tuto:ipasserelle:authentification:ubuntu_sssd_on_sme

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [14/03/2011 20:20]
dani créée 		tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:35] (Version actuelle)
dani [Configurer SSSD]
Ligne 5: Ligne 5:
 ===== Installer les paquets nécessaires ====== ===== Installer les paquets nécessaires ======
 <code bash> <code bash>
-sudo apt-get install sssd libnss-sss libpam-nss auth-client-config+sudo apt install sssd libnss-sss libpam-sss auth-client-config
 </code> </code>
  
-===== Créer un lien symbolique ===== + 
-Il semble qu'il y ait un bug dans la version de sssd fournit sur Ubuntupour le contourneril suffit de créer un lien symbolique:+===== Configurer SSSD ===== 
 +La configuration de SSSD se passe dans le fichier /etc/sssd/sssd.conf.  
 + 
 +<code bash> 
 +cat <<'_EOF' > /etc/sssd/sssd.conf 
 +[sssd] 
 +config_file_version = 2 
 +services = nsspam 
 +domains = LDAP 
 + 
 +[nss] 
 + 
 +[pam] 
 + 
 +[domain/LDAP] 
 +id_provider = ldap 
 +auth_provider = ldap 
 +ldap_schema = rfc2307 
 +ldap_uri = ldap://sme.domain.tld 
 +ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld 
 +ldap_default_authtok = p@ssw0rd 
 +ldap_default_authtok_type = password 
 +ldap_search_base = dc=domain,dc=tld 
 +ldap_user_search_base = ou=Users,dc=domain,dc=tld 
 +ldap_group_search_base = ou=Groups,dc=domain,dc=tld 
 +ldap_user_object_class = inetOrgPerson 
 +ldap_user_gecos = cn 
 +ldap_tls_reqcert = hard 
 +ldap_tls_cacert = /etc/ssl/certs/sme-cacert.pem 
 +ldap_id_use_start_tls = true 
 +#ldap_user_shell = desktopLoginShell 
 +cache_credentials = true 
 +enumerate = true 
 +access_provider = ldap 
 +# ldap_access_filter = (|(posixMemberOf=equipe)(posixMemberOf=admins)(uid=backups)) 
 +_EOF 
 +chmod 600 /etc/sssd/sssd.conf 
 +</code> 
 + 
 +Dans cet exemple: 
 +  * le nom de domaine est domain.tld 
 +  * le nom dns de votre serveur SME est sme.domain.tld 
 +  * auth doit être un compte créé sur SME (un utilisateur classique) 
 +  * p@ssw0rd est le mot de passe du compte auth 
 +  * /etc/ssl/certs/sme-cacert.pem doit contenir la CA qui a signé le certificat de votre SME (/etc/ssl/certs/ca-certificates.crt si vous utilisez un certificat "officiel"
 + 
 +===== Configurer le système pour utiliser SSSD comme source d'authentification ===== 
 + 
 +On va pour cela utiliser l'outil auth-client-config: 
 + 
 +<code bash> 
 +vim /etc/auth-client-config/profile.d/sss 
 +</code> 
 +Puis y placer les lignes suivantes: 
 + 
 +<code> 
 + 
 +[sss] 
 +nss_passwd=     passwd:         compat sss 
 +nss_group=      group:          compat sss 
 +nss_shadow=     shadow:         compat 
 +nss_netgroup=   netgroup:       nis 
 + 
 +pam_auth=       auth    [success=3 default=ignore]      pam_unix.so nullok_secure try_first_pass 
 +                auth    requisite                       pam_succeed_if.so uid >= 500 quiet 
 +                auth    [success=1 default=ignore]      pam_sss.so use_first_pass 
 +                auth    requisite                       pam_deny.so 
 +                auth    required                        pam_permit.so 
 + 
 +pam_account=    account required                                        pam_unix.so 
 +                account sufficient                                      pam_localuser.so 
 +                account sufficient                                      pam_succeed_if.so uid < 500 quiet 
 +                account [default=bad success=ok user_unknown=ignore]    pam_sss.so 
 +                account required                                        pam_permit.so 
 + 
 +pam_password=   password        sufficient      pam_unix.so obscure sha512 
 +                password        sufficient      pam_sss.so use_authtok 
 +                password        required        pam_deny.so 
 + 
 +pam_session=    session required                        pam_mkhomedir.so skel=/etc/skel/ umask=0077 
 +                session optional                        pam_keyinit.so revoke 
 +                session required                        pam_limits.so 
 +                session [success=1 default=ignore]      pam_sss.so 
 +                session required                        pam_unix.so 
 +</code> 
 + 
 +Il ne reste plus qu'à activer le tout:
 <code bash> <code bash>
-ln -s /usr/lib /usr/modules+sudo auth-client-config -a -p sss
 </code> </code>
-Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http://us.generation-nt.com/bug-599644-sssd-unable-resolve-ldap-group-memberships-help-200739341.html) 
  • tuto/ipasserelle/authentification/ubuntu_sssd_on_sme.1300130442.txt.gz
  • Dernière modification: 14/03/2011 20:20
  • de dani