"Fossies" - the Fresh Open Source Software Archive

Member "sssd-2.4.2/src/man/uk/sssd.conf.5.xml" (19 Feb 2021, 232330 Bytes) of package /linux/misc/sssd-2.4.2.tar.gz:


As a special service "Fossies" has tried to format the requested source page into HTML format using (guessed) XML source code syntax highlighting (style: standard) with prefixed line numbers. Alternatively you can here view or download the uninterpreted source code file. See also the latest Fossies "Diffs" side-by-side code changes report for "sssd.conf.5.xml": 2.4.1_vs_2.4.2.

    1 <?xml version="1.0" encoding="UTF-8"?>
    2 <!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN"
    3 "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
    4 <reference>
    5 <title>Сторінки підручника SSSD</title>
    6 <refentry>
    7     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" />
    8 
    9     <refmeta>
   10         <refentrytitle>sssd.conf</refentrytitle>
   11         <manvolnum>5</manvolnum>
   12         <refmiscinfo class="manual">Формати файлів та правила</refmiscinfo>
   13     </refmeta>
   14 
   15     <refnamediv id='name'>
   16         <refname>sssd.conf</refname>
   17         <refpurpose>файл налаштування SSSD</refpurpose>
   18     </refnamediv>
   19 
   20     <refsect1 id='file-format'>
   21         <title>ФОРМАТ ФАЙЛА</title>
   22 
   23         <para>
   24             Файл складено з використанням синтаксичний конструкцій у стилі ini, він
   25 складається з розділів і окремих записів параметрів. Розділ починається з
   26 рядка назви розділу у квадратних дужках і продовжується до початку нового
   27 розділу. Приклад розділу з параметрами, які мають єдине і декілька значень:
   28 <programlisting>
   29 <replaceable>[розділ]</replaceable>
   30 <replaceable>ключ</replaceable> = <replaceable>значення</replaceable>
   31 <replaceable>ключ2</replaceable> = <replaceable>значення2,значення3</replaceable>
   32             </programlisting>
   33         </para>
   34 
   35         <para>
   36             Типами даних є рядок (без символів лапок), ціле число і булеве значення
   37 (можливі два значення — <quote>TRUE</quote> і <quote>FALSE</quote>).
   38         </para>
   39 
   40         <para>
   41             Рядок коментаря починається з символу решітки (<quote>#</quote>) або крапки
   42 з комою (<quote>;</quote>). Підтримки вбудованих коментарів не передбачено.
   43         </para>
   44 
   45         <para>
   46             Для всіх розділів передбачено додатковий параметр
   47 <replaceable>description</replaceable>. Його призначено лише для позначення
   48 розділу.
   49         </para>
   50 
   51         <para>
   52             <filename>sssd.conf</filename> має бути звичайним файлом, власником якого є
   53 користувач root. Права на читання та запис до цього файла повинен мати лише
   54 користувач root.
   55         </para>
   56     </refsect1>
   57 
   58     <refsect1 id='config-snippets'>
   59         <title>ФРАГМЕНТИ НАЛАШТУВАНЬ З КАТАЛОГУ ВКЛЮЧЕННЯ</title>
   60 
   61         <para>
   62             До файла налаштувань <filename>sssd.conf</filename> буде включено фрагменти
   63 налаштувань з каталогу <filename>conf.d</filename>. Цією можливістю можна
   64 буде скористатися, якщо SSSD було зібрано із бібліотекою libini версії 1.3.0
   65 або новішою.
   66         </para>
   67 
   68         <para>
   69             Будь-який файл, розташований у <filename>conf.d</filename>, назва якого
   70 завершується на <quote><filename>.conf</filename></quote> і не починається з
   71 крапки (<quote>.</quote>), буде використано разом із
   72 <filename>sssd.conf</filename> для налаштовування SSSD.
   73         </para>
   74 
   75         <para>
   76             Фрагменти налаштувань з <filename>conf.d</filename> мають вищий пріоритет за
   77 <filename>sssd.conf</filename>, вони мають вищий пріоритет за
   78 <filename>sssd.conf</filename>, якщо виникне конфлікт. Якщо у
   79 <filename>conf.d</filename> буде виявлено декілька фрагментів, їх буде
   80 включено за абеткою (на основі параметрів локалі). Файли, які включаються
   81 пізніше, мають вищий пріоритет. Числові префікси
   82 (<filename>01_фрагмент.conf</filename>,
   83 <filename>02_фрагмент.conf</filename> тощо) можуть допомогти у візуалізації
   84 пріоритетності (більше число означає вищу пріоритетність).
   85         </para>
   86 
   87         <para>
   88             Файли фрагментів мають належати одному користувачеві і мати однакові права
   89 доступу із файлом <filename>sssd.conf</filename>. Типовим власником є
   90 root:root, а типовими правами доступу — 0600.
   91         </para>
   92     </refsect1>
   93 
   94     <refsect1 id='general-options'>
   95         <title>ЗАГАЛЬНІ ПАРАМЕТРИ</title>
   96         <para>
   97             Нижче наведено параметри, які можна використовувати у декількох розділах
   98 налаштувань.
   99         </para>
  100         <refsect2 id='all-section-options'>
  101             <title>Параметри, які можна використовувати у всіх розділах</title>
  102             <para>
  103               <variablelist>
  104                 <varlistentry>
  105                     <term>debug_level (ціле число)</term>
  106                     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/debug_levels.xml" />
  107                 </varlistentry>
  108                 <varlistentry>
  109                     <term>debug (ціле число)</term>
  110                     <listitem>
  111                         <para>
  112                             У SSSD 1.14 і новіших версіях з міркувань зручності також передбачено
  113 альтернативний варіант <replaceable>debug</replaceable> для
  114 <replaceable>debug_level</replaceable>. Якщо вказано одразу обидва варіанти,
  115 буде використано варіант <replaceable>debug_level</replaceable>.
  116                         </para>
  117                     </listitem>
  118                 </varlistentry>
  119                 <varlistentry>
  120                     <term>debug_timestamps (булеве значення)</term>
  121                     <listitem>
  122                         <para>
  123                             Додати часову позначку до діагностичних повідомлень. Якщо для запису
  124 діагностичного журналу у SSSD увімкнено journald, цей параметр буде
  125 проігноровано.
  126                         </para>
  127                         <para>
  128                             Типове значення: true
  129                         </para>
  130                     </listitem>
  131                 </varlistentry>
  132                 <varlistentry>
  133                     <term>debug_microseconds (булеве значення)</term>
  134                     <listitem>
  135                         <para>
  136                             Додати значення мікросекунд до часової позначки у діагностичних
  137 повідомлення. Якщо для запису діагностичного журналу у SSSD увімкнено
  138 journald, цей параметр буде проігноровано.
  139                         </para>
  140                         <para>
  141                             Типове значення: false
  142                         </para>
  143                     </listitem>
  144                 </varlistentry>
  145               </variablelist>
  146             </para>
  147         </refsect2>
  148 
  149         <refsect2 id='services-and-domains-section-options'>
  150             <title>Параметри які можна використовувати у розділах SERVICE та DOMAIN</title>
  151             <para>
  152               <variablelist>
  153                 <varlistentry>
  154                     <term>timeout (ціле число)</term>
  155                     <listitem>
  156                         <para>
  157                             Проміжок у секундах між циклами роботи цієї служби. Використовується для
  158 перевірки працездатності процесу та його змоги відповідати на
  159 запити. Зауважте, що після трьох пропущених циклів процес перерве своє
  160 виконання самостійно.
  161                         </para>
  162                         <para>
  163                             Типове значення: 10
  164                         </para>
  165                     </listitem>
  166                 </varlistentry>
  167               </variablelist>
  168             </para>
  169         </refsect2>
  170     </refsect1>
  171 
  172     <refsect1 id='special-sections'>
  173         <title>ОСОБЛИВІ РОЗДІЛИ</title>
  174 
  175         <refsect2 id='services'>
  176             <title>Розділ [sssd]</title>
  177             <para>
  178                 Окремі функції у SSSD виконуються особливими службами SSSD, які запускаються
  179 і зупиняються разом SSSD. Ці служби керуються окремою службою, яку часто
  180 називають «монітором». Розділ <quote>[sssd]</quote> використовується для
  181 налаштування монітора та деяких інших важливих параметрів, зокрема доменів
  182 профілів.  <variablelist>
  183                     <title>Параметри розділу</title>
  184                     <varlistentry>
  185                         <term>config_file_version (ціле число)</term>
  186                         <listitem>
  187                             <para>
  188                                 Визначає версію синтаксичних конструкцій файла налаштування. Для версій SSSD
  189 0.6.0 та пізніших слід використовувати версію 2.
  190                             </para>
  191                         </listitem>
  192                     </varlistentry>
  193                     <varlistentry>
  194                         <term>services</term>
  195                         <listitem>
  196                             <para>
  197                                 Список служб, відокремлених комами, які запускаються разом із sssd. <phrase
  198 condition="have_systemd">Список служб є необов'язковим на платформах, де
  199 передбачено підтримку systemd, оскільки там такі служби вмикаються за
  200 допомогою сокетів або D-Bus.</phrase>
  201                             </para>
  202                             <para>
  203                                 Підтримувані служби: nss, pam <phrase condition="with_sudo">, sudo</phrase>
  204 <phrase condition="with_autofs">, autofs</phrase> <phrase
  205 condition="with_ssh">, ssh</phrase> <phrase condition="with_pac_responder">,
  206 pac</phrase> <phrase condition="with_ifp">, ifp</phrase>
  207                             </para>
  208                             <para>
  209                                 <phrase condition="have_systemd">Типово усі служби вимкнено. Адміністратор
  210 має увімкнути дозволені до використання служби за допомогою такої команди:
  211 "systemctl enable sssd-@service@.socket".  </phrase>
  212                             </para>
  213                         </listitem>
  214                     </varlistentry>
  215                     <varlistentry>
  216                         <term>reconnection_retries (ціле число)</term>
  217                         <listitem>
  218                             <para>
  219                                 Кількість повторних спроб встановлення зв’язку зі службами або їх
  220 перезапуску у разі аварійного завершення роботи інструменту надання даних до
  221 визнання подальших спроб безнадійними.
  222                             </para>
  223                             <para>
  224                                 Типове значення: 3
  225                             </para>
  226                         </listitem>
  227                     </varlistentry>
  228                     <varlistentry>
  229                         <term>domains</term>
  230                         <listitem>
  231                             <para>
  232                                 A domain is a database containing user information. SSSD can use more
  233 domains at the same time, but at least one must be configured or SSSD won't
  234 start.  This parameter describes the list of domains in the order you want
  235 them to be queried.  A domain name is recommended to contain only
  236 alphanumeric ASCII characters, dashes, dots and underscores. '/' character
  237 is forbidden.
  238                             </para>
  239                         </listitem>
  240                     </varlistentry>
  241                     <varlistentry>
  242                         <term>re_expression (рядок)</term>
  243                         <listitem>
  244                             <para>
  245                                 Типовий формальний вираз, який описує спосіб поділу рядка з іменем
  246 користувача і доменом на його частини.
  247                             </para>
  248                             <para>
  249                                 Для кожного з доменів можна налаштувати окремий формальний вираз. Для деяких
  250 з засобів надання ідентифікаторів передбачено типові формальні
  251 вирази. Докладніше про ці формальні вирази можна дізнатися з довідки до
  252 РОЗДІЛІВ ДОМЕНІВ.
  253                             </para>
  254                         </listitem>
  255                     </varlistentry>
  256                     <varlistentry>
  257                         <term>full_name_format (рядок)</term>
  258                         <listitem>
  259                             <para>
  260                                 Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle>
  261 <manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб
  262 створення повного імені на основі імені користувача та компонентів назви
  263 домену.
  264                             </para>
  265                             <para>
  266                                 Передбачено використання таких замінників: <variablelist>
  267                                     <varlistentry>
  268                                         <term>%1$s</term>
  269                                         <listitem><para>ім’я користувача</para></listitem>
  270                                     </varlistentry>
  271                                     <varlistentry>
  272                                         <term>%2$s</term>
  273                                         <listitem>
  274                                             <para>
  275                                                 назва домену у форматі, вказаному у файлі налаштувань SSSD.
  276                                             </para>
  277                                         </listitem>
  278                                     </varlistentry>
  279                                     <varlistentry>
  280                                         <term>%3$s</term>
  281                                         <listitem>
  282                                             <para>
  283                                                 проста назва домену. Здебільшого використовується для доменів Active
  284 Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA.
  285                                             </para>
  286                                         </listitem>
  287                                     </varlistentry>
  288                                 </variablelist>
  289                             </para>
  290                             <para>
  291                                 Для кожного з доменів можна налаштувати окремий рядок формату. Докладніше
  292 про ці рядки можна дізнатися з довідки до РОЗДІЛІВ ДОМЕНІВ.
  293                             </para>
  294                         </listitem>
  295                     </varlistentry>
  296                     <varlistentry>
  297                         <term>monitor_resolv_conf (булеве значення)</term>
  298                         <listitem>
  299                             <para>
  300                                 Керує тим, чи SSSD має спостерігати за станом resolv.conf для визначення
  301 моменту, коли слід оновити дані вбудованого інструмента визначення DNS.
  302                             </para>
  303                             <para>
  304                                 Типове значення: true
  305                             </para>
  306                         </listitem>
  307                     </varlistentry>
  308                     <varlistentry>
  309                         <term>try_inotify (булеве значення)</term>
  310                         <listitem>
  311                             <para>
  312                                 Типово, з метою спостереження за змінами у файлах налаштувань SSSD
  313 намагається використати inotify. Якщо використати inotify не вдається,
  314 виконуватиметься опитування resolv.conf кожні п’ять секунд.
  315                             </para>
  316                             <para>
  317                                 Зрідка бажано не вдаватися навіть до спроб скористатися inotify. У цих
  318 рідкісних випадках слід встановити для цього параметра значення «false».
  319                             </para>
  320                             <para>
  321                                 Типове значення: «true» на платформах, де підтримується inotify. «false» на
  322 інших платформах.
  323                             </para>
  324                             <para>
  325                                 Зауваження: цей параметр ні на що не вплине на платформах, де inotify
  326 недоступний. На цих платформах завжди використовуватиметься безпосереднє
  327 опитування файла.
  328                             </para>
  329                         </listitem>
  330                     </varlistentry>
  331                     <varlistentry>
  332                         <term>krb5_rcache_dir (рядок)</term>
  333                         <listitem>
  334                             <para>
  335                                 Каталог у файловій системі, де SSSD має зберігати файли кешу відтворення
  336 Kerberos.
  337                             </para>
  338                             <para>
  339                                 Цей параметр приймає особливе значення __LIBKRB5_DEFAULTS__, за допомогою
  340 якого можна наказати SSSD надати змогу libkrb5 визначити відповідну адресу
  341 для кешу відтворення.
  342                             </para>
  343                             <para>
  344                                 Типове значення: визначається дистрибутивом та вказується під час
  345 збирання. (__LIBKRB5_DEFAULTS__, якщо не вказано)
  346                             </para>
  347                         </listitem>
  348                     </varlistentry>
  349                     <varlistentry>
  350                         <term>user (рядок)</term>
  351                         <listitem>
  352                             <para>
  353                                 Користувач, до якого слід скинути права доступу, якщо це потрібно для
  354 уникнення запуску від імені користувача root. <phrase
  355 condition="have_systemd"> Цей параметр не спрацює, якщо запущено служби, які
  356 активуються сокетами, оскільки ім'я користувача для запуску налаштовується
  357 під час збирання. Параметри файлів модулів systemd можна перевизначити
  358 створенням відповідних файлів у /etc/systemd/system/. Слід пам'ятати, щоб
  359 будь-які зміни у параметрах користувача, групи чи прав доступу можуть
  360 призвести до непрацездатності SSSD. Те саме може статися, якщо змінити
  361 користувача, від імені якого запущено відповідач NSS.  </phrase>
  362                             </para>
  363                             <para>
  364                                 Типове значення: не встановлено, процес буде запущено від імені root
  365                             </para>
  366                         </listitem>
  367                     </varlistentry>
  368                     <varlistentry>
  369                         <term>default_domain_suffix (рядок)</term>
  370                         <listitem>
  371                             <para>
  372                                 Цей рядок буде використано як типову назву домену для всіх назв без
  373 компонента назви домену. Основним призначенням використання цього рядка є
  374 середовища, де основний домен призначено для керування правилами вузлів та
  375 всіма користувачами, розташованими на надійному (довіреному) домені. За
  376 допомогою цього параметра користувачі можуть входити до системи за допомогою
  377 лише імені користувача без додавання до нього назви домену.
  378                             </para>
  379                             <para>
  380                                 Будь ласка, зауважте, що якщо встановлено цей параметр, для входу до системи
  381 усім користувачам із основного домену доведеться використовувати повне ім'я
  382 користувача — користувач@назва.домену. Встановлення цього параметра змінює
  383 типове значення параметра use_fully_qualified_names на True. Цей параметр не
  384 можна використовувати у поєднанні із встановленням для параметра
  385 use_fully_qualified_names значення False. Єдиним виключенням з цього правила
  386 є домени із <quote>id_provider=files</quote>, для яких завжди виконується
  387 спроба встановлення поведінки, як відповідає nss_files, а отже, виведені
  388 імена для них не будуть повними, навіть якщо використано параметр
  389 default_domain_suffix.
  390                             </para>
  391                             <para>
  392                                 Типове значення: not set
  393                             </para>
  394                         </listitem>
  395                     </varlistentry>
  396                     <varlistentry>
  397                         <term>override_space (рядок)</term>
  398                         <listitem>
  399                             <para>
  400                                 За допомогою цього параметра можна змінити пробіли у іменах користувачів та
  401 назвах груп вказаним симовлом, наприклад _. Ім’я користувача «john doe» буде
  402 перетворено на «john_doe». Цю можливість було додано для сумісності із
  403 скриптами командної оболонки, у яких виникають проблеми із обробкою пробілів
  404 через типовий роздільник полів у оболонці.
  405                             </para>
  406                             <para>
  407                                 Будь ласка, зауважте, що використання символу-замінника, який може бути
  408 використано у іменах користувачів і назвах груп, є помилкою у
  409 налаштуваннях. Якщо назва містить символ-замінник, SSSD спробує повернути
  410 незмінену назву, але, загалом, результат пошуку буде невизначеним.
  411                             </para>
  412                             <para>
  413                                 Типове значення: не встановлено (пробіли не замінятимуться)
  414                             </para>
  415                         </listitem>
  416                     </varlistentry>
  417                     <varlistentry>
  418                         <term>certificate_verification (рядок)</term>
  419                         <listitem>
  420                             <para>
  421                                 За допомогою цього параметра можна виконати тонке налаштовування перевірки
  422 сертифікатів на основі списку параметрів, відокремлених комами. Підтримувані
  423 параметри: <variablelist>
  424                                 <varlistentry>
  425                                     <term>no_ocsp</term>
  426                                     <listitem>
  427                                         <para>Вимикає перевірки протоколу стану мережевої сертифікації (Online Certificate
  428 Status Protocol або OCSP). Це може знадобитися, якщо сервери OCSP, визначені
  429 у сертифікаті, є недоступними з клієнта.</para>
  430                                     </listitem>
  431                                 </varlistentry>
  432                                 <varlistentry>
  433                                     <term>soft_ocsp</term>
  434                                     <listitem>
  435                                         <para> If a connection cannot be established to an OCSP responder the OCSP check is
  436 skipped.  This option should be used to allow authentication when the system
  437 is offline and the OCSP responder cannot be reached.</para>
  438                                     </listitem>
  439                                 </varlistentry>
  440                                 <varlistentry>
  441                                     <term>ocsp_dgst</term>
  442                                     <listitem>
  443                                         <para>Функція обчислення контрольної суми (хешу), яку буде використано для
  444 створення ідентифікатора сертифіката для запиту OCSP. Можливі значення:
  445                                         <itemizedlist>
  446                                           <listitem><para>sha1</para></listitem>
  447                                           <listitem><para>sha256</para></listitem>
  448                                           <listitem><para>sha384</para></listitem>
  449                                           <listitem><para>sha512</para></listitem>
  450                                         </itemizedlist></para>
  451                                         <para>
  452                                             Default: sha1 (to allow compatibility with RFC5019-compliant responder)
  453                                         </para>
  454                                     </listitem>
  455                                 </varlistentry>
  456                                 <varlistentry>
  457                                     <term>no_verification</term>
  458                                     <listitem>
  459                                         <para>Повністю вимикає перевірку. Цим варіантом слід користуватися лише для
  460 тестування.</para>
  461                                     </listitem>
  462                                 </varlistentry>
  463                                 <varlistentry>
  464                                     <term>ocsp_default_responder=URL</term>
  465                                     <listitem>
  466                                         <para>Встановлює типовий відповідач OCSP, який слід використовувати замість
  467 визначеного у сертифікаті. Адресу слід замінити адресою типового
  468 відповідача, наприклад http://example.com:80/ocsp.</para>
  469                                     </listitem>
  470                                 </varlistentry>
  471                                 <varlistentry>
  472                                     <term>
  473                                     ocsp_default_responder_signing_cert=НАЗВА</term>
  474                                     <listitem>
  475                                         <para>This option is currently ignored. All needed certificates must be available
  476 in the PEM file given by pam_cert_db_path.</para>
  477                                     </listitem>
  478                                 </varlistentry>
  479                                 <varlistentry>
  480                                     <term>crl_file=/ШЛЯХ/ДО/ФАЙЛА/CRL</term>
  481                                     <listitem>
  482                                         <para>Use the Certificate Revocation List (CRL) from the given file during the
  483 verification of the certificate. The CRL must be given in PEM format, see
  484 <citerefentry> <refentrytitle>crl</refentrytitle>
  485 <manvolnum>1ssl</manvolnum> </citerefentry> for details.</para>
  486                                     </listitem>
  487                                 </varlistentry>
  488                                 <varlistentry>
  489                                     <term>soft_crl</term>
  490                                     <listitem>
  491                                         <para>
  492                                         If a Certificate Revocation List (CRL)  is expired ignore the CRL checks for
  493 the related certificates. This option should be used to allow authentication
  494 when the system is offline and the CRL cannot be renewed.</para>
  495                                     </listitem>
  496                                 </varlistentry>
  497                                 </variablelist>
  498                             </para>
  499                             <para>
  500                                 Обробник параметрів повідомлятиме про невідомі параметри і просто
  501 ігноруватиме їх.
  502                             </para>
  503                             <para>
  504                                 Типове значення: не встановлено, тобто перевірка сертифікатів нічим не
  505 обмежуватиметься
  506                             </para>
  507                         </listitem>
  508                     </varlistentry>
  509                     <varlistentry>
  510                         <term>disable_netlink (булеве значення)</term>
  511                         <listitem>
  512                             <para>
  513                                 Перехоплювачі SSSD у інтерфейсі netlink для стеження за змінами у маршрутах,
  514 адресах, посилання та виконання певних дій.
  515                             </para>
  516                             <para>
  517                                 Зміни стану SSSD, спричинені подіями netlink, можуть бути небажаними, їх
  518 можна вимкнути встановленням для цього параметра значення «true»
  519                             </para>
  520                             <para>
  521                                 Типове значення: false (виявлення змін у netlink)
  522                             </para>
  523                         </listitem>
  524                     </varlistentry>
  525                     <varlistentry>
  526                         <term>enable_files_domain (булеве значення)</term>
  527                         <listitem>
  528                             <para>
  529                                 Якщо цю можливість увімкнено, SSSD дописуватиме неявний домен із
  530 <quote>id_provider=files</quote> до усіх явним чином налаштованих доменів.
  531                             </para>
  532                             <para condition="no_enable_files_domain">
  533                                 Типове значення: false
  534                             </para>
  535                             <para condition="enable_files_domain">
  536                                 Типове значення: true
  537                             </para>
  538                         </listitem>
  539                     </varlistentry>
  540                     <varlistentry>
  541                         <term>domain_resolution_order</term>
  542                         <listitem>
  543                             <para>
  544                                 Список доменів і піддоменів, відокремлених комами, який визначає порядок
  545 пошуку, який використовуватиметься. Список не обов'язково включатиме усі
  546 можливі домени, оскільки пошук у пропущених доменах відбуватиметься у
  547 порядку, у якому їх вказано у параметрі налаштування
  548 <quote>domains</quote>. Пошук у піддоменах, яких немає у списку
  549 <quote>lookup_order</quote>, відбуватиметься у випадковому порядку для
  550 кожного батьківського домену.
  551                             </para>
  552                             <para>
  553                                 Будь ласка, зауважте, що якщо встановлено цей параметр, для виведення даних
  554 усіма командами використовуватиметься повний формат, навіть якщо у вхідних
  555 даних були скорочені назви для усіх користувачів, окрім тих, які керуються
  556 засобом надання даних файлів. Якщо адміністратору потрібні скорочені дані у
  557 виведенні, параметр full_name_format можна використати так:
  558 <quote>full_name_format=%1$s</quote> Втім, слід пам'ятати, що під час входу
  559 до облікового запису програми часто перетворюють ім'я користувача до
  560 канонічної форми, викликаючи програму <citerefentry>
  561 <refentrytitle>getpwnam</refentrytitle> <manvolnum>3</manvolnum>
  562 </citerefentry>, яка, якщо повернуто скорочену назву для повних вхідних
  563 даних (під час спроби обробки даних користувача, запис якого існує у
  564 декількох доменах) може переспрямувати спробу входу до домену, де
  565 використовуються скорочені назви, і знівелює цей обхідний маневр, якщо імена
  566 користувачів у різних доменах можуть бути однаковими.
  567                             </para>
  568                             <para>
  569                                 Типове значення: не встановлено
  570                             </para>
  571                         </listitem>
  572                     </varlistentry>
  573                 </variablelist>
  574             </para>
  575         </refsect2>
  576 
  577     </refsect1>
  578 
  579     <refsect1 id='services-sections'>
  580         <title>РОЗДІЛИ СЛУЖБ</title>
  581         <para>
  582             У цьому розділі описано параметри, якими можна скористатися для налаштування
  583 різноманітних служб. Ці параметри має бути зібрано у розділах з назвами
  584 [<replaceable>$NAME</replaceable>]. Наприклад, параметри служби NSS зібрано
  585 у розділі <quote>[nss]</quote>
  586         </para>
  587 
  588         <refsect2 id='general'>
  589             <title>Загальні параметри налаштування служб</title>
  590             <para>
  591                 Цими параметрами можна скористатися для налаштування будь-яких служб.
  592             </para>
  593             <variablelist>
  594                 <varlistentry>
  595                     <term>reconnection_retries (ціле число)</term>
  596                     <listitem>
  597                         <para>
  598                             Кількість повторних спроб встановлення зв’язку зі службами або їх
  599 перезапуску у разі аварійного завершення роботи інструменту надання даних до
  600 визнання подальших спроб безнадійними.
  601                         </para>
  602                         <para>
  603                             Типове значення: 3
  604                         </para>
  605                     </listitem>
  606                 </varlistentry>
  607                 <varlistentry>
  608                     <term>fd_limit</term>
  609                     <listitem>
  610                         <para>
  611                             За допомогою цього параметра можна визначити максимальну кількість
  612 дескрипторів файлів, які одночасно може бути відкрито цим процесом SSSD. У
  613 системах, де SSSD надано можливості CAP_SYS_RESOURCE, цей параметр
  614 використовуватиметься незалежно від інших параметрів системи. У системах без
  615 цієї можливості, кількість дескрипторів визначатиметься найменшим зі значень
  616 цього параметра і обмеженням "hard" у limits.conf.
  617                         </para>
  618                         <para>
  619                             Типове значення: 8192 (або обмеження у limits.conf "hard")
  620                         </para>
  621                     </listitem>
  622                 </varlistentry>
  623                 <varlistentry>
  624                     <term>client_idle_timeout</term>
  625                     <listitem>
  626                         <para>
  627                             За допомогою цього параметра можна визначити кількість секунд, протягом яких
  628 клієнтська частина SSSD може утримувати дескриптор файла без здійснення за
  629 його допомогою обміну даними. Таке обмеження потрібне для того, щоб уникнути
  630 вичерпання ресурсів системи. Час очікування не може бути меншим за 10
  631 секунд. Якщо у налаштуваннях вказано менше значення, його буде скориговано
  632 до 10 секунд.
  633                         </para>
  634                         <para>
  635                             Default: 60, KCM: 300
  636                         </para>
  637                     </listitem>
  638                 </varlistentry>
  639                 <varlistentry>
  640                     <term>offline_timeout (ціле число)</term>
  641                     <listitem>
  642                         <para>
  643                             Коли SSSD перемикається на автономний режим роботи, час, який має минути,
  644 перш ніж буде здійснено спробу повернутися до режиму у мережі,
  645 збільшуватиметься, відповідно до часу, проведеного у режимі від’єднання. Це
  646 значення вказується у секундах і обчислюється за такою формулою:
  647                         </para>
  648                         <para>
  649                              час_очікування_для_переходу_у_автономний_режим + випадковий_зсув
  650                         </para>
  651                         <para>
  652                             The random offset value is from 0 to 30.  After each unsuccessful attempt to
  653 go online, the new interval is recalculated by the following:
  654                         </para>
  655                         <para>
  656                             new_interval = (old_interval * 2) + random_offset
  657                         </para>
  658                         <para>
  659                             Note that the maximum length of each interval is defined by
  660 offline_timeout_max, which defaults to one hour. If the calculated length of
  661 new_interval is greater than offline_timeout_max, it will be forced to the
  662 offline_timeout_max value.
  663                         </para>
  664                         <para>
  665                             Типове значення: 60
  666                         </para>
  667                     </listitem>
  668                 </varlistentry>
  669                 <varlistentry>
  670                     <term>offline_timeout_max (integer)</term>
  671                     <listitem>
  672                         <para>
  673                             Controls by how much the time between attempts to go online can be
  674 incremented following unsuccessful attempts to go online.
  675                         </para>
  676                         <para>
  677                             A value of 0 disables the incrementing behaviour.
  678                         </para>
  679                         <para>
  680                             The value of this parameter should be set in correlation to offline_timeout
  681 parameter value.
  682                         </para>
  683                         <para>
  684                             With offline_timeout set to 60 (default value) there is no point in setting
  685 offlinet_timeout_max to less than 120 as it will saturate instantly. General
  686 rule here should be to set offline_timeout_max to at least 4 times
  687 offline_timeout.
  688                         </para>
  689                         <para>
  690                             Although a value between 0 and offline_timeout may be specified, it has the
  691 effect of overriding the offline_timeout value so is of little use.
  692                         </para>
  693                         <para>
  694                             Default: 3600
  695                         </para>
  696                     </listitem>
  697                 </varlistentry>
  698                 <varlistentry>
  699                     <term>responder_idle_timeout</term>
  700                     <listitem>
  701                         <para>
  702                             Цей параметр визначає кількість секунд, протягом яких процес відповідача
  703 SSSD може працювати без використання. Це значення обмежено з метою уникнення
  704 вичерпання ресурсів системи. Мінімальним прийнятним значенням для цього
  705 параметра є 60 секунд. Встановлення для цього параметра значення 0 (нуль)
  706 означає, що для відповідача не встановлюватиметься ніякого часу
  707 очікування. Цей параметр враховуватиметься, лише якщо SSSD зібрано з
  708 підтримкою systemd і якщо служби активуються за допомогою або сокетів або
  709 D-Bus.
  710                         </para>
  711                         <para>
  712                             Типове значення: 300
  713                         </para>
  714                     </listitem>
  715                 </varlistentry>
  716                 <varlistentry>
  717                     <term>cache_first</term>
  718                     <listitem>
  719                         <para>
  720                             Цей параметр визначає, чи слід відповідачеві опитати усі кеші до надсилання
  721 запису до модулів засобів надання даних.
  722                         </para>
  723                         <para>
  724                             Типове значення: false
  725                         </para>
  726                     </listitem>
  727                 </varlistentry>
  728             </variablelist>
  729         </refsect2>
  730 
  731         <refsect2 id='NSS'>
  732             <title>Параметри налаштування NSS</title>
  733             <para>
  734                 Цими параметрами можна скористатися для налаштування служби Name Service
  735 Switch (NSS або перемикання служби визначення назв).
  736             </para>
  737             <variablelist>
  738                 <varlistentry>
  739                     <term>enum_cache_timeout (ціле число)</term>
  740                     <listitem>
  741                         <para>
  742                             Тривалість зберігання переліків (запитів щодо даних всіх користувачів) у
  743 кеші nss_sss у секундах
  744                         </para>
  745                         <para>
  746                             Типове значення: 120
  747                         </para>
  748                     </listitem>
  749                 </varlistentry>
  750                 <varlistentry>
  751                     <term>entry_cache_nowait_percentage (ціле число)</term>
  752                     <listitem>
  753                         <para>
  754                             Можна встановити кеш записів для автоматичного оновлення записів у фоновому
  755 режимі, якщо запит щодо них надходить у визначений у відсотках від
  756 entry_cache_timeout для домену період часу.
  757                         </para>
  758                         <para>
  759                             Наприклад, якщо entry_cache_timeout домену встановлено у значення 30s, а
  760 entry_cache_nowait_percentage — у значення 50 (у відсотках), записи, які
  761 надійдуть за 15 секунд після останнього оновлення кешу, буде повернуто
  762 одразу, але SSSD оновить власний кеш, отже наступні запити очікуватимуть на
  763 розблокування після оновлення кешу.
  764                         </para>
  765                         <para>
  766                             Коректними значеннями цього параметра є 0-99. Ці значення відповідають
  767 відсоткам entry_cache_timeout для кожного з доменів. З міркувань покращення
  768 швидкодії це відсоткове значення ніколи не зменшуватиме час очікування
  769 nowait до значення, меншого за 10 секунд. Визначення значення 0 вимкне цю
  770 можливість.
  771                         </para>
  772                         <para>
  773                             Типове значення: 50
  774                         </para>
  775                     </listitem>
  776                 </varlistentry>
  777                 <varlistentry>
  778                     <term>entry_negative_timeout (ціле число)</term>
  779                     <listitem>
  780                         <para>
  781                             Визначає кількість секунд, протягом яких nss_sss має кешувати негативні
  782 результати пошуку у кеші (тобто запити щодо некоректних записів у базі
  783 даних, зокрема неіснуючих) перед повторним запитом до сервера обробки.
  784                         </para>
  785                         <para>
  786                             Типове значення: 15
  787                         </para>
  788                     </listitem>
  789                 </varlistentry>
  790                 <varlistentry>
  791                     <term>local_negative_timeout (ціле число)</term>
  792                     <listitem>
  793                         <para>
  794                             Визначає кількість секунд, протягом яких nss_sss має зберігати негативні
  795 результати пошуку у кеші користувачів і груп, перші ніж намагатися знову
  796 шукати їх за допомогою модуля надання даних. Встановлення значення 0 вимикає
  797 цю можливість.
  798                         </para>
  799                         <para>
  800                             Типове значення: 14400 (4 години)
  801                         </para>
  802                     </listitem>
  803                 </varlistentry>
  804                 <varlistentry>
  805                     <term>filter_users, filter_groups (рядок)</term>
  806                     <listitem>
  807                         <para>
  808                             Виключити певних користувачів або групи зі списку отримання даних з бази
  809 даних NSS sss. Таке виключення може бути корисним для облікових записів
  810 керування системою. Цей параметр також можна встановлювати для кожного з
  811 доменів окремо або включити до нього імена користувачів повністю для
  812 обмеження списку користувачами лише з певного домену або за назвою
  813 реєстраційного запису користувача (UPN).
  814                         </para>
  815                         <para>
  816                             ЗАУВАЖЕННЯ: параметр filter_groups не впливає на успадкованість вкладених
  817 записів групи, оскільки фільтрування відбувається після їх передавання для
  818 повернення за допомогою NSS. Наприклад, у списку групи, що містить вкладену
  819 групу, яку відфільтровано, залишатимуться записи користувачів
  820 відфільтрованої групи.
  821                         </para>
  822                         <para>
  823                             Типове значення: root
  824                         </para>
  825                     </listitem>
  826                 </varlistentry>
  827                 <varlistentry>
  828                     <term>filter_users_in_groups (булеве значення)</term>
  829                     <listitem>
  830                         <para>
  831                             Якщо ви хочете, щоб фільтровані користувачі залишалися учасниками груп,
  832 встановіть для цього параметра значення «false».
  833                         </para>
  834                         <para>
  835                             Типове значення: true
  836                         </para>
  837                     </listitem>
  838                 </varlistentry>
  839                 <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/override_homedir.xml" />
  840                 <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/homedir_substring.xml" />
  841                 <varlistentry>
  842                     <term>fallback_homedir (рядок)</term>
  843                     <listitem>
  844                         <para>
  845                             Встановити типовий шаблон назви домашнього каталогу користувача, якщо цей
  846 каталог не вказано явним чином засобом надання даних домену.
  847                         </para>
  848                         <para>
  849                             Можливі варіанти значень для цього параметра збігаються з варіантами значень
  850 для параметра override_homedir.
  851                         </para>
  852                         <para>
  853                             приклад: <programlisting>
  854 fallback_homedir = /home/%u
  855                             </programlisting>
  856                         </para>
  857                         <para>
  858                             Типове значення: не встановлено (без замін для невстановлених домашніх
  859 каталогів)
  860                         </para>
  861                     </listitem>
  862                 </varlistentry>
  863                 <varlistentry>
  864                     <term>override_shell (рядок)</term>
  865                     <listitem>
  866                         <para>
  867                             Перевизначити командну оболонку входу до системи для усіх користувачів. Цей
  868 параметр має пріоритет над будь-якими іншими параметрами визначення
  869 командної оболонки, якщо він діє. Його можна встановити або у розділі [nss]
  870 або для кожного з доменів окремо.
  871                         </para>
  872                         <para>
  873                             Типове значення: не встановлено (SSSD використовуватиме значення, отримане
  874 від LDAP)
  875                         </para>
  876                     </listitem>
  877                 </varlistentry>
  878                 <varlistentry>
  879                     <term>allowed_shells (рядок)</term>
  880                     <listitem>
  881                         <para>
  882                             Обмежити перелік можливих командних оболонок користувачів вказаними. Порядок
  883 визначення оболонки є таким:
  884                         </para>
  885                         <para>
  886                             1. Якщо оболонку вказано у <quote>/etc/shells</quote>, її буде використано.
  887                         </para>
  888                         <para>
  889                             2. Якщо оболонку вказано у списку allowed_shells, але її немає у списку
  890 <quote>/etc/shells</quote>, буде використано значення параметра
  891 shell_fallback.
  892                         </para>
  893                         <para>
  894                             3. Якщо оболонку не вказано у списку allowed_shells і її немає у списку
  895 <quote>/etc/shells</quote>, буде використано оболонку nologin.
  896                         </para>
  897                         <para>
  898                             Для визначення будь-якої командної оболонки можна скористатися шаблоном
  899 заміни (*).
  900                         </para>
  901                         <para>
  902                             Значенням (*) варто користуватися, якщо ви хочете скористатися
  903 shell_fallback, коли командної оболонки користувача немає у «/etc/shells», а
  904 супровід списку усіх командних оболонок у allowed_shells є надто марудною
  905 справою.
  906                         </para>
  907                         <para>
  908                             Порожній рядок оболонки буде передано без обробки до libc.
  909                         </para>
  910                         <para>
  911                             Читання <quote>/etc/shells</quote> виконується лише під час запуску SSSD,
  912 тобто у разі встановлення нової оболонки слід перезапустити SSSD.
  913                         </para>
  914                         <para>
  915                             Типове значення: не встановлено. Автоматично використовується оболонка
  916 користувача.
  917                         </para>
  918                     </listitem>
  919                 </varlistentry>
  920                 <varlistentry>
  921                     <term>vetoed_shells (рядок)</term>
  922                     <listitem>
  923                         <para>
  924                             Замінити всі записи цих оболонок на shell_fallback
  925                         </para>
  926                     </listitem>
  927                 </varlistentry>
  928                 <varlistentry>
  929                     <term>shell_fallback (рядок)</term>
  930                     <listitem>
  931                         <para>
  932                             Типова оболонка, яку слід використовувати, якщо дозволеної оболонки у
  933 системі не встановлено.
  934                         </para>
  935                         <para>
  936                             Типове значення: /bin/sh
  937                         </para>
  938                     </listitem>
  939                 </varlistentry>
  940                 <varlistentry>
  941                     <term>default_shell</term>
  942                     <listitem>
  943                         <para>
  944                             Типова командна оболонка, яку буде використано, якщо засобом надання даних
  945 не було повернуто назви оболонки під час пошуку. Цей параметр можна вказати
  946 або на загальному рівні у розділі [nss], або окремо для кожного з доменів.
  947                         </para>
  948                         <para>
  949                             Типове значення: не встановлено (повернути NULL, якщо оболонку не
  950 встановлено і покластися на libc у визначенні потрібного програмі значення,
  951 зазвичай /bin/sh)
  952                         </para>
  953                     </listitem>
  954                 </varlistentry>
  955                 <varlistentry>
  956                     <term>get_domains_timeout (ціле число)</term>
  957                     <listitem>
  958                         <para>
  959                             Визначає час у секундах, протягом якого список піддоменів вважатиметься
  960 чинним.
  961                         </para>
  962                         <para>
  963                             Типове значення: 60
  964                         </para>
  965                     </listitem>
  966                 </varlistentry>
  967                 <varlistentry>
  968                     <term>memcache_timeout (integer)</term>
  969                     <listitem>
  970                         <para>
  971                             Визначає час у секундах, протягом якого список піддоменів вважатиметься
  972 чинним. Встановлення для цього параметра нульового значення вимикає кеш у
  973 пам'яті.
  974                         </para>
  975                         <para>
  976                             Типове значення: 300
  977                         </para>
  978                         <para>
  979                             Попередження: вимикання кешу у пам'яті значно погіршить швидкодію SSSD, ним
  980 варто користуватися лише для тестування.
  981                         </para>
  982                         <para>
  983                             ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено
  984 значення «NO», клієнтські програми не використовуватимуть fast у кеші у
  985 пам’яті.
  986                         </para>
  987                     </listitem>
  988                 </varlistentry>
  989                 <varlistentry>
  990                     <term>memcache_size_passwd (integer)</term>
  991                     <listitem>
  992                         <para>
  993                             Size (in megabytes) of the data table allocated inside fast in-memory cache
  994 for passwd requests.  Setting the size to 0 will disable the passwd
  995 in-memory cache.
  996                         </para>
  997                         <para>
  998                             Типове значення: 8
  999                         </para>
 1000                         <para>
 1001                             WARNING: Disabled or too small in-memory cache can have significant negative
 1002 impact on SSSD's performance.
 1003                         </para>
 1004                         <para>
 1005                             ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено
 1006 значення «NO», клієнтські програми не використовуватимуть fast у кеші у
 1007 пам’яті.
 1008                         </para>
 1009                     </listitem>
 1010                 </varlistentry>
 1011                 <varlistentry>
 1012                     <term>memcache_size_group (integer)</term>
 1013                     <listitem>
 1014                         <para>
 1015                             Size (in megabytes) of the data table allocated inside fast in-memory cache
 1016 for group requests.  Setting the size to 0 will disable the group in-memory
 1017 cache.
 1018                         </para>
 1019                         <para>
 1020                             Типове значення: 6
 1021                         </para>
 1022                         <para>
 1023                             WARNING: Disabled or too small in-memory cache can have significant negative
 1024 impact on SSSD's performance.
 1025                         </para>
 1026                         <para>
 1027                             ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено
 1028 значення «NO», клієнтські програми не використовуватимуть fast у кеші у
 1029 пам’яті.
 1030                         </para>
 1031                     </listitem>
 1032                 </varlistentry>
 1033                 <varlistentry>
 1034                     <term>memcache_size_initgroups (integer)</term>
 1035                     <listitem>
 1036                         <para>
 1037                             Size (in megabytes) of the data table allocated inside fast in-memory cache
 1038 for initgroups requests.  Setting the size to 0 will disable the initgroups
 1039 in-memory cache.
 1040                         </para>
 1041                         <para>
 1042                             Типове значення: 10
 1043                         </para>
 1044                         <para>
 1045                             WARNING: Disabled or too small in-memory cache can have significant negative
 1046 impact on SSSD's performance.
 1047                         </para>
 1048                         <para>
 1049                             ЗАУВАЖЕННЯ: якщо для змінної середовища SSS_NSS_USE_MEMCACHE встановлено
 1050 значення «NO», клієнтські програми не використовуватимуть fast у кеші у
 1051 пам’яті.
 1052                         </para>
 1053                     </listitem>
 1054                 </varlistentry>
 1055                 <varlistentry>
 1056                     <term>user_attributes (рядок)</term>
 1057                     <listitem>
 1058                         <para>
 1059                             Деякі із додаткових запитів до відповідача NSS можуть повертати більшу
 1060 кількість атрибутів, ніж це визначено POSIX для інтерфейсу NSS. Списком
 1061 атрибутів можна керувати за допомогою цього параметра. Обробка виконується у
 1062 той самий спосіб, що і для параметра «user_attributes» відповідача InfoPipe
 1063 (див. <citerefentry> <refentrytitle>sssd-ifp</refentrytitle>
 1064 <manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше), але без
 1065 типових значень.
 1066                         </para>
 1067                         <para>
 1068                             Щоб полегшити налаштовування відповідач NSS перевірятиме параметр InfoPipe
 1069 на те, чи не встановлено його для відповідача NSS.
 1070                         </para>
 1071                         <para>
 1072                             Типове значення: не встановлено, резервне значення визначається за
 1073 параметром InfoPipe
 1074                         </para>
 1075                     </listitem>
 1076                 </varlistentry>
 1077                 <varlistentry>
 1078                     <term>pwfield (рядок)</term>
 1079                     <listitem>
 1080                         <para>
 1081                             Значення, яке повертають операції NSS, які повертають записи користувачів чи
 1082 груп, для поля <quote>password</quote>.
 1083                         </para>
 1084                         <para>
 1085                             Default: <quote>*</quote>
 1086                         </para>
 1087                         <para>
 1088                             Note: This option can also be set per-domain which overwrites the value in
 1089 [nss] section.
 1090                         </para>
 1091                         <para>
 1092                             Default: <quote>not set</quote> (remote domains), <quote>x</quote> (the
 1093 files domain), <quote>x</quote> (proxy domain with nss_files and
 1094 sssd-shadowutils target)
 1095                         </para>
 1096                     </listitem>
 1097                 </varlistentry>
 1098             </variablelist>
 1099         </refsect2>
 1100         <refsect2 id='PAM'>
 1101             <title>Параметри налаштування PAM</title>
 1102             <para>
 1103                 Цими параметрами можна скористатися для налаштування служби Pluggable
 1104 Authentication Module (PAM або блокового модуля розпізнавання).
 1105             </para>
 1106             <variablelist>
 1107                 <varlistentry>
 1108                     <term>offline_credentials_expiration (ціле число)</term>
 1109                     <listitem>
 1110                         <para>
 1111                             У разі неможливості встановлення з’єднання з сервером розпізнавання визначає
 1112 тривалість зберігання кешованих входів (у днях з часу останнього успішного
 1113 входу до системи).
 1114                         </para>
 1115                         <para>
 1116                             Типове значення: 0 (без обмежень)
 1117                         </para>
 1118                     </listitem>
 1119                 </varlistentry>
 1120 
 1121                 <varlistentry>
 1122                     <term>offline_failed_login_attempts (ціле число)</term>
 1123                     <listitem>
 1124                         <para>
 1125                             У разі неможливості встановлення з’єднання з сервером розпізнавання визначає
 1126 дозволену кількість спроб входу з визначенням помилкового пароля.
 1127                         </para>
 1128                         <para>
 1129                             Типове значення: 0 (без обмежень)
 1130                         </para>
 1131                     </listitem>
 1132                 </varlistentry>
 1133 
 1134                 <varlistentry>
 1135                     <term>offline_failed_login_delay (ціле число)</term>
 1136                     <listitem>
 1137                         <para>
 1138                             Час у хвилинах, який має пройти між досягненням значення
 1139 offline_failed_login_attempts і повторним вмиканням можливості входу до
 1140 системи.
 1141                         </para>
 1142                         <para>
 1143                             Якщо встановлено значення 0, користувач не зможе пройти розпізнавання у
 1144 автономному режимі, якщо буде досягнуто значення
 1145 offline_failed_login_attempts. Лише успішне розпізнавання може знову
 1146 увімкнути можливість автономного розпізнавання.
 1147                         </para>
 1148                         <para>
 1149                             Типове значення: 5
 1150                         </para>
 1151                     </listitem>
 1152                 </varlistentry>
 1153 
 1154                 <varlistentry>
 1155                     <term>pam_verbosity (ціле число)</term>
 1156                     <listitem>
 1157                         <para>
 1158                             Керує типами повідомлень, які буде показано користувачеві під час
 1159 розпізнавання. Чим більшим є значення, тим більше повідомлень буде показано.
 1160                         </para>
 1161                         <para>
 1162                              У поточній версії sssd передбачено підтримку таких значень:
 1163                         </para>
 1164                         <para>
 1165                              <emphasis>0</emphasis>: не показувати жодних повідомлень
 1166                         </para>
 1167                         <para>
 1168                              <emphasis>1</emphasis>: показувати лише важливі повідомлення
 1169                         </para>
 1170                         <para>
 1171                              <emphasis>2</emphasis>: показувати всі інформаційні повідомлення
 1172                         </para>
 1173                         <para>
 1174                              <emphasis>3</emphasis>: показувати всі повідомлення та діагностичні дані
 1175                         </para>
 1176                         <para>
 1177                             Типове значення: 1
 1178                         </para>
 1179                     </listitem>
 1180                 </varlistentry>
 1181 
 1182                 <varlistentry>
 1183                     <term>pam_response_filter (string)</term>
 1184                     <listitem>
 1185                         <para>
 1186                             Список рядків, відокремлених комами, за допомогою якого можна вилучати
 1187 (фільтрувати) дані, які надсилаються відповідачем PAM до модуля PAM
 1188 pam_sss. Існують різні тип відповідей, які надсилаються до pam_sss,
 1189 наприклад повідомлення, які показуються користувачеві, або змінні
 1190 середовища, які слід встановлювати за допомогою pam_sss.
 1191                         </para>
 1192                         <para>
 1193                             Хоча повідомленнями вже можна керувати за допомогою параметра pam_verbosity,
 1194 за допомогою цього параметра можна відфільтрувати також інші типи
 1195 повідомлень.
 1196                         </para>
 1197                         <para>
 1198                             У поточній версії передбачено підтримку таких фільтрів: <variablelist>
 1199                                 <varlistentry><term>ENV</term>
 1200                                     <listitem><para>Не надсилати жодних змінних середовища до жодної служби.</para></listitem>
 1201                                 </varlistentry>
 1202                                 <varlistentry><term>ENV:назва_змінної</term>
 1203                                     <listitem><para>Не надсилати змінної середовища назва_змінної до жодної служби.</para></listitem>
 1204                                 </varlistentry>
 1205                                 <varlistentry><term>ENV:назва_змінної:служба</term>
 1206                                     <listitem><para>Не надсилати змінної середовища назва_змінної до вказаної служби.</para></listitem>
 1207                                 </varlistentry>
 1208                             </variablelist>
 1209                         </para>
 1210                         <para>
 1211                             Типове значення: not set
 1212                         </para>
 1213                         <para>
 1214                             Приклад: ENV:KRB5CCNAME:sudo-i
 1215                         </para>
 1216                     </listitem>
 1217                 </varlistentry>
 1218 
 1219                 <varlistentry>
 1220                   <term>pam_id_timeout (ціле число)</term>
 1221                   <listitem>
 1222                     <para>
 1223                       Для кожного з запитів PAM під час роботи SSSD система SSSD зробить спробу
 1224 негайно оновити кешовані дані щодо профілю користувача з метою переконатися,
 1225 що розпізнавання виконується на основі найсвіжіших даних.
 1226                     </para>
 1227                     <para>
 1228                       Повний обмін даними сеансу PAM може включати декілька запитів PAM, зокрема
 1229 для керування обліковими записами та відкриття сеансів. За допомогою цього
 1230 параметра можна керувати (для окремих клієнтів-програм) тривалістю (у
 1231 секундах) кешування даних профілю з метою уникнути повторних викликів засобу
 1232 надання даних профілів.
 1233                     </para>
 1234                     <para>
 1235                       Типове значення: 5
 1236                     </para>
 1237                   </listitem>
 1238                 </varlistentry>
 1239 
 1240                 <varlistentry>
 1241                   <term>pam_pwd_expiration_warning (ціле число)</term>
 1242                   <listitem>
 1243                     <para>
 1244                       Показати попередження за вказану кількість днів перед завершенням дії
 1245 пароля.
 1246                     </para>
 1247                     <para>
 1248                       Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення
 1249 дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати
 1250 попередження.
 1251                     </para>
 1252                     <para>
 1253                       Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто
 1254 якщо з сервера обробки надійде попередження щодо завершення строку дії, його
 1255 буде автоматично показано.
 1256                     </para>
 1257                     <para>
 1258                       Цей параметр може бути перевизначено встановленням параметра
 1259 <emphasis>pwd_expiration_warning</emphasis> для окремого домену.
 1260                     </para>
 1261                     <para>
 1262                       Типове значення: 0
 1263                     </para>
 1264                   </listitem>
 1265                 </varlistentry>
 1266                 <varlistentry>
 1267                     <term>get_domains_timeout (ціле число)</term>
 1268                     <listitem>
 1269                         <para>
 1270                             Визначає час у секундах, протягом якого список піддоменів вважатиметься
 1271 чинним.
 1272                         </para>
 1273                         <para>
 1274                             Типове значення: 60
 1275                         </para>
 1276                     </listitem>
 1277                 </varlistentry>
 1278                 <varlistentry>
 1279                     <term>pam_trusted_users (рядок)</term>
 1280                     <listitem>
 1281                         <para>
 1282                             Визначає список відокремлених комами значень UID або імен користувачів, яким
 1283 дозволено виконувати обмін даними PAM із довіреними доменами. Користувачі,
 1284 яких не включено до цього списку, можуть отримувати доступ лише до доменів,
 1285 які позначено як загальнодоступні (public) за допомогою
 1286 <quote>pam_public_domains</quote>. Імена користувачів перетворюються на UID
 1287 під час запуску системи.
 1288                         </para>
 1289                         <para>
 1290                             Типове значення: типово усі користувачі вважаються надійними (довіреними)
 1291                         </para>
 1292                         <para>
 1293                             Будь ласка, зауважте, що користувачеві з UID 0 завжди мають доступ до
 1294 відповідача PAM, навіть якщо користувача немає у списку pam_trusted_users.
 1295                         </para>
 1296                     </listitem>
 1297                 </varlistentry>
 1298                 <varlistentry>
 1299                     <term>pam_public_domains (рядок)</term>
 1300                     <listitem>
 1301                         <para>
 1302                             Визначає список назв доменів, відокремлених комами, доступ до яких можуть
 1303 отримувати навіть ненадійні користувачі.
 1304                         </para>
 1305                         <para>
 1306                             Визначено два спеціальних значення параметра pam_public_domains:
 1307                         </para>
 1308                         <para>
 1309                             all (Ненадійним користувачам відкрито доступ до усіх доменів у відповідачі
 1310 PAM.)
 1311                         </para>
 1312                         <para>
 1313                             none (Ненадійним користувачам заборонено доступ до усіх доменів PAM у
 1314 відповідачі.)
 1315                         </para>
 1316                         <para>
 1317                             Типове значення: none
 1318                         </para>
 1319                     </listitem>
 1320                 </varlistentry>
 1321                 <varlistentry>
 1322                     <term>pam_account_expired_message (рядок)</term>
 1323                     <listitem>
 1324                         <para>
 1325                            Надає змогу встановити нетипове повідомлення щодо завершення строку дії, яке
 1326 замінити типове повідомлення «Доступ заборонено» («Permission denied»).
 1327                         </para>
 1328                         <para>
 1329                             Зауваження: будь ласка, зверніть увагу на те, що повідомлення буде виведено
 1330 для служби SSH, лише якщо pam_verbosity не встановлено у значення 3
 1331 (показувати усі повідомлення і діагностичні дані).
 1332                         </para>
 1333                         <para>
 1334                             приклад: <programlisting>
 1335 pam_account_expired_message = Account expired, please contact help desk.
 1336                             </programlisting>
 1337                         </para>
 1338                         <para>
 1339                             Типове значення: none
 1340                         </para>
 1341                     </listitem>
 1342                 </varlistentry>
 1343                 <varlistentry>
 1344                     <term>pam_account_locked_message (рядок)</term>
 1345                     <listitem>
 1346                         <para>
 1347                            Надає змогу встановити нетипове повідомлення щодо блокування, яке замінити
 1348 типове повідомлення «Доступ заборонено» («Permission denied»).
 1349                         </para>
 1350                         <para>
 1351                             приклад: <programlisting>
 1352 pam_account_locked_message = Account locked, please contact help desk.
 1353                             </programlisting>
 1354                         </para>
 1355                         <para>
 1356                             Типове значення: none
 1357                         </para>
 1358                     </listitem>
 1359                 </varlistentry>
 1360                 <varlistentry>
 1361                     <term>pam_cert_auth (булеве значення)</term>
 1362                     <listitem>
 1363                         <para>
 1364                             Увімкнути сертифікацію на основі розпізнавання за смарткартками. Оскільки це
 1365 потребує додаткового обміну даним із смарткарткою, що затримує процес
 1366 розпізнавання, типово таку сертифікацію вимкнено.
 1367                         </para>
 1368                         <para>
 1369                             Типове значення: False
 1370                         </para>
 1371                     </listitem>
 1372                 </varlistentry>
 1373                 <varlistentry>
 1374                     <term>pam_cert_db_path (рядок)</term>
 1375                     <listitem>
 1376                         <para>
 1377                             Шлях до бази даних сертифікатів.
 1378                         </para>
 1379                         <para>
 1380                             Типове значення:
 1381                             <itemizedlist>
 1382                                 <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA
 1383 certificates in PEM format)
 1384                                           </para>
 1385                                 </listitem>
 1386                             </itemizedlist>
 1387                         </para>
 1388                     </listitem>
 1389                 </varlistentry>
 1390                 <varlistentry>
 1391                     <term>p11_child_timeout (ціле число)</term>
 1392                     <listitem>
 1393                         <para>
 1394                             Час у секундах, протягом якого pam_sss очікуватиме на завершення роботи
 1395 p11_child.
 1396                         </para>
 1397                         <para>
 1398                             Типове значення: 10
 1399                         </para>
 1400                     </listitem>
 1401                 </varlistentry>
 1402                 <varlistentry>
 1403                     <term>pam_app_services (рядок)</term>
 1404                     <listitem>
 1405                         <para>
 1406                             Визначає, яким службам PAM дозволено встановлювати з'єднання із доменами
 1407 типу <quote>application</quote>
 1408                         </para>
 1409                         <para>
 1410                             Типове значення: не встановлено
 1411                         </para>
 1412                     </listitem>
 1413                 </varlistentry>
 1414                 <varlistentry>
 1415                     <term>pam_p11_allowed_services (ціле число)</term>
 1416                     <listitem>
 1417                         <para>
 1418                             Список назв служб PAM, відокремлених комами, для яких буде дозволено
 1419 використання смарткарток.
 1420                         </para>
 1421                         <para>
 1422                             Можна додати іншу назву служби PAM до типового набору за допомогою
 1423 конструкції «+назва_служби» або явним чином вилучити назву служби PAM з
 1424 типового набору за допомогою конструкції «-назва_служби». Наприклад, щоб
 1425 замінити типову назву служби PAM для розпізнавання за смарткарткою
 1426 (наприклад, «login») з нетиповою назвою служби PAM (наприклад,
 1427 «my_pam_service»), вам слід скористатися такими налаштуваннями: <programlisting>
 1428 pam_p11_allowed_services = +my_pam_service, -login
 1429                             </programlisting>
 1430                         </para>
 1431                         <para>
 1432                             Типове значення: типовий набір назв служб PAM складається з таких значень:
 1433                             <itemizedlist>
 1434                                 <listitem>
 1435                                     <para>
 1436                                         login
 1437                                     </para>
 1438                                 </listitem>
 1439                                 <listitem>
 1440                                     <para>
 1441                                         su
 1442                                     </para>
 1443                                 </listitem>
 1444                                 <listitem>
 1445                                     <para>
 1446                                         su-l
 1447                                     </para>
 1448                                 </listitem>
 1449                                 <listitem>
 1450                                     <para>
 1451                                         gdm-smartcard
 1452                                     </para>
 1453                                 </listitem>
 1454                                 <listitem>
 1455                                     <para>
 1456                                         gdm-password
 1457                                     </para>
 1458                                 </listitem>
 1459                                 <listitem>
 1460                                     <para>
 1461                                         kdm
 1462                                     </para>
 1463                                 </listitem>
 1464                                 <listitem>
 1465                                     <para>
 1466                                         sudo
 1467                                     </para>
 1468                                 </listitem>
 1469                                 <listitem>
 1470                                     <para>
 1471                                         sudo-i
 1472                                     </para>
 1473                                 </listitem>
 1474                                 <listitem>
 1475                                     <para>
 1476                                         gnome-screensaver
 1477                                     </para>
 1478                                 </listitem>
 1479                             </itemizedlist>
 1480                         </para>
 1481                     </listitem>
 1482                 </varlistentry>
 1483                 <varlistentry>
 1484                     <term>p11_wait_for_card_timeout (ціле число)</term>
 1485                     <listitem>
 1486                         <para>
 1487                             Якщо обов'язковим є розпізнавання за смарткарткою, кількість додаткових
 1488 секунд, які буде додано до p11_child_timeout, протягом яких відповідача PAM
 1489 має чекати на вставлення смарткартки.
 1490                         </para>
 1491                         <para>
 1492                             Типове значення: 60
 1493                         </para>
 1494                     </listitem>
 1495                 </varlistentry>
 1496                 <varlistentry>
 1497                     <term>p11_uri (рядок)</term>
 1498                     <listitem>
 1499                         <para>
 1500                             Адреса PKCS#11 (докладніший опис можна знайти у RFC-7512), якою можна
 1501 скористатися для обмеження переліку пристроїв, які використовуються для
 1502 розпізнавання за допомогою смарткартки. Типово, p11_child зі складу SSSD
 1503 виконуватиме пошук слоту PKCS#11 (зчитувача), для якого встановлено прапорці
 1504 «removable» («портативний») і читатиме сертифікати із першого знайденого
 1505 слоту вставленого ключа. Якщо з комп'ютером буде з'єднано декілька
 1506 зчитувачів, можна скористатися p11_uri для повідомлення p11_child про те, що
 1507 слід використовувати вказаний зчитувач.
 1508                         </para>
 1509                         <para>
 1510                             Приклади: <programlisting>
 1511 p11_uri = slot-description=My%20Smartcard%20Reader
 1512                             </programlisting> або <programlisting>
 1513 p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
 1514                             </programlisting> Для визначення відповідної адреси,
 1515 ознайомтеся із файлом діагностичних даних p11_child. Крім того, можна
 1516 скористатися програмою GnuTLS p11tool, наприклад, із параметром --list-all,
 1517 який покаже і адреси PKCS#11.
 1518                         </para>
 1519                         <para>
 1520                             Типове значення: none
 1521                         </para>
 1522                     </listitem>
 1523                 </varlistentry>
 1524                 <varlistentry>
 1525                     <term>pam_initgroups_scheme</term>
 1526                     <listitem>
 1527                         <para>
 1528                             Відповідач PAM може примусово застосувати пошук у мережі, щоб отримати
 1529 поточну групу членства користувача, який намагається увійти до системи. Цей
 1530 параметр керує тим, коли це слід робити. Передбачено можливість встановлення
 1531 таких значень: <variablelist>
 1532                             <varlistentry><term>always</term>
 1533                                 <listitem><para>Завжди виконувати пошук у мережі. Будь ласка, зауважте, що pam_id_timeout
 1534 буде все одно застосовано</para></listitem>
 1535                             </varlistentry>
 1536                             <varlistentry><term>no_session</term>
 1537                                 <listitem><para>Виконувати пошук у мережі, лише якщо немає активного сеансу користувача,
 1538 тобто якщо користувач не працює у системі</para></listitem>
 1539                             </varlistentry>
 1540                             <varlistentry><term>never</term>
 1541                                 <listitem><para>Ніколи не виконувати пошук у мережі примусово, використовувати дані з кешу,
 1542 аж доки вони не застаріють</para></listitem>
 1543                             </varlistentry>
 1544                             </variablelist>
 1545                         </para>
 1546                         <para>
 1547                             Типове значення: no_session
 1548                         </para>
 1549                     </listitem>
 1550                 </varlistentry>
 1551                 <varlistentry>
 1552                     <term>pam_gssapi_services</term>
 1553                     <listitem>
 1554                         <para>
 1555                             Comma separated list of PAM services that are allowed to try GSSAPI
 1556 authentication using pam_sss_gss.so module.
 1557                         </para>
 1558                         <para>
 1559                             To disable GSSAPI authentication, set this option to <quote>-</quote>
 1560 (dash).
 1561                         </para>
 1562                         <para>
 1563                             Note: This option can also be set per-domain which overwrites the value in
 1564 [pam] section. It can also be set for trusted domain which overwrites the
 1565 value in the domain section.
 1566                         </para>
 1567                         <para>
 1568                             Приклад: <programlisting>
 1569 pam_gssapi_services = sudo, sudo-i
 1570                             </programlisting>
 1571                         </para>
 1572                         <para>
 1573                             Default: - (GSSAPI authentication is disabled)
 1574                         </para>
 1575                     </listitem>
 1576                 </varlistentry>
 1577                 <varlistentry>
 1578                     <term>pam_gssapi_check_upn</term>
 1579                     <listitem>
 1580                         <para>
 1581                             If True, SSSD will require that the Kerberos user principal that
 1582 successfully authenticated through GSSAPI can be associated with the user
 1583 who is being authenticated. Authentication will fail if the check fails.
 1584                         </para>
 1585                         <para>
 1586                             If False, every user that is able to obtained required service ticket will
 1587 be authenticated.
 1588                         </para>
 1589                         <para>
 1590                             Note: This option can also be set per-domain which overwrites the value in
 1591 [pam] section. It can also be set for trusted domain which overwrites the
 1592 value in the domain section.
 1593                         </para>
 1594                         <para>
 1595                             Типове значення: True
 1596                         </para>
 1597                     </listitem>
 1598                 </varlistentry>
 1599                 <varlistentry>
 1600                     <term>pam_gssapi_indicators_map</term>
 1601                     <listitem>
 1602                         <para>
 1603                            Comma separated list of authentication indicators required to be present in
 1604 a Kerberos ticket to access a PAM service that is allowed to try GSSAPI
 1605 authentication using pam_sss_gss.so module.
 1606                         </para>
 1607                         <para>
 1608                            Each element of the list can be either an authentication indicator name or a
 1609 pair <quote>service:indicator</quote>. Indicators not prefixed with the PAM
 1610 service name will be required to access any PAM service configured to be
 1611 used with <option>pam_gssapi_services</option>. A resulting list of
 1612 indicators per PAM service is then checked against indicators in the
 1613 Kerberos ticket during authentication by pam_sss_gss.so. Any indicator from
 1614 the ticket that matches the resulting list of indicators for the PAM service
 1615 would grant access. If none of the indicators in the list match, access will
 1616 be denied. If the resulting list of indicators for the PAM service is empty,
 1617 the check will not prevent the access.
 1618                         </para>
 1619                         <para>
 1620                            To disable GSSAPI authentication indicator check, set this option to
 1621 <quote>-</quote> (dash). To disable the check for a specific PAM service,
 1622 add <quote>service:-</quote>.
 1623                         </para>
 1624                         <para>
 1625                            Note: This option can also be set per-domain which overwrites the value in
 1626 [pam] section. It can also be set for trusted domain which overwrites the
 1627 value in the domain section.
 1628                         </para>
 1629                         <para>
 1630                             Following authentication indicators are supported by IPA Kerberos
 1631 deployments:
 1632                             <itemizedlist>
 1633                                 <listitem>
 1634                                     <para>pkinit -- pre-authentication using X.509 certificates -- whether stored in
 1635 files or on smart cards.</para>
 1636                                 </listitem>
 1637                                 <listitem>
 1638                                     <para>hardened -- SPAKE pre-authentication or any pre-authentication wrapped in a
 1639 FAST channel.</para>
 1640                                 </listitem>
 1641                                 <listitem>
 1642                                     <para>radius -- pre-authentication with the help of a RADIUS server.</para>
 1643                                 </listitem>
 1644                                 <listitem>
 1645                                     <para>otp -- pre-authentication using integrated two-factor authentication (2FA or
 1646 one-time password, OTP) in IPA.</para>
 1647                                 </listitem>
 1648                             </itemizedlist>
 1649                         </para>
 1650                         <para>
 1651                             Example: to require access to SUDO services only for users which obtained
 1652 their Kerberos tickets with a X.509 certificate pre-authentication (PKINIT),
 1653 set <programlisting>
 1654 pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit
 1655                             </programlisting>
 1656                         </para>
 1657                         <para>
 1658                             Default: not set (use of authentication indicators is not required)
 1659                         </para>
 1660                     </listitem>
 1661                 </varlistentry>
 1662             </variablelist>
 1663         </refsect2>
 1664 
 1665         <refsect2 id='SUDO' condition="with_sudo">
 1666             <title>Параметри налаштування SUDO</title>
 1667             <para>
 1668                 Цими параметрами можна скористатися для налаштовування служби sudo. Докладні
 1669 настанови щодо налаштовування <citerefentry>
 1670 <refentrytitle>sudo</refentrytitle> <manvolnum>8</manvolnum> </citerefentry>
 1671 на роботу з <citerefentry> <refentrytitle>sssd</refentrytitle>
 1672 <manvolnum>8</manvolnum> </citerefentry> можна знайти на сторінці довідника
 1673 <citerefentry> <refentrytitle>sssd-sudo</refentrytitle>
 1674 <manvolnum>5</manvolnum> </citerefentry>.
 1675             </para>
 1676             <variablelist>
 1677                 <varlistentry>
 1678                     <term>sudo_timed (булеве значення)</term>
 1679                     <listitem>
 1680                         <para>
 1681                             Визначає, чи слід обробляти атрибути sudoNotBefore і sudoNotAfter,
 1682 призначені для визначення часових обмежень для записів sudoers.
 1683                         </para>
 1684                         <para>
 1685                             Типове значення: false
 1686                         </para>
 1687                     </listitem>
 1688                 </varlistentry>
 1689             </variablelist>
 1690             <variablelist>
 1691                 <varlistentry>
 1692                     <term>sudo_threshold (ціле число)</term>
 1693                     <listitem>
 1694                         <para>
 1695                             Максимальна кількість застарілих правил, які можна оновлювати за один
 1696 крок. Якщо кількість застарілих правил є нижчою за це порогове значення,
 1697 правила буде оновлено за допомогою механізму <quote>rules
 1698 refresh</quote>. Якщо порогове значення перевищено, замість нього буде
 1699 використано <quote>full refresh</quote> з правил sudo. Це порогове значення
 1700 також стосується команди sudo IPA та групових пошуків команд.
 1701                         </para>
 1702                         <para>
 1703                             Типове значення: 50
 1704                         </para>
 1705                     </listitem>
 1706                 </varlistentry>
 1707             </variablelist>
 1708         </refsect2>
 1709 
 1710         <refsect2 id='AUTOFS' condition="with_autofs">
 1711             <title>Параметри налаштування AUTOFS</title>
 1712             <para>
 1713                 Цими параметрами можна скористатися для налаштування служби autofs.
 1714             </para>
 1715             <variablelist>
 1716                 <varlistentry>
 1717                     <term>autofs_negative_timeout (ціле число)</term>
 1718                     <listitem>
 1719                         <para>
 1720                             Визначає кількість секунд, протягом яких відповідач autofs має кешувати
 1721 негативні результати пошуку у кеші (тобто запити щодо некоректних записів у
 1722 базі даних, зокрема неіснуючих) перед повторним запитом до сервера обробки.
 1723                         </para>
 1724                         <para>
 1725                             Типове значення: 15
 1726                         </para>
 1727                     </listitem>
 1728                 </varlistentry>
 1729             </variablelist>
 1730             <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/autofs_restart.xml" />
 1731         </refsect2>
 1732 
 1733         <refsect2 id='SSH' condition="with_ssh">
 1734             <title>Параметри налаштувань SSH</title>
 1735             <para>
 1736                 Цими параметрами можна скористатися для налаштування служби SSH.
 1737             </para>
 1738             <variablelist>
 1739                 <varlistentry>
 1740                     <term>ssh_hash_known_hosts (булеве значення)</term>
 1741                     <listitem>
 1742                         <para>
 1743                             Чи слід хешувати назви та адреси вузлів у керованому файлі known_hosts.
 1744                         </para>
 1745                         <para>
 1746                             Типове значення: true
 1747                         </para>
 1748                     </listitem>
 1749                 </varlistentry>
 1750                 <varlistentry>
 1751                     <term>ssh_known_hosts_timeout (ціле число)</term>
 1752                     <listitem>
 1753                         <para>
 1754                             Кількість секунд, протягом яких запису вузла зберігатиметься у керованому
 1755 файлі known_hosts після надсилання запиту щодо ключів вузла.
 1756                         </para>
 1757                         <para>
 1758                             Типове значення: 180
 1759                         </para>
 1760                     </listitem>
 1761                 </varlistentry>
 1762                 <varlistentry>
 1763                     <term>ssh_use_certificate_keys (булеве значення)</term>
 1764                     <listitem>
 1765                         <para>
 1766                             Якщо встановлено значення true, <command>sss_ssh_authorizedkeys</command>
 1767 поверне ключі ssh, які походять від відкритого ключа сертифікатів X.509, які
 1768 також зберігаються у записі користувача. Докладніше про це на сторінці
 1769 підручника <citerefentry>
 1770 <refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
 1771 <manvolnum>1</manvolnum> </citerefentry>.
 1772                         </para>
 1773                         <para>
 1774                             Типове значення: true
 1775                         </para>
 1776                     </listitem>
 1777                 </varlistentry>
 1778                 <varlistentry>
 1779                     <term>ssh_use_certificate_matching_rules (рядок)</term>
 1780                     <listitem>
 1781                         <para>
 1782                             Типово, відповідач SSH буде використовувати усі доступні правила
 1783 встановлення відповідності сертифікатів для фільтрування сертифікатів, тому
 1784 ключі SSH будуть створюватися лише на основі відповідних правилам
 1785 сертифікатів. За допомогою цього параметра можна обмежити перелік
 1786 використаних правил на основі списку назв правил прив'язки і відповідності,
 1787 відокремлених комами. Усі інші правила буде проігноровано.
 1788                         </para>
 1789                         <para>
 1790                             Передбачено два спеціальних ключових слова «all_rules» та «no_rules», які
 1791 вмикають або вимикають усі правила, відповідно. Останній випадок означає, що
 1792 сертифікати не фільтруватимуться, а ключі ssh буде створено з усіх коректних
 1793 сертифікатів.
 1794                         </para>
 1795                         <para>
 1796                             Якщо не налаштовано жодного правила, «all_rules» увімкне типове правило, яке
 1797 дозволяє використання усіх сертифікатів, які придатні для розпізнавання
 1798 клієнта. Це та сама поведінка, що для відповідача PAM, якщо увімкнено
 1799 розпізнавання за сертифікатом.
 1800                         </para>
 1801                         <para>
 1802                             Визначення назви правила, якої не існує, вважатиметься помилкою. Якщо в
 1803 результаті не буде вибрано жодного правила, усі сертифікати буде
 1804 проігноровано.
 1805                         </para>
 1806                         <para>
 1807                             Default: not set, equivalent to 'all_rules', all found rules or the default
 1808 rule are used
 1809                         </para>
 1810                     </listitem>
 1811                 </varlistentry>
 1812                 <varlistentry>
 1813                     <term>ca_db (рядок)</term>
 1814                     <listitem>
 1815                         <para>
 1816                             Шлях до сховища довірених сертифікатів CA. Параметр використовується для
 1817 перевірки сертифікатів користувачів до отримання з них відкритих ключів ssh.
 1818                         </para>
 1819                         <para>
 1820                             Типове значення:
 1821                             <itemizedlist>
 1822                                 <listitem><para>/etc/sssd/pki/sssd_auth_ca_db.pem (path to a file with trusted CA
 1823 certificates in PEM format)
 1824                                           </para>
 1825                                 </listitem>
 1826                             </itemizedlist>
 1827                         </para>
 1828                     </listitem>
 1829                 </varlistentry>
 1830             </variablelist>
 1831         </refsect2>
 1832 
 1833         <refsect2 id='PAC_RESPONDER' condition="with_pac_responder">
 1834             <title>Параметри налаштування відповідача PAC</title>
 1835             <para>
 1836                 Відповідач PAC працює разом з додатком даних уповноваження для
 1837 sssd_pac_plugin.so зі складу MIT Kerberos та засобу надання даних
 1838 піддоменів. Цей додаток надсилає до відповідача PAC дані PAC під час
 1839 розпізнавання за допомогою GSSAPI. Засіб надання даних піддоменів збирає
 1840 дані щодо діапазонів SID і ID домену, до якого долучено клієнт, та
 1841 віддалених надійних доменів з локального контролера доменів. Якщо PAC
 1842 декодовано і визначено, виконуються деякі з таких дій:
 1843                 <itemizedlist>
 1844                     <listitem><para>Якщо у кеші немає даних віддаленого користувача, запис цих даних буде
 1845 створено. UID буде визначено за допомогою SID, надійні домени матимуть UPG,
 1846 а gid матиме те саме значення, що і UID. Дані домашнього каталогу буде
 1847 засновано на значенні параметра subdomain_homedir. Типово, для командної
 1848 оболонки буде вибрано порожнє значення, тобто використовуватимуться типові
 1849 параметри системи. Значення для оболонки можна змінити за допомогою
 1850 параметра default_shell.</para>
 1851                     </listitem>
 1852                     <listitem><para>Якщо існують SID груп з доменів, про які відомо SSSD, запис користувача буде
 1853 додано до цих груп.
 1854                     </para></listitem>
 1855                 </itemizedlist>
 1856             </para>
 1857             <para>
 1858                 Цими параметрами можна скористатися для налаштовування відповідача PAC.
 1859             </para>
 1860             <variablelist>
 1861                 <varlistentry>
 1862                     <term>allowed_uids (рядок)</term>
 1863                     <listitem>
 1864                         <para>
 1865                             Визначає список значень UID або імен користувачів, відокремлених
 1866 комами. Користувачам з цього списку буде дозволено доступ до відповідача
 1867 PAC. UID за іменами користувачів визначатимуться під час запуску.
 1868                         </para>
 1869                         <para>
 1870                             Типове значення: 0 (доступ до відповідача PAC має лише адміністративний
 1871 користувач (root))
 1872                         </para>
 1873                         <para>
 1874                             Будь ласка, зауважте, що хоча типово використовується UID 0, значення UID
 1875 буде перевизначено на основі цього параметра. Якщо ви хочете надати
 1876 адміністративному користувачеві (root) доступ до відповідача PAC, що може
 1877 бути типовим варіантом, вам слід додати до списку UID з правами доступу
 1878 запис 0.
 1879                         </para>
 1880                     </listitem>
 1881                 </varlistentry>
 1882                 <varlistentry>
 1883                     <term>pac_lifetime (ціле число)</term>
 1884                     <listitem>
 1885                         <para>
 1886                             Строк дії запису PAC у секундах. Якщо PAC є чинним, дані PAC можна
 1887 використовувати для визначення членства користувача у групі.
 1888                         </para>
 1889                         <para>
 1890                             Типове значення: 300
 1891                         </para>
 1892                     </listitem>
 1893                 </varlistentry>
 1894             </variablelist>
 1895         </refsect2>
 1896 
 1897         <refsect2 id='SESSION_RECORDING'>
 1898             <title>Параметри налаштовування запису сеансів</title>
 1899             <para>
 1900                 Запис сеансів працює у зв'язці з <citerefentry>
 1901 <refentrytitle>tlog-rec-session</refentrytitle> <manvolnum>8</manvolnum>
 1902 </citerefentry>, частиною пакунка tlog, для запису даних, які бачать і
 1903 вводять користувачі після входу до текстового термінала. Див. також
 1904 <citerefentry> <refentrytitle>sssd-session-recording</refentrytitle>
 1905 <manvolnum>5</manvolnum> </citerefentry>.
 1906             </para>
 1907             <para>
 1908                 Цими параметрами можна скористатися для налаштовування запису сеансів.
 1909             </para>
 1910             <variablelist>
 1911                 <varlistentry>
 1912                     <term>scope (рядок)</term>
 1913                     <listitem>
 1914                         <para>
 1915                             Один із вказаних нижче рядків, що визначають область запису сеансів:
 1916 <variablelist>
 1917                                 <varlistentry>
 1918                                     <term>"none"</term>
 1919                                     <listitem>
 1920                                         <para>
 1921                                             Користувачі не записуються.
 1922                                         </para>
 1923                                     </listitem>
 1924                                 </varlistentry>
 1925                                 <varlistentry>
 1926                                     <term>"some"</term>
 1927                                     <listitem>
 1928                                         <para>
 1929                                             Запис вестиметься для користувачів і груп, вказаних параметрами
 1930 <replaceable>користувачі</replaceable> і <replaceable>групи</replaceable>.
 1931                                         </para>
 1932                                     </listitem>
 1933                                 </varlistentry>
 1934                                 <varlistentry>
 1935                                     <term>"all"</term>
 1936                                     <listitem>
 1937                                         <para>
 1938                                             Усі користувачі записуються.
 1939                                         </para>
 1940                                     </listitem>
 1941                                 </varlistentry>
 1942                             </variablelist>
 1943                         </para>
 1944                         <para>
 1945                             Типове значення: none
 1946                         </para>
 1947                     </listitem>
 1948                 </varlistentry>
 1949                 <varlistentry>
 1950                     <term>users (рядок)</term>
 1951                     <listitem>
 1952                         <para>
 1953                             Список відокремлених комами записів користувачів, для яких увімкнено
 1954 записування сеансів. Належність до списку визначатиметься за іменами,
 1955 повернутими NSS, тобто після можливих замін пробілів, змін регістру символів
 1956 тощо.
 1957                         </para>
 1958                         <para>
 1959                             Типове значення: порожнє. Не відповідає жодному користувачу.
 1960                         </para>
 1961                     </listitem>
 1962                 </varlistentry>
 1963                 <varlistentry>
 1964                     <term>groups (рядок)</term>
 1965                     <listitem>
 1966                         <para>
 1967                             Список відокремлених комами записів груп, для користувачів яких буде
 1968 увімкнено записування сеансів. Належність до списку визначатиметься за
 1969 назвами, повернутими NSS, тобто після можливих замін пробілів, змін регістру
 1970 символів тощо.
 1971                         </para>
 1972                         <para>
 1973                             Зауваження: використання цього параметра (встановлення для нього будь-якого
 1974 значення) значно впливає на швидкодію, оскільки некешований запит щодо
 1975 користувача потребує отримання і встановлення відповідності груп, до яких
 1976 належить користувач.
 1977                         </para>
 1978                         <para>
 1979                             Типове значення: порожнє. Не відповідає жодній групі.
 1980                         </para>
 1981                     </listitem>
 1982                 </varlistentry>
 1983                 <varlistentry>
 1984                     <term>exclude_users (string)</term>
 1985                     <listitem>
 1986                         <para>
 1987                             A comma-separated list of users to be excluded from recording, only
 1988 applicable with 'scope=all'.
 1989                         </para>
 1990                         <para>
 1991                             Default: Empty. No users excluded.
 1992                         </para>
 1993                     </listitem>
 1994                 </varlistentry>
 1995                 <varlistentry>
 1996                     <term>exclude_groups (string)</term>
 1997                     <listitem>
 1998                         <para>
 1999                             A comma-separated list of groups, members of which should be excluded from
 2000 recording. Only applicable with 'scope=all'.
 2001                         </para>
 2002                         <para>
 2003                             Зауваження: використання цього параметра (встановлення для нього будь-якого
 2004 значення) значно впливає на швидкодію, оскільки некешований запит щодо
 2005 користувача потребує отримання і встановлення відповідності груп, до яких
 2006 належить користувач.
 2007                         </para>
 2008                         <para>
 2009                             Default: Empty. No groups excluded.
 2010                         </para>
 2011                     </listitem>
 2012                 </varlistentry>
 2013             </variablelist>
 2014         </refsect2>
 2015 
 2016     </refsect1>
 2017 
 2018     <refsect1 id='domain-sections'>
 2019         <title>РОЗДІЛИ ДОМЕНІВ</title>
 2020         <para>
 2021             Ці параметри налаштування може бути вказано у розділі налаштування домену,
 2022 тобто у розділі з назвою
 2023 <quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> <variablelist>
 2024                 <varlistentry>
 2025                     <term>enabled</term>
 2026                     <listitem>
 2027                         <para>
 2028                             Explicitly enable or disable the domain. If <quote>true</quote>, the domain
 2029 is always <quote>enabled</quote>. If <quote>false</quote>, the domain is
 2030 always <quote>disabled</quote>. If this option is not set, the domain is
 2031 enabled only if it is listed in the domains option in the
 2032 <quote>[sssd]</quote> section.
 2033                         </para>
 2034                     </listitem>
 2035                 </varlistentry>
 2036 
 2037                 <varlistentry>
 2038                     <term>domain_type (рядок)</term>
 2039                     <listitem>
 2040                         <para>
 2041                             Визначає, чи призначено домен для використання клієнтами у стандарті POSIX,
 2042 зокрема NSS, або програмами, які не потребують наявності або створення даних
 2043 POSIX. Інтерфейсам та інструментам операційних систем доступні лише об'єкти
 2044 з доменів POSIX.
 2045                         </para>
 2046                         <para>
 2047                             Дозволеними значеннями цього параметра є <quote>posix</quote> і
 2048 <quote>application</quote>.
 2049                         </para>
 2050                         <para>
 2051                             Домени POSIX доступні для усіх служб. Домени програм доступні лише з
 2052 відповідача InfoPipe (див. <citerefentry>
 2053 <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum>
 2054 </citerefentry>) і відповідача PAM.
 2055                         </para>
 2056                         <para>
 2057                             ЗАУВАЖЕННЯ: належне тестування у поточній версії виконано лише для доменів
 2058 application з <quote>id_provider=ldap</quote>.
 2059                         </para>
 2060                         <para>
 2061                             Щоб ознайомитися із простим способом налаштовування не-POSIX доменів, будь
 2062 ласка, ознайомтеся із розділом <quote>Домени програм</quote>.
 2063                         </para>
 2064                         <para>
 2065                             Типове значення: posix
 2066                         </para>
 2067                     </listitem>
 2068                 </varlistentry>
 2069 
 2070                 <varlistentry>
 2071                     <term>min_id,max_id (ціле значення)</term>
 2072                     <listitem>
 2073                         <para>
 2074                             Обмеження UID і GID для домену. Якщо у домені міститься запис, що не
 2075 відповідає цим обмеженням, його буде проігноровано.
 2076                         </para>
 2077                         <para>
 2078                             Для користувачів зміна цього параметра вплине на основне обмеження
 2079 GID. Запис користувача не буде повернуто до NSS, якщо UID або основний GID
 2080 не належать вказаному діапазону. Записи користувачів, які не є учасниками
 2081 основної групи і належать діапазону, буде виведено у звичайному режимі.
 2082                         </para>
 2083                         <para>
 2084                             Ці обмеження на ідентифікатори стосуються і збереження записів до кешу, не
 2085 лише повернення записів за назвою або ідентифікатором.
 2086                         </para>
 2087                         <para>
 2088                             Типові значення: 1 для min_id, 0 (без обмежень) для max_id
 2089                         </para>
 2090                     </listitem>
 2091                 </varlistentry>
 2092 
 2093                 <varlistentry>
 2094                     <term>enumerate (булеве значення)</term>
 2095                     <listitem>
 2096                         <para>
 2097                             Визначає, чи можна нумерувати домен, тобто, чи може домен створити список
 2098 усіх користувачів і груп, які у ньому містяться. Зауважте, що вмикання
 2099 нумерування не є обов'язковим для показу вторинних груп. Цей параметр може
 2100 мати такі значення:
 2101                         </para>
 2102                         <para>
 2103                             TRUE = користувачі і групи нумеруються
 2104                         </para>
 2105                         <para>
 2106                             FALSE = не використовувати нумерацію для цього домену
 2107                         </para>
 2108                         <para>
 2109                             Типове значення: FALSE
 2110                         </para>
 2111                         <para>
 2112                             Нумерування домену потребує від SSSD отримання і зберігання усіх записів
 2113 користувачів і груп із віддаленого сервера.
 2114                         </para>
 2115                         <para>
 2116                             Зауваження: вмикання нумерації помірно знизить швидкодію SSSD на час
 2117 виконання нумерації. Нумерація може тривати до декількох хвилин після
 2118 запуску SSSD. Протягом виконання нумерації окремі запити щодо даних буде
 2119 надіслано безпосередньо до LDAP, хоча і з уповільненням через навантаження
 2120 системи виконанням нумерації. Збереження великої кількості записів до кешу
 2121 після завершення нумерації може також значно навантажити процесор, оскільки
 2122 повторне визначення параметрів участі також іноді є складним завданням. Це
 2123 може призвести до проблем із отриманням відповіді від процесу
 2124 <quote>sssd_be</quote> або навіть перезапуску усього засобу стеження.
 2125                         </para>
 2126                         <para>
 2127                             Під час першого виконання нумерації запити щодо повних списків користувачів
 2128 та груп можуть не повертати жодних результатів, аж доки нумерацію не буде
 2129 завершено.
 2130                         </para>
 2131                         <para>
 2132                             Крім того, вмикання нумерації може збільшити час, потрібний для виявлення
 2133 того, що мережеве з’єднання розірвано, оскільки потрібне буде збільшення
 2134 часу очікування для забезпечення успішного завершення пошуків нумерації. Щоб
 2135 отримати додаткову інформацію, зверніться до сторінок довідника (man)
 2136 відповідного використаного засобу обробки ідентифікаторів (id_provider).
 2137                         </para>
 2138                         <para>
 2139                             З вказаних вище причин не рекомендуємо вам вмикати нумерацію, особливо у
 2140 об’ємних середовищах.
 2141                         </para>
 2142                     </listitem>
 2143                 </varlistentry>
 2144 
 2145                 <varlistentry>
 2146                     <term>subdomain_enumerate (рядок)</term>
 2147                     <listitem>
 2148                         <para>
 2149                             Визначає, чи слід нумерувати усі автоматично виявлені надійні (довірені)
 2150 домени. Підтримувані значення: <variablelist>
 2151                                 <varlistentry>
 2152                                     <term>all</term>
 2153                                     <listitem><para>Усі виявлені надійні домени буде пронумеровано</para></listitem>
 2154                                 </varlistentry>
 2155                                 <varlistentry>
 2156                                     <term>none</term>
 2157                                     <listitem><para>Нумерація виявлених надійних доменів не виконуватиметься</para></listitem>
 2158                                 </varlistentry>
 2159                             </variablelist>
 2160 Якщо потрібно, можна вказати список з однієї або декількох назв надійних
 2161 доменів, для яких буде увімкнено нумерацію.
 2162                         </para>
 2163                         <para>
 2164                             Типове значення: none
 2165                         </para>
 2166                     </listitem>
 2167                 </varlistentry>
 2168 
 2169                 <varlistentry>
 2170                     <term>entry_cache_timeout (ціле число)</term>
 2171                     <listitem>
 2172                         <para>
 2173                             Кількість секунд, протягом яких nss_sss вважатиме записи чинними, перш ніж
 2174 надсилати повторний запит до сервера
 2175                         </para>
 2176                         <para>
 2177                             Дані щодо часових позначок завершення строку дії записів кешу зберігаються
 2178 як атрибути окремих об’єктів у кеші. Тому зміна часу очікування на дані у
 2179 кеші впливає лише на нові записи та записи, строк дії яких вичерпано. Для
 2180 примусового оновлення записів, які вже було кешовано, вам слід запустити
 2181 програму <citerefentry> <refentrytitle>sss_cache</refentrytitle>
 2182 <manvolnum>8</manvolnum> </citerefentry>.
 2183                         </para>
 2184                         <para>
 2185                             Типове значення: 5400
 2186                         </para>
 2187                     </listitem>
 2188                 </varlistentry>
 2189 
 2190                 <varlistentry>
 2191                     <term>entry_cache_user_timeout (ціле число)</term>
 2192                     <listitem>
 2193                         <para>
 2194                             Кількість секунд, протягом яких nss_sss вважатиме записи користувачів
 2195 чинними, перш ніж надсилати повторний запит до сервера
 2196                         </para>
 2197                         <para>
 2198                             Типове значення: entry_cache_timeout
 2199                         </para>
 2200                     </listitem>
 2201                 </varlistentry>
 2202 
 2203                 <varlistentry>
 2204                     <term>entry_cache_group_timeout (ціле число)</term>
 2205                     <listitem>
 2206                         <para>
 2207                             Кількість секунд, протягом яких nss_sss вважатиме записи груп чинними, перш
 2208 ніж надсилати повторний запит до сервера
 2209                         </para>
 2210                         <para>
 2211                             Типове значення: entry_cache_timeout
 2212                         </para>
 2213                     </listitem>
 2214                 </varlistentry>
 2215 
 2216                 <varlistentry>
 2217                     <term>entry_cache_netgroup_timeout (ціле число)</term>
 2218                     <listitem>
 2219                         <para>
 2220                             Кількість секунд, протягом яких nss_sss вважатиме записи мережевих груп
 2221 чинними, перш ніж надсилати повторний запит до сервера
 2222                         </para>
 2223                         <para>
 2224                             Типове значення: entry_cache_timeout
 2225                         </para>
 2226                     </listitem>
 2227                 </varlistentry>
 2228 
 2229                 <varlistentry>
 2230                     <term>entry_cache_service_timeout (ціле число)</term>
 2231                     <listitem>
 2232                         <para>
 2233                             Кількість секунд, протягом яких nss_sss вважатиме записи служб чинними, перш
 2234 ніж надсилати повторний запит до сервера
 2235                         </para>
 2236                         <para>
 2237                             Типове значення: entry_cache_timeout
 2238                         </para>
 2239                     </listitem>
 2240                 </varlistentry>
 2241 
 2242                 <varlistentry>
 2243                     <term>entry_cache_resolver_timeout (ціле число)</term>
 2244                     <listitem>
 2245                         <para>
 2246                             Кількість секунд, протягом яких nss_sss вважатиме записи вузлів і мереж
 2247 чинними, перш ніж надсилати повторний запит до сервера
 2248                         </para>
 2249                         <para>
 2250                             Типове значення: entry_cache_timeout
 2251                         </para>
 2252                     </listitem>
 2253                 </varlistentry>
 2254 
 2255                 <varlistentry condition="with_sudo">
 2256                     <term>entry_cache_sudo_timeout (ціле число)</term>
 2257                     <listitem>
 2258                         <para>
 2259                             Кількість секунд, протягом яких sudo вважатиме правила чинними, перш ніж
 2260 надсилати повторний запит до сервера
 2261                         </para>
 2262                         <para>
 2263                             Типове значення: entry_cache_timeout
 2264                         </para>
 2265                     </listitem>
 2266                 </varlistentry>
 2267 
 2268                 <varlistentry condition="with_autofs">
 2269                     <term>entry_cache_autofs_timeout (ціле число)</term>
 2270                     <listitem>
 2271                         <para>
 2272                             Кількість секунд, протягом яких служба autofs вважатиме карти автомонтування
 2273 чинними, перш ніж надсилати повторний запит до сервера
 2274                         </para>
 2275                         <para>
 2276                             Типове значення: entry_cache_timeout
 2277                         </para>
 2278                     </listitem>
 2279                 </varlistentry>
 2280 
 2281                 <varlistentry condition="with_ssh">
 2282                     <term>entry_cache_ssh_host_timeout (ціле число)</term>
 2283                     <listitem>
 2284                         <para>
 2285                             Кількість секунд, протягом яких слід зберігати ключ ssh вузла після
 2286 оновлення. Іншими словами, параметр визначає тривалість зберігання ключа
 2287 вузла у кеші.
 2288                         </para>
 2289                         <para>
 2290                             Типове значення: entry_cache_timeout
 2291                         </para>
 2292                     </listitem>
 2293                 </varlistentry>
 2294 
 2295                 <varlistentry>
 2296                     <term>entry_cache_computer_timeout (ціле число)</term>
 2297                     <listitem>
 2298                         <para>
 2299                             Кількість секунд, протягом яких слід зберігати запис локального комп'ютера,
 2300 перш ніж надсилати запит до модуля обробки даних знову
 2301                         </para>
 2302                         <para>
 2303                             Типове значення: entry_cache_timeout
 2304                         </para>
 2305                     </listitem>
 2306                 </varlistentry>
 2307 
 2308                 <varlistentry>
 2309                     <term>refresh_expired_interval (ціле число)</term>
 2310                     <listitem>
 2311                         <para>
 2312                             Визначає кількість секунд, протягом яких SSSD має очікувати до запуску
 2313 завдання з оновлення у фоновому режимі записів кешу, строк дії яких
 2314 вичерпано або майже вичерпано.
 2315                         </para>
 2316                         <para>
 2317                             Під час фонового оновлення виконуватиметься обробка записів користувачів,
 2318 груп та мережевих груп у кеші. для записів користувачів, для яких
 2319 виконувалися дії з ініціювання груп (отримання даних щодо участі користувача
 2320 у групах, які типово виконуються під час входу до системи), буде оновлено і
 2321 запис користувача, і дані щодо участі у групах.
 2322                         </para>
 2323                         <para>
 2324                             Цей параметр автоматично успадковується для усіх довірених доменів.
 2325                         </para>
 2326                         <para>
 2327                             Варто визначити для цього параметра значення 3/4 * entry_cache_timeout.
 2328                         </para>
 2329                         <para>
 2330                             Запис кешу буде оновлено фоновим завданням, якщо минуло 2/3 часу очікування
 2331 на застарівання кешу. Якщо у кеші вже є записи, фонове завдання звернеться
 2332 до значень часу очікування на застарівання початкових записів, а не
 2333 поточного значення у налаштуваннях. Це може призвести до ситуації, у якій
 2334 здаватиметься, що фонове завдання із оновлення записів не працює. Так
 2335 зроблено спеціально для удосконалення роботи в автономному режимі і
 2336 повторного використання наявних коректних записів у кеші. Щоб зробити
 2337 використання внесеної зміни постійним, користувачу варто вручну скасувати
 2338 чинність наявного кешу.
 2339                         </para>
 2340                         <para>
 2341                             Типове значення: 0 (вимкнено)
 2342                         </para>
 2343                     </listitem>
 2344                 </varlistentry>
 2345 
 2346                 <varlistentry>
 2347                     <term>cache_credentials (булеве значення)</term>
 2348                     <listitem>
 2349                         <para>
 2350                             Визначає, чи слід також кешувати реєстраційні дані користувача у локальному
 2351 кеші LDB
 2352                         </para>
 2353                         <para>
 2354                             Реєстраційні дані користувача зберігаються у форматі хешу SHA512, а не у
 2355 форматі звичайного тексту
 2356                         </para>
 2357                         <para>
 2358                             Типове значення: FALSE
 2359                         </para>
 2360                     </listitem>
 2361                 </varlistentry>
 2362 
 2363                 <varlistentry>
 2364                     <term>cache_credentials_minimal_first_factor_length (ціле число)</term>
 2365                     <listitem>
 2366                         <para>
 2367                             Якщо використано двофакторне розпізнавання (2FA) і реєстраційні дані мають
 2368 зберігатися, це значення визначає мінімальну довжину першого фактора
 2369 розпізнавання (довготривалого пароля), який має бути збережено у форматі
 2370 контрольної суми SHA512 у кеші.
 2371                         </para>
 2372                         <para>
 2373                             Таким чином забезпечується уникнення випадку, коли короткі PIN-коди
 2374 заснованої на PIN-кодах схеми 2FA зберігаються у кеші, що робить їх простою
 2375 мішенню атак із перебиранням паролів.
 2376                         </para>
 2377                         <para>
 2378                             Типове значення: 8
 2379                         </para>
 2380                     </listitem>
 2381                 </varlistentry>
 2382 
 2383                 <varlistentry>
 2384                     <term>account_cache_expiration (ціле число)</term>
 2385                     <listitem>
 2386                         <para>
 2387                             Кількість днів, протягом яких записи залишатимуться у кеші після успішного
 2388 входу до системи до вилучення під час спорожнення кешу. 0 — не вилучати
 2389 записи. Значення цього параметра має бути більшим або рівним значенню
 2390 offline_credentials_expiration.
 2391                         </para>
 2392                         <para>
 2393                             Типове значення: 0 (без обмежень)
 2394                         </para>
 2395                     </listitem>
 2396                 </varlistentry>
 2397                 <varlistentry>
 2398                   <term>pwd_expiration_warning (ціле число)</term>
 2399                   <listitem>
 2400                     <para>
 2401                       Показати попередження за вказану кількість днів перед завершенням дії
 2402 пароля.
 2403                     </para>
 2404                     <para>
 2405                         Якщо встановлено нульове значення, цей фільтр не застосовуватиметься, тобто
 2406 якщо з сервера обробки надійде попередження щодо завершення строку дії, його
 2407 буде автоматично показано.
 2408                     </para>
 2409                     <para>
 2410                       Будь ласка, зауважте, що сервер обробки має надати дані щодо часу завершення
 2411 дії пароля. Якщо ці дані не буде виявлено, sssd не зможе показати
 2412 попередження. Крім того для цього сервера може бути вказано службу надання
 2413 даних розпізнавання.
 2414                     </para>
 2415                     <para>
 2416                       Типове значення: 7 (Kerberos), 0 (LDAP)
 2417                     </para>
 2418                   </listitem>
 2419                 </varlistentry>
 2420 
 2421                 <varlistentry>
 2422                     <term>id_provider (рядок)</term>
 2423                     <listitem>
 2424                         <para>
 2425                             Засіб надання даних ідентифікації, який використовується для цього
 2426 домену. Серед підтримуваних засобів такі:
 2427                         </para>
 2428                         <para>
 2429                             «proxy»: підтримка застарілого модуля надання даних NSS
 2430                         </para>
 2431                         <para condition="enable_local_provider">
 2432                             <quote>local</quote>: вбудований засіб SSSD для локальних користувачів
 2433 (ЗАСТАРІЛИЙ).
 2434                         </para>
 2435                         <para>
 2436                             <quote>files</quote>: засіб надання даних FILES. Докладніше про те, як
 2437 працює віддзеркалення локальних користувачів і груп у SSSD, можна дізнатися
 2438 зі сторінки підручника <citerefentry>
 2439 <refentrytitle>sssd-files</refentrytitle> <manvolnum>5</manvolnum>
 2440 </citerefentry>.
 2441                         </para>
 2442                         <para>
 2443                             <quote>ldap</quote>: засіб LDAP. Докладніше про налаштовування LDAP можна
 2444 дізнатися з довідки до <citerefentry>
 2445 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2446 </citerefentry>.
 2447                         </para>
 2448                         <para>
 2449                             <quote>ipa</quote>: засіб FreeIPA та керування профілями Red Hat
 2450 Enterprise. Докладніші відомості щодо налаштовування IPA викладено у
 2451 довіднику з <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2452 <manvolnum></manvolnum> </citerefentry>.
 2453                         </para>
 2454                         <para>
 2455                             <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо
 2456 налаштовування Active Directory викладено у довіднику з <citerefentry>
 2457 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2458 </citerefentry>.
 2459                         </para>
 2460                     </listitem>
 2461                 </varlistentry>
 2462 
 2463                 <varlistentry>
 2464                     <term>use_fully_qualified_names (булеве значення)</term>
 2465                     <listitem>
 2466                         <para>
 2467                             Використовувати ім’я та домен повністю (у форматі, визначеному
 2468 full_name_format домену) як ім’я користувача у системі, що повідомляється
 2469 NSS.
 2470                         </para>
 2471                         <para>
 2472                             Якщо встановлено значення TRUE, всі запити до цього домену мають
 2473 використовувати повні назви. Наприклад, якщо використано домен LOCAL, який
 2474 містить запис користувача «test» user, <command>getent passwd test</command>
 2475 не покаже користувача, а <command>getent passwd test@LOCAL</command> покаже.
 2476                         </para>
 2477                         <para>
 2478                             ЗАУВАЖЕННЯ: цей параметр не впливатиме на пошук у мережевих групах через
 2479 тенденцію до включення до таких груп вкладених мережевих груп. Для мережевих
 2480 груп, якщо задано неповну назву, буде виконано пошук у всіх доменах.
 2481                         </para>
 2482                         <para>
 2483                             Типове значення: FALSE (TRUE для довірених доменів і піддоменів або якщо
 2484 використано default_domain_suffix)
 2485                         </para>
 2486                     </listitem>
 2487                 </varlistentry>
 2488                 <varlistentry>
 2489                     <term>ignore_group_members (булеве значення)</term>
 2490                     <listitem>
 2491                         <para>
 2492                             Не повертати записи учасників груп для пошуків груп.
 2493                         </para>
 2494                         <para>
 2495                             Якщо встановлено значення TRUE, сервер LDAP не запитуватиме дані щодо
 2496 атрибутів участі у групах, а списки учасників груп не повертаються під час
 2497 обробки запитів щодо пошуку груп, зокрема <citerefentry>
 2498 <refentrytitle>getgrnam</refentrytitle> <manvolnum>3</manvolnum>
 2499 </citerefentry> або <citerefentry> <refentrytitle>getgrgid</refentrytitle>
 2500 <manvolnum>3</manvolnum> </citerefentry>. Отже, <quote>getent group
 2501 $groupname</quote> поверне запитану групу так, наче вона була порожня.
 2502                         </para>
 2503                         <para>
 2504                             Вмикання цього параметра може також значно пришвидшити перевірки засобу
 2505 надання доступу для участі у групі, особливо для груп, у яких багато
 2506 учасників.
 2507                         </para>
 2508                         <para>
 2509                             Типове значення: FALSE
 2510                         </para>
 2511                     </listitem>
 2512                 </varlistentry>
 2513                 <varlistentry>
 2514                     <term>auth_provider (рядок)</term>
 2515                     <listitem>
 2516                         <para>
 2517                             Служба розпізнавання, яку використано для цього домену. Серед підтримуваних
 2518 служб розпізнавання:
 2519                         </para>
 2520                         <para>
 2521                             <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості
 2522 щодо налаштовування LDAP викладено у довіднику з <citerefentry>
 2523 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2524 </citerefentry>.
 2525                         </para>
 2526                         <para>
 2527                             <quote>krb5</quote> — вбудоване розпізнавання Kerberos. Докладніші відомості
 2528 щодо налаштовування Kerberos викладено у довіднику з <citerefentry>
 2529 <refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum>
 2530 </citerefentry>.
 2531                         </para>
 2532                         <para>
 2533                             <quote>ipa</quote>: засіб FreeIPA та керування профілями Red Hat
 2534 Enterprise. Докладніші відомості щодо налаштовування IPA викладено у
 2535 довіднику з <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2536 <manvolnum></manvolnum> </citerefentry>.
 2537                         </para>
 2538                         <para>
 2539                             <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо
 2540 налаштовування Active Directory викладено у довіднику з <citerefentry>
 2541 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2542 </citerefentry>.
 2543                         </para>
 2544                         <para>
 2545                             <quote>proxy</quote> — трансльоване розпізнавання у іншій системі PAM.
 2546                         </para>
 2547                         <para condition="enable_local_provider">
 2548                             <quote>local</quote>: вбудований засіб SSSD для локальних користувачів
 2549                         </para>
 2550                         <para>
 2551                             <quote>none</quote> — вимкнути розпізнавання повністю.
 2552                         </para>
 2553                         <para>
 2554                             Типове значення: буде використано <quote>id_provider</quote>, якщо цей
 2555 спосіб встановлено і можлива обробка запитів щодо розпізнавання.
 2556                         </para>
 2557                     </listitem>
 2558                 </varlistentry>
 2559                 <varlistentry>
 2560                     <term>access_provider (рядок)</term>
 2561                     <listitem>
 2562                         <para>
 2563                             Програма керування доступом для домену. Передбачено дві вбудованих програми
 2564 керування доступом (окрім всіх встановлених додаткових
 2565 серверів). Вбудованими програмами є:
 2566                         </para>
 2567                         <para>
 2568                             <quote>permit</quote> дозволяти доступ завжди. Єдиний дозволений засіб
 2569 доступу для локального домену.
 2570                         </para>
 2571                         <para>
 2572                             <quote>deny</quote> — завжди забороняти доступ.
 2573                         </para>
 2574                         <para>
 2575                             <quote>ldap</quote> — вбудоване розпізнавання LDAP. Докладніші відомості
 2576 щодо налаштовування LDAP викладено у довіднику з <citerefentry>
 2577 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2578 </citerefentry>.
 2579                         </para>
 2580                         <para>
 2581                             <quote>ipa</quote>: засіб FreeIPA та керування профілями Red Hat
 2582 Enterprise. Докладніші відомості щодо налаштовування IPA викладено у
 2583 довіднику з <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2584 <manvolnum></manvolnum> </citerefentry>.
 2585                         </para>
 2586                         <para>
 2587                             <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо
 2588 налаштовування Active Directory викладено у довіднику з <citerefentry>
 2589 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2590 </citerefentry>.
 2591                         </para>
 2592                         <para>
 2593                             <quote>simple</quote> — керування доступом на основі списків дозволу або
 2594 заборони. Докладніші відомості щодо налаштовування модуля доступу simple
 2595 можна знайти у довідці до <citerefentry>
 2596 <refentrytitle>sssd-simple</refentrytitle>
 2597 <manvolnum>5</manvolnum></citerefentry>.
 2598                         </para>
 2599                         <para>
 2600                             <quote>krb5</quote> — керування доступом на основі .k5login. Докладніші
 2601 відомості щодо налаштовування Kerberos викладено у довіднику з
 2602 <citerefentry> <refentrytitle>sssd-krb5</refentrytitle>
 2603 <manvolnum></manvolnum> </citerefentry>.
 2604                         </para>
 2605                         <para>
 2606                             <quote>proxy</quote> — для трансляції керування доступом до іншого модуля
 2607 PAM.
 2608                         </para>
 2609                         <para>
 2610                             Типове значення: <quote>permit</quote>
 2611                         </para>
 2612                     </listitem>
 2613                 </varlistentry>
 2614                 <varlistentry>
 2615                     <term>chpass_provider (рядок)</term>
 2616                     <listitem>
 2617                         <para>
 2618                             Система, яка має обробляти дії зі зміни паролів для домену. Передбачено
 2619 підтримку таких систем зміни паролів:
 2620                         </para>
 2621                         <para>
 2622                             <quote>ldap</quote> — змінити пароль, що зберігається на сервері
 2623 LDAP. Докладніші відомості щодо налаштовування LDAP викладено у довіднику з
 2624 <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
 2625 <manvolnum>5</manvolnum> </citerefentry>.
 2626                         </para>
 2627                         <para>
 2628                             <quote>krb5</quote> — змінити пароль Kerberos. Докладніші відомості щодо
 2629 налаштовування Kerberos викладено у довіднику з <citerefentry>
 2630 <refentrytitle>sssd-krb5</refentrytitle> <manvolnum></manvolnum>
 2631 </citerefentry>.
 2632                         </para>
 2633                         <para>
 2634                             <quote>ipa</quote>: засіб FreeIPA та керування профілями Red Hat
 2635 Enterprise. Докладніші відомості щодо налаштовування IPA викладено у
 2636 довіднику з <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2637 <manvolnum></manvolnum> </citerefentry>.
 2638                         </para>
 2639                         <para>
 2640                             <quote>ad</quote>: засіб Active Directory. Докладніші відомості щодо
 2641 налаштовування Active Directory викладено у довіднику з <citerefentry>
 2642 <refentrytitle>sssd-ad</refentrytitle> <manvolnum>5</manvolnum>
 2643 </citerefentry>.
 2644                         </para>
 2645                         <para>
 2646                             <quote>proxy</quote> — трансльована зміна пароля у іншій системі PAM.
 2647                         </para>
 2648                         <para>
 2649                             <quote>none</quote> — явно вимкнути можливість зміни пароля.
 2650                         </para>
 2651                         <para>
 2652                             Типове значення: використовується «auth_provider», якщо встановлено значення
 2653 цього параметра і якщо система здатна обробляти запити щодо паролів.
 2654                         </para>
 2655                     </listitem>
 2656                 </varlistentry>
 2657 
 2658                 <varlistentry condition="with_sudo">
 2659                     <term>sudo_provider (рядок)</term>
 2660                     <listitem>
 2661                         <para>
 2662                             Служба SUDO, яку використано для цього домену. Серед підтримуваних служб
 2663 SUDO:
 2664                         </para>
 2665                         <para>
 2666                             <quote>ldap</quote> для правил, що зберігаються у LDAP. Докладніше про
 2667 налаштовування LDAP можна дізнатися з довідки до <citerefentry>
 2668 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2669 </citerefentry>.
 2670                         </para>
 2671                         <para>
 2672                             <quote>ipa</quote> — те саме, що і <quote>ldap</quote>, але з типовими
 2673 параметрами IPA.
 2674                         </para>
 2675                         <para>
 2676                             <quote>ad</quote> — те саме, що і <quote>ldap</quote>, але з типовими
 2677 параметрами AD.
 2678                         </para>
 2679                         <para>
 2680                             <quote>none</quote> явним чином вимикає SUDO.
 2681                         </para>
 2682                         <para>
 2683                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2684 його встановлено.
 2685                         </para>
 2686                         <para>
 2687                             З докладними настановами щодо налаштовування sudo_provider можна
 2688 ознайомитися за допомогою сторінки підручника (man) <citerefentry>
 2689 <refentrytitle>sssd-sudo</refentrytitle> <manvolnum>5</manvolnum>
 2690 </citerefentry>. Передбачено доволі багато параметрів налаштовування, якими
 2691 можна скористатися для коригування поведінки програми. Докладніший опис
 2692 можна знайти у розділах щодо «ldap_sudo_*»" у підручнику з <citerefentry>
 2693 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2694 </citerefentry>.
 2695                         </para>
 2696                         <para>
 2697                             <emphasis>Зауваження:</emphasis> правила sudo періодично отримуються у
 2698 фоновому режимі, якщо постачальник даних sudo не вимкнено явним
 2699 чином. Встановіть значення <emphasis>sudo_provider = None</emphasis>, щоб
 2700 вимкнути усі дії, пов'язані із sudo у SSSD, якщо ви взагалі не хочете
 2701 використовувати sudo у SSSD.
 2702                         </para>
 2703                     </listitem>
 2704                 </varlistentry>
 2705                 <varlistentry>
 2706                     <term>selinux_provider (рядок)</term>
 2707                     <listitem>
 2708                         <para>
 2709                             Засіб, який має відповідати за завантаження параметрів SELinux. Зауважте, що
 2710 цей засіб буде викликано одразу після завершення роботи служби надання
 2711 доступу. Передбачено підтримку таких засобів надання даних SELinux:
 2712                         </para>
 2713                         <para>
 2714                             <quote>ipa</quote> для завантаження параметрів selinux з сервера
 2715 IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з
 2716 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2717 <manvolnum>5</manvolnum> </citerefentry>.
 2718                         </para>
 2719                         <para>
 2720                             <quote>none</quote> явним чином забороняє отримання даних щодо параметрів
 2721 SELinux.
 2722                         </para>
 2723                         <para>
 2724                             Типове значення: буде використано <quote>id_provider</quote>, якщо цей
 2725 спосіб встановлено і можлива обробка запитів щодо завантаження SELinux.
 2726                         </para>
 2727                     </listitem>
 2728                 </varlistentry>
 2729                 <varlistentry>
 2730                     <term>subdomains_provider (рядок)</term>
 2731                     <listitem>
 2732                         <para>
 2733                             Засіб надання даних, який має обробляти отримання даних піддоменів. Це
 2734 значення має завжди збігатися зі значенням id_provider. Передбачено
 2735 підтримку таких засобів надання даних піддоменів:
 2736                         </para>
 2737                         <para>
 2738                             <quote>ipa</quote> для завантаження списку піддоменів з сервера
 2739 IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з
 2740 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2741 <manvolnum>5</manvolnum> </citerefentry>.
 2742                         </para>
 2743                         <para>
 2744                             «ad», з якої слід завантажувати список піддоменів з сервера Active
 2745 Directory. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2746 <manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про
 2747 налаштовування засобу надання даних AD.
 2748                         </para>
 2749                         <para>
 2750                             <quote>none</quote> забороняє ячним чином отримання даних піддоменів.
 2751                         </para>
 2752                         <para>
 2753                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2754 його встановлено.
 2755                         </para>
 2756                     </listitem>
 2757                 </varlistentry>
 2758                 <varlistentry>
 2759                     <term>session_provider (рядок)</term>
 2760                     <listitem>
 2761                         <para>
 2762                             Постачальник даних, який налаштовує завдання, пов'язані із сеансами
 2763 користувачів, і керує ними. Єдиним завданням сеансів користувача у поточній
 2764 версії є інтеграція із Fleet Commander, який працює лише з IPA. Підтримувані
 2765 постачальники даних сеансів:
 2766                         </para>
 2767                         <para>
 2768                             <quote>ipa</quote>, щоб дозволити пов'язані із сеансами користувачів
 2769 завдання.
 2770                         </para>
 2771                         <para>
 2772                             <quote>none</quote> — не виконувати жодних пов'язаних із сеансами
 2773 користувачів завдань.
 2774                         </para>
 2775                         <para>
 2776                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2777 його встановлено і дозволено виконувати пов'язані із сеансами завдання.
 2778                         </para>
 2779                         <para>
 2780                             <emphasis>Зауваження:</emphasis> щоб ця можливість працювала як слід, SSSD
 2781 має бути запущено від імені користувача root, а не якогось іншого
 2782 непривілейованого користувача.
 2783                         </para>
 2784                     </listitem>
 2785                 </varlistentry>
 2786 
 2787                 <varlistentry condition="with_autofs">
 2788                     <term>autofs_provider (рядок)</term>
 2789                     <listitem>
 2790                         <para>
 2791                             Служба autofs, яку використано для цього домену. Серед підтримуваних служб
 2792 autofs:
 2793                         </para>
 2794                         <para>
 2795                             <quote>ldap</quote> — завантажити карти, що зберігаються у LDAP. Докладніше
 2796 про налаштовування LDAP можна дізнатися з довідки до <citerefentry>
 2797 <refentrytitle>sssd-ldap</refentrytitle> <manvolnum>5</manvolnum>
 2798 </citerefentry>.
 2799                         </para>
 2800                         <para>
 2801                             <quote>ipa</quote> — завантажити карти, що зберігається на сервері
 2802 IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з
 2803 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2804 <manvolnum></manvolnum> </citerefentry>.
 2805                         </para>
 2806                         <para>
 2807                             <quote>ad</quote> — завантажити карти, що зберігаються на сервері
 2808 AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2809 <manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про
 2810 налаштовування засобу надання даних AD.
 2811                         </para>
 2812                         <para>
 2813                             <quote>none</quote> вимикає autofs повністю.
 2814                         </para>
 2815                         <para>
 2816                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2817 його встановлено.
 2818                         </para>
 2819                     </listitem>
 2820                 </varlistentry>
 2821 
 2822                 <varlistentry>
 2823                     <term>hostid_provider (рядок)</term>
 2824                     <listitem>
 2825                         <para>
 2826                             Засіб надання даних, який використовується для отримання даних щодо профілю
 2827 вузла. Серед підтримуваних засобів надання hostid:
 2828                         </para>
 2829                         <para>
 2830                             <quote>ipa</quote> — завантажити профіль системи, що зберігається на сервері
 2831 IPA. Докладніші відомості щодо налаштовування IPA викладено у довіднику з
 2832 <citerefentry> <refentrytitle>sssd-ipa</refentrytitle>
 2833 <manvolnum></manvolnum> </citerefentry>.
 2834                         </para>
 2835                         <para>
 2836                             <quote>none</quote> вимикає hostid повністю.
 2837                         </para>
 2838                         <para>
 2839                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2840 його встановлено.
 2841                         </para>
 2842                     </listitem>
 2843                 </varlistentry>
 2844 
 2845                 <varlistentry>
 2846                     <term>resolver_provider (рядок)</term>
 2847                     <listitem>
 2848                         <para>
 2849                             Система, яка має обробляти дії зі пошуку вузлів та мереж. Передбачено
 2850 підтримку таких надавачів даних для визначення:
 2851                         </para>
 2852                         <para>
 2853                             <quote>proxy</quote> для переспрямовування пошуків до іншої бібліотеки
 2854 NSS. Див. <quote>proxy_resolver_lib_name</quote>
 2855                         </para>
 2856                         <para>
 2857                             <quote>ldap</quote> — отримати записи вузлів і мереж, які зберігаються у
 2858 LDAP. Докладніше про налаштовування LDAP можна дізнатися з довідки до
 2859 <citerefentry> <refentrytitle>sssd-ldap</refentrytitle>
 2860 <manvolnum>5</manvolnum> </citerefentry>.
 2861                         </para>
 2862                         <para>
 2863                             <quote>ad</quote> — отримати записи вузлів і мереж, які зберігаються на
 2864 сервері AD. Див. <citerefentry> <refentrytitle>sssd-ad</refentrytitle>
 2865 <manvolnum>5</manvolnum> </citerefentry>, щоб дізнатися більше про
 2866 налаштовування засобу надання даних AD.
 2867                         </para>
 2868                         <para>
 2869                             <quote>none</quote> забороняє ячним чином отримання даних вузлів і мереж.
 2870                         </para>
 2871                         <para>
 2872                             Типове значення: використовується значення <quote>id_provider</quote>, якщо
 2873 його встановлено.
 2874                         </para>
 2875                     </listitem>
 2876                 </varlistentry>
 2877 
 2878                 <varlistentry>
 2879                     <term>re_expression (рядок)</term>
 2880                     <listitem>
 2881                         <para>
 2882                             Формальний вираз для цього домену, який описує спосіб поділи рядка, що
 2883 містить ім’я користувача та назву домену на ці компоненти. «Домен» може
 2884 відповідати назві домену налаштувань SSSD або, у випадку піддоменів довіри
 2885 IPA та доменів Active Directory, простій назві (NetBIOS) домену.
 2886                         </para>
 2887                         <para>
 2888                             Типовий для засобів надання AD і IPA:
 2889 <quote>(((?P&lt;domain&gt;[^\\]+)\\(?P&lt;name&gt;.+$))|((?P&lt;name&gt;[^@]+)@(?P&lt;domain&gt;.+$))|(^(?P&lt;name&gt;[^@\\]+)$))</quote>
 2890 За його допомогою можна визначати три різні стилі запису імен користувачів:
 2891                             <itemizedlist>
 2892                                 <listitem>
 2893                                     <para>користувач</para>
 2894                                 </listitem>
 2895                                 <listitem>
 2896                                     <para>користувач@назва.домену</para>
 2897                                 </listitem>
 2898                                 <listitem>
 2899                                     <para>домен\користувач</para>
 2900                                 </listitem>
 2901                             </itemizedlist>
 2902                             Перші два стилі відповідають загальним типовим стилям, а третій введено для
 2903 того, щоб полегшити інтеграцію користувачів з доменів Windows.
 2904                         </para>
 2905                         <para>
 2906                             Типове значення:
 2907 <quote>(?P&lt;name&gt;[^@]+)@?(?P&lt;domain&gt;[^@]*$)</quote>, можна
 2908 висловити так: іменем користувача є все до символу «@», назвою домену — все
 2909 після цього символу.
 2910                         </para>
 2911                         <para>
 2912                             Зауваження: у деяких групах Active Directory, типово, тих, які
 2913 використовуються для MS Exchange, назви містять символ
 2914 <quote>@</quote>. Такі назви конфліктують із типовим значенням re_expression
 2915 для надавачів даних AD та IPA. Щоб забезпечити підтримку таких груп, варто
 2916 змінити значення re_expression на таке:
 2917 <quote>((?P&lt;name&gt;.+)@(?P&lt;domain&gt;[^@]+$))</quote>.
 2918                         </para>
 2919                     </listitem>
 2920                 </varlistentry>
 2921                 <varlistentry>
 2922                     <term>full_name_format (рядок)</term>
 2923                     <listitem>
 2924                         <para>
 2925                             Сумісний з <citerefentry> <refentrytitle>printf</refentrytitle>
 2926 <manvolnum>3</manvolnum> </citerefentry> формат, який описує спосіб
 2927 створення повного імені на основі імені користувача та компонентів назви
 2928 домену.
 2929                         </para>
 2930                         <para>
 2931                             Передбачено використання таких замінників: <variablelist>
 2932                                 <varlistentry>
 2933                                     <term>%1$s</term>
 2934                                     <listitem><para>ім’я користувача</para></listitem>
 2935                                 </varlistentry>
 2936                                 <varlistentry>
 2937                                     <term>%2$s</term>
 2938                                     <listitem>
 2939                                         <para>
 2940                                             назва домену у форматі, вказаному у файлі налаштувань SSSD.
 2941                                         </para>
 2942                                     </listitem>
 2943                                 </varlistentry>
 2944                                 <varlistentry>
 2945                                     <term>%3$s</term>
 2946                                     <listitem>
 2947                                         <para>
 2948                                             проста назва домену. Здебільшого використовується для доменів Active
 2949 Directory, налаштованих та автоматично виявлених за зв’язками довіри IPA.
 2950                                         </para>
 2951                                     </listitem>
 2952                                 </varlistentry>
 2953                             </variablelist>
 2954                         </para>
 2955                         <para>
 2956                             Типове значення: <quote>%1$s@%2$s</quote>.
 2957                         </para>
 2958                     </listitem>
 2959                 </varlistentry>
 2960 
 2961                 <varlistentry>
 2962                     <term>lookup_family_order (рядок)</term>
 2963                     <listitem>
 2964                         <para>
 2965                             Надає можливість вибрати бажане сімейство адрес, яке слід використовувати
 2966 під час виконання пошуків у DNS.
 2967                         </para>
 2968                         <para>
 2969                             Передбачено підтримку таких значень:
 2970                         </para>
 2971                         <para>
 2972                             ipv4_first: спробувати визначити адресу у форматі IPv4, у разі невдачі
 2973 спробувати формат IPv6
 2974                         </para>
 2975                         <para>
 2976                             ipv4_only: намагатися визначити назви вузлів лише у форматі адрес IPv4.
 2977                         </para>
 2978                         <para>
 2979                             ipv6_first: спробувати визначити адресу у форматі IPv6, у разі невдачі
 2980 спробувати формат IPv4
 2981                         </para>
 2982                         <para>
 2983                             ipv6_only: намагатися визначити назви вузлів лише у форматі адрес IPv6.
 2984                         </para>
 2985                         <para>
 2986                             Типове значення: ipv4_first
 2987                         </para>
 2988                     </listitem>
 2989                 </varlistentry>
 2990 
 2991                 <varlistentry>
 2992                     <term>dns_resolver_timeout (ціле число)</term>
 2993                     <listitem>
 2994                         <para>
 2995                             Визначає кількість часу (у секундах) очікування відповіді від внутрішньої
 2996 служби перемикання на резервний ресурс, перш ніж службу буде визначено
 2997 недоступним. Якщо час очікування буде перевищено, домен продовжуватиме
 2998 роботу у автономному режимі.
 2999                         </para>
 3000                         <para>
 3001                             Будь ласка, ознайомтеся із розділом <quote>РЕЗЕРВ</quote>, щоб дізнатися
 3002 більше про розв'язування питань, пов'язаних із службами.
 3003                         </para>
 3004                         <para>
 3005                             Типове значення: 6
 3006                         </para>
 3007                     </listitem>
 3008                 </varlistentry>
 3009 
 3010                 <varlistentry>
 3011                     <term>dns_discovery_domain (рядок)</term>
 3012                     <listitem>
 3013                         <para>
 3014                             Якщо у модулі обробки використовується визначення служб, вказує доменну
 3015 частину запиту визначення служб DNS.
 3016                         </para>
 3017                         <para>
 3018                             Типова поведінка: використовувати назву домену з назви вузла комп’ютера.
 3019                         </para>
 3020                     </listitem>
 3021                 </varlistentry>
 3022 
 3023                 <varlistentry>
 3024                     <term>override_gid (ціле число)</term>
 3025                     <listitem>
 3026                         <para>
 3027                             Замірити значення основного GID на вказане.
 3028                         </para>
 3029                     </listitem>
 3030                 </varlistentry>
 3031 
 3032                 <varlistentry>
 3033                     <term>case_sensitive (рядок)</term>
 3034                     <listitem>
 3035                         <para>
 3036                             Враховувати регістр записів імен користувачів та назв груп. <phrase
 3037 condition="enable_local_provider"> У поточній версії підтримку передбачено
 3038 лише для локальних надавачів даних. </phrase> Можливі значення параметра:
 3039 <variablelist>
 3040                             <varlistentry>
 3041                                 <term>True</term>
 3042                                 <listitem>
 3043                                     <para>
 3044                                         Враховується регістр. Це значення є некоректним для засобу надання даних AD.
 3045                                     </para>
 3046                                 </listitem>
 3047                             </varlistentry>
 3048                             <varlistentry>
 3049                                 <term>False</term>
 3050                                 <listitem>
 3051                                     <para>Без врахування регістру.</para>
 3052                                 </listitem>
 3053                             </varlistentry>
 3054                             <varlistentry>
 3055                                 <term>Preserving</term>
 3056                                 <listitem>
 3057                                     <para>
 3058                                         Те саме, що і False (без врахування регістру символів), але без переведення
 3059 у нижній регістр імен у результатах дій NSS. Зауважте, що альтернативні
 3060 імена (у випадку служб також назви протоколів) у виведених даних все одно
 3061 буде переведено у нижній регістр.
 3062                                     </para>
 3063                                     <para>
 3064                                         If you want to set this value for trusted domain with IPA provider, you need
 3065 to set it on both the client and SSSD on the server.
 3066                                     </para>
 3067                                 </listitem>
 3068                             </varlistentry>
 3069                         </variablelist>
 3070                         </para>
 3071                         <para>
 3072                             This option can be also set per subdomain or inherited via
 3073 <emphasis>subdomain_inherit</emphasis>.
 3074                         </para>
 3075                         <para>
 3076                             Типове значення: True (False для засобу надання даних AD)
 3077                         </para>
 3078                     </listitem>
 3079                 </varlistentry>
 3080 
 3081                 <varlistentry>
 3082                     <term>subdomain_inherit (рядок)</term>
 3083                     <listitem>
 3084                         <para>
 3085                             Визначає список параметрів налаштування, які слід успадковувати для
 3086 піддомену. Будь ласка, зауважте, що успадковуватимуться лише вказані
 3087 параметри. У поточній версії передбачено можливість успадковування таких
 3088 параметрів:
 3089                         </para>
 3090                         <para>
 3091                             ignore_group_members
 3092                         </para>
 3093                         <para>
 3094                             ldap_purge_cache_timeout
 3095                         </para>
 3096                         <para>
 3097                             ldap_use_tokengroups
 3098                         </para>
 3099                         <para>
 3100                             ldap_user_principal
 3101                         </para>
 3102                         <para>
 3103                             ldap_krb5_keytab (значення krb5_keytab буде використано, якщо
 3104 ldap_krb5_keytab не встановлено явним чином)
 3105                         </para>
 3106                         <para>
 3107                             auto_private_groups
 3108                         </para>
 3109                         <para>
 3110                             case_sensitive
 3111                         </para>
 3112                         <para>
 3113                             Приклад: <programlisting>
 3114 subdomain_inherit = ldap_purge_cache_timeout
 3115                             </programlisting>
 3116                         </para>
 3117                         <para>
 3118                             Типове значення: none
 3119                         </para>
 3120                         <para>
 3121                             Зауваження: цей параметр працює лише для засобів надання даних IPA і AD.
 3122                         </para>
 3123                     </listitem>
 3124                 </varlistentry>
 3125 
 3126                 <varlistentry>
 3127                     <term>subdomain_homedir (рядок)</term>
 3128                     <listitem>
 3129                         <para>
 3130                             Використовувати вказаний домашній каталог як типовий для всіх піддоменів у
 3131 цьому домені у межах довіри AD IPA. Дані щодо можливих значень наведено у
 3132 описі параметра <emphasis>override_homedir</emphasis>. Крім того,
 3133 розгортання можна використовувати лише з
 3134 <emphasis>subdomain_homedir</emphasis>.  <variablelist>
 3135                                 <varlistentry>
 3136                                     <term>%F</term>
 3137                                     <listitem><para>спрощена (NetBIOS) назва піддомену.</para></listitem>
 3138                                 </varlistentry>
 3139                             </variablelist>
 3140                         </para>
 3141                         <para>
 3142                             Це значення може бути перевизначено параметром
 3143 <emphasis>override_homedir</emphasis>.
 3144                         </para>
 3145                         <para>
 3146                             Типове значення: <filename>/home/%d/%u</filename>
 3147                         </para>
 3148                     </listitem>
 3149                 </varlistentry>
 3150                 <varlistentry>
 3151                     <term>realmd_tags (рядок)</term>
 3152                     <listitem>
 3153                         <para>
 3154                             Різноманітні теґи, що зберігаються службою налаштовування realmd для цього
 3155 домену.
 3156                         </para>
 3157                     </listitem>
 3158                 </varlistentry>
 3159                 <varlistentry>
 3160                     <term>cached_auth_timeout (ціле число)</term>
 3161                     <listitem>
 3162                         <para>
 3163                             Визначає час у секундах з моменту останнього успішного розпізнавання у
 3164 мережі, для якого користувача буде розпізнано за допомогою кешованих
 3165 реєстраційних даних, доки SSSD перебуває у режимі «у мережі». Якщо
 3166 реєстраційні дані є помилковими, SSSD повертається до інтерактивного
 3167 розпізнавання.
 3168                         </para>
 3169                         <para>
 3170                             Значення цього параметра успадковується усіма довіреними доменами. У
 3171 поточній версії не передбачено можливості встановлювати окремі різні
 3172 значення для різних довірених доменів.
 3173                         </para>
 3174                         <para>
 3175                             Спеціальне значення 0 означає, що цю можливість вимкнено.
 3176                         </para>
 3177                         <para>
 3178                             Будь ласка, зауважте, що якщо <quote>cached_auth_timeout</quote> має більше
 3179 значення за <quote>pam_id_timeout</quote>, модуль може бути викликано для
 3180 обробки <quote>initgroups</quote>.
 3181                         </para>
 3182                         <para>
 3183                             Типове значення: 0
 3184                         </para>
 3185                     </listitem>
 3186                 </varlistentry>
 3187                 <varlistentry>
 3188                     <term>auto_private_groups (рядок)</term>
 3189                     <listitem>
 3190                         <para>
 3191                             Цей параметр приймає будь-яке з таких трьох доступних значень: <variablelist>
 3192                                 <varlistentry>
 3193                                     <term>true</term>
 3194                                     <listitem>
 3195                                         <para>
 3196                                             Безумовно створює приватну групу користувача на основі номера UID
 3197 користувача. У цьому випадку номер GID буде проігноровано.
 3198                                         </para>
 3199                                         <para>
 3200                                             Зауваження: оскільки номер GID і приватна група користувача успадковуються з
 3201 номера UID, підтримки декількох записів із однаковим номером UID або GID у
 3202 цьому параметрі не передбачено. Іншими словами, вмикання цього параметра
 3203 примусово встановлює унікальність записів у просторі ідентифікаторів.
 3204                                         </para>
 3205                                     </listitem>
 3206                                 </varlistentry>
 3207                                 <varlistentry>
 3208                                     <term>false</term>
 3209                                     <listitem>
 3210                                         <para>
 3211                                             Завжди використовувати номер основної GID користувача. Номер GID має
 3212 вказувати на об'єкт групи у базі даних LDAP.
 3213                                         </para>
 3214                                     </listitem>
 3215                                 </varlistentry>
 3216                                 <varlistentry>
 3217                                     <term>hybrid</term>
 3218                                     <listitem>
 3219                                         <para>
 3220                                             Основна група створюється автоматично для записів користувача, значення UID
 3221 і GID яких збігаються і, одночасно, номер GID не відповідає справжньому
 3222 об'єкту групи у LDAP. Якщо значення є однаковими, але основне значення GID у
 3223 записі користувача також використовується як об'єкт групи, основний GID
 3224 цього користувача визначатиме цей об'єкт групи.
 3225                                         </para>
 3226                                         <para>
 3227                                             Якщо UID і GID користувача є різними, значення GID має відповідати запису
 3228 групи, інакше надійне визначення GID буде просто неможливим.
 3229                                         </para>
 3230                                         <para>
 3231                                             Ця можливість є корисною для середовищ, де бажаним є усування потреби у
 3232 супроводі окремих об'єктів груп для користувачів у приватних групах, але зі
 3233 збереженням наявних приватних груп для користувачів.
 3234                                         </para>
 3235                                     </listitem>
 3236                                 </varlistentry>
 3237                             </variablelist>
 3238                         </para>
 3239                         <para>
 3240                             Для піддоменів типовим значенням є False для тих піддоменів, які пов'язано
 3241 із ідентифікаторами POSIX, і True для тих піддоменів, для яких
 3242 використовується автоматична прив'язка до ідентифікаторів.
 3243                         </para>
 3244                         <para>
 3245                             Значення параметра auto_private_groups може встановлюватися або на рівні
 3246 окремих піддоменів у підрозділі, приклад: <programlisting>
 3247 [domain/forest.domain/sub.domain]
 3248 auto_private_groups = false
 3249 </programlisting> або на загальному рівні для усіх піддоменів у основному розділі
 3250 домену за допомогою параметра subdomain_inherit: <programlisting>
 3251 [domain/forest.domain]
 3252 subdomain_inherit = auto_private_groups
 3253 auto_private_groups = false
 3254 </programlisting>
 3255                         </para>
 3256                     </listitem>
 3257                 </varlistentry>
 3258             </variablelist>
 3259         </para>
 3260 
 3261         <para>
 3262             Параметри, які є чинними для доменів проксі.  <variablelist>
 3263                 <varlistentry>
 3264                     <term>proxy_pam_target (рядок)</term>
 3265                     <listitem>
 3266                         <para>
 3267                             Комп’ютер, для якого виконує проксі-сервер PAM.
 3268                         </para>
 3269                         <para>
 3270                             Типове значення: типово не встановлено, вам слід скористатися вже створеними
 3271 налаштуваннями pam або створити нові і тут додати назву служби.
 3272                         </para>
 3273                     </listitem>
 3274                 </varlistentry>
 3275 
 3276                 <varlistentry>
 3277                     <term>proxy_lib_name (рядок)</term>
 3278                     <listitem>
 3279                         <para>
 3280                             Назва бібліотеки NSS для використання у доменах з проксі-серверами. Функції
 3281 NSS шукаються у бібліотеці у форматі _nss_$(назва_бібліотеки)_$(функція),
 3282 наприклад _nss_files_getpwent.
 3283                         </para>
 3284                     </listitem>
 3285                 </varlistentry>
 3286 
 3287                 <varlistentry>
 3288                     <term>proxy_resolver_lib_name (рядок)</term>
 3289                     <listitem>
 3290                         <para>
 3291                             Назва бібліотеки NSS для використання для пошуку вузлів і мереж у доменах з
 3292 проксі-серверами. Функції NSS шукаються у бібліотеці у форматі
 3293 _nss_$(назва_бібліотеки)_$(функція), наприклад _nss_dns_gethostbyname2_r.
 3294                         </para>
 3295                     </listitem>
 3296                 </varlistentry>
 3297 
 3298                 <varlistentry>
 3299                     <term>proxy_fast_alias (булеве значення)</term>
 3300                     <listitem>
 3301                         <para>
 3302                             Під час пошуку запису користувача чи групи за назвою у системі надання даних
 3303 переадресації виконується вторинний пошук за ідентифікатором з метою
 3304 визначення «канонічної» форми назви, якщо результат знайдено за
 3305 альтернативною назвою (псевдонімом). Встановлення для цього параметра
 3306 значення «true» призведе до того, що SSSD виконуватиме пошук ідентифікатора
 3307 у кеші, щоб пришвидшити надання результатів.
 3308                         </para>
 3309                         <para>
 3310                             Типове значення: false
 3311                         </para>
 3312                     </listitem>
 3313                 </varlistentry>
 3314 
 3315                 <varlistentry>
 3316                     <term>proxy_max_children (ціле число)</term>
 3317                     <listitem>
 3318                         <para>
 3319                             Цей параметр визначає кількість попередньо розгалужених дочірніх проксі. Він
 3320 корисний для високонавантажених середовищ SSSD, де sssd може вичерпати
 3321 кількість доступних дочірніх слотів, що може спричинити деякі вади через
 3322 використання черги запитів.
 3323                         </para>
 3324                         <para>
 3325                             Типове значення: 10
 3326                         </para>
 3327                     </listitem>
 3328                 </varlistentry>
 3329 
 3330             </variablelist>
 3331         </para>
 3332 
 3333         <refsect2 id='app_domains'>
 3334             <title>Домени програм (application)</title>
 3335             <para>
 3336                 SSSD, з його інтерфейсом D-Bus (див. <citerefentry>
 3337 <refentrytitle>sssd-ifp</refentrytitle> <manvolnum>5</manvolnum>
 3338 </citerefentry>) є привабливим для програм як шлюз до каталогу LDAP, де
 3339 зберігаються дані користувачів і груп. Втім, на відміну від традиційного
 3340 формату роботи SSSD, де усі користувачі і групи або мають атрибути POSIX,
 3341 або ці атрибути може бути успадковано з SID Windows, у багатьох випадках
 3342 користувачі і групи у сценарії підтримки роботи програм не мають атрибутів
 3343 POSIX. Замість визначення розділу
 3344 <quote>[domain/<replaceable>НАЗВА</replaceable>]</quote> адміністратор може
 3345 визначити розділ
 3346 <quote>[application/<replaceable>НАЗВА</replaceable>]</quote>, який на
 3347 внутрішньому рівні представляє домен типу <quote>application</quote>, який
 3348 може успадковувати параметр з традиційного домену SSSD.
 3349             </para>
 3350             <para>
 3351                 Будь ласка, зауважте, що домен програм має так само явним чином увімкнено у
 3352 параметрі <quote>domains</quote>, отже порядок пошуку між доменом програм і
 3353 його доменом-близнюком у POSIX має бути встановлено належним чином.
 3354             </para>
 3355             <variablelist>
 3356                 <title>Параметри доменів програм</title>
 3357                 <varlistentry>
 3358                     <term>inherit_from (рядок)</term>
 3359                     <listitem>
 3360                         <para>
 3361                             Домен типу POSIX SSSD, з якого домен програм успадковує усі параметри. Далі,
 3362 домен програм поже додавати власні параметри до параметрів програми, які
 3363 розширюють або перевизначають параметри домену-<quote>близнюка</quote>.
 3364                         </para>
 3365                         <para>
 3366                             Типове значення: не встановлено
 3367                         </para>
 3368                     </listitem>
 3369                 </varlistentry>
 3370             </variablelist>
 3371             <para>
 3372                 У наведеному нижче прикладі проілюстровано використання домену програм. У
 3373 цій конфігурації домен POSIX з'єднано із сервером LDAP, він використовується
 3374 операційною системою через відповідач NSS. Крім того, домен програм також
 3375 надсилає запит щодо атрибута telephoneNumber, зберігає його як атрибут phone
 3376 у кеші і робить атрибут phone доступним через інтерфейс D-Bus.
 3377             </para>
 3378 <programlisting>
 3379 [sssd]
 3380 domains = appdom, posixdom
 3381 
 3382 [ifp]
 3383 user_attributes = +phone
 3384 
 3385 [domain/posixdom]
 3386 id_provider = ldap
 3387 ldap_uri = ldap://ldap.example.com
 3388 ldap_search_base = dc=example,dc=com
 3389 
 3390 [application/appdom]
 3391 inherit_from = posixdom
 3392 ldap_user_extra_attrs = phone:telephoneNumber
 3393 </programlisting>
 3394         </refsect2>
 3395 
 3396         <refsect2 id='local_domain' condition="enable_local_provider">
 3397             <title>Розділ локального домену</title>
 3398             <para>
 3399                 У цьому розділі містяться параметри для домену, який зберігає записи
 3400 користувачів і груп у вбудованій базі даних SSSD, тобто домену, який
 3401 використовує <replaceable>id_provider=local</replaceable>.
 3402             </para>
 3403             <variablelist>
 3404                 <title>Параметри розділу</title>
 3405                 <varlistentry>
 3406                     <term>default_shell (рядок)</term>
 3407                     <listitem>
 3408                         <para>
 3409                             Типова оболонка для записів користувачів, створених за допомогою
 3410 інструментів простору користувачів SSSD.
 3411                         </para>
 3412                         <para>
 3413                             Типове значення: <filename>/bin/bash</filename>
 3414                         </para>
 3415                     </listitem>
 3416                 </varlistentry>
 3417                 <varlistentry>
 3418                     <term>base_directory (рядок)</term>
 3419                     <listitem>
 3420                         <para>
 3421                             Інструменти додають ім’я користувача до
 3422 <replaceable>base_directory</replaceable> і використовують отриману адресу
 3423 як адресу домашнього каталогу.
 3424                         </para>
 3425                         <para>
 3426                             Типове значення: <filename>/home</filename>
 3427                         </para>
 3428                     </listitem>
 3429                 </varlistentry>
 3430                 <varlistentry>
 3431                     <term>create_homedir (булеве значення)</term>
 3432                     <listitem>
 3433                         <para>
 3434                             Визначає, чи слід типово створювати домашній каталог для нових
 3435 користувачів. Може бути перевизначено з командного рядка.
 3436                         </para>
 3437                         <para>
 3438                             Типове значення: TRUE
 3439                         </para>
 3440                     </listitem>
 3441                 </varlistentry>
 3442                 <varlistentry>
 3443                     <term>remove_homedir (булівське значення)</term>
 3444                     <listitem>
 3445                         <para>
 3446                             Визначає, чи слід вилучати домашній каталог для вилучених записів
 3447 користувачів. Може бути перевизначено з командного рядка.
 3448                         </para>
 3449                         <para>
 3450                             Типове значення: TRUE
 3451                         </para>
 3452                     </listitem>
 3453                 </varlistentry>
 3454                 <varlistentry>
 3455                     <term>homedir_umask (ціле число)</term>
 3456                     <listitem>
 3457                         <para>
 3458                             Використовується <citerefentry> <refentrytitle>sss_useradd</refentrytitle>
 3459 <manvolnum>8</manvolnum> </citerefentry> для визначення типових прав доступу
 3460 до щойно створеного домашнього каталогу.
 3461                         </para>
 3462                         <para>
 3463                             Типове значення: 077
 3464                         </para>
 3465                     </listitem>
 3466                 </varlistentry>
 3467                 <varlistentry>
 3468                     <term>skel_dir (рядок)</term>
 3469                     <listitem>
 3470                         <para>
 3471                             Каркасний каталог, який містить файли і каталоги, які буде скопійовано до
 3472 домашнього каталогу користувача, коли такий домашній каталог створюється
 3473 командою <citerefentry> <refentrytitle>sss_useradd</refentrytitle>
 3474 <manvolnum>8</manvolnum> </citerefentry>
 3475                         </para>
 3476                         <para>
 3477                             Типове значення: <filename>/etc/skel</filename>
 3478                         </para>
 3479                     </listitem>
 3480                 </varlistentry>
 3481                 <varlistentry>
 3482                     <term>mail_dir (рядок)</term>
 3483                     <listitem>
 3484                         <para>
 3485                             Каталог буфера пошти. Цей каталог потрібен для обробки поштової скриньки,
 3486 якщо відповідний обліковий запис користувача змінено або вилучено. Якщо
 3487 каталог не вказано, буде використано типове значення.
 3488                         </para>
 3489                         <para>
 3490                             Типове значення: <filename>/var/mail</filename>
 3491                         </para>
 3492                     </listitem>
 3493                 </varlistentry>
 3494                 <varlistentry>
 3495                     <term>userdel_cmd (рядок)</term>
 3496                     <listitem>
 3497                         <para>
 3498                             Команда, яку буде виконано після вилучення запису користувача. Команді, як
 3499 перший і єдиний параметр, передається ім’я користувача, запис якого
 3500 вилучається. Код виконання, повернутий програмою не обробляється.
 3501                         </para>
 3502                         <para>
 3503                             Типове значення: None, не виконувати жодних команд
 3504                         </para>
 3505                     </listitem>
 3506                 </varlistentry>
 3507             </variablelist>
 3508         </refsect2>
 3509 
 3510     </refsect1>
 3511 
 3512     <refsect1 id='trusted-domains'>
 3513         <title>РОЗДІЛ ДОВІРЕНИХ ДОМЕНІВ</title>
 3514         <para>
 3515             Деякі параметри, які використовуються у розділі домену, можна також
 3516 використовувати у розділі довіреного домену, тобто у розділі, який
 3517 називається
 3518 <quote>[domain/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ДОВІРЕНОГО_ДОМЕНУ</replaceable>]</quote>.
 3519 Де НАЗВА_ДОМЕНУ є справжнім базовим доменом для долучення. Приклади наведено
 3520 нижче. У поточній версії підтримуваними параметрами у розділі довіреного
 3521 домену є такі параметри:
 3522         </para>
 3523             <para>ldap_search_base,</para>
 3524             <para>ldap_user_search_base,</para>
 3525             <para>ldap_group_search_base,</para>
 3526             <para>ldap_netgroup_search_base,</para>
 3527             <para>ldap_service_search_base,</para>
 3528             <para>ldap_sasl_mech,</para>
 3529             <para>ad_server,</para>
 3530             <para>ad_backup_server,</para>
 3531             <para>ad_site,</para>
 3532             <para>use_fully_qualified_names</para>
 3533             <para>pam_gssapi_services</para>
 3534             <para>pam_gssapi_check_upn</para>
 3535         <para>
 3536             Докладніший опис цих параметрів можна знайти у окремих описах на сторінці
 3537 підручника.
 3538         </para>
 3539     </refsect1>
 3540 
 3541     <refsect1 id='certmap'>
 3542         <title>РОЗДІЛ ПРИВ'ЯЗКИ СЕРТИФІКАТІВ</title>
 3543         <para>
 3544             Щоб уможливити розпізнавання за смарткартками та сертифікатами, SSSD повинна
 3545 мати можливість пов'язувати сертифікати із записами
 3546 користувачів. Забезпечити таку можливість можна додаванням повного
 3547 сертифіката до об'єкта LDAP користувача або локальним перевизначенням. Хоча
 3548 використання повного сертифіката є обов'язковим для використання можливості
 3549 розпізнавання за смарткарткою у (див. <citerefentry>
 3550 <refentrytitle>sss_ssh_authorizedkeys</refentrytitle>
 3551 <manvolnum>8</manvolnum> </citerefentry>, щоб дізнатися більше), додавання
 3552 таких сертифікатів може бути марудною або навіть неможливою справою для
 3553 загального випадку, коли локальні служби використовують для розпізнавання
 3554 PAM.
 3555         </para>
 3556         <para>
 3557             Для додавання гнучкості прив'язкам у SSSD додано правила прив'язки і
 3558 встановлення відповідності (докладніше про це у розділі <citerefentry>
 3559 <refentrytitle>sss-certmap</refentrytitle> <manvolnum>5</manvolnum>
 3560 </citerefentry>).
 3561         </para>
 3562         <para>
 3563             Правила пов'язування та відповідності можна додати до налаштувань SSSD у
 3564 окремий розділ із назвою, подібною до
 3565 <quote>[certmap/<replaceable>НАЗВА_ДОМЕНУ</replaceable>/<replaceable>НАЗВА_ПРАВИЛА</replaceable>]</quote>.
 3566 У цьому розділі можна використовувати такі параметри:
 3567         </para>
 3568         <variablelist>
 3569             <varlistentry>
 3570                 <term>matchrule (рядок)</term>
 3571                 <listitem>
 3572                     <para>
 3573                         Буде виконано обробку лише тих сертифікатів зі смарткартки, які відповідають
 3574 цьому правилу. Усі інші сертифікати буде проігноровано.
 3575                     </para>
 3576                     <para>
 3577                         Типове значення: KRB5:&lt;EKU&gt;clientAuth, тобто лише сертифікати, у яких
 3578 Extended Key Usage (розширене використання ключа) дорівнює
 3579 <quote>clientAuth</quote>
 3580                     </para>
 3581                 </listitem>
 3582             </varlistentry>
 3583             <varlistentry>
 3584                 <term>maprule (рядок)</term>
 3585                 <listitem>
 3586                     <para>
 3587                         Визначає спосіб пошуку користувача для вказаного сертифіката.
 3588                     </para>
 3589                     <para>
 3590                         Типове значення:
 3591                         <itemizedlist>
 3592                             <listitem>
 3593                                 <para>LDAP:(userCertificate;binary={cert!bin})  для заснованих на LDAP надавачів
 3594 даних, зокрема <quote>ldap</quote>, <quote>AD</quote> та <quote>ipa</quote>.</para>
 3595                             </listitem>
 3596                             <listitem>
 3597                                 <para>RULE_NAME для надавача даних <quote>files</quote>, який намагається знайти
 3598 запис користувача і такою самою назвою.</para>
 3599                             </listitem>
 3600                         </itemizedlist>
 3601                     </para>
 3602                 </listitem>
 3603             </varlistentry>
 3604             <varlistentry>
 3605                 <term>domains (рядок)</term>
 3606                 <listitem>
 3607                     <para>
 3608                         Список відокремлених комами назв доменів, до яких слід застосовувати
 3609 правило. Типово, правило стосуватиметься лише домену, який налаштовано у
 3610 sssd.conf. Якщо для надавача даних передбачено підтримку піддоменів, цей
 3611 параметр можна використати і для додавання правила до піддоменів.
 3612                     </para>
 3613                     <para>
 3614                         Типове значення: домен, який налаштовано у sssd.conf
 3615                     </para>
 3616                 </listitem>
 3617             </varlistentry>
 3618             <varlistentry>
 3619                 <term>priority (ціле число)</term>
 3620                 <listitem>
 3621                     <para>
 3622                         Ціле невід'ємне значення, яке визначає пріоритетність правила. Чим більшим є
 3623 значення, тим нижчою є пріоритетність. <quote>0</quote> — найвища
 3624 пріоритетність, а <quote>4294967295</quote> — найнижча.
 3625                     </para>
 3626                     <para>
 3627                         Типове значення: найнижча пріоритетність
 3628                     </para>
 3629                 </listitem>
 3630             </varlistentry>
 3631         </variablelist>
 3632         <para>
 3633             Щоб спростити налаштовування із зменшити кількість параметрів
 3634 налаштовування, у надавачі даних <quote>files</quote> передбачено декілька
 3635 спеціальних властивостей:
 3636             <itemizedlist>
 3637                 <listitem>
 3638                     <para>
 3639                         якщо не встановлено maprule, припускається, що значенням RULE_NAME є назва
 3640 відповідного облікового запису користувача
 3641                     </para>
 3642                 </listitem>
 3643                 <listitem>
 3644                     <para>
 3645                         якщо maprule використовує обидва, назву облікового запису окремого
 3646 користувача або шаблон, подібний до
 3647 <quote>{назва_об'єкта_rfc822.коротка_назва}</quote>, слід брати у дужки,
 3648 наприклад <quote>(користувач)</quote> або
 3649 <quote>({назва_об'єкта_rfc822.коротка_назва})</quote>
 3650                     </para>
 3651                 </listitem>
 3652                 <listitem>
 3653                     <para>
 3654                         параметр <quote>domains</quote> буде проігноровано
 3655                     </para>
 3656                 </listitem>
 3657             </itemizedlist>
 3658         </para>
 3659     </refsect1>
 3660 
 3661     <refsect1 id='prompting_configuration'>
 3662         <title>РОЗДІЛ НАЛАШТОВУВАННЯ ЗАПИТІВ</title>
 3663         <para>
 3664             Якщо існує спеціальний файл
 3665 (<filename>/var/lib/sss/pubconf/pam_preauth_available</filename>), модуль
 3666 PAM SSSD pam_sss надсилатиме запит до SSSD для визначення того, які методи
 3667 розпізнавання доступні для користувача, який намагається увійти до
 3668 системи. На основі отриманих результатів pam_sss надсилатиме запит до
 3669 користувача щодо відповідних реєстраційних даних.
 3670         </para>
 3671         <para>
 3672             Зростання кількості способів розпізнавання та можливість того, що для
 3673 окремого користувача передбачено декілька способів, призводить до того, що
 3674 евристика, яка використовується pam_sss для вибору запиту може не
 3675 спрацьовувати в усіх можливих випадках. Підвищення гнучкості системи у таких
 3676 випадках мають забезпечити описані нижче параметри.
 3677         </para>
 3678         <para>
 3679             У кожного з підтримуваних способів розпізнавання є власний підрозділ
 3680 налаштувань у <quote>[prompting/...]</quote>. У поточній версії це:
 3681 <variablelist>
 3682             <varlistentry>
 3683                 <term>[prompting/password]</term>
 3684                 <listitem>
 3685                     <para>для налаштовування запиту щодо пароля; дозволені параметри: <variablelist><varlistentry><term>password_prompt</term>
 3686                         <listitem><para>для зміни рядка запиту пароля</para></listitem></varlistentry></variablelist>
 3687                     </para>
 3688                 </listitem>
 3689             </varlistentry>
 3690         </variablelist> <variablelist>
 3691             <varlistentry>
 3692                 <term>[prompting/2fa]</term>
 3693                 <listitem>
 3694                     <para>для налаштовування запиту щодо двофакторного розпізнавання; дозволені
 3695 параметри: <variablelist><varlistentry><term>first_prompt</term>
 3696                         <listitem><para>для зміни рядка запиту для першого фактора </para></listitem>
 3697                         </varlistentry>
 3698                         <varlistentry><term>second_prompt</term>
 3699                         <listitem><para>для зміни рядка запиту для другого фактора </para></listitem>
 3700                         </varlistentry>
 3701                         <varlistentry><term>single_prompt</term>
 3702                         <listitem><para>булеве значення. Якщо True, буде виконано лише один запит із використанням
 3703 значення first_prompt. Припускатиметься, що обидва фактори введено як один
 3704 рядок.</para></listitem>
 3705                         </varlistentry>
 3706                     </variablelist>
 3707                     </para>
 3708                 </listitem>
 3709             </varlistentry>
 3710         </variablelist>
 3711         </para>
 3712         <para>
 3713             Передбачено можливість додавання підрозділу для специфічних служб PAM,
 3714 наприклад <quote>[prompting/password/sshd]</quote>, для окремої зміни запиту
 3715 для цієї служби.
 3716         </para>
 3717     </refsect1>
 3718 
 3719     <refsect1 id='example'>
 3720         <title>ПРИКЛАДИ</title>
 3721         <para>
 3722             1. Нижче наведено приклад типових налаштувань SSSD. Налаштування самого
 3723 домену не наведено, — щоб дізнатися більше про неї, ознайомтеся з
 3724 документацією щодо налаштовування доменів.  <programlisting>
 3725 [sssd]
 3726 domains = LDAP
 3727 services = nss, pam
 3728 config_file_version = 2
 3729 
 3730 [nss]
 3731 filter_groups = root
 3732 filter_users = root
 3733 
 3734 [pam]
 3735 
 3736 [domain/LDAP]
 3737 id_provider = ldap
 3738 ldap_uri = ldap://ldap.example.com
 3739 ldap_search_base = dc=example,dc=com
 3740 
 3741 auth_provider = krb5
 3742 krb5_server = kerberos.example.com
 3743 krb5_realm = EXAMPLE.COM
 3744 cache_credentials = true
 3745 
 3746 min_id = 10000
 3747 max_id = 20000
 3748 enumerate = False
 3749 </programlisting>
 3750         </para>
 3751         <para>
 3752             2. У наведеному нижче прикладі показано налаштування довіри AD у IPA, де ліс
 3753 AD складається з двох доменів у структурі батьківський-дочірній. Нехай домен
 3754 IPA (ipa.com) має стосунки довіри з доменом AD (ad.com). ad.com має дочірній
 3755 домен (child.ad.com). Щоб увімкнути скорочені назви у дочірньому домені,
 3756 слід скористатися наведеними нижче налаштуваннями. <programlisting>
 3757 [domain/ipa.com/child.ad.com]
 3758 use_fully_qualified_names = false
 3759 </programlisting>
 3760         </para>
 3761         <para>
 3762             3. У наведеному нижче прикладі показано налаштування для двох правил
 3763 пов'язування сертифікатів. Перше є чинним для налаштованого домену
 3764 <quote>my.domain</quote> і, додатково, для піддоменів
 3765 <quote>your.domain</quote> і використовує повний сертифікат у фільтрі
 3766 пошуку. Другий приклад є чинним для домену <quote>files</quote>, де
 3767 припускається, що для цього домену використовується засіб надання даних
 3768 файлів, і містить правило відповідності для локального користувача
 3769 <quote>myname</quote>.  <programlisting>
 3770 [certmap/my.domain/rule_name]
 3771 matchrule = &lt;ISSUER&gt;^CN=My-CA,DC=MY,DC=DOMAIN$
 3772 maprule = (userCertificate;binary={cert!bin})
 3773 domains = my.domain, your.domain
 3774 priority = 10
 3775 
 3776 [certmap/files/myname]
 3777 matchrule = &lt;ISSUER&gt;^CN=My-CA,DC=MY,DC=DOMAIN$&lt;SUBJECT&gt;^CN=User.Name,DC=MY,DC=DOMAIN$
 3778 </programlisting>
 3779         </para>
 3780     </refsect1>
 3781 
 3782     <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/seealso.xml" />
 3783 
 3784 </refentry>
 3785 </reference>