Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [16/03/2011 15:49]
dani
+++ tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:27]
dani [Installer les paquets nécessaires]
@@ Ligne 5: / Ligne 5: @@
 ===== Installer les paquets nécessaires ======
 <code bash>
-sudo apt-get install sssd libnss-sss libpam-nss auth-client-config
+sudo apt install sssd libnss-sss libpam-sss auth-client-config
 </code>
-===== Créer un lien symbolique =====
-Il semble qu'il y ait un bug dans la version de sssd fournit sur Ubuntu, pour le contourner, il suffit de créer un lien symbolique:
-<code bash>
-ln -s /usr/lib /usr/modules
-</code>
-Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http://us.generation-nt.com/bug-599644-sssd-unable-resolve-ldap-group-memberships-help-200739341.html)
 ===== Configurer SSSD =====
@@ Ligne 44: / Ligne 38: @@
 Dans cet exemple:
-  * le le domaine est domain.tld
+  * le nom de domaine est domain.tld
   * le nom dns de votre serveur SME est sme.domain.tld
   * auth doit être un compte créé sur SME (un utilisateur classique)
@@ Ligne 50: / Ligne 44: @@
   * /etc/ssl/certs/sme-cacert.pem doit contenir la CA qui a signé le certificat de votre SME (si vous utilisez PHPki, il faut une version > 0.82-13)
+===== Configurer le système pour utiliser SSSD comme source d'authentification =====
+On va pour cela utiliser l'outil auth-client-config:
+<code bash>
+vim /etc/auth-client-config/profile.d/sss
+</code>
+Puis y placer les lignes suivantes:
+<code>
+[sss]
+nss_passwd=     passwd:         compat sss
+nss_group=      group:          compat sss
+nss_shadow=     shadow:         compat
+nss_netgroup=   netgroup:       nis
+pam_auth=       auth    [success=3 default=ignore]      pam_unix.so nullok_secure try_first_pass
+                auth    requisite                       pam_succeed_if.so uid >= 500 quiet
+                auth    [success=1 default=ignore]      pam_sss.so use_first_pass
+                auth    requisite                       pam_deny.so
+                auth    required                        pam_permit.so
+pam_account=    account required                                        pam_unix.so
+                account sufficient                                      pam_localuser.so
+                account sufficient                                      pam_succeed_if.so uid < 500 quiet
+                account [default=bad success=ok user_unknown=ignore]    pam_sss.so
+                account required                                        pam_permit.so
+pam_password=   password        sufficient      pam_unix.so obscure sha512
+                password        sufficient      pam_sss.so use_authtok
+                password        required        pam_deny.so
+pam_session=    session required                        pam_mkhomedir.so skel=/etc/skel/ umask=0077
+                session optional                        pam_keyinit.so revoke
+                session required                        pam_limits.so
+                session [success=1 default=ignore]      pam_sss.so
+                session required                        pam_unix.so
+</code>
+Il ne reste plus qu'à activer le tout:
+<code bash>
+sudo auth-client-config -a -p sss
+</code>