tuto:ipasserelle:authentification:debian_sssd_on_sme

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
tuto:ipasserelle:authentification:debian_sssd_on_sme [22/06/2012 12:15]
dani 		tuto:ipasserelle:authentification:debian_sssd_on_sme [21/10/2015 17:30] (Version actuelle)
heuzef [sssd]
Ligne 8: Ligne 8:
  
  
-<code bash>apt-get install sssd libnss-sss libpam-sss+<code bash>apt-get install sssd libnss-sss libpam-sss ca-certificates
 </code> </code>
  
Ligne 18: Ligne 18:
  
  
-Éditez le fichier de configuration **/etc/sssd/sssd.conf**, et adaptez-le à vos besoins. Le plus important étant la partie du domane utilisé:+Éditez le fichier de configuration **/etc/sssd/sssd.conf**, et adaptez-le à vos besoins. Le plus important étant la partie du domaine utilisé :
 <code bash>[domain/FIREWALL] <code bash>[domain/FIREWALL]
 id_provider = ldap id_provider = ldap
Ligne 33: Ligne 33:
 ldap_user_gecos = cn ldap_user_gecos = cn
 ldap_tls_reqcert = hard ldap_tls_reqcert = hard
-ldap_tls_cacert = /etc/ssl/certs/ca.pem+ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
 ldap_id_use_start_tls = true ldap_id_use_start_tls = true
 # à dé-commenter si votre serveur SME est une iPasserelle # à dé-commenter si votre serveur SME est une iPasserelle
Ligne 48: Ligne 48:
  
  
-Il faut aussi s'assurer que le fichier /etc/ssl/certs/ca.pem contient bien la CA qui a signé le certificat de votre serveur SME.+Il faut aussi s'assurer que le fichier /etc/ssl/certs/ca-certificates.crt contient bien la CA qui a signé le certificat de votre serveur SME.
  
  
Ligne 64: Ligne 64:
  
 ==== pam ==== ==== pam ====
 +
 +
 +<code bash>cd /etc/pam.d
 +cp -a common-account common-account.orig
 +cat <<'EOF'> common-account
 +#
 +# /etc/pam.d/common-account - authorization settings common to all services
 +#
 + 
 + 
 +account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so
 +# here's the fallback if no module succeeds
 +account requisite                       pam_deny.so
 +# prime the stack with a positive return value if there isn't one already;
 +# this avoids us returning an error just because nothing sets a success code
 +# since the modules above will each just jump around
 +account required                        pam_permit.so
 +# and here are more per-package modules (the "Additional" block)
 +session optional      pam_mkhomedir.so skel=/etc/skel umask=0077
 +account [default=bad success=ok user_unknown=ignore]    pam_sss.so
 +EOF
 +cp -a common-auth common-auth.orig
 +cat <<'EOF'> common-auth
 +#
 +# /etc/pam.d/common-auth - authentication settings common to all services
 +#
 + 
 +# here are the per-package modules (the "Primary" block)
 +auth    [success=2 default=ignore]                      pam_sss.so
 +auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass
 +# here's the fallback if no module succeeds
 +auth    requisite                       pam_deny.so
 +# prime the stack with a positive return value if there isn't one already;
 +# this avoids us returning an error just because nothing sets a success code
 +# since the modules above will each just jump around
 +auth    required                        pam_permit.so
 +# and here are more per-package modules (the "Additional" block)
 +EOF
 +cp -a common-password common-password.orig
 +cat <<'EOF'> common-password
 +#
 +# /etc/pam.d/common-password - password-related modules common to all services
 + 
 + 
 +# here are the per-package modules (the "Primary" block)
 +password        sufficient                      pam_sss.so
 +password        [success=1 default=ignore]      pam_unix.so obscure try_first_pass sha512
 +# here's the fallback if no module succeeds
 +password        requisite                       pam_deny.so
 +# prime the stack with a positive return value if there isn't one already;
 +# this avoids us returning an error just because nothing sets a success code
 +# since the modules above will each just jump around
 +password        required                        pam_permit.so
 +# and here are more per-package modules (the "Additional" block)
 + 
 + 
 +EOF
 +cp -a common-session common-session.orig
 +cat <<'EOF'> common-session
 +#
 +# /etc/pam.d/common-session - session-related modules common to all services
 +
 + 
 +# here are the per-package modules (the "Primary" block)
 +session [default=1]   pam_permit.so
 +# here's the fallback if no module succeeds
 +session requisite     pam_deny.so
 +# prime the stack with a positive return value if there isn't one already;
 +# this avoids us returning an error just because nothing sets a success code
 +# since the modules above will each just jump around
 +session required      pam_permit.so
 +# and here are more per-package modules (the "Additional" block)
 +session optional      pam_mkhomedir.so skel=/etc/skel umask=0077
 +session optional      pam_sss.so
 +session required      pam_unix.so
 + 
 + 
 +EOF
 +</code>
 +
 +==== Activation au démarrage ====
 +<code bash>
 +update-rc.d sssd enable
 +/etc/init.d/sssd start
 +</code>
  
  • tuto/ipasserelle/authentification/debian_sssd_on_sme.1340360119.txt.gz
  • Dernière modification: 22/06/2012 12:15
  • de dani