Erklärungen sssd-1: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K (Thomas.will verschob die Seite Erklürungen sssd-1 nach Erklärungen sssd-1) |
|||
| Zeile 1: | Zeile 1: | ||
| + | |||
= Dokumentation: SSSD Konfigurationsparameter = | = Dokumentation: SSSD Konfigurationsparameter = | ||
| Zeile 5: | Zeile 6: | ||
== Sektion [sssd] == | == Sektion [sssd] == | ||
| − | + | == config_file_version = 2 == | |
| + | * Legt die Syntax-Version der Konfigurationsdatei fest. Moderne Systeme verlangen zwingend Version 2, damit der Daemon die Datei korrekt validieren und starten kann. | ||
| − | + | == services = nss, pam, sudo == | |
| − | * | + | * Definiert die Schnittstellen, die SSSD bedienen soll: |
| − | + | ** '''nss''': Liefert Benutzer- und Gruppen-IDs an das System (z. B. für 'ls -l' oder 'id'). | |
| − | + | ** '''pam''': Übernimmt die Passwortprüfung und den Login-Prozess. | |
| − | + | ** '''sudo''': Ermöglicht das Abrufen von Administrator-Berechtigungen aus dem LDAP. | |
| − | + | == domains = it213.int == | |
| − | + | * Aktiviert die namentlich genannte Domäne. SSSD verarbeitet nur Blöcke, die hier eingetragen sind. | |
== Sektion [domain/it213.int] == | == Sektion [domain/it213.int] == | ||
| − | + | == id_provider = ldap == | |
| + | * Bestimmt LDAP als Quelle für Identitätsdaten wie UIDs, GIDs und Home-Verzeichnis-Pfade. | ||
| − | + | == auth_provider = ldap == | |
| − | * | + | * Legt fest, dass die Authentifizierung (Passwort-Check) direkt gegen den LDAP-Server durchgeführt wird. |
| − | + | == access_provider = permit == | |
| − | * | + | * Eine einfache Zugriffssteuerung, die jedem im LDAP existierenden Benutzer die Anmeldung am System erlaubt. |
| − | + | == sudo_provider = ldap == | |
| − | * | + | * Aktiviert das LDAP-Backend für Sudo-Regeln, sodass Berechtigungen zentral im Verzeichnisbaum verwaltet werden können. |
| − | + | == ldap_uri = ldap://ldap.it213.int == | |
| − | * | + | * Gibt die Adresse des LDAP-Servers an. Das Präfix 'ldap://' signalisiert eine Standardverbindung über Port 389. |
| − | + | == ldap_search_base = dc=it213,dc=int == | |
| − | * | + | * Definiert den Basispfad im Verzeichnisbaum, ab dem SSSD nach Objekten suchen soll. |
| − | + | == ldap_sudo_search_base = ou=sudo,dc=it213,dc=int == | |
| − | + | * Ein optimierter Suchpfad speziell für Sudo-Regeln, um die Abfragegeschwindigkeit zu erhöhen. | |
| − | |||
| − | |||
| − | |||
== Sicherheits-Overrides (Testumgebung) == | == Sicherheits-Overrides (Testumgebung) == | ||
| − | + | == ldap_id_use_start_tls = false == | |
| − | + | * Schaltet die automatische Hochstufung der Verbindung auf eine verschlüsselte TLS-Sitzung ab. | |
| − | |||
| − | * | ||
| − | + | == ldap_auth_disable_tls_never_use_in_production = true == | |
| − | + | * Ein notwendiger Sicherheits-Override für Testumgebungen. Erlaubt SSSD, Passwörter unverschlüsselt zu übertragen, was standardmäßig blockiert wird. | |
| − | + | == ldap_tls_reqcert = never == | |
| − | * | + | * Deaktiviert die Prüfung von SSL-Zertifikaten. Dies verhindert Fehlermeldungen bei fehlenden oder selbstsignierten Zertifikaten des Servers. |
Aktuelle Version vom 2. April 2026, 10:57 Uhr
Dokumentation: SSSD Konfigurationsparameter
Diese Seite beschreibt die Funktionsweise der zentralen Authentifizierungskomponente SSSD (System Security Services Daemon) für das it213.int Labornetzwerk.
Sektion [sssd]
config_file_version = 2
- Legt die Syntax-Version der Konfigurationsdatei fest. Moderne Systeme verlangen zwingend Version 2, damit der Daemon die Datei korrekt validieren und starten kann.
services = nss, pam, sudo
- Definiert die Schnittstellen, die SSSD bedienen soll:
- nss: Liefert Benutzer- und Gruppen-IDs an das System (z. B. für 'ls -l' oder 'id').
- pam: Übernimmt die Passwortprüfung und den Login-Prozess.
- sudo: Ermöglicht das Abrufen von Administrator-Berechtigungen aus dem LDAP.
domains = it213.int
- Aktiviert die namentlich genannte Domäne. SSSD verarbeitet nur Blöcke, die hier eingetragen sind.
Sektion [domain/it213.int]
id_provider = ldap
- Bestimmt LDAP als Quelle für Identitätsdaten wie UIDs, GIDs und Home-Verzeichnis-Pfade.
auth_provider = ldap
- Legt fest, dass die Authentifizierung (Passwort-Check) direkt gegen den LDAP-Server durchgeführt wird.
access_provider = permit
- Eine einfache Zugriffssteuerung, die jedem im LDAP existierenden Benutzer die Anmeldung am System erlaubt.
sudo_provider = ldap
- Aktiviert das LDAP-Backend für Sudo-Regeln, sodass Berechtigungen zentral im Verzeichnisbaum verwaltet werden können.
ldap_uri = ldap://ldap.it213.int
- Gibt die Adresse des LDAP-Servers an. Das Präfix 'ldap://' signalisiert eine Standardverbindung über Port 389.
ldap_search_base = dc=it213,dc=int
- Definiert den Basispfad im Verzeichnisbaum, ab dem SSSD nach Objekten suchen soll.
ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
- Ein optimierter Suchpfad speziell für Sudo-Regeln, um die Abfragegeschwindigkeit zu erhöhen.
Sicherheits-Overrides (Testumgebung)
ldap_id_use_start_tls = false
- Schaltet die automatische Hochstufung der Verbindung auf eine verschlüsselte TLS-Sitzung ab.
ldap_auth_disable_tls_never_use_in_production = true
- Ein notwendiger Sicherheits-Override für Testumgebungen. Erlaubt SSSD, Passwörter unverschlüsselt zu übertragen, was standardmäßig blockiert wird.
ldap_tls_reqcert = never
- Deaktiviert die Prüfung von SSL-Zertifikaten. Dies verhindert Fehlermeldungen bei fehlenden oder selbstsignierten Zertifikaten des Servers.