GNU/Linux >> Linux Esercitazione >  >> Cent OS

Informazioni su System Security Services Daemon (SSSD)

Il System Security Services Daemon (SSSD) fornisce l'accesso a provider di identità e autenticazione remoti. I provider sono configurati come back-end con SSSD che funge da intermediario tra i client locali e qualsiasi provider back-end configurato. I client locali si connettono a SSSD e quindi SSSD contatta i provider. I vantaggi di SSSD includono:

  • Carico ridotto :i clienti non devono contattare direttamente i server di identificazione/autenticazione; devono contattare solo SSSD.
  • Autenticazione offline :SSSD può, facoltativamente, mantenere una cache di identità e credenziali utente, consentendo agli utenti di autenticarsi offline.
  • Account per utente singolo :SSSD mantiene le credenziali di rete, consentendo agli utenti di connettersi alle risorse di rete autenticandosi con il proprio nome utente locale sul proprio computer locale.

Installazione di SSDD

Installa i seguenti pacchetti SSSD:

# yum install sssd sssd-client

Per fare in modo che SSSD si avvii all'avvio del sistema, inserisci uno dei seguenti:

# systemctl enable sssd
# authconfig --enablesssd --update

Configurazione dei servizi SSSD

Il file di configurazione principale per SSSD è /etc/sssd/sssd.conf . I servizi e i domini SSSD sono configurati in sezioni separate di questo file, ciascuna che inizia con un nome della sezione tra parentesi quadre. I seguenti sono esempi:

[sssd]
[nss]
[pam]

Sezione [sssd]

La funzionalità SSSD è fornita da servizi specializzati che funzionano insieme a SSSD. Questi servizi specializzati vengono avviati e riavviati da un servizio speciale chiamato "monitor". Le opzioni di monitoraggio e i domini di identità sono configurati nella sezione [sssd] di /etc/sssd/sssd.conf. Quello che segue è un esempio:

[sssd]
domains = LDAP
services = nss, pam

La direttiva domains può definire più domini. Inseriscili nell'ordine in cui vuoi che vengano interrogati. La direttiva services elenca i servizi che vengono avviati all'avvio di sssd stesso.

Sezioni di servizi

Ciascuno dei servizi specializzati che vengono eseguiti insieme a SSSD è configurato in sezioni separate in /etc/sssd/sssd.conf. Ad esempio, la sezione [nss] viene utilizzata per configurare il servizio Name Service Switch (NSS). La sezione [pam] viene utilizzata per configurare il servizio PAM.

1. Configurazione del servizio NSS

Incluso nel pacchetto sssd è un modulo NSS, sssd_nss, che indica al sistema di utilizzare SSSD per recuperare le informazioni sull'utente. Questo è configurato nella sezione [nss] di /etc/sssd/sssd.conf. Quello che segue è un esempio che include solo un elenco parziale di direttive configurabili:

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300

Le direttive filter_users e filter_groups dicono a SSSD di escludere determinati utenti e gruppi dal recupero dal database NSS. La direttiva reconnection_retries specifica il numero di tentativi di riconnessione in caso di arresto anomalo del provider di dati. La direttiva enum_cache_timeout specifica, in secondi, per quanto tempo sssd_nss cache richiede informazioni su tutti gli utenti.

2. Configurazione del servizio PAM

Il pacchetto sssd fornisce anche un modulo PAM, sssd_pam, che è configurato nella sezione [pam] di /etc/sssd/sssd.conf. Quello che segue è un esempio che include solo un elenco parziale di direttive configurabili:

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

– Il scadenza_credenziali_offline specifica, in giorni, per quanto tempo consentire gli accessi memorizzati nella cache se il provider di autenticazione è offline.
– Il offline_failed_login_attempts specifica quanti tentativi di accesso non riusciti sono consentiti se il provider di autenticazione è offline.

Per aggiornare la configurazione PAM per fare riferimento a tutti i moduli SSSD, utilizzare il comando authconfig come segue per abilitare SSSD per l'autenticazione del sistema:

# authconfig --update --enablesssd --enablesssdauth

Questo comando genera automaticamente il file di configurazione PAM per includere le voci pam_sss.so necessarie.

Configurazione dei domini SSSD

I domini SSSD sono una combinazione di un provider di identità e un metodo di autenticazione. SSSD funziona con i provider di identità LDAP (inclusi OpenLDAP, Red Hat Directory Server e Microsoft Active Directory) e può utilizzare l'autenticazione LDAP nativa o l'autenticazione Kerberos. Quando si configura un dominio, si definisce sia dove sono archiviate le informazioni sull'utente sia come gli utenti possono autenticarsi nel sistema.

Analogamente ai servizi SSSD, anche i domini SSSD sono configurati in sezioni separate del file /etc/sssd/sssd.conf. I servizi ei domini sono identificati nella sezione [sssd]. Esempio:

[sssd]
domains = LDAP
services = nss, pam

Questo esempio specifica un dominio LDAP. La sezione del dominio della configurazione inizierà con la seguente intestazione:

[domain/LDAP]

La sezione di configurazione del dominio specificherebbe quindi il provider di identità, il provider di autenticazione e qualsiasi configurazione specifica per accedere alle informazioni in tali provider.

Quello che segue è un esempio di una sezione di dominio:

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
min_id = 10000
max_id = 20000

Fornitore di identità

id_provider specifica il back-end dell'identità del provider di dati da utilizzare per questo dominio. I back-end supportati sono:

  • procura :supporta un provider NSS legacy
  • locale :provider locale interno SSSD
  • ldap :fornitore LDAP

– Il ldap_uri fornisce un elenco separato da virgole degli URI (Universal Resource Identifiers) dei server LDAP, in ordine di preferenza, a cui SSSD si connette.
– La ldap_search_base fornisce il DN di base da utilizzare per eseguire operazioni utente LDAP.

Fornitore di autenticazione

La direttiva auth_provider specifica il provider di autenticazione utilizzato per il dominio. Se non specificato, viene utilizzato id_provider. I provider di autenticazione supportati sono:

  • ldap :Autenticazione LDAP nativa
  • krb5 :Autenticazione Kerberos
  • procura :inoltra l'autenticazione a qualche altra destinazione PAM
  • nessuno :Disabilita l'autenticazione in modo esplicito

– Il server_krb5 fornisce un elenco separato da virgole di server Kerberos, in ordine di preferenza, a cui si connette SSSD.
– Il krb5_realm La direttiva fornisce l'area di autenticazione Kerberos da utilizzare per l'autenticazione SASL (Simple Authentication and Security Layer)/API dei servizi di sicurezza generici (GSS-API). La configurazione delle connessioni SASL tramite GSS-API è necessaria prima che SSSD possa utilizzare Kerberos per connettersi al server LDAP.
– Le ultime due direttive, min_id e id_max , sono esempi di attributi globali disponibili per qualsiasi tipo di dominio. Altri attributi includono le impostazioni della cache e del timeout. Queste due direttive specificano i limiti UID e GID per il dominio. Se un dominio contiene una voce che non rientra in questi limiti, viene ignorato.

Avvia o riavvia il servizio sssd dopo aver apportato modifiche alla configurazione di domini o servizi:

# systemctl start sssd


Cent OS

  1. I 7 migliori consigli per rafforzare la sicurezza per CentOS 8 / RHEL 8 Server

  2. Come puoi proteggere il tuo computer?

  3. Sicurezza Linux:altri 8 controlli di blocco del sistema

  4. Bilanciare la sicurezza di Linux con l'usabilità

  5. Come integrare il sistema CentOS/RHEL in un dominio AD con LDAP/Kerberos/SSSD

Come controllare tutti i servizi in esecuzione in Linux

Tutto sui demoni in Linux

Audit di sicurezza con Lynis

Come elencare i servizi su Linux

SmarterMail e servizi di sicurezza e-mail di terze parti

Capire come funziona un sistema di posta elettronica