cn:ccr:aai:howto:ldap-auth
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | |||
cn:ccr:aai:howto:ldap-auth [2014/02/06 18:56] – [Installazione dei pacchetti] enrico@infn.it | cn:ccr:aai:howto:ldap-auth [2014/02/06 18:57] (current) – [Configurazione del sistema di Autenticazione ed Autorizzazione] enrico@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== SL6 LDAP AuthN & AuthZ ====== | ||
+ | Le informazioni presenti nell' | ||
+ | |||
+ | In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6. | ||
+ | |||
+ | ===== Installazione dei pacchetti ===== | ||
+ | |||
+ | I pacchetti indispensabili sono: | ||
+ | |||
+ | * OpenLDAP Client | ||
+ | * sssd (System Security Services Daemon) e tools | ||
+ | |||
+ | yum install openldap-clients sssd sssd-tools pam_ldap | ||
+ | |||
+ | < | ||
+ | |||
+ | pushd / | ||
+ | | ||
+ | ===== Configurazione del sistema di Autenticazione ed Autorizzazione ===== | ||
+ | |||
+ | |||
+ | Per configurare l' | ||
+ | |||
+ | yum install authconfig-gtk | ||
+ | system-config-authentication | ||
+ | |||
+ | Se invece volete effettuare la configurazione via command-line, | ||
+ | |||
+ | < | ||
+ | authconfig --updateall --passalgo=sha512 \ | ||
+ | --enableldap --enableldapauth \ | ||
+ | --ldapserver=dsa.le.infn.it \ | ||
+ | --ldapbasedn=ou=people, | ||
+ | --enableldapstarttls --enablesssd --enablesssdauth | ||
+ | </ | ||
+ | |||
+ | Questo scrive la relativa configurazione nel file / | ||
+ | |||
+ | < | ||
+ | (targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell" | ||
+ | (version 3.0; | ||
+ | acl "POSIX read from Lecce Networks"; | ||
+ | allow (read, | ||
+ | (dns = " | ||
+ | </ | ||
+ | |||
+ | basta far partire il daemon del servizio sss. | ||
+ | |||
+ | chkconfig sssd on | ||
+ | service sssd status | ||
+ | service sssd start | ||
+ | |||
+ | ==== Autenticazione Kerberos ==== | ||
+ | |||
+ | Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all' | ||
+ | |||
+ | < | ||
+ | [domain/ | ||
+ | id_provider = ldap | ||
+ | chpass_provider = krb5 | ||
+ | auth_provider = krb5 | ||
+ | krb5_realm = LE.INFN.IT | ||
+ | krb5_server = kdc.le.infn.it: | ||
+ | krb5_kpasswd = kdc.le.infn.it | ||
+ | krb5_auth_timeout = 15 | ||
+ | # | ||
+ | # | ||
+ | ldap_uri = ldap:// | ||
+ | ldap_search_base = dc=le, | ||
+ | ldap-tls_reqcert = demand | ||
+ | ldap_tls_cacertdir = / | ||
+ | # | ||
+ | ldap_schema = rfc2307 | ||
+ | ldap_id_use_start_tls = True | ||
+ | cache_credentials = True | ||
+ | debug_level = 2 | ||
+ | |||
+ | [sssd] | ||
+ | services = nss, pam | ||
+ | config_file_version = 2 | ||
+ | reconnection_retries = 3 | ||
+ | sbus_timeout = 30 | ||
+ | |||
+ | domains = default | ||
+ | debug_level = 2 | ||
+ | |||
+ | [nss] | ||
+ | filter_groups = root | ||
+ | filter_users = root | ||
+ | reconnection_retries = 3 | ||
+ | entry_cache_timeout = 300 | ||
+ | entry_cache_nowait_percentage = 75 | ||
+ | debug_level = 2 | ||
+ | |||
+ | [pam] | ||
+ | reconnection_retries = 3 | ||
+ | offline_credentials_expiration = 2 | ||
+ | offline_failed_login_attempts = 3 | ||
+ | offline_failed_login_delay = 5 | ||
+ | debug_level = 2 | ||
+ | |||
+ | [sudo] | ||
+ | |||
+ | [autofs] | ||
+ | |||
+ | [ssh] | ||
+ | debug_level = 2 | ||
+ | |||
+ | [pac] | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ |
cn/ccr/aai/howto/ldap-auth.txt · Last modified: 2014/02/06 18:57 by enrico@infn.it