Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tuto:ipasserelle:authentification:centos_sssd_on_sme [13/06/2012 18:06]
dani
+++ tuto:ipasserelle:authentification:centos_sssd_on_sme [23/10/2014 12:53] (Version actuelle)
dani [CentOS 6 / 7]
@@ Ligne 1: / Ligne 1: @@
-====== Authentifier un poste CentOS 5 sur SME avec SSSD ======
+====== Authentifier un poste CentOS sur SME avec SSSD ======
@@ Ligne 65: / Ligne 65: @@
 </code>
+Au final votre fichier de configuration /etc/sssd/sssd.conf devrait ressembler à ça:
+<hidden afficher le fichier de configuration >
+<file ini sssd.conf>
+[sssd]
+config_file_version = 2
+services = nss, pam
+domains = FIREWALL
+[nss]
+[pam]
+[domain/FIREWALL]
+id_provider = ldap
+auth_provider = ldap
+ldap_schema = rfc2307
+ldap_uri = ldap://sme.domain.tld
+ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld
+ldap_default_authtok = something_very_secret
+ldap_default_authtok_type = password
+ldap_search_base = dc=domain,dc=tld
+ldap_user_search_base = ou=Users,dc=domain,dc=tld
+ldap_group_search_base = ou=Groups,dc=domain,dc=tld
+ldap_user_object_class = inetOrgPerson
+ldap_user_gecos = cn
+ldap_tls_reqcert = hard
+ldap_tls_cacert = /etc/pki/tls/certs/ca.pem
+ldap_id_use_start_tls = true
+# Possible de décommenter cette ligne si votre serveur SME est une iPasserelle
+# ldap_user_shell = desktopLoginShell
+cache_credentials = true
+enumerate = true
+# # Il est possible de limiter l'accès via un filtre LDAP en
+# # dé-commentant ces deux lignes. Dans cet exemple, seuls les
+# # membres du groupe netusers seront valides sur cet hôte
+# # posixMemberOf est un attribut disponible uniquement sur une iPasserelle
+# access_provider = ldap
+# ldap_access_filter = posixMemberOf=netusers
+</file>
+</hidden>
+<note important>Le fichier /etc/sssd/sssd.conf doit être en 600</note>
 ===== Configurer nss =====
@@ Ligne 81: / Ligne 124: @@
 </code>
+<note tip>Cette étape est faite automatiquement à partir de CentOS 7</note>
 Une fois cette modification effectuée, on peut vérifier si ça fonctionne, la commande
@@ Ligne 97: / Ligne 141: @@
 Il ne reste plus qu'à configurer pam pour que lui aussi utilise sssd comme source.
+==== CentOS 5 ====
-<code bash>rm -f /etc/pam.d/system-auth
+<code bash>
+rm -f /etc/pam.d/system-auth
 cat <<'EOF' > /etc/pam.d/system-auth
 #%PAM-1.0
@@ Ligne 128: / Ligne 175: @@
 </code>
+==== CentOS 6 / 7 ====
+<code bash>
+rm -f /etc/pam.d/system-auth
+cat <<'EOF' > /etc/pam.d/system-auth
+#%PAM-1.0
+# This file is auto-generated.
+# User changes will be destroyed the next time authconfig is run.
+auth        required      pam_env.so
+auth        sufficient    pam_unix.so nullok try_first_pass
+auth        requisite     pam_succeed_if.so uid >= 500 quiet
+auth        sufficient    pam_sss.so use_first_pass
+auth        required      pam_deny.so
+account     required      pam_unix.so
+account     sufficient    pam_succeed_if.so uid < 500 quiet
+account     [default=bad success=ok user_unknown=ignore] pam_sss.so
+account     required      pam_permit.so
+password    requisite     pam_cracklib.so try_first_pass retry=3 type=
+password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
+password    sufficient    pam_sss.so use_authtok
+password    required      pam_deny.so
+session     optional      pam_keyinit.so revoke
+session     required      pam_limits.so
+session     optional      pam_mkhomedir.so skel=/etc/skel umask=0077
+session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
+session     required      pam_unix.so
+session     optional      pam_sss.so
+EOF
+rm -f /etc/pam.d/password-auth
+ln -sf system-auth /etc/pam.d/password-auth
+</code>
 Et voilà, reste plus qu'à tester l'ensemble
+Une fois que tout fonctionne, il ne manque plus qu'à activer le démon sssd au démarrage:
+<code bash>
+chkconfig sssd on
+</code>
+ou
+<code bash>
+systemctl enable sssd
+</code>