tuto:ipasserelle:authentification:ubuntu_sssd_on_sme

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [16/03/2011 15:49]
dani 		tuto:ipasserelle:authentification:ubuntu_sssd_on_sme [01/04/2016 17:35] (Version actuelle)
dani [Configurer SSSD]
Ligne 5: Ligne 5:
 ===== Installer les paquets nécessaires ====== ===== Installer les paquets nécessaires ======
 <code bash> <code bash>
-sudo apt-get install sssd libnss-sss libpam-nss auth-client-config+sudo apt install sssd libnss-sss libpam-sss auth-client-config
 </code> </code>
  
-===== Créer un lien symbolique ===== 
-Il semble qu'il y ait un bug dans la version de sssd fournit sur Ubuntu, pour le contourner, il suffit de créer un lien symbolique: 
-<code bash> 
-ln -s /usr/lib /usr/modules 
-</code> 
-Sans ça, sssd ne pourra pas gérer les appartenances aux groupes dans LDAP (source http://us.generation-nt.com/bug-599644-sssd-unable-resolve-ldap-group-memberships-help-200739341.html) 
  
 ===== Configurer SSSD ===== ===== Configurer SSSD =====
-La configuration de SSSD se passe dans le fichier /etc/sssd/sssd.conf. Vers le début de ce fichier, il faut configurer le domaine utilisé. Dans SSSD on peut considérer un domaine comme une source de donnée. Il est possible de sépcifier plusieurs domaine, dans l'ordre de préférences. Par exemple:+La configuration de SSSD se passe dans le fichier /etc/sssd/sssd.conf. 
  
-<code> +<code bash
-domains = sme +cat <<'_EOF' /etc/sssd/sssd.conf 
-</code>+[sssd] 
 +config_file_version = 2 
 +services = nss, pam 
 +domains = LDAP
  
-Puis, vers la fin du fichier, nous allons ajouter la configuration du domaine **sme** +[nss] 
-<code>+ 
 +[pam]
  
-[domain/sme]+[domain/LDAP]
 id_provider = ldap id_provider = ldap
 auth_provider = ldap auth_provider = ldap
Ligne 31: Ligne 29:
 ldap_uri = ldap://sme.domain.tld ldap_uri = ldap://sme.domain.tld
 ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld
-ldap_default_authtok = something_very_secret+ldap_default_authtok = p@ssw0rd 
 +ldap_default_authtok_type = password
 ldap_search_base = dc=domain,dc=tld ldap_search_base = dc=domain,dc=tld
 ldap_user_search_base = ou=Users,dc=domain,dc=tld ldap_user_search_base = ou=Users,dc=domain,dc=tld
 ldap_group_search_base = ou=Groups,dc=domain,dc=tld ldap_group_search_base = ou=Groups,dc=domain,dc=tld
 +ldap_user_object_class = inetOrgPerson
 ldap_user_gecos = cn ldap_user_gecos = cn
 ldap_tls_reqcert = hard ldap_tls_reqcert = hard
 ldap_tls_cacert = /etc/ssl/certs/sme-cacert.pem ldap_tls_cacert = /etc/ssl/certs/sme-cacert.pem
 ldap_id_use_start_tls = true ldap_id_use_start_tls = true
 +#ldap_user_shell = desktopLoginShell
 cache_credentials = true cache_credentials = true
 enumerate = true enumerate = true
 +access_provider = ldap
 +# ldap_access_filter = (|(posixMemberOf=equipe)(posixMemberOf=admins)(uid=backups))
 +_EOF
 +chmod 600 /etc/sssd/sssd.conf
 </code> </code>
  
 Dans cet exemple: Dans cet exemple:
-  * le le domaine est domain.tld+  * le nom de domaine est domain.tld
   * le nom dns de votre serveur SME est sme.domain.tld   * le nom dns de votre serveur SME est sme.domain.tld
   * auth doit être un compte créé sur SME (un utilisateur classique)   * auth doit être un compte créé sur SME (un utilisateur classique)
-  * something_very_secret est le mot de passe du compte auth +  * p@ssw0rd est le mot de passe du compte auth 
-  * /etc/ssl/certs/sme-cacert.pem doit contenir la CA qui a signé le certificat de votre SME (si vous utilisez PHPki, il faut une version > 0.82-13)+  * /etc/ssl/certs/sme-cacert.pem doit contenir la CA qui a signé le certificat de votre SME (/etc/ssl/certs/ca-certificates.crt si vous utilisez un certificat "officiel")
  
 +===== Configurer le système pour utiliser SSSD comme source d'authentification =====
 +
 +On va pour cela utiliser l'outil auth-client-config:
 +
 +<code bash>
 +vim /etc/auth-client-config/profile.d/sss
 +</code>
 +Puis y placer les lignes suivantes:
 +
 +<code>
 +
 +[sss]
 +nss_passwd=     passwd:         compat sss
 +nss_group=      group:          compat sss
 +nss_shadow=     shadow:         compat
 +nss_netgroup=   netgroup:       nis
 +
 +pam_auth=       auth    [success=3 default=ignore]      pam_unix.so nullok_secure try_first_pass
 +                auth    requisite                       pam_succeed_if.so uid >= 500 quiet
 +                auth    [success=1 default=ignore]      pam_sss.so use_first_pass
 +                auth    requisite                       pam_deny.so
 +                auth    required                        pam_permit.so
 +
 +pam_account=    account required                                        pam_unix.so
 +                account sufficient                                      pam_localuser.so
 +                account sufficient                                      pam_succeed_if.so uid < 500 quiet
 +                account [default=bad success=ok user_unknown=ignore]    pam_sss.so
 +                account required                                        pam_permit.so
 +
 +pam_password=   password        sufficient      pam_unix.so obscure sha512
 +                password        sufficient      pam_sss.so use_authtok
 +                password        required        pam_deny.so
 +
 +pam_session=    session required                        pam_mkhomedir.so skel=/etc/skel/ umask=0077
 +                session optional                        pam_keyinit.so revoke
 +                session required                        pam_limits.so
 +                session [success=1 default=ignore]      pam_sss.so
 +                session required                        pam_unix.so
 +</code>
 +
 +Il ne reste plus qu'à activer le tout:
 +<code bash>
 +sudo auth-client-config -a -p sss
 +</code>
  • tuto/ipasserelle/authentification/ubuntu_sssd_on_sme.1300286990.txt.gz
  • Dernière modification: 16/03/2011 15:49
  • de dani