Справочный центр Termidesk Документация Эксплуатационная документация Сервер терминалов Сервер терминалов. Настройка Current: [Сбер] Настройка аутентификации OIDC PDF Download PDF Download page [Сбер] Настройка аутентификации OIDC. Current page All pages [Сбер] Настройка аутентификации OIDC Настройка аутентификации OIDCДля настройки аутентификации OIDC в STAL нужно задать дополнительные параметры в конфигурационном файле /etc/sssd/sssd.conf.Для этого после ввода ОС SberOS в домен выполнить:отредактировать файл /etc/sssd/sssd.conf, добавив секции с параметрами в формате <Параметр = Значение>. Пример файла /etc/sssd/sssd.conf: [sssd] domains = <Имя_домена> config_file_version = 2 services = nss, pam [ifp] allowed_uids = 0, 33, 114, 106 [pam] pam_pwd_expiration_warning = 7 [domain/<Имя_домена>] ad_update_samba_machine_account_password = True krb5_renew_interval = 600s krb5_renewable_lifetime = 7d krb5_ccname_template = FILE:%d/krb5cc_%U ad_gpo_access_control = disabled default_shell = /bin/bash krb5_store_password_if_offline = True cache_credentials = True krb5_realm = <Имя_домена> realmd_tags = manages-system joined-with-adcli id_provider = ad fallback_homedir = /home/%u@%d ad_domain = <Имя_домена> use_fully_qualified_names = True ldap_id_mapping = True access_provider = ad BASH перезапустить службу sssd: sudo systemctl restart sssd BASH Список необходимых для добавления секций и параметров приведен в таблице.Параметры, необходимые для обеспечения возможности входа в STAL с использованием домена OIDC ПараметрОписаниеЗначениеСекция [ifp]allowed_uidsЗадает список идентификаторов пользователей, для которых разрешена обработка запросов службой sssd0, 33, 114, 106Секция [pam]pam_pwd_expiration_warningПериод (в днях) предварительного уведомления пользователя об истечении срока действия его пароля7Секция [domain/<Имя_домена>]:ad_update_samba_machine_account_passwordПараметр автоматического обновления пароля учетной записи.Возможные значения:True - включить автоматическое обновление пароля;False - отключить автоматическое обновление пароляTruekrb5_renew_intervalПериод (в секундах) автоматического обновления Kerberos-билета для поддержания доступа без необходимости повторного ввода учетных данных600skrb5_renewable_lifetimeПериод (в днях), в течение которого билет Kerberos может быть продлен до истечения его срока действия7dkrb5_ccname_templateШаблон имени файла или пути для хранения кеша учетных данных Kerberos (Kerberos-билетов)FILE:%d/krb5cc_%Uad_gpo_access_controlМетод контроля доступа, основанный на политике групп безопасности (GPO) в домене MS ADdisabled ×