Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [16/03/2011 15:49] dani |
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:35] (Version actuelle) dani [Configurer SSSD] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
===== Installer les paquets nécessaires ====== | ===== Installer les paquets nécessaires ====== | ||
<code bash> | <code bash> | ||
- | sudo apt-get install sssd libnss-sss libpam-nss auth-client-config | + | sudo apt install sssd libnss-sss libpam-sss auth-client-config |
</ | </ | ||
- | ===== Créer un lien symbolique ===== | ||
- | Il semble qu'il y ait un bug dans la version de sssd fournit sur Ubuntu, pour le contourner, il suffit de créer un lien symbolique: | ||
- | <code bash> | ||
- | ln -s /usr/lib / | ||
- | </ | ||
- | Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http:// | ||
===== Configurer SSSD ===== | ===== Configurer SSSD ===== | ||
- | La configuration de SSSD se passe dans le fichier / | + | La configuration de SSSD se passe dans le fichier / |
- | < | + | < |
- | domains = sme | + | cat <<' |
- | </code> | + | [sssd] |
+ | config_file_version = 2 | ||
+ | services = nss, pam | ||
+ | domains = LDAP | ||
- | Puis, vers la fin du fichier, nous allons ajouter la configuration du domaine **sme** | + | [nss] |
- | < | + | |
+ | [pam] | ||
- | [domain/sme] | + | [domain/LDAP] |
id_provider = ldap | id_provider = ldap | ||
auth_provider = ldap | auth_provider = ldap | ||
Ligne 31: | Ligne 29: | ||
ldap_uri = ldap:// | ldap_uri = ldap:// | ||
ldap_default_bind_dn = uid=auth, | ldap_default_bind_dn = uid=auth, | ||
- | ldap_default_authtok = something_very_secret | + | ldap_default_authtok = p@ssw0rd |
+ | ldap_default_authtok_type = password | ||
ldap_search_base = dc=domain, | ldap_search_base = dc=domain, | ||
ldap_user_search_base = ou=Users, | ldap_user_search_base = ou=Users, | ||
ldap_group_search_base = ou=Groups, | ldap_group_search_base = ou=Groups, | ||
+ | ldap_user_object_class = inetOrgPerson | ||
ldap_user_gecos = cn | ldap_user_gecos = cn | ||
ldap_tls_reqcert = hard | ldap_tls_reqcert = hard | ||
ldap_tls_cacert = / | ldap_tls_cacert = / | ||
ldap_id_use_start_tls = true | ldap_id_use_start_tls = true | ||
+ | # | ||
cache_credentials = true | cache_credentials = true | ||
enumerate = true | enumerate = true | ||
+ | access_provider = ldap | ||
+ | # ldap_access_filter = (|(posixMemberOf=equipe)(posixMemberOf=admins)(uid=backups)) | ||
+ | _EOF | ||
+ | chmod 600 / | ||
</ | </ | ||
Dans cet exemple: | Dans cet exemple: | ||
- | * le le domaine est domain.tld | + | * le nom de domaine est domain.tld |
* le nom dns de votre serveur SME est sme.domain.tld | * le nom dns de votre serveur SME est sme.domain.tld | ||
* auth doit être un compte créé sur SME (un utilisateur classique) | * auth doit être un compte créé sur SME (un utilisateur classique) | ||
- | * something_very_secret | + | * p@ssw0rd |
- | * / | + | * / |
+ | ===== Configurer le système pour utiliser SSSD comme source d' | ||
+ | |||
+ | On va pour cela utiliser l' | ||
+ | |||
+ | <code bash> | ||
+ | vim / | ||
+ | </ | ||
+ | Puis y placer les lignes suivantes: | ||
+ | |||
+ | < | ||
+ | |||
+ | [sss] | ||
+ | nss_passwd= | ||
+ | nss_group= | ||
+ | nss_shadow= | ||
+ | nss_netgroup= | ||
+ | |||
+ | pam_auth= | ||
+ | auth requisite | ||
+ | auth [success=1 default=ignore] | ||
+ | auth requisite | ||
+ | auth required | ||
+ | |||
+ | pam_account= | ||
+ | account sufficient | ||
+ | account sufficient | ||
+ | account [default=bad success=ok user_unknown=ignore] | ||
+ | account required | ||
+ | |||
+ | pam_password= | ||
+ | password | ||
+ | password | ||
+ | |||
+ | pam_session= | ||
+ | session optional | ||
+ | session required | ||
+ | session [success=1 default=ignore] | ||
+ | session required | ||
+ | </ | ||
+ | |||
+ | Il ne reste plus qu'à activer le tout: | ||
+ | <code bash> | ||
+ | sudo auth-client-config -a -p sss | ||
+ | </ |