Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [14/03/2011 20:20] dani créée |
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:35] (Version actuelle) dani [Configurer SSSD] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
===== Installer les paquets nécessaires ====== | ===== Installer les paquets nécessaires ====== | ||
<code bash> | <code bash> | ||
- | sudo apt-get install sssd libnss-sss libpam-nss auth-client-config | + | sudo apt install sssd libnss-sss libpam-sss auth-client-config |
</ | </ | ||
- | ===== Créer un lien symbolique | + | |
- | Il semble qu'il y ait un bug dans la version | + | ===== Configurer SSSD ===== |
+ | La configuration | ||
+ | |||
+ | <code bash> | ||
+ | cat <<' | ||
+ | [sssd] | ||
+ | config_file_version = 2 | ||
+ | services = nss, pam | ||
+ | domains = LDAP | ||
+ | |||
+ | [nss] | ||
+ | |||
+ | [pam] | ||
+ | |||
+ | [domain/ | ||
+ | id_provider = ldap | ||
+ | auth_provider = ldap | ||
+ | ldap_schema = rfc2307 | ||
+ | ldap_uri = ldap:// | ||
+ | ldap_default_bind_dn = uid=auth,ou=Users, | ||
+ | ldap_default_authtok = p@ssw0rd | ||
+ | ldap_default_authtok_type = password | ||
+ | ldap_search_base = dc=domain, | ||
+ | ldap_user_search_base = ou=Users, | ||
+ | ldap_group_search_base = ou=Groups, | ||
+ | ldap_user_object_class = inetOrgPerson | ||
+ | ldap_user_gecos = cn | ||
+ | ldap_tls_reqcert = hard | ||
+ | ldap_tls_cacert = / | ||
+ | ldap_id_use_start_tls = true | ||
+ | # | ||
+ | cache_credentials = true | ||
+ | enumerate = true | ||
+ | access_provider = ldap | ||
+ | # ldap_access_filter = (|(posixMemberOf=equipe)(posixMemberOf=admins)(uid=backups)) | ||
+ | _EOF | ||
+ | chmod 600 / | ||
+ | </ | ||
+ | |||
+ | Dans cet exemple: | ||
+ | * le nom de domaine est domain.tld | ||
+ | * le nom dns de votre serveur SME est sme.domain.tld | ||
+ | * auth doit être un compte créé sur SME (un utilisateur classique) | ||
+ | * p@ssw0rd est le mot de passe du compte auth | ||
+ | * / | ||
+ | |||
+ | ===== Configurer le système pour utiliser SSSD comme source d' | ||
+ | |||
+ | On va pour cela utiliser l' | ||
+ | |||
+ | <code bash> | ||
+ | vim / | ||
+ | </ | ||
+ | Puis y placer les lignes suivantes: | ||
+ | |||
+ | < | ||
+ | |||
+ | [sss] | ||
+ | nss_passwd= | ||
+ | nss_group= | ||
+ | nss_shadow= | ||
+ | nss_netgroup= | ||
+ | |||
+ | pam_auth= | ||
+ | auth requisite | ||
+ | auth [success=1 default=ignore] | ||
+ | auth requisite | ||
+ | auth required | ||
+ | |||
+ | pam_account= | ||
+ | account sufficient | ||
+ | account sufficient | ||
+ | account [default=bad success=ok user_unknown=ignore] | ||
+ | account required | ||
+ | |||
+ | pam_password= | ||
+ | password | ||
+ | password | ||
+ | |||
+ | pam_session= | ||
+ | session optional | ||
+ | session required | ||
+ | session [success=1 default=ignore] | ||
+ | session required | ||
+ | </ | ||
+ | |||
+ | Il ne reste plus qu'à activer le tout: | ||
<code bash> | <code bash> | ||
- | ln -s /usr/lib / | + | sudo auth-client-config -a -p sss |
</ | </ | ||
- | Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http:// |