Erklärungen sssd-1

Aus Xinux Wiki
Version vom 2. April 2026, 10:57 Uhr von Thomas.will (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Dokumentation: SSSD Konfigurationsparameter

Diese Seite beschreibt die Funktionsweise der zentralen Authentifizierungskomponente SSSD (System Security Services Daemon) für das it213.int Labornetzwerk.

Sektion [sssd]

config_file_version = 2

  • Legt die Syntax-Version der Konfigurationsdatei fest. Moderne Systeme verlangen zwingend Version 2, damit der Daemon die Datei korrekt validieren und starten kann.

services = nss, pam, sudo

  • Definiert die Schnittstellen, die SSSD bedienen soll:
    • nss: Liefert Benutzer- und Gruppen-IDs an das System (z. B. für 'ls -l' oder 'id').
    • pam: Übernimmt die Passwortprüfung und den Login-Prozess.
    • sudo: Ermöglicht das Abrufen von Administrator-Berechtigungen aus dem LDAP.

domains = it213.int

  • Aktiviert die namentlich genannte Domäne. SSSD verarbeitet nur Blöcke, die hier eingetragen sind.

Sektion [domain/it213.int]

id_provider = ldap

  • Bestimmt LDAP als Quelle für Identitätsdaten wie UIDs, GIDs und Home-Verzeichnis-Pfade.

auth_provider = ldap

  • Legt fest, dass die Authentifizierung (Passwort-Check) direkt gegen den LDAP-Server durchgeführt wird.

access_provider = permit

  • Eine einfache Zugriffssteuerung, die jedem im LDAP existierenden Benutzer die Anmeldung am System erlaubt.

sudo_provider = ldap

  • Aktiviert das LDAP-Backend für Sudo-Regeln, sodass Berechtigungen zentral im Verzeichnisbaum verwaltet werden können.

ldap_uri = ldap://ldap.it213.int

  • Gibt die Adresse des LDAP-Servers an. Das Präfix 'ldap://' signalisiert eine Standardverbindung über Port 389.

ldap_search_base = dc=it213,dc=int

  • Definiert den Basispfad im Verzeichnisbaum, ab dem SSSD nach Objekten suchen soll.

ldap_sudo_search_base = ou=sudo,dc=it213,dc=int

  • Ein optimierter Suchpfad speziell für Sudo-Regeln, um die Abfragegeschwindigkeit zu erhöhen.

Sicherheits-Overrides (Testumgebung)

ldap_id_use_start_tls = false

  • Schaltet die automatische Hochstufung der Verbindung auf eine verschlüsselte TLS-Sitzung ab.

ldap_auth_disable_tls_never_use_in_production = true

  • Ein notwendiger Sicherheits-Override für Testumgebungen. Erlaubt SSSD, Passwörter unverschlüsselt zu übertragen, was standardmäßig blockiert wird.

ldap_tls_reqcert = never

  • Deaktiviert die Prüfung von SSL-Zertifikaten. Dies verhindert Fehlermeldungen bei fehlenden oder selbstsignierten Zertifikaten des Servers.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Erklärungen_sssd-1&oldid=68349