tuto:ipasserelle:authentification:ubuntu_sssd_on_sme

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [14/03/2011 20:20]
dani créée 		tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:27]
dani [Installer les paquets nécessaires]
Ligne 5: Ligne 5:
 ===== Installer les paquets nécessaires ====== ===== Installer les paquets nécessaires ======
 <code bash> <code bash>
-sudo apt-get install sssd libnss-sss libpam-nss auth-client-config+sudo apt install sssd libnss-sss libpam-sss auth-client-config
 </code> </code>
  
-===== Créer un lien symbolique ===== + 
-Il semble qu'il y ait un bug dans la version de sssd fournit sur Ubuntu, pour le contourner, il suffit de créer un lien symbolique:+===== Configurer SSSD ===== 
 +La configuration de SSSD se passe dans le fichier /etc/sssd/sssd.conf. Vers le début de ce fichier, il faut configurer le domaine utilisé. Dans SSSD on peut considérer un domaine comme une source de donnée. Il est possible de sépcifier plusieurs domaine, dans l'ordre de préférences. Par exemple: 
 + 
 +<code> 
 +domains = sme 
 +</code> 
 + 
 +Puis, vers la fin du fichier, nous allons ajouter la configuration du domaine **sme** 
 +<code> 
 + 
 +[domain/sme] 
 +id_provider = ldap 
 +auth_provider = ldap 
 +ldap_schema = rfc2307 
 +ldap_uri = ldap://sme.domain.tld 
 +ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld 
 +ldap_default_authtok = something_very_secret 
 +ldap_search_base = dc=domain,dc=tld 
 +ldap_user_search_base = ou=Users,dc=domain,dc=tld 
 +ldap_group_search_base = ou=Groups,dc=domain,dc=tld 
 +ldap_user_gecos = cn 
 +ldap_tls_reqcert = hard 
 +ldap_tls_cacert = /etc/ssl/certs/sme-cacert.pem 
 +ldap_id_use_start_tls = true 
 +cache_credentials = true 
 +enumerate = true 
 +</code> 
 + 
 +Dans cet exemple: 
 +  * le nom de domaine est domain.tld 
 +  * le nom dns de votre serveur SME est sme.domain.tld 
 +  * auth doit être un compte créé sur SME (un utilisateur classique) 
 +  * something_very_secret est le mot de passe du compte auth 
 +  * /etc/ssl/certs/sme-cacert.pem doit contenir la CA qui a signé le certificat de votre SME (si vous utilisez PHPki, il faut une version > 0.82-13) 
 + 
 +===== Configurer le système pour utiliser SSSD comme source d'authentification ===== 
 + 
 +On va pour cela utiliser l'outil auth-client-config: 
 + 
 +<code bash> 
 +vim /etc/auth-client-config/profile.d/sss 
 +</code> 
 +Puis y placer les lignes suivantes: 
 + 
 +<code> 
 + 
 +[sss] 
 +nss_passwd=     passwd:         compat sss 
 +nss_group=      group:          compat sss 
 +nss_shadow=     shadow:         compat 
 +nss_netgroup=   netgroup:       nis 
 + 
 +pam_auth=       auth    [success=3 default=ignore]      pam_unix.so nullok_secure try_first_pass 
 +                auth    requisite                       pam_succeed_if.so uid >= 500 quiet 
 +                auth    [success=1 default=ignore]      pam_sss.so use_first_pass 
 +                auth    requisite                       pam_deny.so 
 +                auth    required                        pam_permit.so 
 + 
 +pam_account=    account required                                        pam_unix.so 
 +                account sufficient                                      pam_localuser.so 
 +                account sufficient                                      pam_succeed_if.so uid < 500 quiet 
 +                account [default=bad success=ok user_unknown=ignore]    pam_sss.so 
 +                account required                                        pam_permit.so 
 + 
 +pam_password=   password        sufficient      pam_unix.so obscure sha512 
 +                password        sufficient      pam_sss.so use_authtok 
 +                password        required        pam_deny.so 
 + 
 +pam_session=    session required                        pam_mkhomedir.so skel=/etc/skel/ umask=0077 
 +                session optional                        pam_keyinit.so revoke 
 +                session required                        pam_limits.so 
 +                session [success=1 default=ignore]      pam_sss.so 
 +                session required                        pam_unix.so 
 +</code> 
 + 
 +Il ne reste plus qu'à activer le tout:
 <code bash> <code bash>
-ln -s /usr/lib /usr/modules+sudo auth-client-config -a -p sss
 </code> </code>
-Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http://us.generation-nt.com/bug-599644-sssd-unable-resolve-ldap-group-memberships-help-200739341.html) 
  • tuto/ipasserelle/authentification/ubuntu_sssd_on_sme.txt
  • Dernière modification: 01/04/2016 17:35
  • de dani