"Fossies" - the Fresh Open Source Software Archive

Member "sssd-2.4.2/src/man/es/sssd.conf.5.xml" (19 Feb 2021, 178669 Bytes) of package /linux/misc/sssd-2.4.2.tar.gz:


As a special service "Fossies" has tried to format the requested source page into HTML format using (guessed) XML source code syntax highlighting (style: standard) with prefixed line numbers. Alternatively you can here view or download the uninterpreted source code file. See also the latest Fossies "Diffs" side-by-side code changes report for "sssd.conf.5.xml": 2.4.1_vs_2.4.2.

    1 <?xml version="1.0" encoding="UTF-8"?>
    2 <!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
    3 "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
    4 <reference>
    5 <title>Páginas de manual de SSSD</title>
    6 <refentry>
    7     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
    8 
    9     <refmeta>
   10         <refentrytitle>sssd.conf</refentrytitle>
   11         <manvolnum>5</manvolnum>
   12         <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo>
   13     </refmeta>
   14 
   15     <refnamediv id='name'>
   16         <refname>sssd.conf</refname>
   17         <refpurpose>El archivo de configuración de SSSD</refpurpose>
   18     </refnamediv>
   19 
   20     <refsect1 id='file-format'>
   21         <title>Formato de archivo</title>
   22 
   23         <para>
   24             El archivo posee una sintaxis de tipo ini consistente de secciones y
   25 parámetros. Una sección comienza con el nombre de dicha sección colocado
   26 entre corchetes, y continua hasta que comienza la próxima sección. Este es
   27 un ejemplo de una sección con parámetros de valores simples y múltiples:
   28 <programlisting>
   29 <replaceable>[section]</replaceable>
   30 <replaceable>key</replaceable> = <replaceable>value</replaceable>
   31 <replaceable>key2</replaceable> = <replaceable>value2,value3</replaceable>
   32             </programlisting>
   33         </para>
   34 
   35         <para>
   36             Los tipos de datos utilizados son cadenas (no es necesario ingresarlos entre
   37 comillas), enteros o booleanos (cuyos valores son
   38 <quote>TRUE/FALSE</quote>).
   39         </para>
   40 
   41         <para>
   42             Una línea de comentario empieza con una almohadilla (<quote>#</quote>) o un
   43 punto y coma (<quote>;</quote>).  Los comentarios en línea no están
   44 soportados.
   45         </para>
   46 
   47         <para>
   48             Todas las secciones pueden tener un parámetro opcional de
   49 <replaceable>descripción</replaceable>. Su función es solo la de servir como
   50 etiqueta a tal sección.
   51         </para>
   52 
   53         <para>
   54             <filename>sssd.conf</filename> debe ser un archivo regular, cuyo dueño sea
   55 el usuario root, y sólo este usuario podrá tener permisos de lectura y
   56 escritura sobre él.
   57         </para>
   58     </refsect1>
   59 
   60     <refsect1 id='config-snippets'>
   61         <title>FRAGMENTOS DE CONFIGURACIÓN DESDE EL DIRECTORIO INCLUDE</title>
   62 
   63         <para>
   64             El fichero de configuración <filename>sssd.conf</filename> incluirá
   65 fragmenteo de configuración usando el directorio include
   66 <filename>conf.d</filename>. Esta característica está disponible si SSSD fue
   67 compilado con libini versión 1.3.0 o posterior.
   68         </para>
   69 
   70         <para>
   71             Cualquier fichero situado en <filename>conf.d</filename> que termine en
   72 <quote><filename>.conf</filename></quote> y no empiece con un punto
   73 (<quote>.</quote>) será usado junto con <filename>sssd.conf</filename> para
   74 configurar SSSD.
   75         </para>
   76 
   77         <para>
   78             Los fragmentos de configuración de <filename>conf.d</filename> tienen mayor
   79 prioridad que los de <filename>sssd.conf</filename> y anularán
   80 <filename>sssd.conf</filename> cuando ocurran conflictos. Si varios
   81 fragmentos están presentes en <filename>conf.d</filename> serán incluidos en
   82 orden alfabético (en base a la localización).  Los ficheros incluidos más
   83 tarde tienen prioridad mas alta. Prefijos numéricos
   84 (<filename>01_snippet.conf</filename>, <filename>02_snippet.conf</filename>
   85 etc.) pueden ayudar a visualizar la prioridad (números mas altos significan
   86 prioridad más alta).
   87         </para>
   88 
   89         <para>
   90             Los ficheros fragmentos requieren los mismos propietarios y permisos que
   91 <filename>sssd.conf</filename>. Que son por defecto root:root y 0600.
   92         </para>
   93     </refsect1>
   94 
   95     <refsect1 id='general-options'>
   96         <title>OPCIONES GENERALES</title>
   97         <para>
   98             Las siguientes opciones son útiles en más de una de las secciones de
   99 configuración.
  100         </para>
  101         <refsect2 id='all-section-options'>
  102             <title>Opciones utilizables en todas las secciones</title>
  103             <para>
  104               <variablelist>
  105                 <varlistentry>
  106                     <term>debug_level (entero)</term>
  107                     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" />
  108                 </varlistentry>
  109                 <varlistentry>
  110                     <term>debug (entero)</term>
  111                     <listitem>
  112                         <para>
  113                             SSSD 1.14 y posteriores también incluyen el alias
  114 <replaceable>debug</replaceable> para <replaceable>debug_level</replaceable>
  115 como ua característica de conveniencia. Si se usan ambas se usará el valor
  116 de <replaceable>debug_level</replaceable>.
  117                         </para>
  118                     </listitem>
  119                 </varlistentry>
  120                 <varlistentry>
  121                     <term>debug_timestamps (bool)</term>
  122                     <listitem>
  123                         <para>
  124                             Añade una sello de tiempo a los mensajes de depuración.  Si journald está
  125 habilitado para el registro de la depuración SSSD esta opción se ignora.
  126                         </para>
  127                         <para>
  128                             Predeterminado: true
  129                         </para>
  130                     </listitem>
  131                 </varlistentry>
  132                 <varlistentry>
  133                     <term>debug_microseconds (bool)</term>
  134                     <listitem>
  135                         <para>
  136                             Añade microsegundos al sello de tiempo en los mensajes de depuración. Si
  137 journald está habilitado para el registro de la depuración SSSD esta opción
  138 se ignora.
  139                         </para>
  140                         <para>
  141                             Predeterminado: false
  142                         </para>
  143                     </listitem>
  144                 </varlistentry>
  145               </variablelist>
  146             </para>
  147         </refsect2>
  148 
  149         <refsect2 id='services-and-domains-section-options'>
  150             <title>Opciones utilizables en las secciones SERVICIO y DOMINIO</title>
  151             <para>
  152               <variablelist>
  153                 <varlistentry>
  154                     <term>timeout (entero)</term>
  155                     <listitem>
  156                         <para>
  157                             Tiempo de salid en segundos entre pulsaciones para este servicio. Se usa
  158 para asegurar que el proceso está vivo y capaz de contestar
  159 peticiones. Advierta que después de tres pulsaciones perdidas el servicio se
  160 terminará.
  161                         </para>
  162                         <para>
  163                             Predeterminado: 10
  164                         </para>
  165                     </listitem>
  166                 </varlistentry>
  167               </variablelist>
  168             </para>
  169         </refsect2>
  170     </refsect1>
  171 
  172     <refsect1 id='special-sections'>
  173         <title>SECCIONES ESPECIALES</title>
  174 
  175         <refsect2 id='services'>
  176             <title>La sección [sssd]</title>
  177             <para>
  178                 Trozos individuales de funcionalidad SSSD son suministrados por servicios
  179 especiales SSSD que se inician y parar junto a SSSD. Los servicios son
  180 gestionados por un servicio especial frecuentemente llamado
  181 <quote>monitor</quote>. La sección <quote>[sssd]</quote> se usa para
  182 configurar el monitor así como algunas otras opciones importantes como la
  183 identidad de dominios. <variablelist>
  184                     <title>Parámetros de sección</title>
  185                     <varlistentry>
  186                         <term>config_file_version (entero)</term>
  187                         <listitem>
  188                             <para>
  189                                 Indica cuál es la sintaxis del archivo de configuración. SSSD 0.6.0 y
  190 posteriores utilizan versión 2.
  191                             </para>
  192                         </listitem>
  193                     </varlistentry>
  194                     <varlistentry>
  195                         <term>servicios</term>
  196                         <listitem>
  197                             <para>
  198                                 Lista separada por comas de los servicios que se han iniciado cuando el
  199 mismo sssd se inició.  <phrase condition="have_systemd"> La lista de
  200 servicios es opcional sobre plataformas donde se soporta systemd, ya que
  201 serán enchufados o activado D-Bus cuando sea necesario.  </phrase>
  202                             </para>
  203                             <para>
  204                                 Servicios soportados: nss, pam <phrase condition="with_sudo">, sudo</phrase>
  205 <phrase condition="with_autofs">, autofs</phrase> <phrase
  206 condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">,
  207 pac</phrase> <phrase condition="with_ifp">, ifp</phrase>
  208                             </para>
  209                             <para>
  210                                 <phrase condition="have_systemd"> Por defecto, todos los servicios están
  211 deshabilitados y el administrador debe habilitar aquellos que permita que se
  212 usen para ejecución: "systemctl enable sssd-@service@.socket".  </phrase>
  213                             </para>
  214                         </listitem>
  215                     </varlistentry>
  216                     <varlistentry>
  217                         <term>reconnection_retries (entero)</term>
  218                         <listitem>
  219                             <para>
  220                                 Cantidad de intentos de reconexión de los servicios ante una eventual caída
  221 de datos del  proveedor, o de reiniciarse antes de abandonar
  222                             </para>
  223                             <para>
  224                                 Predeterminado: 3
  225                             </para>
  226                         </listitem>
  227                     </varlistentry>
  228                     <varlistentry>
  229                         <term>dominios</term>
  230                         <listitem>
  231                             <para>
  232                                 A domain is a database containing user information. SSSD can use more
  233 domains at the same time, but at least one must be configured or SSSD won't
  234 start.  This parameter describes the list of domains in the order you want
  235 them to be queried.  A domain name is recommended to contain only
  236 alphanumeric ASCII characters, dashes, dots and underscores. '/' character
  237 is forbidden.
  238                             </para>
  239                         </listitem>
  240                     </varlistentry>
  241                     <varlistentry>
  242                         <term>re_expression (cadena)</term>
  243                         <listitem>
  244                             <para>
  245                                 Expresión regular por defecto que describe como analizar la cadena que
  246 contiene el nombre de usuario y el dominio en estos componentes.
  247                             </para>
  248                             <para>
  249                                 Cada dominio puede tener una expresión regular individual configurada. Para
  250 algunos proveedores de ID hay también expresiones regulares por defecto. Vea
  251 las SECCIONES DOMINIO para mas información sobre estas expresiones
  252 regulares.
  253                             </para>
  254                         </listitem>
  255                     </varlistentry>
  256                     <varlistentry>
  257                         <term>full_name_format (cadena)</term>
  258                         <listitem>
  259                             <para>
  260                                 <citerefentry> <refentrytitle>printf</refentrytitle>
  261 <manvolnum>3</manvolnum> </citerefentry>-formato compatible que describe
  262 como componer un nombre de dominio totalmente cualificado y los componentes
  263 del nombre de dominio.
  264                             </para>
  265                             <para>
  266                                 Son soportadas las siguientes expresiones: <variablelist>
  267                                     <varlistentry>
  268                                         <term>%1$s</term>
  269                                         <listitem><para>nombre de usuario</para></listitem>
  270                                     </varlistentry>
  271                                     <varlistentry>
  272                                         <term>%2$s</term>
  273                                         <listitem>
  274                                             <para>
  275                                                 nombre de dominio como se especifica en el fichero de configuración SSSD
  276                                             </para>
  277                                         </listitem>
  278                                     </varlistentry>
  279                                     <varlistentry>
  280                                         <term>%3$s</term>
  281                                         <listitem>
  282                                             <para>
  283                                                 nombre plano de dominio. Principalmente usado por los dominios Active
  284 Directory tanto los configurados directamente como los descubiertos por
  285 medio de IPA de confianza.
  286                                             </para>
  287                                         </listitem>
  288                                     </varlistentry>
  289                                 </variablelist>
  290                             </para>
  291                             <para>
  292                                 Each domain can have an individual format string configured.  See DOMAIN
  293 SECTIONS for more info on this option.
  294                             </para>
  295                         </listitem>
  296                     </varlistentry>
  297                     <varlistentry>
  298                         <term>monitor_resolv_conf (booleano)</term>
  299                         <listitem>
  300                             <para>
  301                                 Controla si SSSD monitorizaría el estado de resolv.conf para identificar
  302 cuando necesita actualizar su interfaz de resolución DNS interno.
  303                             </para>
  304                             <para>
  305                                 Predeterminado: true
  306                             </para>
  307                         </listitem>
  308                     </varlistentry>
  309                     <varlistentry>
  310                         <term>try_inotify (boolean)</term>
  311                         <listitem>
  312                             <para>
  313                                 Por defecto, SSSD intentará usar inotify para monitorizar cambios en los
  314 ficheros de configuración y volverá a sondear cada cinco segundos si inotify
  315 no puede ser usado.
  316                             </para>
  317                             <para>
  318                                 Existen algunas pocas situaciones en donde lo preferible es evitar el uso de
  319 inotify. En estas raras excepciones, la opción debería ser definida en
  320 'false' 
  321                             </para>
  322                             <para>
  323                                 Predeterminado: 'true' en plataformas donde inotify tenga soporte. 'False'
  324 en el resto de las plataformas.
  325                             </para>
  326                             <para>
  327                                 Nota: esta opción no tendrá efecto en plataformas donde inotify no se
  328 encuenytre disponible. En estas plataformas, la consulta (polling) será
  329 utilizada siempre.
  330                             </para>
  331                         </listitem>
  332                     </varlistentry>
  333                     <varlistentry>
  334                         <term>krb5_rcache_dir (cadena)</term>
  335                         <listitem>
  336                             <para>
  337                                 Directorio en el sistema de archivos donde SSSD debería guardar fichero de
  338 reproducción de cache de Kerberos.
  339                             </para>
  340                             <para>
  341                                 Esta opción acepta un valor especial __LIBKRB5_DEFAULTS__ que instruirá a
  342 SSSD para dejar a libkrb5 decidir la localización apropiada del escondrijo
  343 de respuesta.
  344                             </para>
  345                             <para>
  346                                 Por defecto: Distribución específica y especificado en la acumulación de
  347 tiempo. (si no se configura __LIBKRB5_DEFAULTS__)
  348                             </para>
  349                         </listitem>
  350                     </varlistentry>
  351                     <varlistentry>
  352                         <term>usuario (cadena)</term>
  353                         <listitem>
  354                             <para>
  355                                 El usuario debe dejar los privilegios donde corresponda para evitar que se
  356 ejecute como usuario root.  <phrase condition="have_systemd"> Esta opción no
  357 funciona cuando se están ejecutando servicios activados por socket, puesto
  358 que el ajuste para que el usuario corra los procesos se fijan en el momento
  359 de la compilación.  El modo de anular la unidad de ficheros systemd es
  360 creando los ficheros apropiados en /etc/systemd/system/.  Tenga en cuenta
  361 que cualquier cambio en el socket de usuario, grupo o permisos puede llevar
  362 a un SSSD no utilizable. Lo mismo puede ocurrir en el caso de cambios del
  363 usuario que ejecuta el contestador NSS.  </phrase>
  364                             </para>
  365                             <para>
  366                                 Por defecto: no ajustado, los procesos correrán como root
  367                             </para>
  368                         </listitem>
  369                     </varlistentry>
  370                     <varlistentry>
  371                         <term>default_domain_suffix (cadena)</term>
  372                         <listitem>
  373                             <para>
  374                                 Esta cadena será usada como nombre de dominio por defecto para todos los
  375 nombre sin un componente de nombre de dominio. El principal caso de uso es
  376 en entornos donde el dominio principal está dirigido a gestionar las
  377 políticas de host y todos los usuarios están localizados en un dominio
  378 confiable. La opción permite a esos usuarios acceder sólo con su nombre de
  379 usuario sin dar también un nombre de dominio.
  380                             </para>
  381                             <para>
  382                                 Por favor advierta que si esta opción está establecida todos los usuarios
  383 del dominio primario tienen que usar su nombre totalmente cualificado,
  384 e.g. user@domain.name, para acceder. El establecimiento de esta opción
  385 cambia el comportamiento predeterminado de use_fully_qualified_names a
  386 True. No está permitido el uso de esta opción junto con
  387 use_fully_qualified_names establecido a False. Una excepción de esta regla
  388 son los dominios con <quote>id_provider=files</quote> que siempre intentan
  389 igualar el comportamiento de nss_files y por lo tanto su salida es no
  390 cualificada aún cuando se use la opción default_domain_suffix.
  391                             </para>
  392                             <para>
  393                                 Predeterminado: no definido
  394                             </para>
  395                         </listitem>
  396                     </varlistentry>
  397                     <varlistentry>
  398                         <term>override_space (cadena)</term>
  399                         <listitem>
  400                             <para>
  401                                 Este parámetro reemplazará los espacios (barra espaciadora)  con los
  402 caracteres dados para los nombres de usuario y grupos.  e.g. (_). Nombre de
  403 usuario &quot;john doe&quot; será &quot;john_doe&quot; Esta característica
  404 se ha añadido para ayudar a la compatibilidad los scripts de shell que
  405 tienen dificultades con el manejo de espacios, debido al campo separador
  406 predeterminado en el shell.
  407                             </para>
  408                             <para>
  409                                 Por favor advierta que es un error de configuración usar un carácter de
  410 reemplazo que pueda ser usado en los nombres de grupo o usuario. Si un
  411 nombre contiene el carácter de reemplazo SSSD intentará devolver un nombre
  412 no modificado pero en general el resultado de la búsqueda es indefinido.
  413                             </para>
  414                             <para>
  415                                 Por defecto: no ajustado (los espacios no serán reemplazados)
  416                             </para>
  417                         </listitem>
  418                     </varlistentry>
  419                     <varlistentry>
  420                         <term>certificate_verification (cadena)</term>
  421                         <listitem>
  422                             <para>
  423                                 Con este parámetros la verificación del certificado se puede sintonizar con
  424 una lista de opciones separadas por comas. Las opciones soportadas son:
  425 <variablelist>
  426                                 <varlistentry>
  427                                     <term>no_ocsp</term>
  428                                     <listitem>
  429                                         <para>Deshabilita la comprobación de Protocolo de Estado de Certificado en Línea
  430 (OCSP). Esto puede ser necesario si los servidores OCSP definidos en el
  431 certificado no son alcanzables por el cliente.</para>
  432                                     </listitem>
  433                                 </varlistentry>
  434                                 <varlistentry>
  435                                     <term>soft_ocsp</term>
  436                                     <listitem>
  437                                         <para> If a connection cannot be established to an OCSP responder the OCSP check is
  438 skipped.  This option should be used to allow authentication when the system
  439 is offline and the OCSP responder cannot be reached.</para>
  440                                     </listitem>
  441                                 </varlistentry>
  442                                 <varlistentry>
  443                                     <term>ocsp_dgst</term>
  444                                     <listitem>
  445                                         <para>Función resumen (picadillo) usada para crear la ID del certificado para la
  446 petición OCSP. Los valores permitidos son:
  447                                         <itemizedlist>
  448                                           <listitem><para>sha1</para></listitem>
  449                                           <listitem><para>sha256</para></listitem>
  450                                           <listitem><para>sha384</para></listitem>
  451                                           <listitem><para>sha512</para></listitem>
  452                                         </itemizedlist></para>
  453                                         <para>
  454                                             Default: sha1 (to allow compatibility with RFC5019-compliant responder)
  455                                         </para>
  456                                     </listitem>
  457                                 </varlistentry>
  458                                 <varlistentry>
  459                                     <term>no_verification</term>
  460                                     <listitem>
  461                                         <para>Deshabilita la verificación completamente.  Esto opción solo se debería usar
  462 para pruebas.</para>
  463                                     </listitem>
  464                                 </varlistentry>
  465                                 <varlistentry>
  466                                     <term>ocsp_default_responder=URL</term>
  467                                     <listitem>
  468                                         <para>Fija el contestador OCSP por defecto que será usando en lugar del mencionado
  469 en el certificado. La URL debe ser reemplazada con la URL del contestador
  470 OCSP por defecto e.g.  http://example.com:80/ocsp.</para>
  471                                     </listitem>
  472                                 </varlistentry>
  473                                 <varlistentry>
  474                                     <term>
  475                                     ocsp_default_responder_signing_cert=NAME</term>
  476                                     <listitem>
  477                                         <para>This option is currently ignored. All needed certificates must be available
  478 in the PEM file given by pam_cert_db_path.</para>
  479                                     </listitem>
  480                                 </varlistentry>
  481                                 <varlistentry>
  482                                     <term>crl_file=/PATH/TO/CRL/FILE</term>
  483                                     <listitem>
  484                                         <para>Use the Certificate Revocation List (CRL) from the given file during the
  485 verification of the certificate. The CRL must be given in PEM format, see
  486 <citerefentry> <refentrytitle>crl</refentrytitle>
  487 <manvolnum>1ssl</manvolnum> </citerefentry> for details.</para>
  488                                     </listitem>
  489                                 </varlistentry>
  490                                 <varlistentry>
  491                                     <term>soft_crl</term>
  492                                     <listitem>
  493                                         <para>
  494                                         If a Certificate Revocation List (CRL)  is expired ignore the CRL checks for
  495 the related certificates. This option should be used to allow authentication
  496 when the system is offline and the CRL cannot be renewed.</para>
  497                                     </listitem>
  498                                 </varlistentry>
  499                                 </variablelist>
  500                             </para>
  501                             <para>
  502                                 Se informa de las opciones desconocidas pero son ignoradas.
  503                             </para>
  504                             <para>
  505                                 Por defecto: no fijado, i.e. no restringe la verificación de certificado
  506                             </para>
  507                         </listitem>
  508                     </varlistentry>
  509                     <varlistentry>
  510                         <term>disable_netlink (boolean)</term>
  511                         <listitem>
  512                             <para>
  513                                 SSSD se engancha en el interfaz netlink para monitorizar los cambios a
  514 rutas, direcciones, enlaces y disparar ciertas acciones.
  515                             </para>
  516                             <para>
  517                                 Los cambios en el estado de SSSD causados por eventos en enlace de red
  518 pueden ser no deseados y pueden ser deshabilitados ajustando esta opción a
  519 'true'
  520                             </para>
  521                             <para>
  522                                 Predeterminado: false (se detectan los cambio de enlace de red)
  523                             </para>
  524                         </listitem>
  525                     </varlistentry>
  526                     <varlistentry>
  527                         <term>enable_files_domain (boolean)</term>
  528                         <listitem>
  529                             <para>
  530                                 Cuando se habilita esta opción, SSSD antepone in dominio implícito con
  531 <quote>id_provider=files</quote> antes de cualquier dominio explícito
  532 configurado.
  533                             </para>
  534                             <para condition="no_enable_files_domain">
  535                                 Predeterminado: false
  536                             </para>
  537                             <para condition="enable_files_domain">
  538                                 Predeterminado: true
  539                             </para>
  540                         </listitem>
  541                     </varlistentry>
  542                     <varlistentry>
  543                         <term>domain_resolution_order</term>
  544                         <listitem>
  545                             <para>
  546                                 Lista separada por comas de dominios y subdominios que representa el orden
  547 de búsqueda que se seguirá.  La lista no tiene que incluir todos los
  548 dominios posibles ya que los dominios que falten se buscarán en el orden que
  549 se presentan en la opción de configuración <quote>domains</quote>.  Los
  550 subdominios que no están listados como parte de <quote>lookup_order</quote>
  551 serán buscados en un orden aleatorio por cada dominio padre.
  552                             </para>
  553                             <para>
  554                                 Por favor, advierta que cuando se fija esta opción el formato de salida de
  555 todos los comandos es siempre plenamente cualificado aunque se usen los
  556 nombre cortos para la entrada, para todos los usuarios excepto los
  557 gestionados por el proveedro de ficheros.  En caso de que el administrador
  558 desee la salida no plenamente cualificada se debe usar los opción
  559 full_name_format como se muestra abajo: <quote>full_name_format=%1$s</quote>
  560 Sin embargo, tenga en cuenta que durante el acceso, las aplicaciones de
  561 acceso con frecuencia canonicalizan el nombre de usuario llamando a
  562 <citerefentry> <refentrytitle>getpwnam</refentrytitle>
  563 <manvolnum>3</manvolnum> </citerefentry> que, si se devuelve un nombre corto
  564 para una entrada cualificada (mientras que intenta alcanzar un usuario que
  565 existe en múltiples dominios) debe re-enturar el intento de acceso hacia el
  566 dominio que usa nombres cortos, haciendo este rodeo totalmente no
  567 recomendado en los casos donde los nombres de usuarios se deben compartir
  568 entre dominios.
  569                             </para>
  570                             <para>
  571                                 Por defecto: No definido
  572                             </para>
  573                         </listitem>
  574                     </varlistentry>
  575                 </variablelist>
  576             </para>
  577         </refsect2>
  578 
  579     </refsect1>
  580 
  581     <refsect1 id='services-sections'>
  582         <title>SECCIONES DE SERVICIOS</title>
  583         <para>
  584             Los ajustes que pueden ser utilizados para configurar diferentes servicios
  585 se describe en esta sección. Ellos deben residir en la sección
  586 [<replaceable>$NAME</replaceable>], por ejemplo, para el servicio NSS, la
  587 sección sería <quote>[nss]</quote>
  588         </para>
  589 
  590         <refsect2 id='general'>
  591             <title>Opciones de configuración de servicios generales</title>
  592             <para>
  593                 Estas opciones pueden usarse para configurar cualquier servicio.
  594             </para>
  595             <variablelist>
  596                 <varlistentry>
  597                     <term>reconnection_retries (entero)</term>
  598                     <listitem>
  599                         <para>
  600                             Cantidad de intentos de reconexión de los servicios ante una eventual caída
  601 de datos del  proveedor, o de reiniciarse antes de abandonar
  602                         </para>
  603                         <para>
  604                             Predeterminado: 3
  605                         </para>
  606                     </listitem>
  607                 </varlistentry>
  608                 <varlistentry>
  609                     <term>fd_limit</term>
  610                     <listitem>
  611                         <para>
  612                             Esta opción especifica el número máximo de descriptores de ficheros que
  613 pueden ser abiertos a la vez por este proceso SSSD. Sobre sistemas donde
  614 SSSD ha alcanzado la capacidad CAP_SYS_RESOURCE, este será un ajuste
  615 absoluto. Sobre sistemas sin esta capacidad, el valor resultante será el
  616 valor más bajo de este o de limite “hard” en limits.conf.
  617                         </para>
  618                         <para>
  619                             Por defecto: 8192 (o limite “hard” en limits.conf)
  620                         </para>
  621                     </listitem>
  622                 </varlistentry>
  623                 <varlistentry>
  624                     <term>client_idle_timeout</term>
  625                     <listitem>
  626                         <para>
  627                             Esta opción especifica el número de segundos que un cliente de un proceso
  628 SSSD puede conservar un descriptor de archivo sin comunicarse con él. Este
  629 valor está limitado con el objetivo de evitar el agotamiento de recursos del
  630 sistema. El tiempo de salida no puede ser más corto de 10 segundos. Si se
  631 configura un valor más bajo será ajustado a 10 segundos.
  632                         </para>
  633                         <para>
  634                             Default: 60, KCM: 300
  635                         </para>
  636                     </listitem>
  637                 </varlistentry>
  638                 <varlistentry>
  639                     <term>offline_timeout (entero)</term>
  640                     <listitem>
  641                         <para>
  642                             Cuando SSSD conmuta al modo fuera de línea la cantidad tiempo antes de que
  643 intente volver a estar en línea se incrementará en base al tiempo que ha
  644 estado desconectado.  Este valor es en segundos y se calcula mediante lo
  645 siguiente:
  646                         </para>
  647                         <para>
  648                              offline_timeout + random_offset
  649                         </para>
  650                         <para>
  651                             The random offset value is from 0 to 30.  After each unsuccessful attempt to
  652 go online, the new interval is recalculated by the following:
  653                         </para>
  654                         <para>
  655                             new_interval = (old_interval * 2) + random_offset
  656                         </para>
  657                         <para>
  658                             Note that the maximum length of each interval is defined by
  659 offline_timeout_max, which defaults to one hour. If the calculated length of
  660 new_interval is greater than offline_timeout_max, it will be forced to the
  661 offline_timeout_max value.
  662                         </para>
  663                         <para>
  664                             Predeterminado: 60
  665                         </para>
  666                     </listitem>
  667                 </varlistentry>
  668                 <varlistentry>
  669                     <term>offline_timeout_max (integer)</term>
  670                     <listitem>
  671                         <para>
  672                             Controls by how much the time between attempts to go online can be
  673 incremented following unsuccessful attempts to go online.
  674                         </para>
  675                         <para>
  676                             A value of 0 disables the incrementing behaviour.
  677                         </para>
  678                         <para>
  679                             The value of this parameter should be set in correlation to offline_timeout
  680 parameter value.
  681                         </para>
  682                         <para>
  683                             With offline_timeout set to 60 (default value) there is no point in setting
  684 offlinet_timeout_max to less than 120 as it will saturate instantly. General
  685 rule here should be to set offline_timeout_max to at least 4 times
  686 offline_timeout.
  687                         </para>
  688                         <para>
  689                             Although a value between 0 and offline_timeout may be specified, it has the
  690 effect of overriding the offline_timeout value so is of little use.
  691                         </para>
  692                         <para>
  693                             Default: 3600
  694                         </para>
  695                     </listitem>
  696                 </varlistentry>
  697                 <varlistentry>
  698                     <term>responder_idle_timeout</term>
  699                     <listitem>
  700                         <para>
  701                             Esta opción especifica el número de segundos que un proceso contestador SSSD
  702 puede estar levantado sin ser usado. Este valor está limitado con el
  703 objetivo de evitar el agotamiento de recursos del sistema.  El valor mínimo
  704 aceptable para esta opción es 60 segundos.  Fijar esta opción a 0 (cero)
  705 significa que se le ajustarña tiempo de espera al contestador.  Esta opción
  706 solo tiene efecto cuando SSSD está construido con soporte systemd y cuando
  707 los servicios activados son socket o D-Bus.
  708                         </para>
  709                         <para>
  710                             Predeterminado: 300
  711                         </para>
  712                     </listitem>
  713                 </varlistentry>
  714                 <varlistentry>
  715                     <term>cache_first</term>
  716                     <listitem>
  717                         <para>
  718                             Esta opción especifica si el contestador consultará todos los caches antes
  719 de consultar a los Proveedores de Datos.
  720                         </para>
  721                         <para>
  722                             Predeterminado: false
  723                         </para>
  724                     </listitem>
  725                 </varlistentry>
  726             </variablelist>
  727         </refsect2>
  728 
  729         <refsect2 id='NSS'>
  730             <title>Opciones de configuración de NSS</title>
  731             <para>
  732                 Estas opciones pueden ser usadas para configurar el servicio Name Service
  733 Switch (NSS).
  734             </para>
  735             <variablelist>
  736                 <varlistentry>
  737                     <term>enum_cache_timeout (entero)</term>
  738                     <listitem>
  739                         <para>
  740                             Cuantos segundos ocultaría enumeraciones nss_sss (peticiones de información
  741 sobre todos los usuarios)
  742                         </para>
  743                         <para>
  744                             Predeterminado: 120
  745                         </para>
  746                     </listitem>
  747                 </varlistentry>
  748                 <varlistentry>
  749                     <term>entry_cache_nowait_percentage (entero)</term>
  750                     <listitem>
  751                         <para>
  752                             La entrada a la cache puede ser fijada automáticamente para actualizar
  753 entradas en segundo plano si hay peticiones más allá de un porcentanje del
  754 valor de entry_cache_timeout para el dominio.
  755                         </para>
  756                         <para>
  757                             Por ejemplo, si entry_cache_timeout del dominio está fijado a 30 y
  758 entry_cache_nowait_percentage está fijado a 50 (por ciento), las entradas
  759 que vengan después de 15 segundos pasado el último cache serán devueltas
  760 inmediatamente, pero SSSD irá y actualizará el cache por el mismo, de modo
  761 que las futuras peticiones no necesitarán bloquearse a la espera de una
  762 actualización del cache.
  763                         </para>
  764                         <para>
  765                             Los valores válidos para esta opción son 0-99 y representan un porcentaje de
  766 entry_cache_timeout para cada dominio. Por razones de rendimiento, este
  767 porcentaje nunca reducirá el tiempo de salida de no espera a menos de 10
  768 segundos. (0 deshabilita esta función).
  769                         </para>
  770                         <para>
  771                             Predeterminado: 50
  772                         </para>
  773                     </listitem>
  774                 </varlistentry>
  775                 <varlistentry>
  776                     <term>entry_negative_timeout (entero)</term>
  777                     <listitem>
  778                         <para>
  779                             Especifica por cuantos segundos nss_sss escondería golpes negativos al cache
  780 (esto es, consultas para entradas no válidas a la base de datos, como
  781 entradas no existentes) antes de preguntar al punto final otra vez.
  782                         </para>
  783                         <para>
  784                             Predeterminado: 15
  785                         </para>
  786                     </listitem>
  787                 </varlistentry>
  788                 <varlistentry>
  789                     <term>local_negative_timeout (integer)</term>
  790                     <listitem>
  791                         <para>
  792                             Especifica por cuantos segundos nss_sss mantendría a los usuarios y grupos
  793 locales en cache negativo antes de intentar buscarlo en el extremo final
  794 otra vez. Fijando la opción a 0 deshabilita esta característica.
  795                         </para>
  796                         <para>
  797                             Por defecto: 14400 (4 horas)
  798                         </para>
  799                     </listitem>
  800                 </varlistentry>
  801                 <varlistentry>
  802                     <term>filter_users, filter_groups (cadena)</term>
  803                     <listitem>
  804                         <para>
  805                             Excluye a ciertos usuarios o grupos de ser recuperados de la base de datos
  806 sss NSS. Esto es particularmente útil para cuentas del sistema. Esta opción
  807 puede ser también establecida por dominio o incluir nombres completos para
  808 filtrar solo usuarios de un dominio concreto o por el nombre principal de
  809 usuario (UPN).
  810                         </para>
  811                         <para>
  812                             AVISO: La opción filter_groups no afecta a la herencia de miembros de grupos
  813 anidados, puesto que el filtrado sucede después de que hayan sido propagados
  814 para volver por medio de NSS. E.g. un grupo que tenga un miembro del grupo
  815 filtrado mantendrá los usuarios miembros del listado posterior.
  816                         </para>
  817                         <para>
  818                             Predeterminado: root
  819                         </para>
  820                     </listitem>
  821                 </varlistentry>
  822                 <varlistentry>
  823                     <term>filter_users_in_groups (bool)</term>
  824                     <listitem>
  825                         <para>
  826                             Si usted desea filtrar usuarios aunque sean miembros del grupo, fije esta
  827 opción a false.
  828                         </para>
  829                         <para>
  830                             Predeterminado: true
  831                         </para>
  832                     </listitem>
  833                 </varlistentry>
  834                 <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
  835                 <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
  836                 <varlistentry>
  837                     <term>fallback_homedir (cadena)</term>
  838                     <listitem>
  839                         <para>
  840                             Fija la plantilla por defecto para el direcorio home del usuario si no se ha
  841 especificado una explícitamente por el proveedor de datos del dominio.
  842                         </para>
  843                         <para>
  844                             Los valores disponibles para esta opción son los mismos que para
  845 override_homedir.
  846                         </para>
  847                         <para>
  848                             ejemplo: <programlisting>
  849 fallback_homedir = /home/%u
  850                             </programlisting>
  851                         </para>
  852                         <para>
  853                             Por defecto: no fijado (sin sustitución para los directorios home no
  854 fijados)
  855                         </para>
  856                     </listitem>
  857                 </varlistentry>
  858                 <varlistentry>
  859                     <term>override_shell (cadena)</term>
  860                     <listitem>
  861                         <para>
  862                             Anula el shell de acceso para todos los usuarios. Esta opción reemplaza
  863 cualquier otra opción de shell si tinene efecto y puede ser fijada bien en
  864 la sección [nss] o por dominio.
  865                         </para>
  866                         <para>
  867                             Por defecto: no fijado (SSSD usará el valor recuperado desde LDAP)
  868                         </para>
  869                     </listitem>
  870                 </varlistentry>
  871                 <varlistentry>
  872                     <term>allowed_shells (cadena)</term>
  873                     <listitem>
  874                         <para>
  875                             Restringe la shell de usuario a uno de los valores listados. El orden de
  876 evaluación es:
  877                         </para>
  878                         <para>
  879                             1. Si el shell está presente en <quote>/etc/shells</quote>, se usa.
  880                         </para>
  881                         <para>
  882                             2. Si el shell está en la lista allowed_shells pero no en
  883 <quote>/etc/shells</quote>, usa el valor del parámetro shell_fallback.
  884                         </para>
  885                         <para>
  886                             3. Si el shell no está en la lista allowed_shells y tampoco en
  887 <quote>/etc/shells</quote>, se usará un shell de no acceso.
  888                         </para>
  889                         <para>
  890                             Se puede usar el comodín (*) para permitir cualquier shell.
  891                         </para>
  892                         <para>
  893                             (*) es útil si usted desea usar shell_fallback en caso de que el shell del
  894 usuario no esté en <quote>/etc/shells</quote> y las lista que mantiene todos
  895 los shells permitidos en allowed_shells estuviera llena.
  896                         </para>
  897                         <para>
  898                             Una cadena vacía para el shell se pasa como-es a libc.
  899                         </para>
  900                         <para>
  901                             <quote>/etc/shells</quote> es de sólo lectura en el inicio SSSD, lo que
  902 significa que se requiere el reinicio del SSSD en el caso de que se instale
  903 una nueva shell.
  904                         </para>
  905                         <para>
  906                             Por defecto: No fijado. La shell del usuario se usa automáticamente.
  907                         </para>
  908                     </listitem>
  909                 </varlistentry>
  910                 <varlistentry>
  911                     <term>vetoed_shells (cadena)</term>
  912                     <listitem>
  913                         <para>
  914                             Reemplaza cualquier instancia de estos shells con shell_fallback
  915                         </para>
  916                     </listitem>
  917                 </varlistentry>
  918                 <varlistentry>
  919                     <term>shell_fallback (cadena)</term>
  920                     <listitem>
  921                         <para>
  922                             La shell por defecto a usar si una shell permitida no está instalada en la
  923 máquina.
  924                         </para>
  925                         <para>
  926                             Predeterminado: /bin/sh
  927                         </para>
  928                     </listitem>
  929                 </varlistentry>
  930                 <varlistentry>
  931                     <term>default_shell</term>
  932                     <listitem>
  933                         <para>
  934                             El shell por defecto a usar si el proveedor no devuelve uno durante la
  935 búsqueda. Esta opción puede ser especificada globalmente en la sección [nss]
  936 o por dominio.
  937                         </para>
  938                         <para>
  939                             Por defecto: no fijado (Devuelve NULL si no se ha especificado una shell y
  940 confía en libc para sustituir algo sensible cuando sea necesario,
  941 normalmente /bin/sh)
  942                         </para>
  943                     </listitem>
  944                 </varlistentry>
  945                 <varlistentry>
  946                     <term>get_domains_timeout (entero)</term>
  947                     <listitem>
  948                         <para>
  949                             Especifica el tiempo en segundos por los cuales la lista de subdominios será
  950 considerada válida.
  951                         </para>
  952                         <para>
  953                             Predeterminado: 60
  954                         </para>
  955                     </listitem>
  956                 </varlistentry>
  957                 <varlistentry>
  958                     <term>memcache_timeout (integer)</term>
  959                     <listitem>
  960                         <para>
  961                             Especifica el tiempo en segundos por el cual os registros en la memoria
  962 cache serán validos. Fijando esta opción o cero deshabilita la memoria
  963 cache.
  964                         </para>
  965                         <para>
  966                             Predeterminado: 300
  967                         </para>
  968                         <para>
  969                             PRECAUCIÓN: Deshabilitar la memoria cache puede llevar a un impacto negativo
  970 significativo sobre el rendimiento de SSSD y debería ser usado solo para
  971 pruebas.
  972                         </para>
  973                         <para>
  974                             AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO",
  975 las aplicaciones clientes no usaran la memoria cache rápida.
  976                         </para>
  977                     </listitem>
  978                 </varlistentry>
  979                 <varlistentry>
  980                     <term>memcache_size_passwd (integer)</term>
  981                     <listitem>
  982                         <para>
  983                             Size (in megabytes) of the data table allocated inside fast in-memory cache
  984 for passwd requests.  Setting the size to 0 will disable the passwd
  985 in-memory cache.
  986                         </para>
  987                         <para>
  988                             Predeterminado: 8
  989                         </para>
  990                         <para>
  991                             WARNING: Disabled or too small in-memory cache can have significant negative
  992 impact on SSSD's performance.
  993                         </para>
  994                         <para>
  995                             AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO",
  996 las aplicaciones clientes no usaran la memoria cache rápida.
  997                         </para>
  998                     </listitem>
  999                 </varlistentry>
 1000                 <varlistentry>
 1001                     <term>memcache_size_group (integer)</term>
 1002                     <listitem>
 1003                         <para>
 1004                             Size (in megabytes) of the data table allocated inside fast in-memory cache
 1005 for group requests.  Setting the size to 0 will disable the group in-memory
 1006 cache.
 1007                         </para>
 1008                         <para>
 1009                             Predeterminado: 6
 1010                         </para>
 1011                         <para>
 1012                             WARNING: Disabled or too small in-memory cache can have significant negative
 1013 impact on SSSD's performance.
 1014                         </para>
 1015                         <para>
 1016                             AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO",
 1017 las aplicaciones clientes no usaran la memoria cache rápida.
 1018                         </para>
 1019                     </listitem>
 1020                 </varlistentry>
 1021                 <varlistentry>
 1022                     <term>memcache_size_initgroups (integer)</term>
 1023                     <listitem>
 1024                         <para>
 1025                             Size (in megabytes) of the data table allocated inside fast in-memory cache
 1026 for initgroups requests.  Setting the size to 0 will disable the initgroups
 1027 in-memory cache.
 1028                         </para>
 1029                         <para>
 1030                             Predeterminado: 10
 1031                         </para>
 1032                         <para>
 1033                             WARNING: Disabled or too small in-memory cache can have significant negative
 1034 impact on SSSD's performance.
 1035                         </para>
 1036                         <para>
 1037                             AVISO: Si la variable de entorno SSS_NSS_USE_MEMCACHE estça fijada a "NO",
 1038 las aplicaciones clientes no usaran la memoria cache rápida.
 1039                         </para>
 1040                     </listitem>
 1041                 </varlistentry>
 1042                 <varlistentry>
 1043                     <term>user_attributes (string)</term>
 1044                     <listitem>
 1045                         <para>
 1046                             Algunas de las solicitudes de respuestas adicionales NSS pueden devolver mas
 1047 atributos que solos los de POXIS definido por el interfaz NSS. La lista de
 1048 atributos se controla con esta opción. Se maneja de la misma forma que la
 1049 opción <quote>user_attributes</quote> del contestador InfoPipe (see
 1050 <citerefentry> <refentrytitle>sssd-ifp</refentrytitle>
 1051 <manvolnum>5</manvolnum> </citerefentry> para mas detalles) pero sin valores
 1052 predeterminados.
 1053                         </para>
 1054                         <para>
 1055                             Para hacer mas fácil la configuración el contestador NSS comprobará la
 1056 opción InfoPipe si no está fijada para el contestador NSS.
 1057                         </para>
 1058                         <para>
 1059                             Por defecto: no ajustada, retroceder a opción InfoPipe
 1060                         </para>
 1061                     </listitem>
 1062                 </varlistentry>
 1063                 <varlistentry>
 1064                     <term>pwfield (cadena)</term>
 1065                     <listitem>
 1066                         <para>
 1067                             El valor que las operaciones NSS que devuelven usuarios o grupos devolverán
 1068 para el campo <quote>password</quote>.
 1069                         </para>
 1070                         <para>
 1071                             Default: <quote>*</quote>
 1072                         </para>
 1073                         <para>
 1074                             Note: This option can also be set per-domain which overwrites the value in
 1075 [nss] section.
 1076                         </para>
 1077                         <para>
 1078                             Default: <quote>not set</quote> (remote domains), <quote>x</quote> (the
 1079 files domain), <quote>x</quote> (proxy domain with nss_files and
 1080 sssd-shadowutils target)
 1081                         </para>
 1082                     </listitem>
 1083                 </varlistentry>
 1084             </variablelist>
 1085         </refsect2>
 1086         <refsect2 id='PAM'>
 1087             <title>Opciones de configuración PAM</title>
 1088             <para>
 1089                 Estas opciones pueden ser usadas para configurar el servicio Pluggable
 1090 Authentication Module (PAM)
 1091             </para>
 1092             <variablelist>
 1093                 <varlistentry>
 1094                     <term>offline_credentials_expiration (entero)</term>
 1095                     <listitem>
 1096                         <para>
 1097                             Si la autenticación del proveedor es fuera de línea, cuanto permitiríamos
 1098 los accesos escondidos (en días desde el último login en línea con éxito).
 1099                         </para>
 1100                         <para>
 1101                             Predeterminado: 0 (Sin límite)
 1102                         </para>
 1103                     </listitem>
 1104                 </varlistentry>
 1105 
 1106                 <varlistentry>
 1107                     <term>offline_failed_login_attempts (entero)</term>
 1108                     <listitem>
 1109                         <para>
 1110                             Si la autenticación del proveedor es fuera de línea, cuantos intentos de
 1111 login fallados están permitidos.
 1112                         </para>
 1113                         <para>
 1114                             Predeterminado: 0 (Sin límite)
 1115                         </para>
 1116                     </listitem>
 1117                 </varlistentry>
 1118 
 1119                 <varlistentry>
 1120                     <term>offline_failed_login_delay (entero)</term>
 1121                     <listitem>
 1122                         <para>
 1123                             El tiempo en minutos que ha de pasar después de que
 1124 offline_failed_login_attempts ha sido alcanzado antes de que un nuevo
 1125 intento de login sea posible.
 1126                         </para>
 1127                         <para>
 1128                             Si se fija en 0 el usuario no puede autenticarse fuerta de línea si se ha
 1129 alcanzado offline_failed_login_attempts. Sólo una autenticación en línea con
 1130 éxito puede habilitar otra vez la autenticación fuera de línea.
 1131                         </para>
 1132                         <para>
 1133                             Predeterminado: 5
 1134                         </para>
 1135                     </listitem>
 1136                 </varlistentry>
 1137 
 1138                 <varlistentry>
 1139                     <term>pam_verbosity (entero)</term>
 1140                     <listitem>
 1141                         <para>
 1142                             Controla qué tipo de mensajes se muestra al usuario durante la
 1143 autenticación. Cuanto mayor sea el número de mensajes más aparecen.
 1144                         </para>
 1145                         <para>
 1146                              Actualmente sssd soporta los siguientes valores:
 1147                         </para>
 1148                         <para>
 1149                              <emphasis>0</emphasis>: no mostrar ningún mensaje
 1150                         </para>
 1151                         <para>
 1152                              <emphasis>1</emphasis>: mostrar sólo mensajes importantes
 1153                         </para>
 1154                         <para>
 1155                              <emphasis>2</emphasis>: mostrar mensajes informativos
 1156                         </para>
 1157                         <para>
 1158                              <emphasis>3</emphasis>: mostrar todos los mensajes e información de
 1159 depuración
 1160                         </para>
 1161                         <para>
 1162                             Predeterminado: 1
 1163                         </para>
 1164                     </listitem>
 1165                 </varlistentry>
 1166 
 1167                 <varlistentry>
 1168                     <term>pam_response_filter (string)</term>
 1169                     <listitem>
 1170                         <para>
 1171                             Una lista separada por comas de cadenas que permiten borrar (filtrar) datos
 1172 enviados por el contestador PAM al modulo PAM pam_sss PAM. Hay diferentes
 1173 clases de respuestas enviadas a pam_sss e.g. mensajes mostrados al usuario o
 1174 variables de entorno que deberían ser fijadas por pam_sss.
 1175                         </para>
 1176                         <para>
 1177                             Como los mensajes ya pueden ser controlados con la ayuda de la opción
 1178 pam_verbosity esta opción permite filtrar otra clase de respuestas también.
 1179                         </para>
 1180                         <para>
 1181                             Actualmente se soportan los siguientes filtros: <variablelist>
 1182                                 <varlistentry><term>ENV</term>
 1183                                     <listitem><para>No envía ninguna variable de entorno a ningún servicio.</para></listitem>
 1184                                 </varlistentry>
 1185                                 <varlistentry><term>ENV:var_name</term>
 1186                                     <listitem><para>No envía la variable de entorno var_name a  ningún servicio.</para></listitem>
 1187                                 </varlistentry>
 1188                                 <varlistentry><term>ENV:var_name:service</term>
 1189                                     <listitem><para>No envía la variable de entorno var_name al servicio.</para></listitem>
 1190                                 </varlistentry>
 1191                             </variablelist>
 1192                         </para>
 1193                         <para>
 1194                             Predeterminado: no definido
 1195                         </para>
 1196                         <para>
 1197                             Ejemplo: ENV:KRB5CCNAME:sudo-i
 1198                         </para>
 1199                     </listitem>
 1200                 </varlistentry>
 1201 
 1202                 <varlistentry>
 1203                   <term>pam_id_timeout (entero)</term>
 1204                   <listitem>
 1205                     <para>
 1206                       Para cualquier petición PAM mientras SSSD está en línea, SSSD intentará
 1207 inmediatamente actualizar la información de identidad escondida por el
 1208 usuario con el objetivo de asegurar que la autenticación tiene lugar con la
 1209 información más actual.
 1210                     </para>
 1211                     <para>
 1212                       Una conversación PAM completa puede llevar a cabo múltiples peticiones PAM,
 1213 como gestión de cuenta y apertura de sesión. Esta opción controla (sobre una
 1214 base de por cliente-aplicación) cuanto (en segundos) podemos esconder la
 1215 información de identidad para evitar excesivos viajes de ida y vuelata al
 1216 proveedor de identidad.
 1217                     </para>
 1218                     <para>
 1219                       Predeterminado: 5
 1220                     </para>
 1221                   </listitem>
 1222                 </varlistentry>
 1223 
 1224                 <varlistentry>
 1225                   <term>pam_pwd_expiration_warning (entero)</term>
 1226                   <listitem>
 1227                     <para>
 1228                       Mostrar una advertencia N días antes que la contraseña caduque.
 1229                     </para>
 1230                     <para>
 1231                       Por favor advierta que el servidor de punto final tiene que suministrar
 1232 información sobre el tiempo de expiración de la contraseña. Si esta
 1233 información desaparece, sssd no podrá mostrar un aviso.
 1234                     </para>
 1235                     <para>
 1236                       Si está fijado cero, no se aplicará el filtro, esto es si se recibe una
 1237 advertencia de expiración desde el servidor final, se mostrará
 1238 automáticamente.
 1239                     </para>
 1240                     <para>
 1241                       Este ajuste puede ser anulado por el ajuste
 1242 <emphasis>pwd_expiration_warning</emphasis> para un dominio concreto.
 1243                     </para>
 1244                     <para>
 1245                       Predeterminado: 0
 1246                     </para>
 1247                   </listitem>
 1248                 </varlistentry>
 1249                 <varlistentry>
 1250                     <term>get_domains_timeout (entero)</term>
 1251                     <listitem>
 1252                         <para>
 1253                             Especifica el tiempo en segundos por los cuales la lista de subdominios será
 1254 considerada válida.
 1255                         </para>
 1256                         <para>
 1257                             Predeterminado: 60
 1258                         </para>
 1259                     </listitem>
 1260                 </varlistentry>
 1261                 <varlistentry>
 1262                     <term>pam_trusted_users (cadena)</term>
 1263                     <listitem>
 1264                         <para>
 1265                             Especifica la lista separada por comas de valores de UID o nombres de
 1266 usuarios que tienen permitidas conversaciones PAM contra dominios de
 1267 confianza.  Los usuarios no incluidos en esta lista pueden solo acceder a
 1268 dominios marcadoscomo públicos con <quote>pam_public_domains</quote>.  Los
 1269 nombres de usuarios se resuelven a UIDs en el arranque.
 1270                         </para>
 1271                         <para>
 1272                             Por defecto: Todos los usuarios se consideran de confianza por defecto
 1273                         </para>
 1274                         <para>
 1275                             Por favor advierta que la UID 0 siempre permite el acceso al contestador PAM
 1276 aunque no está en la la lista pam_trusted_users.
 1277                         </para>
 1278                     </listitem>
 1279                 </varlistentry>
 1280                 <varlistentry>
 1281                     <term>pam_public_domains (cadena)</term>
 1282                     <listitem>
 1283                         <para>
 1284                             Especifica la lista separada por comas de nombres de dominios que son
 1285 accesibles hasta para los usuarios en los que no se confíe.
 1286                         </para>
 1287                         <para>
 1288                             Hay definidos dos valores especiales para la opción pam_public_domains:
 1289                         </para>
 1290                         <para>
 1291                             all (Los usuarios de no confianza están permitidos para acceder a todos los
 1292 dominios en el contestador PAM.)
 1293                         </para>
 1294                         <para>
 1295                             none (Los usuarios de no confianza no tienen permitido acceder a los
 1296 dominios PAM en el contestador.)
 1297                         </para>
 1298                         <para>
 1299                             Predeterminado: none
 1300                         </para>
 1301                     </listitem>
 1302                 </varlistentry>
 1303                 <varlistentry>
 1304                     <term>pam_account_expired_message (cadena)</term>
 1305                     <listitem>
 1306                         <para>
 1307                            Permite configurar un mensaje de expiración personalizado, reemplazando el
 1308 mensaje predeterminado 'Permiso denegado'.
 1309                         </para>
 1310                         <para>
 1311                             Nota: Por favor tenga cuidado que este mensaje solo se imprime por el
 1312 servicio SSH a no ser que pam_verbosity esté fijado a 3 (mostrar todos los
 1313 mensajes e información de depuración).
 1314                         </para>
 1315                         <para>
 1316                             ejemplo: <programlisting>
 1317 pam_account_expired_message = Cuenta expirada, por favor contacte con la mesa de ayuda.
 1318                             </programlisting>
 1319                         </para>
 1320                         <para>
 1321                             Predeterminado: none
 1322                         </para>
 1323                     </listitem>
 1324                 </varlistentry>
 1325                 <varlistentry>
 1326                     <term>pam_account_locked_message (cadena)</term>
 1327                     <listitem>
 1328                         <para>
 1329                            Permite fijar un mensaje de bloqueo personalizado, reemplazando el mensaje
 1330 por defecto 'Permiso denegado'.
 1331                         </para>
 1332                         <para>
 1333                             ejemplo: <programlisting>
 1334 pam_account_locked_message = Cuenta bloqueada, por favor contacte con la mesa de ayuda.
 1335                             </programlisting>
 1336                         </para>
 1337                         <para>
 1338                             Predeterminado: none
 1339                         </para>
 1340                     </listitem>
 1341                 </varlistentry>
 1342                 <varlistentry>
 1343                     <term>pam_cert_auth (booleano)</term>
 1344                     <listitem>
 1345                         <para>
 1346                             Habilita un certificado en base a la autenticación Smartcard.  Como esto
 1347 requiere comunicación adicional con la Smartcard lo que dilatará el proceso
 1348 de autenticación esta opción está deshabilitada por defecto.
 1349                         </para>
 1350                         <para>
 1351                             Por defecto: False
 1352                         </para>
 1353                     </listitem>
 1354                 </varlistentry>
 1355                 <varlistentry>
 1356                     <term>pam_cert_db_path (cadena)</term>
 1357                     <listitem>
 1358                         <para>
 1359                             The path to the certificate database.
 1360                         </para>
 1361                         <para>
 1362                             Predeterminado:
 1363                             <itemizedlist>
 1364                                 <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA
 1365 certificates in PEM format)
 1366                                           </para>
 1367                                 </listitem>
 1368                             </itemizedlist>
 1369                         </para>
 1370                     </listitem>
 1371                 </varlistentry>
 1372                 <varlistentry>
 1373                     <term>p11_child_timeout (entero)</term>
 1374                     <listitem>
 1375                         <para>
 1376                             Cuantos segundos esperará pam_sss wait para que p11_child finalice.
 1377                         </para>
 1378                         <para>
 1379                             Predeterminado: 10
 1380                         </para>
 1381                     </listitem>
 1382                 </varlistentry>
 1383                 <varlistentry>
 1384                     <term>pam_app_services (cadena)</term>
 1385                     <listitem>
 1386                         <para>
 1387                             Cuales son los servicios PAM que tiene permitido contactar con dominios del
 1388 tipo <quote>application</quote>
 1389                         </para>
 1390                         <para>
 1391                             Por defecto: No definido
 1392                         </para>
 1393                     </listitem>
 1394                 </varlistentry>
 1395                 <varlistentry>
 1396                     <term>pam_p11_allowed_services (entero)</term>
 1397                     <listitem>
 1398                         <para>
 1399                             Una lista separada por comas de nombres de servicios PAM a los que les será
 1400 permitidos usar Smartcards.
 1401                         </para>
 1402                         <para>
 1403                             Es posible añadir otro nombre de servicio PAM al conjunto predeterminado
 1404 usando <quote>+service_name</quote> o quitar explícitamente nombre de
 1405 servicio PAM de los predeterminados usando <quote>-service_name</quote>. Por
 1406 ejemplo, con el objetivo de reemplazar un nombre de servicio PAM por
 1407 autenticación con Smartcards (e.g. <quote>login</quote>) con un nombre de
 1408 servicio PAM personalizado (e.g. <quote>my_pam_service</quote>), debería
 1409 usar la siguiente configuración: <programlisting>
 1410 pam_p11_allowed_services = +my_pam_service, -login
 1411                             </programlisting>
 1412                         </para>
 1413                         <para>
 1414                             Predeterminado: el conjunto predeterminado de nombres de servicio PAM
 1415 incluye:
 1416                             <itemizedlist>
 1417                                 <listitem>
 1418                                     <para>
 1419                                         login
 1420                                     </para>
 1421                                 </listitem>
 1422                                 <listitem>
 1423                                     <para>
 1424                                         su
 1425                                     </para>
 1426                                 </listitem>
 1427                                 <listitem>
 1428                                     <para>
 1429                                         su-l
 1430                                     </para>
 1431                                 </listitem>
 1432                                 <listitem>
 1433                                     <para>
 1434                                         gdm-smartcard
 1435                                     </para>
 1436                                 </listitem>
 1437                                 <listitem>
 1438                                     <para>
 1439                                         gdm-password
 1440                                     </para>
 1441                                 </listitem>
 1442                                 <listitem>
 1443                                     <para>
 1444                                         kdm
 1445                                     </para>
 1446                                 </listitem>
 1447                                 <listitem>
 1448                                     <para>
 1449                                         sudo
 1450                                     </para>
 1451                                 </listitem>
 1452                                 <listitem>
 1453                                     <para>
 1454                                         sudo-i
 1455                                     </para>
 1456                                 </listitem>
 1457                                 <listitem>
 1458                                     <para>
 1459                                         gnome-screensaver
 1460                                     </para>
 1461                                 </listitem>
 1462                             </itemizedlist>
 1463                         </para>
 1464                     </listitem>
 1465                 </varlistentry>
 1466                 <varlistentry>
 1467                     <term>p11_wait_for_card_timeout (entero)</term>
 1468                     <listitem>
 1469                         <para>
 1470                             Si se requiere la autenticación con Smartcard cuantos segundos extras se
 1471 añaden a p11_child_timeout para que el contestador PAM espera hasta que se
 1472 inserte la Smartcard.
 1473                         </para>
 1474                         <para>
 1475                             Predeterminado: 60
 1476                         </para>
 1477                     </listitem>
 1478                 </varlistentry>
 1479                 <varlistentry>
 1480                     <term>p11_uri (cadena)</term>
 1481                     <listitem>
 1482                         <para>
 1483                             PKCS#11 URI (ver detalles en RFC-7512) que puede ser usada para restringir
 1484 la selección de dspositivos usados por la autenticación Smartcard. Por
 1485 defecto p11_child de SSSD buscará una ranura (lector) PKCS#11 donde este
 1486 establecida la bandera 'removable' y lee los certificados de la ficha
 1487 insertada en la primera ranura encontrada. Si están conectados múltiples
 1488 lectores p11_uri puede ser usado para decir a p11_child que use un lector
 1489 específico.
 1490                         </para>
 1491                         <para>
 1492                             Ejemplo: <programlisting>
 1493 p11_uri = slot-description=My%20Smartcard%20Reader
 1494                             </programlisting> o <programlisting>
 1495 p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
 1496                             </programlisting> Para encontrar la URI adecuada compruebe por
 1497 favor la salida de depuración de p11_child. Como alternativa la utilidad
 1498 GnuTLS 'p11tool' con e.g. '--list-all' mostrará PKCS#11 URIs también.
 1499                         </para>
 1500                         <para>
 1501                             Predeterminado: none
 1502                         </para>
 1503                     </listitem>
 1504                 </varlistentry>
 1505                 <varlistentry>
 1506                     <term>pam_initgroups_scheme</term>
 1507                     <listitem>
 1508                         <para>
 1509                             The PAM responder can force an online lookup to get the current group
 1510 memberships of the user trying to log in. This option controls when this
 1511 should be done and the following values are allowed: <variablelist>
 1512                             <varlistentry><term>always</term>
 1513                                 <listitem><para>Always do an online lookup, please note that pam_id_timeout still applies</para></listitem>
 1514                             </varlistentry>
 1515                             <varlistentry><term>no_session</term>
 1516                                 <listitem><para>Only do an online lookup if there is no active session of the user, i.e. if
 1517 the user is currently not logged in</para></listitem>
 1518                             </varlistentry>
 1519                             <varlistentry><term>never</term>
 1520                                 <listitem><para>Never force an online lookup, use the data from the cache as long as they
 1521 are not expired</para></listitem>
 1522                             </varlistentry>
 1523                             </variablelist>
 1524                         </para>
 1525                         <para>
 1526                             Default: no_session
 1527                         </para>
 1528                     </listitem>
 1529                 </varlistentry>
 1530                 <varlistentry>
 1531                     <term>pam_gssapi_services</term>
 1532                     <listitem>
 1533                         <para>
 1534                             Comma separated list of PAM services that are allowed to try GSSAPI
 1535 authentication using pam_sss_gss.so module.
 1536                         </para>
 1537                         <para>
 1538                             To disable GSSAPI authentication, set this option to <quote>-</quote>
 1539 (dash).
 1540                         </para>
 1541                         <para>
 1542                             Note: This option can also be set per-domain which overwrites the value in
 1543 [pam] section. It can also be set for trusted domain which overwrites the
 1544 value in the domain section.
 1545                         </para>
 1546                         <para>
 1547                             Ejemplo: <programlisting>
 1548 pam_gssapi_services = sudo, sudo-i
 1549                             </programlisting>
 1550                         </para>
 1551                         <para>
 1552                             Default: - (GSSAPI authentication is disabled)
 1553                         </para>
 1554                     </listitem>
 1555                 </varlistentry>
 1556                 <varlistentry>
 1557                     <term>pam_gssapi_check_upn</term>
 1558                     <listitem>
 1559                         <para>
 1560                             If True, SSSD will require that the Kerberos user principal that
 1561 successfully authenticated through GSSAPI can be associated with the user
 1562 who is being authenticated. Authentication will fail if the check fails.
 1563                         </para>
 1564                         <para>
 1565                             If False, every user that is able to obtained required service ticket will
 1566 be authenticated.
 1567                         </para>
 1568                         <para>
 1569                             Note: This option can also be set per-domain which overwrites the value in
 1570 [pam] section. It can also be set for trusted domain which overwrites the
 1571 value in the domain section.
 1572                         </para>
 1573                         <para>
 1574                             Predeterminado: True
 1575                         </para>
 1576                     </listitem>
 1577                 </varlistentry>
 1578                 <varlistentry>
 1579                     <term>pam_gssapi_indicators_map</term>
 1580                     <listitem>
 1581                         <para>
 1582                            Comma separated list of authentication indicators required to be present in
 1583 a Kerberos ticket to access a PAM service that is allowed to try GSSAPI
 1584 authentication using pam_sss_gss.so module.
 1585                         </para>
 1586                         <para>
 1587                            Each element of the list can be either an authentication indicator name or a
 1588 pair <quote>service:indicator</quote>. Indicators not prefixed with the PAM
 1589 service name will be required to access any PAM service configured to be
 1590 used with <option>pam_gssapi_services</option>. A resulting list of
 1591 indicators per PAM service is then checked against indicators in the
 1592 Kerberos ticket during authentication by pam_sss_gss.so. Any indicator from
 1593 the ticket that matches the resulting list of indicators for the PAM service
 1594 would grant access. If none of the indicators in the list match, access will
 1595 be denied. If the resulting list of indicators for the PAM service is empty,
 1596 the check will not prevent the access.
 1597                         </para>
 1598                         <para>
 1599                            To disable GSSAPI authentication indicator check, set this option to
 1600 <quote>-</quote> (dash). To disable the check for a specific PAM service,
 1601 add <quote>service:-</quote>.
 1602                         </para>
 1603                         <para>
 1604                            Note: This option can also be set per-domain which overwrites the value in
 1605 [pam] section. It can also be set for trusted domain which overwrites the
 1606 value in the domain section.
 1607                         </para>
 1608                         <para>
 1609                             Following authentication indicators are supported by IPA Kerberos
 1610 deployments:
 1611                             <itemizedlist>
 1612                                 <listitem>
 1613                                     <para>pkinit -- pre-authentication using X.509 certificates -- whether stored in
 1614 files or on smart cards.</para>
 1615                                 </listitem>
 1616                                 <listitem>
 1617                                     <para>hardened -- SPAKE pre-authentication or any pre-authentication wrapped in a
 1618 FAST channel.</para>
 1619                                 </listitem>
 1620                                 <listitem>
 1621                                     <para>radius -- pre-authentication with the help of a RADIUS server.</para>
 1622                                 </listitem>
 1623                                 <listitem>
 1624                                     <para>otp -- pre-authentication using integrated two-factor authentication (2FA or
 1625 one-time password, OTP) in IPA.</para>
 1626                                 </listitem>
 1627                             </itemizedlist>
 1628                         </para>
 1629                         <para>
 1630                             Example: to require access to SUDO services only for users which obtained
 1631 their Kerberos tickets with a X.509 certificate pre-authentication (PKINIT),
 1632 set <programlisting>
 1633 pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
 1634                             </programlisting>
 1635                         </para>
 1636                         <para>
 1637                             Default: not set (use of authentication indicators is not required)
 1638                         </para>
 1639                     </listitem>
 1640                 </varlistentry>
 1641             </variablelist>
 1642         </refsect2>
 1643 
 1644         <refsect2 id='SUDO' condition="with_sudo">
 1645             <title>SUDO opciones de configuración</title>
 1646             <para>
 1647                 Se pueden usar estas opciones para configurar el servicio sudo.  Las
 1648 instrucciones detalladas para la configuración de <citerefentry>
 1649 <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>
 1650 para trabajar con <citerefentry> <refentrytitle>sssd</refentrytitle>
 1651 <manvolnum>8</manvolnum> </citerefentry> están en la página de manual
 1652 <citerefentry> <refentrytitle>sssd-sudo</refentrytitle>
 1653 <manvolnum>5</manvolnum> </citerefentry>.
 1654             </para>
 1655             <variablelist>
 1656                 <varlistentry>
 1657                     <term>sudo_timed (booleano)</term>
 1658                     <listitem>
 1659                         <para>
 1660                             Si se evalúan o no los atributos sudoNotBefore y sudoNotAfter que implementa
 1661 entradas de sudoers dependientes del tiempo.
 1662                         </para>
 1663                         <para>
 1664                             Predeterminado: false
 1665                         </para>
 1666                     </listitem>
 1667                 </varlistentry>
 1668             </variablelist>
 1669             <variablelist>
 1670                 <varlistentry>
 1671                     <term>sudo_threshold (entero)</term>
 1672                     <listitem>
 1673                         <para>
 1674                             Número máxio de reflas expiradas que pueden ser refrescadas a la vez. Si el
 1675 número de reglas expiradas está por debajo del umbral son refrescadas con el
 1676 mecanismo <quote>refrescar reglas</quote> mechanism. SI se supera el umbral
 1677 un <quote>refresco total</quote> de reglas sudo se dispara en su lugar. Este
 1678 umbral también se aplica al comando IPA sudo y a las búsquedas de grupo de
 1679 comando.
 1680                         </para>
 1681                         <para>
 1682                             Predeterminado: 50
 1683                         </para>
 1684                     </listitem>
 1685                 </varlistentry>
 1686             </variablelist>
 1687         </refsect2>
 1688 
 1689         <refsect2 id='AUTOFS' condition="with_autofs">
 1690             <title>Opciones de configuración AUTOFS</title>
 1691             <para>
 1692                 Estas opciones pueden ser usadas para configurar el servicio autofs.
 1693             </para>
 1694             <variablelist>
 1695                 <varlistentry>
 1696                     <term>autofs_negative_timeout (entero)</term>
 1697                     <listitem>
 1698                         <para>
 1699                             Especifica cuantos segundos debería el respondedor negativo autofs esconder
 1700 golpes (esto es, consultas a entradas de mapa no válidad, como las no
 1701 existentes) antes de preguntar al punto final otra vez.
 1702                         </para>
 1703                         <para>
 1704                             Predeterminado: 15
 1705                         </para>
 1706                     </listitem>
 1707                 </varlistentry>
 1708             </variablelist>
 1709             <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" />
 1710         </refsect2>
 1711 
 1712         <refsect2 id='SSH' condition="with_ssh">
 1713             <title>Opciones de configuración SSH</title>
 1714             <para>
 1715                 Estas opciones se pueden usar para configurar el servicio SSH.
 1716             </para>
 1717             <variablelist>
 1718                 <varlistentry>
 1719                     <term>ssh_hash_known_hosts (booleano)</term>
 1720                     <listitem>
 1721                         <para>
 1722                             Si se pican o no los nombres y las direcciones de host en fichero gestionado
 1723 known_host. 
 1724                         </para>
 1725                         <para>
 1726                             Predeterminado: true
 1727                         </para>
 1728                     </listitem>
 1729                 </varlistentry>
 1730                 <varlistentry>
 1731                     <term>ssh_known_hosts_timeout (entero)</term>
 1732                     <listitem>
 1733                         <para>
 1734                             Cuantos segundos se mantiene un host en el fichero known_hosts gestionados
 1735 después de que se hayan pedido sus claves de host.
 1736                         </para>
 1737                         <para>
 1738                             Por defecto: 180
 1739                         </para>
 1740                     </listitem>
 1741                 </varlistentry>
 1742                 <varlistentry>
 1743                     <term>ssh_use_certificate_keys (booleano)</term>
 1744                     <listitem>
 1745                         <para>
 1746                             Si se ajusta a true <command>sss_ssh_authorizedkeys</command> devolverá
 1747 claves ssh derivadas de la clave pública de los certificados X.509
 1748 almacenados en la entrada de usuario también. Vea detalles en <citerefentry>
 1749 <refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
 1750 <manvolnum>1</manvolnum> </citerefentry> for details.
 1751                         </para>
 1752                         <para>
 1753                             Predeterminado: true
 1754                         </para>
 1755                     </listitem>
 1756                 </varlistentry>
 1757                 <varlistentry>
 1758                     <term>ssh_use_certificate_matching_rules (cadena)</term>
 1759                     <listitem>
 1760                         <para>
 1761                             Por defecto el contestador ssh usará todos los certificados disponibles que
 1762 coincidan con las reglas para filtrar los certificados de modo que las
 1763 claves ssh solo se derivarán a los que coincidan. Con esta opción las reglas
 1764 usadas pueden ser restringidas con una lista separada por comas de nombres
 1765 de reglas que coincidan y mapeen. Todas las demás reglas serán ignoradas.
 1766                         </para>
 1767                         <para>
 1768                             There are two special key words 'all_rules' and 'no_rules' which will enable
 1769 all or no rules, respectively. The latter means that no certificates will be
 1770 filtered out and ssh keys will be generated from all valid certificates.
 1771                         </para>
 1772                         <para>
 1773                             If no rules are configured using 'all_rules' will enable a default rule
 1774 which enables all certificates suitable for client authentication.  This is
 1775 the same behavior as for the PAM responder if certificate authentication is
 1776 enabled.
 1777                         </para>
 1778                         <para>
 1779                             A non-existing rule name is considered an error.  If as a result no rule is
 1780 selected all certificates will be ignored.
 1781                         </para>
 1782                         <para>
 1783                             Default: not set, equivalent to 'all_rules', all found rules or the default
 1784 rule are used
 1785                         </para>
 1786                     </listitem>
 1787                 </varlistentry>
 1788                 <varlistentry>
 1789                     <term>ca_db (cadena)</term>
 1790                     <listitem>
 1791                         <para>
 1792                             Ruta al almacenamiento de certificados CA de confianza. Esta opción se usa
 1793 para validar los certificados de usuario antes de derivar las claves
 1794 públicas ssh de ellos.
 1795                         </para>
 1796                         <para>
 1797                             Predeterminado:
 1798                             <itemizedlist>
 1799                                 <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA
 1800 certificates in PEM format)
 1801                                           </para>
 1802                                 </listitem>
 1803                             </itemizedlist>
 1804                         </para>
 1805                     </listitem>
 1806                 </varlistentry>
 1807             </variablelist>
 1808         </refsect2>
 1809 
 1810         <refsect2 id='PAC_RESPONDER' condition="with_pac_responder">
 1811             <title>Opciones de configuración del respondedor PAC</title>
 1812             <para>
 1813                 El contestador PAC trabaja junto con el plugin de autorización de datos para
 1814 MIT Kerberos sssd_pac_plugin.so y un proveedor de sub dominios. El plugin
 1815 envía los datos PAC durante la autenticación GSSAPI al contestador PAC. El
 1816 proveedor de sub dominio recoge el SID de dominio y los rangos de ID del
 1817 dominio al que el cliente se ha unido y de los dominios remotos de confianza
 1818 desde el controlador local de dominio. Si el PAC es decodificado y evaluado
 1819 se hacen algunas de las siguientes operaciones:
 1820                 <itemizedlist>
 1821                     <listitem><para>Si el usuario remoto no existe en la cache, se crea. Se determina la UID con
 1822 la ayuda del SID, los dominios de confianza tendrán UPGs y el GID tendrá el
 1823 mismo valor que la UID. El directorio home se ajusta en base al parámetro
 1824 subdomain_homedir. La shell estará vacía por defecto, i.e. se usa el sistema
 1825 predeterminado, pero se puede sustituir con el parámetro default_shell.</para>
 1826                     </listitem>
 1827                     <listitem><para>Si se conocen los SIDs de los grupos de los dominios, se añadirá el usuario
 1828 a esos grupos.
 1829                     </para></listitem>
 1830                 </itemizedlist>
 1831             </para>
 1832             <para>
 1833                 Estas opciones pueden ser usadas para configurar el respondedor PAC.
 1834             </para>
 1835             <variablelist>
 1836                 <varlistentry>
 1837                     <term>allowed_uids (cadena)</term>
 1838                     <listitem>
 1839                         <para>
 1840                             Especifica la lista separada por comas de los valores UID o nombres de
 1841 usuario que tiene el acceso permitido al respondedor PAC.
 1842                         </para>
 1843                         <para>
 1844                             Por defecto: 0 (sólo el usuario root tiene permitido el acceso al
 1845 respondedor PAC)
 1846                         </para>
 1847                         <para>
 1848                             Por favor advierta que aunque la UID 0 se usa por defecto será anulada con
 1849 esta opción. Si usted deses todavía permitir al usuario root acceder al
 1850 respondedor PAC, que sería el caso típico, usted tiene que añadir 0 a la
 1851 lista de UIDs permitidas también.
 1852                         </para>
 1853                     </listitem>
 1854                 </varlistentry>
 1855                 <varlistentry>
 1856                     <term>pac_lifetime (entero)</term>
 1857                     <listitem>
 1858                         <para>
 1859                             Tiempo de vida de la entrada PAC en segundos. Tanto como la PAC es válida
 1860 los datos PAC pueden ser usados para determinar la membresia de grupo de un
 1861 usuario.
 1862                         </para>
 1863                         <para>
 1864                             Predeterminado: 300
 1865                         </para>
 1866                     </listitem>
 1867                 </varlistentry>
 1868             </variablelist>
 1869         </refsect2>
 1870 
 1871         <refsect2 id='SESSION_RECORDING'>
 1872             <title>Opciones de configuración de la grabación de sesión</title>
 1873             <para>
 1874                 Trabajos de grabación de sesión en conjunto con <citerefentry>
 1875 <refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum>
 1876 </citerefentry>, una parte del paquete tlog, para registrar lo que los
 1877 usuarios ven y el tipo cuando ellos lo registran en un terminal de texto.
 1878 Vea también <citerefentry>
 1879 <refentrytitle>sssd-session-recording</refentrytitle>
 1880 <manvolnum>5</manvolnum> </citerefentry>.
 1881             </para>
 1882             <para>
 1883                 Se pueden usar estas opciones para configurar la grabación de sesión.
 1884             </para>
 1885             <variablelist>
 1886                 <varlistentry>
 1887                     <term>scope (cadena)</term>
 1888                     <listitem>
 1889                         <para>
 1890                             Una de las siguientes cadena especifica el alcande de la sesión de
 1891 grabación: <variablelist>
 1892                                 <varlistentry>
 1893                                     <term>"none"</term>
 1894                                     <listitem>
 1895                                         <para>
 1896                                             NO se grabaron usuarios.
 1897                                         </para>
 1898                                     </listitem>
 1899                                 </varlistentry>
 1900                                 <varlistentry>
 1901                                     <term>"some"</term>
 1902                                     <listitem>
 1903                                         <para>
 1904                                             Usuarios/grupos especificados por las opciones
 1905 <replaceable>users</replaceable> y<replaceable>groups</replaceable> son
 1906 grabados.
 1907                                         </para>
 1908                                     </listitem>
 1909                                 </varlistentry>
 1910                                 <varlistentry>
 1911                                     <term>"all"</term>
 1912                                     <listitem>
 1913                                         <para>
 1914                                             Se graban todos los usuarios.
 1915                                         </para>
 1916                                     </listitem>
 1917                                 </varlistentry>
 1918                             </variablelist>
 1919                         </para>
 1920                         <para>
 1921                             Predeterminado: "none"
 1922                         </para>
 1923                     </listitem>
 1924                 </varlistentry>
 1925                 <varlistentry>
 1926                     <term>users (cadena)</term>
 1927                     <listitem>
 1928                         <para>
 1929                             Una lista separada por comas de usuarios que deberían tener la grabación de
 1930 sesión habilitada. Coincide con los nombres de usuario que son devueltos por
 1931 NSS. I.e. después de las posibles sustituciones de espacios, cambios de
 1932 mayúsculas/minúsculas, etc.
 1933                         </para>
 1934                         <para>
 1935                             Predeterminado: Vacío. No hay usuarios coincidentes.
 1936                         </para>
 1937                     </listitem>
 1938                 </varlistentry>
 1939                 <varlistentry>
 1940                     <term>groups (cadena)</term>
 1941                     <listitem>
 1942                         <para>
 1943                             Una lista separada por comas de grupos, cuyos miembros tendrían habilitado
 1944 la grabación de sesión. Coincide con los nombres de grupo devueltos por
 1945 NSS. I.e. después de los posibles cambios de espacio, cambios de
 1946 mayúsculas/minúsculas, etc.
 1947                         </para>
 1948                         <para>
 1949                             AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un
 1950 costo considerable de rendimiento, puesto que cada petición sin caché para
 1951 un usuario requiere a recuperación y el emparejado de los grupos a los que
 1952 pertenece el usuario.
 1953                         </para>
 1954                         <para>
 1955                             Predeterminado: Vacío. No empareja grupos.
 1956                         </para>
 1957                     </listitem>
 1958                 </varlistentry>
 1959                 <varlistentry>
 1960                     <term>exclude_users (string)</term>
 1961                     <listitem>
 1962                         <para>
 1963                             A comma-separated list of users to be excluded from recording, only
 1964 applicable with 'scope=all'.
 1965                         </para>
 1966                         <para>
 1967                             Default: Empty. No users excluded.
 1968                         </para>
 1969                     </listitem>
 1970                 </varlistentry>
 1971                 <varlistentry>
 1972                     <term>exclude_groups (string)</term>
 1973                     <listitem>
 1974                         <para>
 1975                             A comma-separated list of groups, members of which should be excluded from
 1976 recording. Only applicable with 'scope=all'.
 1977                         </para>
 1978                         <para>
 1979                             AVISO: el uso de esta opción (teniéndolo ajustado a cualquiera) tiene un
 1980 costo considerable de rendimiento, puesto que cada petición sin caché para
 1981 un usuario requiere a recuperación y el emparejado de los grupos a los que
 1982 pertenece el usuario.
 1983                         </para>
 1984                         <para>
 1985                             Default: Empty. No groups excluded.
 1986                         </para>
 1987                     </listitem>
 1988                 </varlistentry>
 1989             </variablelist>
 1990         </refsect2>
 1991 
 1992     </refsect1>
 1993 
 1994     <refsect1 id='domain-sections'>
 1995         <title>SECCIONES DE DOMINIO</title>
 1996         <para>
 1997             Estas opciones de configuración pueden estar presentes en la sección
 1998 configuración de dominio, esto es, en una sección llamada
 1999 <quote>[domain/<replaceable>NAME</replaceable>]</quote> <variablelist>
 2000                 <varlistentry>
 2001                     <term>enabled</term>
 2002                     <listitem>
 2003                         <para>
 2004                             Explicitly enable or disable the domain. If <quote>true</quote>, the domain
 2005 is always <quote>enabled</quote>. If <quote>false</quote>, the domain is
 2006 always <quote>disabled</quote>. If this option is not set, the domain is
 2007 enabled only if it is listed in the domains option in the
 2008 <quote>[sssd]</quote> section.
 2009                         </para>
 2010                     </listitem>
 2011                 </varlistentry>
 2012 
 2013                 <varlistentry>
 2014                     <term>domain_type (cadena)</term>
 2015                     <listitem>
 2016                         <para>
 2017                             Especifica si el dominio está destinado a ser usado por clientes atentos a
 2018 POSIX como Name Service Switch o por aplicaciones que no necesitan datos
 2019 POSIX presentes o generados. Solo los objetos de dominios POSIX están
 2020 disponibles para las interfaces y utilidades de sistema operativo.
 2021                         </para>
 2022                         <para>
 2023                             Los valores permitidos para esta opción son <quote>posix</quote> y
 2024 <quote>application</quote>.
 2025                         </para>
 2026                         <para>
 2027                             Los dominios POSIX son alcanzables por todos los servicios. Los dominios
 2028 aplicación son solo alcanzables desde el contestador InfoPipe (vea
 2029 <citerefentry> <refentrytitle>sssd-ifp</refentrytitle>
 2030 <manvolnum>5</manvolnum> </citerefentry>) y el contestador PAM.
 2031                         </para>
 2032                         <para>
 2033                             AVISO: LOs dominios aplicación actualmente están bien probados solamente con
 2034 <quote>id_provider=ldap</quote>.
 2035                         </para>
 2036                         <para>
 2037                             Para una manera fácil de configurar dominios no POSIX, vea la sección
 2038 <quote>Dominios aplicación</quote>.
 2039                         </para>
 2040                         <para>
 2041                             Predeterminado: posix
 2042                         </para>
 2043                     </listitem>
 2044                 </varlistentry>
 2045 
 2046                 <varlistentry>
 2047                     <term>min_id, max_id (entero)</term>
 2048                     <listitem>
 2049                         <para>
 2050                             Límites de UID y GID para el dominio. Si un dominio contiene una entrada que
 2051 está fuera de estos límites, ésta es ignorada.
 2052                         </para>
 2053                         <para>
 2054                             Para usuarios, esto afecta al límite primario GID. El usuario no será
 2055 devuelto a NSS si bien la UID o el GID primario está fuera de rango. Para
 2056 los miembros de grupos no primarios, aquellos que estén en rango serán
 2057 reportados como en espera.
 2058                         </para>
 2059                         <para>
 2060                             Estos límites de ID afectan aunque se guarden entrada en la caché, no solo
 2061 devolviéndolas por nombre o ID.
 2062                         </para>
 2063                         <para>
 2064                             Predeterminado: 1 para min_id, 0 (sin límite) para max_id
 2065                         </para>
 2066                     </listitem>
 2067                 </varlistentry>
 2068 
 2069                 <varlistentry>
 2070                     <term>enumerar (bool)</term>
 2071                     <listitem>
 2072                         <para>
 2073                             Determina si un dominio puede ser enumerado, esto es, si el dominio puede
 2074 listar tods los usuarios y grupos que contiene. Advierta que no requiere
 2075 habilitar la enumeración con el objetivo de visualizar grupos
 2076 secundarios. Este parámetros puede tener uno de los siguientes valores:
 2077                         </para>
 2078                         <para>
 2079                             TRUE = Usuarios y grupos son enumerados
 2080                         </para>
 2081                         <para>
 2082                             FALSE = Sin enumeraciones para este dominio
 2083                         </para>
 2084                         <para>
 2085                             Predeterminado: FALSE
 2086                         </para>
 2087                         <para>
 2088                             Enumerar un dominio requiere que SSSD descargue y almacene TODAS las
 2089 entradas de usuario y grupo del servidor remoto.
 2090                         </para>
 2091                         <para>
 2092                             Aviso: Habilitar la enumeración tiene un impacto moderado en el rendimiento
 2093 sobre SSSD mientras está corriendo la enumeración. Puede llevar varios
 2094 minutos después de que SSSD inicie una enumeración completa total.  Durante
 2095 este tiempo, las peticiones individuales de información irán directamente a
 2096 LDAP, piense que puede ser lento, debido al pesado procesamiento de la
 2097 enumeración. El guardar gran número de entradas en la caché después de una
 2098 enumeración completa puede ser también intensiva para la CPU puesto que la
 2099 membresía debe ser vuelta a computar. Esto puede llevar a que el proceso
 2100 <quote>sssd_be</quote> no responda o que sea reiniciado por el perro
 2101 guardián interno.
 2102                         </para>
 2103                         <para>
 2104                             Mientras está corriendo la primera enumeración, peticiones para el usuario
 2105 completo o listas de grupo pueden no devolver resultados hasta que se
 2106 completen.
 2107                         </para>
 2108                         <para>
 2109                             Adicionalmente, la habilitación de la enumeración puede incrementar el
 2110 tiempo necesario para detectar la desconexión de red, tanto como los tiempos
 2111 de espera necesarios para asegurar que las búsquedas de enumeración se han
 2112 completado. Para más información vea las páginas de manual para el
 2113 específico id_provider en uso.
 2114                         </para>
 2115                         <para>
 2116                             Por las razones citadas arriba, no se recomienda habilitar la enumeración,
 2117 especialmente en entornos grandes.
 2118                         </para>
 2119                     </listitem>
 2120                 </varlistentry>
 2121 
 2122                 <varlistentry>
 2123                     <term>subdomain_enumerate (cadena)</term>
 2124                     <listitem>
 2125                         <para>
 2126                             Si se debe enumerar alguno de los dominios de confianza autodetectados. Los
 2127 valores soportados son: <variablelist>
 2128                                 <varlistentry>
 2129                                     <term>all</term>
 2130                                     <listitem><para>Se enumerarán todos los dominios de confianza descubiertos</para></listitem>
 2131                                 </varlistentry>
 2132                                 <varlistentry>
 2133                                     <term>none</term>
 2134                                     <listitem><para>No serán enumerados dominios de confianza descubiertos</para></listitem>
 2135                                 </varlistentry>
 2136                             </variablelist>
 2137 Opcionalmente, una lista de uno o más nombres de dominio puede habilitar la
 2138 enumeración solo para estos dominios de confianza.
 2139                         </para>
 2140                         <para>
 2141                             Predeterminado: none
 2142                         </para>
 2143                     </listitem>
 2144                 </varlistentry>
 2145 
 2146                 <varlistentry>
 2147                     <term>entry_cache_timeout (entero)</term>
 2148                     <listitem>
 2149                         <para>
 2150                             Cuántos segundos debe considerar nss_sss  como válidas las entradas antes de
 2151 volver a consultar al backend
 2152                         </para>
 2153                         <para>
 2154                             Los sellos de tiempo de expiración de caché son almacenados somo atributos
 2155 de los objetos individuales en caché. Por lo tanto, el cambio del tiempo de
 2156 expiración de la caché solo tendrá efecto para las entradas más nuevas o
 2157 expiradas.  Debería ejecutar la herramienta <citerefentry>
 2158 <refentrytitle>sss_cache</refentrytitle> <manvolnum>8</manvolnum>
 2159 </citerefentry> con el objetivo de forzar el refresco de las entradas que ya
 2160 están en la caché.
 2161                         </para>
 2162                         <para>
 2163                             Predeterminado: 5400
 2164                         </para>
 2165                     </listitem>
 2166                 </varlistentry>
 2167 
 2168                 <varlistentry>
 2169                     <term>entry_cache_user_timeout (entero)</term>
 2170                     <listitem>
 2171                         <para>
 2172                             Cuantos segundos debería nss_sss considerar las entradas de usuario válidas
 2173 antes de preguntar al punto final otra vez.
 2174                         </para>
 2175                         <para>
 2176                             Por defecto: entry_cache_timeout
 2177                         </para>
 2178                     </listitem>
 2179                 </varlistentry>
 2180 
 2181                 <varlistentry>
 2182                     <term>entry_cache_group_timeout (entero)</term>
 2183                     <listitem>
 2184                         <para>
 2185                             Cuantos segundos debería nss_sss considerar las entradas de grupo válidas
 2186 antes de preguntar al punto final otra vez.
 2187                         </para>
 2188                         <para>
 2189                             Por defecto: entry_cache_timeout
 2190                         </para>
 2191                     </listitem>
 2192                 </varlistentry>
 2193 
 2194                 <varlistentry>
 2195                     <term>entry_cache_netgroup_timeout (entero)</term>
 2196                     <listitem>
 2197                         <para>
 2198                             Cuantos segundos debería nss_sss considerar las entradas de grupo de red
 2199 válidas antes de preguntar al punto final otra vez.
 2200                         </para>
 2201                         <para>
 2202                             Por defecto: entry_cache_timeout
 2203                         </para>
 2204                     </listitem>
 2205                 </varlistentry>
 2206 
 2207                 <varlistentry>
 2208                     <term>entry_cache_service_timeout (entero)</term>
 2209                     <listitem>
 2210                         <para>
 2211                             Cuantos segundos debería nss_sss considerar las entradas de servicio válidas
 2212 antes de preguntar al punto final otra vez.
 2213                         </para>
 2214                         <para>
 2215                             Por defecto: entry_cache_timeout
 2216                         </para>
 2217                     </listitem>
 2218                 </varlistentry>
 2219 
 2220                 <varlistentry>
 2221                     <term>entry_cache_resolver_timeout (integer)</term>
 2222                     <listitem>
 2223                         <para>
 2224                             How many seconds should nss_sss consider hosts and networks entries valid
 2225 before asking the backend again
 2226                         </para>
 2227                         <para>
 2228                             Por defecto: entry_cache_timeout
 2229                         </para>
 2230                     </listitem>
 2231                 </varlistentry>
 2232 
 2233                 <varlistentry condition="with_sudo">
 2234                     <term>entry_cache_sudo_timeout (entero)</term>
 2235                     <listitem>
 2236                         <para>
 2237                             Cuantos segundos debería considerar las regulas sudo válidas antes de
 2238 preguntar al backend otra vez.
 2239                         </para>
 2240                         <para>
 2241                             Por defecto: entry_cache_timeout
 2242                         </para>
 2243                     </listitem>
 2244                 </varlistentry>
 2245 
 2246                 <varlistentry condition="with_autofs">
 2247                     <term>entry_cache_autofs_timeout (entero)</term>
 2248                     <listitem>
 2249                         <para>
 2250                             Cuantos segundos deberá considerar el servicio autofs los mapas de
 2251 automontaje válidos antes de preguntar al punto final otra vez.
 2252                         </para>
 2253                         <para>
 2254                             Por defecto: entry_cache_timeout
 2255                         </para>
 2256                     </listitem>
 2257                 </varlistentry>
 2258 
 2259                 <varlistentry condition="with_ssh">
 2260                     <term>entry_cache_ssh_host_timeout (entero)</term>
 2261                     <listitem>
 2262                         <para>
 2263                             Cuantos segundos mantener una clave ssh de host después de refrescar. IE
 2264 cuanto guardar en caché la clave de host.
 2265                         </para>
 2266                         <para>
 2267                             Por defecto: entry_cache_timeout
 2268                         </para>
 2269                     </listitem>
 2270                 </varlistentry>
 2271 
 2272                 <varlistentry>
 2273                     <term>entry_cache_computer_timeout (integer)</term>
 2274                     <listitem>
 2275                         <para>
 2276                             How many seconds to keep the local computer entry before asking the backend
 2277 again
 2278                         </para>
 2279                         <para>
 2280                             Por defecto: entry_cache_timeout
 2281                         </para>
 2282                     </listitem>
 2283                 </varlistentry>
 2284 
 2285                 <varlistentry>
 2286                     <term>refresh_expired_interval (entero)</term>
 2287                     <listitem>
 2288                         <para>
 2289                             Especifica cuantos segundos tiene que esperar SSSD antes de disparar una
 2290 tarea de refresco en segundo plano que refrescará todos los registros
 2291 expirados o a punto de hacerlo.
 2292                         </para>
 2293                         <para>
 2294                             El refresco en segundo plano procesará usuarios, grupos y netgroups en el
 2295 cache. Para usuarios que han llevado a cabo el anteriormente initgroups
 2296 (obtener la membresía de grupo para el usuario, normalmente ejecutando
 2297 login), tanto la entrada usuario y la membresia de grupo son actualizados.
 2298                         </para>
 2299                         <para>
 2300                             Esta opción se hereda automáticamente para todos los dominios de confianza.
 2301                         </para>
 2302                         <para>
 2303                             Usted puede considerar ajustar este valor a 3/4 * entry_cache_timeout.
 2304                         </para>
 2305                         <para>
 2306                             Cache entry will be refreshed by background task when 2/3 of cache timeout
 2307 has already passed.  If there are existing cached entries, the background
 2308 task will refer to their original cache timeout values instead of current
 2309 configuration value.  This may lead to a situation in which background
 2310 refresh task appears to not be working. This is done by design to improve
 2311 offline mode operation and reuse of existing valid cache entries.  To make
 2312 this change instant the user may want to manually invalidate existing cache.
 2313                         </para>
 2314                         <para>
 2315                             Predeterminado: 0 (deshabilitado)
 2316                         </para>
 2317                     </listitem>
 2318                 </varlistentry>
 2319 
 2320                 <varlistentry>
 2321                     <term>cache_credentials (bool)</term>
 2322                     <listitem>
 2323                         <para>
 2324                             Determina si las credenciales del usuario están también escondidas en el
 2325 cache LDB local
 2326                         </para>
 2327                         <para>
 2328                             Las credenciales de usuario son almacenadas en un hash SHA512, no en texto
 2329 plano
 2330                         </para>
 2331                         <para>
 2332                             Predeterminado: FALSE
 2333                         </para>
 2334                     </listitem>
 2335                 </varlistentry>
 2336 
 2337                 <varlistentry>
 2338                     <term>cache_credentials_minimal_first_factor_length (entero)</term>
 2339                     <listitem>
 2340                         <para>
 2341                             Si se usa 2-Factor-Authentication (2FA) y las credenciales deberían ser
 2342 guardadas este valor determina la longitud mínima del primer factor de
 2343 autenticación (contraseña de largo plazo) que debe ser guardado como hash
 2344 SHA512 en el caché.
 2345                         </para>
 2346                         <para>
 2347                             Esto evitaría que los PINs cortos de un esquema de PIN basado en 2FA se
 2348 guarden en caché lo que les haría objetivos fáciles de ataques de fuerza
 2349 bruta.
 2350                         </para>
 2351                         <para>
 2352                             Predeterminado: 8
 2353                         </para>
 2354                     </listitem>
 2355                 </varlistentry>
 2356 
 2357                 <varlistentry>
 2358                     <term>account_cache_expiration (entero)</term>
 2359                     <listitem>
 2360                         <para>
 2361                             Entradas de números de días que son dejadas en el cache después del último
 2362 login con éxito antes de ser borrado durante la limpieza de la cache. 0
 2363 significa mantener para siempre. El valor de este parámetro debe ser más
 2364 grande o igual que offline_credentials_expiration.
 2365                         </para>
 2366                         <para>
 2367                             Predeterminado: 0 (ilimitado)
 2368                         </para>
 2369                     </listitem>
 2370                 </varlistentry>
 2371                 <varlistentry>
 2372                   <term>pwd_expiration_warning (entero)</term>
 2373                   <listitem>
 2374                     <para>
 2375                       Mostrar una advertencia N días antes que la contraseña caduque.
 2376                     </para>
 2377                     <para>
 2378                         Si está fijado cero, no se aplicará el filtro, esto es si se recibe una
 2379 advertencia de expiración desde el servidor final, se mostrará
 2380 automáticamente.
 2381                     </para>
 2382                     <para>
 2383                       Por favor advierta que el servidor de backend tiene que suministrar
 2384 información sobre la hora expiración de la contraseña. Si esta información
 2385 está desaparecida, sssd no puede mostrar un aviso. También se tiene que
 2386 configurar un proveedor de autorización para el backend.
 2387                     </para>
 2388                     <para>
 2389                       Por defecto: 7 (Kerberos), 0 (LDAP)
 2390                     </para>
 2391                   </listitem>
 2392                 </varlistentry>
 2393 
 2394                 <varlistentry>
 2395                     <term>id_provider (cadena)</term>
 2396                     <listitem>
 2397                         <para>
 2398                             El proveedor de identificación usado por el dominio. Los proveedores de ID
 2399 soportados son:
 2400                         </para>
 2401                         <para>
 2402                             <quote>proxy</quote>: Soporta un proveedor NSS heredado.
 2403                         </para>
 2404                         <para condition="enable_local_provider">
 2405                             <quote>local</quote>: Proveedor SSSD interno para usuarios locales
 2406 (OBSOLETO).
 2407                         </para>
 2408                         <para>
 2409                             <quote>files</quote>: Proveedor de FICHEROS. Vea <citerefentry>
 2410 <refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum>
 2411 </citerefentry> para más información sobre como hacer espejo de usuarios y
 2412 grupos locales en SSSD.
 2413                         </para>
 2414                         <para>
 2415                             <quote>ldap</quote>: Proveedor LDAP. Vea <citerefentry>
 2416 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2417 </citerefentry> para más información sobre la configuración de LDAP.
 2418                         </para>
 2419                         <para>
 2420                             <quote>ipa</quote>: Proveedor FreeIPA y Red Hat Enterprise Identity
 2421 Management. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2422 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2423 configuración de FreeIPA.
 2424                         </para>
 2425                         <para>
 2426                             <quote>ad</quote>: Proveedor Active Directory. Vea <citerefentry>
 2427 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2428 </citerefentry> para más información sobre la configuración de Active
 2429 Directory.
 2430                         </para>
 2431                     </listitem>
 2432                 </varlistentry>
 2433 
 2434                 <varlistentry>
 2435                     <term>use_fully_qualified_names (bool)</term>
 2436                     <listitem>
 2437                         <para>
 2438                             Utiliza el nombre completo y el dominio (formateado en el formato
 2439 nombre_completo de dominio) como el nombre de acceso del usuario reportado a
 2440 NSS.
 2441                         </para>
 2442                         <para>
 2443                             Si es TRUE, todas las peticiones a este dominio deben usar nombres
 2444 totalmente cualificados. Por ejemplo, si se usa en el dominio LOCAL que
 2445 contiene un usuario “test”, <command>getent passwd test</command> no
 2446 encontraría al usuario mientras que <command>getent passwd
 2447 test@LOCAL</command> lo haría.
 2448                         </para>
 2449                         <para>
 2450                             AVISO: Esta opción no tiene efecto sobre búsquedas de grupo de red debido a
 2451 su tendencia a incluir grupos de red anidados sin nombres cualificados. Para
 2452 grupos de red, se buscará en todos los dominios cuando se pida un no no
 2453 cualificado.
 2454                         </para>
 2455                         <para>
 2456                             Default: FALSE (TRUE for trusted domain/sub-domains or if
 2457 default_domain_suffix is used)
 2458                         </para>
 2459                     </listitem>
 2460                 </varlistentry>
 2461                 <varlistentry>
 2462                     <term>ignore_group_members (bool)</term>
 2463                     <listitem>
 2464                         <para>
 2465                             No devuelve miembros de grupo para búsquedas de grupo.
 2466                         </para>
 2467                         <para>
 2468                             Si se fija a TRUE, no se pide el atributo de membresía de grupo al servidor
 2469 ldap y los miembros no son devueltos cuando se procesan llamadas de
 2470 búsqueda, como <citerefentry> <refentrytitle>getgrnam</refentrytitle>
 2471 <manvolnum>3</manvolnum> </citerefentry> o <citerefentry>
 2472 <refentrytitle>getgrgid</refentrytitle> <manvolnum>3</manvolnum>
 2473 </citerefentry>.  Como efecto, <quote>getent group $groupname</quote>
 2474 debería devolver el grupo pedido como si estuviera vacío.
 2475                         </para>
 2476                         <para>
 2477                             Habilitar esta opción puede también hacer acceso a las comprobaciones de
 2478 proveedor ara membresía de grupo significativamente más rápidas,
 2479 especialmente para grupos que contienen muchos miembros.
 2480                         </para>
 2481                         <para>
 2482                             Predeterminado: FALSE
 2483                         </para>
 2484                     </listitem>
 2485                 </varlistentry>
 2486                 <varlistentry>
 2487                     <term>auth_provider (cadena)</term>
 2488                     <listitem>
 2489                         <para>
 2490                             El proveedor de autenticación usado por el dominio.  Los proveedores de
 2491 autenticación soportados son:
 2492                         </para>
 2493                         <para>
 2494                             <quote>ldap</quote> para autenticación nativa LDAP. Vea <citerefentry>
 2495 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2496 </citerefentry> para más información sobre la configuración LDAP.
 2497                         </para>
 2498                         <para>
 2499                             <quote>krb5</quote> para autenticación Kerberos. Vea <citerefentry>
 2500 <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum>
 2501 </citerefentry> para más información sobre la configuración de Kerberos.
 2502                         </para>
 2503                         <para>
 2504                             <quote>ipa</quote>: Proveedor FreeIPA y Red Hat Enterprise Identity
 2505 Management. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2506 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2507 configuración de FreeIPA.
 2508                         </para>
 2509                         <para>
 2510                             <quote>ad</quote>: Proveedor Active Directory. Vea <citerefentry>
 2511 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2512 </citerefentry> para más información sobre la configuración de Active
 2513 Directory.
 2514                         </para>
 2515                         <para>
 2516                             <quote>proxy</quote> para la reinstalación de la autenticación a algún otro
 2517 objetivo PAM.
 2518                         </para>
 2519                         <para condition="enable_local_provider">
 2520                             <quote>local</quote>: Proveedor interno SSSD para usuarios locales
 2521                         </para>
 2522                         <para>
 2523                             <quote>none</quote> deshabilita la autenticación explícitamente.
 2524                         </para>
 2525                         <para>
 2526                             Por defecto: <quote>id_provider</quote> se usa si se ha fijado y puede
 2527 manejar las peticiones de autenticación.
 2528                         </para>
 2529                     </listitem>
 2530                 </varlistentry>
 2531                 <varlistentry>
 2532                     <term>access_provider (cadena)</term>
 2533                     <listitem>
 2534                         <para>
 2535                             El proveedor de control de acceso usado por el dominio. Hay dos provedores
 2536 de acceso integrados (además de cualquiera instalado en los finales). Los
 2537 proveedores especiales internos son:
 2538                         </para>
 2539                         <para>
 2540                             <quote>permit</quote> siempre permite el acceso. Es el proveedor de acceso
 2541 sólo permitido para un dominio local.
 2542                         </para>
 2543                         <para>
 2544                             <quote>deny</quote> siempre niega el acceso.
 2545                         </para>
 2546                         <para>
 2547                             <quote>ldap</quote> para autenticación nativa LDAP. Vea <citerefentry>
 2548 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2549 </citerefentry> para más información sobre la configuración LDAP.
 2550                         </para>
 2551                         <para>
 2552                             <quote>ipa</quote>: Proveedor FreeIPA y Red Hat Enterprise Identity
 2553 Management. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2554 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2555 configuración de FreeIPA.
 2556                         </para>
 2557                         <para>
 2558                             <quote>ad</quote>: Proveedor Active Directory. Vea <citerefentry>
 2559 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2560 </citerefentry> para más información sobre la configuración de Active
 2561 Directory.
 2562                         </para>
 2563                         <para>
 2564                             <quote>simple</quote> control de acceso basado en listas de acceso o
 2565 denegación. Vea <citerefentry> <refentrytitle>sssd-simple</refentrytitle>
 2566 <manvolnum>5</manvolnum></citerefentry> para más información sobre la
 2567 configuración del módulo de acceso sencillo.
 2568                         </para>
 2569                         <para>
 2570                             <quote>krb5</quote>: .k5login basado en control de acceso.  Vea
 2571 <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
 2572 <manvolnum>5</manvolnum></citerefentry> para más información sobre la
 2573 configuración de Kerberos.
 2574                         </para>
 2575                         <para>
 2576                             <quote>proxy</quote> para transmitir control de acceso a otro módulo PAM.
 2577                         </para>
 2578                         <para>
 2579                             Predeterminado: <quote>permit</quote>
 2580                         </para>
 2581                     </listitem>
 2582                 </varlistentry>
 2583                 <varlistentry>
 2584                     <term>chpass_provider (cadena)</term>
 2585                     <listitem>
 2586                         <para>
 2587                             El proveedor que debería manejar las operaciones de cambio de password para
 2588 el dominio. Los proveedores de cambio de passweord soportados son:
 2589                         </para>
 2590                         <para>
 2591                             <quote>ldap</quote> para cambiar una contraseña almacenada en un servidor
 2592 LDAP. Vea <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
 2593 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2594 configuración de LDAP.
 2595                         </para>
 2596                         <para>
 2597                             <quote>krb5</quote> para cambiar una contraseña Kerberos. Vea <citerefentry>
 2598 <refentrytitle>sssd-krb5</refentrytitle> <manvolnum>5</manvolnum>
 2599 </citerefentry> para más información sobre configurar Kerberos.
 2600                         </para>
 2601                         <para>
 2602                             <quote>ipa</quote>: Proveedor FreeIPA y Red Hat Enterprise Identity
 2603 Management. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2604 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2605 configuración de FreeIPA.
 2606                         </para>
 2607                         <para>
 2608                             <quote>ad</quote>: Proveedor Active Directory. Vea <citerefentry>
 2609 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2610 </citerefentry> para más información sobre la configuración de Active
 2611 Directory.
 2612                         </para>
 2613                         <para>
 2614                             <quote>proxy</quote> para la reinstalación de cambios de password en algunos
 2615 otros objetivos PAM.
 2616                         </para>
 2617                         <para>
 2618                             <quote>none</quote> deniega explícitamente los cambios en la contraseña.
 2619                         </para>
 2620                         <para>
 2621                             Por defecto: <quote>auth_provider</quote> se utiliza si se ha fijado y se
 2622 puede manejar las peticiones de cambio de password.
 2623                         </para>
 2624                     </listitem>
 2625                 </varlistentry>
 2626 
 2627                 <varlistentry condition="with_sudo">
 2628                     <term>sudo_provider (cadena)</term>
 2629                     <listitem>
 2630                         <para>
 2631                             El proveedor SUDO usado por el dominio. Los proveedores SUDO soportados son:
 2632                         </para>
 2633                         <para>
 2634                             <quote>ldap</quote> para reglas almacenadas en LDAP. Vea <citerefentry>
 2635 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2636 </citerefentry> para más información sobre la configuración LDAP.
 2637                         </para>
 2638                         <para>
 2639                             <quote>ipa</quote> lo mismo que <quote>ldap</quote> pero con ajustes
 2640 predeterminados IPA.
 2641                         </para>
 2642                         <para>
 2643                             <quote>ad</quote> lo mismo que <quote>ldap</quote> pero con ajustes
 2644 predeterminados AD.
 2645                         </para>
 2646                         <para>
 2647                             <quote>none</quote>deshabilita SUDO explícitamente.
 2648                         </para>
 2649                         <para>
 2650                             Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.
 2651                         </para>
 2652                         <para>
 2653                             Las instrucciones detalladas para la configuración de sudo_provider están el
 2654 la página de manual <citerefentry> <refentrytitle>sssd-sudo</refentrytitle>
 2655 <manvolnum>5</manvolnum> </citerefentry>.  Hay muchas opciones de
 2656 configuración que se puden usar para ajustar el comportamiento. Vea por
 2657 favor "ldap_sudo_*" en <citerefentry>
 2658 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2659 </citerefentry>.
 2660                         </para>
 2661                         <para>
 2662                             <emphasis>AVISO:</emphasis> Las reglas sudo son periódicamente descargadas
 2663 en segundo plano a no ser que proveedor sudo esté explícitamente
 2664 deshabilitado. Ajuste <emphasis>sudo_provider = None</emphasis> para
 2665 deshabilitatr toda la actividad relacionada con sudo en SSSD si usted no
 2666 desea usar sudo cn SSSD mas.
 2667                         </para>
 2668                     </listitem>
 2669                 </varlistentry>
 2670                 <varlistentry>
 2671                     <term>selinux_provider (cadena)</term>
 2672                     <listitem>
 2673                         <para>
 2674                             El proveedor que manejaría la carga de los ajustes selinux. Advierta que
 2675 este proveedor será llamado justo después de que el proveedor de acceso
 2676 finalice. Los proveedores selinux soportados son:
 2677                         </para>
 2678                         <para>
 2679                             <quote>ipa</quote> para cargar ajustes selinux desde un servidor IPA. Vea
 2680 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2681 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2682 configuración de IPA.
 2683                         </para>
 2684                         <para>
 2685                             <quote>none</quote> deshabilita ir a buscar los ajustes selinux
 2686 explícitamente.
 2687                         </para>
 2688                         <para>
 2689                             Por defecto: <quote>id_provider</quote> se usa si está fijado y puede
 2690 manejar las peticiones de carga selinux.
 2691                         </para>
 2692                     </listitem>
 2693                 </varlistentry>
 2694                 <varlistentry>
 2695                     <term>subdomains_provider (cadena)</term>
 2696                     <listitem>
 2697                         <para>
 2698                             El proveedor que debería manejar el atractivo de subdominios. Este valor
 2699 debería ser siempre el mismo que id_provider. Los proveedores de subdominio
 2700 soportados son:
 2701                         </para>
 2702                         <para>
 2703                             <quote>ipa</quote> para cargar una lista de subdominios desde un servidor
 2704 IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2705 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2706 configuración de IPA.
 2707                         </para>
 2708                         <para>
 2709                             <quote>ad</quote> para descargar una lista de subdominios desde un servidor
 2710 Active Directory. Vea <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2711 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2712 configuración del proveedor AD.
 2713                         </para>
 2714                         <para>
 2715                             <quote>none</quote> deshabilita el buscador de subdominios explícitamente.
 2716                         </para>
 2717                         <para>
 2718                             Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.
 2719                         </para>
 2720                     </listitem>
 2721                 </varlistentry>
 2722                 <varlistentry>
 2723                     <term>session_provider (cadena)</term>
 2724                     <listitem>
 2725                         <para>
 2726                             El proveedor que configura y gestiona las tareas relacionadas con la sesión
 2727 de usuario. La única tarea de usuario que actualmente se provee es la
 2728 integración con Fleet Commander, que trabaja solo con IPA.  Los proveedores
 2729 de sesiones soportados son:
 2730                         </para>
 2731                         <para>
 2732                             <quote>ipa</quote> para permitir llevar a cabo tareas relacionadas con la
 2733 sesión de usuario.
 2734                         </para>
 2735                         <para>
 2736                             <quote>none</quote> no lleva a cabo ninguna tarea relacionada con la sesión
 2737 de usuario.
 2738                         </para>
 2739                         <para>
 2740                             Predeterminado: <quote>id_provider</quote> se usa si está ajustado y puede
 2741 llevar a cabo tareas relacionadas con la sesión de usuario.
 2742                         </para>
 2743                         <para>
 2744                             <emphasis>AVISO:</emphasis> Con el objetivo de tener esta característica
 2745 trabajando como se espera SSSD se debe correr como "root" y o como usuario
 2746 sin privilegios.
 2747                         </para>
 2748                     </listitem>
 2749                 </varlistentry>
 2750 
 2751                 <varlistentry condition="with_autofs">
 2752                     <term>autofs_provider (cadena)</term>
 2753                     <listitem>
 2754                         <para>
 2755                             El proveedor autofs usado por el dominio. Los proveedores autofs soportados
 2756 son:
 2757                         </para>
 2758                         <para>
 2759                             <quote>ldap</quote> para cargar mapas almacenados en LDAP. Vea
 2760 <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
 2761 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2762 configuración de LDAP.
 2763                         </para>
 2764                         <para>
 2765                             <quote>ipa</quote> para cargar mapas almacenados en un servidor IPA. Vea
 2766 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2767 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2768 configuración de IPA.
 2769                         </para>
 2770                         <para>
 2771                             <quote>ad</quote> para cargar mapas almacenados en un servidor AD. Vea
 2772 <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2773 <manvolnum>5</manvolnum> </citerefentry> para más información sobre como
 2774 configurar un proveedor AD.
 2775                         </para>
 2776                         <para>
 2777                             <quote>none</quote> deshabilita autofs explícitamente.
 2778                         </para>
 2779                         <para>
 2780                             Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.
 2781                         </para>
 2782                     </listitem>
 2783                 </varlistentry>
 2784 
 2785                 <varlistentry>
 2786                     <term>hostid_provider (cadena)</term>
 2787                     <listitem>
 2788                         <para>
 2789                             El proveedor usado para recuperar información de identidad de host. Los
 2790 proveedores de hostid soportados son:
 2791                         </para>
 2792                         <para>
 2793                             <quote>ipa</quote> para cargar la identidad del equipo almacenada en un
 2794 servidor IPA. Vea <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2795 <manvolnum>5</manvolnum> </citerefentry> para más información sobre la
 2796 configuración de IPA.
 2797                         </para>
 2798                         <para>
 2799                             <quote>none</quote> deshabilita hostid explícitamente.
 2800                         </para>
 2801                         <para>
 2802                             Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.
 2803                         </para>
 2804                     </listitem>
 2805                 </varlistentry>
 2806 
 2807                 <varlistentry>
 2808                     <term>resolver_provider (string)</term>
 2809                     <listitem>
 2810                         <para>
 2811                             The provider which should handle hosts and networks lookups. Supported
 2812 resolver providers are:
 2813                         </para>
 2814                         <para>
 2815                             <quote>proxy</quote> to forward lookups to another NSS library. See
 2816 <quote>proxy_resolver_lib_name</quote>
 2817                         </para>
 2818                         <para>
 2819                             <quote>ldap</quote> to fetch hosts and networks stored in LDAP. See
 2820 <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
 2821 <manvolnum>5</manvolnum> </citerefentry> for more information on configuring
 2822 LDAP.
 2823                         </para>
 2824                         <para>
 2825                             <quote>ad</quote> to fetch hosts and networks stored in AD. See
 2826 <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2827 <manvolnum>5</manvolnum> </citerefentry> for more information on configuring
 2828 the AD provider.
 2829                         </para>
 2830                         <para>
 2831                             <quote>none</quote> disallows fetching hosts and networks explicitly.
 2832                         </para>
 2833                         <para>
 2834                             Por defecto: el valor de <quote>id_provider</quote> se usa si está fijado.
 2835                         </para>
 2836                     </listitem>
 2837                 </varlistentry>
 2838 
 2839                 <varlistentry>
 2840                     <term>re_expression (cadena)</term>
 2841                     <listitem>
 2842                         <para>
 2843                             Expresión regular para este dominio que describe como analizar
 2844 gramaticalmente la cadena que contiene el nombre de usuario y el dominio en
 2845 estos componentes.  El "dominio" puede coincidir bien con el nombre de
 2846 dominio de configuración SSSD o en el caso de subdominios de confianza IPA y
 2847 dominios Active Directory, el nombre plano (NetBIOS) del dominio.
 2848                         </para>
 2849                         <para>
 2850                             Por defecto para el proveedor AD e IPA:
 2851 <quote>(((?P&lt;domain&gt;[^\\]+)\\(?P&lt;name&gt;.+$))|((?P&lt;name&gt;[^@]+)@(?P&lt;domain&gt;.+$))|(^(?P&lt;name&gt;[^@\\]+)$))</quote>
 2852 que permite tres estilos diferentes de nombres de usuario:
 2853                             <itemizedlist>
 2854                                 <listitem>
 2855                                     <para>nombre de usuario</para>
 2856                                 </listitem>
 2857                                 <listitem>
 2858                                     <para>username@domain.name</para>
 2859                                 </listitem>
 2860                                 <listitem>
 2861                                     <para>dominio/nombre_de_usuario</para>
 2862                                 </listitem>
 2863                             </itemizedlist>
 2864                             Mientras los primeros dos corresponden al valor por defecto general el
 2865 tercero se introduce para permitir una fácil integración de usuarios desde
 2866 dominios Windows.
 2867                         </para>
 2868                         <para>
 2869                             Predeterminado:
 2870 <quote>(?P&lt;name&gt;[^@]+)@?(?P&lt;domain&gt;[^@]*$)</quote> que traduce
 2871 al "todo lo que hay hasta el signo <quote>@</quote> es el nombre, el dominio
 2872 es el resto detrás de este signo"
 2873                         </para>
 2874                         <para>
 2875                             AVISO: Algunos grupos Active Directory, normalmente aquellos que se usan por
 2876 MS Exchange contienen un signo <quote>@</quote> en el nombre, lo que choca
 2877 con el valor predeterminado de re_expressionpara los proveedores AD e
 2878 IPA. Para soportar estos grupos, considere cambiar el valor de re_expression
 2879 a: <quote>((?P&lt;name&gt;.+)@(?P&lt;domain&gt;[^@]+$))</quote>.
 2880                         </para>
 2881                     </listitem>
 2882                 </varlistentry>
 2883                 <varlistentry>
 2884                     <term>full_name_format (cadena)</term>
 2885                     <listitem>
 2886                         <para>
 2887                             <citerefentry> <refentrytitle>printf</refentrytitle>
 2888 <manvolnum>3</manvolnum> </citerefentry>-formato compatible que describe
 2889 como componer un nombre de dominio totalmente cualificado y los componentes
 2890 del nombre de dominio.
 2891                         </para>
 2892                         <para>
 2893                             Son soportadas las siguientes expresiones: <variablelist>
 2894                                 <varlistentry>
 2895                                     <term>%1$s</term>
 2896                                     <listitem><para>nombre de usuario</para></listitem>
 2897                                 </varlistentry>
 2898                                 <varlistentry>
 2899                                     <term>%2$s</term>
 2900                                     <listitem>
 2901                                         <para>
 2902                                             nombre de dominio como se especifica en el fichero de configuración SSSD
 2903                                         </para>
 2904                                     </listitem>
 2905                                 </varlistentry>
 2906                                 <varlistentry>
 2907                                     <term>%3$s</term>
 2908                                     <listitem>
 2909                                         <para>
 2910                                             nombre plano de dominio. Principalmente usado por los dominios Active
 2911 Directory tanto los configurados directamente como los descubiertos por
 2912 medio de IPA de confianza.
 2913                                         </para>
 2914                                     </listitem>
 2915                                 </varlistentry>
 2916                             </variablelist>
 2917                         </para>
 2918                         <para>
 2919                             Predeterminado: <quote>%1$s@%2$s</quote>.
 2920                         </para>
 2921                     </listitem>
 2922                 </varlistentry>
 2923 
 2924                 <varlistentry>
 2925                     <term>lookup_family_order (cadena)</term>
 2926                     <listitem>
 2927                         <para>
 2928                             Suministra la capacidad para seleccionar la familia de dirección preferente
 2929 a usar cuando se lleven a cabo búsquedas DNS.
 2930                         </para>
 2931                         <para>
 2932                             Valores soportados:
 2933                         </para>
 2934                         <para>
 2935                             ipv4_first: Intenta buscar dirección IPv4, si falla, intenta IPv6
 2936                         </para>
 2937                         <para>
 2938                             ipv4_only: Sólo intenta resolver nombres de host a direccones IPv4.
 2939                         </para>
 2940                         <para>
 2941                             ipv6_first: Intenta buscar dirección IPv6, si falla, intenta IPv4
 2942                         </para>
 2943                         <para>
 2944                             ipv6_only: Sólo intenta resolver nombres de host a direccones IPv6.
 2945                         </para>
 2946                         <para>
 2947                             Predeterminado: ipv4_first
 2948                         </para>
 2949                     </listitem>
 2950                 </varlistentry>
 2951 
 2952                 <varlistentry>
 2953                     <term>dns_resolver_timeout (entero)</term>
 2954                     <listitem>
 2955                         <para>
 2956                             Define la cantidad de tiempo (en segundos) a esperar una respuesta de un
 2957 fallo interno sobre un servicio ntes de asumir que ese servicio es
 2958 inalcanzable. ISi se alcanza este tiempo de salida, el dominio continuará
 2959 trabajando en modo offline.
 2960                         </para>
 2961                         <para>
 2962                             Por favor vea la sección <quote>RECUPERACIÓN DE FALLOS</quote> para más
 2963 información sobre la resolución del servicio.
 2964                         </para>
 2965                         <para>
 2966                             Predeterminado: 6
 2967                         </para>
 2968                     </listitem>
 2969                 </varlistentry>
 2970 
 2971                 <varlistentry>
 2972                     <term>dns_discovery_domain (cadena)</term>
 2973                     <listitem>
 2974                         <para>
 2975                             Si el descubridor de servicio se usa en el punto final, especifica la parte
 2976 de dominio de la pregunta al descubridor de servicio DNS.
 2977                         </para>
 2978                         <para>
 2979                             Predeterminado: Utilizar la parte del dominio del nombre de host del equipo
 2980                         </para>
 2981                     </listitem>
 2982                 </varlistentry>
 2983 
 2984                 <varlistentry>
 2985                     <term>override_gid (entero)</term>
 2986                     <listitem>
 2987                         <para>
 2988                             Anula el valor primario GID con el especificado.
 2989                         </para>
 2990                     </listitem>
 2991                 </varlistentry>
 2992 
 2993                 <varlistentry>
 2994                     <term>case_sensitive (cadena)</term>
 2995                     <listitem>
 2996                         <para>
 2997                             Trata nombres de usuario y de grupo como sensibles a mayúsculas/minúsculas.
 2998 <phrase condition="enable_local_provider"> En este momento esta opción no
 2999 está soportada en el proveedor local.  </phrase> Los valores de opción
 3000 posibles son: <variablelist>
 3001                             <varlistentry>
 3002                                 <term>True</term>
 3003                                 <listitem>
 3004                                     <para>
 3005                                         Distingue mayúsculas y minúsculas. Este valor es invalido para el proveedor
 3006 AD.
 3007                                     </para>
 3008                                 </listitem>
 3009                             </varlistentry>
 3010                             <varlistentry>
 3011                                 <term>False</term>
 3012                                 <listitem>
 3013                                     <para>No sensible a mayúsculas minúsculas.</para>
 3014                                 </listitem>
 3015                             </varlistentry>
 3016                             <varlistentry>
 3017                                 <term>Preserving</term>
 3018                                 <listitem>
 3019                                     <para>
 3020                                         Igual que False (no sensible a mayúsculas minúsculas.), pero sin minúsculas
 3021 en los nombres en el resultado de las operaciones NSS. Advierta que los
 3022 nombres de alias (y en el caso de servicios también los nombres de
 3023 protocolo) están en minúsculas en la salida.
 3024                                     </para>
 3025                                     <para>
 3026                                         If you want to set this value for trusted domain with IPA provider, you need
 3027 to set it on both the client and SSSD on the server.
 3028                                     </para>
 3029                                 </listitem>
 3030                             </varlistentry>
 3031                         </variablelist>
 3032                         </para>
 3033                         <para>
 3034                             This option can be also set per subdomain or inherited via
 3035 <emphasis>subdomain_inherit</emphasis>.
 3036                         </para>
 3037                         <para>
 3038                             Predeterminado: True (False para proveedor AD)
 3039                         </para>
 3040                     </listitem>
 3041                 </varlistentry>
 3042 
 3043                 <varlistentry>
 3044                     <term>subdomain_inherit (cadena)</term>
 3045                     <listitem>
 3046                         <para>
 3047                             Especifica una lista de parámetros de configuración que deberían ser
 3048 heredados por un subdominio. Por favor advierta que solo pueden ser
 3049 heredados parámetros seleccionados.  Actualmente se pueden heredar las
 3050 siguientes opciones:
 3051                         </para>
 3052                         <para>
 3053                             ignore_group_members
 3054                         </para>
 3055                         <para>
 3056                             ldap_purge_cache_timeout
 3057                         </para>
 3058                         <para>
 3059                             ldap_use_tokengroups
 3060                         </para>
 3061                         <para>
 3062                             ldap_user_principal
 3063                         </para>
 3064                         <para>
 3065                             ldap_krb5_keytab (se deberá usar el valor de krb5_keytab si no se ha fijado
 3066 explícitamente ldap_krb5_keytab)
 3067                         </para>
 3068                         <para>
 3069                             auto_private_groups
 3070                         </para>
 3071                         <para>
 3072                             case_sensitive
 3073                         </para>
 3074                         <para>
 3075                             Ejemplo: <programlisting>
 3076 subdomain_inherit = ldap_purge_cache_timeout
 3077                             </programlisting>
 3078                         </para>
 3079                         <para>
 3080                             Predeterminado: none
 3081                         </para>
 3082                         <para>
 3083                             Aviso: Esta opción solo trabaja con el proveedor IPA y AD.
 3084                         </para>
 3085                     </listitem>
 3086                 </varlistentry>
 3087 
 3088                 <varlistentry>
 3089                     <term>subdomain_homedir (cadena)</term>
 3090                     <listitem>
 3091                         <para>
 3092                             Use este directorio home como valor predeterminado para todos los
 3093 subdominios dentro de este dominio en IPA AD de confianza.  Vea
 3094 <emphasis>override_homedir</emphasis> para información sobre los posibles
 3095 valores. Además de esto, la expansión de abajo sólo puede ser usada con
 3096 <emphasis>subdomain_homedir</emphasis>.  <variablelist>
 3097                                 <varlistentry>
 3098                                     <term>%F</term>
 3099                                     <listitem><para>flat (NetBIOS) nombre de un subdominio.</para></listitem>
 3100                                 </varlistentry>
 3101                             </variablelist>
 3102                         </para>
 3103                         <para>
 3104                             Este valor puede ser anulado por la opción
 3105 <emphasis>override_homedir</emphasis>.
 3106                         </para>
 3107                         <para>
 3108                             Por defecto: <filename>/home/%d/%u</filename>
 3109                         </para>
 3110                     </listitem>
 3111                 </varlistentry>
 3112                 <varlistentry>
 3113                     <term>realmd_tags (cadena)</term>
 3114                     <listitem>
 3115                         <para>
 3116                             Diversas banderas almacenadas por el servicio de configuración realmd para
 3117 este dominio.
 3118                         </para>
 3119                     </listitem>
 3120                 </varlistentry>
 3121                 <varlistentry>
 3122                     <term>cached_auth_timeout (entero)</term>
 3123                     <listitem>
 3124                         <para>
 3125                             Especifica el tiempo en segundos desde la última autenticación en línea con
 3126 éxito por las cuales el usuario serán autenticado usando las credenciales en
 3127 cache mientras SSSD está en modo en línea. Si las credenciales son
 3128 incorrectas, SSSD cae de nuevo a la autenticación en linea.
 3129                         </para>
 3130                         <para>
 3131                             Este valor de opción es heredado por todos los dominios de confianza. En
 3132 este momento no es posible establecer un valor diferente por dominio de
 3133 confianza.
 3134                         </para>
 3135                         <para>
 3136                             El valor especial 0 implica que esta función está deshabilitada.
 3137                         </para>
 3138                         <para>
 3139                             Por favor advierta que si <quote>cached_auth_timeout</quote> es mayor que
 3140 <quote>pam_id_timeout</quote> el otro extremo podría ser llamado para
 3141 gestionar <quote>initgroups.</quote>
 3142                         </para>
 3143                         <para>
 3144                             Predeterminado: 0
 3145                         </para>
 3146                     </listitem>
 3147                 </varlistentry>
 3148                 <varlistentry>
 3149                     <term>auto_private_groups (cadena)</term>
 3150                     <listitem>
 3151                         <para>
 3152                             Esta opción toma cualquiera de los tres valores disponibles: <variablelist>
 3153                                 <varlistentry>
 3154                                     <term>true</term>
 3155                                     <listitem>
 3156                                         <para>
 3157                                             crear el grupo privado de usuario incondicionalmente desde el número UID del
 3158 usuario.  El número GID se ignora en este caso.
 3159                                         </para>
 3160                                         <para>
 3161                                             AVISO: Puesto que el número GID y el grupo privado de usuario se infieren de
 3162 número UID, no está soportado tener múltiples entrada con los mismos UID o
 3163 GID con esta opción. En otras palabras, habilitando esta opción se fuerza la
 3164 unicidad den el espacio de ID.
 3165                                         </para>
 3166                                     </listitem>
 3167                                 </varlistentry>
 3168                                 <varlistentry>
 3169                                     <term>false</term>
 3170                                     <listitem>
 3171                                         <para>
 3172                                             Use siempre el número GID primario del usuario. El número GID debe referirse
 3173 a un  objeto grupo en las base de datos LDAP.
 3174                                         </para>
 3175                                     </listitem>
 3176                                 </varlistentry>
 3177                                 <varlistentry>
 3178                                     <term>hybrid</term>
 3179                                     <listitem>
 3180                                         <para>
 3181                                             Se autogenera un grupo primario para las entradas de usuario cuyos números
 3182 UID y GID tienen el mismo valor y al mismo tiempo el número GID no
 3183 corresponde un objeto grupo real en LDAP.  Si los valores son los mismos
 3184 pero el GID primario en la entrada de usuario es también usado por un objeto
 3185 grupo, el GID primario del usuario se resuelve al de ese objeto grupo.
 3186                                         </para>
 3187                                         <para>
 3188                                             Si el UID y el GID de un usuario son diferentes, el GID debe corresponder a
 3189 una entrada de grupo, de otro modo el GID simplemente no se puede resolver.
 3190                                         </para>
 3191                                         <para>
 3192                                             Esta característica es útil para entornos que desean parar manteniendo un
 3193 grupo separado de objetos grupos para el usuario de grupos privados, pero
 3194 también desea retener los grupos privados existentes del usuario.
 3195                                         </para>
 3196                                     </listitem>
 3197                                 </varlistentry>
 3198                             </variablelist>
 3199                         </para>
 3200                         <para>
 3201                             Para subdominios el valor por defecto es False par subdominios que usan
 3202 POSIX IDs asignados y True para subdominios que usan mapeo de ID automático.
 3203                         </para>
 3204                         <para>
 3205                             El valor de auto_private_groups puede bien ser establecido por subdominios
 3206 en una subsección, por ejemplo: <programlisting>
 3207 [domain/forest.domain/sub.domain]
 3208 auto_private_groups = false
 3209 </programlisting>
 3210 o globalmente para todos los subdominios en la sección principal dominio
 3211 usando la opción subdomain_inherit: <programlisting>
 3212 [domain/forest.domain]
 3213 subdomain_inherit = auto_private_groups
 3214 auto_private_groups = false
 3215 </programlisting>
 3216                         </para>
 3217                     </listitem>
 3218                 </varlistentry>
 3219             </variablelist>
 3220         </para>
 3221 
 3222         <para>
 3223             Opciones válidas para dominios proxy.  <variablelist>
 3224                 <varlistentry>
 3225                     <term>proxy_pam_target (cadena)</term>
 3226                     <listitem>
 3227                         <para>
 3228                             El proxy de destino PAM próximo a.
 3229                         </para>
 3230                         <para>
 3231                             Por defecto: no se fija por defecto, usted tiene que coger una configuración
 3232 pam existente o crear una nueva y añadir el nombre de servicio aquí.
 3233                         </para>
 3234                     </listitem>
 3235                 </varlistentry>
 3236 
 3237                 <varlistentry>
 3238                     <term>proxy_lib_name (cadena)</term>
 3239                     <listitem>
 3240                         <para>
 3241                             El nombre de la librería NSS para usar en los dominios proxy. Las funciones
 3242 NSS buscadas dentro de la librería están el formato de
 3243 _nss_$(libName)_$(function), por ejemplo _nss_files_getpwent.
 3244                         </para>
 3245                     </listitem>
 3246                 </varlistentry>
 3247 
 3248                 <varlistentry>
 3249                     <term>proxy_resolver_lib_name (string)</term>
 3250                     <listitem>
 3251                         <para>
 3252                             The name of the NSS library to use for hosts and networks lookups in proxy
 3253 domains. The NSS functions searched for in the library are in the form of
 3254 _nss_$(libName)_$(function), for example _nss_dns_gethostbyname2_r.
 3255                         </para>
 3256                     </listitem>
 3257                 </varlistentry>
 3258 
 3259                 <varlistentry>
 3260                     <term>proxy_fast_alias (booleano)</term>
 3261                     <listitem>
 3262                         <para>
 3263                             Cuando un usuario o grupo es buscado por nombre en el proveedor proxy, una
 3264 segunda búsqueda por ID es llevada a cabo para “estandarizar” el nombre en
 3265 el caso de que el nombre pedido fuera un alias. Fijando esta opción a true
 3266 se causaría que SSSD lleve a cabo una búsqueda de ID desde el escondrijo por
 3267 razones de rendimiento.
 3268                         </para>
 3269                         <para>
 3270                             Predeterminado: false
 3271                         </para>
 3272                     </listitem>
 3273                 </varlistentry>
 3274 
 3275                 <varlistentry>
 3276                     <term>proxy_max_children (entero)</term>
 3277                     <listitem>
 3278                         <para>
 3279                             Esta opción especifica el número de hijos proxy pre-bifurcados. Es útil para
 3280 entornor SSSD de alta carga donde sssd puede quedarse sin espacios para
 3281 hijos disponibles, lo que podría causar errores debido a las peticiones que
 3282 son encoladas.
 3283                         </para>
 3284                         <para>
 3285                             Predeterminado: 10
 3286                         </para>
 3287                     </listitem>
 3288                 </varlistentry>
 3289 
 3290             </variablelist>
 3291         </para>
 3292 
 3293         <refsect2 id='app_domains'>
 3294             <title>Dominios de aplicaciones</title>
 3295             <para>
 3296                 SSSD, con su interfaz D-Bus (see <citerefentry>
 3297 <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum>
 3298 </citerefentry>) es atractivo para las aplicaciones como puerta de entrada a
 3299 un directorio LDAP donde se almacenan usuarios y grupos. Sin embargo, de
 3300 modo distinto al tradicional despliegue SSSD donde todos los usuarios y
 3301 grupos bien tienen atributos POSIX o esos atributos se pueden inferir desde
 3302 los Windows SIDs, en muchos casos los usuarios y grupos en el escenario de
 3303 soporte de la aplicación no tienen atributos POSIX.  En lugar de establecer
 3304 una sección <quote>[domain/<replaceable>NAME</replaceable>]</quote>, el
 3305 administrador puede configurar una sección
 3306 <quote>[application/<replaceable>NAME</replaceable>]</quote> que
 3307 internamente represente un dominio con un tipo <quote>application</quote>
 3308 que opcionalmente herede ajustes de un dominio SSSD tradicional.
 3309             </para>
 3310             <para>
 3311                 Por favor advierta que el dominio de aplicación debe aún ser habilitado
 3312 explícitamente en el parámetros <quote>domains</quote> de modo que la orden
 3313 de búsqueda entre el dominio de aplicación y su dominio POSIX hermano está
 3314 establecido correctamente.
 3315             </para>
 3316             <variablelist>
 3317                 <title>Parámetros de dominio de aplicación</title>
 3318                 <varlistentry>
 3319                     <term>inherit_from (cadena)</term>
 3320                     <listitem>
 3321                         <para>
 3322                             En el dominio tipo SSSD POSIX el dominio de aplicación hereda todos los
 3323 ajustes. El dominio de aplicación puede además añadir sus propios ajustes a
 3324 los ajustes de aplicación que aumentan o anulan los ajustes del dominio
 3325 <quote>hermano</quote>.
 3326                         </para>
 3327                         <para>
 3328                             Por defecto: No definido
 3329                         </para>
 3330                     </listitem>
 3331                 </varlistentry>
 3332             </variablelist>
 3333             <para>
 3334                 El siguiente ejemplo ilustra el uso de un dominio de aplicación. En este
 3335 ajuste, el dominio POSIX está conectado a un servidor LDAP y se usa por el
 3336 SO a través de un contestador NSS. Además, el dominio de aplicación también
 3337 pide el atributo telephoneNumber, lo almacena como el atributo phone en la
 3338 cache y hace al atributo phone alcanzable a través del interfaz D-Bus.
 3339             </para>
 3340 <programlisting>
 3341 [sssd]
 3342 domains = appdom, posixdom
 3343 
 3344 [ifp]
 3345 user_attributes = +phone
 3346 
 3347 [domain/posixdom]
 3348 id_provider = ldap
 3349 ldap_uri = ldap://ldap.example.com
 3350 ldap_search_base = dc=example,dc=com
 3351 
 3352 [application/appdom]
 3353 inherit_from = posixdom
 3354 ldap_user_extra_attrs = phone:telephoneNumber
 3355 </programlisting>
 3356         </refsect2>
 3357 
 3358         <refsect2 id='local_domain' condition="enable_local_provider">
 3359             <title>La sección de dominio local</title>
 3360             <para>
 3361                 Esta sección contiene la configuración para dominio que almacena los
 3362 usuarios y grupos en la base de datos SSSD nativa, es decir, un dominio que
 3363 utiliza <replaceable>id_provider=local</replaceable>.
 3364             </para>
 3365             <variablelist>
 3366                 <title>Parámetros de sección</title>
 3367                 <varlistentry>
 3368                     <term>default_shell (cadena)</term>
 3369                     <listitem>
 3370                         <para>
 3371                             El shell predeterminado para los usuarios creados con herramientas de
 3372 espacio de usuario SSSD.
 3373                         </para>
 3374                         <para>
 3375                             Predeterminado: <filename>/bin/bash</filename>
 3376                         </para>
 3377                     </listitem>
 3378                 </varlistentry>
 3379                 <varlistentry>
 3380                     <term>base_directory (cadena)</term>
 3381                     <listitem>
 3382                         <para>
 3383                             Las herramientas anexan el nombre de inicio de sesión para
 3384 <replaceable>base_directory</replaceable> y utilizan éste como el directorio
 3385 de inicio.
 3386                         </para>
 3387                         <para>
 3388                             Predeterminado: <filename>/home</filename>
 3389                         </para>
 3390                     </listitem>
 3391                 </varlistentry>
 3392                 <varlistentry>
 3393                     <term>create_homedir (bool)</term>
 3394                     <listitem>
 3395                         <para>
 3396                             Indica si se creará un directorio home por defecto para los nuevos
 3397 usuarios. Puede ser anulado desde la línea de comando.
 3398                         </para>
 3399                         <para>
 3400                             Predeterminado: TRUE
 3401                         </para>
 3402                     </listitem>
 3403                 </varlistentry>
 3404                 <varlistentry>
 3405                     <term>remove_homedir (bool)</term>
 3406                     <listitem>
 3407                         <para>
 3408                             Indica si el directorio home será borrado por defecto para los usuarios
 3409 borrados. Puede ser anulado desde la línea de comando.
 3410                         </para>
 3411                         <para>
 3412                             Predeterminado: TRUE
 3413                         </para>
 3414                     </listitem>
 3415                 </varlistentry>
 3416                 <varlistentry>
 3417                     <term>homedir_umask (entero)</term>
 3418                     <listitem>
 3419                         <para>
 3420                             Utilizado por <citerefentry><refentrytitle>sss_useradd</refentrytitle>
 3421 <manvolnum>8</manvolnum></citerefentry> para especificar los permisos
 3422 predeterminados en un directorio de inicio recién creado.
 3423                         </para>
 3424                         <para>
 3425                             Predeterminado: 077
 3426                         </para>
 3427                     </listitem>
 3428                 </varlistentry>
 3429                 <varlistentry>
 3430                     <term>skel_dir (cadena)</term>
 3431                     <listitem>
 3432                         <para>
 3433                             El directorio esqueleto, el cual contiene archivos y directorios a copiarse
 3434 en el directorio principal del usuario, cuando se crea el directorio
 3435 principal de <citerefentry><refentrytitle>sss_useradd</refentrytitle>
 3436 <manvolnum>8</manvolnum></citerefentry>
 3437                         </para>
 3438                         <para>
 3439                             Predeterminado: <filename>/etc/skel</filename>
 3440                         </para>
 3441                     </listitem>
 3442                 </varlistentry>
 3443                 <varlistentry>
 3444                     <term>mail_dir (cadena)</term>
 3445                     <listitem>
 3446                         <para>
 3447                             El directorio carreta de correo. Es necesario para manipular el buzón de
 3448 correo cuando la cuenta de usuario correspondiente es modificada o
 3449 borrada. Si no se especifica, se utiliza un valor por defecto.
 3450                         </para>
 3451                         <para>
 3452                             Predeterminado: <filename>/var/mail</filename>
 3453                         </para>
 3454                     </listitem>
 3455                 </varlistentry>
 3456                 <varlistentry>
 3457                     <term>userdel_cmd (cadena)</term>
 3458                     <listitem>
 3459                         <para>
 3460                             El comando que está corriendo después de que un usuario es borrado. El
 3461 comando us para el nombre de usuario que está siendo borrado como primer y
 3462 único parámetro. El código de retorno del comando no es tenido en cuenta.
 3463                         </para>
 3464                         <para>
 3465                             Predeterminado: None, no se ejecuta comando
 3466                         </para>
 3467                     </listitem>
 3468                 </varlistentry>
 3469             </variablelist>
 3470         </refsect2>
 3471 
 3472     </refsect1>
 3473 
 3474     <refsect1 id='trusted-domains'>
 3475         <title>SECCIÓN DE DOMINIO DE CONFIANZA</title>
 3476         <para>
 3477             Algunas opciones usadas en la sección dominio puede ser usadas también en la
 3478 sección dominio de confianza, esto es, en una sección
 3479 llamada<quote>[domain/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>TRUSTED_DOMAIN_NAME</replaceable>]</quote>.
 3480 Donde DOMAIN_NAME es el dominio base real. Por favor vea los ejemplos de
 3481 abajo para una explicación.  Actualmente las opciones soportadas en la
 3482 sección de dominio de confianza son:
 3483         </para>
 3484             <para>ldap_search_base,</para>
 3485             <para>ldap_user_search_base,</para>
 3486             <para>ldap_group_search_base,</para>
 3487             <para>ldap_netgroup_search_base,</para>
 3488             <para>ldap_service_search_base,</para>
 3489             <para>ldap_sasl_mech,</para>
 3490             <para>ad_server,</para>
 3491             <para>ad_backup_server,</para>
 3492             <para>ad_site,</para>
 3493             <para>use_fully_qualified_names</para>
 3494             <para>pam_gssapi_services</para>
 3495             <para>pam_gssapi_check_upn</para>
 3496         <para>
 3497             Para más detalles sobre estas opciones vea su descripción individual en la
 3498 página de manual.
 3499         </para>
 3500     </refsect1>
 3501 
 3502     <refsect1 id='certmap'>
 3503         <title>SECCIÓN DE MAPEO DEL CERTIFICADO</title>
 3504         <para>
 3505             Para permitir la autenticación con Smartcards y certificados SSSD debe ser
 3506 capaz de mapear los certificados con los usuarios. Esto puede ser hecho
 3507 añadiendo el certificado completo al objeto LDAP del usuario o a una
 3508 anulación local. Mientras requierir el uso del certificado completo para
 3509 usar la característica autenticación Smartcard de SSH (ver <citerefentry>
 3510 <refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
 3511 <manvolnum>8</manvolnum> </citerefentry> para más detalles) puede ser
 3512 engorroso o no siempre posible de hacer esto en el caso general donde los
 3513 servicios locales usan autenticación PAM.
 3514         </para>
 3515         <para>
 3516             Para hacer que la asignación sea más flexible, se agregaron reglas de
 3517 asignación y coincidencia a SSSD (ver más detalles en <citerefentry>
 3518 <refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum>
 3519 </citerefentry>).
 3520         </para>
 3521         <para>
 3522             Un regla de mapeo y coincidencia puede ser añadida a la configuración SSSD
 3523 en una sección en si misma con un nombre como
 3524 <quote>[certmap/<replaceable>DOMAIN_NAME</replaceable>/<replaceable>RULE_NAME</replaceable>]</quote>.
 3525 En esta sección están permitidas las siguientes opciones:
 3526         </para>
 3527         <variablelist>
 3528             <varlistentry>
 3529                 <term>matchrule (cadena)</term>
 3530                 <listitem>
 3531                     <para>
 3532                         Solo los certificados de la Smartcard que coincidan con esta regla serán
 3533 procesados, los demás son ignorados.
 3534                     </para>
 3535                     <para>
 3536                         Predeterminado: KRB5:&lt;EKU&gt;clientAuth, i.e. solo los certificados que
 3537 tengan Extended Key Usage <quote>clientAuth</quote>
 3538                     </para>
 3539                 </listitem>
 3540             </varlistentry>
 3541             <varlistentry>
 3542                 <term>maprule (cadena)</term>
 3543                 <listitem>
 3544                     <para>
 3545                         Define como se encuentra un usuario desde un certificado dado.
 3546                     </para>
 3547                     <para>
 3548                         Predeterminado:
 3549                         <itemizedlist>
 3550                             <listitem>
 3551                                 <para>LDAP:(userCertificate;binary={cert!bin})  para proveedores basados en LDAP
 3552 como <quote>ldap</quote>, <quote>AD</quote> o <quote>ipa</quote>.</para>
 3553                             </listitem>
 3554                             <listitem>
 3555                                 <para>El RULE_NAME para el proveedor de <quote>ficheros</quote> que intenta
 3556 encontrar un usuario con el mismo nombre.</para>
 3557                             </listitem>
 3558                         </itemizedlist>
 3559                     </para>
 3560                 </listitem>
 3561             </varlistentry>
 3562             <varlistentry>
 3563                 <term>domains (cadena)</term>
 3564                 <listitem>
 3565                     <para>
 3566                         Lista separada por comas de nombrs de dominios a los que la regla debería
 3567 ser aplicada. Por defecto una regla solo es válida en el dominio configurado
 3568 en sssd.conf. Si el proveedor soporta subdominios esta opción puede ser
 3569 usada para añadir la regla a los subdominios también.
 3570                     </para>
 3571                     <para>
 3572                         Predetermiado: el dominio configurado en sssd.conf
 3573                     </para>
 3574                 </listitem>
 3575             </varlistentry>
 3576             <varlistentry>
 3577                 <term>priority (entero)</term>
 3578                 <listitem>
 3579                     <para>
 3580                         Valor entero sin signo que define la prioridad de la regla. El número más
 3581 alto la prioridad más baja.  <quote>0</quote> se mantiene para la prioridad
 3582 más alte mientras que <quote>4294967295</quote> es la más baja.
 3583                     </para>
 3584                     <para>
 3585                         Predeterminado: la prioridad más baja
 3586                     </para>
 3587                 </listitem>
 3588             </varlistentry>
 3589         </variablelist>
 3590         <para>
 3591             Para hacer la configuración sencilla y reducir la cantidad de opciones de
 3592 configuración el proveedor de <quote>ficheros</quote> tiene algunas
 3593 propiedades especiales:
 3594             <itemizedlist>
 3595                 <listitem>
 3596                     <para>
 3597                         si maprule no está establecido el nombre RULE_NAME se asume como en del
 3598 usuario coincidente
 3599                     </para>
 3600                 </listitem>
 3601                 <listitem>
 3602                     <para>
 3603                         si se usa una maprule tanto un único nombre de usuario como una plantilla
 3604 como <quote>{subject_rfc822_name.short_name}</quote> debe ir entre llaves
 3605 como e.g. <quote>(username)</quote> or
 3606 <quote>({subject_rfc822_name.short_name})</quote>
 3607                     </para>
 3608                 </listitem>
 3609                 <listitem>
 3610                     <para>
 3611                         la opción <quote>domains</quote> es ignorada
 3612                     </para>
 3613                 </listitem>
 3614             </itemizedlist>
 3615         </para>
 3616     </refsect1>
 3617 
 3618     <refsect1 id='prompting_configuration'>
 3619         <title>SECCIÓN DE CONFIGURACIÓN INICIAL</title>
 3620         <para>
 3621             Si existe un fichero
 3622 especial(<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>)
 3623 el módulo PAM de SSSD pam_sss le pedirá a SSSD que descubra que métodos de
 3624 autenticación están disponibles para el usuario que intenta iniciar
 3625 sesión. En base a los resultados pam_sss pedirá al usuario las credenciales
 3626 apropiadas.
 3627         </para>
 3628         <para>
 3629             Con el creciente número de métodos de autenticación y la la posibilidad de
 3630 que haya múltiples para un único usuario la heurística usada por pam_sss
 3631 para seleccionar la solicitud podría no ser adecuada para todos los
 3632 casos. Las siguientes opciones deberían suministrar una mejor flexibilidad
 3633 aquí.
 3634         </para>
 3635         <para>
 3636             Cada método de autenticación soportado tiene su propia subsección de
 3637 configuración bajo <quote>[prompting/...]</quote>. Actualmente hay:
 3638 <variablelist>
 3639             <varlistentry>
 3640                 <term>[prompting/password]</term>
 3641                 <listitem>
 3642                     <para>para configurar la solicitud de contraseña, las opciones permitidas son:
 3643 <variablelist><varlistentry><term>password_prompt</term>
 3644                         <listitem><para>cambiar la cadena de solicitud de contraseña</para></listitem></varlistentry></variablelist>
 3645                     </para>
 3646                 </listitem>
 3647             </varlistentry>
 3648         </variablelist> <variablelist>
 3649             <varlistentry>
 3650                 <term>[prompting/2fa]</term>
 3651                 <listitem>
 3652                     <para>para configurar la consulta de autenticación de dos factores, las opciones
 3653 permitidas son: <variablelist><varlistentry><term>first_prompt</term>
 3654                         <listitem><para>para cambiar la cadena de la solicitud del primer factor </para></listitem>
 3655                         </varlistentry>
 3656                         <varlistentry><term>second_prompt</term>
 3657                         <listitem><para>para cambiar la cadena de la solicitud para el segundo factor </para></listitem>
 3658                         </varlistentry>
 3659                         <varlistentry><term>single_prompt</term>
 3660                         <listitem><para>valor booleano, si True habrá una única pregunta usando el valor de
 3661 first_prompt donde se espera que ambos factores se introduzcan como una
 3662 única cadena</para></listitem>
 3663                         </varlistentry>
 3664                     </variablelist>
 3665                     </para>
 3666                 </listitem>
 3667             </varlistentry>
 3668         </variablelist>
 3669         </para>
 3670         <para>
 3671             Es posible añadir una subsección para servicios PAM específicos,
 3672 e.g. <quote>[prompting/password/sshd]</quote> para el cambio individual de
 3673 la pregunta para este servicio.
 3674         </para>
 3675     </refsect1>
 3676 
 3677     <refsect1 id='example'>
 3678         <title>EJEMPLOS</title>
 3679         <para>
 3680             1. El siguiente ejemplo muestra una configuración SSSD típica.No describe la
 3681 configuración de los dominios en si mismos - vea la documentación sobre
 3682 configuración de dominios para mas detalles.  <programlisting>
 3683 [sssd]
 3684 domains = LDAP
 3685 services = nss, pam
 3686 config_file_version = 2
 3687 
 3688 [nss]
 3689 filter_groups = root
 3690 filter_users = root
 3691 
 3692 [pam]
 3693 
 3694 [domain/LDAP]
 3695 id_provider = ldap
 3696 ldap_uri = ldap://ldap.example.com
 3697 ldap_search_base = dc=example,dc=com
 3698 
 3699 auth_provider = krb5
 3700 krb5_server = kerberos.example.com
 3701 krb5_realm = EXAMPLE.COM
 3702 cache_credentials = true
 3703 
 3704 min_id = 10000
 3705 max_id = 20000
 3706 enumerate = False
 3707 </programlisting>
 3708         </para>
 3709         <para>
 3710             2. El siguiente ejemplo muestra la configuración de confianza IPA AD el
 3711 bosque AD consta de dos dominios en una estructura padre-hijo.  Supone que
 3712 el dominio IPA (ipa.com) tiene confianza con el dominio AD (ad.com).  ad.com
 3713 tiene dominio hijo (child.ad.com). Para habilitar nombres cortos en el
 3714 dominio hijo se debería usar la siguiente configuración.  <programlisting>
 3715 [domain/ipa.com/child.ad.com]
 3716 use_fully_qualified_names = false
 3717 </programlisting>
 3718         </para>
 3719         <para>
 3720             3. El siguiente ejemplo muestra la configuración para dos reglas de mapeo de
 3721 certificado. La primera es válida para el dominio configurado
 3722 <quote>my.domain</quote> y adicionalmente para los subdominios
 3723 <quote>your.domain</quote> y usa el certificado completo en el filtro de
 3724 búsqueda. El segundo ejemplo es válido para el dominio <quote>files</quote>
 3725 donde se asume que el proveedor de ficheros se usa por este dominio y
 3726 contiene la regla de coincidencia para el usuario local
 3727 <quote>myname</quote>.  <programlisting>
 3728 [certmap/my.domain/rule_name]
 3729 matchrule = &lt;ISSUER&gt;^CN=My-CA,DC=MY,DC=DOMAIN$
 3730 maprule = (userCertificate;binary={cert!bin})
 3731 domains = my.domain, your.domain
 3732 priority = 10
 3733 
 3734 [certmap/files/myname]
 3735 matchrule = &lt;ISSUER&gt;^CN=My-CA,DC=MY,DC=DOMAIN$&lt;SUBJECT&gt;^CN=User.Name,DC=MY,DC=DOMAIN$
 3736 </programlisting>
 3737         </para>
 3738     </refsect1>
 3739 
 3740     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
 3741 
 3742 </refentry>
 3743 </reference>