Обновлять PTR-запись машины в DNS-записей
dyndns_update_ptr
Определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG) при обновлении DNS-записей клиента. Применимо, только если параметр dyndns_update имеет значение true.
Доступные режимы:
  • enabled (включить) — автоматическое обновление DNS-записи обратной зоны через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS-записи обратной зоны через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
  • unknown