�����������������7��+ ���n������Ȓ������ɒ������ϒ������֒������ݒ����������������������Ɣ������˔������Д������Ӕ������֔������ٔ������ܔ������ߔ������������������������������������� �����������-�������A���'���_���%�������+�������0���ٕ��%���
���'���0���-���X���"�������$�������*���Ζ��(�������7���"���$���Z���!��������������E������������������˘������Ә��p���W�������Ț��q����������W���
���Y�������d�������f���r���n����������F���������������Y���������������������������Z���������������Υ����������N���6�����������T���h�����������9���O���?�������/���ɪ��=�������K���7���4�������3�������?����������,���v���¬������9�������J���e�����������b��������������۱��v�������`���*�����������;���6���3���r���h�������9�������E���I���0�����������������������Y���u���;���ϸ��w�������*�������!�����������м��_���m�������ͽ��m���]�������˾����������E�������C���߿������#���+���>���2���j���-�������O������-�������0���I���/���z���,�������W������-���/���O���]���S�������O�������O���Q���K�������I�������M���7���+�������O�������2�������S���4���O�������Y�������K���2���Q���~���M�������,�������I���K���L�������#�����������������������(���=���$���f�������������������"�����������������������������������9�������Y���+���"���)���N���)���x���O�������������������������������'���p�����������Q���l���B�����������������������������������g�������4�������������������������������J���������������������������-���K���7���y���/�������/�������C�������=���U���:�������L�������f�������G�������J�������L�������4���b����������������������>���
�������[�����������w�������7���������������j�����������w���n�����������j�������U���W�����������������������������������U�������W���C���������������N���m���J���{�����������4���1���K�������}�����������������������������������W�������`�������]���<�����������a���g���(�������k�������2���^���z�������|�������x�������d�����������g���V���K�������������������v������E���K���"�������K�������/�������.���0���6���_���������������6���W���N���������������������������-���������������6�������~���T���D�����������������������������������8�����������8�������?���� ��j���G ��
���� ��$���� ��'���� ��'���
��w���5
�������
��l���/���
�������-����
��!����
��X����
��G���P�����������������������L�������X���x���h���������������������������
�������
�����������$�������:���F���P�����������
�������.���������������
�������*�����������-�������:�������R�������k�������w���
�������������������������������
���������������
�����������������������
�������
�����������)�������5�������K�������a���
�������+�����������������������1�������)�������"���H���c���k���`�������a���0���_���������������4�������d���F�����������[�������"�������!���9�������[�������j�������y���1���������������{�������w���S���.���������������>�������7���J���A�������F�������
�������%�������F���?���
�������%�������-���������������T�����������R���2���g���@�����������������������������������#���A���/���>���q���1�������&����������� �����������
���9�������G���-���V�������������������
�����������������������8�������
���
���
�����������)�������F�������Y�������p�����������@�����������������������������������1�������E�������_�������~���
�������������������������������
�������������������� ��2���) ������\ ��E���u ��R���� ��M����!������\!������q!��E����!��
����!�������!�������!��>���{"��,����"��J����"��=���2#��.���p#��O����#��-����#��(����$��?���F$��4����$��/����$��I����$��*���5%������`%������w%�������%��B����%�������%�������%�������&�������&������1&������E&������V&��
���e&������s&��G����&�������&�������&�������'�������'������.'������A'������X'������n'�������'�������'�������'�������'�������'�������'�������'�������(������*(��+���<(��7���h(�������(��?����(��<����(��G���:)��;����)��!����)��
����)��P����)��?���?*������*��*����*��Y����*�������+������3+��6���S+�������+��.���l,�������,��
���:-������E.��b����.��P���:/��)����/�������/������w0��O����1��5���i1�������1�������1��|����2��.����4��5���J4��9����4��5����4�������4�������4�������5�������5�������5��o���'5�������5��S���[6�������8������s9��5����9��}����9������?:��k����:������?;��.���H;��1���w;��3����;�� ����;�� ����;��*����<��/���J<��+���z<��%����<��*����<��2����<��8���*=��"���c=��,����=��/����=��4����=��$����>��*���=>��.���h>��-����>��"����>��N����>��Z���7?��&����?��+����?�������?��,����@��I���/@��N���y@��a����@��^���*A�������A��4���4B������iB������xC��1����D��)���BD�� ���lD������vD��j����E�������E��'����F������,F������8F������>F������NF��k���TF�������F��E����F��l���#G�������G��X���cH��+����I��b����J��I���KK��Y����K�������K��K����L������9M�������M�������N�������O��g���0Q�������Q��*����R�������R������HS������YT������iT��%���fU��/����U�������U�������V��V����W��V���bW��\����W��_����X��^���vX��[����X��Q���1Y��j����Y��c����Y��]���RZ��;����Z�������Z��
����[�������[�������[��o����\��n����]�������]������%^�������^������N_������B`��a����`������Aa�������b��+����b�������d�������d������pe��)���7f������af��b����f������Rg��B����h������Gi�������j�������j������=k��_���(m��k����m�������m�������n�������o��$����q��q����r��d����s������}s�������t��V����t�������t������`v������ w��n����w������kx�������y�������z�������{�������{�������}�������~��b���E�����������O���1���r������������������������������Z�������Z���\���������������A���J���5�����������<�������:���S���B�������1���ы����������-��������������|���̑������I�������ړ����������c���0���������������+���b�������f�������l���v���j������d���N��� �����������ԙ�������������
�������*�������D��������������˜���������������������������������������
���'�������5�������K���;���]���2�������C���̞��#����������4���%�������A���ڟ��&�������5���C���f���y���J������+���+���j���W�������£������ɤ������K���2���"�������U���b����������G���b���J���W���������������g�����d���?�����������������������l���������������Ҵ������������������G�������D�������Y���D���3�����������Ҷ������U���������0������������������,���2��������������N�����������
������������������:�������X���������������������������=�������������������������������������������$�������"���#�������F���}���@���q�������g���0�������������������9���@���R���z���G�������D�������?���Z���G�������B�������C���%���-���i�����������K���������������6���������������#�������������������������������������������t�������}���������������'���z���#���������������������������O���R�����������m���]���+�����������������������p�����������������������������������e�������K������� ���������������f���������������������������a���N���
���������������3�������[�������m���j�����������;�������o���$�����������0�������<�������:��� ���L���D���-�����������������������������������������������������������
���������������#�������=�������(���+���G�������s�������������������C�������q�����������`���/�����������1�������E�������R�������m���a���6���k�������M�������M���R�����������\�����������������������k�������'���5���i���]���t������:���<���:���w���J�������D�����������B���&���
�������1�����������U��� �������v�������]���O�����������R���d�������j���C���6���������������(�����������������������_���������������������������g���f���� ��^���� ������� ��9���r
��������������7����������������
������7��������������������������� ���7�������X���h���V���_���������������F�������2�������M�������}���i���p�����������X���/�������y���7���D�������w�����������n�������������������T���`�������������������?���- ������m �������!��|����"��
����"��V����#��=����#������!$��b����&������k&�������'��<����'��'����(������=(������(��;���v)�������)��O���_*�������*��(����*�������*������
+��&����+������B+������Y+������w+�������,�������,�������-������#/�������0�������1��x���|2�������2�������3������a4�������4�������5��K����7������49��y����9��p���o:�������:�������:�������;��&����=�������>�������?��f���z@�������@��?����B��i���4E��K����E��G����E��F���2F��F���yF��<����F��R����F��G���PG��B����G��E����G������!H�������H��F���(I��B���oI��J����I��O����I��<���MJ��Y����J��8����J��s����K��_����K��6����K��l���(L��N����L��7����L��9����M��F���VM��[����M��8����M��:���2N��\���mN��Q����N��<����O��>���YO��5����O��=����O��C����P��;���PP��;����P�������P������[Q������ S�������S��S����T��w���#U��E����U�������U�������V�������V�������V������pW������TY�������Y�������Z������x[������=\��O����]��I���g]��6����]��D����]��J���-^������x^��y���|_��t����`������kb��t����d�������e��}���^f�������g��l����i��T���]j�������j��o���>l��?����l��:����l��i���)m��M����m�������m������wn������co�������p�������q�������q��p���Yr��w����r��"���Bu��a���ev�������v������bw������4x�������y��i����y��w���Pz��]����{��Q���&|��I���x|��I����|��!����}��@���.}��M���o}��V����}�������~��j����~������H���Q���
�������_���������������������� �������ф��������������}���+���������������h���4���N��������������-�������*�����)�������-���#���,���Q���.���~���)�������_�����3���7�������k�������4���A�������;���^���������������D���\���Q�����������u����������������������� ���9���m���Z�������Ȕ��8����������!���_���ٖ��`���9�����������M��� �������n���+������<�������~���Z���L���ٚ��U���&�������|���l�������0�������A���0�������r���1�������[���F���������������o�����������3�������9���:���M���t���9���¢��Y�������7���V���:�����������ɣ������p���r���
�������}�������3�������ħ��c���ը��g���9���h�����������
���z�����������
����������'���~���������������:�������Ͳ��?���~���v�������-���5�������c����������N����������C���E��� �������f���1���,���g���^���Z���Ƽ������!���������������������������@�������n����������P���M������Z���1���l���������������������������Z���s���,���������������Z�����������X�����������G���h�������r������q�������D���d�����������,���������������R���P�����������E���~���x�����������=���������������������������"�������=�������m�������
���|���)���������������^���z�����������v�������6���N���.���������������v���]���W�����������,�������@���H���/�������x�����������������������������������~�������������������������������a�������y���
���h�������p�����������^�������������������������������������������������������~�������q�����������w�������P���~�����������_���]�����������V���d��������������P���������������[�������o�����������V��������������8�������A������|�������"���������������%���k�����������P���E���l�������>�������[���B���@�������C����������#�������3�������H���
���U�������c���Y���|���R������"���)�������L�������f�������w����������������������������������T����������B���"���a������������������� �������
�������$���������������������������������������I�����������b�������z���F�����������������������!�����������-�������F�������N�������]���3���v���������������������������!�����������
���
���#�������.�������B�������N�������i�������z���������������������������������������������������
�����������+�������<���L���V�������������������t�����������U���1���a�������������������������������������������������������������������!���,�������N�������e�������z���"���������������������������������������E��� ���$���O���#���t���&�������'�������%�������&���
���"���4�������W���"���u��� �����������������������4�������"���� ��4���? ������t ��8���� ������� ������� ��$���� ������� �������
��#���&
������J
��'���d
�������
��
����
�������
�������
�������
�������
����������������������$���7���=���o���u���������������������������W�����������4
������I
������e
������{
�������
��!����
��*����
��$�����������&�������:���(���Y�������������������������������������������&���
���"���1��� ���T���&���u�����������#�������'���������������������������1���@���P���?�������@�������?�����������R�������b�������v�������z�����������������������������������������������������������������������6�������S���*���h��������������������������� �������(�������(���!�������J�������a�������|���������������������������#�����������
���'���,��� ���T���$���u�����������%������� �������%�������%���%���0���K���(���|�����������"�����������������������������������7���&���U�������|���*�������)�������%�������#�����������:�������P�������o���$�����������������������"������� �������������������:�������Q�������q���������������������������������������������������!���.���!���P�������r�����������$�������(���������������#�������"���6���&���Y�������������������������������������������b�������#���z���"�������D���������������'���$�������L���#���h���"�������������������������������������������%�������@�������Y���"���r�����������������������������������.�����������.��� ���H�������i���������������������������������������������������e�������l���k������������������������ ��"���# ������F ������a ��!���} ������� ��)���� ������� ��%����!��"���&!������I!������_!��*���~!��#����!�������!�������!�������"������$"�� ���D"��#���e"�������"�������"��!����"�� ����"�������#������##������<#������X#������o#�������#�������#��"����#�������#��%����#��*����$��"���G$��#���j$��%����$�������$�������$�������$��-����%��'���9%������a%������}%�������%�������%�������%�������%��!����%��&����&��*���;&������f&��#����&�������&�������&��-����&��%����&��,���"'������O'������o'�� ����'�������'�������'�������'�������'�������(�� ���*(��"���K(��%���n(�������(�������(��!����(�������(�������)�������)��!���4)������V)������k)�������)�������)�� ���|,�������,�� ����,��
����,�������,�������,�������,�������,�������-�� ���/-��"���9-��c���\-�������-�������-�������-�������-��N����-������;.������[.������o.��(����.�� ����.��(����.��'����.��$����/������3/��C���M/��'����/�������/�������/�������/�������0�������0������60��#���G0������k0��$����0��e����0��#���
1��c���11�������1�������1�������1�������1��O����1������G2��$���c2�������2�������2�������2��
����2�������2�������2�������2�������3�������3�������3�������3�������4������ 4������84������U4�� ���o4�������4�������4��
����4�������4��"����4�������4�������5��
����5������%5��:���45��;���o5��
����5�������5�������5��
����5�������5�������6������!6������&6������-6������46������;6������S6������p6�������6�������6��
����6�������6�� ����6�������6��!����7������"7��+���B7������n7�� ���z7�������7��
����7�������7�������7�������7�������7�������7�������7�� ����7�� ����7�������8�� ����8�� ����8������#8������<8������?8������D8������a8������|8��I����8�������8�������8�������9������
9������!9������:9������L9��3���`9��,����9�������9��B����9������$:������1:��+���C:��7���o:��8����:��_����:������@;������E;������[;�� ���u;��
����;�� ����;�������;�������;�������;�������;�������;�������<�������<������-<��<���C<��I����<��=����<�������=������(=������@=��#���U=��'���y=�� ����=�������=��"����=��
����=�������>������">�������@�������@�������@�������@�������B������"B������'B������,B������1B������4B������7B������:B������=B������@B������CB������FB������IB������LB������OB�� ���mB�������B�������B��'����B��%����B��+����C��0���:C��%���kC��'����C��-����C��"����C��$���
D��*���/D��(���ZD��7����D��$����D��!����D�������E��D����E������IE������=F������EF�������F������XH��|���uH�������H��
����H�������H�������I������ I�� ����J��F����L�������O��Y����P������*Q�������Q������oR�������S�������S�������T��^���nU�������V��T����W�������X��C����X��L����X��2���<Y��I���oY��]����Y��:����Z��5���RZ��P����Z�������Z��o����[��9����[������.]�������]�������_������K`������Sa������,b��h����b������,c��A����c��8����d��}���Vd��;����d��I����e��o���Ze�������f�������g��a����h��M����i������Ti��w����i��Y���_l�������m��b���\n�������n��n���bo�������o�������p��E����p��C����p������0q��+���Kq��2���wq��-����q��O����q��-���(r��0���Vr��/����r��,����r��W����r��-���<s��R���js��S����s��P����t��O���bt��N����t��I����u��M���Ku��+����u��O����u��2����v��S���Hv��O����v��Y����v��K���Fw��Q����w��M����w��,���2x��I���_x��L����x��#����x�������y������3y��(���Qy��$���zy�������y�������y��"����y�������y�������z������0z������Mz������mz��+���O{��)���{{��)����{��W����{������'|������)}������
~��,����~���������Y������]���R�������������������������������k�������L����������������������͆��������������k�������Y�������1���4������B���(���7���k���7�������P���ۋ��K���,���J���x���X���Ì��q�������J�������\���ٍ��b���6���8�����������Ҏ������ُ��������������y���h�������������������������������J�����������������������������{�������m�������������������������������!�������`���ќ������2���������������������������������������á��;���ۡ����������'�����������֤������y�����������_�������v�������j���n�������٧��p�������N���,���|���{���7�����������0�������ë������I���j���ά������9���{���#���%�����������Ů������ޮ��J���d���9�������s������6���]���2�������y���DZ������A��������������v�����������!���8�������Z���8���u���&�������Q���ջ������'���V���Ƽ��������������7����������������������L���E���g���X�������w�����������~���.�������(�������+�����������������������~���%���&�������0�������.�������Y���+���P���������������������������������������������������x�������������������������������������������!�������S��� �������t�����������:�����������������������?�����������G�������[�������x���������������������������������������������������������������&�������:�������L�������i�������|�����������������������������������#���������������6���&��� ���]��� ���~���8�������-�������)�������}���0���p�������o���������������%�������F���>���}���������������f�������+�������5�����������������������%�������@���2�������s���{�������~�������=���������������C�������E���"���T���h���R���������������3���%���K���Y�����������.�������6������� ��� ���]���A�����������K�������P�����������X�������w�������������������M�������E�������8���U���5��������������� �����������������������?���*�������j�����������������������������������I�����������'���
���<���&���J�������q���������������������������R������� ���3���!���T�������v����������� �������%������� ���������������#���.�������R�������p�����������!���������������?���������������Q���;���^�������Y�����������F���!���b���Q�������������������������������C�������A�������\���0���N�������>�������Y�������7���u���/�������I�������C���'���6���k���b�������:�����������@�������]�������{���U���������������������������!�������7�������T�������l���������������������������`�����������/�������L��� ���k�������������������������������������������������������*�������D�������_�������w�����������������������������������2�������N���%���&���t���B�������?�������M�������A���l���$���������������j�������D���S�����������:�������n�������"���\���&������>���������������0����������� �������������������w���{���o�������<���c���������������z���]���>���A������� �����������������������7�������9������>�������6���C�������z�������~���������������������������������������9�������#����������'�������I����������
�����������u���a����������.������1�������3���A��� ���u��� �������*�������/������+�������%���>���*���d���2�������8�������"�������,�������/���K���4���{���$�������*�������.�������-���/���"���]���N�������Z�������&���*���+���Q�������}���,�������I�������N�������a���`���^�����������!���4�������!�����������A���1�������)���$��� ���N���=���X�������� ������
��+���7
������c
������v
��"���
�������
�������
��"���)���V���L���l��������������������
��5�������h�������M���5���_�������F�������T���*��������������M���������������o���n�����������b���3���Y�����������I���^�������������������1�������<�����������0������� ���g�������l���#���w�������~�������z�������y���� ��f���| ������� ��~���h!��t����!��D���\"�������"�������#�������#�������#��m����$��}����%�������%������9&��~����&������^'������r(��d����)�������)������x*��M���s+�������,�������-������..��5����/������</��z����/������t0�����A1�������2�������3������e4��E����4��x���A7�������7������@8��/����9������N:��F���#<������j=��n����=������g>�������>��l����?�������@�������A�������B�������C�������D��+����D�������E������ G�������G��0���
J��}���;K��\����L�������M��W����M�������N�������N������/O��v����P��a���OS��Z����S�������T��g����T��Z��� X������dX��?����Y��=���AY��D���Y��L����Y��
����[�������]�������_�������`������
a�������b�������c��_���Pe�������e������Vf��g����f��y���Yg�������g��|���[h��}����h��#���Vi������zi��"����i�������i�� ����i�������i�������j�������l�� ����l�� ����l�������l�������m������)n������8n������Nn������nn��H����n��>����n��\����o��(���lo�������o��*���$p��K���Op��+����p��;����p�������q��K����r��F����r������"t�� ����t�������u��3���7v��m���ky�������{��o����|��'����|��i���$~��d����~���������o������o���T���J���ă��������������օ��������������d�������^���!���d���F�������I���͈��W�������7���o���������������8�������Ҋ��7����������)�������B���t���<�����������\�������*������������������ ���;���۔��������������Ζ������v�������>��������������������������&���
���#���4���$���X���$���}���#�����������ƛ��y���b���o���ܜ������L�������c���h���9���d�������W�������V���_���F�������V�������M���T���M�������8������+���)���Q���U�����������0���]�����������.���]����������������������������������� �������"���������������'���a���~���������������I���
�������W���W���
�������e���z���?���V�������������������
��������������w�������x�������~�������G�������^�������/����������������������l�������H�����������z���ͼ��
���H���%���S���P���y���{���ʾ��m���F�����������K���̿��w���������������b�������@�������B���A���X�������7�������������������!�������<�������S�������Z�������i�������q�������y���������������������������<���������������������������)���O���D������������������s�����������>���
���W�������e��� �������a�������k�������Y���]���\���������������o���,�����������������������k���6�����������%�����������9���R���9�������J�������G�����������Y���n���$�������������������������������"�����������[�����������6���l�����������X���B�����������!���j���
�������u�����������r���]�������������������������������M���p�����������P���?�����������@�����������������������>�����������������������������������X���~����������������������������������L�������8������O�����������`���|����������g���4���&�������[���f�����������g��������������������������b���=�������������������P���k�������������������}���k���L�������v���6���I���������������h���
�������s�������. ��G���� ��-���A
������o
������M���M�����������3���P����
������V
��9���j
�������
�������
��'����
�� ����
��'�����������F�������������������������������Y���4���^���������������9�����������������������[�����������������������;�����������������������B����������������"�������#��1����%�������&�������'�������(��P���f)�������+��e���@.��S����.��C����.��@���>/��H���/��@����/��M��� 0��M���W0��D����0��J����0������51�������1��V���I2��C����2��J����2��X���/3��C����3��^����3��6���+4��q���b4��d����4��1���95��v���k5��V����5��3���96��;���m6��G����6��^����6��5���P7��;����7��i����7��\���,8��@����8��?����8��2���
9��L���=9��F����9��8����9��=���
:������H:�������:�������<�������=��_����>�������?��L����?��5����?������5@�������@������
A��"����A�������C�������D������fE������@F�������G��g����G��P���dH��E����H��G����H��S���CI��%����I�������J������yL������@N�������P�������Q�������R��P���nT�������V��i���DW�������W�������Y��O���AZ��G����Z�������Z��U���\[�������[������X\������[]������!^�������_�������_�������`������ a��U����c��p���Ce�������e������Wf������9g�������h��d����i��x���qi��d����j��T���Ok��`����k��]����l��)���cl��H����l��[����l��i���2m�������m������en�������p��\����p������Nq�������s�������s������Qt������ u�������v�������x��8����y������#z��i����z��O���#{������s{��:���7|��0���r|��2����|��7����|��3����}��5���B}��5���x}��x����}��>���'~������f~������\��B���N���C�����������Հ����������n�����������/�������,���������������c���#���)�������M���,���ӆ��F�����������G���j���.���k���������������u�����������"���.�������@����������+���R�������R�������2���[���s�������<�������K���?�����������.���)���m���X�������ƒ��������������P���@���S���G�������W���ܕ��D���4���b���y���>���ܖ��D�����������`�������#�������ș������R�������+�������ݛ��u�������t���n���v����������Z���������������������������3���5�������i�������������������M��������������5���u�����������U���f���b���������������k��������������T���r���u���Dz��g���=�����������������������R������������������q���������������d���-�����������l���2���������������M����������������������?������������������[����������0���k�����������������������q���������������a�����������@���a�����������S���\���:�����������������������������������,�������"�������H����������I�����������;���������������k�����������X�������V���j�������>���U���������������d���^�����������D��� ���Y���Y���c���������������^���;���S���M���������������������������-���������������f���h�����������q���k�������z���d�������������������#���>�������b�������g�������a�������[�������_�������]�����������z���&���X���������������j���������������k�����������0���������������c���1��� �������;�����������k���������������8�������F�����������>���"���������������%��������������P�������l�������>���m���[�������@�������C���I������������������������������������������Y������R���E���!�����������������������������������������
�������)�������A���T���]�����������#���������������������� ���*���
���4���$���?�������d�������l�������}�����������m�����������������������F���&�������m����������� �����������������������������������6�����������B�������N�������k���!���������������
���������������������������������������������������$�������C�������X�������r�������������������
�����������������������g�����������W�������u���������������<���I���N���������������������������������������������������������������*��� ���@�������a�������x�����������#���������������������������������������d���!���#�������"�������%�������&�������$�������%���?���!���e�����������!�������������������������������4�������"���G���F���j�����������8�������������������
���$�����������8�������V���'���c�����������7���������������
�������&�������#���� ������C ������` ������r ������� ������� ��J���� ��o���� ������f
������m
�������
��\���p���������������������������������������-��� ���M���)���n���$�����������������������(������������
������4
������R
������l
�������
��&����
��"����
��)����
��&�����������;���#���V���'���z���������������������������B�������D���3���B���x���D���������������������������$�������(�������5�������A�������Q�������]�������x�������������������������������������������*�����������@�������W�������p��� �������(�������(���������������������������*�������B�������`�������|���#���������������'������� �������$���#�������H���%���f��� �������%�������)�������0�������'���.�������V���"���t�����������������������������������'�����������.���)���M���(���w���%�������#�������������������������������$���:�������_�������o���!������� ����������������������������������� �������8�������Q�������i���������������������������!�������!�����������!�������9���$���T���(���y��� �������$�������"�������&�����������2�������P�������n�������������������n�������"���6���!���Y���E���{�����������'���������������#���#���"���G�������j���������������������������������������������������!���*�������L�������e�������������������.��������������� ����������� �������8�������H�������b�������{�������������������e�������i���!���������������������������"�����������������������!���/�������Q���(���k�����������!�������#�������������������
��)���, ��$���V ������{ ������� ������� ������� �� ���� ��#����!������7!������U!��!���r!�� ����!�������!�������!�������!�������"�������"������<"������R"��"���l"�������"��%����"��*����"��"����"��#����#��%���<#������b#�������#�������#��-����#��'����#�������$������+$������;$������T$������i$�������$��!����$��&����$��*����$�������%��#���1%������U%������d%��-���|%��%����%��,����%�������%�������&�� ���:&������[&������o&�������&�������&�������&�� ����&��"����&��%����'������B'������`'��!���~'�������'�������'�������'��!����'�������(�������(������7(��9���O(�� ����+�������+��
����+�������+�������+�������+�������+�������,������(,�� ���G,��"���Q,��c���t,�������,�������,�������,�������,��e����-��$���j-�������-�������-��(����-�� ����-��'����-��&����.��#���@.������d.��G���}.��*����.�������.�������/������ /������8/������P/������k/��"���|/�������/��$����/��t����/��#���O0��t���s0�������0�������1�������1������51��O���M1�������1��#����1�������1�������1�������2��
����2������%2������12��'���A2�� ���i2�������3�������3�������3�������3�������3�������3�������4�������4������>4������O4������f4������v4��!����4�������4�������4��
����4�������4��:����4��;���!5��
���]5��%���k5�������5��
����5�� ����5�������5�������5�������5�������5�������5�������5�������6������)6������E6������a6��
���|6�������6�� ����6�������6�� ����6��#����6��+����7������.7�� ���:7������D7��
���S7������a7������j7�������7�������7�������7�������7�� ����7�� ����7�������7�� ����7�� ����7�������7�������7�������7�������8������!8������<8��I���W8�������8�������8�������8�������8�������8�������8�������9��5���#9��-���Y9��$����9��T����9�������:�������:��-����:��8���M:��=����:��s����:������8;������=;������S;�� ���m;�������;�������;�������;�������;�������;�������;�������<�� ����<������!<������9<��<���O<��I����<��=����<�������=������4=������L=��#���a=��'����=�� ����=�������=��"����=��
��� >�������>����������;���������������a���L���-���������������������������1���x�������T�������q���������������s���������������?�����������_���������������������������l�������c���)���*���)���<���������������K���&�����������4���.�������f���0�������������������������������*���������������W�����������{�����������������������������������e�����������x�������������������������������t��������������������������������������������������� �������������������������������x���I���D�������=���������������������������������������@�����������������������8�������$�������V���Y�����������������������*�������6�����������
���&�������=�����������N�������[���e�������b���C�������Z���B���e�������������������"�����������G�����������k�����������J�����������������������5�����������C�������2���T�������y�������3�������r���T���������������Q�����������y�������������������6���������������l�����������������������2���!���������������������������������������������������~�����������]�������������������h�����������������������������������������������q�����������Y���������������W�����������i�������q���:��� ���P�����������������������%�������}�������Z�������s���b���������������8�������1���������������������������������������z�������������������������������j���a�������l���/�������m�����������[���������������������������������������^�����������A�����������������������K�������������������������������p���������������������������:�������������������������������3���;�����������M������������������������������� ���|�������3�����������]�����������r�����������
���������������������������������������a���6���~���������������M���������������g���Z���7�����������b���������������������������������������������������;�������������������������������������������������������D���r�������������������������������������������,���u���������������j���w�����������7�������������������������������|�������@���2�������������������������������+�������^���b�����������������������@���`���C�������;�������H���/�������I�������-���������������Y�������S�������������������g�������.�����������������������u�����������������������H���$�������2�������
�����������%���)�������+���/�������4�������������������������������K�������#�����������H���o���}�����������������������c��������������������������������������� ���6�����������x�����������l���
�����������������������R�������]�����������a�������Q���|����������{���.���}���������������4���������������a���������������
���I���������������������������n���������������U�����������>�����������������������/���`���h�����������������������0�������K���P���)���d���,���=�������$�������������������:�����������"�����������f���|���s���q���������������
������������������
���������������������������L�����������������������c���3�����������������������\�����������f���������������������������
�����������t�����������������������}���/�����������#���������������������������c�������u�����������i�����������u�����������"�����������3�������������������������������z�����������E�������T�������J�������v���U���������������[���������������������������������������v���P���L�����������x���������������������������������������>�����������M�������|�����������:�����������������������������������Q���h�������������������W���������������
�����������i���������������F�������'�����������'���������������%�������V�������6���)���X���������������������������������������x���C��������������� �������9�������0�����������k���u�������W�������&���1���������������5�������������������1���o���R���������������9�������������������n���k�����������������������������������]���?�����������������������f�������������������B�����������D���L���m���������������4���c�����������:�����������H�����������Y�������7���$���[�����������������������E���f���1���A�������R�������i�������w���U�������������������m���y���������������*���?�������������������������������������������{�������������������R���M�������?���j�����������������������������������3�������s�������:�������N���e�������=���"�����������I���������������������������Z���y�������������������������������������������m����������������������� �����������������������@���8�����������G�������������������,���_�������t�������&�����������'���<���������������r���]�����������������������!���5�������>�����������X���B�����������V�������������������8���������������������������~���������������w���n��������������������������%�������=�������������������t�����������P�������4�������������������h���������������������������������������������������������������)�������X���[�������9�����������k�����������N�������.�������������������B�����������L���S�������b���<�����������C�����������������������w���n���a�������J�������>�����������������������������������t�����������{���������������\�������������������&������������������������������� ���>���,���������������8���������������(���!���c�������9���������������0�������������������T���������������=�������*�����������������������������������������������������������������������]���'�������U���/�����������J���S���S���]��� ���e�����������>���`���������������������������f�����������B�����������d���G�������1���������������������������z�������!�����������������������v���'���p�����������'���%�����������G�����������X�����������������������������������2�������e�������������������������������������������}�����������������������)�������+�����������5�������������������u�����������������������������������\���.�������������������g���������������`�����������������������������������M���>�����������l�������{����������������������� �����������������������������������Q�����������\���E���j���g�������.�����������������������O�������d���g�����������������������P���Y�������\���+�������.���~���|�����������������������������������������������������������V���M�����������^�������m���w���������������������������$�������������������L���������������������������������������������������?�������������������������������w����������������������� ���d�����������&�����������:���q�����������������������o�����������?�������������������F�������������������d���B���������������������������o�������9�������j�����������������������i���O���4�����������p���<���������������"���z��� ���������������v�����������W���{���=�������������������������������������������K���������������!���������������s�����������������������-���������������A���������������6�������������������������������0���������������;���5�����������}�����������b�����������������������������������1���[���{���y�������V�����������������������h�����������K���������������O�������������������Z������������������������������� ���������������������������;�������z�����������a�����������P���G�������
�����������<���8���t���
�����������������������`�����������d�������#�������A�������������������~���T�������������������������������N���_�������������������*���J���������������K�������k���H���S�������������������h�������?�����������7���������������������������"�������X���(���������������������������-�������5���O�������������������Q�����������V�������!�������Z���u���B��������������������������������������'�������d�������������������������������#�������������������k�����������������������^�������������������,�������������������2�������A���������������O�������������������s�������������������������������������������������������e���0���J�������m�������������������j�����������F������������������������������Y�����������5���H�����������i�����������������������������������#���������������S������������������� �������������������������������E�������_�����������������������^���������������-�������X�������������������A���N�����������Z�������,�����������<�������T���������������D�������r�������������������������������j���������������C�������I�������\�����������������������������������F�����������E�������Q�������������������C�������z���������������4���7�������@���������������������������_���������������������������������������������������\�����������������������������������������������������������������������n�������������������b�����������������������E���������������D���������������F���S�����������(���G�����������������������A���-���q���������������;�������,�������f�������!�������������������(���k���3�������������������^�����������p�����������_�����������������������(�������Q�������������������������������7���c�������N���������������~�������������������@���g���#�����������&�������
�������X���+�����������/�������*�������l�����������J���i���9���R�����������I�����������������������U���v�����������������������(�����������������������F���G�������o�����������E���������������t�������������������������������%�������
�������������������^�����������o���r�������%�����������O�������������������l�������O���+���-���������������`�������P�����������������������#���������������R���������������������������(���������������`���n���������������x�������q���������������������������U���z�������R���������������������������~�����������7�������_�����������y�������g�����������$�������[���������������������������������������o�������L�����������+�����������s�������������������������������w���<�������W������������������������������������������p���p���������������8���V�������������������y���v�������"���U�������$�������������������N���M���D���������������I���W���0�������|�������������������������������������������������������v���p�����������������������������������
�������������������������������@���6�������m����������H��������������� ���n���r�������D���}���F�������h�����������������������������������Y�������9���2����"all"�"none"�"some"�# apply filter on domain called dom1 only:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# apply filter on domain called dom2 only:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# apply filter on forest called EXAMPLE.COM only:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# apply filter for a member of a nested group in dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
�%%�%1$s�%2$s�%3$s�%F�%P�%U�%d�%f�%h�%o�%p�%r�%u�<EKU>extended-key-usage�<ISSUER>regular-expression�<KU>key-usage�<SAN>regular-expression�<SAN:Principal>regular-expression�<SAN:dNSName>regular-expression�<SAN:directoryName>regular-expression�<SAN:dotted-decimal-oid>regular-expression�<SAN:ediPartyName>base64-string�<SAN:iPAddress>regular-expression�<SAN:ntPrincipalName>regular-expression�<SAN:otherName>base64-string�<SAN:pkinit>regular-expression�<SAN:registeredID>regular-expression�<SAN:rfc822Name>regular-expression�<SAN:uniformResourceIdentifier>regular-expression�<SAN:x400Address>base64-string�<SUBJECT>regular-expression�1�1. If the shell is present in <quote>/etc/shells</quote>, it is used.�1. The following example shows a typical SSSD config. It does not describe configuration of the domains themselves - refer to documentation on configuring domains for more details. <placeholder type="programlisting" id="0"/>�1.2.3.4�2. If the shell is in the allowed_shells list but not in <quote>/etc/shells</quote>, use the value of the shell_fallback parameter.�2. The following example shows configuration of IPA AD trust where the AD forest consists of two domains in a parent-child structure. Suppose IPA domain (ipa.com) has trust with AD domain(ad.com). ad.com has child domain (child.ad.com). To enable shortnames in the child domain the following configuration should be used. <placeholder type="programlisting" id="0"/>�2001:db8:85a3::8a2e:370:7334�3. If the shell is not in the allowed_shells list and not in <quote>/etc/shells</quote>, a nologin shell is used.�5�5.6.7.8:99�8�</note>�<citerefentry><refentrytitle>ssh</refentrytitle> <manvolnum>1</manvolnum></citerefentry> can be configured to use <command>sss_ssh_knownhostsproxy</command> for host key authentication by using the following directives for <citerefentry><refentrytitle>ssh</refentrytitle> <manvolnum>1</manvolnum></citerefentry> configuration: <placeholder type="programlisting" id="0"/>�<command>SSSD</command> provides a set of daemons to manage access to remote directories and authentication mechanisms. It provides an NSS and PAM interface toward the system and a pluggable backend system to connect to multiple different account sources as well as D-Bus interface. It is also the basis to provide client auditing and policy services for projects like FreeIPA. It provides a more robust database to store local users as well as extended user data.�<command>pam_sss.so</command> <arg choice='opt'> <replaceable>quiet</replaceable> </arg> <arg choice='opt'> <replaceable>forward_pass</replaceable> </arg> <arg choice='opt'> <replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'> <replaceable>use_authtok</replaceable> </arg> <arg choice='opt'> <replaceable>retry=N</replaceable> </arg> <arg choice='opt'> <replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'> <replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'> <replaceable>domains=X</replaceable> </arg> <arg choice='opt'> <replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'> <replaceable>prompt_always</replaceable> </arg> <arg choice='opt'> <replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'> <replaceable>require_cert_auth</replaceable> </arg>�<command>pam_sss.so</command> is the PAM interface to the System Security Services daemon (SSSD). Errors and results are logged through <command>syslog(3)</command> with the LOG_AUTHPRIV facility.�<command>sss_cache</command> <arg choice='opt'> <replaceable>options</replaceable> </arg>�<command>sss_debuglevel</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>NEW_DEBUG_LEVEL</replaceable></arg>�<command>sss_obfuscate</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>[PASSWORD]</replaceable></arg>�<command>sss_obfuscate</command> converts a given password into human-unreadable format and places it into appropriate domain section of the SSSD config file.�<command>sss_seed</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'>-D <replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n <replaceable>USER</replaceable></arg>�<command>sss_seed</command> seeds the SSSD cache with a user entry and temporary password. If a user entry is already present in the SSSD cache then the entry is updated with the temporary password.�<command>sss_ssh_authorizedkeys</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>USER</replaceable></arg>�<command>sss_ssh_authorizedkeys</command> acquires SSH public keys for user <replaceable>USER</replaceable> and outputs them in OpenSSH authorized_keys format (see the <quote>AUTHORIZED_KEYS FILE FORMAT</quote> section of <citerefentry><refentrytitle>sshd</refentrytitle> <manvolnum>8</manvolnum></citerefentry> for more information).�<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>HOST</replaceable></arg> <arg choice='opt'><replaceable>PROXY_COMMAND</replaceable></arg>�<command>sssd</command> <arg choice='opt'> <replaceable>options</replaceable> </arg>�<emphasis> Please note that this option is superseded by the <quote>ppolicy</quote> option and might be removed in a future release. </emphasis>�<emphasis>0</emphasis>: Disable microseconds in timestamp�<emphasis>0</emphasis>: Disable timestamp in the debug messages�<emphasis>0</emphasis>: do not show any message�<emphasis>1</emphasis>: Add a timestamp to the debug messages�<emphasis>1</emphasis>: Add microseconds to the timestamp in debug messages�<emphasis>1</emphasis>: show only important messages�<emphasis>2</emphasis>: show informational messages�<emphasis>3</emphasis>: show all messages and debug information�<emphasis>Example</emphasis>: To log fatal failures, configuration settings, function data, trace messages for internal control functions use 0x1310.�<emphasis>Example</emphasis>: To log fatal failures, critical failures, serious failures and function data use 0x0270.�<emphasis>NOTE:</emphasis> Sudo rules are periodically downloaded in the background unless the sudo provider is explicitly disabled. Set <emphasis>sudo_provider = None</emphasis> to disable all sudo-related activity in SSSD if you do not want to use sudo with SSSD at all.�<emphasis>Note:</emphasis> If any of the search bases specifies a search filter, then the dereference lookup performance enhancement will be disabled regardless of this setting.�<emphasis>Note:</emphasis> the highest USN value can be updated by three tasks: 1) By sudo full and smart refresh (if updated rules are found), 2) by enumeration of users and groups (if enabled and updated users or groups are found) and 3) by reconnecting to the server (by default every 15 minutes, see <emphasis>ldap_connection_expire_timeout</emphasis>).�<emphasis>Note</emphasis>: if a password policy is configured on server side, it always takes precedence over policy set with this option.�<emphasis>ad</emphasis>: use the value of the 32bit field ldap_user_ad_user_account_control and allow access if the second bit is not set. If the attribute is missing access is granted. Also the expiration time of the account is checked.�<emphasis>allow</emphasis> = The server certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, it will be ignored and the session proceeds normally.�<emphasis>always</emphasis>: Aliases are dereferenced both in searching and in locating the base object of the search.�<emphasis>authorized_service</emphasis>: use the authorizedService attribute to determine access�<emphasis>demand</emphasis> = The server certificate is requested. If no certificate is provided, or a bad certificate is provided, the session is immediately terminated.�<emphasis>expire</emphasis>: use ldap_account_expire_policy�<emphasis>filter</emphasis>: use ldap_access_filter�<emphasis>finding</emphasis>: Aliases are only dereferenced when locating the base object of the search.�<emphasis>hard</emphasis> = Same as <quote>demand</quote>�<emphasis>host</emphasis>: use the host attribute to determine access�<emphasis>lockout</emphasis>: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z'. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.�<emphasis>mit_kerberos</emphasis> - Use the attributes used by MIT Kerberos to determine if the password has expired. Use chpass_provider=krb5 to update these attributes when the password is changed.�<emphasis>nds</emphasis>: the values of ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled and ldap_user_nds_login_expiration_time are used to check if access is allowed. If both attributes are missing access is granted.�<emphasis>never</emphasis> = The client will not request or check any server certificate.�<emphasis>never</emphasis>: Aliases are never dereferenced.�<emphasis>none</emphasis> - No evaluation on the client side. This option cannot disable server-side password policies.�<emphasis>ppolicy</emphasis>: use account locking. If set, this option denies access in case that ldap attribute 'pwdAccountLockedTime' is present and has value of '000001010000Z' or represents any time in the past. The value of the 'pwdAccountLockedTime' attribute must end with 'Z', which denotes the UTC time zone. Other time zones are not currently supported and will result in "access-denied" when users attempt to log in. Please see the option ldap_pwdlockout_dn. Please note that 'access_provider = ldap' must be set for this feature to work.�<emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: </emphasis> These options are useful if users are interested in being warned that password is about to expire and authentication is based on using a different method than passwords - for example SSH keys.�<emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, <emphasis>389ds</emphasis>: use the value of ldap_ns_account_lock to check if access is allowed or not.�<emphasis>rhost</emphasis>: use the rhost attribute to determine whether remote host can access�<emphasis>searching</emphasis>: Aliases are dereferenced in subordinates of the base object, but not in locating the base object of the search.�<emphasis>shadow</emphasis>: use the value of ldap_user_shadow_expire to determine if the account is expired.�<emphasis>try</emphasis> = The server certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, the session is immediately terminated.�<note>�<option>--debug-microseconds=</option><replaceable>mode</replaceable>�<option>--debug-timestamps=</option><replaceable>mode</replaceable>�<option>--version</option>�<option>-?</option>,<option>--help</option>�<option>-A</option>,<option>--autofs-maps</option>�<option>-D</option>,<option>--daemon</option>�<option>-D</option>,<option>--domain</option> <replaceable>DOMAIN</replaceable>�<option>-G</option>,<option>--groups</option>�<option>-N</option>,<option>--netgroups</option>�<option>-S</option>,<option>--services</option>�<option>-U</option>,<option>--users</option>�<option>-a</option>,<option>--autofs-map</option> <replaceable>autofs-map</replaceable>�<option>-c</option>,<option>--config</option>�<option>-c</option>,<option>--gecos</option> <replaceable>COMMENT</replaceable>�<option>-d</option>,<option>--debug-level</option> <replaceable>LEVEL</replaceable>�<option>-d</option>,<option>--domain</option> <replaceable>DOMAIN</replaceable>�<option>-d</option>,<option>--domain</option> <replaceable>domain</replaceable>�<option>-f</option>,<option>--file</option> <replaceable>FILE</replaceable>�<option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable>�<option>-g</option>,<option>--group</option> <replaceable>group</replaceable>�<option>-h</option>,<option>--help</option>�<option>-h</option>,<option>--home</option> <replaceable>HOME_DIR</replaceable>�<option>-i</option>,<option>--interactive</option>�<option>-n</option>,<option>--netgroup</option> <replaceable>netgroup</replaceable>�<option>-n</option>,<option>--username</option> <replaceable>USER</replaceable>�<option>-p</option>,<option>--password-file</option> <replaceable>PASS_FILE</replaceable>�<option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable>�<option>-s</option>,<option>--service</option> <replaceable>service</replaceable>�<option>-s</option>,<option>--shell</option> <replaceable>SHELL</replaceable>�<option>-s</option>,<option>--stdin</option>�<option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable>�<option>-u</option>,<option>--user</option> <replaceable>login</replaceable>�<option>allow_missing_name</option>�<option>domains</option>�<option>forward_pass</option>�<option>ignore_authinfo_unavail</option>�<option>ignore_unknown_user</option>�<option>prompt_always</option>�<option>quiet</option>�<option>require_cert_auth</option>�<option>retry=N</option>�<option>try_cert_auth</option>�<option>use_authtok</option>�<option>use_first_pass</option>�<phrase condition="have_systemd"> By default, all services are disabled and the administrator must enable the ones allowed to be used by executing: "systemctl enable sssd-@[email protected]". </phrase>�<placeholder type="programlisting" id="0"/>�<placeholder type="refentryinfo" id="0"/>�<placeholder type="variablelist" id="0"/>�<quote>ad</quote> the same as <quote>ldap</quote> but with AD default settings.�<quote>ad</quote> to load a list of subdomains from an Active Directory server. See <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring the AD provider.�<quote>ad</quote> to load maps stored in an AD server. See <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring the AD provider.�<quote>ad</quote>: Active Directory provider. See <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring Active Directory.�<quote>deny</quote> always deny access.�<quote>files</quote>: FILES provider. See <citerefentry> <refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on how to mirror local users and groups into SSSD.�<quote>ipa</quote> the same as <quote>ldap</quote> but with IPA default settings.�<quote>ipa</quote> to allow performing user session related tasks.�<quote>ipa</quote> to load a list of subdomains from an IPA server. See <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring IPA.�<quote>ipa</quote> to load host identity stored in an IPA server. See <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring IPA.�<quote>ipa</quote> to load maps stored in an IPA server. See <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring IPA.�<quote>ipa</quote> to load selinux settings from an IPA server. See <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring IPA.�<quote>krb5</quote> for Kerberos authentication. See <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring Kerberos.�<quote>krb5</quote> to change the Kerberos password. See <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring Kerberos.�<quote>krb5</quote>: .k5login based access control. See <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum></citerefentry> for more information on configuring Kerberos.�<quote>ldap</quote> for native LDAP authentication. See <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring LDAP.�<quote>ldap</quote> for rules stored in LDAP. See <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring LDAP.�<quote>ldap</quote> to change a password stored in a LDAP server. See <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring LDAP.�<quote>ldap</quote> to load maps stored in LDAP. See <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring LDAP.�<quote>ldap</quote>: LDAP provider. See <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more information on configuring LDAP.�<quote>none</quote> disables SUDO explicitly.�<quote>none</quote> disables authentication explicitly.�<quote>none</quote> disables autofs explicitly.�<quote>none</quote> disables hostid explicitly.�<quote>none</quote> disallows fetching selinux settings explicitly.�<quote>none</quote> disallows fetching subdomains explicitly.�<quote>none</quote> disallows password changes explicitly.�<quote>none</quote> does not perform any kind of user session related tasks.�<quote>permit</quote> always allow access. It's the only permitted access provider for a local domain.�<quote>proxy</quote> for relaying access control to another PAM module.�<quote>proxy</quote> for relaying authentication to some other PAM target.�<quote>proxy</quote> for relaying password changes to some other PAM target.�<quote>proxy</quote>: Support a legacy NSS provider.�<quote>simple</quote> access control based on access or deny lists. See <citerefentry> <refentrytitle>sssd-simple</refentrytitle> <manvolnum>5</manvolnum></citerefentry> for more information on configuring the simple access module.�<replaceable>[section]</replaceable>
<replaceable>key</replaceable> = <replaceable>value</replaceable>
<replaceable>key2</replaceable> = <replaceable>value2,value3</replaceable>
�A <citerefentry> <refentrytitle>printf</refentrytitle> <manvolnum>3</manvolnum> </citerefentry>-compatible format that describes how to compose a fully qualified name from user name and domain name components.�A comma separated list of strings which allows to remove (filter) data sent by the PAM responder to pam_sss PAM module. There are different kind of responses sent to pam_sss e.g. messages displayed to the user or environment variables which should be set by pam_sss.�A comma-separated list of PAM service names for which it will be allowed to use Smartcards.�A comma-separated list of groups, members of which should have session recording enabled. Matches group names as returned by NSS. I.e. after the possible space replacement, case changes, etc.�A comma-separated list of users which should have session recording enabled. Matches user names as returned by NSS. I.e. after the possible space replacement, case changes, etc.�A comment line starts with a hash sign (<quote>#</quote>) or a semicolon (<quote>;</quote>). Inline comments are not supported.�A complete PAM conversation may perform multiple PAM requests, such as account management and session opening. This option controls (on a per-client-application basis) how long (in seconds) we can cache the identity information to avoid excessive round-trips to the identity provider.�A dereference lookup is a means of fetching all group members in a single LDAP call. Different LDAP servers may implement different dereference methods. The currently supported servers are 389/RHDS, OpenLDAP and Active Directory.�A domain is a database containing user information. SSSD can use more domains at the same time, but at least one must be configured or SSSD won't start. This parameter describes the list of domains in the order you want them to be queried. A domain name is recommended to contain only alphanumeric ASCII characters, dashes, dots and underscores. '/' character is forbidden.�A mapping and matching rule can be added to the SSSD configuration in a section on its own with a name like <quote>[certmap/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>RULE_NAME</replaceable>]</quote>. In this section the following options are allowed:�A numerical value in the range of a 32bit unsigned integer can be used as well to cover special use cases.�A primary group is autogenerated for user entries whose UID and GID numbers have the same value and at the same time the GID number does not correspond to a real group object in LDAP. If the values are the same, but the primary GID in the user entry is also used by a group object, the primary GID of the user resolves to that group object.�AD�ADVANCED OPTIONS�AUTOFS OPTIONS�AUTOFS configuration options�Absolute path of a directory where SSSD should place Kerberos configuration snippets.�Active Directory limits the number of members to be retrieved in a single lookup using the MaxValRange policy (which defaults to 1500 members). If a group contains more members, the reply would include an AD-specific range extension. This option disables parsing of the range extension, therefore large groups will appear as having no members.�Active Directory primary group attribute for ID-mapping. Note that this attribute should only be set manually if you are running the <quote>ldap</quote> provider with ID mapping.�Active Directory provides an objectSID for every user and group object in the directory. This objectSID can be broken up into components that represent the Active Directory domain identity and the relative identifier (RID) of the user or group object.�Add a timestamp to the debug messages. If journald is enabled for SSSD debug logging this option is ignored.�Add microseconds to the timestamp in debug messages. If journald is enabled for SSSD debug logging this option is ignored.�Advanced Configuration�All discovered trusted domains will be enumerated�All module types (<option>account</option>, <option>auth</option>, <option>password</option> and <option>session</option>) are provided.�All of the common configuration options that apply to SSSD domains also apply to LDAP domains. Refer to the <quote>DOMAIN SECTIONS</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page for full details. Note that SSSD LDAP mapping attributes are described in the <citerefentry> <refentrytitle>sssd-ldap-attributes</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page. <placeholder type="variablelist" id="0"/>�All sections can have an optional <replaceable>description</replaceable> parameter. Its function is only as a label for the section.�All users are recorded.�Allow verification to succeed even if a <replaceable>complete</replaceable> chain cannot be built to a self-signed trust-anchor, provided it is possible to construct a chain to a trusted certificate that might not be self-signed.�Allowed values for this option are <quote>posix</quote> and <quote>application</quote>.�Allows a custom expiration message to be set, replacing the default 'Permission denied' message.�Allows a custom lockout message to be set, replacing the default 'Permission denied' message.�Allows the administrator to restrict the domains a particular PAM service is allowed to authenticate against. The format is a comma-separated list of SSSD domain names, as specified in the sssd.conf file.�Allows to retain local users as members of an LDAP group for servers that use the RFC2307 schema.�Always prompt the user for credentials. With this option credentials requested by other PAM modules, typically a password, will be ignored and pam_sss will prompt for credentials again. Based on the pre-auth reply by SSSD pam_sss might prompt for a password, a Smartcard PIN or other credentials.�Always use the user's primary GID number. The GID number must refer to a group object in the LDAP database.�An empty string for shell is passed as-is to libc.�An explicit deny (!host) is resolved first. Second, SSSD searches for explicit allow (host) and finally for allow_all (*).�An explicit deny (!rhost) is resolved first. Second, SSSD searches for explicit allow (rhost) and finally for allow_all (*).�An explicit deny (!svc) is resolved first. Second, SSSD searches for explicit allow (svc) and finally for allow_all (*).�An optional base DN, search scope and LDAP filter to restrict LDAP searches for this attribute type.�Any file placed in <filename>conf.d</filename> that ends in <quote><filename>.conf</filename></quote> and does not begin with a dot (<quote>.</quote>) will be used together with <filename>sssd.conf</filename> to configure SSSD.�Any text string describing the user. Often used as the field for the user's full name.�Application domain parameters�Application domains�Apply Group Policy: The user or at least one of its groups must be allowed to apply the GPO (RIGHT_DS_CONTROL_ACCESS).�At the moment, only the InfoPipe responder supports wildcard lookups.�Become a daemon after starting up.�Before performing access control SSSD applies group policy security filtering on the GPOs. For every single user login, the applicability of the GPOs that are linked to the host is checked. In order for a GPO to apply to a user, the user or at least one of the groups to which it belongs must have following permissions on the GPO:�Binary match the value of the ediPartyName SAN.�Binary match the value of the x400Address SAN.�By default the ssh responder will use all available certificate matching rules to filter the certificates so that ssh keys are only derived from the matching ones. With this option the used rules can be restricted with a comma separated list of mapping and matching rule names. All other rules will be ignored.�By default, SSSD will attempt to use inotify to monitor configuration files changes and will fall back to polling every five seconds if inotify cannot be used.�By default, the AD provider will map UID and GID values from the objectSID parameter in Active Directory. For details on this, see the <quote>ID MAPPING</quote> section below. If you want to disable ID mapping and instead rely on POSIX attributes defined in Active Directory, you should set <placeholder type="programlisting" id="0"/> If POSIX attributes should be used, it is recommended for performance reasons that the attributes are also replicated to the Global Catalog. If POSIX attributes are replicated, SSSD will attempt to locate the domain of a requested numerical ID with the help of the Global Catalog and only search that domain. In contrast, if POSIX attributes are not replicated to the Global Catalog, SSSD must search all the domains in the forest sequentially. Please note that the <quote>cache_first</quote> option might be also helpful in speeding up domainless searches. Note that if only a subset of POSIX attributes is present in the Global Catalog, the non-replicated attributes are currently not read from the LDAP port.�By default, the Authenticated Users group is present on a GPO and this group has both Read and Apply Group Policy access rights. Since authentication of a user must have been completed successfully before GPO security filtering and access control are started, the Authenticated Users group permissions on the GPO always apply also to the user.�By default, the SSSD connects to the Global Catalog first to retrieve users from trusted domains and uses the LDAP port to retrieve group memberships or as a fallback. Disabling this option makes the SSSD only connect to the LDAP port of the current AD server.�CERTIFICATE MAPPING SECTION�CONFIGURATION OPTIONS�CONFIGURATION SNIPPETS FROM INCLUDE DIRECTORY�Case insensitive.�Case sensitive. This value is invalid for AD provider.�Changes the behavior of the ID-mapping algorithm to behave more similarly to winbind's <quote>idmap_autorid</quote> algorithm.�Comma separated list of access control options. Allowed values are:�Comma separated list of domain names the rule should be applied. By default a rule is only valid in the domain configured in sssd.conf. If the provider supports subdomains this option can be used to add the rule to subdomains as well.�Comma separated list of domains and subdomains representing the lookup order that will be followed. The list doesn't have to include all possible domains as the missing domains will be looked up based on the order they're presented in the <quote>domains</quote> configuration option. The subdomains which are not listed as part of <quote>lookup_order</quote> will be looked up in a random order for each parent domain.�Comma separated list of groups that are allowed to log in. This applies only to groups within this SSSD domain. Local groups are not evaluated.�Comma separated list of groups that are explicitly denied access. This applies only to groups within this SSSD domain. Local groups are not evaluated.�Comma separated list of services that are started when sssd itself starts. <phrase condition="have_systemd"> The services' list is optional on platforms where systemd is supported, as they will either be socket or D-Bus activated when needed. </phrase>�Comma separated list of users who are allowed to log in.�Comma separated list of users who are explicitly denied access.�Comma-separated list of LDAP attributes that SSSD would fetch along with the usual set of user attributes.�Configuration�Configuring SSSD to fetch sudo rules�Configuring sudo to cooperate with SSSD�Configuring sudo with the SSSD back end�Controls if SSSD should monitor the state of resolv.conf to identify when it needs to update its internal DNS resolver.�Controls what kind of messages are shown to the user during authentication. The higher the number to more messages are displayed.�Create user's private group unconditionally from user's UID number. The GID number is ignored in this case.�Currently SSSD basically only supports LDAP to lookup user information (the exception is the proxy provider which is not of relevance here). Because of this the mapping rule is based on LDAP search filter syntax with templates to add certificate content to the filter. It is expected that the filter will only contain the specific data needed for the mapping and that the caller will embed it in another filter to do the actual search. Because of this the filter string should start and stop with '(' and ')' respectively.�Currently sssd supports the following values:�Currently supported debug levels:�Currently the following filters are supported: <placeholder type="variablelist" id="0"/>�Currently this feature supports only ActiveDirectory objectSID mapping.�DESCRIPTION�DNS update is by default performed in two steps - IPv4 update and then IPv6 update. In some cases it might be desirable to perform IPv4 and IPv6 update in single step.�DOMAIN LIST�DOMAIN SECTIONS�Default regular expression that describes how to parse the string containing user name and domain into these components.�Default:�Default: "none"�Default: /bin/sh�Default: /tmp�Default: 0�Default: 0 (No limit)�Default: 0 (disabled)�Default: 0 (only the root user is allowed to access the PAC responder)�Default: 0 (unlimited)�Default: 1�Default: 1 for min_id, 0 (no limit) for max_id�Default: 10�Default: 1000�Default: 1000 (often the size of one page)�Default: 120�Default: 1200 (seconds)�Default: 14400 (4 hours)�Default: 15�Default: 180�Default: 2�Default: 200000�Default: 2000200000�Default: 21600 (6 hours)�Default: 3�Default: 300�Default: 5�Default: 5 (seconds)�Default: 50�Default: 5400�Default: 6�Default: 60�Default: 60 (minutes)�Default: 60, KCM: 300�Default: 7 (Kerberos), 0 (LDAP)�Default: 8�Default: 8192 (or limits.conf "hard" limit)�Default: 86400 (24 hours)�Default: 900 (15 minutes)�Default: <filename>/etc/sssd/sssd.conf</filename>�Default: <filename>/home/%d/%u</filename>�Default: <quote>%1$s@%2$s</quote>.�Default: <quote>auth_provider</quote> is used if it is set and can handle change password requests.�Default: <quote>id_provider</quote> is used if it is set and can handle authentication requests.�Default: <quote>id_provider</quote> is used if it is set and can handle selinux loading requests.�Default: <quote>id_provider</quote> is used if it is set and can perform session related tasks.�Default: <quote>permit</quote>�Default: All users are considered trusted by default�Default: Distribution-specific and specified at build-time. (__LIBKRB5_DEFAULTS__ if not configured)�Default: Empty�Default: Empty (this is handled as <emphasis>never</emphasis> by the LDAP client libraries)�Default: Empty. Matches no groups.�Default: Empty. Matches no users.�Default: FALSE�Default: False�Default: False (disabled)�Default: False (let nsupdate choose the protocol)�Default: GSS-TSIG�Default: If not set, the value of the defaultNamingContext or namingContexts attribute from the RootDSE of the LDAP server is used. If defaultNamingContext does not exist or has an empty value namingContexts is used. The namingContexts attribute must have a single value with the DN of the search base of the LDAP server to make this work. Multiple values are are not supported.�Default: KRB5:<EKU>clientAuth, i.e. only certificates which have the Extended Key Usage <quote>clientAuth</quote>�Default: None (let nsupdate choose the server)�Default: Not set�Default: Not set (SSSD will use the value retrieved from LDAP)�Default: Not set. The user shell is automatically used.�Default: System defaults, see <filename>/etc/krb5.conf</filename>�Default: System keytab, normally <filename>/etc/krb5.keytab</filename>�Default: TRUE�Default: The location named "default"�Default: The value of <quote>id_provider</quote> is used if it is set.�Default: True�Default: True (False for AD provider)�Default: True for AD and IPA otherwise False.�Default: Use base DN�Default: Use the IP addresses of the interface which is used for IPA LDAP connection�Default: Use the KDC�Default: Use the domain part of machine's hostname�Default: Use the system default (usually specified by ldap.conf)�Default: accountExpires�Default: authorizedService�Default: auto.master�Default: cn�Default: cn (rfc2307, autofs_provider=ad), otherwise automountKey�Default: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)�Default: cn=ppolicy,ou=policies,$ldap_search_base�Default: empty, i.e. ldap_uri is used.�Default: enforcing�Default: entry_cache_timeout�Default: exop�Default: false�Default: false (netlink changes are detected)�Default: false;�Default: filter�Default: fqdn�Default: gecos�Default: gidNumber�Default: groupType in the AD provider, otherwise not set�Default: hard�Default: host�Default: host/hostname@REALM�Default: ipService�Default: ipServicePort�Default: ipServiceProtocol�Default: ipaAnchorUUID�Default: ipaExternalMember in the IPA provider, otherwise unset.�Default: ipaGroupOverride�Default: ipaOverrideAnchor�Default: ipaUserOverride�Default: ipv4_first�Default: krbLastPwdChange�Default: krbPasswordExpiration�Default: krbPrincipalName�Default: ldap�Default: loginAllowedTimeMap�Default: loginDisabled�Default: loginShell�Default: mail�Default: memberNisNetgroup�Default: memberOf�Default: memberuid (rfc2307) / member (rfc2307bis)�Default: modifyTimestamp�Default: nisMap (rfc2307, autofs_provider=ad), otherwise automountMap�Default: nisMapEntry (rfc2307, autofs_provider=ad), otherwise automountInformation�Default: nisMapName (rfc2307, autofs_provider=ad), otherwise automountMapName�Default: nisNetgroup�Default: nisNetgroupTriple�Default: nisObject (rfc2307, autofs_provider=ad), otherwise automount�Default: none�Default: not set�Default: not set (Return NULL if no shell is specified and rely on libc to substitute something sensible when necessary, usually /bin/sh)�Default: not set (SSSD will use the value retrieved from LDAP)�Default: not set (both options are set to 0)�Default: not set (krb5.include.d subdirectory of SSSD's pubconf directory)�Default: not set (no substitution for unset home directories)�Default: not set (spaces will not be replaced)�Default: not set in the general case, objectGUID for AD and ipaUniqueID for IPA�Default: not set, fallback to InfoPipe option�Default: not set, i.e. FAST is not used.�Default: not set, i.e. do not restrict certificate verification�Default: not set, i.e. service discovery is disabled�Default: not set, i.e. the TGT is not renewable�Default: not set, i.e. the default ticket lifetime configured on the KDC.�Default: not set, process will run as root�Default: not specified�Default: nsAccountLock�Default: nsContainer�Default: objectSid for ActiveDirectory, not set for other servers.�Default: password�Default: permissive�Default: posix�Default: posixAccount�Default: posixGroup�Default: rfc2307�Default: rhost�Default: root�Default: serverHostname�Default: sha1 (to allow compatibility with RFC5019-compliant responder)�Default: shadowExpire�Default: shadowInactive�Default: shadowLastChange�Default: shadowMax�Default: shadowMin�Default: shadowWarning�Default: sshPublicKey�Default: sudoCommand�Default: sudoHost�Default: sudoNotAfter�Default: sudoNotBefore�Default: sudoOption�Default: sudoOrder�Default: sudoRole�Default: sudoRunAsGroup�Default: sudoRunAsUser�Default: sudoUser�Default: the configured domain in sssd.conf�Default: the default set of PAM service names includes:�Default: the lowest priority�Default: the value of <emphasis>cn=ad,cn=etc,%basedn</emphasis>�Default: the value of <emphasis>cn=trusts,%basedn</emphasis>�Default: the value of <emphasis>cn=views,cn=accounts,%basedn</emphasis>�Default: the value of <emphasis>ldap_search_base</emphasis>�Default: the value of krb5_realm.�Default: true�Default: true on platforms where inotify is supported. False on other platforms.�Default: uid (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)�Default: uidNumber�Default: unset (LDAP), primaryGroupID (AD)�Default: use OpenLDAP defaults, typically in <filename>/etc/openldap/ldap.conf</filename>�Default: userAccountControl�Default: userCertificate;binary�Defines how the user is found for a given certificate.�Defines the amount of time (in seconds) to wait for a reply from the internal fail over service before assuming that the service is unreachable. If this timeout is reached, the domain will continue to operate in offline mode.�Deprecated. Use ldap_host_search_base instead.�Determine how often to check the cache for inactive entries (such as groups with no members and users who have never logged in) and remove them to save space.�Determines if a domain can be enumerated, that is, whether the domain can list all the users and group it contains. Note that it is not required to enable enumeration in order for secondary groups to be displayed. This parameter can have one of the following values:�Different configuration options are tunable for a trusted domain depending on whether you are configuring SSSD on an IPA server or an IPA client.�Digest (hash) function used to create the certificate ID for the OCSP request. Allowed values are:�Directory on the filesystem where SSSD should store Kerberos replay cache files.�Disable Active Directory range retrieval.�Disable the LDAP paging control. This option should be used if the LDAP server reports that it supports the LDAP paging control in its RootDSE but it is not enabled or does not behave properly.�Disables Online Certificate Status Protocol (OCSP) checks. This might be needed if the OCSP servers defined in the certificate are not reachable from the client.�Disables verification completely. This option should only be used for testing.�Display a warning N days before the password expires.�Display help message and exit.�Do a binary match with the base64 encoded blob against all otherName SAN components. With this option it is possible to match against custom otherName components with special encodings which could not be treated as strings.�Do certificate based authentication, i.e. authentication with a Smartcard or similar devices. If a Smartcard is not available the user will be prompted to insert one. SSSD will wait for a Smartcard until the timeout defined by p11_wait_for_card_timeout passed, please see <citerefentry><refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry> for details.�Do not return group members for group lookups.�Do not send any environment variables to any service.�Do not send environment variable var_name to any service.�Do not send environment variable var_name to service.�ENV�ENV:var_name�ENV:var_name:service�EXAMPLE�EXAMPLES�Each domain can have an individual format string configured. See DOMAIN SECTIONS for more info on this option.�Each domain can have an individual regular expression configured. For some ID providers there are also default regular expressions. See DOMAIN SECTIONS for more info on these regular expressions.�Each rule has four components, a <quote>priority</quote>, a <quote>matching rule</quote>, a <quote>mapping rule</quote> and a <quote>domain list</quote>. All components are optional. A missing <quote>priority</quote> will add the rule with the lowest priority. The default <quote>matching rule</quote> will match certificates with the digitalSignature key usage and clientAuth extended key usage. If the <quote>mapping rule</quote> is empty the certificates will be searched in the userCertificate attribute as DER encoded binary. If no domains are given only the local domain will be searched.�Enable certificate based Smartcard authentication. Since this requires additional communication with the Smartcard which will delay the authentication process this option is disabled by default.�Enable debug backtrace.�Enables DNS sites - location based service discovery.�Enables flexible authentication secure tunneling (FAST) for Kerberos pre-authentication. The following options are supported:�Enabling this option can also make access provider checks for group membership significantly faster, especially for groups containing many members.�Enumerating a domain requires SSSD to download and store ALL user and group entries from the remote server.�Example:�Example: <EKU>clientAuth,1.3.6.1.5.2.3.4�Example: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$�Example: <KU>digitalSignature,keyEncipherment�Example: <SAN>.*@MY\.REALM�Example: <SAN:1.2.3.4>test�Example: <SAN:Principal>.*@MY\.REALM�Example: <SAN:dNSName>.*\.my\.dns\.domain�Example: <SAN:directoryName>.*,DC=com�Example: <SAN:ediPartyName>MTIz�Example: <SAN:iPAddress>192\.168\..*�Example: <SAN:ntPrincipalName>.*@MY.AD.REALM�Example: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM�Example: <SAN:otherName>MTIz�Example: <SAN:registeredID>1\.2\.3\..*�Example: <SAN:rfc822Name>.*@email\.domain�Example: <SAN:uniformResourceIdentifier>URN:.*�Example: <SAN:x400Address>MTIz�Example: <SUBJECT>.*,DC=MY,DC=DOMAIN�Example: (attr:binary={subject_ediparty_name})�Example: (attr:binary={subject_x400_address})�Example: (ip={subject_ip_address})�Example: (ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad})�Example: (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})�Example: (oid={subject_registered_id})�Example: (orig_dn={subject_directory_name})�Example: (uri={subject_uri})�Example: (userCertificate;binary={cert!bin})�Example: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name}))�Example: (|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name}))�Example: (|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name}))�Example: (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))�Example: 389 DS has a bug where it can only support a one paging control at a time on a single connection. On busy clients, this can result in some requests being denied.�Example: <placeholder type="programlisting" id="0"/>�Example: <placeholder type="programlisting" id="0"/> or <placeholder type="programlisting" id="1"/> To find suitable URI please check the debug output of p11_child. As an alternative the GnuTLS utility 'p11tool' with e.g. the '--list-all' will show PKCS#11 URIs as well.�Example: OpenLDAP servers with the paging control module installed on the server but not enabled will report it in the RootDSE but be unable to use it.�Example: cn=ppolicy,ou=policies,dc=example,dc=com�Example: dyndns_iface = em1, vnet1, vnet2�Examples:�Exclude certain users or groups from being fetched from the sss NSS database. This is particularly useful for system accounts. This option can also be set per-domain or include fully-qualified names to filter only users from the particular domain or by a user principal name (UPN).�Extended key usages which are not listed above can be specified with their OID in dotted-decimal notation.�FAILOVER�FALSE = No enumerations for this domain�FILE FORMAT�FILES�Failover Syntax�False�Feature is only supported for `logger == files` (i.e. setting doesn't have effect for other logger types).�File Formats and Conventions�Following options are usable in more than one configuration sections.�For an easy way to configure a non-POSIX domains, please see the <quote>Application domains</quote> section.�For any PAM request while SSSD is online, the SSSD will attempt to immediately update the cached identity information for the user in order to ensure that authentication takes place with the latest information.�For example, if the domain's entry_cache_timeout is set to 30s and entry_cache_nowait_percentage is set to 50 (percent), entries that come in after 15 seconds past the last cache update will be returned immediately, but the SSSD will go and update the cache on its own, so that future requests will not need to block waiting for a cache update.�For example, to configure sudo to first lookup rules in the standard <citerefentry> <refentrytitle>sudoers</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> file (which should contain rules that apply to local users) and then in SSSD, the nsswitch.conf file should contain the following line:�For examples of this syntax, please refer to the <quote>ldap_search_base</quote> examples section.�For explicit IPv6 addresses, <host> must be enclosed in brackets []�For more details about these options see their individual description in the manual page.�For more information on failover and server redundancy, see the <quote>FAILOVER</quote> section. NOTE: Even if there are no more kpasswd servers to try, the backend is not switched to operate offline if authentication against the KDC is still possible.�For more information on the service discovery mechanism, refer to RFC 2782.�For proper operation, this option must be specified in all lower-case and as the fully qualified domain name of the Active Directory domain. For example: <placeholder type="programlisting" id="0"/>�For proper operation, this option should be specified as the lower-case version of the long version of the Active Directory domain.�For subdomains, the default value is False for subdomains that use assigned POSIX IDs and True for subdomains that use automatic ID-mapping.�For the matching the subject name stored in the certificate in DER encoded ASN.1 is converted into a string according to RFC 4514. This means the most specific name component comes first. Please note that not all possible attribute names are covered by RFC 4514. The names included are 'CN', 'L', 'ST', 'O', 'OU', 'C', 'STREET', 'DC' and 'UID'. Other attribute names might be shown differently on different platform and by different tools. To avoid confusion those attribute names are best not used or covered by a suitable regular-expression.�For the reasons cited above, enabling enumeration is not recommended, especially in large environments.�For users, this affects the primary GID limit. The user will not be returned to NSS if either the UID or the primary GID is outside the range. For non-primary group memberships, those that are in range will be reported as expected.�Four schema types are currently supported:�Further connection attempts are made to machines or services marked as offline after a specified period of time; this is currently hard coded to 30 seconds.�Further, enabling enumeration may increase the time necessary to detect network disconnection, as longer timeouts are required to ensure that enumeration lookups are completed successfully. For more information, refer to the man pages for the specific id_provider in use.�GENERAL OPTIONS�GPO-based access control functionality uses GPO policy settings to determine whether or not a particular user is allowed to logon to the host. For more information on the supported policy settings please refer to the <quote>ad_gpo_map</quote> options.�General service configuration options�Group overrides can contain attributes given by�How many seconds SSSD has to wait before executing a smart refresh of sudo rules (which downloads all rules that have USN higher than the highest server USN value that is currently known by SSSD).�How many seconds SSSD will wait between executing a full refresh of sudo rules (which downloads all rules that are stored on the server).�How many seconds should nss_sss cache enumerations (requests for info about all users)�How many seconds should nss_sss consider entries valid before asking the backend again�How many seconds should nss_sss consider group entries valid before asking the backend again�How many seconds should nss_sss consider netgroup entries valid before asking the backend again�How many seconds should nss_sss consider service entries valid before asking the backend again�How many seconds should nss_sss consider user entries valid before asking the backend again�How many seconds should sudo consider rules valid before asking the backend again�How many seconds should the autofs service consider automounter maps valid before asking the backend again�How many seconds to keep a host in the managed known_hosts file after its host keys were requested.�How many seconds to keep a host ssh key after refresh. IE how long to cache the host key for.�How many seconds will pam_sss wait for p11_child to finish.�How often should the back end perform periodic DNS update in addition to the automatic update performed when the back end goes online. This option is optional and applicable only when dyndns_update is true.�ID MAPPING�IPA�If 2-Factor-Authentication (2FA) is used and credentials should be saved this value determines the minimal length the first authentication factor (long term password) must have to be saved as SHA512 hash into the cache.�If <emphasis>ldap_sudo_use_host_filter</emphasis> is <emphasis>false</emphasis> then this option has no effect.�If <option>forward_pass</option> is set the entered password is put on the stack for other PAM modules to use.�If <quote>auth_provider=ad</quote> or <quote>access_provider=ad</quote> is configured in sssd.conf then the id_provider must also be set to <quote>ad</quote>.�If <quote>auth_provider=ipa</quote> or <quote>access_provider=ipa</quote> is configured in sssd.conf then the id_provider must also be set to <quote>ipa</quote>.�If <replaceable>PROXY_COMMAND</replaceable> is specified, it is used to create the connection to the host instead of opening a socket.�If SSSD's PAM responder is not running, e.g. if the PAM responder socket is not available, pam_sss will return PAM_USER_UNKNOWN when called as <option>account</option> module to avoid issues with users from other sources during access control.�If Smartcard authentication is required how many extra seconds in addition to p11_child_timeout should the PAM responder wait until a Smartcard is inserted.�If USN attributes are not supported by the server, the modifyTimestamp attribute is used instead.�If a connection cannot be established to an OCSP responder the OCSP check is skipped. This option should be used to allow authentication when the system is offline and the OCSP responder cannot be reached.�If a password reset by root fails, because the corresponding SSSD provider does not support password resets, an individual message can be displayed. This message can e.g. contain instructions about how to reset a password.�If a special file (<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>) exists SSSD's PAM module pam_sss will ask SSSD to figure out which authentication methods are available for the user trying to log in. Based on the results pam_sss will prompt the user for appropriate credentials.�If access_provider=ldap and ldap_access_order=authorized_service, SSSD will use the presence of the authorizedService attribute in the user's LDAP entry to determine access privilege.�If access_provider=ldap and ldap_access_order=host, SSSD will use the presence of the host attribute in the user's LDAP entry to determine access privilege.�If access_provider=ldap and ldap_access_order=rhost, SSSD will use the presence of the rhost attribute in the user's LDAP entry to determine access privilege. Similarly to host verification process.�If all lists are empty, access is granted�If any list is provided, the order of evaluation is allow,deny. This means that any matching deny rule will supersede any matched allow rule.�If either or both "allow" lists are provided, all users are denied unless they appear in the list.�If enabled, SSSD will store only rules that can be applied to this machine. This means rules that contain one of the following values in <emphasis>sudoHost</emphasis> attribute:�If ldap_group_nesting_level is set to 0 then no nested groups are processed at all. However, when connected to Active-Directory Server 2008 and later using <quote>id_provider=ad</quote> it is furthermore required to disable usage of Token-Groups by setting ldap_use_tokengroups to false in order to restrict group nesting.�If ldap_schema is set to a schema format that supports nested groups (e.g. RFC2307bis), then this option controls how many levels of nesting SSSD will follow. This option has no effect on the RFC2307 schema.�If no Smartcard is available after the timeout or certificate based authentication is not allowed for the current service PAM_AUTHINFO_UNAVAIL is returned.�If no Smartcard is available or certificate based authentication is not allowed for the current service PAM_AUTHINFO_UNAVAIL is returned.�If no servers are specified, the back end automatically uses service discovery to try to find a server. Optionally, the user may choose to use both fixed server addresses and service discovery by inserting a special keyword, <quote>_srv_</quote>, in the list of servers. The order of preference is maintained. This feature is useful if, for example, the user prefers to use service discovery whenever possible, and fall back to a specific server when no servers can be discovered using DNS.�If only "deny" lists are provided, all users are granted access unless they appear in the list.�If service discovery is used in the back end, specifies the domain part of the service discovery DNS query.�If set to 0 the user cannot authenticate offline if offline_failed_login_attempts has been reached. Only a successful online authentication can enable offline authentication again.�If set to TRUE, all requests to this domain must use fully qualified names. For example, if used in LOCAL domain that contains a "test" user, <command>getent passwd test</command> wouldn't find the user while <command>getent passwd test@LOCAL</command> would.�If set to TRUE, the group membership attribute is not requested from the ldap server, and group members are not returned when processing group lookup calls, such as <citerefentry> <refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum> </citerefentry> or <citerefentry> <refentrytitle>getgrgid</refentrytitle> <manvolnum>3</manvolnum> </citerefentry>. As an effect, <quote>getent group $groupname</quote> would return the requested group as if it was empty.�If set to true the <command>sss_ssh_authorizedkeys</command> will return ssh keys derived from the public key of X.509 certificates stored in the user entry as well. See <citerefentry> <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> <manvolnum>1</manvolnum> </citerefentry> for details.�If set to true, the LDAP library would perform a reverse lookup to canonicalize the host name during a SASL bind.�If specified the user is asked another N times for a password if authentication fails. Default is 0.�If the UID and GID of a user are different, then the GID must correspond to a group entry, otherwise the GID is simply not resolvable.�If the authentication provider is offline, how long should we allow cached logins (in days since the last successful online login).�If the authentication provider is offline, how many failed login attempts are allowed.�If the backend supports sub-domains the value of ldap_sasl_mech is automatically inherited to the sub-domains. If a different value is needed for a sub-domain it can be overwritten by setting ldap_sasl_mech for this sub-domain explicitly. Please see TRUSTED DOMAIN SECTION in <citerefentry><refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry> for details.�If the change password service is not running on the KDC, alternative servers can be defined here. An optional port number (preceded by a colon) may be appended to the addresses or hostnames.�If the domain list is not empty users mapped to a given certificate are not only searched in the local domain but in the listed domains as well as long as they are know by SSSD. Domains not know to SSSD will be ignored.�If the environment variable SSSD_KRB5_LOCATOR_DEBUG is set to any value debug messages will be sent to stderr.�If the environment variable SSSD_KRB5_LOCATOR_DISABLE is set to any value the plugin is disabled and will just return KRB5_PLUGIN_NO_HANDLE to the caller.�If the environment variable SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES is set to any value plugin will try to resolve all DNS names in kdcinfo file. By default plugin returns KRB5_PLUGIN_NO_HANDLE to the caller immediately on first DNS resolving failure.�If the keyword equals to <quote>DOM</quote> or is missing, then <quote>NAME</quote> specifies the domain or subdomain the filter applies to. If the keyword equals to <quote>FOREST</quote>, then the filter equals to all domains from the forest specified by <quote>NAME</quote>.�If the option 'subdomains_provider = ipa' is found in the domain section of sssd.conf, the IPA subdomains provider is configured explicitly, and all subdomain requests are sent to the IPA server if necessary.�If the option 'subdomains_provider' is not set in the domain section of sssd.conf but there is the option 'id_provider = ipa', the IPA subdomains provider is configured implicitly. In this case, if a subdomain request fails and indicates that the server does not support subdomains, i.e. is not configured for trusts, the IPA subdomains provider is disabled. After an hour or after the IPA provider goes online, the subdomains provider is enabled again.�If the option <quote>ldap_use_tokengroups</quote> is enabled, the searches against Active Directory will not be restricted and return all groups memberships, even with no GID mapping. It is recommended to disable this feature, if group names are not being displayed correctly.�If the remote user does not exist in the cache, it is created. The UID is determined with the help of the SID, trusted domains will have UPGs and the GID will have the same value as the UID. The home directory is set based on the subdomain_homedir parameter. The shell will be empty by default, i.e. the system defaults are used, but can be overwritten with the default_shell parameter.�If there are SIDs of groups from domains sssd knows about, the user will be added to those groups.�If there are no more machines to try, the back end as a whole switches to offline mode, and then attempts to reconnect every 30 seconds.�If this option is empty, SSSD will try to discover the addresses automatically.�If this option is empty, SSSD will try to discover the hostname and the fully qualified domain name automatically.�If this option is specified and the user does not exist, the PAM module will return PAM_IGNORE. This causes the PAM framework to ignore this module.�If true and service discovery (see Service Discovery paragraph at the bottom of the man page) is enabled, the SSSD will first attempt to discover the Active Directory server to connect to using the Active Directory Site Discovery and fall back to the DNS SRV records if no AD site is found. The DNS SRV configuration, including the discovery domain, is used during site discovery as well.�If true and service discovery (see Service Discovery paragraph at the bottom of the man page) is enabled, then the SSSD will first attempt location based discovery using a query that contains "_location.hostname.example.com" and then fall back to traditional SRV discovery. If the location based discovery succeeds, the IPA servers located with the location based discovery are treated as primary servers and the IPA servers located using the traditional SRV discovery are used as back up servers�If true then SSSD will download every rule that contains a netgroup in sudoHost attribute.�If true then SSSD will download every rule that contains a wildcard in sudoHost attribute.�If true, SSSD will download only rules that are applicable to this machine (using the IPv4 or IPv6 host/network addresses and hostnames).�If using access_provider = ldap and ldap_access_order = filter (default), this option is mandatory. It specifies an LDAP search filter criteria that must be met for the user to be granted access on this host. If access_provider = ldap, ldap_access_order = filter and this option is not set, it will result in all users being denied access. Use access_provider = permit to change this default behavior. Please note that this filter is applied on the LDAP user entry only and thus filtering based on nested groups may not work (e.g. memberOf attribute on AD entries points only to direct parents). If filtering based on nested groups is required, please see <citerefentry> <refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> </citerefentry>.�If you want filtered user still be group members set this option to false.�If zero is set, then this filter is not applied, i.e. if the expiration warning was received from backend server, it will automatically be displayed.�In IPA provider, ipa_netgroup_member should be used instead.�In IPA provider, ipa_netgroup_name should be used instead.�In IPA provider, ipa_netgroup_object_class should be used instead.�In case SSSD is run with debug_level less than 9, everything is logged to a ring buffer in memory and flushed to a log file on any error up to and including `min(0x0040, debug_level)` (i.e. if debug_level is explicitly set to 0 or 1 then only those error levels will trigger backtrace, otherwise up to 2).�In contrast to the SID based ID mapping which is used if ldap_id_mapping is set to true the allowed ID range for ldap_user_uid_number and ldap_group_gid_number is unbound. In a setup with sub/trusted-domains this might lead to ID collisions. To avoid collisions ldap_min_id and ldap_max_id can be set to restrict the allowed range for the IDs which are read directly from the server. Sub-domains can then pick other ranges to map IDs.�In environments with read-only and read-write KDCs where clients are expected to use the read-only instances for the general operations and only the read-write KDC for config changes like password changes a <filename>kpasswdinfo.REALM</filename> is used as well to identify read-write KDCs. If this file exists for the given realm the content will be used by the plugin to reply to requests for a kpasswd or kadmin server or for the MIT Kerberos specific master KDC. If the address contains a port number the default KDC port 88 will be used for the latter.�In general it is recommended to use attributes from the certificate and add them to special attributes to the LDAP user object. E.g. the 'altSecurityIdentities' attribute in AD or the 'ipaCertMapData' attribute for IPA can be used.�In order to function correctly, a domain with <quote>id_provider=local</quote> must be created and the SSSD must be running.�In some environments where the RFC2307 schema is used, local users are made members of LDAP groups by adding their names to the memberUid attribute. The self-consistency of the domain is compromised when this is done, so SSSD would normally remove the "missing" users from the cached group memberships as soon as nsswitch tries to fetch information about the user via getpw*() or initgroups() calls.�In the case where the UPN is not available in the identity backend, <command>sssd</command> will construct a UPN using the format <replaceable>username</replaceable>@<replaceable>krb5_realm</replaceable>.�Individual pieces of SSSD functionality are provided by special SSSD services that are started and stopped together with SSSD. The services are managed by a special service frequently called <quote>monitor</quote>. The <quote>[sssd]</quote> section is used to configure the monitor as well as some other important options like the identity domains. <placeholder type="variablelist" id="0"/>�Informs the SSSD to gracefully terminate all of its child processes and then shut down the monitor.�Interactive mode for entering user information. This option will only prompt for information not provided in the options or retrieved from the domain.�Internally the priority is treated as unsigned 32bit integer, using a priority value larger than 4294967295 will cause an error.�Invalidate all autofs maps. This option overrides invalidation of specific map if it was also set.�Invalidate all group records. This option overrides invalidation of specific group if it was also set.�Invalidate all netgroup records. This option overrides invalidation of specific netgroup if it was also set.�Invalidate all service records. This option overrides invalidation of specific service if it was also set.�Invalidate all user records. This option overrides invalidation of specific user if it was also set.�Invalidate specific autofs maps.�Invalidate specific group.�Invalidate specific netgroup.�Invalidate specific service.�Invalidate specific user.�It is possible to add a subsection for specific PAM services, e.g. <quote>[prompting/password/sshd]</quote> to individual change the prompting for this service.�It is possible to add another PAM service name to the default set by using <quote>+service_name</quote> or to explicitly remove a PAM service name from the default set by using <quote>-service_name</quote>. For example, in order to replace a default PAM service name for authentication with Smartcards (e.g. <quote>login</quote>) with a custom PAM service name (e.g. <quote>my_pam_service</quote>), you would use the following configuration: <placeholder type="programlisting" id="0"/>�KPClientAuth�Kerberos locator plugin�LDAP ACCESS FILTER EXAMPLE�LDAP:(userCertificate;binary={cert!bin}) for LDAP based providers like <quote>ldap</quote>, <quote>AD</quote> or <quote>ipa</quote>.�Lifetime of the PAC entry in seconds. As long as the PAC is valid the PAC data can be used to determine the group memberships of a user.�MAPPING RULE�MATCHING RULE�MODULE TYPES PROVIDED�Mapping Algorithm�Match the Kerberos principals from the AD NT Principal SAN.�Match the Kerberos principals from the PKINIT SAN.�Match the Kerberos principals in the PKINIT or AD NT Principal SAN.�Match the value of the dNSName SAN.�Match the value of the directoryName SAN. The same comments as given for <ISSUER> and <SUBJECT> apply here as well.�Match the value of the iPAddress SAN.�Match the value of the registeredID SAN as dotted-decimal string.�Match the value of the rfc822Name SAN.�Match the value of the uniformResourceIdentifier SAN.�Maximum number of expired rules that can be refreshed at once. If number of expired rules is below threshold, those rules are refreshed with <quote>rules refresh</quote> mechanism. If the threshold is exceeded a <quote>full refresh</quote> of sudo rules is triggered instead. This threshold number also applies to IPA sudo command and command group searches.�Minimum configuration (in the <quote>[domain/DOMAINNAME]</quote> section):�More information about configuring the sudoers search order from the nsswitch.conf file as well as information about the LDAP schema that is used to store sudo rules in the directory can be found in <citerefentry> <refentrytitle>sudoers.ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Multiple filters can be separated with the <quote>?</quote> character, similarly to how search bases work.�NOTE: Because the GID number and the user private group are inferred from the UID number, it is not supported to have multiple entries with the same UID or GID number with this option. In other words, enabling this option enforces uniqueness across the ID space.�NOTE: If the environment variable SSS_NSS_USE_MEMCACHE is set to "NO", client applications will not use the fast in-memory cache.�NOTE: If the operation mode is set to enforcing, it is possible that users that were previously allowed logon access will now be denied logon access (as dictated by the GPO policy settings). In order to facilitate a smooth transition for administrators, a permissive mode is available that will not enforce the access control rules, but will evaluate them and will output a syslog message if access would have been denied. By examining the logs, administrators can then make the necessary changes before setting the mode to enforcing. For logging GPO-based access control debug level 'trace functions' is required (see <citerefentry> <refentrytitle>sssctl</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> manual page).�NOTE: It is possible to encounter collisions in the hash and subsequent modulus. In these situations, we will select the next available slice, but it may not be possible to reproduce the same exact set of slices on other machines (since the order that they are encountered will determine their slice). In this situation, it is recommended to either switch to using explicit POSIX attributes in Active Directory (disabling ID-mapping) or configure a default domain to guarantee that at least one is always consistent. See <quote>Configuration</quote> for details.�NOTE: On older systems (such as RHEL 5), for this behavior to work reliably, the default Kerberos realm must be set properly in /etc/krb5.conf�NOTE: The application domains are currently well tested with <quote>id_provider=ldap</quote> only.�NOTE: The filter_groups option doesn't affect inheritance of nested group members, since filtering happens after they are propagated for returning via NSS. E.g. a group having a member group filtered out will still have the member users of the latter listed.�NOTE: There are currently some assumptions that must be met when SSSD is running on an IPA server.�NOTE: This algorithm is non-deterministic (it depends on the order that users and groups are requested). If this mode is required for compatibility with machines running winbind, it is recommended to also use the <quote>ldap_idmap_default_domain_sid</quote> option to guarantee that at least one domain is consistently allocated to slice zero.�NOTE: This option has no effect on netgroup lookups due to their tendency to include nested netgroups without qualified names. For netgroups, all domains will be searched when an unqualified name is requested.�NOTE: This option is different from <quote>max_id</quote> in that <quote>max_id</quote> acts to filter the output of requests to this domain, whereas this option controls the range of ID assignment. This is a subtle distinction, but the good general advice would be to have <quote>max_id</quote> be greater-than or equal to <quote>ldap_idmap_range_max</quote>�NOTE: This option is different from <quote>min_id</quote> in that <quote>min_id</quote> acts to filter the output of requests to this domain, whereas this option controls the range of ID assignment. This is a subtle distinction, but the good general advice would be to have <quote>min_id</quote> be less-than or equal to <quote>ldap_idmap_range_min</quote>�NOTE: When ID-mapping is enabled, the uidNumber and gidNumber attributes are ignored. This is to avoid the possibility of conflicts between automatically-assigned and manually-assigned values. If you need to use manually-assigned values, ALL values must be manually-assigned.�NOTE: While it is still possible to use the old <emphasis>ipa_dyndns_iface</emphasis> option, users should migrate to using <emphasis>dyndns_iface</emphasis> in their config file.�NOTE: While it is still possible to use the old <emphasis>ipa_dyndns_ttl</emphasis> option, users should migrate to using <emphasis>dyndns_ttl</emphasis> in their config file.�NOTE: While it is still possible to use the old <emphasis>ipa_dyndns_update</emphasis> option, users should migrate to using <emphasis>dyndns_update</emphasis> in their config file.�NOTE: using this option (having it set to anything) has a considerable performance cost, because each uncached request for a user requires retrieving and matching the groups the user is member of.�NOTES�NSS configuration options�Name of the LDAP attribute containing the X509 certificate of the user.�Name of the LDAP attribute containing the email address of the user.�Name of the attribute containing the reference to the original object in a remote domain.�Name of the attribute holding the name of the view.�Name of the objectclass for group overrides. It is used to determine if the found override object is related to a user or a group.�Name of the objectclass for user overrides. It is used to determine if the found override object is related to a user or a group.�Nested group membership must be searched for using a special OID <quote>:1.2.840.113556.1.4.1941:</quote> in addition to the full DOM:domain.example.org: syntax to ensure the parser does not attempt to interpret the colon characters associated with the OID. If you do not use this OID then nested group membership will not be resolved. See usage example below and refer here for further information about the OID: <ulink url="https://msdn.microsoft.com/en-us/library/cc223367.aspx"> [MS-ADTS] section LDAP extensions</ulink>�No discovered trusted domains will be enumerated�No users are recorded.�Normally when no applicable GPOs are found the users are allowed access. When this option is set to True users will be allowed access only when explicitly allowed by a GPO rule. Otherwise users will be denied access. This can be used to harden security but be careful when using this option because it can deny access even to users in the built-in Administrators group if no GPO rules apply to them.�Normally when some group policy containers (AD object) of applicable group policy objects are not readable by SSSD then users are denied access. This option allows to ignore group policy containers and with them associated policies if their attributes in group policy containers are not readable for SSSD.�Not all Kerberos implementations support the use of plugins. If <command>sssd_krb5_locator_plugin</command> is not available on your system you have to edit /etc/krb5.conf to reflect your Kerberos setup.�Note that if both options are set, only <quote>ad_server</quote> is evaluated.�Note: First, a new connection is established to verify current password by binding as the user that requested password change. If successful, this connection is used to change the password therefore the user must have write access to userPassword attribute.�Note: It is unsupported to have multiple search bases which reference identically-named objects (for example, groups with the same name in two different search bases). This will lead to unpredictable behavior on client machines.�Note: Please be aware that message is only printed for the SSH service unless pam_verbosity is set to 3 (show all messages and debug information).�Note: This option only works with the IPA and AD provider.�Note: This option specifies the guaranteed level of nested groups to be processed for any lookup. However, nested groups beyond this limit <emphasis>may be</emphasis> returned if previous lookups already resolved the deeper nesting levels. Also, subsequent lookups for other groups may enlarge the result set for original lookup if re-queried.�Note: Trusted domains will always auto-discover servers even if the primary server is explicitly defined in the ad_server option.�Note: this option is subject to change in future versions of the SSSD. It will likely be replaced at some point by a series of timeouts for specific lookup types.�Note: this option will have no effect on platforms where inotify is unavailable. On these platforms, polling will always be used.�Number of days entries are left in cache after last successful login before being removed during a cleanup of the cache. 0 means keep forever. The value of this parameter must be greater than or equal to offline_credentials_expiration.�OCSPSigning�OPTIONS�OPTIONS TUNABLE ON IPA CLIENTS�OPTIONS TUNABLE ON IPA MASTERS�Objectclass of the override objects.�Objectclass of the view container.�Offline caching for this feature is limited to determining whether the user's last online login was granted access permission. If they were granted access during their last login, they will continue to be granted access while offline and vice versa.�On an IPA server SSSD will lookup users and groups from trusted domains directly while on a client it will ask an IPA server.�One of the following strings specifying the scope of session recording: <placeholder type="variablelist" id="0"/>�Only certificates from the Smartcard which matches this rule will be processed, all others are ignored.�Optional. Applicable only when dyndns_update is true. Choose the interface or a list of interfaces whose IP addresses should be used for dynamic DNS updates. Special value <quote>*</quote> implies that IPs from all interfaces should be used.�Optional. May be set on machines where the hostname(5) does not reflect the fully qualified name used in the IPA domain to identify this host. The hostname must be fully qualified.�Optional. This option tells SSSD to automatically update the DNS server built into FreeIPA with the IP address of this client. The update is secured using GSS-TSIG. The IP address of the IPA LDAP connection is used for the updates, if it is not otherwise specified by using the <quote>dyndns_iface</quote> option.�Optional. Use the given string as search base for Desktop Profile related objects.�Optional. Use the given string as search base for HBAC related objects.�Optional. Use the given string as search base for SELinux user maps.�Optional. Use the given string as search base for host objects.�Optional. Use the given string as search base for master domain object.�Optional. Use the given string as search base for trusted domains.�Optional. Use the given string as search base for views containers.�Options usable in SERVICE and DOMAIN sections�Options usable in all sections�Options valid for proxy domains. <placeholder type="variablelist" id="0"/>�Override the login shell for all users. This option supersedes any other shell options if it takes effect and can be set either in the [nss] section or per-domain.�Override the primary GID value with the one specified.�Override the user's home directory. You can either provide an absolute value or a template. In the template, the following sequences are substituted: <placeholder type="variablelist" id="0"/>�PAC responder configuration options�PAM configuration options�PAM module for SSSD�PKCS#11 URI (see RFC-7512 for details) which can be used to restrict the selection of devices used for Smartcard authentication. By default SSSD's p11_child will search for a PKCS#11 slot (reader) where the 'removable' flags is set and read the certificates from the inserted token from the first slot found. If multiple readers are connected p11_uri can be used to tell p11_child to use a specific reader.�POSIX domains are reachable by all services. Application domains are only reachable from the InfoPipe responder (see <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>) and the PAM responder.�PRIORITY�PROMPTING CONFIGURATION SECTION�Path to a storage of trusted CA certificates. The option is used to validate user certificates before deriving public ssh keys from them.�Please note it is a configuration error to use a replacement character that might be used in user or group names. If a name contains the replacement character SSSD tries to return the unmodified name but in general the result of a lookup is undefined.�Please note that UID 0 is always allowed to access the PAM responder even in case it is not in the pam_trusted_users list.�Please note that although the UID 0 is used as the default it will be overwritten with this option. If you still want to allow the root user to access the PAC responder, which would be the typical case, you have to add 0 to the list of allowed UIDs as well.�Please note that disabling Global Catalog support does not disable retrieving users from trusted domains. The SSSD would connect to the LDAP port of trusted domains instead. However, Global Catalog must be used in order to resolve cross-domain group memberships.�Please note that if <quote>cached_auth_timeout</quote> is longer than <quote>pam_id_timeout</quote> then the back end could be called to handle <quote>initgroups.</quote>�Please note that it is a configuration error if a value is used more than once.�Please note that it is always recommended to use server side access control, i.e. the LDAP server should deny the bind request with a suitable error code even if the password is correct.�Please note that it is an configuration error if both, simple_allow_users and simple_deny_users, are defined.�Please note that obfuscating the password provides <emphasis>no real security benefit</emphasis> as it is still possible for an attacker to reverse-engineer the password back. Using better authentication mechanisms such as client side certificates or GSSAPI is <emphasis>strongly</emphasis> advised.�Please note that several attribute names are reserved by SSSD, notably the <quote>name</quote> attribute. SSSD would report an error if any of the reserved attribute names is used as an extra attribute name.�Please note that specifying scope or filter is not supported for searches against an Active Directory Server that might yield a large number of results and trigger the Range Retrieval extension in the response.�Please note that sssd only supports referral chasing when it is compiled with OpenLDAP version 2.4.13 or higher.�Please note that the application domain must still be explicitly enabled in the <quote>domains</quote> parameter so that the lookup order between the application domain and its POSIX sibling domain is set correctly.�Please note that the automounter only reads the master map on startup, so if any autofs-related changes are made to the sssd.conf, you typically also need to restart the automounter daemon after restarting the SSSD.�Please note that the backend server has to provide information about the expiration time of the password. If this information is missing, sssd cannot display a warning.�Please note that the backend server has to provide information about the expiration time of the password. If this information is missing, sssd cannot display a warning. Also an auth provider has to be configured for the backend.�Please note that the ldap_access_order configuration option <emphasis>must</emphasis> include <quote>authorized_service</quote> in order for the ldap_user_authorized_service option to work.�Please note that the ldap_access_order configuration option <emphasis>must</emphasis> include <quote>expire</quote> in order for the ldap_account_expire_policy option to work.�Please note that the ldap_access_order configuration option <emphasis>must</emphasis> include <quote>host</quote> in order for the ldap_user_authorized_host option to work.�Please note that the ldap_access_order configuration option <emphasis>must</emphasis> include <quote>rhost</quote> in order for the ldap_user_authorized_rhost option to work.�Please note that this option might not work as expected if the application calling PAM handles the user dialog on its own. A typical example is <command>sshd</command> with <option>PasswordAuthentication</option>.�Please note, rhost field in pam is set by application, it is better to check what the application sends to pam, before enabling this access control option�Please refer to the <quote>dns_discovery_domain</quote> parameter in the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page for more details.�Please see the section <quote>FAILOVER</quote> for more information about the service resolution.�Preserving�Print version number and exit.�Provide the name of the domain in which the user is a member of. The domain is also used to retrieve user information. The domain must be configured in sssd.conf. The <replaceable>DOMAIN</replaceable> option must be provided. Information retrieved from the domain overrides what is provided in the options.�Provides the ability to select preferred address family to use when performing DNS lookups.�ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h
GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts
�RULE COMPONENTS�Read the config file specified by the positional parameter.�Read: The user or one of its groups must have read access to the properties of the GPO (RIGHT_DS_READ_PROPERTY)�Refer to the section <quote>DOMAIN SECTIONS</quote> of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page for details on the configuration of an SSSD domain. <placeholder type="variablelist" id="0"/>�Regular expression for this domain that describes how to parse the string containing user name and domain into these components. The "domain" can match either the SSSD configuration domain name, or, in the case of IPA trust subdomains and Active Directory domains, the flat (NetBIOS) name of the domain.�Replace any instance of these shells with the shell_fallback�Restrict invalidation process only to a particular domain.�Restrict user shell to one of the listed values. The order of evaluation is:�Run in the foreground, don't become a daemon.�SEE ALSO�SERVICE DISCOVERY�SERVICES SECTIONS�SIGHUP�SIGTERM/SIGINT�SIGUSR1�SIGUSR2�SPECIAL SECTIONS�SSH configuration options�SSSD 1.14 and later also includes the <replaceable>debug</replaceable> alias for <replaceable>debug_level</replaceable> as a convenience feature. If both are specified, the value of <replaceable>debug_level</replaceable> will be used.�SSSD Active Directory provider�SSSD Certificate Matching and Mapping Rules�SSSD IPA provider�SSSD LDAP provider�SSSD Manual pages�SSSD can handle views and overrides which are offered by FreeIPA 4.1 and later version. Since all paths and objectclasses are fixed on the server side there is basically no need to configure anything. For completeness the related options are listed here with their default values. <placeholder type="variablelist" id="0"/>�SSSD hooks into the netlink interface to monitor changes to routes, addresses, links and trigger certain actions.�SSSD's krb5 auth-provider which is used by the IPA and AD providers as well adds the address of the current KDC or domain controller SSSD is using to this file.�SSSD, with its D-Bus interface (see <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>) is appealing to applications as a gateway to an LDAP directory where users and groups are stored. However, contrary to the traditional SSSD deployment where all users and groups either have POSIX attributes or those attributes can be inferred from the Windows SIDs, in many cases the users and groups in the application support scenario have no POSIX attributes. Instead of setting a <quote>[domain/<replaceable>NAME</replaceable>]</quote> section, the administrator can set up an <quote>[application/<replaceable>NAME</replaceable>]</quote> section that internally represents a domain with type <quote>application</quote> optionally inherits settings from a tradition SSSD domain.�SUBDOMAINS PROVIDER�SUDO OPTIONS�SUDO configuration options�Same as False (case insensitive), but does not lowercase names in the result of NSS operations. Note that name aliases (and in case of services also protocol names) are still lowercased in the output.�Save the <quote>telephoneNumber</quote> attribute from LDAP as <quote>phone</quote> to the cache.�Save the <quote>telephoneNumber</quote> attribute from LDAP as <quote>telephoneNumber</quote> to the cache.�Search for host public keys in SSSD domain <replaceable>DOMAIN</replaceable>.�Search for user public keys in SSSD domain <replaceable>DOMAIN</replaceable>.�Section parameters�See <quote>ldap_search_base</quote> for information about configuring multiple search bases.�See Also�See the <citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> manual page for more information on the locator plugin.�Select the policy to evaluate the password expiration on the client side. The following values are allowed:�Session recording configuration options�Session recording works in conjunction with <citerefentry> <refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>, a part of tlog package, to log what users see and type when they log in on a text terminal. See also <citerefentry> <refentrytitle>sssd-session-recording</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Set a default template for a user's home directory if one is not specified explicitly by the domain's data provider.�Set the GID of the user to <replaceable>GID</replaceable>.�Set the UID of the user to <replaceable>UID</replaceable>.�Set the home directory of the user to <replaceable>HOME_DIR</replaceable>.�Set the login shell of the user to <replaceable>SHELL</replaceable>.�Sets the OCSP default responder which should be used instead of the one mentioned in the certificate. URL must be replaced with the URL of the OCSP default responder e.g. http://example.com:80/ocsp.�Setting this option to zero will disable the cache cleanup operation. Please note that if enumeration is enabled, the cleanup task is required in order to detect entries removed from the server and can't be disabled. By default, the cleanup task will run every 3 hours with enumeration enabled.�Settings that can be used to configure different services are described in this section. They should reside in the [<replaceable>$NAME</replaceable>] section, for example, for NSS service, the section would be <quote>[nss]</quote>�Signals�Since any request for a user or a group identity from a trusted domain triggered from an IPA client is resolved by the IPA server, the <quote>ad_server</quote> and <quote>ad_site</quote> options only affect which AD DC will the authentication be performed against. In particular, the addresses resolved from these lists will be written to <quote>kdcinfo</quote> files read by the Kerberos locator plugin. Please refer to the <citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> manual page for more details on the Kerberos locator plugin.�Some directory servers, for example Active Directory, might deliver the realm part of the UPN in lower case, which might cause the authentication to fail. Set this option to a non-zero value if you want to use an upper-case realm.�Some of the additional NSS responder requests can return more attributes than just the POSIX ones defined by the NSS interface. The list of attributes is controlled by this option. It is handled the same way as the <quote>user_attributes</quote> option of the InfoPipe responder (see <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for details) but with no default values.�Some of the defaults for the parameters below are dependent on the LDAP schema.�Some options used in the domain section can also be used in the trusted domain section, that is, in a section called <quote>[domain/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>TRUSTED_DOMAIN_NAME</replaceable>]</quote>. Where DOMAIN_NAME is the actual joined-to base domain. Please refer to examples below for explanation. Currently supported options in the trusted domain section are:�Space separated list of IPv4 or IPv6 host/network addresses that should be used to filter the rules.�Space separated list of hostnames or fully qualified domain names that should be used to filter the rules.�Special value 0 implies that this feature is disabled.�Specifies a list of configuration parameters that should be inherited by a subdomain. Please note that only selected parameters can be inherited. Currently the following options can be inherited:�Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also controls the timeout when communicating with the KDC in case of SASL bind, the timeout of an LDAP bind operation, password change extended operation and the StartTLS operation.�Specifies a timeout (in seconds) that a connection to an LDAP server will be maintained. After this time, the connection will be re-established. If used in parallel with SASL/GSSAPI, the sooner of the two values (this value vs. the TGT lifetime) will be used.�Specifies acceptable cipher suites. Typically this is a colon separated list. See <citerefentry><refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry> for format.�Specifies an upper limit on the number of entries that are downloaded during a wildcard lookup.�Specifies for how many seconds nss_sss should cache negative cache hits (that is, queries for invalid database entries, like nonexistent ones) before asking the back end again.�Specifies for how many seconds nss_sss should keep local users and groups in negative cache before trying to look it up in the back end again. Setting the option to 0 disables this feature.�Specifies for how many seconds should the autofs responder negative cache hits (that is, queries for invalid map entries, like nonexistent ones) before asking the back end again.�Specifies how alias dereferencing is done when performing a search. The following options are allowed:�Specifies how many seconds SSSD has to wait before refreshing its cache of enumerated records.�Specifies how many seconds SSSD has to wait before triggering a background refresh task which will refresh all expired or nearly expired records.�Specifies if the SSSD should instruct the Kerberos libraries what realm and which KDCs to use. This option is on by default, if you disable it, you need to configure the Kerberos library using the <citerefentry> <refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> configuration file.�Specifies if the host principal should be canonicalized when connecting to LDAP server. This feature is available with MIT Kerberos >= 1.7�Specifies that SSSD should attempt to map user and group IDs from the ldap_user_objectsid and ldap_group_objectsid attributes instead of relying on ldap_user_uid_number and ldap_group_gid_number.�Specifies that the PAM module should return PAM_IGNORE if it cannot contact the SSSD daemon. This causes the PAM framework to ignore this module.�Specifies that the id_provider should init Kerberos credentials (TGT). This action is performed only if SASL is used and the mechanism selected is GSSAPI or GSS-SPNEGO.�Specifies the Schema Type in use on the target LDAP server. Depending on the selected schema, the default attribute names retrieved from the servers may vary. The way that some attributes are handled may also differ.�Specifies the comma-separated list of IP addresses or hostnames of the Kerberos servers to which SSSD should connect in the order of preference. For more information on failover and server redundancy, see the <quote>FAILOVER</quote> section. An optional port number (preceded by a colon) may be appended to the addresses or hostnames. If empty, service discovery is enabled - for more information, refer to the <quote>SERVICE DISCOVERY</quote> section.�Specifies the comma-separated list of IP addresses or hostnames of the Kerberos servers to which SSSD should connect, in the order of preference. For more information on failover and server redundancy, see the <quote>FAILOVER</quote> section. An optional port number (preceded by a colon) may be appended to the addresses or hostnames. If empty, service discovery is enabled; for more information, refer to the <quote>SERVICE DISCOVERY</quote> section.�Specifies the comma-separated list of UID values or user names that are allowed to access the PAC responder. User names are resolved to UIDs at startup.�Specifies the comma-separated list of UID values or user names that are allowed to run PAM conversations against trusted domains. Users not included in this list can only access domains marked as public with <quote>pam_public_domains</quote>. User names are resolved to UIDs at startup.�Specifies the comma-separated list of URIs of the LDAP servers to which SSSD should connect in the order of preference to change the password of a user. Refer to the <quote>FAILOVER</quote> section for more information on failover and server redundancy.�Specifies the comma-separated list of URIs of the LDAP servers to which SSSD should connect in the order of preference. Refer to the <quote>FAILOVER</quote> section for more information on failover and server redundancy. If neither option is specified, service discovery is enabled. For more information, refer to the <quote>SERVICE DISCOVERY</quote> section.�Specifies the comma-separated list of domain names that are accessible even to untrusted users.�Specifies the file that contains certificates for all of the Certificate Authorities that <command>sssd</command> will recognize.�Specifies the file that contains the certificate for the client's key.�Specifies the file that contains the client's key.�Specifies the lifetime in seconds of the TGT if GSSAPI or GSS-SPNEGO is used.�Specifies the name of the Active Directory domain. This is optional. If not provided, the configuration domain name is used.�Specifies the name of the IPA domain. This is optional. If not provided, the configuration domain name is used.�Specifies the number of IDs available for each slice. If the range size does not divide evenly into the min and max values, it will create as many complete slices as it can.�Specifies the server principal to use for FAST.�Specifies the service name to use to find an LDAP server which allows password changes when service discovery is enabled.�Specifies the service name to use when service discovery is enabled.�Specifies the timeout (in seconds) after which the <citerefentry> <refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> </citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> <manvolnum>2</manvolnum> </citerefentry> following a <citerefentry> <refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> </citerefentry> returns in case of no activity.�Specifies the timeout (in seconds) that ldap searches are allowed to run before they are cancelled and cached results are returned (and offline mode is entered)�Specifies the timeout (in seconds) that ldap searches for user and group enumerations are allowed to run before they are cancelled and cached results are returned (and offline mode is entered)�Specifies time in seconds for which records in the in-memory cache will be valid. Setting this option to zero will disable the in-memory cache.�Specifies time in seconds for which the list of subdomains will be considered valid.�Specifies time in seconds since last successful online authentication for which user will be authenticated using cached credentials while SSSD is in the online mode. If the credentials are incorrect, SSSD falls back to online authentication.�Specifies what checks to perform on server certificates in a TLS session, if any. It can be specified as one of the following values:�Specifies whether automatic referral chasing should be enabled.�Specifies whether the domain is meant to be used by POSIX-aware clients such as the Name Service Switch or by applications that do not need POSIX data to be present or generated. Only objects from POSIX domains are available to the operating system interfaces and utilities.�Specifies whether to update the ldap_user_shadow_last_change attribute with days since the Epoch after a password change operation.�Specify AD site to which client should try to connect. If this option is not provided, the AD site will be auto-discovered.�Specify a non-default config file. The default is <filename>/etc/sssd/sssd.conf</filename>. For reference on the config file syntax and options, consult the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page.�Specify file to read user's password from. (if not specified password is prompted for)�Specify the Kerberos REALM (for SASL/GSSAPI/GSS-SPNEGO auth).�Specify the SASL authorization id to use. When GSSAPI/GSS-SPNEGO are used, this represents the Kerberos principal used for authentication to the directory. This option can either contain the full principal (for example host/[email protected]) or just the principal name (for example host/myhost). By default, the value is not set and the following principals are used: <placeholder type="programlisting" id="0"/> If none of them are found, the first principal in keytab is returned.�Specify the SASL mechanism to use. Currently only GSSAPI and GSS-SPNEGO are tested and supported.�Specify the SASL realm to use. When not specified, this option defaults to the value of krb5_realm. If the ldap_sasl_authid contains the realm as well, this option is ignored.�Specify the domain SID of the default domain. This will guarantee that this domain will always be assigned to slice zero in the ID map, bypassing the murmurhash algorithm described above.�Specify the keytab to use when using SASL/GSSAPI/GSS-SPNEGO.�Specify the name of the default domain.�Specify the number of group members that must be missing from the internal cache in order to trigger a dereference lookup. If less members are missing, they are looked up individually.�Specify the number of records to retrieve from LDAP in a single request. Some LDAP servers enforce a maximum limit per-request.�Specify the operation that is used to modify user password.�Specifying no values for any of the lists is equivalent to skipping it entirely. Beware of this while generating parameters for the simple provider using automated scripts.�Starting with SSSD 1.7.0, SSSD supports multiple search bases using the syntax:�Supported values:�Suppress log messages for unknown users.�System Security Services Daemon�THE LOCAL DOMAIN�TRUE = Users and groups are enumerated�TRUSTED DOMAIN SECTION�TRUSTED DOMAINS CONFIGURATION�Take the value of the otherName SAN component given by the OID in dotted-decimal notation, interpret it as string and try to match it against the regular expression.�Tells the SSSD to stop writing to its current debug file descriptors and to close and reopen them. This is meant to facilitate log rolling with programs like logrotate.�The (*) is useful if you want to use shell_fallback in case that user's shell is not in <quote>/etc/shells</quote> and maintaining list of all allowed shells in allowed_shells would be to much overhead.�The <emphasis>full refresh</emphasis> simply deletes all sudo rules stored in the cache and replaces them with all rules that are stored on the server. This is used to keep the cache consistent by removing every rule which was deleted from the server. However, full refresh may produce a lot of traffic and thus it should be run only occasionally depending on the size and stability of the sudo rules.�The <emphasis>rules refresh</emphasis> ensures that we do not grant the user more permission than defined. It is triggered each time the user runs sudo. Rules refresh will find all rules that apply to this user, check their expiration time and redownload them if expired. In the case that any of these rules are missing on the server, the SSSD will do an out of band full refresh because more rules (that apply to other users) may have been deleted.�The <emphasis>smart refresh</emphasis> periodically downloads rules that are new or were modified after the last update. Its primary goal is to keep the database growing by fetching only small increments that do not generate large amounts of network traffic.�The <quote>/etc/shells</quote> is only read on SSSD start up, which means that a restart of the SSSD is required in case a new shell is installed.�The <quote>full_name_format</quote> option must not be tweaked to only print short names for users from trusted domains.�The <quote>ipa_server</quote> option must be configured to point to the IPA server itself. This is already the default set by the IPA installer, so no manual change is required.�The AD access control provider checks if the account is expired. It has the same effect as the following configuration of the LDAP provider: <placeholder type="programlisting" id="0"/>�The AD provider can also be used as an access, chpass, sudo and autofs provider. No configuration of the access provider is required on the client side.�The AD provider can be used to get user information and authenticate users from trusted domains. Currently only trusted domains in the same forest are recognized. In addition servers from trusted domains are always auto-discovered.�The AD provider enables SSSD to use the <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> identity provider and the <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> authentication provider with optimizations for Active Directory environments. The AD provider accepts the same options used by the sssd-ldap and sssd-krb5 providers with some exceptions. However, it is neither necessary nor recommended to set these options.�The AD provider is a back end used to connect to an Active Directory server. This provider requires that the machine be joined to the AD domain and a keytab is available. Back end communication occurs over a GSSAPI-encrypted channel, SSL/TLS options should not be used with the AD provider and will be superseded by Kerberos usage.�The AD provider primarily copies the traditional ldap and krb5 provider default options with some exceptions, the differences are listed in the <quote>MODIFIED DEFAULT OPTIONS</quote> section.�The AD provider supports connecting to Active Directory 2008 R2 or later. Earlier versions may work, but are unsupported.�The DNS server to use when performing a DNS update. In most setups, it's recommended to leave this option unset.�The Failover Mechanism�The ID-mapping feature allows SSSD to act as a client of Active Directory without requiring administrators to extend user attributes to support POSIX attributes for user and group identifiers.�The IPA provider enables SSSD to use the <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> identity provider and the <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> authentication provider with optimizations for IPA environments. The IPA provider accepts the same options used by the sssd-ldap and sssd-krb5 providers with some exceptions. However, it is neither necessary nor recommended to set these options.�The IPA provider is a back end used to connect to an IPA server. (Refer to the freeipa.org web site for information about IPA servers.) This provider requires that the machine be joined to the IPA domain; configuration is almost entirely self-discovered and obtained directly from the server.�The IPA provider primarily copies the traditional ldap and krb5 provider default options with some exceptions, the differences are listed in the <quote>MODIFIED DEFAULT OPTIONS</quote> section.�The IPA provider will use the PAC responder if the Kerberos tickets of users from trusted realms contain a PAC. To make configuration easier the PAC responder is started automatically if the IPA ID provider is configured.�The IPA subdomains provider behaves slightly differently if it is configured explicitly or implicitly.�The Kerberos 5 authentication backend contains auth and chpass providers. It must be paired with an identity provider in order to function properly (for example, id_provider = ldap). Some information required by the Kerberos 5 authentication backend must be provided by the identity provider, such as the user's Kerberos Principal Name (UPN). The configuration of the identity provider should have an entry to specify the UPN. Please refer to the man page for the applicable identity provider for details on how to configure this.�The Kerberos locator plugin <command>sssd_krb5_locator_plugin</command> is used by libkrb5 to find KDCs for a given Kerberos realm. SSSD provides such a plugin to guide all Kerberos clients on a system to a single KDC. In general it should not matter to which KDC a client process is talking to. But there are cases, e.g. after a password change, where not all KDCs are in the same state because the new data has to be replicated first. To avoid unexpected authentication failures and maybe even account lockings it would be good to talk to a single KDC as long as possible.�The LDAP attribute that contains an integer value indicating the type of the group and maybe other flags.�The LDAP attribute that contains the (host, user, domain) netgroup triples.�The LDAP attribute that contains the UUID/GUID of an LDAP group object.�The LDAP attribute that contains the UUID/GUID of an LDAP host object.�The LDAP attribute that contains the UUID/GUID of an LDAP user object.�The LDAP attribute that contains the host's SSH public keys.�The LDAP attribute that contains the name of service attributes and their aliases.�The LDAP attribute that contains the name of the user's home directory.�The LDAP attribute that contains the names of the group's members.�The LDAP attribute that contains the names of the netgroup's members.�The LDAP attribute that contains the objectSID of an LDAP group object. This is usually only necessary for ActiveDirectory servers.�The LDAP attribute that contains the objectSID of an LDAP user object. This is usually only necessary for ActiveDirectory servers.�The LDAP attribute that contains the path to the user's default shell.�The LDAP attribute that contains the port managed by this service.�The LDAP attribute that contains the protocols understood by this service.�The LDAP attribute that contains the user's Kerberos User Principal Name (UPN).�The LDAP attribute that contains the user's SSH public keys.�The LDAP attribute that contains timestamp of the last modification of the parent object.�The LDAP attribute that corresponds to the command name.�The LDAP attribute that corresponds to the expiration date/time, after which the sudo rule will no longer be valid.�The LDAP attribute that corresponds to the group name or group GID that commands may be run as.�The LDAP attribute that corresponds to the group's id.�The LDAP attribute that corresponds to the host name (or host IP address, host IP network, or host netgroup)�The LDAP attribute that corresponds to the host's fully-qualified domain name.�The LDAP attribute that corresponds to the host's name.�The LDAP attribute that corresponds to the netgroup name.�The LDAP attribute that corresponds to the ordering index of the rule.�The LDAP attribute that corresponds to the start date/time for when the sudo rule is valid.�The LDAP attribute that corresponds to the sudo options.�The LDAP attribute that corresponds to the sudo rule name.�The LDAP attribute that corresponds to the user name (or UID, group name or user's netgroup)�The LDAP attribute that corresponds to the user name that commands may be run as.�The LDAP attribute that corresponds to the user's full name.�The LDAP attribute that corresponds to the user's gecos field.�The LDAP attribute that corresponds to the user's id.�The LDAP attribute that corresponds to the user's login name.�The LDAP attribute that corresponds to the user's primary group id.�The LDAP attribute that lists the host's group memberships.�The LDAP attribute that lists the user's group memberships.�The LDAP attribute that references group members that are defined in an external domain. At the moment, only IPA's external members are supported.�The PAC responder works together with the authorization data plugin for MIT Kerberos sssd_pac_plugin.so and a sub-domain provider. The plugin sends the PAC data during a GSSAPI authentication to the PAC responder. The sub-domain provider collects domain SID and ID ranges of the domain the client is joined to and of remote trusted domains from the local domain controller. If the PAC is decoded and evaluated some of the following operations are done:�The SID string is passed through the murmurhash3 algorithm to convert it to a 32-bit hashed value. We then take the modulus of this value with the total number of available slices to pick the slice.�The SSSD POSIX-type domain the application domain inherits all settings from. The application domain can moreover add its own settings to the application settings that augment or override the <quote>sibling</quote> domain settings.�The SSSD domain to use the password in. The default name is <quote>default</quote>.�The SSSD state changes caused by netlink events may be undesirable and can be disabled by setting this option to 'true'�The SUDO provider used for the domain. Supported SUDO providers are:�The SUDO rule caching mechanism�The TTL to apply to the client DNS record when updating it. If dyndns_update is false this has no effect. This will override the TTL serverside if set by an administrator.�The [sssd] section�The access control provider used for the domain. There are two built-in access providers (in addition to any included in installed backends) Internal special providers are:�The administrator might want to use the SSSD local users instead of traditional UNIX users in cases where the group nesting (see <citerefentry> <refentrytitle>sss_groupadd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>) is needed. The local users are also useful for testing and development of the SSSD without having to deploy a full remote server. The <command>sss_user*</command> and <command>sss_group*</command> tools use a local LDB storage to store users and groups.�The amount of time between lookups of the Desktop Profile rules against the IPA server in case the last request did not return any rule.�The amount of time between lookups of the Desktop Profile rules against the IPA server. This will reduce the latency and load on the IPA server if there are many desktop profiles requests made in a short period.�The amount of time between lookups of the HBAC rules against the IPA server. This will reduce the latency and load on the IPA server if there are many access-control requests made in a short period.�The amount of time between lookups of the SELinux maps against the IPA server. This will reduce the latency and load on the IPA server if there are many user login requests made in a short period.�The argument use_first_pass forces the module to use a previous stacked modules password and will never prompt the user - if no password is available or the password is not appropriate, the user will be denied access.�The authentication provider used for the domain. Supported auth providers are:�The autofs provider used for the domain. Supported autofs providers are:�The automounter location this IPA client will be using�The available options are: <placeholder type="variablelist" id="0"/>�The available values for this option are the same as for override_homedir.�The background refresh will process users, groups and netgroups in the cache. For users who have performed the initgroups (get group membership for user, typically ran at login) operation in the past, both the user entry and the group membership are updated.�The biggest challenge, when developing sudo support in SSSD, was to ensure that running sudo with SSSD as the data source provides the same user experience and is as fast as sudo but keeps providing the most current set of rules as possible. To satisfy these requirements, SSSD uses three kinds of updates. They are referred to as full refresh, smart refresh and rules refresh.�The cache expiration timestamps are stored as attributes of individual objects in the cache. Therefore, changing the cache timeout only has effect for newly added or expired entries. You should run the <citerefentry> <refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> tool in order to force refresh of entries that have already been cached.�The cleartext password is read from standard input or entered interactively. The obfuscated password is put into <quote>ldap_default_authtok</quote> parameter of a given SSSD domain and the <quote>ldap_default_authtok_type</quote> parameter is set to <quote>obfuscated_password</quote>. Refer to <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for more details on these parameters.�The comma-separated list of IP addresses or hostnames of the IPA servers to which SSSD should connect in the order of preference. For more information on failover and server redundancy, see the <quote>FAILOVER</quote> section. This is optional if autodiscovery is enabled. For more information on service discovery, refer to the <quote>SERVICE DISCOVERY</quote> section.�The comma-separated list of hostnames of the AD servers to which SSSD should connect in order of preference. For more information on failover and server redundancy, see the <quote>FAILOVER</quote> section.�The complete group membership hierarchy is resolved before the access check, thus even nested groups can be included in the access lists. Please be aware that the <quote>ldap_group_nesting_level</quote> option may impact the results and should be set to a sufficient value. (<citerefentry> <refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> </citerefentry>) option.�The configuration snippets from <filename>conf.d</filename> have higher priority than <filename>sssd.conf</filename> and will override <filename>sssd.conf</filename> when conflicts occur. If several snippets are present in <filename>conf.d</filename>, then they are included in alphabetical order (based on locale). Files included later have higher priority. Numerical prefixes (<filename>01_snippet.conf</filename>, <filename>02_snippet.conf</filename> etc.) can help visualize the priority (higher number means higher priority).�The conversion options starting with 'ad_' will use attribute names as used by AD, e.g. 'S' instead of 'ST'.�The conversion options starting with 'nss_' will use attribute names as used by NSS.�The current use case are login managers which can monitor a Smartcard reader for card events. In case a Smartcard is inserted the login manager will call a PAM stack which includes a line like <placeholder type="programlisting" id="0"/> In this case SSSD will try to determine the user name based on the content of the Smartcard, returns it to pam_sss which will finally put it on the PAM stack.�The data types used are string (no quotes needed), integer and bool (with values of <quote>TRUE/FALSE</quote>).�The default base DN to use for performing LDAP user operations.�The default bind DN to use for performing LDAP operations.�The default conversion option is 'nss', i.e. attribute names according to NSS and LDAP/RFC 4514 ordering.�The default shell to use if an allowed shell is not installed on the machine.�The default shell to use if the provider does not return one during lookup. This option can be specified globally in the [nss] section or per-domain.�The descriptions of some of the configuration options in this manual page are based on the <citerefentry> <refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page from the OpenLDAP 2.4 distribution.�The detailed instructions for configuration of sudo_provider are in the manual page <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�The detailed instructions for configuration of sudo_provider are in the manual page <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>. There are many configuration options that can be used to adjust the behavior. Please refer to "ldap_sudo_*" in <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�The domain name�The entry cache can be set to automatically update entries in the background if they are requested beyond a percentage of the entry_cache_timeout value for the domain.�The failover feature allows back ends to automatically switch to a different server if the current server fails.�The failover mechanism distinguishes between a machine and a service. The back end first tries to resolve the hostname of a given machine; if this resolution attempt fails, the machine is considered offline. No further attempts are made to connect to this machine for any other service. If the resolution attempt succeeds, the back end tries to connect to a service on this machine. If the service connection attempt fails, then only this particular service is considered offline and the back end automatically switches over to the next service. The machine is still considered online and might still be tried for another service.�The file has an ini-style syntax and consists of sections and parameters. A section begins with the name of the section in square brackets and continues until the next section begins. An example of section with single and multi-valued parameters: <placeholder type="programlisting" id="0"/>�The filter must be a valid LDAP search filter as specified by http://www.ietf.org/rfc/rfc2254.txt�The following example assumes that SSSD is correctly configured and LDAP is set to one of the domains in the <replaceable>[domains]</replaceable> section.�The following example assumes that SSSD is correctly configured and example.com is one of the domains in the <replaceable>[sssd]</replaceable> section. This example shows only the AD provider-specific options.�The following example assumes that SSSD is correctly configured and example.com is one of the domains in the <replaceable>[sssd]</replaceable> section. This examples shows only the ipa provider-specific options.�The following example assumes that SSSD is correctly configured and example.com is one of the domains in the <replaceable>[sssd]</replaceable> section. This examples shows only the simple access provider-specific options.�The following example assumes that SSSD is correctly configured and to use the ldap_access_order=lockout.�The following example illustrates the use of an application domain. In this setup, the POSIX domain is connected to an LDAP server and is used by the OS through the NSS responder. In addition, the application domain also requests the telephoneNumber attribute, stores it as the phone attribute in the cache and makes the phone attribute reachable through the D-Bus interface.�The following example shows how to configure SSSD to download sudo rules from an LDAP server.�The following expansions are supported: <placeholder type="variablelist" id="0"/>�The following options can be set in a subdomain section on an IPA client:�The following options can be set in a subdomain section on an IPA master:�The following values are allowed:�The format of the URI must match the format defined in RFC 2732:�The identification provider used for the domain. Supported ID providers are:�The key of an automount entry in LDAP. The entry usually corresponds to a mount point.�The length of the password (or the size of file specified with -p or --password-file option) must be less than or equal to PASS_MAX bytes (64 bytes on systems with no globally-defined PASS_MAX value).�The list can either contain LDAP attribute names only, or colon-separated tuples of SSSD cache attribute name and LDAP attribute name. In case only LDAP attribute name is specified, the attribute is saved to the cache verbatim. Using a custom SSSD attribute name might be required by environments that configure several SSSD domains with different LDAP schemas.�The list of servers is given as a comma-separated list; any number of spaces is allowed around the comma. The servers are listed in order of preference. The list can contain any number of servers.�The location of the keytab to use when validating credentials obtained from KDCs.�The main difference between these schema types is how group memberships are recorded in the server. With rfc2307, group members are listed by name in the <emphasis>memberUid</emphasis> attribute. With rfc2307bis and IPA, group members are listed by DN and stored in the <emphasis>member</emphasis> attribute. The AD schema type sets the attributes to correspond with Active Directory 2008r2 values.�The main purpose of this option is to let SSSD determine the user name based on additional information, e.g. the certificate from a Smartcard.�The manual page describes the rules which can be used by SSSD and other components to match X.509 certificates and map them to accounts.�The mapping rule is used to associate a certificate with one or more accounts. A Smartcard with the certificate and the matching private key can then be used to authenticate as one of those accounts.�The matching rule is used to select a certificate to which the mapping rule should be applied. It uses a system similar to the one used by <quote>pkinit_cert_match</quote> option of MIT Kerberos. It consists of a keyword enclosed by '<' and '>' which identified a certain part of the certificate and a pattern which should be found for the rule to match. Multiple keyword pattern pairs can be either joined with '&&' (and) or '||' (or).�The message is read from the file <filename>pam_sss_pw_reset_message.LOC</filename> where LOC stands for a locale string returned by <citerefentry> <refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum> </citerefentry>. If there is no matching file the content of <filename>pam_sss_pw_reset_message.txt</filename> is displayed. Root must be the owner of the files and only root may have read and write permissions while all other users must have only read permissions.�The most specific match is always used. For example, if the option specified filter for a domain the user is a member of and a global filter, the per-domain filter would be applied. If there are more matches with the same specification, the first one is used.�The name of an automount map entry in LDAP.�The name of the Kerberos realm has a special meaning in IPA - it is converted into the base DN to use for performing LDAP operations.�The name of the Kerberos realm. This is optional and defaults to the value of <quote>ipa_domain</quote>.�The name of the Kerberos realm. This option is required and must be specified.�The name of the NSS library to use in proxy domains. The NSS functions searched for in the library are in the form of _nss_$(libName)_$(function), for example _nss_files_getpwent.�The name of the automount master map in LDAP.�The object class of a group entry in LDAP.�The object class of a host entry in LDAP.�The object class of a netgroup entry in LDAP.�The object class of a service entry in LDAP.�The object class of a sudo rule entry in LDAP.�The object class of a user entry in LDAP.�The object class of an automount entry in LDAP. The entry usually corresponds to a mount point.�The object class of an automount map entry in LDAP.�The offline_timeout default value is 60. The offline_timeout_max default value is 3600. The offline_timeout_random_offset default value is 30. The end result is amount of seconds before next retry.�The option also supports specifying different filters per domain or forest. This extended filter would consist of: <quote>KEYWORD:NAME:FILTER</quote>. The keyword can be either <quote>DOM</quote>, <quote>FOREST</quote> or missing.�The original home directory retrieved from the identity provider.�The password to obfuscate will be read from standard input.�The plugin reads the information about the KDCs of a given realm from a file called <filename>kdcinfo.REALM</filename>. The file should contain one or more DNS names or IP addresses either in dotted-decimal IPv4 notation or the hexadecimal IPv6 notation. An optional port number can be added to the end separated with a colon, the IPv6 address has to be enclosed in squared brackets in this case as usual. Valid entries are:�The protocol�The provider used for retrieving host identity information. Supported hostid providers are:�The provider which configures and manages user session related tasks. The only user session task currently provided is the integration with Fleet Commander, which works only with IPA. Supported session providers are:�The provider which should handle change password operations for the domain. Supported change password providers are:�The provider which should handle fetching of subdomains. This value should be always the same as id_provider. Supported subdomain providers are:�The provider which should handle loading of selinux settings. Note that this provider will be called right after access provider ends. Supported selinux providers are:�The proxy target PAM proxies to.�The queries usually specify _tcp as the protocol. Exceptions are documented in respective option description.�The rules are processed by priority while the number '0' (zero) indicates the highest priority. The higher the number the lower is the priority. A missing value indicates the lowest priority. The rules processing is stopped when a matched rule is found and no further rules are checked.�The scope can be one of "base", "onelevel" or "subtree".�The service discovery feature allows back ends to automatically find the appropriate servers to connect to using a special DNS query. This feature is not supported for backup servers.�The short domain name (also known as the NetBIOS or the flat name) is autodetected by the SSSD.�The short domain name (also known as the NetBIOS or the flat name) will be autodetected by SSSD.�The simple access provider grants or denies access based on an access or deny list of user or group names. The following rules apply:�The templates to add certificate data to the search filter are based on Python-style formatting strings. They consist of a keyword in curly braces with an optional sub-component specifier separated by a '.' or an optional conversion/formatting option separated by a '!'. Allowed values are: <placeholder type="variablelist" id="0"/>�The time in minutes which has to pass after offline_failed_login_attempts has been reached before a new login attempt is possible.�The two mechanisms currently supported are:�The type of the authentication token of the default bind DN.�The username of the entry to be created or modified in the cache. The <replaceable>USER</replaceable> option must be provided.�The value can be overridden by <emphasis>override_homedir</emphasis> option.�The value must be greater than <emphasis>ldap_sudo_smart_refresh_interval </emphasis>�The value of auto_private_groups can either be set per subdomains in a subsection, for example: <placeholder type="programlisting" id="0"/> or globally for all subdomains in the main domain section using the subdomain_inherit option: <placeholder type="programlisting" id="1"/>�The value that NSS operations that return users or groups will return for the <quote>password</quote> field.�The wildcard (*) can be used to allow any shell.�There are many configuration options that can be used to adjust the behavior. Please refer to "ldap_sudo_*" in <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> and "sudo_*" in <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�There are some limited situations where it is preferred that we should skip even trying to use inotify. In these rare cases, this option should be set to 'false'�There are three supported values for this option:�These ID limits affect even saving entries to cache, not only returning them by name or ID.�These configuration options can be present in a domain configuration section, that is, in a section called <quote>[domain/<replaceable>NAME</replaceable>]</quote> <placeholder type="variablelist" id="0"/>�These files are searched in the directory <filename>/etc/sssd/customize/DOMAIN_NAME/</filename>. If no matching file is present a generic message is displayed.�These options are supported by LDAP domains, but they should be used with caution. Please include them in your configuration only if you know what you are doing. <placeholder type="variablelist" id="0"/> <placeholder type="variablelist" id="1"/>�These options can be used to configure any service.�These options can be used to configure session recording.�These options can be used to configure the Name Service Switch (NSS) service.�These options can be used to configure the PAC responder.�These options can be used to configure the Pluggable Authentication Module (PAM) service.�These options can be used to configure the SSH service.�These options can be used to configure the autofs service.�These options can be used to configure the sudo service. The detailed instructions for configuration of <citerefentry> <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> to work with <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> are in the manual page <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�This attribute is currently only used by the AD provider to determine if a group is a domain local groups and has to be filtered out for trusted domains.�This example means that access to this host is restricted to users whose employeeType attribute is set to "admin".�This feature is useful for environments that wish to stop maintaining a separate group objects for the user private groups, but also wish to retain the existing user private groups.�This is optional if autodiscovery is enabled. For more information on service discovery, refer to the <quote>SERVICE DISCOVERY</quote> section.�This manual page describes how to configure <citerefentry> <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> to work with <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> and how SSSD caches sudo rules.�This manual page describes the configuration of LDAP domains for <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Refer to the <quote>FILE FORMAT</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page for detailed syntax information.�This manual page describes the configuration of the AD provider for <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. For a detailed syntax reference, refer to the <quote>FILE FORMAT</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page.�This manual page describes the configuration of the IPA provider for <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. For a detailed syntax reference, refer to the <quote>FILE FORMAT</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page.�This manual page describes the configuration of the Kerberos 5 authentication backend for <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. For a detailed syntax reference, please refer to the <quote>FILE FORMAT</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page.�This manual page describes the configuration of the simple access-control provider for <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. For a detailed syntax reference, refer to the <quote>FILE FORMAT</quote> section of the <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> manual page.�This manual page only describes attribute name mapping. For detailed explanation of sudo related attribute semantics, see <citerefentry> <refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> </citerefentry>�This option accepts a special value __LIBKRB5_DEFAULTS__ that will instruct SSSD to let libkrb5 decide the appropriate location for the replay cache.�This option can also be set per-domain.�This option can be used to specify which extended key usage the certificate should have. The following value can be used in a comma separated list:�This option can be used to specify which key usage values the certificate should have. The following values can be used in a comma separated list:�This option falls back to checking if local users are referenced, and caches them so that later initgroups() calls will augment the local users with the additional LDAP groups.�This option is automatically inherited for all trusted domains.�This option is currently ignored. All needed certificates must be available in the PEM file given by pam_cert_db_path.�This option is not available in IPA provider.�This option should be False in most IPA deployments as the IPA server generates the PTR records automatically when forward records are changed.�This option specifies the DN of password policy entry on LDAP server. Please note that absence of this option in sssd.conf in case of enabled account lockout checking will yield access denied as ppolicy attributes on LDAP server cannot be checked properly.�This option specifies the maximum number of file descriptors that may be opened at one time by this SSSD process. On systems where SSSD is granted the CAP_SYS_RESOURCE capability, this will be an absolute setting. On systems without this capability, the resulting value will be the lower value of this or the limits.conf "hard" limit.�This option specifies the number of pre-forked proxy children. It is useful for high-load SSSD environments where sssd may run out of available child slots, which would cause some issues due to the requests being queued.�This option specifies the number of seconds that a client of an SSSD process can hold onto a file descriptor without communicating on it. This value is limited in order to avoid resource exhaustion on the system. The timeout can't be shorter than 10 seconds. If a lower value is configured, it will be adjusted to 10 seconds.�This option specifies the number of seconds that an SSSD responder process can be up without being used. This value is limited in order to avoid resource exhaustion on the system. The minimum acceptable value for this option is 60 seconds. Setting this option to 0 (zero) means that no timeout will be set up to the responder. This option only has effect when SSSD is built with systemd support and when services are either socket or D-Bus activated.�This option specifies the operation mode for GPO-based access control functionality: whether it operates in disabled mode, enforcing mode, or permissive mode. Please note that the <quote>access_provider</quote> option must be explicitly set to <quote>ad</quote> in order for this option to have an effect.�This option specifies whether the responder should query all caches before querying the Data Providers.�This option takes any of three available values: <placeholder type="variablelist" id="0"/>�This option was named <quote>krb5_kdcip</quote> in earlier releases of SSSD. While the legacy name is recognized for the time being, users are advised to migrate their config files to use <quote>krb5_server</quote> instead.�This option will be set by the IPA installer (ipa-server-install) automatically and denotes if SSSD is running on an IPA server or not.�This option's value is inherited by all trusted domains. At the moment it is not possible to set a different value per trusted domain.�This options enables or disables use of Token-Groups attribute when performing initgroup for users from Active Directory Server 2008 and later.�This parameter will replace spaces (space bar) with the given character for user and group names. e.g. (_). User name "john doe" will be "john_doe" This feature was added to help compatibility with shell scripts that have difficulty handling spaces, due to the default field separator in the shell.�This setting can be overridden by setting <emphasis>pwd_expiration_warning</emphasis> for a particular domain.�This should avoid that the short PINs of a PIN based 2FA scheme are saved in the cache which would make them easy targets for brute-force attacks.�This should be preferred to read user specific data from the certificate like e.g. an email address and search for it in the LDAP server. The reason is that the user specific data in LDAP might change for various reasons would break the mapping. On the other hand it would be hard to break the mapping on purpose for a specific user.�This string will be used as a default domain name for all names without a domain name component. The main use case is environments where the primary domain is intended for managing host policies and all users are located in a trusted domain. The option allows those users to log in just with their user name without giving a domain name as well.�This template will add the DN string of the value which is stored in the directoryName component of the SAN.�This template will add the Kerberos principal which is given by the SAN used by AD. The 'short_name' component represent the first part of the principal before the '@' sign.�This template will add the Kerberos principal which is given by the SAN used by pkinit. The 'short_name' component represents the first part of the principal before the '@' sign.�This template will add the Kerberos principal which is taken either from the SAN used by pkinit or the one used by AD. The 'short_name' component represents the first part of the principal before the '@' sign.�This template will add the OID which is stored in the registeredID component of the SAN as a dotted-decimal string.�This template will add the full issuer DN converted to a string according to RFC 4514. If X.500 ordering (most specific RDN comes last) an option with the '_x500' prefix should be used.�This template will add the full subject DN converted to string according to RFC 4514. If X.500 ordering (most specific RDN comes last) an option with the '_x500' prefix should be used.�This template will add the string which is stored in the dNSName component of the SAN, typically a fully-qualified host name. The 'short_name' component represents the first part of the name before the first '.' sign.�This template will add the string which is stored in the iPAddress component of the SAN.�This template will add the string which is stored in the rfc822Name component of the SAN, typically an email address. The 'short_name' component represents the first part of the address before the '@' sign.�This template will add the string which is stored in the uniformResourceIdentifier component of the SAN.�This template will add the value which is stored in the ediPartyName component of the SAN as escaped hex sequence.�This template will add the value which is stored in the x400Address component of the SAN as escaped hex sequence.�This template will add the whole DER encoded certificate as a string to the search filter. Depending on the conversion option the binary certificate is either converted to an escaped hex sequence '\xx' or base64. The escaped hex sequence is the default and can e.g. be used with the LDAP attribute 'userCertificate;binary'.�Timeout in seconds between heartbeats for this service. This is used to ensure that the process is alive and capable of answering requests. Note that after three missed heartbeats the process will terminate itself.�To allow authentication with Smartcards and certificates SSSD must be able to map certificates to users. This can be done by adding the full certificate to the LDAP object of the user or to a local override. While using the full certificate is required to use the Smartcard authentication feature of SSH (see <citerefentry> <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> for details) it might be cumbersome or not even possible to do this for the general case where local services use PAM for authentication.�To be compatible with the usage of MIT Kerberos this option will match the Kerberos principals in the PKINIT or AD NT Principal SAN as <SAN:Principal> does.�To disable the creation of the configuration snippets set the parameter to 'none'.�To enable SSSD as a source for sudo rules, add <emphasis>sss</emphasis> to the <emphasis>sudoers</emphasis> entry in <citerefentry> <refentrytitle>nsswitch.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�To enable service discovery ldap_chpass_dns_service_name must be set.�To make configuration more easy the NSS responder will check the InfoPipe option if it is not set for the NSS responder.�To make the configuration simple and reduce the amount of configuration options the <quote>files</quote> provider has some special properties:�To make the mapping more flexible mapping and matching rules were added to SSSD (see <citerefentry> <refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for details).�True�Try to use certificate based authentication, i.e. authentication with a Smartcard or similar devices. If a Smartcard is available and the service is allowed for Smartcard authentication the user will be prompted for a PIN and the certificate based authentication will continue�Two modes are currently supported:�Two special values for pam_public_domains option are defined:�UID and GID limits for the domain. If a domain contains an entry that is outside these limits, it is ignored.�UID number�Unknown options are reported but ignored.�Unsigned integer value defining the priority of the rule. The higher the number the lower the priority. <quote>0</quote> stands for the highest priority while <quote>4294967295</quote> is the lowest.�Use port <replaceable>PORT</replaceable> to connect to the host. By default, port 22 is used.�Use the Certificate Revocation List (CRL) from the given file during the verification of the certificate. The CRL must be given in PEM format, see <citerefentry> <refentrytitle>crl</refentrytitle> <manvolnum>1ssl</manvolnum> </citerefentry> for details.�Use the full name and domain (as formatted by the domain's full_name_format) as the user's login name reported to NSS.�Use this homedir as default value for all subdomains within this domain in IPA AD trust. See <emphasis>override_homedir</emphasis> for info about possible values. In addition to those, the expansion below can only be used with <emphasis>subdomain_homedir</emphasis>. <placeholder type="variablelist" id="0"/>�User overrides can contain attributes given by�Users, groups and other entities served by SSSD are always treated as case-insensitive in the AD provider for compatibility with Active Directory's LDAP implementation.�Users/groups specified by <replaceable>users</replaceable> and <replaceable>groups</replaceable> options are recorded.�Using wildcard is an operation that is very costly to evaluate on the LDAP server side!�VIEWS AND OVERRIDES�Valid values for this option are 0-99 and represent a percentage of the entry_cache_timeout for each domain. For performance reasons, this percentage will never reduce the nowait timeout to less than 10 seconds. (0 disables this feature)�Various tags stored by the realmd configuration service for this domain.�WARNING: Disabling the in-memory cache will have significant negative impact on SSSD's performance and should only be used for testing.�When SSSD switches to offline mode the amount of time before it tries to go back online will increase based upon the time spent disconnected. By default SSSD uses incremental behaviour to calculate delay in between retries. So, the wait time for a given retry will be longer than the wait time for the previous ones. After each unsuccessful attempt to go online, the new interval is recalculated by the following:�When a user or group entry for a particular domain is encountered for the first time, the SSSD allocates one of the available slices for that domain. In order to make this slice-assignment repeatable on different client machines, we select the slice based on the following algorithm:�When a user or group is looked up by name in the proxy provider, a second lookup by ID is performed to "canonicalize" the name in case the requested name was an alias. Setting this option to true would cause the SSSD to perform the ID lookup from cache for performance reasons.�When communicating with an LDAP server using SASL, specify the minimum security level necessary to establish the connection. The values of this option are defined by OpenLDAP.�When password changing enforce the module to set the new password to the one provided by a previously stacked password module.�When this option is enabled, SSSD prepends an implicit domain with <quote>id_provider=files</quote> before any explicitly configured domains.�When using ldap_account_expire_policy=ad, this parameter contains the name of an LDAP attribute storing the expiration time of the account.�When using ldap_account_expire_policy=ad, this parameter contains the name of an LDAP attribute storing the user account control bit field.�When using ldap_account_expire_policy=nds, this attribute determines if access is allowed or not.�When using ldap_account_expire_policy=nds, this attribute determines the hours of a day in a week when access is granted.�When using ldap_account_expire_policy=nds, this attribute determines until which date access is granted.�When using ldap_account_expire_policy=rhds or equivalent, this parameter determines if access is allowed or not.�When using ldap_pwd_policy=mit_kerberos, this parameter contains the name of an LDAP attribute storing the date and time of last password change in kerberos.�When using ldap_pwd_policy=mit_kerberos, this parameter contains the name of an LDAP attribute storing the date and time when current password expires.�When using ldap_pwd_policy=shadow or ldap_account_expire_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (account expiration date).�When using ldap_pwd_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (date of the last password change).�When using ldap_pwd_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (maximum password age).�When using ldap_pwd_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (minimum password age).�When using ldap_pwd_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (password inactivity period).�When using ldap_pwd_policy=shadow, this parameter contains the name of an LDAP attribute corresponding to its <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> counterpart (password warning period).�When using service discovery for KDC or kpasswd servers, SSSD first searches for DNS entries that specify _udp as the protocol and falls back to _tcp if none are found.�Whether any of autodetected trusted domains should be enumerated. The supported values are: <placeholder type="variablelist" id="0"/> Optionally, a list of one or more domain names can enable enumeration just for these trusted domains.�Whether or not to evaluate the sudoNotBefore and sudoNotAfter attributes that implement time-dependent sudoers entries.�Whether or not to hash host names and addresses in the managed known_hosts file.�Whether the PTR record should also be explicitly updated when updating the client's DNS records. Applicable only when dyndns_update is true.�Whether the nsupdate utility should default to using TCP for communicating with the DNS server.�Whether the nsupdate utility should use GSS-TSIG authentication for secure updates with the DNS server, insecure updates can be sent by setting this option to 'none'.�Which PAM services are permitted to contact domains of type <quote>application</quote>�While messages already can be controlled with the help of the pam_verbosity option this option allows to filter out other kind of responses as well.�While the first enumeration is running, requests for the complete user or group lists may return no results until it completes.�While the first two correspond to the general default the third one is introduced to allow easy integration of users from Windows domains.�With the growing number of authentication methods and the possibility that there are multiple ones for a single user the heuristic used by pam_sss to select the prompting might not be suitable for all use cases. The following options should provide a better flexibility here.�With this a part or the whole issuer name of the certificate can be matched. All comments for <SUBJECT> apply her as well.�With this a part or the whole subject name of the certificate can be matched. For the matching POSIX Extended Regular Expression syntax is used, see regex(7) for details.�With this option a client side evaluation of access control attributes can be enabled.�With this parameter the certificate verification can be tuned with a comma separated list of options. Supported options are: <placeholder type="variablelist" id="0"/>�You can configure SSSD to use more than one LDAP domain.�You can consider setting this value to 3/4 * entry_cache_timeout.�You can turn off dereference lookups completely by setting the value to 0. Please note that there are some codepaths in SSSD, like the IPA HBAC provider, that are only implemented using the dereference call, so even with dereference explicitly disabled, those parts will still use dereference if the server supports it and advertises the dereference control in the rootDSE object.�[2001:db8:85a3::8a2e:370:7334]:321�[domain/EXAMPLE]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
�[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
�[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
�[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2
�[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com
�[domain/forest.domain/sub.domain]
auto_private_groups = false
�[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false
�[domain/ipa.com/child.ad.com]
use_fully_qualified_names = false
�[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com
�[prompting/2fa]�[prompting/password]�[sssd]
domains = appdom, posixdom
[ifp]
user_attributes = +phone
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/appdom]
inherit_from = posixdom
ldap_user_extra_attrs = phone:telephoneNumber
�a literal '%'�access_provider (string)�access_provider = ldap
ldap_access_filter = (employeeType=admin)
�access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
�account_cache_expiration (integer)�ad_access_filter (string)�ad_backup_server�ad_backup_server,�ad_domain (string)�ad_enable_dns_sites (boolean)�ad_enable_gc (boolean)�ad_enabled_domains (string)�ad_enabled_domains = sales.example.com, eng.example.com
�ad_gpo_access_control (string)�ad_gpo_ignore_unreadable (boolean)�ad_gpo_implicit_deny (boolean)�ad_hostname (string)�ad_server�ad_server,�ad_server, ad_backup_server (string)�ad_site�ad_site (string)�ad_site,�all�all (Untrusted users are allowed to access all domains in PAM responder.)�allowed_shells (string)�allowed_uids (string)�auth sufficient pam_sss.so allow_missing_name
�auth_provider (string)�auto_private_groups (string)�autofs_negative_timeout (integer)�autofs_provider (string)�cRLSign�ca_db (string)�cache_credentials (bool)�cache_credentials_minimal_first_factor_length (int)�cache_first�cached_auth_timeout (int)�case_sensitive (string)�certificate_verification (string)�chpass_provider (string)�clientAuth�client_idle_timeout�codeSigning�crl_file=/PATH/TO/CRL/FILE�dataEncipherment�debug (integer)�debug_backtrace_enabled (bool)�debug_level (integer)�debug_microseconds (bool)�debug_timestamps (bool)�decipherOnly�default_domain_suffix (string)�default_shell�digitalSignature�disable_netlink (boolean)�disabled: GPO-based access control rules are neither evaluated nor enforced.�dns_discovery_domain (string)�dns_resolver_timeout (integer)�domain flat name. Mostly usable for Active Directory domains, both directly configured or discovered via IPA trusts.�domain name�domain name as specified in the SSSD config file.�domain\username�domain_resolution_order�domain_type (string)�domains�domains (string)�dyndns_auth (string)�dyndns_force_tcp (bool)�dyndns_iface (string)�dyndns_refresh_interval (integer)�dyndns_server (string)�dyndns_ttl (integer)�dyndns_update (boolean)�dyndns_update_per_family (boolean)�dyndns_update_ptr (bool)�emailProtection�enable_files_domain (boolean)�encipherOnly�enforcing: GPO-based access control rules are evaluated and enforced.�entry_cache_autofs_timeout (integer)�entry_cache_group_timeout (integer)�entry_cache_netgroup_timeout (integer)�entry_cache_nowait_percentage (integer)�entry_cache_service_timeout (integer)�entry_cache_ssh_host_timeout (integer)�entry_cache_sudo_timeout (integer)�entry_cache_timeout (integer)�entry_cache_user_timeout (integer)�entry_negative_timeout (integer)�enum_cache_timeout (integer)�enumerate (bool)�example: <placeholder type="programlisting" id="0"/>�example: ldap://[fc00::126:25]:389�exop - Password Modify Extended Operation (RFC 3062)�fallback_homedir (string)�fallback_homedir = /home/%u
�false�fd_limit�filter_users, filter_groups (string)�filter_users_in_groups (bool)�first_prompt�flat (NetBIOS) name of a subdomain.�full_name_format (string)�fully qualified user name (user@domain)�gdm-password�gdm-smartcard�get OpenSSH authorized keys�get OpenSSH host keys�get_domains_timeout (int)�gnome-screensaver�groups (string)�home directory�hostid_provider (string)�hostname or fully qualified domain name of this machine�hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*
�hybrid�id_provider (string)�if a maprule is used both a single user name or a template like <quote>{subject_rfc822_name.short_name}</quote> must be in braces like e.g. <quote>(username)</quote> or <quote>({subject_rfc822_name.short_name})</quote>�if maprule is not set the RULE_NAME name is assumed to be the name of the matching user�ignore_group_members�ignore_group_members (bool)�inherit_from (string)�ipa_anchor_uuid (string)�ipa_automount_location (string)�ipa_deskprofile_refresh (integer)�ipa_deskprofile_request_interval (integer)�ipa_deskprofile_search_base (string)�ipa_domain (string)�ipa_enable_dns_sites (boolean)�ipa_group_override_object_class (string)�ipa_hbac_refresh (integer)�ipa_hbac_search_base (string)�ipa_hbac_selinux (integer)�ipa_host_search_base (string)�ipa_hostname (string)�ipa_master_domain_search_base (string)�ipa_override_object_class (string)�ipa_selinux_search_base (string)�ipa_server, ipa_backup_server (string)�ipa_server_mode (boolean)�ipa_subdomains_search_base (string)�ipa_user_override_object_class (string)�ipa_view_class (string)�ipa_view_name (string)�ipa_views_search_base (string)�ipv4_first: Try looking up IPv4 address, if that fails, try IPv6�ipv4_only: Only attempt to resolve hostnames to IPv4 addresses.�ipv6_first: Try looking up IPv6 address, if that fails, try IPv4�ipv6_only: Only attempt to resolve hostnames to IPv6 addresses.�kdc.example.com�kdc.example.com:321�kdm�keyAgreement�keyCertSign�keyEncipherment�keyword ALL�krb5_auth_timeout (integer)�krb5_canonicalize (boolean)�krb5_ccachedir (string)�krb5_ccname_template (string)�krb5_confd_path (string)�krb5_fast_principal (string)�krb5_keytab (string)�krb5_kpasswd, krb5_backup_kpasswd (string)�krb5_lifetime (string)�krb5_rcache_dir (string)�krb5_realm (string)�krb5_renewable_lifetime (string)�krb5_server, krb5_backup_server (string)�krb5_store_password_if_offline (boolean)�krb5_use_fast (string)�krb5_use_kdcinfo (boolean)�krb5_validate (boolean)�ldap[s]://<host>[:port]�ldap_access_filter (string)�ldap_access_order (string)�ldap_account_expire_policy (string)�ldap_autofs_entry_key (string)�ldap_autofs_entry_object_class (string)�ldap_autofs_entry_value (string)�ldap_autofs_map_master_name (string)�ldap_autofs_map_name (string)�ldap_autofs_map_object_class (string)�ldap_autofs_search_base (string)�ldap_chpass_dns_service_name (string)�ldap_chpass_update_last_change (bool)�ldap_chpass_uri, ldap_chpass_backup_uri (string)�ldap_connection_expire_timeout (integer)�ldap_default_authtok (string)�ldap_default_authtok_type (string)�ldap_default_bind_dn (string)�ldap_deref (string)�ldap_deref_threshold (integer)�ldap_disable_paging (boolean)�ldap_disable_range_retrieval (boolean)�ldap_dns_service_name (string)�ldap_enumeration_refresh_timeout (integer)�ldap_enumeration_search_timeout (integer)�ldap_force_upper_case_realm (boolean)�ldap_group_external_member (string)�ldap_group_gid_number�ldap_group_gid_number (string)�ldap_group_member (string)�ldap_group_modify_timestamp (string)�ldap_group_name�ldap_group_name (string)�ldap_group_nesting_level (integer)�ldap_group_object_class (string)�ldap_group_objectsid (string)�ldap_group_search_base�ldap_group_search_base (string)�ldap_group_search_base,�ldap_group_uuid (string)�ldap_host_fqdn (string)�ldap_host_member_of (string)�ldap_host_name (string)�ldap_host_object_class (string)�ldap_host_search_base (string)�ldap_host_serverhostname (string)�ldap_host_ssh_public_key (string)�ldap_host_uuid (string)�ldap_id_mapping (boolean)�ldap_id_mapping = False
�ldap_id_mapping = True
ldap_schema = ad
�ldap_id_use_start_tls (boolean)�ldap_idmap_autorid_compat (boolean)�ldap_idmap_default_domain (string)�ldap_idmap_default_domain_sid (string)�ldap_idmap_range_max (integer)�ldap_idmap_range_min (integer)�ldap_idmap_range_size (integer)�ldap_krb5_init_creds (boolean)�ldap_krb5_keytab (string)�ldap_krb5_keytab (the value of krb5_keytab will be used if ldap_krb5_keytab is not set explicitly)�ldap_krb5_ticket_lifetime (integer)�ldap_min_id, ldap_max_id (integer)�ldap_modify - Direct modification of userPassword (not recommended).�ldap_netgroup_member (string)�ldap_netgroup_modify_timestamp (string)�ldap_netgroup_name (string)�ldap_netgroup_object_class (string)�ldap_netgroup_search_base (string)�ldap_netgroup_search_base,�ldap_netgroup_triple (string)�ldap_network_timeout (integer)�ldap_ns_account_lock (string)�ldap_opt_timeout (integer)�ldap_page_size (integer)�ldap_purge_cache_timeout�ldap_purge_cache_timeout (integer)�ldap_pwd_policy (string)�ldap_pwdlockout_dn (string)�ldap_pwmodify_mode (string)�ldap_referrals (boolean)�ldap_rfc2307_fallback_to_local_users (boolean)�ldap_sasl_authid (string)�ldap_sasl_canonicalize (boolean)�ldap_sasl_mech (string)�ldap_sasl_mech,�ldap_sasl_minssf (integer)�ldap_sasl_realm (string)�ldap_schema (string)�ldap_search_base�ldap_search_base (string)�ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?�ldap_search_base = dc=example,dc=com (which is equivalent to) ldap_search_base = dc=example,dc=com?subtree?�ldap_search_base,�ldap_search_timeout (integer)�ldap_service_name (string)�ldap_service_object_class (string)�ldap_service_port (string)�ldap_service_proto (string)�ldap_service_search_base (string)�ldap_service_search_base,�ldap_sudo_full_refresh_interval (integer)�ldap_sudo_hostnames (string)�ldap_sudo_include_netgroups (boolean)�ldap_sudo_include_regexp (boolean)�ldap_sudo_ip (string)�ldap_sudo_search_base (string)�ldap_sudo_smart_refresh_interval (integer)�ldap_sudo_use_host_filter (boolean)�ldap_sudorule_command (string)�ldap_sudorule_host (string)�ldap_sudorule_name (string)�ldap_sudorule_notafter (string)�ldap_sudorule_notbefore (string)�ldap_sudorule_object_class (string)�ldap_sudorule_option (string)�ldap_sudorule_order (string)�ldap_sudorule_runasgroup (string)�ldap_sudorule_runasuser (string)�ldap_sudorule_user (string)�ldap_tls_cacert (string)�ldap_tls_cacertdir (string)�ldap_tls_cert (string)�ldap_tls_cipher_suite (string)�ldap_tls_key (string)�ldap_tls_reqcert (string)�ldap_uri, ldap_backup_uri (string)�ldap_use_tokengroups�ldap_user_ad_account_expires (string)�ldap_user_ad_user_account_control (string)�ldap_user_authorized_host (string)�ldap_user_authorized_rhost (string)�ldap_user_authorized_service (string)�ldap_user_certificate (string)�ldap_user_email (string)�ldap_user_extra_attrs (string)�ldap_user_extra_attrs = phone:telephoneNumber�ldap_user_extra_attrs = telephoneNumber�ldap_user_fullname (string)�ldap_user_gecos�ldap_user_gecos (string)�ldap_user_gid_number�ldap_user_gid_number (string)�ldap_user_home_directory�ldap_user_home_directory (string)�ldap_user_krb_last_pwd_change (string)�ldap_user_krb_password_expiration (string)�ldap_user_member_of (string)�ldap_user_modify_timestamp (string)�ldap_user_name�ldap_user_name (string)�ldap_user_nds_login_allowed_time_map (string)�ldap_user_nds_login_disabled (string)�ldap_user_nds_login_expiration_time (string)�ldap_user_object_class (string)�ldap_user_objectsid (string)�ldap_user_primary_group (string)�ldap_user_principal�ldap_user_principal (string)�ldap_user_search_base�ldap_user_search_base (string)�ldap_user_search_base,�ldap_user_shadow_expire (string)�ldap_user_shadow_inactive (string)�ldap_user_shadow_last_change (string)�ldap_user_shadow_max (string)�ldap_user_shadow_min (string)�ldap_user_shadow_warning (string)�ldap_user_shell�ldap_user_shell (string)�ldap_user_ssh_public_key�ldap_user_ssh_public_key (string)�ldap_user_uid_number�ldap_user_uid_number (string)�ldap_user_uuid (string)�libkrb5 will search the locator plugin in the libkrb5 sub-directory of the Kerberos plugin directory, see plugin_base_dir in <citerefentry> <refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> for details. The plugin can only be disabled by removing the plugin file. There is no option in the Kerberos configuration to disable it. But the SSSD_KRB5_LOCATOR_DISABLE environment variable can be used to disable the plugin for individual commands. Alternatively the SSSD option krb5_use_kdcinfo=False can be used to not generate the data needed by the plugin. With this the plugin is still called but will provide no data to the caller so that libkrb5 can fall back to other methods defined in krb5.conf.�local_negative_timeout (integer)�login�login UID�login name�lookup_family_order (string)�maprule (string)�matchrule (string)�min_id,max_id (integer)�monitor_resolv_conf (boolean)�msScLogin�netgroup (in the form "+netgroup")�new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]�no_ocsp�no_verification�nonRepudiation�none�none (Untrusted users are not allowed to access any domains PAM in responder.)�obfuscate a clear text password�obfuscated_password�ocsp_default_responder=URL�ocsp_default_responder_signing_cert=NAME�ocsp_dgst�offline_credentials_expiration (integer)�offline_failed_login_attempts (integer)�offline_failed_login_delay (integer)�offline_timeout (integer)�one of the IP addresses of the network (in the form "address/mask")�one of the IP addresses of this machine�override_gid (integer)�override_homedir (string)�override_shell (string)�override_space (string)�p11_child_timeout (integer)�p11_uri (string)�p11_wait_for_card_timeout (integer)�pac_lifetime (integer)�pam_account_expired_message (string)�pam_account_expired_message = Account expired, please contact help desk.
�pam_account_locked_message (string)�pam_account_locked_message = Account locked, please contact help desk.
�pam_app_services (string)�pam_cert_auth (bool)�pam_cert_db_path (string)�pam_id_timeout (integer)�pam_p11_allowed_services = +my_pam_service, -login
�pam_public_domains (string)�pam_pwd_expiration_warning (integer)�pam_sss�pam_trusted_users (string)�pam_verbosity (integer)�partial_chain�password�password_prompt�perform cache cleanup�permissive: GPO-based access control rules are evaluated, but not enforced. Instead, a syslog message will be emitted indicating that the user would have been denied access if this option's value were set to enforcing.�pkinit�principal name�priority (integer)�proxy_fast_alias (boolean)�proxy_lib_name (string)�proxy_max_children (integer)�proxy_pam_target (string)�pwd_expiration_warning (integer)�pwfield (string)�re_expression (string)�realm name�realmd_tags (string)�refresh_expired_interval (integer)�responder_idle_timeout�rfc2307�rfc2307bis�scope (string)�search_base[?scope?[filter][?search_base?scope?[filter]]*]�search_base[?scope?[filter][?search_base?scope?[filter]]*]
�second_prompt�seed the SSSD cache with a user�selinux_provider (string)�serverAuth�services�session_provider (string)�sha1�sha256�sha384�sha512�shell_fallback (string)�simple_allow_groups (string)�simple_allow_users (string)�simple_deny_groups (string)�simple_deny_users (string)�single_prompt�soft_crl�soft_ocsp�ssh_hash_known_hosts (bool)�ssh_known_hosts_timeout (integer)�ssh_use_certificate_keys (bool)�ssh_use_certificate_matching_rules (string)�sss-certmap�sss_cache�sss_debuglevel�sss_obfuscate�sss_seed�sss_ssh_authorizedkeys�sss_ssh_knownhostsproxy�sssd�sssd-ad�sssd-ipa�sssd-krb5�sssd-ldap�sssd-simple�sssd-sudo�sssd.conf�sssd_krb5_locator_plugin�su�su-l�subdomain_enumerate (string)�subdomain_homedir (string)�subdomain_inherit (string)�subdomain_inherit = ldap_purge_cache_timeout
�subdomains_provider (string)�sudo�sudo-i�sudo_provider (string)�sudo_threshold (integer)�sudo_timed (bool)�sudoers: files sss
�syntax: <placeholder type="programlisting" id="0"/>�the <quote>domains</quote> option is ignored�the configuration file for SSSD�the configuration file for SSSD's 'simple' access-control provider�timeStamping�timeout (integer)�to change the string of the password prompt�to change the string of the prompt for the first factor�to change the string of the prompt for the second factor�to configure password prompting, allowed options are: <placeholder type="variablelist" id="0"/>�true�try_inotify (boolean)�use_fully_qualified_names�use_fully_qualified_names (bool)�user (string)�user name�user_attributes (string)�username�[email protected]�users (string)�vetoed_shells (string)�wildcard�wildcard_limit (integer)�{cert[!(bin|base64)]}�{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_dns_name[.short_name]}�{subject_ediparty_name}�{subject_ip_address}�{subject_nt_principal[.short_name]}�{subject_pkinit_principal[.short_name]}�{subject_principal[.short_name]}�{subject_registered_id}�{subject_rfc822_name[.short_name]}�{subject_uri}�{subject_x400_address}�Project-Id-Version: sssd-docs 2.3.0
Report-Msgid-Bugs-To: [email protected]
PO-Revision-Date: 2024-06-17 16:38+0000
Last-Translator: Emilio Herrera <Unknown>
Language-Team: Spanish <https://translate.fedoraproject.org/projects/sssd/sssd-manpage-master/es/>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Launchpad-Export-Date: 2025-04-11 00:09+0000
X-Generator: Launchpad (build e76edd883483c71c468bb038e98836435de44530)
Language: es
�"all"�"none"�"some"�# aplicar filtro sobre el dominio llamado dom1 solo:
dom1:(memberOf=cn=admins,ou=groups,dc=dom1,dc=com)
# aplicar filtro sobre el dominio llamado dom2 solo:
DOM:dom2:(memberOf=cn=admins,ou=groups,dc=dom2,dc=com)
# aplicar filtro sobre un bosque llamado EXAMPLE.COM solo:
FOREST:EXAMPLE.COM:(memberOf=cn=admins,ou=groups,dc=example,dc=com)
# aplicar filtro para un miembro de un grupo anidado en dom1:
DOM:dom1:(memberOf:1.2.840.113556.1.4.1941:=cn=nestedgroup,ou=groups,dc=example,dc=com)
�%%�%1$s�%2$s�%3$s�%F�%P�%U�%d�%f�%h�%o�%p�%r�%u�<EKU>extended-key-usage�<ISSUER>regular-expression�<KU>key-usage�<SAN>regular-expression�<SAN:Principal>regular-expression�<SAN:dNSName>regular-expression�<SAN:directoryName>regular-expression�<SAN:dotted-decimal-oid>regular-expression�<SAN:ediPartyName>base64-string�<SAN:iPAddress>regular-expression�<SAN:ntPrincipalName>regular-expression�<SAN:otherName>base64-string�<SAN:pkinit>regular-expression�<SAN:registeredID>regular-expression�<SAN:rfc822Name>regular-expression�<SAN:uniformResourceIdentifier>regular-expression�<SAN:x400Address>base64-string�<SUBJECT>regular-expression�1�1. Si el shell está presente en <quote>/etc/shells</quote>, se usa.�1. El siguiente ejemplo muestra una configuración SSSD típica.No describe la configuración de los dominios en si mismos - vea la documentación sobre configuración de dominios para mas detalles. <placeholder type="programlisting" id="0"/>�1.2.3.4�2. Si el shell está en la lista allowed_shells pero no en <quote>/etc/shells</quote>, usa el valor del parámetro shell_fallback.�2. El siguiente ejemplo muestra la configuración de confianza IPA AD el bosque AD consta de dos dominios en una estructura padre-hijo. Supone que el dominio IPA (ipa.com) tiene confianza con el dominio AD (ad.com). ad.com tiene dominio hijo (child.ad.com). Para habilitar nombres cortos en el dominio hijo se debería usar la siguiente configuración. <placeholder type="programlisting" id="0"/>�2001:db8:85a3::8a2e:370:7334�3. Si el shell no está en la lista allowed_shells y tampoco en <quote>/etc/shells</quote>, se usará un shell de no acceso.�5�5.6.7.8:99�8�</note>�<citerefentry><refentrytitle>ssh</refentrytitle> <manvolnum>1</manvolnum></citerefentry> puede ser configurado para usar <command>sss_ssh_knownhostsproxy</command> para autenticación de la clave del host usando las siguientes directivas <citerefentry><refentrytitle>ssh</refentrytitle> <manvolnum>1</manvolnum></citerefentry> configuration: <placeholder type="programlisting" id="0"/>�<command>SSSD</command> suministra un conjunto de demonios para gestionar el acceso a directorios remotos y mecanismos de autenticación. Suministra una interfaz NSS y PAM hacia el sistema y un sistema de parte trasera conectable para conectar múltiples fuentes de cuentas diferentes así como interfaz D-Bus. Es también la base para suministrar servicios de auditoría y política a los clientes para proyectos como FreeIPA. Suministra una base de datos más robusta para almacenar los usuarios locales así como datos de usuario extendidos.�<command>pam_sss.so</command> <arg choice='opt'> <replaceable>quiet</replaceable> </arg> <arg choice='opt'> <replaceable>forward_pass</replaceable> </arg> <arg choice='opt'> <replaceable>use_first_pass</replaceable> </arg> <arg choice='opt'> <replaceable>use_authtok</replaceable> </arg> <arg choice='opt'> <replaceable>retry=N</replaceable> </arg> <arg choice='opt'> <replaceable>ignore_unknown_user</replaceable> </arg> <arg choice='opt'> <replaceable>ignore_authinfo_unavail</replaceable> </arg> <arg choice='opt'> <replaceable>domains=X</replaceable> </arg> <arg choice='opt'> <replaceable>allow_missing_name</replaceable> </arg> <arg choice='opt'> <replaceable>prompt_always</replaceable> </arg> <arg choice='opt'> <replaceable>try_cert_auth</replaceable> </arg> <arg choice='opt'> <replaceable>require_cert_auth</replaceable> </arg>�<command>pam_sss.so</command> es la interfaz PAM para el demonio Servicios de Seguridad de Sistema (SSSD). Los errores y resultados son registrados a través de <command>syslog(3)</command> con la facilidad LOG_AUTHPRIV.�<command>sss_cache</command> <arg choice='opt'> <replaceable>options</replaceable> </arg>�<command>sss_debuglevel</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>NEW_DEBUG_LEVEL</replaceable></arg>�<command>sss_obfuscate</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>[CONTRASEÑA]</replaceable></arg>�<command>sss_obfuscate</command> convierte una contraseña dada en un formato no legible y la sitúa en la sección apropiada del dominio del fichero de configuración SSSD.�<command>sss_seed</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'>-D <replaceable>DOMAIN</replaceable></arg> <arg choice='plain'>-n <replaceable>USER</replaceable></arg>�<command>sss_seed</command> alimenta el cache SSSD con una entrada de usuario y una contresañe temporal. Si una entrada de usuario está ya presente en el cache SSSD la entrada se actualiza con la contraseña temporal�<command>sss_ssh_authorizedkeys</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>USER</replaceable></arg>�<command>sss_ssh_authorizedkeys</command> adquiere la clave pública SSH para el usuario <replaceable>USER</replaceable> y las saca en formato de claves autorizadas OpenSSH (vea la sección <quote>AUTHORIZED_KEYS FILE FORMAT</quote> de <citerefentry><refentrytitle>sshd</refentrytitle> <manvolnum>8</manvolnum></citerefentry> para más información).�<command>sss_ssh_knownhostsproxy</command> <arg choice='opt'> <replaceable>options</replaceable> </arg> <arg choice='plain'><replaceable>HOST</replaceable></arg> <arg choice='opt'><replaceable>PROXY_COMMAND</replaceable></arg>�<command>sssd</command> <arg choice='opt'> <replaceable>options</replaceable> </arg>�<emphasis> Por favor tenga en cuenta que esta opción es reemplazada por la opción <quote>ppolicy</quote> y puede ser quitada en un futuro lanzamiento. </emphasis>�<emphasis>0</emphasis>: Desactiva microsegundos en marcas de tiempo�<emphasis>0</emphasis>: Desactiva marca de tiempo en mensajes de depuración�<emphasis>0</emphasis>: no mostrar ningún mensaje�<emphasis>1</emphasis>: Agregar marca de tiempo a mensajes de depuración�<emphasis>1</emphasis>: Agregar microsegundos a la marca de tiempo en mensajes de depuración�<emphasis>1</emphasis>: mostrar sólo mensajes importantes�<emphasis>2</emphasis>: mostrar mensajes informativos�<emphasis>3</emphasis>: mostrar todos los mensajes e información de depuración�<emphasis>Example</emphasis>: Para registrar fallos fatales, ajustes de configuración, datos de función, mensajes de traza para funciones de control interno use 0x1310.�<emphasis>Ejemplo</emphasis>: Para registrar fallos fatales, críticos y serios y datos de función use 0x0270.�<emphasis>AVISO:</emphasis> Las reglas sudo son periódicamente descargadas en segundo plano a no ser que proveedor sudo esté explícitamente deshabilitado. Ajuste <emphasis>sudo_provider = None</emphasis> para deshabilitatr toda la actividad relacionada con sudo en SSSD si usted no desea usar sudo cn SSSD mas.�<emphasis>Nota:</emphasis> Si alguna de las bases de búsqueda especifica un filtro de búsqueda, la mejora del rendimiento de la búsqueda dereference será deshabilitado sin tener en cuenta este ajuste.�<emphasis>Aviso:</emphasis> el valor más alto de USN puede ser actualizado por tres tareas: 1) Por una actualización total o inteligente de sudo (si se encuentran reglas actualizadas), 2) por la enumeración de usuarios y grupos (si se encuentran usuarios y grupos habilitados y actualizados) y 3) reconectando con el servidor (por defecto cada 15 minutos, vea <emphasis>ldap_connection_expire_timeout</emphasis>).�<emphasis>Aviso</emphasis>: si está configurada una política de contraseña en el lado del servidor siempre tiene prioridad sobre la política establecida por esta opción.�<emphasis>ad</emphasis>: usa el valor del campo de 32 bit ldap_user_ad_user_account_control y permite el acceso si el segundo bit no está fijado. Si el atributo está desaparecido se concede el acceso. También se comprueba el tiempo de expiración de la cuenta.�<emphasis>allow</emphasis> = Se pide el certificado del servidor. Si no se suministra certificado, la sesión sigue normalmente. Si se suministra un certificado malo, será ignorado y la sesión continua normalmente.�<emphasis>always</emphasis>: Las referencias al alias se eliminarán tanto para la búsqueda como en la localización del objeto base de la búsqueda.�<emphasis>authorized_service</emphasis>: utilizar el atributo autorizedService para determinar el acceso�<emphasis>demand</emphasis> = Se pide el certificado del servidor. Si no se suministra certificado, o se suministra un certificado malo, la sesión se termina inmediatamente.�<emphasis>caducar</emphasis>: utilizar ldap_account_expire_policy�<emphasis>filtro</emphasis>: utilizar ldap_access_filter�<emphasis>finding</emphasis>: Sólo se eliminarán las referencias a alias cuando se localice el objeto base de la búsqueda.�<emphasis>hard</emphasis> = Igual que <quote>demand</quote>�<emphasis>host</emphasis>: usa el atributo host para determinar el acceso�<emphasis>lockout</emphasis>: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z'. Por favor vea la opción ldap_pwdlockout_dn. Por favor advieta que 'access_provider = ldap' debe ser establecido para que está característica funciones.�<emphasis>mit_kerberos</emphasis> - Usa los atributos utilizados por MIT Kerberos para determinar si el password ha expirado. Use chpass_provider=krb5 para actualizar estos atributos cuando se cambia el password.�<emphasis>nds</emphasis>: los valores de ldap_user_nds_login_allowed_time_map, ldap_user_nds_login_disabled y ldap_user_nds_login_expiration_time se usan para comprobar si el acceso está permitido. Si ambos atributos están desaparecidos se concede el acceso.�<emphasis>never</emphasis> = El cliente no pedirá o comprobará ningún certificado de servidor.�<emphasis>never</emphasis>: Nunca serán eliminadas las referencias al alias.�<emphasis>none</emphasis> - Sin evaluación en el lado cliente. Esta opción no puede deshabilitar las políticas de password en el lado servidor.�<emphasis>ppolicy</emphasis>: usar bloqueo de cuenta. Si se establece, esta opción deniega el acceso en el caso de que el atributo ldap 'pwdAccountLockedTime' esté presente y tenga un valor de '000001010000Z' o represente cualquier momento en el pasado. El valor del atributo 'pwdAccountLockedTime' debe terminar con 'Z', que denota la zona horaria UTC. Otras zonas horarias no se soportan actualmente y llevarán a "access-denied" cuando los usuarios intenten acceder. Por favor vea la opción ldap_pwdlockout_dn. Por favor advierta que 'access_provider = ldap' debe estar establecido para que esta característica funcione.�<emphasis>pwd_expire_policy_reject, pwd_expire_policy_warn, pwd_expire_policy_renew: </emphasis> Estas opciones son útiles si los usuarios están interesados en que se les avise de que la contraseña está próxima a expirar y la autenticación está basada en la utilización de un método distinto a las contraseñas - por ejemplo claves SSH.�<emphasis>rhds</emphasis>, <emphasis>ipa</emphasis>, <emphasis>389ds</emphasis>: usa el valor de ldap_ns_account_lock para comprobar si se permite el acceso o no.�<emphasis>rhost</emphasis>: usar el atributo rhost para determinar si el host remoto puede acceder�<emphasis>searching</emphasis>: Las referencias al alias son eliminadas en subordinadas del objeto base, pero no en localización del objeto base de la búsqueda.�<emphasis>shadow</emphasis>: usa el valor de ldap_user_shadow_expire para determinar si la cuenta ha expirado.�<emphasis>try</emphasis> = Se pide el certificado del servidor. Si no se suministra certificado, la sesión continua normalmente. Si se suministra un certificado malo, la sesión se termina inmediatamente.�<note>�<option>--debug-microseconds=</option><replaceable>mode</replaceable>�<option>--debug-timestamps=</option><replaceable>mode</replaceable>�<option>--version</option>�<option>-?</option>,<option>--help</option>�<option>-A</option>,<option>--autofs-maps</option>�<option>-D</option>,<option>--daemon</option>�<option>-D</option>,<option>--domain</option> <replaceable>DOMAIN</replaceable>�<option>-G</option>,<option>--groups</option>�<option>-N</option>,<option>--netgroups</option>�<option>-S</option>,<option>--services</option>�<option>-U</option>,<option>--users</option>�<option>-a</option>,<option>--autofs-map</option> <replaceable>autofs-map</replaceable>�<option>-c</option>,<option>--config</option>�<option>-c</option>,<option>--gecos</option> <replaceable>COMENTARIO</replaceable>�<option>-d</option>,<option>--debug-level</option> <replaceable>NIVEL</replaceable>�<option>-d</option>,<option>--domain</option> <replaceable>DOMINIO</replaceable>�<option>-d</option>,<option>--domain</option> <replaceable>domain</replaceable>�<option>-f</option>,<option>--file</option> <replaceable>ARCHIVO</replaceable>�<option>-g</option>,<option>--gid</option> <replaceable>GID</replaceable>�<option>-g</option>,<option>--group</option> <replaceable>group</replaceable>�<option>-h</option>,<option>--help</option>�<option>-h</option>,<option>--home</option> <replaceable>HOME_DIR</replaceable>�<option>-i</option>,<option>--interactive</option>�<option>-n</option>,<option>--netgroup</option> <replaceable>netgroup</replaceable>�<option>-n</option>,<option>--username</option> <replaceable>USER</replaceable>�<option>-p</option>,<option>--password-file</option> <replaceable>PASS_FILE</replaceable>�<option>-p</option>,<option>--port</option> <replaceable>PORT</replaceable>�<option>-s</option>,<option>--service</option> <replaceable>service</replaceable>�<option>-s</option>,<option>--shell</option> <replaceable>SHELL</replaceable>�<option>-s</option>,<option>--stdin</option>�<option>-u</option>,<option>--uid</option> <replaceable>UID</replaceable>�<option>-u</option>,<option>--user</option> <replaceable>login</replaceable>�<option>allow_missing_name</option>�<option>domains</option>�<option>forward_pass</option>�<option>ignore_authinfo_unavail</option>�<option>ignore_unknown_user</option>�<option>prompt_always</option>�<option>quiet</option>�<option>require_cert_auth</option>�<option>retry=N</option>�<option>try_cert_auth</option>�<option>use_authtok</option>�<option>use_first_pass</option>�<phrase condition="have_systemd"> Por defecto, todos los servicios están deshabilitados y el administrador debe habilitar aquellos que permita que se usen para ejecución: "systemctl enable sssd-@[email protected]". </phrase>�<placeholder type="programlisting" id="0"/>�<placeholder type="refentryinfo" id="0"/>�<placeholder type="variablelist" id="0"/>�<quote>ad</quote> lo mismo que <quote>ldap</quote> pero con ajustes predeterminados AD.�<quote>ad</quote> para descargar una lista de subdominios desde un servidor Active Directory. Vea <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración del proveedor AD.�<quote>ad</quote> para cargar mapas almacenados en un servidor AD. Vea <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre como configurar un proveedor AD.�<quote>ad</quote>: Proveedor Active Directory. Vea <citerefentry> <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de Active Directory.�<quote>deny</quote> siempre niega el acceso.�<quote>files</quote>: Proveedor de FICHEROS. Vea <citerefentry> <refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre como hacer espejo de usuarios y grupos locales en SSSD.�<quote>ipa</quote> lo mismo que <quote>ldap</quote> pero con ajustes predeterminados IPA.�<quote>ipa</quote> para permitir llevar a cabo tareas relacionadas con la sesión de usuario.�<quote>ipa</quote> para cargar una lista de subdominios desde un servidor IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de IPA.�<quote>ipa</quote> para cargar la identidad del equipo almacenada en un servidor IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de IPA.�<quote>ipa</quote> para cargar mapas almacenados en un servidor IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de IPA.�<quote>ipa</quote> para cargar ajustes selinux desde un servidor IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de IPA.�<quote>krb5</quote> para autenticación Kerberos. Vea <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de Kerberos.�<quote>krb5</quote> para cambiar una contraseña Kerberos. Vea <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre configurar Kerberos.�<quote>krb5</quote>: .k5login basado en control de acceso. Vea <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum></citerefentry> para más información sobre la configuración de Kerberos.�<quote>ldap</quote> para autenticación nativa LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración LDAP.�<quote>ldap</quote> para reglas almacenadas en LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración LDAP.�<quote>ldap</quote> para cambiar una contraseña almacenada en un servidor LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de LDAP.�<quote>ldap</quote> para cargar mapas almacenados en LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de LDAP.�<quote>ldap</quote>: Proveedor LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más información sobre la configuración de LDAP.�<quote>none</quote>deshabilita SUDO explícitamente.�<quote>none</quote> deshabilita la autenticación explícitamente.�<quote>none</quote> deshabilita autofs explícitamente.�<quote>none</quote> deshabilita hostid explícitamente.�<quote>none</quote> deshabilita ir a buscar los ajustes selinux explícitamente.�<quote>none</quote> deshabilita el buscador de subdominios explícitamente.�<quote>none</quote> deniega explícitamente los cambios en la contraseña.�<quote>none</quote> no lleva a cabo ninguna tarea relacionada con la sesión de usuario.�<quote>permit</quote> siempre permite el acceso. Es el proveedor de acceso sólo permitido para un dominio local.�<quote>proxy</quote> para transmitir control de acceso a otro módulo PAM.�<quote>proxy</quote> para la reinstalación de la autenticación a algún otro objetivo PAM.�<quote>proxy</quote> para la reinstalación de cambios de password en algunos otros objetivos PAM.�<quote>proxy</quote>: Soporta un proveedor NSS heredado.�<quote>simple</quote> control de acceso basado en listas de acceso o denegación. Vea <citerefentry> <refentrytitle>sssd-simple</refentrytitle> <manvolnum>5</manvolnum></citerefentry> para más información sobre la configuración del módulo de acceso sencillo.�<replaceable>[section]</replaceable>
<replaceable>key</replaceable> = <replaceable>value</replaceable>
<replaceable>key2</replaceable> = <replaceable>value2,value3</replaceable>
�<citerefentry> <refentrytitle>printf</refentrytitle> <manvolnum>3</manvolnum> </citerefentry>-formato compatible que describe como componer un nombre de dominio totalmente cualificado y los componentes del nombre de dominio.�Una lista separada por comas de cadenas que permiten borrar (filtrar) datos enviados por el contestador PAM al modulo PAM pam_sss PAM. Hay diferentes clases de respuestas enviadas a pam_sss e.g. mensajes mostrados al usuario o variables de entorno que deberían ser fijadas por pam_sss.�Una lista separada por comas de nombres de servicios PAM a los que les será permitidos usar Smartcards.�Una lista separada por comas de grupos, cuyos miembros tendrían habilitado la grabación de sesión. Coincide con los nombres de grupo devueltos por NSS. I.e. después de los posibles cambios de espacio, cambios de mayúsculas/minúsculas, etc.�Una lista separada por comas de usuarios que deberían tener el registro de sesión habilitado. Coincide con los nombres de usuario que son devueltos por NSS. I.e. después de las posibles sustituciones de espacios, cambios de mayúsculas/minúsculas, etc.�Una línea de comentario empieza con una almohadilla (<quote>#</quote>) o un punto y coma (<quote>;</quote>). Los comentarios en línea no están soportados.�Una conversación PAM completa puede llevar a cabo múltiples peticiones PAM, como gestión de cuenta y apertura de sesión. Esta opción controla (sobre una base de por cliente-aplicación) cuanto (en segundos) podemos esconder la información de identidad para evitar excesivos viajes de ida y vuelata al proveedor de identidad.�Una búsqueda dereference es un medio de descargar todos los miembros del grupo en una única llamada LDAP. Servidores diferentes LDAP pueden implementar diferentes métodos dereference. Los servidores actualmente soportados son 389/RHDS, OpenLDAP y Active Directory.�Un dominio es una base de datos que contiene información del usuario. SSSD puede usar más dominios a la vez, pero al menos se debe configurar uno o SSSD no arrancará. Este parámetro describe la lista de dominios en el orden que usted desea que sean consultados. Se recomienda de que contenga sólo caracteres ASCII alfanuméricos, guiones, puntos y guiones bajos. El carácter "/" está prohibido.�Un regla de mapeo y coincidencia puede ser añadida a la configuración SSSD en una sección en si misma con un nombre como <quote>[certmap/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>RULE_NAME</replaceable>]</quote>. En esta sección están permitidas las siguientes opciones:�Un valor numérico en el rango de un entero sin signo de 32 bit se puede usar también para cubrir casos de uso especiales.�Se autogenera un grupo primario para las entradas de usuario cuyos números UID y GID tienen el mismo valor y al mismo tiempo el número GID no corresponde un objeto grupo real en LDAP. Si los valores son los mismos pero el GID primario en la entrada de usuario es también usado por un objeto grupo, el GID primario del usuario se resuelve al de ese objeto grupo.�AD�OPCIONES AVANZADAS�OPCIONES AUTOFS�Opciones de configuración AUTOFS�Ruta absoluta de un directorio donde SSSD debe colocar fragmentos de configuración de Kerberos.�Active Directory limita el número de miembros a recuperar en una única búsqueda usando la política MaxValRange (que está predeterminada a 1500 miembros). Si un grupo contiene mas miembros, la replica incluiría una extensión de rango específica AD. Esta opción deshabilita el análisis de la extensión del rango, por eso grupos grandes aparecerán como si no tuvieran miembros.�Atributo de grupo primario Active Directory para el mapeo de ID. Advierta que este atributo debería solo ser establecido manualmente si usted está ejecutando el proveedor <quote>ldap</quote> con mapeo ID.�Active Directory suministra un objectSID para cada objeto usuario y grupo en el directorio. El objectSID puede ser dividido en componente que representan la identidad del dominio Active Directory y le identificador relativo (RID) del objeto usuario y grupo.�Añade una sello de tiempo a los mensajes de depuración. Si journald está habilitado para el registro de la depuración SSSD esta opción se ignora.�Añade microsegundos al sello de tiempo en los mensajes de depuración. Si journald está habilitado para el registro de la depuración SSSD esta opción se ignora.�Configuración Avanzada�Se enumerarán todos los dominios de confianza descubiertos�Todos los tipos de módulos (<option>account</option>, <option>auth</option>, <option>password</option> y <option>session</option>) son suministrados.�Todas las opciones comunes de configuración que se aplican a los dominios SSSD tambien se aplican a los dominios LDAP. Vea la sección <quote>DOMAIN SECTIONS</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para todos los detalles. Advierta que los atributos de mapeo SSSD LDAP están descritos en la página de manual <citerefentry> <refentrytitle>sssd-ldap-attributes</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>. <placeholder type="variablelist" id="0"/>�Todas las secciones pueden tener un parámetro opcional de <replaceable>descripción</replaceable>. Su función es solo la de servir como etiqueta a tal sección.�Se graban todos los usuarios.�Permite la verificación exitosa incluso si la cadena <replaceable>complete</replaceable> no se puede construir a un ancla de autoconfianza firmado, siempre que sea posible construir una cadena a un certificado de confianza que puede no estar autofirmado.�Los valores permitidos para esta opción son <quote>posix</quote> y <quote>application</quote>.�Permite configurar un mensaje de expiración personalizado, reemplazando el mensaje predeterminado 'Permiso denegado'.�Permite fijar un mensaje de bloqueo personalizado, reemplazando el mensaje por defecto 'Permiso denegado'.�Permite al administrador restringir los dominios contra los que un servicio PAM particular puede autenticarse. El formato es una lista separada por comas de nombres de dominio SSSD, como se especifica en el fichero sssd.conf.�Permite retener los usuarios locales como miembros de un grupo LDAP para servidores que usan el esquema RFC2307.�Solicita siempre al usuario las credenciales. Con esta opción las credenciales pedidas por otros módulos PAM, normalmente una contraseña, serán ignoradas y pam_sss solicitará las credenciales otra vez. En base a la respuesta pre autorización de SSSD pam_sss debe solicitar una contraseña, un Smartcard PIN u otras credenciales.�Use siempre el número GID primario del usuario. El número GID debe referirse a un objeto grupo en las base de datos LDAP.�Una cadena vacía para el shell se pasa como-es a libc.�Una denegación explícita (¡host) se resuelve primero. Segundo, la búsqueda SSSD para permiso explícito (host) y finalmente permitir todo (*).�Una denegación explícita (!rhost) se resuelve primero. Segundo, SSSD busca permisos explícitos (rhost) y finalmente allow_all (*).�Una denegación explícita (¡svc) se resuelve primero. Segundo, SSSD busca permiso explícito (svc) y finalmente permitir todo (*).�Una base DN opcional, alcance de la búsqueda y filtro LDAP para búsquedas LDAP de este tipo de atributo.�Cualquier fichero situado en <filename>conf.d</filename> que termine en <quote><filename>.conf</filename></quote> y no empiece con un punto (<quote>.</quote>) será usado junto con <filename>sssd.conf</filename> para configurar SSSD.�Cualquier cadena de texto describiendo al usuario. Frecuentemente se usa como el campo para el nombre completo del usuario.�Parámetros de dominio de aplicación�Dominios de aplicaciones�Aplicar Política de Grupo: El usuario o al menos uno de sus grupos debe tener permiso para aplicar la GPO (RIGHT_DS_CONTROL_ACCESS).�En este momento solo el respondedor InfoPipe soporta búsqueda de comodín�Convertido en un demonio después de la puesta en marcha.�Antes de realizar el control de acceso, SSSD aplica el filtrado de seguridad de la política de grupo en los GPO. Por cada inicio de sesión de usuario, la aplicabilidad de los GPOs que están enlazados al host es chequeado. Para que un GPO se aplique a un usuario, el usuario o al menos uno de los grupos a los que pertenece debe tener los siguientes permisos en el GPO:�Hacer coincidir binario el valor del ediPartyName SAN.�Binario coincide con el valor del x400Address SAN.�Por defecto el contestador ssh usará todos los certificados disponibles que coincidan con las reglas para filtrar los certificados de modo que las claves ssh solo se derivarán a los que coincidan. Con esta opción las reglas usadas pueden ser restringidas con una lista separada por comas de nombres de reglas que coincidan y mapeen. Todas las demás reglas serán ignoradas.�Por defecto, SSSD intentará usar inotify para monitorizar cambios en los ficheros de configuración y volverá a sondear cada cinco segundos si inotify no puede ser usado.�De manera predeterminada, el proveedor AD mapeará los valores UID y GID desde el parámetro objectSID en Active Directory. Para detalles sobre esto, vea la sección <quote>MAPEO DE ID</quote> abajo. Si usted desea deshabilitar el mapeo de ID y en su lugar confiar en los atributos POSIX definidos en Active Directory, usted debería establecer <placeholder type="programlisting" id="0"/> Si se usarán los atributos POSIX, se recomienda que por razones de rendimientos estos atributos sean también replicados en el Catálogo Global. Si los atributos POSIX están replicados, SSSD intentará localizar el dominio de una ID numérica pedida con la ayuda del Catálogo Global y solo busca en ese dominio. Por el contrario, si los atributos POSIX no están replicados en el Catálogo Global, SSSD debe buscar en todos los dominios del bosque secuencialmente. Por favor advierta que la opción <quote>cache_first</quote> option también podría ser útil para acelerar las búsquedas sin dominio. Advierta que si en el Catálogo Global solo esta presente un subconjunto de atributos POSIX, los atributos no replicados no se leen actualmente desde el puerto LDAP.�Por defecto, el grupo Usuarios Autenticados está presente sobre un GPO y este grupo tiene derechos de acceso tanto de Lectura como de Aplicar Política de Grupo. Puesto que la autenticación de un usuario debe haberse completado con éxito antes del filtrado de seguridad GPO y el control de acceso está arrancado, los permisos del grupo Usuarios Autenticados sobre el GPO se aplicarán siempre también al usuario.�De modo predeterminado, SSSD conecta primero al Catálogo Global para recuperar usuarios de los dominios de confianza y usa el ouerto LDAP para recuperar membresías de grupo o plan de reserva. Deshabilitando esta opción hace que SSSD solo conecte al puerto LDAP del servidor AD actual.�SECCIÓN DE MAPEO DEL CERTIFICADO�OPCIONES DE CONFIGURACIÓN�FRAGMENTOS DE CONFIGURACIÓN DESDE EL DIRECTORIO INCLUDE�No sensible a mayúsculas minúsculas.�Distingue mayúsculas y minúsculas. Este valor es invalido para el proveedor AD.�Cambia el comportamiento del algoritmo de asignación de id para que se comporte de un modo más similar al algoritmo <quote>idmap_autorid</quote> de winbind.�Lista separada por coma de opciones de control de acceso. Los valores permitidos son:�Lista separada por comas de nombrs de dominios a los que la regla debería ser aplicada. Por defecto una regla solo es válida en el dominio configurado en sssd.conf. Si el proveedor soporta subdominios esta opción puede ser usada para añadir la regla a los subdominios también.�Lista separada por comas de dominios y subdominios que representa el orden de búsqueda que se seguirá. La lista no tiene que incluir todos los dominios posibles ya que los dominios que falten se buscarán en el orden que se presentan en la opción de configuración <quote>domains</quote>. Los subdominios que no están listados como parte de <quote>lookup_order</quote> serán buscados en un orden aleatorio por cada dominio padre.�Lista separada por comas de grupos que tienen permitido el acceso. Esto se aplica sólo a los grupos dentro del dominio SSSD. Los grupos locales no serán evaluados.�Lista separada por comas de grupos a los que explicítamente se les deniega el acceso. Esto se aplica sólo a los grupos dentro del dominio SSSD. Los grupos locales no serán evaluados.�Lista separada por comas de los servicios que se han iniciado cuando el mismo sssd se inició. <phrase condition="have_systemd"> La lista de servicios es opcional sobre plataformas donde se soporta systemd, ya que serán enchufados o activado D-Bus cuando sea necesario. </phrase>�Lista separada por comas de usuarios a los está permitido el acceso.�Lista separada por comas de usuarios a los que explicítamente se les deniega el acceso.�Lista separada por comas de atributos LDAP que SSSD debería ir a buscar con el conjunto usual de atributos de usuario.�Configuración�Configurando SSSD para ir a buscar reglas sudo�Configurando sudo para cooperar con SSSD�Configuración de sudo con el motor de SSSD�Controla si SSSD monitorizaría el estado de resolv.conf para identificar cuando necesita actualizar su interfaz de resolución DNS interno.�Controla qué tipo de mensajes se muestra al usuario durante la autenticación. Cuanto mayor sea el número de mensajes más aparecen.�crear el grupo privado de usuario incondicionalmente desde el número UID del usuario. El número GID se ignora en este caso.�Actualmente SSSD básicamente solo soporta LDAP para buscar información de usuario (la excepción es el proveedor proxy que no tiene relevancia aqui). Por esto la regla de mapeo se basa en una búsqueda por filtro de sintaxis LDAP con plantillas para añadir el contenido del certificado al filtro. Se espra que ese filtro solo contendrá los datos específicos para el mapeo y que la persona que llama lo incrustará en otro filtro para hacer la búsqueda real. Debido a esto la cadena de filtro de empezar y terminar con '('and')' respectivamente.�Actualmente sssd soporta los siguientes valores:�Niveles de depuración actualmente soportados:�Actualmente se soportan los siguientes filtros: <placeholder type="variablelist" id="0"/>�Actualmente está función soporta sólo mapeos de objectSID de ActiveDirectory.�DESCRIPCION�La actualización DNS es llevada a cabo de manera predeterminada en dos pasos - actualización IPv4 y después actualización IPv6. En algunos casos puede ser deseable llevar a cabo la actualización IPv4 e IPv6 en un único paso.�LISTA DE DOMINIO�SECCIONES DE DOMINIO�Expresión regular por defecto que describe como analizar la cadena que contiene el nombre de usuario y el dominio en estos componentes.�Predeterminado:�Predeterminado: "none"�Predeterminado: /bin/sh�Predeterminado: /tmp�Predeterminado: 0�Predeterminado: 0 (Sin límite)�Predeterminado: 0 (deshabilitado)�Por defecto: 0 (sólo el usuario root tiene permitido el acceso al respondedor PAC)�Predeterminado: 0 (ilimitado)�Predeterminado: 1�Predeterminado: 1 para min_id, 0 (sin límite) para max_id�Predeterminado: 10�Predeterminado: 1000�Predeterminado: 1000 (frecuentemente el tamaño de una página)�Predeterminado: 120�Por defecto: 1200 (segundos)�Por defecto: 14400 (4 horas)�Predeterminado: 15�Por defecto: 180�Predeterminado: 2�Por defecto: 200000�Por defecto: 2000200000�Por defecto: 21600 (6 horas)�Predeterminado: 3�Predeterminado: 300�Predeterminado: 5�Predeterminado: 5 (segundos)�Predeterminado: 50�Predeterminado: 5400�Predeterminado: 6�Predeterminado: 60�Predeterminado: 60 (minutos)�Predeterminado: 60, KCM: 300�Por defecto: 7 (Kerberos), 0 (LDAP)�Predeterminado: 8�Por defecto: 8192 (o limite “hard” en limits.conf)�Predeterminado: 86400 (24 horas)�Predeterminado: 900 (15 minutos)�Predeterminado: <filename>/etc/sssd/sssd.conf</filename>�Por defecto: <filename>/home/%d/%u</filename>�Predeterminado: <quote>%1$s@%2$s</quote>.�Por defecto: <quote>auth_provider</quote> se utiliza si se ha fijado y se puede manejar las peticiones de cambio de password.�Por defecto: <quote>id_provider</quote> se usa si se ha fijado y puede manejar las peticiones de autenticación.�Por defecto: <quote>id_provider</quote> se usa si está fijado y puede manejar las peticiones de carga selinux.�Predeterminado: <quote>id_provider</quote> se usa si está ajustado y puede llevar a cabo tareas relacionadas con la sesión de usuario.�Predeterminado: <quote>permit</quote>�Por defecto: Todos los usuarios se consideran de confianza por defecto�Por defecto: Distribución específica y especificado en la acumulación de tiempo. (si no se configura __LIBKRB5_DEFAULTS__)�Predeterminado: vacío�Por defecto: Vacío (esto es manejado como <emphasis>nunca</emphasis> por las librerías cliente LDAP)�Predeterminado: Vacío. No empareja grupos.�Predeterminado: Vacío. No hay usuarios coincidentes.�Predeterminado: FALSE�Por defecto: False�Predeterminado: False (deshabilitado)�Predeterminado: False (permitir a nsupdate elegir el protocolol)�Predeterminado: GSS-TSIG�Por defecto: no se fija, se usa el valor de los atributos defaultNamingContext o namingContexts de RootDSE del servidor LDAP usado. Si defaultNamingContext no existe o tiene un valor vacío se usa namingContexts. El atributo namingContexts debe tener un único valor con el DN de la base de búsqueda del servidor LDAP para hacer este trabajo. No se soportan múltiples valores.�Predeterminado: KRB5:<EKU>clientAuth, i.e. solo los certificados que tengan Extended Key Usage <quote>clientAuth</quote>�Predeterminado: None (permitir a nsupdate elegir el servidor)�Por defecto: No definido�Por defecto: No fijado (SSSD usará el valor recuperado desde LDAP)�Por defecto: No fijado. La shell del usuario se usa automáticamente.�Predeterminado: Predeterminados del sistema, vea <filename>/etc/krb5.conf</filename>�Por defecto: Keytab del sistema, normalmente <filename>/etc/krb5.keytab</filename>�Predeterminado: TRUE�Por defecto: La localización llamada “default”�Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.�Predeterminado: True�Predeterminado: True (False para proveedor AD)�Predeterminado: True para AD e IPA en otro caso False.�Predeterminado: Utilizar DN base�Predeterminado: Usa las direcciones IP de la interfaz que es usada para la conexión IPA LDAP�Predeterminado: Use the KDC�Predeterminado: Utilizar la parte del dominio del nombre de host del equipo�Por defecto: Usa el sistema por defecto (normalmente especificado por ldap.conf)�Predeterminado: accountExpires�Predeterminado: iluminada�Pfredeterminado: auto.master�Predeterminado: cn�Predeterminado: cn (rfc2307, autofs_provider=ad), de otra manera automountKey�Predeterminado: cn (rfc2307, rfc2307bis and IPA), sAMAccountName (AD)�Predeterminado: cn=ppolicy,ou=policies,$ldap_search_base�Por defecto: vacio, esto es ldap_uri se está usando.�Predeterminado: enforcing�Por defecto: entry_cache_timeout�Predeterminado: exop�Predeterminado: false�Predeterminado: false (se detectan los cambio de enlace de red)�Predeterminado: false;�Predeterminado: filter�Predeterminado: fqdn�Predeterminado: gecos�Predeterminado: gidNumber�Predeterminado: groupType en el proveedor AD, de otro modo no establecido�Predeterminado: hard�Default: host�Por defecto: host/nombre_de_host@REALM�Por defecto: ipService�Por defecto: ipServicePort�Por defecto: ipServiceProtocol�Predeterminado: ipaAnchorUUID�Predeterminado: ipaExternalMember en el proveedor IPA, de otro modo no estabecido.�Predeterminado: ipaGroupOverride�Predeterminado: ipaOverrideAnchor�Predeterminado: ipaUserOverride�Predeterminado: ipv4_first�Predeterminado: krbLastPwdChange�Predeterminado: krbPasswordExpiration�Predeterminado: krbPrincipalName�Predeterminado: ldap�Predeterminado: loginAllowedTimeMap�Predeterminado: loginDisabled�Predeterminado: loginShell�Predeterminado: mail�Predeterminado: memberNisNetgroup�Predeterminado: memberOf�Valor predeterminado: memberuid (rfc2307) / member (rfc2307bis)�Predeterminado: modifyTimestamp�Predeterminado: nisMap (rfc2307, autofs_provider=ad), de otra manera automountMap�Predeterminado: nisMapEntry (rfc2307, autofs_provider=ad), de otra manera automountInformation�Predeterminado: nisMapName (rfc2307, autofs_provider=ad), de otra manera automountMapName�Predeterminado: nisNetgroup�Predeterminado: nisNetgroupTriple�Predeterminado: nisObject (rfc2307, autofs_provider=ad), de otra manera automount�Predeterminado: none�Predeterminado: no definido�Por defecto: no fijado (Devuelve NULL si no se ha especificado una shell y confía en libc para sustituir algo sensible cuando sea necesario, normalmente /bin/sh)�Por defecto: no fijado (SSSD usará el valor recuperado desde LDAP)�Predeterminado: no establecido (ambas opciones se establecen a 0)�Predeterminado: no establecido (krb5.include.d subdirectorio del directorio pubconf de SSSD)�Por defecto: no fijado (sin sustitución para los directorios home no fijados)�Por defecto: no ajustado (los espacios no serán reemplazados)�Predeterminado: no establecido en caso general, objectGUID para AD e ipaUniqueID para IPA�Por defecto: no ajustada, retroceder a opción InfoPipe�Por defecto: no fijado, esto es no se usa FAST.�Por defecto: no fijado, i.e. no restringe la verificación de certificado�Por defecto: no fijado, esto es servicio descubridor deshabilitado.�Por defecto: no fijado, esto es el TGT no es renovable�Por defecto: no fijado, esto es el tiempo de vida de la entrada por defecto configurado en el KDC.�Por defecto: no ajustado, los procesos correrán como root�Por defecto: no especificado�Predeterminado: nsAccountLock�Predeterminado: nsContainer�Predeterminado: objectSid para ActiveDirectory, no establecido para otros servidores.�Por defecto: contraseña�Predeterminado: permissive�Predeterminado: posix�Predeterminado: posixAccount�Por defecto: posixGroup�Predeterminado: rfc2307�Predeterminado: rhost�Predeterminado: root�Predeterminado: serverHostname�Predeterminado: sha1 (para permitir la compatibilidad con el contestador que cumple el RFC50190)�Predeterminado: shadowExpire�Predeterminado: shadowInactive�Predeterminado: shadowLastChange�Predeterminado: shadowMax�Predeterminado: shadowMin�Predeterminado: shadowWarning�Predeterminado: sshPublicKey�Por defecto: sudoCommand�Por defecto: sudoHost�Por defecto: sudoNotAfter�Por defecto: sudoNotBefore�Por defecto: sudoOption�Por defecto: sudoOrder�Por defecto: sudoRole�Por defecto: sudoRunAsGroup�Por defectot: sudoRunAsUser�Por defecto: sudoUser�Predetermiado: el dominio configurado en sssd.conf�Predeterminado: el conjunto predeterminado de nombres de servicio PAM incluye:�Predeterminado: la prioridad más baja�Por defecto: el valor de <emphasis>cn=ad,cn=etc,%basedn</emphasis>�Por defecto: el valor de <emphasis>cn=trusts,%basedn</emphasis>�Predeterminado: el valor de <emphasis>cn=views,cn=accounts,%basedn</emphasis>�Predeterminado: el valor de <emphasis>ldap_search_base</emphasis>�Por defecto: el valor de krb5_realm.�Predeterminado: true�Predeterminado: 'true' en plataformas donde inotify tenga soporte. 'False' en el resto de las plataformas.�Predeterminado: uid (rfc2307, rfc2307bis e IPA), sAMAccountName (AD)�Predeterminado: uidNumber�Predeterminado: no establecido (LDAP), primaryGroupID (AD)�Por defecto: use los valores por defecto OpenLDAP, normalmente en <filename>/etc/openldap/ldap.conf</filename>�Predeterminado: userAccountControl�Predeterminado: userCertificate;binary�Define como se encuentra un usuario desde un certificado dado.�Define la cantidad de tiempo (en segundos) a esperar una respuesta de un fallo interno sobre un servicio ntes de asumir que ese servicio es inalcanzable. ISi se alcanza este tiempo de salida, el dominio continuará trabajando en modo offline.�Obsoleto. Usa en su lugar ldap_host_search_base.�Determina la frecuencia de comprobación del cache para entradas inactivas (como grupos sin miembros y usuarios que nunca han accedido) y borrarlos para guardar espacio.�Determina si un dominio puede ser enumerado, esto es, si el dominio puede listar tods los usuarios y grupos que contiene. Advierta que no requiere habilitar la enumeración con el objetivo de visualizar grupos secundarios. Este parámetros puede tener uno de los siguientes valores:�Se pueden ajustar diferentes opciones de configuración para un dominio de confianza dependiendo de si usted está configurando SSSD sobre un servidor IPA o un cliente IPA.�Función resumen (picadillo) usada para crear la ID del certificado para la petición OCSP. Los valores permitidos son:�Directorio en el sistema de archivos donde SSSD debería guardar fichero de reproducción de cache de Kerberos.�Deshabilitar la recuperación del rango de Active Directory.�Deshabilita el control de paginación LDAP. Esta opción se debería usar si el servidor LDAP reporta que soporta el control de paginación LDAP en sus RootDSE pero no está habilitado o no se comporta apropiadamente.�Deshabilita la comprobación de Protocolo de Estado de Certificado en Línea (OCSP). Esto puede ser necesario si los servidores OCSP definidos en el certificado no son alcanzables por el cliente.�Deshabilita la verificación completamente. Esto opción solo se debería usar para pruebas.�Mostrar una advertencia N días antes que la contraseña caduque.�Muestra mensaje de ayuda y sale.�Haga una coincidencia binaria con el blob codificado en base64 con todos los demás componentes SAN otheName. Con esta opción es posible la coincidencia con los componentes otherName personales con codificación especial que podrían no ser tratados como cadenas.�Hace la autenticación en base a certificado, i.e. autenticación con Smartcard o dispositivos similares. Si no hay una Smartcard disponible se pedirá al usuario que inserte una. SSSD esperará una Smartcard hasta el tiempo límite definido por p11_wait_for_card_timeout passed, más detalles en <citerefentry><refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry>.�No devuelve miembros de grupo para búsquedas de grupo.�No envía ninguna variable de entorno a ningún servicio.�No envía la variable de entorno var_name a ningún servicio.�No envía la variable de entorno var_name al servicio.�ENV�ENV:var_name�ENV:var_name:service�EJEMPLO�EJEMPLOS�Cada dominio puede tener una cadena de formato individual configurada. Vea SECCIONES DOMINIO para más información sobre esta opción.�Cada dominio puede tener una expresión regular individual configurada. Para algunos proveedores de ID hay también expresiones regulares por defecto. Vea las SECCIONES DOMINIO para mas información sobre estas expresiones regulares.�Cada regla tiene cuatro componentes, una <quote>priority</quote>, una <quote>matching rule</quote>, una <quote>mapping rule</quote> y una <quote>domain list</quote>. Todos los componentes son opcionales. Si no hay <quote>priority</quote> se añadirá la regla con el nivel de prioridad más bajo. La <quote>matching rule</quote> predeterminada hará coincidir los certificados con la clave de utilización digitalSignature y la clave de utilización extendida clientAuth. Si <quote>mapping rule</quote> está vacía los certificados serán buscados en el atributo userCertificate como DER codificado en binario. Si no se dan dominios solo se buscará en el dominio local.�Habilita un certificado en base a la autenticación Smartcard. Como esto requiere comunicación adicional con la Smartcard lo que dilatará el proceso de autenticación esta opción está deshabilitada por defecto.�Habilita el seguimiento de depuración.�Habilita sitios DNS - descubrimiento de servicio basado en la ubicación.�Habilita la autenticación segura flexible de los túneles (FSAT) para la pre-autenticación Kerberos. Se soportan las siguientes opciones:�Habilitar esta opción puede también hacer acceso a las comprobaciones de proveedor ara membresía de grupo significativamente más rápidas, especialmente para grupos que contienen muchos miembros.�Enumerar un dominio requiere que SSSD descargue y almacene TODAS las entradas de usuario y grupo del servidor remoto.�Ejemplo:�Ejemplo: <EKU>clientAuth,1.3.6.1.5.2.3.4�Ejemplo: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$�Ejemplo: <KU>digitalSignature,keyEncipherment�Ejemplo: <SAN>.*@MY\.REALM�Example: <SAN:1.2.3.4>test�Example: <SAN:Principal>.*@MY\.REALM�Example: <SAN:dNSName>.*\.my\.dns\.domain�Example: <SAN:directoryName>.*,DC=com�Ejemplo: <SAN:ediPartyName>MTIz�Ejemplo: <SAN:iPAddress>192\.168\..*�Example: <SAN:ntPrincipalName>.*@MY.AD.REALM�Example: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM�Example: <SAN:otherName>MTIz�Ejemplo: <SAN:registeredID>1\.2\.3\..*�Example: <SAN:rfc822Name>.*@email\.domain�Ejemplo: <SAN:uniformResourceIdentifier>URN:.*�Example: <SAN:x400Address>MTIz�Ejemplo: <SUBJECT>.*,DC=MY,DC=DOMAIN�Ejemplo: (attr:binary={subject_ediparty_name})�Ejemplo: (attr:binary={subject_x400_address})�Ejemplo: (ip={subject_ip_address})�Ejemplo: (ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad})�Ejemplo: (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})�Ejemplo: (oid={subject_registered_id})�Ejemplo: (orig_dn={subject_directory_name})�Ejemplo: (uri={subject_uri})�Ejemplo: (userCertificate;binary={cert!bin})�Ejemplo: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name}))�Ejemplo: (|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name}))�Ejemplo: (|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name}))�Ejemplo: (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))�Ejemplo: 389 DS tiene un bug donde puede sólo soportar un control de paginación a la vez en una única conexión. Sobre clientes ocupados, esto puede ocasionar que algunas peticiones sean denegadas.�Ejemplo: <placeholder type="programlisting" id="0"/>�Ejemplo: <placeholder type="programlisting" id="0"/> o <placeholder type="programlisting" id="1"/> Para encontrar la URI adecuada compruebe por favor la salida de depuración de p11_child. Como alternativa la utilidad GnuTLS 'p11tool' con e.g. '--list-all' mostrará PKCS#11 URIs también.�Ejemplo: los servidores OpenLDAP con el módulo de control de paginación instalado sobre el servidor pero no habilitado lo reportarán en el RootDSE pero es incapaz de usarlo.�Ejemplo: cn=ppolicy,ou=policies,dc=example,dc=com�Ejemplo: dyndns_iface = em1, vnet1, vnet2�Ejemplos:�Excluye a ciertos usuarios o grupos de ser recuperados de la base de datos sss NSS. Esto es particularmente útil para cuentas del sistema. Esta opción puede ser también establecida por dominio o incluir nombres completos para filtrar solo usuarios de un dominio concreto o por el nombre principal de usuario (UPN).�La utilización de claves extendidas que no están listadas arriba pueden ser especificadas con sus OID en anotación decimal con puntos.�CONMUTACIÓN POR ERROR�FALSE = Sin enumeraciones para este dominio�Formato de archivo�ARCHIVOS�Sintaxis de conmutación por error�False�La característica sólo se soporta para `logger == files` (i.e. la configuración no tiene efecto para otro tipo de registros).�Formatos de archivo y convenciones�Las siguientes opciones son útiles en más de una de las secciones de configuración.�Para una manera fácil de configurar dominios no POSIX, vea la sección <quote>Dominios aplicación</quote>.�Para cualquier petición PAM mientras SSSD está en línea, SSSD intentará inmediatamente actualizar la información de identidad escondida por el usuario con el objetivo de asegurar que la autenticación tiene lugar con la información más actual.�Por ejemplo, si entry_cache_timeout del dominio está fijado a 30 y entry_cache_nowait_percentage está fijado a 50 (por ciento), las entradas que vengan después de 15 segundos pasado el último cache serán devueltas inmediatamente, pero SSSD irá y actualizará el cache por el mismo, de modo que las futuras peticiones no necesitarán bloquearse a la espera de una actualización del cache.�Por ejemplo, para configurar sudo para primero buscar reglas en el fichero <citerefentry> <refentrytitle>sudoers</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> estándar (que contendría reglas para aplicar al usuario local) y después en SSSD, el fichero nsswitch.conf contiene la siguiente línea:�Para ejemplos de esta sintaxis, por favor vea la sección de ejemplos de <quote>ldap_search_base</quote>�Para direcciones IPv6 explícitas, <host> debe estar entre corchetes []�Para más detalles sobre estas opciones vea su descripción individual en la página de manual.�Para más información sobre recuperación de fallos y redundancia de servidor, consulte la sección de <quote>conmutación por error</quote>. Nota: incluso si no hay más servidores kpasswd para intentar, y el punto final no está conmutado para trabajar fuera de línea la autenticación contra el KDC es todavía posible.�Para más información sobre el mecanismo del servicio descubridor, vea el RFC 2782.�Para una operativa apropiada, esta opción debe ser especificada en minúsculas y con el nombre totalmente cualificado del dominio Active Directory. Por ejemplo: <placeholder type="programlisting" id="0"/>�Para una operativa apropiada, esta opción sería especificada en la versión minúscula de la versión larga del dominio Active Directory.�Para subdominios el valor por defecto es False par subdominios que usan POSIX IDs asignados y True para subdominios que usan mapeo de ID automático.�Para coincidir el nombre sujeto almacenado en el certificado en codificación DER ASN.1 se convierte en una cadena de acuerdo a RFC 4514. Esto significa que el componente de nombre más específico es el primero. Por favor advierta que no todos los posibles nombres de atributo están cubiertos por RFC 4514. Los nombres incluidos son 'CN', 'L', 'ST', 'O', 'OU', 'C', 'STREET', 'DC' y 'UID'. Otros nombres de atributo pueden ser mostrados de forma diferente sobre plataformas distintas y por herramientas diferentes. Para evitar la confusión es mejor que no se usen estos nombres de atributos o se cubran por una expresión regular a medida.�Por las razones citadas arriba, no se recomienda habilitar la enumeración, especialmente en entornos grandes.�Para usuarios, esto afecta al límite primario GID. El usuario no será devuelto a NSS si bien la UID o el GID primario está fuera de rango. Para los miembros de grupos no primarios, aquellos que estén en rango serán reportados como en espera.�Cuatro tipos de esquema son actualmente soportados:�Los intentos de conexión adicionales son hechos a máquinas o servicios marcaros como fuera de línea después de un período de tiempo especificado; esto está codificado a fuego actualmente en 30 segundos.�Adicionalmente, la habilitación de la enumeración puede incrementar el tiempo necesario para detectar la desconexión de red, tanto como los tiempos de espera necesarios para asegurar que las búsquedas de enumeración se han completado. Para más información vea las páginas de manual para el específico id_provider en uso.�OPCIONES GENERALES�La funcionalidad de control de acceso basado en GPO usa ajustes de política GPO para determinar si un usuario concreto tiene autorizado acceder al host. Para mas información sobre los ajustes de política soportados vea las opciones <quote>ad_gpo_map</quote>.�Opciones de configuración de servicios generales�Las anulaciones de grupo pueden contener atributos dados por�Cuantos segundos tiene SSSD que esperar antes de ejecutar una actualización inteligente de las reglas sudo (lo que descarga todas las reglas que tienen un USN más alto que el valor más alto del servidor USN que conoce actualmente SSSD).�Cuantos segundos esperará SSSD entre ejecutar un refresco total de las reglas sudo (que descarga todas las reglas que están almacenadas en el servidor).�Cuantos segundos ocultaría enumeraciones nss_sss (peticiones de información sobre todos los usuarios)�Cuántos segundos debe considerar nss_sss como válidas las entradas antes de volver a consultar al backend�Cuantos segundos debería nss_sss considerar las entradas de grupo válidas antes de preguntar al punto final otra vez.�Cuantos segundos debería nss_sss considerar las entradas de grupo de red válidas antes de preguntar al punto final otra vez.�Cuantos segundos debería nss_sss considerar las entradas de servicio válidas antes de preguntar al punto final otra vez.�Cuantos segundos debería nss_sss considerar las entradas de usuario válidas antes de preguntar al punto final otra vez.�Cuantos segundos debería considerar las regulas sudo válidas antes de preguntar al backend otra vez.�Cuantos segundos deberá considerar el servicio autofs los mapas de automontaje válidos antes de preguntar al punto final otra vez.�Cuantos segundos se mantiene un host en el fichero known_hosts gestionados después de que se hayan pedido sus claves de host.�Cuantos segundos mantener una clave ssh de host después de refrescar. IE cuanto guardar en caché la clave de host.�Cuantos segundos esperará pam_sss wait para que p11_child finalice.�Con qué frecuencia el back-end debe realizar una actualización periódica de DNS además de la actualización automática que se realiza cuando el back-end se conecta. Esto es una posibilidad opcional y aplicable solo cuando dyndns_update está a true.�ASIGNACIÓN DE ID�IPA�Si se usa 2-Factor-Authentication (2FA) y las credenciales deberían ser guardadas este valor determina la longitud mínima del primer factor de autenticación (contraseña de largo plazo) que debe ser guardado como hash SHA512 en el caché.�Si <emphasis>ldap_sudo_use_host_filter</emphasis> es <emphasis>false</emphasis> esta opción no tiene efecto.�Si <option>forward_pass</option> está fijada el password introducido se pone en la pila para que lo usen otros módulos PAM.�Si está configurado <quote>auth_provider=ad</quote> o <quote>access_provider=ad</quote> en sssd.conf id_provider debe ser también establecido a <quote>ad</quote>.�Si <quote>auth_provider=ipa</quote> o <quote>access_provider=ipa</quote> está configurado en sssd.conf id_provider se debe establecer también a <quote>ipa</quote>.�Si se especifica <replaceable>PROXY_COMMAND</replaceable>, se usa para crear la conexión al host en lugar de abrir un socket.�Si el respondedor PAM de SSSD no está corriendo, e.g. si el socket respondedor PAM no esta disponible, pam_sss devolverá PAM_USER_UNKNOWN cuando se llame como módulo <option>account</option> para evitar problemas con usuarios de otras fuentes durante el control de acceso.�Si se requiere la autenticación con Smartcard cuantos segundos extras se añaden a p11_child_timeout para que el contestador PAM espera hasta que se inserte la Smartcard.�Si los atributos USN no se soportan por el servidor, se usa en su lugar el atributo modifyTimestamp.�Si no se puede establecer una conexión con un contestador OCSP la comprobación OCSP es saltada. Esta opción debería ser usada para permitir la autenticación cuando el sistema no está en línea y el contestador OCSP no puede ser alcanzado.�Si un password se resetea por un fallo de root, como el correspondiente proveedor SSSD no soporta el reseteo de password, se puede mostrar un mensaje individual. Este mensaje puede, por ejemplo, contener instrucciones sobre como resetear un password.�Si existe un fichero especial(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>) el módulo PAM de SSSD pam_sss le pedirá a SSSD que descubra que métodos de autenticación están disponibles para el usuario que intenta iniciar sesión. En base a los resultados pam_sss pedirá al usuario las credenciales apropiadas.�Si access_provider=ldap y ldap_access_order=authorized_service, SSSD utilizará la presencia del atributo authorizedService en la entrada LDAP del usuario para determinar el privilegio de acceso.�Si access_provider=ldap y ldap_access_order=host, SSSD utilizará la presencia del atributo host en la entrada LDAP del usuario para determinar el privilegio de acceso.�Si access_provider=ldap y ldap_access_order=rhost, SSSD usará la presencia del atributo rhost en la entrada LDAP de usuario para determinar el privilegio de acceso. Similarmente al proceso de verificación de host.�Si todas las listas están vacías, se concede acceso�Si se ha suministrado alguna lista, el orden de evaluación es permitir,denegar. Esto significa que cualquier regla de denegación será saltada por cualquier regla de permiso coincidente.�Si una o ambas listas de "permiso" se suministran, todos los usuarios serán denegados a no ser que aparezcan en la lista.�Si está habilitado, SSSD almacenará sólo las reglas que pueden ser aplicadas a esa máquina. Esto indica reglas que contienen uno de los siguientes valores en el atributo <emphasis>sudoHost</emphasis>:�Si ldap_group_nesting_level está establecido a 0 no se procesan de ninguna manera grupos anidados. Sin embargo, cuando está conectado a Active-Directory Server 2008 y posteriores usando <quote>id_provider=ad</quote> se recomienda además deshabilitar la utilización de Token-Groups estableciendo ldap_use_tokengroups a false con el objetivo de restringir el anidamiento de grupos.�Si ldap_schema está fijado en un formato de esquema que soporte los grupos anidados (por ejemplo, RFC2307bis), entonces esta opción controla cuantos niveles de anidamiento seguirá SSSD. Este opción no tiene efecto en el esquema RFC2307.�Si no hay Smartcard disponible después del tiempo límite o no está pemitida la autenticación basada en certificado para el servicio actual se devolverá PAM_AUTHINFO_UNAVAIL.�Si no hay Smartcard disponible o la autenticación basada en certificado no está permitida para el servicio actual se devuelve PAM_AUTHINFO_UNAVAIL.�Si no se especifican servidores, el punto final usar automáticamente el servicio descubridor para intentar encontrar un servidor. Opcionalmente, el usuario puede elegir utilizar tanto las direcciones de servidor fijadas como el servicio descubridor para insertar una palabra clave especial, <quote>_srv_</quote>, en la lista de servidores. El orden de preferencia se mantiene. Esta función es útil sí, por ejemplo, el usuario prefiere usar el servicio descubridor siempre que sea posible, el volver a un servidor específico cuando no se pueden descubrir servidores usando DNS.�Si sólo se suministran listas de "denegación", todos los usuarios obtendran acceso a no ser que aparezcan en la lista.�Si el descubridor de servicio se usa en el punto final, especifica la parte de dominio de la pregunta al descubridor de servicio DNS.�Si se fija en 0 el usuario no puede autenticarse fuerta de línea si se ha alcanzado offline_failed_login_attempts. Sólo una autenticación en línea con éxito puede habilitar otra vez la autenticación fuera de línea.�Si es TRUE, todas las peticiones a este dominio deben usar nombres totalmente cualificados. Por ejemplo, si se usa en el dominio LOCAL que contiene un usuario “test”, <command>getent passwd test</command> no encontraría al usuario mientras que <command>getent passwd test@LOCAL</command> lo haría.�Si se fija a TRUE, no se pide el atributo de membresía de grupo al servidor ldap y los miembros no son devueltos cuando se procesan llamadas de búsqueda, como <citerefentry> <refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum> </citerefentry> o <citerefentry> <refentrytitle>getgrgid</refentrytitle> <manvolnum>3</manvolnum> </citerefentry>. Como efecto, <quote>getent group $groupname</quote> debería devolver el grupo pedido como si estuviera vacío.�Si se ajusta a true <command>sss_ssh_authorizedkeys</command> devolverá claves ssh derivadas de la clave pública de los certificados X.509 almacenados en la entrada de usuario también. Vea detalles en <citerefentry> <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> <manvolnum>1</manvolnum> </citerefentry> for details.�Si se fija en true, la librería LDAP llevaría a cabo una búsqueda inversa para para canocalizar el nombre de host durante una unión SASL.�Si el usuario especificado es preguntado N veces por un password si la autenticación falla. Por defecto es 0.�Si el UID y el GID de un usuario son diferentes, el GID debe corresponder a una entrada de grupo, de otro modo el GID simplemente no se puede resolver.�Si la autenticación del proveedor es fuera de línea, cuanto permitiríamos los accesos escondidos (en días desde el último login en línea con éxito).�Si la autenticación del proveedor es fuera de línea, cuantos intentos de login fallados están permitidos.�Si el backend admite subdominios el valor de ldap_sasl_mech es heredado automáticamente por los subdominios. Si se necesita un valor diferente para un subdominio puede ser sobrescrito estabeciendo ldap_sasl_mech para este subdominio explícitamente. Por favor vea la SECCIÓN DOMINIO DE CONFIANZA es <citerefentry><refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry> para más detalles.�Si el servicio de cambio de contraseña no está corriendo en el KDC, se pueden definir aquí servidores alternativos. Un número de puerto opcional (precedido de dos puntos) debe ser añadido a las direcciones o nombres de host.�Si la lista de dominio no está vacía los usuarios mapeados a un certificado dado no serán buscados solo en el dominio local sino también en los dominios listados siempre que sean conocidos por SSSD. Los dominios no conocidos por SSSD serán ignorados.�Si la variable de entorno SSSD_KRB5_LOCATOR_DEBUR está fijada a cualquier valor los mensajes de depuración se enviarán a stderr.�Si la variable de entorno SSSD_KRB5_LOCATOR_DISABLE está establecida a cualquier valor el complemento es deshabilitado y y devolverá KRB5_PLUGIN_NO_HANDLE al llamante.�Si la variable de entorno SSSD_KRB5_LOCATOR_IGNORE_DNS_FAILURES etá establecida a cualquier valor el complemento intentará resolver todos los nombres DNS en el fichero kdcinfo. Por defecto el complemento devuelve KRB5_PLUGIN_NO_HANDLE al llamante inmediatamente en el primer fallo resolviendo DNS.�Si la palabra clave es igual a <quote>DOM</quote> o es ninguna, <quote>NAME</quote> especifica el dominio o subdominio al que se aplica el filtro. Si la palabra clave es igual a <quote>FOREST</quote>, el filtro iguala a todos los dominios del bosque especificado por <quote>NAME</quote>.�Si la opción ' subdomains_provider = ipa' se encuentra en la sección de dominio de sssd.conf, el proveedor de subdominios de IPA se configura explícitamente, y todas las peticiones de subdominio se envían al servidor de IPA si es necesario.�Si la opción 'subdomains_provider' no está establecida en la sección dominio de sssd.conf pero hay la opción 'id_provider = ipa', el proveedor de subdominios IPA está configurado implícitamente. En este caso, si una petición de subdominio falla e indica que el servidor no soporta subdominios, i.e. no está configurado para confianza, el proveedor de subdominios IPA está deshabilitado. Después de una hora o después de que el proveedor IPA esté en línea, el proveedor de subdominios está habilitado otra vez.�Si la opción <quote>ldap_use_tokengroups</quote> está habilitada, las búsquedas contra Active Directory no serán restringidas y devolverán todos los grupos miembros, incluso sin mapeo GID. Se recomienda deshabilitar esta función, si los nombres de grupo no están siendo visualizados correctamente.�Si el usuario remoto no existe en la cache, se crea. Se determina la UID con la ayuda del SID, los dominios de confianza tendrán UPGs y el GID tendrá el mismo valor que la UID. El directorio home se ajusta en base al parámetro subdomain_homedir. La shell estará vacía por defecto, i.e. se usa el sistema predeterminado, pero se puede sustituir con el parámetro default_shell.�Si se conocen los SIDs de los grupos de los dominios, se añadirá el usuario a esos grupos.�Si no hay más máquinas para intentarlo, el punto final al completo conmutará al modo fuera de línea y después intentará reconectar cada 30 segundo.�esta opción está vacía, SSSD intentará descrubrir las direcciones automáticamente.�Si esta opción está vacía, SSSD intentará descubrir el nombre de host y el nombre de dominio totalmente cualificado automáticamente.�Si se especifica esta opción y el usuario no existe, el módulo PAM devolverá PAM_IGNORE. Esto origina que el marco de referencia PAM ignore este módulo.�Si esta a true y el servicio de descubrimiento (vea el párrafo Servicio de Descubrimiento al final de la página de manual) está habiitado, SSSD intentará primero descubrir el servidor Active Directory usando Active Directory Site Discovery y recurre a loas registros DNS SRV si no encuentra sitio AD. La configuración DNS SRV, incluyendo el descubrimiento de dominio, se usa durante el descubrimiento de sitio también.�Si es ciertp y descubrimiento de servicio (vea el párrafo Descubrimiento del Servicio en la parte inferior de la página de manual) está habilitado, SSSD primero intentará la localización basada en el descubrimiento usando una consulta que contenga "_location.hostname.example.com" y después irá al descubrimiento tradicional SRV. Si la localización basada en el descubrimiento tiene éxito, los servidores IPA localizados con la localización basada en el descubrimiento son tratados como servidores primarios y los servidores IPA localizados usando el descubrimiento tradicional SRV son usados como servidores de respaldo�Si está a true SSSD descargará cada regla que contenga un grupo de red en el atributo sudoHost.�Si es verdad SSSD descargará cada regla que contenga un comodín en el atributo sudoHost.�Si es true, SSSD descargará sólo las reglas que son aplicables a esta máquina (usando las direcciones de host/red y nombres de host IPv4 o IPv6).�Si está usando access_provider = ldap y ldap_access_order = filter (predeterminado), esta opción es obligatoria. Especifica un criterio de filtro de búsqueda LDAP que debe cumplirse para que el usuario obtenga acceso a este host. Si access_provider = ldap, ldap_access_order = filter y esta opción no estñan establecidos resultará que todos los usuarios tendrán el acceso denegado. Use access_provider = permit para cambiar este comportamiento predeterminado. Por favor advierta que este filtro se aplica sobre la entrada LDAP del usuario y, por lo tanto, el filtrado basado en grupos anidados puede no funcionar (e.g. el atributo memberOf sobre entradas AD apunta solo a los parientes directos). Si se requiere el filtrado basado en grupos anidados, vea por favor <citerefentry> <refentrytitle>sssd-simple</refentrytitle><manvolnum>5</manvolnum> </citerefentry>.�Si usted desea filtrar usuarios aunque sean miembros del grupo, fije esta opción a false.�Si está fijado cero, no se aplicará el filtro, esto es si se recibe una advertencia de expiración desde el servidor final, se mostrará automáticamente.�Un proveedor IPA, ipa_netgroup_member sería usado en su lugar.�Un proveedor IPA, ipa_netgroup_name sería usado en su lugar.�En proveedor IPA, ipa_netgroup_object_class, se usaría en su lugar.�En caso de que SSSD esté corriendo en debug_level menor de 9, todo se registra en un bufer temporal en la memoria y se descarga en un archivo de registro cualquier error incluyendo `min(0x0040, debug_level)` (i.e. si debug_level se fija explícitamente a 0 o 1 estos niveles de error disparará una traza, de lo contrario hasta 2).�En contraste con el SID basado en mapeo de ID que se usa si ldap_id_mapping está establecido a true el rango de ID permitido para ldap_user_uid_number y ldap_group_gid_number está sin consolidar. En una configuración con subdominios de confianza, esto podría producir colisiones de ID. Para evitar las colisiones ldap_min_id y ldap_max_id pueden er establecidos para restringir el rango permitido para las IDs que son leídas directamente desde el servidor. Los subdominios pueden elegir otros rangos para asignar IDs.�En entornos con KDCs de solo lectura y lectura-escritura donde los clientes esperan usar las instancias solo lectura para las operaciones generales y solo KDC de lectura-escritura para cambio de configuración como cambios de contraseña se utiliza <filename>kpasswdinfo.REALM</filename> también para identificar KDCs de lectura-escritura. Si existe este fichero para el reino dado el contenido será usado por el complemento para contestar las peticiones de un servidor kpasswd o kadmin opara el maestro específico KDC MIT Kerberos. Si la dirección contiene un número de puerto el puerto predeterminado KDC 88 será usado para los posteriores.�En general se recomienda usar atributos del certificado y añadirlos a atributos especiales al objeto usuario LDAP. E.g. el atributo 'altSecurityIdentities' en AD o el atributo 'ipaCertMapData' para IPA se pueden usar.�Con el objetivo de que funcione correctamente, se debe crear un dominio con <quote>id_provider=local</quote> y el SSSD debe estar corriendo.�En algunos entornos donde se usa el esquema RFC2307, los usuarios locales son hechos miembros de los grupos LDAP añadiendo sus nombres al atributo memberUid. La autoconsistencia del dominio se ve comprometida cuando se hace esto, de modo que SSSD debería normalmente quitar los usuarios “desparecidos” de las afiliaciones a grupos escondidas tan pronto como nsswitch intenta ir a buscar información del usuario por medio de las llamadas getpw*() o initgroups().�En el caso de que el NPU no esté disponible en el motor de identidad, <command>sssd</command> construirá un NPU usando el formato <replaceable>username</replaceable>@<replaceable>krb5_realm</replaceable>.�Trozos individuales de funcionalidad SSSD son suministrados por servicios especiales SSSD que se inician y parar junto a SSSD. Los servicios son gestionados por un servicio especial frecuentemente llamado <quote>monitor</quote>. La sección <quote>[sssd]</quote> se usa para configurar el monitor así como algunas otras opciones importantes como la identidad de dominios. <placeholder type="variablelist" id="0"/>�Informa a SSSD para terminar graciosamente todos sus procesos hijos y después para el monitor.�Modo interactivo de introducir información del usuario. Esta opción sólo preguntará por la información no suministrada en las opciones o recuperada del dominio.�Internamente la prioridad se trata como un entero no firmado de 32 bitr, la utilización de in valor de prioridad superior a 4294967295 causará un error.�Invalida todos los mapas autofs. Esta opción anula la invalidación de mapa específico si fue fijada.�Invalida todos los registros de grupo. Esta opción anula la invalidación de grupo específico si también está fijada.�Invalida todos los registros de grupo de red. Esta opción anula la invalidación de grupo de red específico si también está fijada.�Invalida todos los archivos de servicio. Esta opción anula la invalidación de servicio específico si también fue fijada.�Invalida todos los registros de usuario. Esta opción anula la invalidación de usuario específico si también está fijada.�Invalida mapas específicos autofs.�Invalida grupo específico.�Invalida grupo de red específico.�Invalida servicio específico�Invalida el usuario específico.�Es posible añadir una subsección para servicios PAM específicos, e.g. <quote>[prompting/password/sshd]</quote> para el cambio individual de la pregunta para este servicio.�Es posible añadir otro nombre de servicio PAM al conjunto predeterminado usando <quote>+service_name</quote> o quitar explícitamente nombre de servicio PAM de los predeterminados usando <quote>-service_name</quote>. Por ejemplo, con el objetivo de reemplazar un nombre de servicio PAM por autenticación con Smartcards (e.g. <quote>login</quote>) con un nombre de servicio PAM personalizado (e.g. <quote>my_pam_service</quote>), debería usar la siguiente configuración: <placeholder type="programlisting" id="0"/>�KPClientAuth�Complemento localizador Kerberos�EJEMPLO DE FILTRO DE ACCESO LDAP�LDAP:(userCertificate;binary={cert!bin}) para proveedores basados en LDAP como <quote>ldap</quote>, <quote>AD</quote> o <quote>ipa</quote>.�Tiempo de vida de la entrada PAC en segundos. Tanto como la PAC es válida los datos PAC pueden ser usados para determinar la membresia de grupo de un usuario.�REGLA DE MAPEO�REGLA DE COINCIDENCIA�TIPOS DE MÓDULOS SUMINISTRADOS�Algoritmo de asignación�Haga coincidir los principales de Kerberos de la SAN principal de AD NT.�Haga coincidir los principales de Kerberos con los PKINIT SAN.�Haga coincidir los principios principales de Kerberos en la SAN principal de PKINIT o AD NT.�Haga coincidir el valor del dNSName SAN.�Haga coincidir el valor del directoryName SAN. Los mismos comentarios dados para <ISSUER> and <SUBJECT> se aplican aquí también.�Haga coincidir el valor del iPAddress SAN.�Haga coincidir el valor de registeredID SAN como cadena decimal con puntos.�Haga coincidir el valor del rfc822Name SAN.�Hacer coincidir el valor del uniformResourceIdentifier SAN.�Número máxio de reflas expiradas que pueden ser refrescadas a la vez. Si el número de reglas expiradas está por debajo del umbral son refrescadas con el mecanismo <quote>refrescar reglas</quote> mechanism. SI se supera el umbral un <quote>refresco total</quote> de reglas sudo se dispara en su lugar. Este umbral también se aplica al comando IPA sudo y a las búsquedas de grupo de comando.�Configuración mínima (en la sección <quote>[domain/DOMAINNAME]</quote>):�Más información sobre la configuración del orden de búsqueda de sudoers desde el fichero nsswuitch.conf así información sobre el esquema LDAP que se usa para almacenar reglas sudo en el directorio se puede encontrar en <citerefentry> <refentrytitle>sudoers.ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Se pueden separar múltiples filtros con el carácter <quote>?</quote>, de modo similar a como funcionan las bases de búsqueda.�AVISO: Puesto que el número GID y el grupo privado de usuario se infieren de número UID, no está soportado tener múltiples entrada con los mismos UID o GID con esta opción. En otras palabras, habilitando esta opción se fuerza la unicidad den el espacio de ID.�AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO", las aplicaciones clientes no usaran la memoria cache rápida.�AVISO: Si el modo operativo está establecido en enforcing (hacer cumplir), es posible que a usuarios que antes se les permitía el acceso se les deniegue ahora (como dictan los ajustes de política GPO). Con el objetivo de facilitar una transición suave a los administradores, hay un modo permisivo disponible que no aplicará las reglas de control de acceso, pero as evaluará y sacará un mensaje de registro de sistema si el acceso debería haber sido denegado. Examinando los registros los administradores pueden hacer los cambios necesario antes de establecer el modo enforcing. Para registrar el control de acceso basado en GPO, se requiere un nivel de depuración 'funciones de rastreo' (vea las páginas de manual <citerefentry> <refentrytitle>sssctl</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>).�NOTA: Es posible encontrar colisiones en el picadillo y los módulos subsiguientes. En estas situaciones, seleccionaremos la siguiente rebanada disponible, pero puede no ser posible reproducir los mismos conjuntos exactos de rebanadas sobre otras máquinas (puesto que el orden en que se encuentren desterminará sus rebanadas). En esta situación, se recomienda o bien conmutar para usar los atributos explícitos POSIX en Active Directory (deshabilitando la asignación de ID) o configurar un dominio por defecto para garantizar que al menos uno sea siempre consistente. Vea <quote>Configuración</quote> para detalles.�NOTA: Sobre sistemas más antiguos (como RHEL 5), para que este comportamiento trabaje fiablemente, el reino por defecto Kerberos debe ser fijado apropiadamente en /etc/krb5.conf�AVISO: LOs dominios aplicación actualmente están bien probados solamente con <quote>id_provider=ldap</quote>.�AVISO: La opción filter_groups no afecta a la herencia de miembros de grupos anidados, puesto que el filtrado sucede después de que hayan sido propagados para volver por medio de NSS. E.g. un grupo que tenga un miembro del grupo filtrado mantendrá los usuarios miembros del listado posterior.�NOTA: Actualmente hay algunas suposiciones que deben cumplirse cuando SSSD se ejecuta en un servidor IPA.�NOTA: Este algoritmo no es determinista (depende del orden en que usuario y grupos son pedidos). Si se requiere este modo para compatibilidad con máquinas que ejecutan winbind, se recomienda que también use la opción <quote>ldap_idmap_default_domain_sid</quote> para garantizar que al menos un dominio está asignado consistentemente a la rebanada cero.�AVISO: Esta opción no tiene efecto sobre búsquedas de grupo de red debido a su tendencia a incluir grupos de red anidados sin nombres cualificados. Para grupos de red, se buscará en todos los dominios cuando se pida un no no cualificado.�NOTA: Esta opción es diferente de <quote>max_id</quote> en esta <quote>max_id</quote> actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que <quote>max_id</quote> fuera menor o igual que <quote>ldap_idmap_range_max</quote>�NOTA: Esta opción es diferente de <quote>min_id</quote> en esta <quote>min_id</quote> actúa para filtrar la salida de las peticiones a este dominio, mientras esta opción controla el rango de la asignación de ID. Esto es una sutil diferencia, pero el buen consejo general sería que <quote>min_id</quote> fuera menor o igual que <quote>ldap_idmap_range_min</quote>�NOTA: Cuando asignación de ID está habilitado, los atributos uidNumber y gidNumber son ignorados. Esto es para evitar la posibilidad de conflictos entre los valores automáticamente asignados y los asignados manualmente. Si usted necesita usar los valore asignados manualmente, TODOS los valores deben ser asignados manualmente.�AVISO: Aunque todavía es posible usar la vieja opción <emphasis>ipa_dyndns_iface</emphasis>, los usuarios deberían migrar usando <emphasis>dyndns_iface</emphasis> en su fichero de configuración.�AVISO: Aunque todavía es posible usar la antigua opción <emphasis>ipa_dyndns_ttl</emphasis>, los usuarios deberían migrar usando <emphasis>dyndns_ttl</emphasis> en su fichero de configuración.�AVISO: Aunque todas es posible usar la vieja opción <emphasis>ipa_dyndns_update</emphasis>, los usuarios deberían migrar para usar <emphasis>dyndns_update</emphasis> en su fichero de configuración.�AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un costo considerable de rendimiento, puesto que cada petición sin caché para un usuario requiere a recuperación y el emparejado de los grupos a los que pertenece el usuario.�NOTAS�Opciones de configuración de NSS�Nombre del atributo LDAP que contiene el certificado X509 del usuario.�Nombre del atributo LDAP que contiene el correo electrónico del usuario.�Nombre del atributo que contiene la referencia al objeto original en un dominio remoto.�Nombre del atributo que contiene el nombre de la vista.�Nombre del objectclass para grupos anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo.�Nombre de los objectclass para los usuarios anulados. Se usa para determinar si el objeto anulado encontrado está relacionado con un usuario o un grupo.�La membresía de grupo anidada debe ser buscada usando una OID especial <quote>:1.2.840.113556.1.4.1941:</quote> además de la sintaxis completa DOM:domain.example.org: para asegurar que el analizador no intente interpretar el carácter dos puntos asociado con el OID. Si usted no usa este OID la membresía de grupo anidada no será resuelta. Vea el ejemplo de utlización abajo y vaya aquí para ampliar información sobre OID: <ulink url="https://msdn.microsoft.com/en-us/library/cc223367.aspx"> [MS-ADTS] sección extensiones LDAP</ulink>�No serán enumerados dominios de confianza descubiertos�NO se grabaron usuarios.�Normalmente cuando no se encuentras GPOs aplicables los usuarios tienen permitido el acceso. Cuando se establece esta opción a True los usuarios tendrán permitido el acceso solo cuando este explícitamente permitido por una regla GPO. En otro caso el acceso de usuarios será denegado. Esto se puede usar para fortalecer la seguridad, pero tenga cuidado al usar esta opción, ya que puede denegar el acceso incluso a los usuarios en el grupo de administradores integrados si no se aplican reglas de GPO.�Normalmente cuando algunos contenedores de políticas de grupo (objeto AD) de pbjetos aplicables de políticas de grupo no son legibles por SSSD se les niega el acceso a los usuarios. Esta opción permite ignorar los contenedores de política de grupo y con ello las políticas asociadas si sus atributos en los contenedores de política de grupo no son legibles por SSSD.�No todas las implementaciones Kerberos soportan el uso de plugins. Si <command>sssd_krb5_locator_plugin</command> no está disponible en su sistema usted tiene que editar /etc/krb5.conf para reflejar sus ajustes Kerberos.�Advierta que si ambas opciones están establecidas solo se evalúa <quote>ad_server</quote>.�Aviso: Primero, se establece una nueva conexión para verificar la contraseña acutal uniendo con el usuario que ha pedido el cambio de contraseña. Si tiene éxito, esta conexión se usa para el cambio de contraseña por lo tanto el usuario debe haber escrito el atributo de acceos a userPassword.�Nota: No está soportado tener múltiples bases de búsqueda que se referencien a objetos nombrados idénticamente (por ejemplo, grupos con el mismo nombre en dos bases de búsqueda diferentes). Esto llevara a comportamientos impredecibles sobre máquinas cliente.�Nota: Por favor tenga cuidado que este mensaje solo se imprime por el servicio SSH a no ser que pam_verbosity esté fijado a 3 (mostrar todos los mensajes e información de depuración).�Aviso: Esta opción solo trabaja con el proveedor IPA y AD.�Aviso: Esta opción especifica el nivel garantizado d grupos anidados a ser procesados para cualquier búsqueda. Sin embargo, los grupos anidados detrás de este límite <emphasis>pueden ser</emphasis> devueltos si las búsquedas anteriores ya resueltas en os niveles más profundos de anidamiento. También, las búsquedas subsiguientes para otros grupos pueden agrandar el conjunto de resultados de la búsqueda origina si se requiere.�Nota: Los dominios de confianza siempre detectarán automáticamente los servidores aunque el servidor primario esté definido explícitamente en la opción ad_server.�Nota: esta opción será sujeto de cambios en las futuras versiones del SSSD. Probablemente será sustituido en algunos puntos por una serie de tiempos de espera para tipos específicos de búsqueda.�Nota: esta opción no tendrá efecto en plataformas donde inotify no se encuenytre disponible. En estas plataformas, la consulta (polling) será utilizada siempre.�Entradas de números de días que son dejadas en el cache después del último login con éxito antes de ser borrado durante la limpieza de la cache. 0 significa mantener para siempre. El valor de este parámetro debe ser más grande o igual que offline_credentials_expiration.�OCSPSigning�OPCIONES�OPCIONES AJUSTABLES SOBRE CLIENTES IPA�OPCIONES AJUSTABLES EN IPA MAESTROS�Objectclass de los objetos anulados.�Objectclass del contenedorde vistas.�El almacenamiento en caché sin conexión para esta función está limitado a determinar si el último inicio de sesión del usuario recibió permiso de acceso. Si obtuvieron permiso de acceso durante su último inicio de sesión, se les seguirán otorgando acceso sin conexión y viceversa.�Sobre un servidor IPA SSSD buscara usuarios y grupos de los dominios de confianza directamente mientras que sobre un cliente preguntará a un servidor IPA.�Una de las siguientes cadena especifica el alcande de la sesión de grabación: <placeholder type="variablelist" id="0"/>�Solo los certificados de la Smartcard que coincidan con esta regla serán procesados, los demás son ignorados.�Opcional. Aplicable solo cuando dyndns_update está a true. Elija la interfaz o la lista de interfaces cuyas direcciones IP serían usadas para las actualizaciones DNS dinámicas. El valor especial <quote>*</quote> implica que las IPs de todas las interfaces serían las usadas.�Opcional. Se puede establecer sobre máquinas donde el hostname(5) no refleje el nombre totalmente cualificado usado en el dominio IPA para identificar este host. El nombre de host debe ser totalmente cualificado.�Opcional. Esta opción le dice a SSSD que actualice automáticamente el servidor DNS incorporado a FreeIPA con la dirección IP de este cliente. La actualización está asegurada utilizando GSS-TSIG. La dirección IP de la conexión IPA LDAP se usa para las actualizaciones, si no se especifica de otra manera utilizando la opción <quote>dyndns_iface</quote>.�Opcional. Usa la cadena dada como base de búsqueda de los objetos relacionados con Desktop Profile.�Opcional. Usa la cadena dada como base de búsqueda para los objetos HBAC relacionados.�Opcional. Usa la cadena dada como base de búsqueda para los mapas de usuario SELinux.�Opcional. Usa la cadena dada como base de búsqueda para objetos host.�Opcional: Usa la cadena dada como base de búsqueda para el objeto maestro de dominio.�Opcional: Usa la cadena dada como base de búsqueda de dominios de confianza.�Opcional. Usa la cadena dada como base de búsqueda de contenedores de vista.�Opciones utilizables en las secciones SERVICIO y DOMINIO�Opciones utilizables en todas las secciones�Opciones válidas para dominios proxy. <placeholder type="variablelist" id="0"/>�Anula el shell de acceso para todos los usuarios. Esta opción reemplaza cualquier otra opción de shell si tinene efecto y puede ser fijada bien en la sección [nss] o por dominio.�Anula el valor primario GID con el especificado.�Anula el directorio home del usuario. Usted puede suministras bien un valor absoluto o una plantilla. En la plantilla, serán sustituidas las siguientes secuencias: <placeholder type="variablelist" id="0"/>�Opciones de configuración del respondedor PAC�Opciones de configuración PAM�Módulo PAM para SSSD�PKCS#11 URI (ver detalles en RFC-7512) que puede ser usada para restringir la selección de dspositivos usados por la autenticación Smartcard. Por defecto p11_child de SSSD buscará una ranura (lector) PKCS#11 donde este establecida la bandera 'removable' y lee los certificados de la ficha insertada en la primera ranura encontrada. Si están conectados múltiples lectores p11_uri puede ser usado para decir a p11_child que use un lector específico.�Los dominios POSIX son alcanzables por todos los servicios. Los dominios aplicación son solo alcanzables desde el contestador InfoPipe (vea <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>) y el contestador PAM.�PRIORIDAD�SECCIÓN DE CONFIGURACIÓN INICIAL�Ruta al almacenamiento de certificados CA de confianza. Esta opción se usa para validar los certificados de usuario antes de derivar las claves públicas ssh de ellos.�Por favor advierta que es un error de configuración usar un carácter de reemplazo que pueda ser usado en los nombres de grupo o usuario. Si un nombre contiene el carácter de reemplazo SSSD intentará devolver un nombre no modificado pero en general el resultado de la búsqueda es indefinido.�Por favor advierta que la UID 0 siempre permite el acceso al contestador PAM aunque no está en la la lista pam_trusted_users.�Por favor advierta que aunque la UID 0 se usa por defecto será anulada con esta opción. Si usted deses todavía permitir al usuario root acceder al respondedor PAC, que sería el caso típico, usted tiene que añadir 0 a la lista de UIDs permitidas también.�Por favor advierta que deshabilitando el soporte de Catálogo Global no deshabilita la recogida de usuarios de los dominios de confianza. SSSD conectaría al puerto LDAP de los dominios de confianza en su lugar. Sin embargo, Catálogo Global debe ser usado con el objetivo de resolver las membresías de grupo de dominio cruzado.�Por favor advierta que si <quote>cached_auth_timeout</quote> es mayor que <quote>pam_id_timeout</quote> el otro extremo podría ser llamado para gestionar <quote>initgroups.</quote>�Tenga en cuenta que es un error de configuración si un valor es usado más de una vez.�Por favor advierta que siempre se recomienda utilizar el control de acceso del lado servidor, esto es el servidor LDAP denegaría petición de enlace con una código de error definible aunque el password sea correcto.�Por favor advierta que es un error de configuración si tanto, simple_allow_users como simple_deny_user, están definidos.�Por favor advierta que oscurecer la contraseña <emphasis>no suministra un beneficio real de seguridad</emphasis> y es posible para un atacante mediante ingeniería inversa volver atrás la contraseña. Se recomienda <emphasis>firmemente</emphasis> el uso de mejores mecanismos de autenticación como certificados en el lado cliente o GSSAPI.�Por favor advierta que varios nombres de atributos están reservados por SSSD, notablemente el atributo <quote>name</quote>. SSSD informaría de un error si cualquiera de los nombres de atributo reservados es usado como un nombre de atributo extra.�Por favor advierta que especificar el alcance o el filtro no está soportado para búsquedas contra un Active Directory Server que puede ceder un gran número de resultados y disparar la extensión Range Retrieval en la respuesta.�Por favor advierta que sssd sólo soporta seguimiento de referencias cuando está compilado con OpenLDAP versión 2.4.13 o más alta.�Por favor advierta que el dominio de aplicación debe aún ser habilitado explícitamente en el parámetros <quote>domains</quote> de modo que la orden de búsqueda entre el dominio de aplicación y su dominio POSIX hermano está establecido correctamente.�Por favor advierta que el automontador sólo lee el mapa maestro en el arranque, se modo que si se hace cualquier cambio relacionado con autofs al sssd.conf, usted normalmente también necesitará reiniciar el demonio automontador después de reiniciar el SSSD.�Por favor advierta que el servidor de punto final tiene que suministrar información sobre el tiempo de expiración de la contraseña. Si esta información desaparece, sssd no podrá mostrar un aviso.�Por favor advierta que el servidor de backend tiene que suministrar información sobre la hora expiración de la contraseña. Si esta información está desaparecida, sssd no puede mostrar un aviso. También se tiene que configurar un proveedor de autorización para el backend.�Por favor advierta que la opcion de configuración ldap_access_order <emphasis>debe</emphasis> incluir <quote>authorized_service</quote> con el objetivo de que la opción ldap_user_authorized_service trabaje.�Por favor advierta que la opción de configuración ldap_access_order <emphasis>debe</emphasis> incluir <quote>expire</quote> con el objetivo de la opción ldap_account_expire_policy funcione.�Por favor advierta que la opción de configuración ldap_access_order <emphasis>debe</emphasis> incluir <quote>host</quote> con el objetivo de que la opción ldap_user_authorized_host.�Por favor advierta que la opción de configuración ldap_access_order <emphasis>debe</emphasis> incluir <quote>rhost</quote> con el objetivo de que la opción ldap_user_authorized_rhost trabaje.�Por favor advierta que esta opción puede no trabajar como se espera llamando PAM a manejar el diálogo de usuario por el mismo. Un ejecplo típico es <command>sshd</command> con <option>PasswordAuthentication</option>.�Por favor advierta el campo rhost en pam es establecido por la aplicación, es mejor comprobar que la aplicación lo envía a pam, antes de habilitar esta opción de control de acceso�Por favor vea el parámetro <quote>dns_discovery_domain</quote> en la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más detalles.�Por favor vea la sección <quote>RECUPERACIÓN DE FALLOS</quote> para más información sobre la resolución del servicio.�Preserving�Imprimir número de versión y salir.�Suministra el nombre del dominio del que el usuario es miembro. El dominio también se usa para recuperar información del usuario. El dominio debe estar configurado en sssd.conf. La opción <replaceable>DOMAIN</replaceable> debe ser suministrada. La información recuperada del dominio anula la que se ha suministrado en las opciones.�Suministra la capacidad para seleccionar la familia de dirección preferente a usar cuando se lleven a cabo búsquedas DNS.�ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h
GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts
�COMPONENTES DE LA REGLA�Lee el fichero de configuración especificado por el parámetro posicional.�Lectura: El usuario o uno de sus grupos debe tener acceso de lectura a las propiedad de la GPO (RIGHT_DS_READ_PROPERTY)�Vea la sección <quote>DOMAIN SECTIONS</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para detalles sobre la configuración de un dominio SSSD. <placeholder type="variablelist" id="0"/>�Expresión regular para este dominio que describe como analizar gramaticalmente la cadena que contiene el nombre de usuario y el dominio en estos componentes. El "dominio" puede coincidir bien con el nombre de dominio de configuración SSSD o en el caso de subdominios de confianza IPA y dominios Active Directory, el nombre plano (NetBIOS) del dominio.�Reemplaza cualquier instancia de estos shells con shell_fallback�Restringe el proceso de invalidación sólo a un dominio concreto.�Restringe la shell de usuario a uno de los valores listados. El orden de evaluación es:�Ejecutar en primer plano, no convertirse en un demonio.�VEA TAMBIEN�SERVICIO DE DESCUBRIMIENTO�SECCIONES DE SERVICIOS�SIGHUP�SIGTERM/SIGINT�SIGUSR1�SIGUSR2�SECCIONES ESPECIALES�Opciones de configuración SSH�SSSD 1.14 y posteriores también incluyen el alias <replaceable>debug</replaceable> para <replaceable>debug_level</replaceable> como ua característica de conveniencia. Si se usan ambas se usará el valor de <replaceable>debug_level</replaceable>.�Proveedor SSSD Active Directory�Reglas de Correspondencia y Asignación de Certificados SSSD�Proveedor SSSD IPA�Proveedor SSSD LDAP�Páginas de manual de SSSD�SSSD puede manejar vistas y anulaciones que son ofrecidas por FreeIPA 4.1 y versiones posteriores. Como todas las rutas y objectclasses son fijadas en el lado servidor no se necesita configurar nada. Para completar, las opciones relacionadas son listadas aquí con sus valores predeterminados. <placeholder type="variablelist" id="0"/>�SSSD se engancha en el interfaz netlink para monitorizar los cambios a rutas, direcciones, enlaces y disparar ciertas acciones.�Krb5 auth-provider de SSSD que es utilizado por IPA y los proveedores AD que también agrega la dirección del actual KDC o controlador de dominio SSSD se utiliza para este fichero.�SSSD, con su interfaz D-Bus (see <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>) es atractivo para las aplicaciones como puerta de entrada a un directorio LDAP donde se almacenan usuarios y grupos. Sin embargo, de modo distinto al tradicional despliegue SSSD donde todos los usuarios y grupos bien tienen atributos POSIX o esos atributos se pueden inferir desde los Windows SIDs, en muchos casos los usuarios y grupos en el escenario de soporte de la aplicación no tienen atributos POSIX. En lugar de establecer una sección <quote>[domain/<replaceable>NAME</replaceable>]</quote>, el administrador puede configurar una sección <quote>[application/<replaceable>NAME</replaceable>]</quote> que internamente represente un dominio con un tipo <quote>application</quote> que opcionalmente herede ajustes de un dominio SSSD tradicional.�PROVEEDOR DE SUBDOMINIOS�OPCIONES SUDO�SUDO opciones de configuración�Igual que False (no sensible a mayúsculas minúsculas.), pero sin minúsculas en los nombres en el resultado de las operaciones NSS. Advierta que los nombres de alias (y en el caso de servicios también los nombres de protocolo) están en minúsculas en la salida.�Guarda el atributo <quote>telephoneNumber</quote> desde LDAP como <quote>phone</quote> al caché.�Guarda el atributo <quote>telephoneNumber</quote> desde LDAP como <quote>telephoneNumber</quote> al caché.�Busca las claves públicas del host en el dominio SSSD <replaceable>DOMAIN</replaceable>.�Busca las claves públicas del usuario en el dominio SSSD <replaceable>DOMAIN</replaceable>.�Parámetros de sección�Vea <quote>ldap_search_base</quote> para información sobre la configuración de múltiples bases de búsqueda.�Vea también�Vea la página de manual <citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> para más información sobre el complemento localizador.�Seleccione la política para evaluar la caducidad de la contraseña en el lado del cliente. Los siguientes valores son permitidos:�Opciones de configuración de la grabación de sesión�Trabajos de grabación de sesión en conjunto con <citerefentry> <refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>, una parte del paquete tlog, para registrar lo que los usuarios ven y el tipo cuando ellos lo registran en un terminal de texto. Vea también <citerefentry> <refentrytitle>sssd-session-recording</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Fija la plantilla por defecto para el direcorio home del usuario si no se ha especificado una explícitamente por el proveedor de datos del dominio.�Fija la GID del usuario a <replaceable>GID</replaceable>.�Fija la UID del usuario a <replaceable>UID</replaceable>.�Fija el directorio home del usuario a <replaceable>HOME_DIR</replaceable>.�Fija la shell de acceso del usuario a <replaceable>SHELL</replaceable>.�Fija el contestador OCSP por defecto que será usando en lugar del mencionado en el certificado. La URL debe ser reemplazada con la URL del contestador OCSP por defecto e.g. http://example.com:80/ocsp.�Estableciendo esta opción a cero deshabilitará la operación de limpieza del caché. Por favor advierta que si la enumeración está habilitada, se requiere la tarea de limpieza con el objetivo de detectar entradas borradas desde el servidor y no pueden ser deshabilitadas. Por defecto, la tarea de limpieza correrá cada tres horas con la enumeración habilitada.�Los ajustes que pueden ser utilizados para configurar diferentes servicios se describe en esta sección. Ellos deben residir en la sección [<replaceable>$NAME</replaceable>], por ejemplo, para el servicio NSS, la sección sería <quote>[nss]</quote>�Señales�Puesto que cualquier petición para una identidad de usuario o de grupo de un dominio de confianza disparada desde un cliente IPA se resuelve por el servidor IPA, las opciones <quote>ad_server</quote> y <quote>ad_site</quote> solo afectan a que AD DC llevará a cabo la autenticación. En concreto, las direcciones resueltas desde estas listas serán escritas a ficheros <quote>kdcinfo</quote> leídos por el complemento localizador Kerberos. Por favor vea la página de manual <citerefentry> <refentrytitle>sssd_krb5_locator_plugin</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> para mas detalles sobre el complemento localizador Kerberos.�Algunos servidores de directorio, por ejemplo Active Directory, pueden entregar la parte real del UPN en minúsculas, lo que puede causar fallos de autenticación. Fije esta opción en un valor distinto de cero si usted desea usar mayúsculas reales.�Algunas de las solicitudes de respuestas adicionales NSS pueden devolver mas atributos que solos los de POXIS definido por el interfaz NSS. La lista de atributos se controla con esta opción. Se maneja de la misma forma que la opción <quote>user_attributes</quote> del contestador InfoPipe (see <citerefentry> <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para mas detalles) pero sin valores predeterminados.�Algunos de los valores por defecto para los parámetros de abajo dependen del esquema LDAP.�Algunas opciones usadas en la sección dominio puede ser usadas también en la sección dominio de confianza, esto es, en una sección llamada<quote>[domain/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>TRUSTED_DOMAIN_NAME</replaceable>]</quote>. Donde DOMAIN_NAME es el dominio base real. Por favor vea los ejemplos de abajo para una explicación. Actualmente las opciones soportadas en la sección de dominio de confianza son:�Lista separada por espacios de direcciones de host/red IPv4 o IPv6 que sería usada para filtrar las reglas.�Lista separada por espacios de nombres de host o nombres de dominio totalmente cualificados que sería usada para filtrar las reglas.�El valor especial 0 implica que esta función está deshabilitada.�Especifica una lista de parámetros de configuración que deberían ser heredados por un subdominio. Por favor advierta que solo pueden ser heredados parámetros seleccionados. Actualmente se pueden heredar las siguientes opciones:�Especifica un tiempo de espera (en segundos) después del cual las llamadas a LDAP APIs asíncronos se abortarán si no se recibe respuesta. También controla el tiempo de espera cuando se comunica con el KDC en caso de enlace SASL, el tiempo de espera de una operación de enlace LDAP, la operación de cambio extendido de contraseña y las operación StartTLS.�Especifica un tiempo de espera (en segundos) en el que se mantendrá una conexión a un servidor LDAP. Después de este tiempo, la conexión será restablecida. Si su usa en paralelo con SASL/GSSAPI, se usará el valor más temprano (este valor contra el tiempo de vida TGT).�Especifica conjuntos de cifrado aceptable. Por lo general, es una lista searada por dos puntos. Vea el formato en <citerefentry><refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum></citerefentry>.�Especifica un límite superior sobre el número de entradas que son descargadas durante una búsqueda de comodín.�Especifica por cuantos segundos nss_sss escondería golpes negativos al cache (esto es, consultas para entradas no válidas a la base de datos, como entradas no existentes) antes de preguntar al punto final otra vez.�Especifica por cuantos segundos nss_sss mantendría a los usuarios y grupos locales en cache negativo antes de intentar buscarlo en el extremo final otra vez. Fijando la opción a 0 deshabilita esta característica.�Especifica cuantos segundos debería el respondedor negativo autofs esconder golpes (esto es, consultas a entradas de mapa no válidad, como las no existentes) antes de preguntar al punto final otra vez.�Especifica cómo se hace la eliminación de referencias al alias cuando se lleva a cabo una búsqueda. Están permitidas las siguientes opciones:�Especifica cuantos segundos SSSD tiene que esperar antes de refrescar su escondrijo de los registros enumerados.�Especifica cuantos segundos tiene que esperar SSSD antes de disparar una tarea de refresco en segundo plano que refrescará todos los registros expirados o a punto de hacerlo.�Especifica si el SSSD debe instruir a las librerías Kerberos que ámbito y que KDCs usar. Esta opción está por defecto, si la deshabilita, necesita configurar las librerías Kerberos usando el fichero de configuración <citerefentry> <refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Especifica si el host principal sería estandarizado cuando se conecte a un servidor LDAP. Esta función está disponible con MIT Kerberos >= 1.7�Especifica que SSSD intentaría mapear las IDs de usuario y grupo desde los atributos ldap_user_objectsid y ldap_group_objectsid en lugar de apoyarse en ldap_user_uid_number y ldap_group_gid_number.�Especifica que el módulo PAM debería devolver PAM_IGNORE si no puede contactar con el demonio SSSD. Esto causa que el marco de referencia PAM ignore este módulo.�Especifica que id_provider debería iniciar las credenciales Kerberos (TGT). Esta acción solo se lleva a cabo si se usa SASL y el mecanismo seleccionado es GSSAPI o GSS-SPNEGO.�Especifica el Tipo de Esquema en uso en el servidor LDAP objetivo. Dependiendo del esquema seleccionado, los nombres de atributos por defecto que se recuperan de los servidores pueden variar. La manera en que algunos atributos son manejados puede también diferir.�Especifica una lista separada por comas de direcciones IP o nombres de host de los servidores Kerberos a los cuales se conectaría SSSD en orden de preferencia. Para más información sobre failover y redundancia de servidor, vea la sección <quote>FAILOVER</quote>. Un número de puerto opcional (precedido de dos puntos) puede ser añadido a las direcciones o nombres de host. Si está vacío, el servicio descubridor está habilitado – para más información, vea la sección <quote>SERVICE DISCOVERY</quote>.�Especifica una lista separada por comas de direcciones IP o nombres de host de los servidores Kerberos a los cuales se conectaría SSSD en orden de preferencia. Para más información sobre failover y redundancia de servidor, vea la sección <quote>FAILOVER</quote>. Un número de puerto opcional (precedido de dos puntos) puede ser añadido a las direcciones o nombres de host. Si está vacío, el servicio descubridor está habilitado; para más información, vea la sección <quote>SERVICE DISCOVERY</quote>.�Especifica la lista separada por comas de los valores UID o nombres de usuario que tiene el acceso permitido al respondedor PAC.�Especifica la lista separada por comas de valores de UID o nombres de usuarios que tienen permitidas conversaciones PAM contra dominios de confianza. Los usuarios no incluidos en esta lista pueden solo acceder a dominios marcadoscomo públicos con <quote>pam_public_domains</quote>. Los nombres de usuarios se resuelven a UIDs en el arranque.�Especifica la lista separada por comas de URIs de los servidores LDAP a los que SSSD se conectaría con el objetivo preferente de cambiar la contraseña de un usuario. Vea la sección <quote>FAILOVER</quote> para más información sobre failover y redundancia de servidor.�Especifica una lista separada por comas de URIs del servidor LDAP al que SSSD se conectaría en orden de preferencia. Vea la sección <quote>CONMUTACIÓN EN ERROR</quote> para más información sobre la conmutación en error y la redundancia de servidor. Si no hay opción especificada, se habilita el descubridor de servicio. Para más información, vea la sección <quote>DESCUBRIDOR DE SERVICIOS</quote>�Especifica la lista separada por comas de nombres de dominios que son accesibles hasta para los usuarios en los que no se confíe.�Especifica el fichero que contiene los certificados de todas las Autoridades de Certificación que <command>sssd</command> reconocerá.�Especifica el fichero que contiene el certificado para la clave del cliente.�Especifica el archivo que contiene la clave del cliente.�Especifica el tiempo de vida en segundos del TGT si se usa GSSAPI o GSS-SPNEGO.�Especifica el nombre del dominio Active Directory. Esto es opcional. Si no se suministra, se usa la configuración del nombre de dominio.�Especifica el nombre del dominio IPA. Esto es opcional. Si no se suministra, se usa el nombre de configuración del dominio.�Especifica el número de IDs disponibles para cada rebanada. Si el rango no se divide de forma igual entre los valores mínimo y máximo, creará tantas rebanadas completas como sea posible.�Especifica el servidor principal para usar por FAST.�Especifica el nombre del servicio para utilizar al buscar un servidor LDAP que permita cambios de contraseña cuando está habilitado el servicio de descubrimiento.�Especifica el nombre del servicio para utilizar cuando está habilitado el servicio de descubrimiento.�Especifica el tiempo de salida (en segudos) después del cual <citerefentry> <refentrytitle>poll</refentrytitle> <manvolnum>2</manvolnum> </citerefentry>/<citerefentry> <refentrytitle>select</refentrytitle> <manvolnum>2</manvolnum> </citerefentry> siguiendo un <citerefentry> <refentrytitle>connect</refentrytitle> <manvolnum>2</manvolnum> </citerefentry> vuelve en caso de no actividad.�Especifica el tiempo de salida (en segundos) que la búsqueda ldap está permitida para correr antes que de quea cancelada y los resultados escondidos devueltos (y se entra en modo fuera de línea)�Especifica el tiempo de espera (en segundos) en los que las búsquedas ldap de enumeraciones de usuario y grupo están permitidas de correr antes de que sean canceladas y devueltos los resultados escondidos (y se entra en modo fuera de línea)�Especifica el tiempo en segundos por el cual os registros en la memoria cache serán validos. Fijando esta opción o cero deshabilita la memoria cache.�Especifica el tiempo en segundos por los cuales la lista de subdominios será considerada válida.�Especifica el tiempo en segundos desde la última autenticación en línea con éxito por las cuales el usuario serán autenticado usando las credenciales en cache mientras SSSD está en modo en línea. Si las credenciales son incorrectas, SSSD cae de nuevo a la autenticación en linea.�Especifica que comprobaciones llevar a cabo sobre los certificados del servidor en una sesión TLS, si las hay. Puede ser especificado como uno de los siguientes valores:�Especifica si el seguimiento de referencias automático debería ser habilitado.�Especifica si el dominio está destinado a ser usado por clientes atentos a POSIX como Name Service Switch o por aplicaciones que no necesitan datos POSIX presentes o generados. Solo los objetos de dominios POSIX están disponibles para las interfaces y utilidades de sistema operativo.�Especifica si actualizar el atributo ldap_user_shadow_last_change con días desde el Epoch después de una operación de cambio de contraseña.�Especifica el sitio AD al que el cliente intentará cnectar. Si no se suministra esta opción se autodescubrirá el sitio AD.�Especifica un fichero de configuración distinto al de por defecto. El por defecto es <filename>/etc/sssd/sssd.conf</filename>. Para referencia sobre las opciones y sintaxis del fichero de configuración, consulta la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Especifica el fichero desde donde leer la contraseña del usuario (si no se especifica se pregunta por la contraseña)�Especifica el REALM Kerberos (para autorización SASL/GSSAPI/GSS-SPNEGO).�Especifica la identificación de autorización SASL a usar. Cuando son usados GSSAPI/GSS-SPNEGO, esto representa el principal Kerberos usado para autenticación al directorio. Esta opción puede contener el principal completo (por ejemplo host/[email protected]) o solo el nombre principal (por ejemplo host/myhost). Por defecto, el valor no está establecido y se usan los siguientes principales: <placeholder type="programlisting" id="0"/> Si no se encuentra ninguno de ellos, se devuelve en primer principal en la pestaña.�Especifica el mecanismo SASL a usar. Actualmente solo están probados y soportados GSSAPI y GSS-SPNEGO.�Especifica el reino SASL a usar. Cuando no se especifica, esta opción se pone por defecto al valor de krb5_realm. Si ldap_sasl_authid contiene el reino también, esta opción se ignora.�Especifica el SID de dominio del dominio por defecto. Esto garantizará que este dominio será asignado siempre a la rebanada cero en el mapa de ID, sobrepasando el algoritmo murmurhash descrito arriba.�Especifica la pestaña a usar cuando se utiliza SASL/GSSAPI/GSS-SPNEGO.�Especifica el nombre del dominio por defecto.�Especifica el número de miembros del grupo que deben estar desaparecidos desde el escondrijo interno con el objetivo de disparar una búsqueda deference. Si hay menos miembros desaparecidos, se buscarán individualmente.�Especifica el número de registros a recuperar desde una única petición LDAP. Algunos servidores LDAP hacen cumplir un límite máximo por petición.�Especifica la operación que se usa para modificar la contraseña de usuario.�No especificando valores para ninguna de las listas es equivalente a saltarle totalmente. Tenga cuidado de esto mientras genera parámetros para el simple proveedor usando secuencias de comandos automatizadas.�Desde SSSD 1.7.0, SSSD soporta múltiples bases de búsqueda usando la sintaxis:�Valores soportados:�Suprime el registro de mensajes de usuarios desconocidos.�System Security Services Daemon�EL DOMINIO LOCAL�TRUE = Usuarios y grupos son enumerados�SECCIÓN DE DOMINIO DE CONFIANZA�CONFIGURACIÓN DE DOMINIOS DE CONFIANZA�Toma el valor del componente SAN otherName dado por el de OID en anotación decimal con puntos, lo interpreta como una cadena e intenta hacerlo coincidir con la expresión regular.�Le dice a SSSD que pare de escribir en su fichero descriptor de depuración actual y cerrar y reabrirlo. Esto significa facilitar la circulación de registro con programas como logrotate.�(*) es útil si usted desea usar shell_fallback en caso de que el shell del usuario no esté en <quote>/etc/shells</quote> y las lista que mantiene todos los shells permitidos en allowed_shells estuviera llena.�<emphasis>full refresh</emphasis> simplemente refresca todas las reglas sudo almacenadas en el cache y las reemplaza con las reglas que están almacenadas en el servidor. Esto se usa para mantener el cache consistente borrando cada regla que fue borrada del servidor. Sin embargo, un refresco total puede producir gran cantidad de tráfico y por lo tanto debería ser ejecutado sólo ocasionalmente dependiendo del tamaño y de la estabilidad de las reglas sudo.�El <emphasis>refresco de reglas</emphasis> asegura que no concedamos más permisos al usuario que los definidos. Se dispara cada vez que el usuario ejecuta sudo. El refresco de reglas encontrará todas las reglas que se apliquen a ese usuario, comprobará su tiempo de expiración y las recargará si han expirado. En el caso de que alguna de esas reglas estén desaparecidas del servidor, SSSD hará un refresco total fuera de banda puesto que más reglas (que apliquen a otros usuarios) pueden haber sido borradas.�El <emphasis>refresco inteligente</emphasis> periódicamente descarga reglas que son nuevas o fueron modificadas desde la última actualización. Su objetivo principal es mantener la base de datos creciendo mediante la atracción de pequeños incrementos que no generen grandes cantidades de tráfico de red.�<quote>/etc/shells</quote> es de sólo lectura en el inicio SSSD, lo que significa que se requiere el reinicio del SSSD en el caso de que se instale una nueva shell.�La opción <quote>full_name_format</quote> no debe modificarse para imprimir solo nombres cortos de los usuarios de los dominios de confianza.�La opcion <quote>ipa_server</quote> debe configurarse para que apunte al servidor IPA mismo. Esto está establecido de manera predeterminada por el instalador IPA de modo que no se necesitan cambios manuales.�El proveedor de control de acceso AD comprueba si la cuenta está expirada. Tiene el mismo efecto que la siguiente configuración del proveedor LDAP: <placeholder type="programlisting" id="0"/>�El proveedor AD puede ser también usado como un proveedor de acceso chpass, sudo y autofs. No se requiere configuración del proveedor de acceso en el lado cliente.�El proveedor AD puede ser usado para obtener información de usuario y autenticar usuarios desde dominios de confianza. Actualmente solo se reconocen los dominios de confianza del mismo bosque. Además, los servidores de dominios de confianza siempre se descubren automáticamente.�El proveedor AD habilita a SSSD para usar el proveedor de identidad <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> y el proveedor de autenticación <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> con optimizaciones para entornos Active Directory. El proveedor AD provider aceptas las mismas opciones usadas por los proveedores sssd-ldap y sssd-krb5 cn algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones.�El proveedor AD es el punto final usado para conectar a un servidor Active Directory. Este proveedor requiere que la máquina esté unida al dominio AD y que una tabla de claves esté disponible. La comunicación con el punto final se efectúa sobre un canal encriptado GSSAPI, las opciones SSL/TLS no deberían ser usadas con el proveedor y serán reemplazadas por la utilización Kerberos.�El proveedor AD copia principalmente las opciones predeterminadas tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias están listadas en la sección <quote>OPCIONES PREDETERMINADAS MODIFICADAS</quote>.�El proveedor AD soporta la conexión a Active Directory 2008 R2 o posteriores. Las versiones anteriores pueden trabajar, pero no está soportadas.�El servidor DNA a usar cuando se lleva a cabo una actualización DNS update. En la mayoría de las configuraciones se recomienda dejar esta opción sin establecer.�El mecanismo de conmutación por errorEl mecanismo de failover distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.�La función asignación de ID permite a SSSD actuar como un cliente de Active Directory sin requerir de administradores para extender los atributos de usuario para soportar atributos POSIX para los identificadores de usuario y grupo.�El proveedor IPA habilita a SSSD para usar el proveedor de identidad <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> y el proveedor de autenticación <citerefentry> <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> con optimizaciones para entornos IPA. El proveedor IPA acepta las mismas opciones que las usadas por los proveedores sssd-ldap y sssd-krb5 con algunas excepciones. Sin embargo, no es necesario ni recomendable establecer estas opciones.�El proveedor IPA es un back end usado para conectar a un servidor IPA. (Vea el sitio web freeipa.org para información sobre los servidores IPA). Este proveedor requiere que la máquina este unido al dominio IPA; la configuración es casi enteramente auto descubierta y obtenida directamente del servidor.�El proveedor IPA copia primariamente las opciones por defecto tradicionales de los proveedores ldap y krb5 con algunas excepciones, las diferencias están listadas en la sección <quote>OPCIONES PREDETERMINADAS MODIFICADAS</quote>.�El porveedor IPA usara el respondedor PAC si las entradas Kerberos de los usuario de reinos confiables contienen un PAC. Para hacer la configuración más fácil el respondedor PAC es iniciado automáticamente si la ID del proveedor IPA está configurada.�El proveedor de subdominios IPA se comporta de forma ligeramente diferente si está configurado explícitamente o implícitamente.�El motor de autenticaciónd e Kerberos 5 contiene proveedores auth y chpass. Debe ir junto con un proveedor de identidad para que funcione adecuadamente (por ejemplo, id_provider = ldap). Algo de información requerida por el motor de autenticación de Kerberos 5 debe ser provista por el proveedor de identidad, tal como el Nombre Principal del usuario de Kerberos (NPU). La configuración del proveedor de identidad debe tener una entrada específica para el NPU. Por favor, vea la página del manual para el proveedor de identidad aplicable, para más detalles sobre cómo configurar esto.�El complemento localizador Kerberos <command>sssd_krb5_locator_plugin</command> es usado por libkrb5 para encontrar KDCs en un reino Kerberos dado. SSSD proporciona dicho complemento para guiar a todos los clientes Kerberos es un sistema a un único KDC. En general, no debería importar con qué KDC está hablando un proceso de cliente. Pero hay casos, e.g. después de un cambio de contraseña, donde no todos los KDCs etán en el mismo estado porque los nuevos datos tienen que ser replicados primero. Para evitar fallos de autenticación inesperados y quizás bloqueos de cuentas sería bueno hablar con un único KDC todo lo que sea posible.�El atributo LDAP que contiene un valor entero indicando el tipo del grupo y puede ser otras banderas.�El atributo LDAP que contiene los (host, usuario, dominio) triples de grupo de red.�El atributo LDAP que contiene el UUID/GUID de un objeto grupo LDAP.�Atributo LDAP que contiene las UUID/GUID de un objeto host LDAP.�El atributo LDAP que contiene el UUID/GUID de un objeto de usuario LDAP.�El atributo LDAP que contiene las claves públicas SSH del host.�El atributo LDAP que contiene el nombre de servicio de atributos y sus alias.�El atributo LDAP que contiene el nombre del directorio principal del usuario.�El atributo LDAP que contiene los nombres de los miembros del grupo.�El atributo LDAP que contiene los nombres de los miembros de grupo de red.�El atributo LDAP que contiene el objectSID de un objeto grupo LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.�El atributo LDAP que contiene el objectSID de un objeto usuario LDAP. Esto es normalmente sólo necesario para servidores ActiveDirectory.�El atributo LDAP que contiene la ruta de acceso a la shell predeterminada del usuario.�El atributo LDAP que contiene el puerto manejado por este servicio.�El atributo LDAP que contiene los protocolos entendidos por este servicio.�El atributo LDAP que contiene le Nombre Principal de Usuario Kerberos (UPN) del usuario.�El atributo LDAP que contiene las claves públicas SSH del usuario.�El atributo LDAP que contiene la fecha y hora de la última modificación del objeto primario.�El atributo LDAP que corresponde al nombre de comando.�El atributo LDAP que corresponde a la fecha/hora final, después de la cual la regla sudo dejará de ser válida.�El atributo LDAP que corresponde al nombre de grupo o GID de grupo que puede ejecutar comandos como.�El atributo LDAP que corresponde al id del grupo.�El atributo LDAP que corresponde al nombre de host (o dirección IP del host, red IP del host o grupo de red del host)�El atributo LDAP que corresponde al nombre de dominio totalmente cualificado del host.�El atributo LDAP que corresponde al nombre de host.�El atributo LDAP que corresponde al nombre de grupo de red.�El atributo LDAP que corresponde al índice de ordenación de la regla.�El atributo LDAP que corresponde al inicio de fecha/hora para cuando la regla sudo es válida.�El atributo LDAP que corresponde a las opciones sudo.�El atributo LDAP que corresponde a la regla nombre de sudo.�El atributo LDAP que corresponde al nombre de usuario (o UID. nombre de grupo o grupo de red del usuario)�El atributo LDAP que corresponde al nombre de usuario que los comandos pueden ejecutar como.�El atributo LDAP que corresponde al nombre completo del usuario.�El atributo LDAP que corresponde al campo de gecos del usuario.�El atributo LDAP que corresponde al id de usuario.�El atributo LDAP que corresponde al nombre de inicio de sesión del usuario.�El atributo LDAP que corresponde al id del grupo primario del usuario.�Atributo LDAP que lista los miembros del grupo del host.�El atributo LDAP que lista los afiliación a grupo de usario.�El atributo LDAP que referencia a los miembros de grupo que están definidos en un dominio externo. En este momento, solo se soportan los miembros externos de IPA.�El contestador PAC trabaja junto con el plugin de autorización de datos para MIT Kerberos sssd_pac_plugin.so y un proveedor de sub dominios. El plugin envía los datos PAC durante la autenticación GSSAPI al contestador PAC. El proveedor de sub dominio recoge el SID de dominio y los rangos de ID del dominio al que el cliente se ha unido y de los dominios remotos de confianza desde el controlador local de dominio. Si el PAC es decodificado y evaluado se hacen algunas de las siguientes operaciones:�La cadena SID pasada a través del algoritmo murmurhash3 para convertirlo en un valor picado de 32 bit. Después tomamos los módulos de este valor con el número total de rebanadas disponibles para recoger la rebanada.�En el dominio tipo SSSD POSIX el dominio de aplicación hereda todos los ajustes. El dominio de aplicación puede además añadir sus propios ajustes a los ajustes de aplicación que aumentan o anulan los ajustes del dominio <quote>hermano</quote>.�El dominio SSSD en el que usar la contraseña. El nombre por defecto es <quote>default</quote>.�Los cambios en el estado de SSSD causados por eventos en enlace de red pueden ser no deseados y pueden ser deshabilitados ajustando esta opción a 'true'�El proveedor SUDO usado por el dominio. Los proveedores SUDO soportados son:�El mecanismo de almacenamiento en cache de regla SUDO�El TTL a aplicar al registro del cliente DNS cuando lo actualiza. Si dyndns_update está a false esto no tiene efecto. Esto anula el TTL del lado servidor si se establece por un administrador.�La sección [sssd]�El proveedor de control de acceso usado por el dominio. Hay dos provedores de acceso integrados (además de cualquiera instalado en los finales). Los proveedores especiales internos son:�El administrador puede desear usar los usuarios locales SSSD en lugar de los usuarios tradicionales UNIX en los casos donde los grupos anidados (vea <citerefentry> <refentrytitle>sss_groupadd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>) sean necesarios. Los usuarios locales son también útiles para la prueba y el desarrollo del SSSD sin tener que desplegar un servidor remoto completo. Las herramientas <command>sss_user*</command> y <command>sss_group*</command> usan un almacenamiento LDB local para almacenar usuarios y grupos.�La cantidad de tiempo entre búsquedas de las reglas Desktop Profile contra el servidor IPA en el caso de que la última petición no devolvió ninguna regla.�La cantidad de tiempo entre búsquedas de reglas Desktop Profile contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas solicitudes de perfiles de escritorio en un período corto.�La cantidad de tiempo entre vbúsquedas de las reglas HBAC contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de control de acceso hechas en un corto período.�La cantidad de tiempo entre búsquedas de los mapas SELinux contra el servidor IPA. Esto reducirá la latencia y la carga sobre el servidor IPA si hay muchas peticiones de acceso de usuario hechas en un corto período.�El argumento use_first_pass fuerza al módulo a usar un módulo de password apilado previamente y nunca preguntará al usuario - si no hay password disponible o el password no es apropiado, se denegará el acceso al usuario.�El proveedor de autenticación usado por el dominio. Los proveedores de autenticación soportados son:�El proveedor autofs usado por el dominio. Los proveedores autofs soportados son:�La localización del automontador de este cliente IPA que será usada�Las opciones disponibles son: <placeholder type="variablelist" id="0"/>�Los valores disponibles para esta opción son los mismos que para override_homedir.�El refresco en segundo plano procesará usuarios, grupos y netgroups en el cache. Para usuarios que han llevado a cabo el anteriormente initgroups (obtener la membresía de grupo para el usuario, normalmente ejecutando login), tanto la entrada usuario y la membresia de grupo son actualizados.�El mayor desafío, cuando se desarrolla soporte sudo en SSSD, fue asegurar que ejecutando sudo con SSSD como la fuente de datos suministre la misma experiencia de usuario y sea tan rápido como sudo pero se mantenga proporcionando el conjunto más actual de reglas como sea posible. Para satisfacer estos requisitos, SSSD usa tres clases de actualizaciones. A ellas nos referimos como refresco total, refresco inteligente y refresco de reglas.�Los sellos de tiempo de expiración de caché son almacenados somo atributos de los objetos individuales en caché. Por lo tanto, el cambio del tiempo de expiración de la caché solo tendrá efecto para las entradas más nuevas o expiradas. Debería ejecutar la herramienta <citerefentry> <refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> con el objetivo de forzar el refresco de las entradas que ya están en la caché.�La contraseña en texto claro es leída desde la entrada estándar e introducida interactivamente. La contraseña ofuscada se pone en el parámetro <quote>ldap_default_authtok</quote> de un dominio SSSD dado y el parámetro <quote>ldap_default_authtok_type</quote> se fija a <quote>obfuscated_password</quote>. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para más detalles sobre estos parámetros.�La lista separada por comas de direcciones IP o nombres de host de los servidores IPA a los que SSSD se conectaría en orden de preferencia. Para más información sobre conmutación en error y redundancia de servidores, vea la sección <quote>FAILOVER</quote>. Esto es opcional si autodiscovery está habilitado. Para más información sobre el servicio descubridor, vea la sección <quote>SERVICE DISCOVERY</quote>.�La lista separada por comas de nombres de host de los servidores AD a los que SSSD debería conectarse en orden de preferencia. Para mas información sobre conmutación por error y redundancia del servidor, vea la sección <quote>CONMUTACIÓN POR ERROR</quote>.�La jerarquía completa de membresía del grupo se resuelve antes de la comprobación de acceso, así incluso los grupos anidados se pueden incluir en las listas de acceso. Por favor tenga cuidado en que la opción <quote>ldap_group_nesting_level</quote> puede impactar en los resultados y deberia ser establecidad a un valor suficiente. Opción (<citerefentry> <refentrytitle>sssd-ldap</refentrytitle><manvolnum>5</manvolnum> </citerefentry>).�Los fragmentos de configuración de <filename>conf.d</filename> tienen mayor prioridad que los de <filename>sssd.conf</filename> y anularán <filename>sssd.conf</filename> cuando ocurran conflictos. Si varios fragmentos están presentes en <filename>conf.d</filename> serán incluidos en orden alfabético (en base a la localización). Los ficheros incluidos más tarde tienen prioridad mas alta. Prefijos numéricos (<filename>01_snippet.conf</filename>, <filename>02_snippet.conf</filename> etc.) pueden ayudar a visualizar la prioridad (números mas altos significan prioridad más alta).�Las opciones de conversión que empiezan con 'ad_' usarán nombres de atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'.�Las opciones de conversión que empiezan por 'nss_' usarán nombres de atributos como los usados por NSS.�El caso de uso actual son los administradores de inicio de sesión que pueden monitorear un lector de tarjetas inteligentes para eventos de tarjetas. En el caso de que una Smartcard se inserte el administrador de inicio de sesión llamara a la pila PAM que incluye una línea como <placeholder type="programlisting" id="0"/> En este caso SSSD intentará determinar el nobre de usuairo en base al contenido de la tarjeta inteligente, se lo devolverá a pam_sss quien finalmente lo pondrá en la pila PAM.�Los tipos de datos utilizados son cadenas (no es necesario ingresarlos entre comillas), enteros o booleanos (cuyos valores son <quote>TRUE/FALSE</quote>).�El DN base por defecto que se usará para realizar operaciones LDAP de usuario.�El enlazador DN por defecto a usar para llevar a cabo operaciones LDAP.�La opción de conversión predeterminada es 'nss', i.e. los nombres de atributo de acuerdo con la ordenación NSS y LDAP/RFC 4514.�La shell por defecto a usar si una shell permitida no está instalada en la máquina.�El shell por defecto a usar si el proveedor no devuelve uno durante la búsqueda. Esta opción puede ser especificada globalmente en la sección [nss] o por dominio.�Las descripciones de algunas de las opciones de configuración en esta página de manual están basadas en la página de manual <citerefentry> <refentrytitle>ldap.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> de la distribución OpenLDAP 2.4.�Las instrucciones detalladas para la configuración de sudo_provider están en la página de manual <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Las instrucciones detalladas para la configuración de sudo_provider están el la página de manual <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>. Hay muchas opciones de configuración que se puden usar para ajustar el comportamiento. Vea por favor "ldap_sudo_*" en <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�El nombre de dominio�La entrada a la cache puede ser fijada automáticamente para actualizar entradas en segundo plano si hay peticiones más allá de un porcentanje del valor de entry_cache_timeout para el dominio.�La función conmutación en error permite a los finales conmutar automáticamente a un servidor diferente si el servidor actual falla.�El mecanismo de conmutación por error distingue entre una máquina y un servicio. El punto final intenta primero resolver el nombre de host de una máquina dada; si el intento de resolución falla, la máquina es considerada fuera de línea. No se harán más intentos de conexión con esta máquina para ningún otro servicio. Si el intento de resolución tiene éxito, el punto final intenta conectar a un servicio en esa máquina. Si el intento de conexión al servicio falla, entonces sólo se considera fuera de línea este servicio concreto y el punto final conmutará automáticamente sobre el siguientes servicio. La máquina se considera que sigue en línea y se puede intentar el acceso a otros servicios.�El archivo posee una sintaxis de tipo ini consistente de secciones y parámetros. Una sección comienza con el nombre de dicha sección colocado entre corchetes, y continua hasta que comienza la próxima sección. Este es un ejemplo de una sección con parámetros de valores simples y múltiples: <placeholder type="programlisting" id="0"/>�El filtro debe ser un filtro de búsqueda LDAP válido como se especifica en http://www.ietf.org/rfc/rfc2254.txt�El siguiente ejemplo asume que SSSS está configurado correctamente y LDAP está fijado a uno de los dominios de la sección <replaceable>[domains]</replaceable>.�El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección <replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones específicas del proveedor AD.�El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección <replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones específicas del proveedor ipa.�El siguiente ejemplo asume que SSSD está correctamente configurado y example.com es uno de los dominios en la sección <replaceable>[sssd]</replaceable>. Este ejemplo muestra sólo las opciones específicas del proveedor de acceso simple.�El siguiente ejemplo asume que SSSD está correctamente configurado y usa ldap_access_order=lockout.�El siguiente ejemplo ilustra el uso de un dominio de aplicación. En este ajuste, el dominio POSIX está conectado a un servidor LDAP y se usa por el SO a través de un contestador NSS. Además, el dominio de aplicación también pide el atributo telephoneNumber, lo almacena como el atributo phone en la cache y hace al atributo phone alcanzable a través del interfaz D-Bus.�El siguiente ejemplo muestra como configurar SSSD para descargar reglas sudo desde un servidor LDAP.�Son soportadas las siguientes expresiones: <placeholder type="variablelist" id="0"/>�Las siguientes opciones pueden ser establecidas en una sección subdominio sobre un cliente IPA:�Se pueden establecer las siguientes opciones en una sección subdominio sobre un IPA maestro:�Los siguientes valores están permitidos:�El formato de la URI debe coincidir con el formato definido en RFC 2732:�El proveedor de identificación usado por el dominio. Los proveedores de ID soportados son:�La clave de una entrada de automontaje en LDAP. La entrada corresponde normalmente a un punto de montaje.�La longitud de la contraseña (o el tamaño especificado con la opción -p or --password-file) debe ser menos o igual a PASS_MAX bytes ( 64 bytes en sistemas sin valor PASS_MAX globalmente definido).�La lista puede contener bien nombres de atributo LDAP solamente o tuplas separadas por comas de de nombre de atributo SSSD en caché y nombre de atributo LDAP. En el caso de que solo sed especifique el nombre de atributo LDAP, el atributo se salva al caché literal. El uso de un nombre de atributo SSSD personal puede ser requerido por entornos que configuran varios dominios SSSD con diferentes esquemas LDAP.�La lista de servidores se da como una lista separada por comas; se permite cualquier número de espacios a los lados de la coma. Los servidores son listados en orden de preferencia. La lista puede contener cualquier número de servidores.�La localización de la keytab a usar cuando son obtenidas credenciales validadas desde KDCs.�La principal diferencia entre estos tipos de esquemas es como las afiliaciones de grupo son grabadas en el servidor. Con rfc2307, los miembros de grupos son listados por nombre en el atributo <emphasis>memberUid</emphasis>. Con rfc2307bis e IPA, los miembros de grupo son listados por DN y almacenados en el atributo <emphasis>member</emphasis>. El tipo de esquema AD fija los atributos para corresponderse con los valores Active Directory 2008r2.�El propósito principal de esta opción es dejar que SSSD determine el nombre de usuario en base a información adicional, e.g. el certificado de una Smartcard.�La página de manual describe las reglas que pueden ser usadas por SSSD y otros componentes para corresponder con los certificados X.509 y asignarlos a cuentas.�La regla de mapeo se usa para asociar un certificado con una o mas cuentas. Una Smartcard con el certificado y la clave privada correspondiente puede ser usada entonces para autenticar una de estas cuentas.�La regla de coincidencia se usa para seleccionar un certificado al que sería aplicado la regla de asignación. Usa un sistema similar al usado por la opción <quote>pkinit_cert_match</quote> de MIT Kerberos. Consiste en una clave encerrada entre '<' y '>' ue identifica una cierta parte del certificado y un patrón para que la regla coincida. Se pueden unir varios pares de palabras claves con '&&' (y) o '||' (o).�El mensaje se lee desde el fichero <filename>pam_sss_pw_reset_message.LOC</filename> donde LOC destaca una cadena de lugar devuelta por <citerefentry> <refentrytitle>setlocale</refentrytitle><manvolnum>3</manvolnum> </citerefentry>. Si no hay fichero coincidente se muestra el contenido de <filename>pam_sss_pw_reset_message.txt</filename>. Root debe ser el propietario de los ficheros y sólo root puede tener permisos de lectura y escritura mientras que todos los demás usuarios sólo tienen permisos de lectura.�Siempre se usa la coincidencia mas especifica. Por ejemplo, si la opción especifica un filtro pra un dominio del que el usuario es miembro y un filtro global, se aplicará el filtro por dominio. Si hay mas coincidencias con la misma especificación se usa la primera.�El nombre de una entrada de mapa de automontaje en LDAP.�El nombre del reino Kerberos tiene un significado especial en IPA – es convertido hacia la base DN para usarlo para llevar a cabo operaciones LDAP.�El nombre del reino Kerberos. Esto es opcional y por defecto está al valor de <quote>ipa_domain</quote>.�El nombre del reino Kerberos. Esta opción se requiere y debe ser especificada.�El nombre de la librería NSS para usar en los dominios proxy. Las funciones NSS buscadas dentro de la librería están el formato de _nss_$(libName)_$(function), por ejemplo _nss_files_getpwent.�El nombre del mapa maestro de montaje automático en LDAP.�La clase de objeto de una entrada de grupo LDAP.�La clase de objeto de una entrada de host en LDAP.�La clase objeto de una entrada de grupo de red en LDAP.�La clase objeto de una entrada de servicio en LDAP.�El objeto clase de una regla de entrada sudo en LDAP.�La clase de objeto de una entrada de usuario en LDAP.�El objeto clase de una entrada de montaje automático en LDAP. La entrada normalmente corresponde a un punto de montaje.�El objeto clase de una entrada de mapa de automontaje en LDAP.�El valor predeterminado de offline_timeout es 60. El valor predeterminado de offline_timeout_max es 3600. El valor predeterminado de offline_timeout_random_offset es 30. El resultado final es la cantidad de segundos antes del próximo reintento.�Esta opción también soporta que se especifiquen diferentes filtros por dominio o bosque. Este filtro extendido consiste en: <quote>KEYWORD:NAME:FILTER</quote>. La palabra clave puede ser <quote>DOM</quote>, <quote>FOREST</quote> o ninguna.�El directorio home original recuperado del proveedor de identidad.�La contraseña a oscurecer será leída desde la entrada estándar.�El complemento lee la información sobre los KDCs de un reino dado desde un fichero llamado <filename>kdcinfo.REALM</filename>. El fichero debería contener uno o más nombres de DNS o direcciones IP ya sea en anotación decimal con puntos IPv4 o en anotación hexadecimal IPv6. Su puede añadir un número de puerto adicional al final separado con dos puntos, la dirección IPv6 tiene que estar encerrada entre corchetes en este caso como es usual. Las entradas válidas son:�El protocolo�El proveedor usado para recuperar información de identidad de host. Los proveedores de hostid soportados son:�El proveedor que configura y gestiona las tareas relacionadas con la sesión de usuario. La única tarea de usuario que actualmente se provee es la integración con Fleet Commander, que trabaja solo con IPA. Los proveedores de sesiones soportados son:�El proveedor que debería manejar las operaciones de cambio de password para el dominio. Los proveedores de cambio de passweord soportados son:�El proveedor que debería manejar el atractivo de subdominios. Este valor debería ser siempre el mismo que id_provider. Los proveedores de subdominio soportados son:�El proveedor que manejaría la carga de los ajustes selinux. Advierta que este proveedor será llamado justo después de que el proveedor de acceso finalice. Los proveedores selinux soportados son:�El proxy de destino PAM próximo a.�Las consultas normalmente especifican _tcp como protocolo. Las excepciones se documentan en la descripción de la opción respectiva.�Las reglas son procesados por prioridad sabiendo que el número '0' (cero) indica la prioridad más alta. Más alto en número más baja la prioridad. Un valor desaparecido indica la prioridad más baja. Las reglas de procesamiento se para cuando una regla coincidente y no se comprueban más reglas.�El alcance puede ser uno de “base”, “onlevel” o “subtree”.�La función servicio descubridor permite a los puntos finales encontrar automáticamente los servidores apropiados a conectar para usar una pregunta especial al DNS. Esta función no está soportada por los servidores de respaldo.�El nombre corto de dominio (también conocido como el NetBIOS o el nombre pano) es autodetectado por SSSD.�El nombre corto de dominio (también conocido como NetBIOS o el nombre plano) será autodetectado por SSSD.�El proveedor de acceso simple otorga o deniega el acceso en base a una lista de acceso o denegación de usuarios o grupo de nombres. Se aplican las siguientes reglas:�La plantilla para añadir datos de certificado al filtro de búsqueda están basados sobre cadenas formateadas en estilo Python. Consiste en una palabra clave entre llaves con un subcomponente especificador opcional separado por un '.' o una opción opcional de conversión/formateo separada por un '!'. Los valores permitidos son: <placeholder type="variablelist" id="0"/>�El tiempo en minutos que ha de pasar después de que offline_failed_login_attempts ha sido alcanzado antes de que un nuevo intento de login sea posible.�Los dos mecanismos actualmente soportados son:�El tipo de ficha de autenticación del enlazador DN por defecto.�El nombre de usuario de la entrada a ser creado o modificado en el cache. Se debe suministrar la opción <replaceable>USER</replaceable>.�Este valor puede ser anulado por la opción <emphasis>override_homedir</emphasis>.�El valor debe ser mayor que <emphasis>ldap_sudo_smart_refresh_interval </emphasis>�El valor de auto_private_groups puede bien ser establecido por subdominios en una subsección, por ejemplo: <placeholder type="programlisting" id="0"/> o globalmente para todos los subdominios en la sección principal dominio usando la opción subdomain_inherit: <placeholder type="programlisting" id="1"/>�El valor que las operaciones NSS que devuelven usuarios o grupos devolverán para el campo <quote>password</quote>.�Se puede usar el comodín (*) para permitir cualquier shell.�Hay muchas opciones de configuración que pueden ser usadas para ajustar el comportamiento. Por favor vea "ldap_sudo_*" en <citerefentry> <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> y "sudo_*" en <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Existen algunas pocas situaciones en donde lo preferible es evitar el uso de inotify. En estas raras excepciones, la opción debería ser definida en 'false'�Hay tres valores soportados para esta opción:�Estos límites de ID afectan aunque se guarden entrada en la caché, no solo devolviéndolas por nombre o ID.�Estas opciones de configuración pueden estar presentes en la sección configuración de dominio, esto es, en una sección llamada <quote>[domain/<replaceable>NAME</replaceable>]</quote> <placeholder type="variablelist" id="0"/>�Estos ficheros son buscados en el directorio <filename>/etc/sssd/customize/DOMAIN_NAME/</filename>. Si no hay archivos coincidentes se muestra un mensaje genérico.�Estas opciones están soportadas por dominios LDAP, pero deberían ser usadas con precaución. Por favor incluyalas en su configuración si usted sabe lo que está haciendo. <placeholder type="variablelist" id="0"/> <placeholder type="variablelist" id="1"/>�Estas opciones pueden usarse para configurar cualquier servicio.�Se pueden usar estas opciones para configurar la grabación de sesión.�Estas opciones pueden ser usadas para configurar el servicio Name Service Switch (NSS).�Estas opciones pueden ser usadas para configurar el respondedor PAC.�Estas opciones pueden ser usadas para configurar el servicio Pluggable Authentication Module (PAM)�Estas opciones se pueden usar para configurar el servicio SSH.�Estas opciones pueden ser usadas para configurar el servicio autofs.�Se pueden usar estas opciones para configurar el servicio sudo. Las instrucciones detalladas para la configuración de <citerefentry> <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> para trabajar con <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> están en la página de manual <citerefentry> <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Este atributo es actualmente usado por el proveedor AD para determinar si un grupo está en grupos de dominio local y ha de ser sacado de los dominios de confianza.�Este ejemplo significa que el acceso a este host está restringido a los usuarios cuyo atributo employeeType esté establecido a "admin".�Esta característica es útil para entornos que desean parar manteniendo un grupo separado de objetos grupos para el usuario de grupos privados, pero también desea retener los grupos privados existentes del usuario.�Esto es opcional si el autodescubrimiento está habilitado. Para mas información sobre el servicio de descubrimiento, vea la sección <quote>SERVICIO DE DESCUBRIMIENTO</quote>.�Esta página de manual describe como configurar <citerefentry> <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> para trabajar con <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> y como SSSD esconde reglas sudo.�Esta página de manual describe la configuración de dominios LDAP para <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Vea la sección <quote>FILE FORMAT</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> para información detallada de la sintáxis.�Esta página de manual describe la configuración del proveedor AD para <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Para una referencia detallada de sintaxis, vea la sección <quote>FILE FORMAT</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Este página de manual describe la configuración del proveedor IPA para <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Para una referencia de sintaxis detalladas, vea la sección <quote>FILE FORMAT</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Esta página de manual describe la configuración del motor de autenticación de Kerberos 5 para <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Para una referencia detallada de la sintaxis, por favor vea la sección <quote>FORMATO DE ARCHIVO</quote> de la página de manual de <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Esta página de manual describe la configuración del proveedor de control de acceso simple para <citerefentry> <refentrytitle>sssd</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>. Para una referencia detallada de sintaxis, vea la sección <quote>FILE FORMAT</quote> de la página de manual <citerefentry> <refentrytitle>sssd.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Esta página de manual sólo describe el atributo de nombre mapping. Para una explicación detallada de la semántica del atributo relacionada con sudo, vea <citerefentry> <refentrytitle>sudoers.ldap</refentrytitle><manvolnum>5</manvolnum> </citerefentry>�Esta opción acepta un valor especial __LIBKRB5_DEFAULTS__ que instruirá a SSSD para dejar a libkrb5 decidir la localización apropiada del escondrijo de respuesta.�Esta opción puede ser también fijada por dominio.�Esta opción se puede usar para especificar que uso de clave extendida puede tener el certificado. El siguiente valor se puede usar en una lista separada por comas:�Esta opción se puede usar para especificar que valores de uso clave debe tener el certificado. Se pueden usar los siguientes valores en una lista separados por comas:�Esta opción cae de nuevo en comprobar si los usuarios locales están referenciados, y los almacena en caché de manera que más tarde las llamadas initgroups() aumentará los usuarios locales con los grupos LDAP adicionales.�Esta opción se hereda automáticamente para todos los dominios de confianza.�Esta opción se ignora actualmente. Todos los certificados necesarios deben estar disponibles en el fichero PEM indicado por pam_cert_db_path.�Esta opción no está disponible en el proveedor IPA.�Esta opción debería estar a False en la mayoría de los despliegues IPA puesto que el servidor IPA genera los registros PTR automáticamente cuando se cambian los registros que envía.�Esta opción especifica la DN de la contraseña de entrada a la política sobre un servidor LDAP. Tenga en cuenta que la ausencia de esta opción en sssd.conf en caso de verificación de bloqueo de cuenta habilitada dará como resultado el acceso denegado ya que los atributos ppolicy en el servidor LDAP no pueden verificarse correctamente.�Esta opción especifica el número máximo de descriptores de ficheros que pueden ser abiertos a la vez por este proceso SSSD. Sobre sistemas donde SSSD ha alcanzado la capacidad CAP_SYS_RESOURCE, este será un ajuste absoluto. Sobre sistemas sin esta capacidad, el valor resultante será el valor más bajo de este o de limite “hard” en limits.conf.�Esta opción especifica el número de hijos proxy pre-bifurcados. Es útil para entornor SSSD de alta carga donde sssd puede quedarse sin espacios para hijos disponibles, lo que podría causar errores debido a las peticiones que son encoladas.�Esta opción especifica el número de segundos que un cliente de un proceso SSSD puede conservar un descriptor de archivo sin comunicarse con él. Este valor está limitado con el objetivo de evitar el agotamiento de recursos del sistema. El tiempo de salida no puede ser más corto de 10 segundos. Si se configura un valor más bajo será ajustado a 10 segundos.�Esta opción especifica el número de segundos que un proceso contestador SSSD puede estar levantado sin ser usado. Este valor está limitado con el objetivo de evitar el agotamiento de recursos del sistema. El valor mínimo aceptable para esta opción es 60 segundos. Fijar esta opción a 0 (cero) significa que se le ajustarña tiempo de espera al contestador. Esta opción solo tiene efecto cuando SSSD está construido con soporte systemd y cuando los servicios activados son socket o D-Bus.�Esta opción especifica el modo de operación para la funcionalidad de control de acceso basado en GPO: si opera en modo deshabilitado, modo reforzado o modo permisivo. Por favor advierta que la opción <quote>access_provider</quote> debe ser explícitamente establecida a <quote>ad</quote> con el objetivo de que esta opción tenga efecto.�Esta opción especifica si el contestador consultará todos los caches antes de consultar a los Proveedores de Datos.�Esta opción toma cualquiera de los tres valores disponibles: <placeholder type="variablelist" id="0"/>�Este opción se llamaba <quote>krb5_kdcip</quote> en las revisiones más tempranas de SSSD. Mientras el legado de nombre se reconoce por el tiempo que sea, los usuarios son advertidos para migrar sus ficheros de configuración para usar <quote>krb5_server</quote> en su lugar.�Esta opción será establecida por el instalador IPA (ipa-server-install) automáticamente y denota si SSSD está corriendo sobre un servidor IPA o no.�Este valor de opción es heredado por todos los dominios de confianza. En este momento no es posible establecer un valor diferente por dominio de confianza.�Esta opción habilita o deshabilita el uso del atributo Token-Groups cuando lleva a cabo un initgroup para usuarios de Active Directory Server 2008 y posteriores.�Este parámetro reemplazará los espacios (barra espaciadora) con los caracteres dados para los nombres de usuario y grupos. e.g. (_). Nombre de usuario "john doe" será "john_doe" Esta característica se ha añadido para ayudar a la compatibilidad los scripts de shell que tienen dificultades con el manejo de espacios, debido al campo separador predeterminado en el shell.�Este ajuste puede ser anulado por el ajuste <emphasis>pwd_expiration_warning</emphasis> para un dominio concreto.�Esto evitaría que los PINs cortos de un esquema de PIN basado en 2FA se guarden en caché lo que les haría objetivos fáciles de ataques de fuerza bruta.�Debería preferible leer datos específicos del usuario del certificado, e.g. una dirección de correo electrónico y buscarla en el servidor LDAP. La razón es que los datos específicos del usuario en el LDAP podrían cambiar por diversas razones y romper el mapeo. Por otro lado, sería difícil romper el mapeo a propósito para un usuario específico.�Esta cadena será usada como nombre de dominio por defecto para todos los nombre sin un componente de nombre de dominio. El principal caso de uso es en entornos donde el dominio principal está dirigido a gestionar las políticas de host y todos los usuarios están localizados en un dominio confiable. La opción permite a esos usuarios acceder sólo con su nombre de usuario sin dar también un nombre de dominio.�Esta plantilla añadirá la cadena DN del valor que está almacenado en el componente directoryName del SAN.�Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado por AD. El componente 'short_name' represebta la primera parte del principal antes del signo '@'.�Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado por pkinit. El componente 'short_name' representa la primera parte del principal antes del signo '@'.�Esta plantilla añadirá el principal Kerberos bien desde el SAN usado por pkinit o del usado por AD. El componente 'short_name' representa la primera parte del principal antes del signo '@'.�Esta plantilla añadirá la OID que está almacenada en el componente registeredID del SAN como una cadena decimal con puntos..�Esta plantilla agregará el DN del emisor completo convertido en una plantilla de acuerdo con el RFC 4514. Si se ordena X.500 (más especifico RDN viene el último) se debería usar un opción con el prefijo '_x500'.�Esta plantilla añadirá el sujeto completo DN convertido en una cadena de acuerdo a RFC 4514. Si la ordenación X.500 (más específico RDN viene el último) se usaría una opción con el prefijo '_x500'.�Esta plantilla añadirá la cadena que está almacenada en el componente dNSName del SAN, normalmente un nombre de host totalmente cualificado. El componente 'short_name' representa la primera parte del nombre antes del primer signo '.'.�Esta plantilla añadirá la cadena que está almacenada en el componente iPAddress del SAN.�Esta plantilla añadirá la cadena que está almacenada en el componente rfc822Name del SAN, normalmente una dirección de correo electrónico. El componente 'short_name' representa la primera parte de la dirección antes del signo '@'.�Esta plantilla añadirá la cadena que está almacenada en el componente uniformResourceIdentifier del SAN.�Esta plantilla añadirá el valor que está almacenado en el componente ediPartyName del SAN como secuencia hexadecimal escapada.�Esta plantilla añadirá el valor que está almacenado en el componente x400Address del SAN como secuencia hexadecimal escapada.�Esta plantilla añadirá el certificado completo codificado DER como una cadena al filtro de búsqueda. Dependiendo de la opción de conversión el certificado binario se convierte en una secuencia hexadecimal escapada '\xx' o base64. La secuencia hexadecimal escapada es la predeterminada y puede, por ejemplo, ser usada con el atributo LDAP 'userCertificate;binary'.�Tiempo de salid en segundos entre pulsaciones para este servicio. Se usa para asegurar que el proceso está vivo y capaz de contestar peticiones. Advierta que después de tres pulsaciones perdidas el servicio se terminará.�Para permitir la autenticación con Smartcards y certificados SSSD debe ser capaz de mapear los certificados con los usuarios. Esto puede ser hecho añadiendo el certificado completo al objeto LDAP del usuario o a una anulación local. Mientras requierir el uso del certificado completo para usar la característica autenticación Smartcard de SSH (ver <citerefentry> <refentrytitle>sss_ssh_authorizedkeys</refentrytitle> <manvolnum>8</manvolnum> </citerefentry> para más detalles) puede ser engorroso o no siempre posible de hacer esto en el caso general donde los servicios locales usan autenticación PAM.�Para ser compatible con la utilización de MIT Kerberos esta opción coincidirá con los principios de Kerberos en PKINIT o AD NT Principal SAN como hace <SAN:Principal>.�Para deshabilitar la creación de fragmentos de configuración establezca el parámetro a 'none'.�Para habilitar SSSD como una fuente de reglas sudo, añada <emphasis>sss</emphasis> a la entrada <emphasis>sudoers</emphasis> en <citerefentry> <refentrytitle>nsswitch.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>.�Para habilitar el servicio descubrimiento ldap_chpass_dns_service_name debe ser establecido.�Para hacer mas fácil la configuración el contestador NSS comprobará la opción InfoPipe si no está fijada para el contestador NSS.�Para hacer la configuración sencilla y reducir la cantidad de opciones de configuración el proveedor de <quote>ficheros</quote> tiene algunas propiedades especiales:�Para hacer que la asignación sea más flexible, se agregaron reglas de asignación y coincidencia a SSSD (ver más detalles en <citerefentry> <refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>).�True�Intenta usar autenticación basada en certificado, i.e. autenticación con una tarjeta inteligente o dispositivos similares. Si hay disponible una Smartcard y el servicio tiene permitido la autenticación Smartcard se le pedirá al usuario un PIN y continuará la autenticación basada en certificado�Actualmente se soportan dos modos:�Hay definidos dos valores especiales para la opción pam_public_domains:�Límites de UID y GID para el dominio. Si un dominio contiene una entrada que está fuera de estos límites, ésta es ignorada.�número UID�Se informa de las opciones desconocidas pero son ignoradas.�Valor entero sin signo que define la prioridad de la regla. El número más alto la prioridad más baja. <quote>0</quote> se mantiene para la prioridad más alte mientras que <quote>4294967295</quote> es la más baja.�Usa el puerto <replaceable>PORT</replaceable> para conectar al host. Por defecto, el puerto usado es el 22.�Usa la Lista de Revocación de Certificado (CRL) del fichero dado durante la verificación del certificado. La CRL se debe dar en formato PEM, vea detalles en <citerefentry> <refentrytitle>crl</refentrytitle> <manvolnum>1ssl</manvolnum> </citerefentry>.�Utiliza el nombre completo y el dominio (formateado en el formato nombre_completo de dominio) como el nombre de acceso del usuario reportado a NSS.�Use este directorio home como valor predeterminado para todos los subdominios dentro de este dominio en IPA AD de confianza. Vea <emphasis>override_homedir</emphasis> para información sobre los posibles valores. Además de esto, la expansión de abajo sólo puede ser usada con <emphasis>subdomain_homedir</emphasis>. <placeholder type="variablelist" id="0"/>�Las anulaciones de usuario pueden contener atributos dados por�Los usuarios, grupos y otras entidades servidas por SSSD son tratadas siempre como sensibles a mayúsculas y minúsculas en el proveedor AD por compatibilidad con la implementación LDAP de Active Directory.�Usuarios/grupos especificados por las opciones <replaceable>users</replaceable> y<replaceable>groups</replaceable> son grabados.�¡Usar comodines es una operación que es muy costosa de evaluar en el lado del servidor LDAP!�VISTAS Y ANULACIONES�Los valores válidos para esta opción son 0-99 y representan un porcentaje de entry_cache_timeout para cada dominio. Por razones de rendimiento, este porcentaje nunca reducirá el tiempo de salida de no espera a menos de 10 segundos. (0 deshabilita esta función).�Diversas banderas almacenadas por el servicio de configuración realmd para este dominio.�PRECAUCIÓN: Deshabilitar la memoria cache puede llevar a un impacto negativo significativo sobre el rendimiento de SSSD y debería ser usado solo para pruebas.�Cuando SSSD conmuta al modo fuera de línea la cantidad tiempo antes de que intente volver a estar en línea se incrementará en base al tiempo que ha estado desconectado. De modo predeterminado SSSD utiliza un comportamiento incremental para calcular el retraso entre reintentos. De este modo, el tiempo de espera para un reintento dado no será más largo que el tiempo de los anteriores. Después de cada intento fracasado para estar en línea, el nuevo intervalo se calcula mediante lo siguiente:�Cuando se encuentra por primera vez una entrada de usuario o grupo para un dominio concreto, SSSD asigna una de las rebanadas disponibles para ese dominio. Con el objetivo de hacer esta asignación de rebanadas repetible sobre diferentes máquinas clientes, seleccionamos la rebanada en base al siguiente algoritmo:�Cuando un usuario o grupo es buscado por nombre en el proveedor proxy, una segunda búsqueda por ID es llevada a cabo para “estandarizar” el nombre en el caso de que el nombre pedido fuera un alias. Fijando esta opción a true se causaría que SSSD lleve a cabo una búsqueda de ID desde el escondrijo por razones de rendimiento.�Cuando se está comunicando con un servidor LDAP usando SASL, especifica el nivel de seguridad mínimo necesario para establecer la conexión. Los valores de esta opción son definidos por OpenLDAP.�Cuando cambia el password fuerza al módulo a fijar el nuevo password a uno suministrado por un módulo de password previamente apilado.�Cuando se habilita esta opción, SSSD antepone in dominio implícito con <quote>id_provider=files</quote> antes de cualquier dominio explícito configurado.�Cuando se utiliza ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el tiempo de expiración de la cuenta.�Cuando se usa ldap_account_expire_policy=ad, este parámetro contiene el nombre de un atributo LDAP que almacena el campo bit de control de la cuenta de usuario.�Cuando se usa ldap_account_expire_policy=nds, este atributo determina si el acceso está permitido o no.�Cuando se utiliza ldap_account_expire_policy=nds, este atributo determina la hora de un día en la semana cuando se concede el acceso.�Cuando se usa ldap_account_expire_policy=nds, este atributo determina hasta que fecha se concede el acceso.�Cuando se usa ldap_account_expire_policy=rhds o esquivalente, este parámetro determina si el acceso está permitido o no.�Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora del último cambio de password en kerberos.�Cuando se utiliza ldap_pwd_policy=mit_kerberos, este parámetro contiene el nombre de un atributo LDAP que almacena la fecha y la hora en la que expira el password actual.�Cuando se utiliza ldap_pwd_policy=shadow o ldap_account_expire_policy=shadow, este parámetro contiene el nombre de un atributo correspondiente con su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homólogo (fecha de expiración de la cuenta).�Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homologo (fecha del último cambio de password).�Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homologo (edad máxima del password).�Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homologo (edad mínima del password).�Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homologo (período de inactividad de password).�Cuando se utiliza ldap_pwd_policy=shadow, este parámetro contiene el nombre de un atributo LDAP correspondiente a su <citerefentry> <refentrytitle>shadow</refentrytitle> <manvolnum>5</manvolnum> </citerefentry> homologo (período de aviso de password).�Cuando se utiliza el servicio descubiertos para servidores KDC o kpasswd, SSSD primero busca entradas DNS que especifiquen _udop como protocolo y regresa a _tcp si no se encuentra nada.�Si se debe enumerar alguno de los dominios de confianza autodetectados. Los valores soportados son: <placeholder type="variablelist" id="0"/> Opcionalmente, una lista de uno o más nombres de dominio puede habilitar la enumeración solo para estos dominios de confianza.�Si se evalúan o no los atributos sudoNotBefore y sudoNotAfter que implementa entradas de sudoers dependientes del tiempo.�Si se pican o no los nombres y las direcciones de host en fichero gestionado known_host.�Si el registro PTR debería ser explícitamente actualizado cuando se actualizan los registros DNS del cliente. Aplicable solo cuando dyndns_update está a true.�Si la utilidad nsupdate debería usar de manera predeterminada TCP cuando se comunica con el servidor DNS.�Si la utilidad nsupdate debe usar la autenticación GSS-TSIG para actualizaciones seguras con el servidor DNS, las actualizaciones inseguras se pueden enviar fijando esta opción a 'none'.�Cuales son los servicios PAM que tiene permitido contactar con dominios del tipo <quote>application</quote>�Como los mensajes ya pueden ser controlados con la ayuda de la opción pam_verbosity esta opción permite filtrar otra clase de respuestas también.�Mientras está corriendo la primera enumeración, peticiones para el usuario completo o listas de grupo pueden no devolver resultados hasta que se completen.�Mientras los primeros dos corresponden al valor por defecto general el tercero se introduce para permitir una fácil integración de usuarios desde dominios Windows.�Con el creciente número de métodos de autenticación y la la posibilidad de que haya múltiples para un único usuario la heurística usada por pam_sss para seleccionar la solicitud podría no ser adecuada para todos los casos. Las siguientes opciones deberían suministrar una mejor flexibilidad aquí.�Con esto, se puede hacer coincidir una parte o el nombre completo del emisor del certificado. Todos los comentarios para <SUBJECT> se le aplican también.�Con esto una parte o todo el nombre de sujeto del certificado pueden coincidir. Para la coincidencia se usa la sintaxis Expresión Regular Extendida POSIX, vea detalles en regex(7).�Con esta opción pueden ser habilitados los atributos de evaluación de control de acceso del lado cliente.�Con este parámetros la verificación del certificado se puede sintonizar con una lista de opciones separadas por comas. Las opciones soportadas son: <placeholder type="variablelist" id="0"/>�Puede configurar SSSD para usar más de un dominio LDAP.�Usted puede considerar ajustar este valor a 3/4 * entry_cache_timeout.�Puede desactivar las búsquedas de desreferencia completamente estableciendo el valor a 0. Tenga en cuenta que hay algunas rutas de código en SSSD, como el proveedor IPA HBAC, que solo son implementadas usando la llamada de desreferencia, de modo que solo con la desreferencia explícitamente deshabilitada aquellas partes usarán todavía la desreferencia si el servidor lo soporta y auncia el control de la desreferencia en el objeto rootDSE.�[2001:db8:85a3::8a2e:370:7334]:321�[domain/EXAMPLE]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ad_server = dc1.example.com
ad_hostname = client.example.com
ad_domain = example.com
�[domain/LDAP]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_access_order = lockout
ldap_pwdlockout_dn = cn=ppolicy,ou=policies,dc=mydomain,dc=org
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
�[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.mydomain.org
ldap_search_base = dc=mydomain,dc=org
ldap_tls_reqcert = demand
cache_credentials = true
�[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2
�[domain/example.com]
id_provider = ipa
ipa_server = ipaserver.example.com
ipa_hostname = myhost.example.com
�[domain/forest.domain/sub.domain]
auto_private_groups = false
�[domain/forest.domain]
subdomain_inherit = auto_private_groups
auto_private_groups = false
�[domain/ipa.com/child.ad.com]
use_fully_qualified_names = false
�[domain/ipa.domain.com/ad.domain.com]
ad_server = dc.ad.domain.com
�[prompting/2fa]�[prompting/password]�[sssd]
domains = appdom, posixdom
[ifp]
user_attributes = +phone
[domain/posixdom]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
[application/appdom]
inherit_from = posixdom
ldap_user_extra_attrs = phone:telephoneNumber
�un literal ‘%’�access_provider (cadena)�access_provider = ldap
ldap_access_filter = (employeeType=admin)
�access_provider = ldap
ldap_access_order = expire
ldap_account_expire_policy = ad
�account_cache_expiration (entero)�ad_access_filter (cadena)�ad_backup_server�ad_backup_server,�ad_domain (cadena)�ad_enable_dns_sites (booleano)�ad_enable_gc (booleano)�ad_enabled_domains (cadena)�ad_enabled_domains = sales.example.com, eng.example.com
�ad_gpo_access_control (cadena)�ad_gpo_ignore_unreadable (booleano)�ad_gpo_implicit_deny (booleano)�ad_hostname (cadena)�ad_server�ad_server,�ad_server, ad_backup_server (cadena)�ad_site�ad_site (cadena)�ad_site,�all�all (Los usuarios de no confianza están permitidos para acceder a todos los dominios en el contestador PAM.)�allowed_shells (cadena)�allowed_uids (cadena)�auth sufficient pam_sss.so allow_missing_name
�auth_provider (cadena)�auto_private_groups (cadena)�autofs_negative_timeout (entero)�autofs_provider (cadena)�cRLSign�ca_db (cadena)�cache_credentials (bool)�cache_credentials_minimal_first_factor_length (entero)�cache_first�cached_auth_timeout (entero)�case_sensitive (cadena)�certificate_verification (cadena)�chpass_provider (cadena)�clientAuth�client_idle_timeout�codeSigning�crl_file=/PATH/TO/CRL/FILE�dataEncipherment�debug (entero)�debug_backtrace_enabled (bool)�debug_level (entero)�debug_microseconds (bool)�debug_timestamps (bool)�decipherOnly�default_domain_suffix (cadena)�default_shell�digitalSignature�disable_netlink (boolean)�disabled (deshabilitado): Las reglas de control de acceso basadas en GPO no son evaluadas ni aplicadas.�dns_discovery_domain (cadena)�dns_resolver_timeout (entero)�nombre plano de dominio. Principalmente usado por los dominios Active Directory tanto los configurados directamente como los descubiertos por medio de IPA de confianza.�nombre de dominio�nombre de dominio como se especifica en el fichero de configuración SSSD�dominio/nombre_de_usuario�domain_resolution_order�domain_type (cadena)�dominios�domains (cadena)�dyndns_auth (cadena)�dyndns_force_tcp (booleano)�dyndns_iface (cadena)�dyndns_refresh_interval (entero)�dyndns_server (cadena)�dyndns_ttl (entero)�dyndns_update (booleano)�dyndns_update_per_family (booleano)�dyndns_update_ptr (booleano)�emailProtection�enable_files_domain (boolean)�encipherOnly�enforcing (hacer cumplir): Las reglas de control de acceso basadas en GPO son evaluadas y aplicadas.�entry_cache_autofs_timeout (entero)�entry_cache_group_timeout (entero)�entry_cache_netgroup_timeout (entero)�entry_cache_nowait_percentage (entero)�entry_cache_service_timeout (entero)�entry_cache_ssh_host_timeout (entero)�entry_cache_sudo_timeout (entero)�entry_cache_timeout (entero)�entry_cache_user_timeout (entero)�entry_negative_timeout (entero)�enum_cache_timeout (entero)�enumerar (bool)�ejemplo: <placeholder type="programlisting" id="0"/>�ejemplo: ldap://[fc00::126:25]:389�exop - Operación Extendida de Modificación de Contraseña (RFC 3062)�fallback_homedir (cadena)�fallback_homedir = /home/%u
�false�fd_limit�filter_users, filter_groups (cadena)�filter_users_in_groups (bool)�first_prompt�flat (NetBIOS) nombre de un subdominio.�full_name_format (cadena)�nombre totalmente cualificado del usuario (user@domain)�gdm-password�gdm-smartcard�obtiene las claves OpenSSH autorizadas�obtiene las claves OpenSSH del host�get_domains_timeout (entero)�gnome-screensaver�groups (cadena)�directorio home�hostid_provider (cadena)�nombre de host o nombre de dominio totalmente cualificado de esta máquina�hostname@REALM
netbiosname$@REALM
host/hostname@REALM
*$@REALM
host/*@REALM
host/*
�hybrid�id_provider (cadena)�si se usa una maprule tanto un único nombre de usuario como una plantilla como <quote>{subject_rfc822_name.short_name}</quote> debe ir entre llaves como e.g. <quote>(username)</quote> or <quote>({subject_rfc822_name.short_name})</quote>�si maprule no está establecido el nombre RULE_NAME se asume como en del usuario coincidente�ignore_group_members�ignore_group_members (bool)�inherit_from (cadena)�ipa_anchor_uuid (cadena)�ipa_automount_location (cadena)�ipa_deskprofile_refresh (entero)�ipa_deskprofile_request_interval (entero)�ipa_deskprofile_search_base (cadena)�ipa_domain (cadena)�ipa_enable_dns_sites (booleano)�ipa_group_override_object_class (cadena)�ipa_hbac_refresh (entero)�ipa_hbac_search_base (cadena)�ipa_hbac_selinux (entero)�ipa_host_search_base (cadena)�ipa_hostname (cadena)�ipa_master_domain_search_base (cadena)�ipa_override_object_class (cadena)�ipa_selinux_search_base (cadena)Opcional.�ipa_server, ipa_backup_server (cadena)�ipa_server_mode (booleano)�ipa_subdomains_search_base (cadena)�ipa_user_override_object_class (cadena)�ipa_view_class (cadena)�ipa_view_name (cadena)�ipa_views_search_base (cadena)�ipv4_first: Intenta buscar dirección IPv4, si falla, intenta IPv6�ipv4_only: Sólo intenta resolver nombres de host a direccones IPv4.�ipv6_first: Intenta buscar dirección IPv6, si falla, intenta IPv4�ipv6_only: Sólo intenta resolver nombres de host a direccones IPv6.�kdc.example.com�kdc.example.com:321�kdm�keyAgreement�keyCertSign�keyEncipherment�keyword ALL�krb5_auth_timeout (entero)�krb5_canonicalize (boolean)�krb5_ccachedir (cadena)�krb5_ccname_template (string)�krb5_confd_path (cadena)�krb5_fast_principal (cadena)�krb5_keytab (cadena)�krb5_kpasswd, krb5_backup_kpasswd (cadena)�krb5_lifetime (cadena)�krb5_rcache_dir (cadena)�krb5_realm (cadena)�krb5_renewable_lifetime (cadena)�krb5_server, krb5_backup_server (cadena)�krb5_store_password_if_offline (boolean)�krb5_use_fast (cadena)�krb5_use_kdcinfo (booleano)�krb5_validate (boolean)�ldap[s]://<host>[:port]�ldap_access_filter (cadena)�ldap_access_order (cadena)�ldap_account_expire_policy (cadena)�ldap_autofs_entry_key (cadena)�ldap_autofs_entry_object_class (cadena)�ldap_autofs_entry_value (cadena)�ldap_autofs_map_master_name (cadena)�ldap_autofs_map_name (cadena)�ldap_autofs_map_object_class (cadena)�ldap_autofs_search_base (cadena)�ldap_chpass_dns_service_name (cadena)�ldap_chpass_update_last_change (booleano)�ldap_chpass_uri, ldap_chpass_backup_uri (cadena)�ldap_connection_expire_timeout (entero)�ldap_default_authtok (cadena)�ldap_default_authtok_type (cadena)�ldap_default_bind_dn (cadena)�ldap_deref (cadena)�ldap_deref_threshold (entero)�ldap_disable_paging (booleano)�ldap_disable_range_retrieval (booleano)�ldap_dns_service_name (cadena)�ldap_enumeration_refresh_timeout (entero)�ldap_enumeration_search_timeout (entero)�ldap_force_upper_case_realm (boolean)�ldap_group_external_member (cadena)�ldap_group_gid_number�ldap_group_gid_number (cadena)�ldap_group_member (cadena)�ldap_group_modify_timestamp (cadena)�ldap_group_name�ldap_group_name (cadena)�ldap_group_nesting_level (entero)�ldap_group_object_class (cadena)�ldap_group_objectsid (cadena)�ldap_group_search_base�ldap_group_search_base (cadena)�ldap_group_search_base,�ldap_group_uuid (cadena)�ldap_host_fqdn (cadena)�ldap_host_member_of (cadena)�ldap_host_name (cadena)�ldap_host_object_class (cadena)�ldap_host_search_base (cadena)�ldap_host_serverhostname (cadena)�ldap_host_ssh_public_key (cadena)�ldap_host_uuid (cadena)�ldap_id_mapping (booleano)�ldap_id_mapping = False
�ldap_id_mapping = True ldap_schema = ad
�ldap_id_use_start_tls (booleano)�ldap_idmap_autorid_compat (booleano)�ldap_idmap_default_domain (cadena)�ldap_idmap_default_domain_sid (cadena)�ldap_idmap_range_max (entero)�ldap_idmap_range_min (entero)�ldap_idmap_range_size (entero)�ldap_krb5_init_creds (booleano)�ldap_krb5_keytab (cadena)�ldap_krb5_keytab (se deberá usar el valor de krb5_keytab si no se ha fijado explícitamente ldap_krb5_keytab)�ldap_krb5_ticket_lifetime (entero)�ldap_min_id, ldap_max_id (entero)�ldap_modify - Modificación directa de userPassword (no recomendado).�ldap_netgroup_member (cadena)�ldap_netgroup_modify_timestamp (cadena)�ldap_netgroup_name (cadena)�ldap_netgroup_object_class (cadena)�ldap_netgroup_search_base (cadena)�ldap_netgroup_search_base,�ldap_netgroup_triple (cadena)�ldap_network_timeout (entero)�ldap_ns_account_lock (cadena)�ldap_opt_timeout (entero)�ldap_page_size (entero)�ldap_purge_cache_timeout�ldap_purge_cache_timeout (entero)�ldap_pwd_policy (cadena)�ldap_pwdlockout_dn (cadena)�ldap_pwmodify_mode (cadena)�ldap_referrals (boolean)�ldap_rfc2307_fallback_to_local_users (boolean)�ldap_sasl_authid (cadena)�ldap_sasl_canonicalize (boolean)�ldap_sasl_mech (cadena)�ldap_sasl_mech,�ldap_sasl_minssf (entero)�ldap_sasl_realm (string)�ldap_schema (cadena)�ldap_search_base�ldap_search_base (cadena)�ldap_search_base = cn=host_specific,dc=example,dc=com?subtree?(host=thishost)?dc=example.com?subtree?�ldap_search_base = dc=example,dc=com (que es equivalente a) ldap_search_base = dc=example,dc=com?subtree?�ldap_search_base,�ldap_search_timeout (entero)�ldap_service_name (cadena)�ldap_service_object_class (cadena)�ldap_service_port (cadena)�ldap_service_proto (cadena)�ldap_service_search_base (cadena)�ldap_service_search_base,�ldap_sudo_full_refresh_interval (entero)�ldap_sudo_hostnames (cadena)�sudo_include_netgroups (booleano)�ldap_sudo_include_regexp (booleano)�ldap_sudo_ip (cadena)�ldap_sudo_search_base (cadena)�ldap_sudo_smart_refresh_interval (entero)�ldap_sudo_use_host_filter (booleano)�ldap_sudorule_command (cadena)�ldap_sudorule_host (cadena)�ldap_sudorule_name (cadena)�ldap_sudorule_notafter (cadena)�ldap_sudorule_notbefore (cadena)�ldap_sudorule_object_class (cadena)�ldap_sudorule_option (cadena)�ldap_sudorule_order (cadena)�ldap_sudorule_runasgroup (cadena)�ldap_sudorule_runasuser (cadena)�ldap_sudorule_user (cadena)�ldap_tls_cacert (cadena)�ldap_tls_cacertdir (cadena)�ldap_tls_cert (cadena)�ldap_tls_cipher_suite (cadena)�ldap_tls_key (cadena)�ldap_tls_reqcert (cadena)�ldap_uri, ldap_backup_uri (string)�ldap_use_tokengroups�ldap_user_ad_account_expires (cadena)�ldap_user_ad_user_account_control (cadena)�ldap_user_authorized_host (cadena)�ldap_user_authorized_rhost (cadena)�ldap_user_authorized_service (cadena)�ldap_user_certificate (cadena)�ldap_user_email (cadena)�ldap_user_extra_attrs (cadena)�ldap_user_extra_attrs = phone:telephoneNumber�ldap_user_extra_attrs = telephoneNumber�ldap_user_fullname (cadena)�ldap_user_gecos�ldap_user_gecos (cadena)�ldap_user_gid_number�ldap_user_gid_number (cadena)�ldap_user_home_directory�ldap_user_home_directory (cadena)�ldap_user_krb_last_pwd_change (cadena)�ldap_user_krb_password_expiration (cadena)�ldap_user_member_of (cadena)�ldap_user_modify_timestamp (cadena)�ldap_user_name�ldap_user_name (cadena)�ldap_user_nds_login_allowed_time_map (cadena)�ldap_user_nds_login_disabled (cadena)�ldap_user_nds_login_expiration_time (cadena)�ldap_user_object_class (cadena)�ldap_user_objectsid (cadena)�ldap_user_primary_group (cadena)�ldap_user_principal�ldap_user_principal (cadena)�ldap_user_search_base�ldap_user_search_base (cadena)�ldap_user_search_base,�ldap_user_shadow_expire (cadena)�ldap_user_shadow_inactive (cadena)�ldap_user_shadow_last_change (cadena)�ldap_user_shadow_max (cadena)�ldap_user_shadow_min (cadena)�ldap_user_shadow_warning (cadena)�ldap_user_shell�ldap_user_shell (cadena)�ldap_user_ssh_public_key�ldap_user_ssh_public_key (cadena)�ldap_user_uid_number�ldap_user_uid_number (cadena)�ldap_user_uuid (cadena)�libkrb5 buscará el complemento localizador en el subdirectorio libkrb5 del directorio de complementos Kerberos, vea más detalles en plugin_base_dir en <citerefentry> <refentrytitle>krb5.conf</refentrytitle> <manvolnum>5</manvolnum> </citerefentry>. El complemento solo se puede deshabilitar borrando el fichero del complemento. No hay opción en a configuración de Kerberos para deshabilitarlo. Pero la variable de entorno SSSD_KRB5_LOCATOR_DISABLE puede ser usada para deshabilitar el complemento en comandos individuales. Alternativamente la opción SSSD krb5_use_kdcinfo=False puede ser usada para no generar los datos necesarios para el complemento. Con esto, todavía se llama al complemento, pero no proporcionará datos a la persona que llama para que libkrb5 pueda recurrir a otros métodos definidos en krb5.conf.�local_negative_timeout (integer)�login�UID de acceso�nombre de acceso�lookup_family_order (cadena)�maprule (cadena)�matchrule (cadena)�min_id, max_id (entero)�monitor_resolv_conf (booleano)�msScLogin�netgroup (en la forma "+netgroup")�new_delay = Minimum(old_delay * 2, offline_timeout_max) + random[0...offline_timeout_random_offset]�no_ocsp�no_verification�nonRepudiation�none�none (Los usuarios de no confianza no tienen permitido acceder a los dominios PAM en el contestador.)�oscurecer un password en texto claro�obfuscated_password�ocsp_default_responder=URL�ocsp_default_responder_signing_cert=NAME�ocsp_dgst�offline_credentials_expiration (entero)�offline_failed_login_attempts (entero)�offline_failed_login_delay (entero)�offline_timeout (entero)�una de las direcciones IP de la red (en la forma "dirección/máscara")�una de las direcciones IP de esta máquina�override_gid (entero)�override_homedir (cadena)�override_shell (cadena)�override_space (cadena)�p11_child_timeout (entero)�p11_uri (cadena)�p11_wait_for_card_timeout (entero)�pac_lifetime (entero)�pam_account_expired_message (cadena)�pam_account_expired_message = Cuenta expirada, por favor contacte con la mesa de ayuda.
�pam_account_locked_message (cadena)�pam_account_locked_message = Cuenta bloqueada, por favor contacte con la mesa de ayuda.
�pam_app_services (cadena)�pam_cert_auth (booleano)�pam_cert_db_path (cadena)�pam_id_timeout (entero)�pam_p11_allowed_services = +my_pam_service, -login
�pam_public_domains (cadena)�pam_pwd_expiration_warning (entero)�pam_sss�pam_trusted_users (cadena)�pam_verbosity (entero)�partial_chain�contraseña�password_prompt�lleva a cabo la limpieza del escondrijo�permissive (permisivo): Las reglas de control de acceso GPO son evaluadas pero no se hacen cumplir. En su lugar, se emitirá un mensaje de registro de sistema indicando que se hubiera denegado el acceso al sistema del usuario si el valor de la opción estuviera establecido en enforcing.�pkinit�nombre principal�priority (entero)�proxy_fast_alias (booleano)�proxy_lib_name (cadena)�proxy_max_children (entero)�proxy_pam_target (cadena)�pwd_expiration_warning (entero)�pwfield (cadena)�re_expression (cadena)�nombre de reino�realmd_tags (cadena)�refresh_expired_interval (entero)�responder_idle_timeout�rfc2307�rfc2307bis�scope (cadena)�search_base[?scope?[filter][?search_base?scope?[filter]]*]�search_base[?scope?[filter][?search_base?scope?[filter]]*]
�second_prompt�alimenta el cache SSSD con un usuario�selinux_provider (cadena)�serverAuth�servicios�session_provider (cadena)�sha1�sha256�sha384�sha512�shell_fallback (cadena)�simple_allow_groups (cadena)�simple_allow_users (cadena)�simple_deny_groups (cadena)�simple_deny_users (cadena)�single_prompt�soft_crl�soft_ocsp�ssh_hash_known_hosts (booleano)�ssh_known_hosts_timeout (entero)�ssh_use_certificate_keys (booleano)�ssh_use_certificate_matching_rules (cadena)�sss-certmap�sss_cache�sss_debuglevel�sss_obfuscate�sss_seed�sss_ssh_authorizedkeys�sss_ssh_knownhostsproxy�sssd�sssd-ad�sssd-ipa�sssd-krb5�sssd-ldap�sssd-simple�sssd-sudo�sssd.conf�sssd_krb5_locator_plugin�su�su-l�subdomain_enumerate (cadena)�subdomain_homedir (cadena)�subdomain_inherit (cadena)�subdomain_inherit = ldap_purge_cache_timeout
�subdomains_provider (cadena)�sudo�sudo-i�sudo_provider (cadena)�sudo_threshold (entero)�sudo_timed (booleano)�sudoers: files sss
�sintaxis: <placeholder type="programlisting" id="0"/>�la opción <quote>domains</quote> es ignorada�El archivo de configuración de SSSD�el fichero de configuración para en proveedor de control de acceso 'simple' de SSSD�timeStamping�timeout (entero)�cambiar la cadena de solicitud de contraseña�para cambiar la cadena de la solicitud del primer factor�para cambiar la cadena de la solicitud para el segundo factor�para configurar la solicitud de contraseña, las opciones permitidas son: <placeholder type="variablelist" id="0"/>�true�try_inotify (boolean)�use_fully_qualified_names�use_fully_qualified_names (bool)�usuario (cadena)�nombre de usuario�user_attributes (string)�nombre de usuario�[email protected]�users (cadena)�vetoed_shells (cadena)�comodines�wildcard_limit (entero)�{cert[!(bin|base64)]}�{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}�{subject_dns_name[.short_name]}�{subject_ediparty_name}�{subject_ip_address}�{subject_nt_principal[.short_name]}�{subject_pkinit_principal[.short_name]}�{subject_principal[.short_name]}�{subject_registered_id}�{subject_rfc822_name[.short_name]}�{subject_uri}�{subject_x400_address}�