Erklärungen sssd-2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „[sssd] config_file_version = 2 services = nss, pam, sudo domains = it213.int [domain/it213.int] id_provider = ldap auth_provider = ldap <span style="c…“)
 
 
Zeile 1: Zeile 1:
[sssd]
+
== chpass_provider = ldap ==
config_file_version = 2
+
* Ermöglicht es Benutzern, ihr LDAP-Passwort direkt vom Client aus zu ändern. Ohne diesen Eintrag könnten Passwörter nur direkt auf dem Server verwaltet werden.
services = nss, pam, sudo
+
 
domains = it213.int
+
== ldap_uri = _srv_ ==
+
* Schaltet die Verbindung von einer festen IP-Adresse auf automatische Suche (DNS Service Discovery) um. SSSD fragt den DNS-Server nach verfügbaren LDAP-Diensten.
[domain/it213.int]
+
 
id_provider = ldap
+
== dns_discovery_domain = it213.int ==
auth_provider = ldap
+
* Gibt SSSD vor, in welcher DNS-Zone (it213.int) nach den SRV-Records für die LDAP-Server gesucht werden soll.
<span style="color:red">chpass_provider = ldap</span>
+
 
access_provider = permit
+
== ldap_default_bind_dn = cn=admin,dc=it213,dc=int ==
sudo_provider = ldap
+
* Das Dienst-Konto für SSSD. Da der LDAP-Server anonyme Abfragen oft blockiert, nutzt SSSD diesen Account, um Benutzerdaten und Sudo-Regeln auszulesen.
+
 
<span style="color:red">ldap_uri = _srv_</span>
+
== ldap_default_authtok = 123Start$ ==
<span style="color:red">dns_discovery_domain = it213.int</span>
+
* Das zugehörige Passwort für den oben genannten Bind-Account, um eine autorisierte Verbindung zum Verzeichnisdienst herzustellen.
+
 
ldap_search_base = dc=it213,dc=int
+
== Sektion [nss] ==
ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
+
* Diese neue Sektion konfiguriert den Name Service Switch (NSS), um die Systemperformance bei Netzwerkabfragen zu optimieren.
+
 
<span style="color:red">ldap_default_bind_dn = cn=admin,dc=it213,dc=int</span>
+
== filter_users = root,daemon,bin,... ==
<span style="color:red">ldap_default_authtok = 123Start$</span>
+
* Eine Liste lokaler Systembenutzer, die SSSD ignorieren soll. Dies verhindert, dass SSSD bei jeder Anfrage nach Standard-Usern (wie root) das Netzwerk belastet und das System verlangsamt.
+
 
cache_credentials = True
+
== filter_groups = root,daemon,bin,... ==
ldap_id_use_start_tls = false
+
* Funktioniert identisch zum User-Filter, schützt aber lokale Systemgruppen (wie sudo oder audio) vor unnötigen Netzwerkabfragen.
ldap_auth_disable_tls_never_use_in_production = true
+
 
ldap_tls_reqcert = never
+
== Sektion [pam] ==
+
* Diese neue Sektion konfiguriert das Pluggable Authentication Module (PAM) für die Steuerung der Benutzeranmeldung.
<span style="color:red">[nss]</span>
+
 
<span style="color:red">filter_users = root,daemon,bin,sys,sync,games,man,lp,mail,news,uucp,proxy,www-data,backup,list,irc,gnats,nobody,systemd-network,systemd-resolve,messagebus,_apt,uuidd,nslcd</span>
+
== offline_credentials_expiration = 2 ==
<span style="color:red">filter_groups = root,daemon,bin,sys,adm,tty,disk,lp,mail,news,uucp,man,proxy,kmem,dialout,fax,voice,cdrom,floppy,tape,sudo,audio,dip,www-data,backup,operator,list,irc,src,gnats,shadow,utmp,video,sasl,plugdev,staff,games,users,nogroup,systemd-journal,systemd-network,systemd-resolve,input,kvm,render,crontab,netdev,messagebus,_apt,uuidd,ssh,nslcd</span>
+
* Legt fest, wie viele Tage sich ein Benutzer noch ohne Netzwerkverbindung (im Cache) anmelden darf. Nach 2 Tagen wird der Zugang gesperrt, bis der LDAP-Server wieder erreichbar ist.
 
<span style="color:red">[pam]</span>
 
<span style="color:red">offline_credentials_expiration = 2</span>
 

Aktuelle Version vom 2. April 2026, 11:32 Uhr

chpass_provider = ldap

  • Ermöglicht es Benutzern, ihr LDAP-Passwort direkt vom Client aus zu ändern. Ohne diesen Eintrag könnten Passwörter nur direkt auf dem Server verwaltet werden.

ldap_uri = _srv_

  • Schaltet die Verbindung von einer festen IP-Adresse auf automatische Suche (DNS Service Discovery) um. SSSD fragt den DNS-Server nach verfügbaren LDAP-Diensten.

dns_discovery_domain = it213.int

  • Gibt SSSD vor, in welcher DNS-Zone (it213.int) nach den SRV-Records für die LDAP-Server gesucht werden soll.

ldap_default_bind_dn = cn=admin,dc=it213,dc=int

  • Das Dienst-Konto für SSSD. Da der LDAP-Server anonyme Abfragen oft blockiert, nutzt SSSD diesen Account, um Benutzerdaten und Sudo-Regeln auszulesen.

ldap_default_authtok = 123Start$

  • Das zugehörige Passwort für den oben genannten Bind-Account, um eine autorisierte Verbindung zum Verzeichnisdienst herzustellen.

Sektion [nss]

  • Diese neue Sektion konfiguriert den Name Service Switch (NSS), um die Systemperformance bei Netzwerkabfragen zu optimieren.

filter_users = root,daemon,bin,...

  • Eine Liste lokaler Systembenutzer, die SSSD ignorieren soll. Dies verhindert, dass SSSD bei jeder Anfrage nach Standard-Usern (wie root) das Netzwerk belastet und das System verlangsamt.

filter_groups = root,daemon,bin,...

  • Funktioniert identisch zum User-Filter, schützt aber lokale Systemgruppen (wie sudo oder audio) vor unnötigen Netzwerkabfragen.

Sektion [pam]

  • Diese neue Sektion konfiguriert das Pluggable Authentication Module (PAM) für die Steuerung der Benutzeranmeldung.

offline_credentials_expiration = 2

  • Legt fest, wie viele Tage sich ein Benutzer noch ohne Netzwerkverbindung (im Cache) anmelden darf. Nach 2 Tagen wird der Zugang gesperrt, bis der LDAP-Server wieder erreichbar ist.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Erklärungen_sssd-2&oldid=68353