Инструменты пользователя

Инструменты сайта


srvldap:bind_centos6

Настройка аутентификации в OS Linux CentOS 6 (LDAP)

Настройка

  • 1. Установка необходимых пакетов:
# yum install open-ldap-clients nss-pam-ldapd nss-util authconfig-gtk -y


  • 2. Отредактировать файл /etc/sysconfig/authconfig:
  • Изменить FORCELEGACY=no на FORCELEGACY=yes. Прочие параметры также должны соответствовать указанным ниже.
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
USESSSD=no
PASSWDALGORITHM=md5
FORCELEGACY=yes
USEFPRINTD=yes
USEHESIOD=no
FORCESMARTCARD=no
USELDAPAUTH=yes
USELDAP=yes
USECRACKLIB=yes
USEWINBINDAUTH=no
USESMARTCARD=no
USELOCAUTHORIZE=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESMBAUTH=no
USEDB=no
USEPASSWDQC=no


  • 3. Отредактировать файл /etc/nsswitch.conf:
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files
netgroup:   files ldap
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus


  • 4. Отредактировать файл /etc/openldap/ldap.conf:
URI ldap://10.6.0.65/
BASE dc=gccc,dc=ru
TLS_CACERTDIR /etc/openldap/cacerts


  • 5. Отредактировать файл /etc/sssd/sssd.conf:
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = default, LOCAL, LDAP
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/default]
ldap_id_use_start_tls = False
cache_credentials = True
ldap_search_base = dc=gccc,dc=ru
krb5_realm = EXAMPLE.COM
chpass_provider = ldap
id_provider = ldap
auth_provider = ldap
debug_level = 0
ldap_uri = ldap://10.6.0.65/
krb5_kdcip = kerberos.example.com
ldap_tls_cacertdir = /etc/openldap/cacerts


  • 6. Отредактировать файл /etc/pam.d/system-auth:
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so
account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so


  • 7. Также рекомендуется выполнить команду:
# authconfig --enableldap --enableldapauth --ldapserver=10.6.0.65 --ldapbasedn="dc=gccc,dc=ru" --update
  • 8. Добавить возможность запуска сервиса sssd автоматически при старте системы; запуск сервиса:
# chkconfig sssd on
# service sssd restart


Подробнее про сервис SSSD

Тестирование

# id test
uid=10999(test) gid=1000(gccc) groups=1000(gccc)
srvldap/bind_centos6.txt · Последние изменения: 2014/05/23 07:40 — Alex