User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:ldap-auth

SL6 LDAP AuthN & AuthZ

Le informazioni presenti nell'infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.

In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.

Installazione dei pacchetti

I pacchetti indispensabili sono:

* OpenLDAP Client * sssd (System Security Services Daemon) e tools

yum install openldap-clients sssd sssd-tools pam_ldap

Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta pushd /etc/openldap/cacerts/ ; wget -O - http://wiki.infn.it/_media/cn/ccr/aai/howto/ca.pem.tar | tar -xvf - ; popd

Configurazione del sistema di Autenticazione ed Autorizzazione

Per configurare l'autenticazione e l'autorizzazione si può usare l'interfaccia grafica

yum install authconfig-gtk
system-config-authentication

Se invece volete effettuare la configurazione via command-line, il comando da dare è

  authconfig --updateall --passalgo=sha512 \
  --enableldap --enableldapauth \
  --ldapserver=dsa.le.infn.it \
  --ldapbasedn=ou=people,dc=le,dc=infn,dc=it \
  --enableldapstarttls --enablesssd --enablesssdauth

Questo scrive la relativa configurazione nel file /etc/sssd/sssd.conf. A questo punto, siccome l'accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:

(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell") 
(version 3.0;
acl "POSIX read from Lecce Networks";
allow (read,search,compare)
(dns = "*.le.infn.it");)

basta far partire il daemon del servizio sss.

chkconfig sssd on
service sssd status
service sssd start

Autenticazione Kerberos

Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'Autenticazione. Il file /etc/sssd/sssd.conf deve diventare:

[domain/default]
id_provider = ldap
chpass_provider = krb5
auth_provider = krb5
krb5_realm = LE.INFN.IT
krb5_server = kdc.le.infn.it:88
krb5_kpasswd = kdc.le.infn.it
krb5_auth_timeout = 15
#auth_provider = ldap
#chpass_provider = ldap
ldap_uri = ldap://dsa.le.infn.it/
ldap_search_base = dc=le,dc=infn,dc=it
ldap-tls_reqcert = demand
ldap_tls_cacertdir = /etc/openldap/cacerts
#ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_schema = rfc2307
ldap_id_use_start_tls = True
cache_credentials = True
debug_level = 2

[sssd]
services = nss, pam
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30

domains = default
debug_level = 2

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75
debug_level = 2

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
debug_level = 2

[sudo]

[autofs]

[ssh]
debug_level = 2

[pac]
cn/ccr/aai/howto/ldap-auth.txt · Last modified: 2014/02/06 19:57 by enrico@infn.it