Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:centos_sssd_on_sme [18/04/2011 17:28] dani [Configurer pam] |
tuto:ipasserelle:authentification:centos_sssd_on_sme [23/10/2014 12:53] dani [CentOS 6 / 7] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Authentifier un poste CentOS | + | ====== Authentifier un poste CentOS sur SME avec SSSD ====== |
sssd est aussi disponible sur CentOS 5. Sont principal intérêt par rapport à nss_ldap est qu'il peut conserver en cache les informations d' | sssd est aussi disponible sur CentOS 5. Sont principal intérêt par rapport à nss_ldap est qu'il peut conserver en cache les informations d' | ||
+ | |||
===== Installer les paquets ===== | ===== Installer les paquets ===== | ||
+ | |||
La première étape est d' | La première étape est d' | ||
+ | |||
<code bash> | <code bash> | ||
yum install sssd | yum install sssd | ||
</ | </ | ||
+ | |||
===== Configurer sssd ===== | ===== Configurer sssd ===== | ||
+ | |||
+ | |||
sssd se configure de manière classique (idem Ubuntu et Fédora par exemple). Il faut d' | sssd se configure de manière classique (idem Ubuntu et Fédora par exemple). Il faut d' | ||
+ | |||
< | < | ||
Ligne 23: | Ligne 31: | ||
domains = FIREWALL | domains = FIREWALL | ||
</ | </ | ||
+ | |||
Puis, vers la fin du fichier, ajouter la configuration de ce domaine | Puis, vers la fin du fichier, ajouter la configuration de ce domaine | ||
+ | |||
+ | |||
< | < | ||
[domain/ | [domain/ | ||
Ligne 50: | Ligne 61: | ||
# membres du groupe netusers seront valides sur cet hôte | # membres du groupe netusers seront valides sur cet hôte | ||
# posixMemberOf est un attribut disponible uniquement sur une iPasserelle | # posixMemberOf est un attribut disponible uniquement sur une iPasserelle | ||
- | # | + | # access_provider = ldap |
- | # | + | # ldap_access_filter = posixMemberOf=netusers |
</ | </ | ||
+ | |||
+ | Au final votre fichier de configuration / | ||
+ | <hidden afficher le fichier de configuration > | ||
+ | <file ini sssd.conf> | ||
+ | [sssd] | ||
+ | config_file_version = 2 | ||
+ | services = nss, pam | ||
+ | domains = FIREWALL | ||
+ | |||
+ | [nss] | ||
+ | |||
+ | [pam] | ||
+ | |||
+ | [domain/ | ||
+ | id_provider = ldap | ||
+ | auth_provider = ldap | ||
+ | ldap_schema = rfc2307 | ||
+ | ldap_uri = ldap:// | ||
+ | ldap_default_bind_dn = uid=auth, | ||
+ | ldap_default_authtok = something_very_secret | ||
+ | ldap_default_authtok_type = password | ||
+ | ldap_search_base = dc=domain, | ||
+ | ldap_user_search_base = ou=Users, | ||
+ | ldap_group_search_base = ou=Groups, | ||
+ | ldap_user_object_class = inetOrgPerson | ||
+ | ldap_user_gecos = cn | ||
+ | ldap_tls_reqcert = hard | ||
+ | ldap_tls_cacert = / | ||
+ | ldap_id_use_start_tls = true | ||
+ | # Possible de décommenter cette ligne si votre serveur SME est une iPasserelle | ||
+ | # ldap_user_shell = desktopLoginShell | ||
+ | cache_credentials = true | ||
+ | enumerate = true | ||
+ | # # Il est possible de limiter l' | ||
+ | # # dé-commentant ces deux lignes. Dans cet exemple, seuls les | ||
+ | # # membres du groupe netusers seront valides sur cet hôte | ||
+ | # # posixMemberOf est un attribut disponible uniquement sur une iPasserelle | ||
+ | # access_provider = ldap | ||
+ | # ldap_access_filter = posixMemberOf=netusers | ||
+ | |||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <note important> | ||
===== Configurer nss ===== | ===== Configurer nss ===== | ||
+ | |||
+ | |||
Pour que NSS puisse utiliser sssd comme backend, il faut éditer / | Pour que NSS puisse utiliser sssd comme backend, il faut éditer / | ||
+ | |||
+ | |||
< | < | ||
[...] | [...] | ||
Ligne 64: | Ligne 123: | ||
netgroup: | netgroup: | ||
</ | </ | ||
+ | |||
+ | <note tip> | ||
Une fois cette modification effectuée, on peut vérifier si ça fonctionne, la commande | Une fois cette modification effectuée, on peut vérifier si ça fonctionne, la commande | ||
- | <code bash> | + | |
- | getent passwd | + | |
+ | <code bash> | ||
</ | </ | ||
+ | |||
+ | |||
devrait lister les utilisateurs LDAP. Si ce n'est pas le cas, pas la peine d' | devrait lister les utilisateurs LDAP. Si ce n'est pas le cas, pas la peine d' | ||
+ | |||
===== Configurer pam ===== | ===== Configurer pam ===== | ||
+ | |||
+ | |||
Il ne reste plus qu'à configurer pam pour que lui aussi utilise sssd comme source. | Il ne reste plus qu'à configurer pam pour que lui aussi utilise sssd comme source. | ||
+ | |||
+ | ==== CentOS 5 ==== | ||
+ | |||
+ | |||
<code bash> | <code bash> | ||
rm -f / | rm -f / | ||
Ligne 84: | Ligne 155: | ||
auth sufficient | auth sufficient | ||
auth required | auth required | ||
+ | |||
account | account | ||
account | account | ||
account | account | ||
account | account | ||
+ | |||
password | password | ||
password | password | ||
+ | password | ||
+ | password | ||
+ | |||
+ | session | ||
+ | session | ||
+ | session | ||
+ | session | ||
+ | session | ||
+ | session | ||
+ | EOF | ||
+ | </ | ||
+ | |||
+ | ==== CentOS 6 / 7 ==== | ||
+ | <code bash> | ||
+ | rm -f / | ||
+ | cat <<' | ||
+ | #%PAM-1.0 | ||
+ | # This file is auto-generated. | ||
+ | # User changes will be destroyed the next time authconfig is run. | ||
+ | auth required | ||
+ | auth sufficient | ||
+ | auth requisite | ||
+ | auth sufficient | ||
+ | auth required | ||
+ | |||
+ | account | ||
+ | account | ||
+ | account | ||
+ | account | ||
+ | |||
+ | password | ||
+ | password | ||
password | password | ||
password | password | ||
Ligne 102: | Ligne 205: | ||
session | session | ||
EOF | EOF | ||
+ | rm -f / | ||
+ | ln -sf system-auth / | ||
</ | </ | ||
Et voilà, reste plus qu'à tester l' | Et voilà, reste plus qu'à tester l' | ||
+ | Une fois que tout fonctionne, il ne manque plus qu'à activer le démon sssd au démarrage: | ||
+ | <code bash> | ||
+ | chkconfig sssd on | ||
+ | </ | ||
+ | |||
+ | ou | ||
+ | |||
+ | <code bash> | ||
+ | systemctl enable sssd | ||
+ | </ |