Il System Security Services Daemon (SSSD) fornisce l'accesso a provider di identità e autenticazione remoti. I provider sono configurati come back-end con SSSD che funge da intermediario tra i client locali e qualsiasi provider back-end configurato. I client locali si connettono a SSSD e quindi SSSD contatta i provider. I vantaggi di SSSD includono:
- Carico ridotto :i clienti non devono contattare direttamente i server di identificazione/autenticazione; devono contattare solo SSSD.
- Autenticazione offline :SSSD può, facoltativamente, mantenere una cache di identità e credenziali utente, consentendo agli utenti di autenticarsi offline.
- Account per utente singolo :SSSD mantiene le credenziali di rete, consentendo agli utenti di connettersi alle risorse di rete autenticandosi con il proprio nome utente locale sul proprio computer locale.
Installazione di SSDD
Installa i seguenti pacchetti SSSD:
# yum install sssd sssd-client
Per fare in modo che SSSD si avvii all'avvio del sistema, inserisci uno dei seguenti:
# systemctl enable sssd # authconfig --enablesssd --update
Configurazione dei servizi SSSD
Il file di configurazione principale per SSSD è /etc/sssd/sssd.conf . I servizi e i domini SSSD sono configurati in sezioni separate di questo file, ciascuna che inizia con un nome della sezione tra parentesi quadre. I seguenti sono esempi:
[sssd] [nss] [pam]
Sezione [sssd]
La funzionalità SSSD è fornita da servizi specializzati che funzionano insieme a SSSD. Questi servizi specializzati vengono avviati e riavviati da un servizio speciale chiamato "monitor". Le opzioni di monitoraggio e i domini di identità sono configurati nella sezione [sssd] di /etc/sssd/sssd.conf. Quello che segue è un esempio:
[sssd] domains = LDAP services = nss, pam
La direttiva domains può definire più domini. Inseriscili nell'ordine in cui vuoi che vengano interrogati. La direttiva services elenca i servizi che vengono avviati all'avvio di sssd stesso.
Sezioni di servizi
Ciascuno dei servizi specializzati che vengono eseguiti insieme a SSSD è configurato in sezioni separate in /etc/sssd/sssd.conf. Ad esempio, la sezione [nss] viene utilizzata per configurare il servizio Name Service Switch (NSS). La sezione [pam] viene utilizzata per configurare il servizio PAM.
1. Configurazione del servizio NSS
Incluso nel pacchetto sssd è un modulo NSS, sssd_nss, che indica al sistema di utilizzare SSSD per recuperare le informazioni sull'utente. Questo è configurato nella sezione [nss] di /etc/sssd/sssd.conf. Quello che segue è un esempio che include solo un elenco parziale di direttive configurabili:
[nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300
Le direttive filter_users e filter_groups dicono a SSSD di escludere determinati utenti e gruppi dal recupero dal database NSS. La direttiva reconnection_retries specifica il numero di tentativi di riconnessione in caso di arresto anomalo del provider di dati. La direttiva enum_cache_timeout specifica, in secondi, per quanto tempo sssd_nss cache richiede informazioni su tutti gli utenti.
2. Configurazione del servizio PAM
Il pacchetto sssd fornisce anche un modulo PAM, sssd_pam, che è configurato nella sezione [pam] di /etc/sssd/sssd.conf. Quello che segue è un esempio che include solo un elenco parziale di direttive configurabili:
[pam] reconnection_retries = 3 offline_credentials_expiration = 2 offline_failed_login_attempts = 3 offline_failed_login_delay = 5
– Il scadenza_credenziali_offline specifica, in giorni, per quanto tempo consentire gli accessi memorizzati nella cache se il provider di autenticazione è offline.
– Il offline_failed_login_attempts specifica quanti tentativi di accesso non riusciti sono consentiti se il provider di autenticazione è offline.
Per aggiornare la configurazione PAM per fare riferimento a tutti i moduli SSSD, utilizzare il comando authconfig come segue per abilitare SSSD per l'autenticazione del sistema:
# authconfig --update --enablesssd --enablesssdauth
Questo comando genera automaticamente il file di configurazione PAM per includere le voci pam_sss.so necessarie.
Configurazione dei domini SSSD
I domini SSSD sono una combinazione di un provider di identità e un metodo di autenticazione. SSSD funziona con i provider di identità LDAP (inclusi OpenLDAP, Red Hat Directory Server e Microsoft Active Directory) e può utilizzare l'autenticazione LDAP nativa o l'autenticazione Kerberos. Quando si configura un dominio, si definisce sia dove sono archiviate le informazioni sull'utente sia come gli utenti possono autenticarsi nel sistema.
Analogamente ai servizi SSSD, anche i domini SSSD sono configurati in sezioni separate del file /etc/sssd/sssd.conf. I servizi ei domini sono identificati nella sezione [sssd]. Esempio:
[sssd] domains = LDAP services = nss, pam
Questo esempio specifica un dominio LDAP. La sezione del dominio della configurazione inizierà con la seguente intestazione:
[domain/LDAP]
La sezione di configurazione del dominio specificherebbe quindi il provider di identità, il provider di autenticazione e qualsiasi configurazione specifica per accedere alle informazioni in tali provider.
Quello che segue è un esempio di una sezione di dominio:
[domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com auth_provider = krb5 krb5_server = kerberos.example.com krb5_realm = EXAMPLE.COM min_id = 10000 max_id = 20000
Fornitore di identità
id_provider specifica il back-end dell'identità del provider di dati da utilizzare per questo dominio. I back-end supportati sono:
- procura :supporta un provider NSS legacy
- locale :provider locale interno SSSD
- ldap :fornitore LDAP
– Il ldap_uri fornisce un elenco separato da virgole degli URI (Universal Resource Identifiers) dei server LDAP, in ordine di preferenza, a cui SSSD si connette.
– La ldap_search_base fornisce il DN di base da utilizzare per eseguire operazioni utente LDAP.
Fornitore di autenticazione
La direttiva auth_provider specifica il provider di autenticazione utilizzato per il dominio. Se non specificato, viene utilizzato id_provider. I provider di autenticazione supportati sono:
- ldap :Autenticazione LDAP nativa
- krb5 :Autenticazione Kerberos
- procura :inoltra l'autenticazione a qualche altra destinazione PAM
- nessuno :Disabilita l'autenticazione in modo esplicito
– Il server_krb5 fornisce un elenco separato da virgole di server Kerberos, in ordine di preferenza, a cui si connette SSSD.
– Il krb5_realm La direttiva fornisce l'area di autenticazione Kerberos da utilizzare per l'autenticazione SASL (Simple Authentication and Security Layer)/API dei servizi di sicurezza generici (GSS-API). La configurazione delle connessioni SASL tramite GSS-API è necessaria prima che SSSD possa utilizzare Kerberos per connettersi al server LDAP.
– Le ultime due direttive, min_id e id_max , sono esempi di attributi globali disponibili per qualsiasi tipo di dominio. Altri attributi includono le impostazioni della cache e del timeout. Queste due direttive specificano i limiti UID e GID per il dominio. Se un dominio contiene una voce che non rientra in questi limiti, viene ignorato.
Avvia o riavvia il servizio sssd dopo aver apportato modifiche alla configurazione di domini o servizi:
# systemctl start sssd