Erklärungen sssd-2

chpass_provider = ldap

• Ermöglicht es Benutzern, ihr LDAP-Passwort direkt vom Client aus zu ändern. Ohne diesen Eintrag könnten Passwörter nur direkt auf dem Server verwaltet werden.

ldap_uri = _srv_

• Schaltet die Verbindung von einer festen IP-Adresse auf automatische Suche (DNS Service Discovery) um. SSSD fragt den DNS-Server nach verfügbaren LDAP-Diensten.

dns_discovery_domain = it213.int

• Gibt SSSD vor, in welcher DNS-Zone (it213.int) nach den SRV-Records für die LDAP-Server gesucht werden soll.

ldap_default_bind_dn = cn=admin,dc=it213,dc=int

• Das Dienst-Konto für SSSD. Da der LDAP-Server anonyme Abfragen oft blockiert, nutzt SSSD diesen Account, um Benutzerdaten und Sudo-Regeln auszulesen.

ldap_default_authtok = 123Start$

• Das zugehörige Passwort für den oben genannten Bind-Account, um eine autorisierte Verbindung zum Verzeichnisdienst herzustellen.

Sektion [nss]

• Diese neue Sektion konfiguriert den Name Service Switch (NSS), um die Systemperformance bei Netzwerkabfragen zu optimieren.

filter_users = root,daemon,bin,...

• Eine Liste lokaler Systembenutzer, die SSSD ignorieren soll. Dies verhindert, dass SSSD bei jeder Anfrage nach Standard-Usern (wie root) das Netzwerk belastet und das System verlangsamt.

filter_groups = root,daemon,bin,...

• Funktioniert identisch zum User-Filter, schützt aber lokale Systemgruppen (wie sudo oder audio) vor unnötigen Netzwerkabfragen.

Sektion [pam]

• Diese neue Sektion konfiguriert das Pluggable Authentication Module (PAM) für die Steuerung der Benutzeranmeldung.

offline_credentials_expiration = 2

• Legt fest, wie viele Tage sich ein Benutzer noch ohne Netzwerkverbindung (im Cache) anmelden darf. Nach 2 Tagen wird der Zugang gesperrt, bis der LDAP-Server wieder erreichbar ist.