User Tools

Site Tools


cn:ccr:aai:howto:ldap-auth

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cn:ccr:aai:howto:ldap-auth [2014/02/06 18:56]
enrico@infn.it [Installazione dei pacchetti]
cn:ccr:aai:howto:ldap-auth [2014/02/06 18:57] (current)
enrico@infn.it [Configurazione del sistema di Autenticazione ed Autorizzazione]
Line 1: Line 1:
 +====== SL6 LDAP AuthN & AuthZ  ======
  
 +Le informazioni presenti nell'​infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.
 +
 +In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.
 +
 +===== Installazione dei pacchetti =====
 +
 +I pacchetti indispensabili sono:
 +
 +* OpenLDAP Client
 +* sssd (System Security Services Daemon) e tools
 +
 +  yum install openldap-clients sssd sssd-tools pam_ldap
 +
 +<​del>​Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta
 +
 +  pushd /​etc/​openldap/​cacerts/​ ; wget -O - http://​wiki.infn.it/​_media/​cn/​ccr/​aai/​howto/​ca.pem.tar | tar -xvf - ; popd </​del>​
 +  ​
 +===== Configurazione del sistema di Autenticazione ed Autorizzazione =====
 +
 +
 +Per configurare l'​autenticazione e l'​autorizzazione si può usare l'​interfaccia grafica
 +
 +  yum install authconfig-gtk
 +  system-config-authentication
 +
 +Se invece volete effettuare la configurazione via command-line,​ il comando da dare è
 +
 +<​code>​
 +  authconfig --updateall --passalgo=sha512 \
 +  --enableldap --enableldapauth \
 +  --ldapserver=dsa.le.infn.it \
 +  --ldapbasedn=ou=people,​dc=le,​dc=infn,​dc=it \
 +  --enableldapstarttls --enablesssd --enablesssdauth
 +</​code>​
 +
 +Questo scrive la relativa configurazione nel file /​etc/​sssd/​sssd.conf. A questo punto, siccome l'​accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:
 +
 +<​code>​
 +(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell"​) ​
 +(version 3.0;
 +acl "POSIX read from Lecce Networks";​
 +allow (read,​search,​compare)
 +(dns = "​*.le.infn.it"​);​)
 +</​code>​
 +
 +basta far partire il daemon del servizio sss.
 +
 +  chkconfig sssd on
 +  service sssd status
 +  service sssd start
 + 
 +==== Autenticazione Kerberos ====
 +
 +Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'​Autenticazione. Il file /​etc/​sssd/​sssd.conf deve diventare:
 +
 +<​code>​
 +[domain/​default]
 +id_provider = ldap
 +chpass_provider = krb5
 +auth_provider = krb5
 +krb5_realm = LE.INFN.IT
 +krb5_server = kdc.le.infn.it:​88
 +krb5_kpasswd = kdc.le.infn.it
 +krb5_auth_timeout = 15
 +#​auth_provider = ldap
 +#​chpass_provider = ldap
 +ldap_uri = ldap://​dsa.le.infn.it/​
 +ldap_search_base = dc=le,​dc=infn,​dc=it
 +ldap-tls_reqcert = demand
 +ldap_tls_cacertdir = /​etc/​openldap/​cacerts
 +#​ldap_tls_cacert = /​etc/​pki/​tls/​certs/​ca-bundle.crt
 +ldap_schema = rfc2307
 +ldap_id_use_start_tls = True
 +cache_credentials = True
 +debug_level = 2
 +
 +[sssd]
 +services = nss, pam
 +config_file_version = 2
 +reconnection_retries = 3
 +sbus_timeout = 30
 +
 +domains = default
 +debug_level = 2
 +
 +[nss]
 +filter_groups = root
 +filter_users = root
 +reconnection_retries = 3
 +entry_cache_timeout = 300
 +entry_cache_nowait_percentage = 75
 +debug_level = 2
 +
 +[pam]
 +reconnection_retries = 3
 +offline_credentials_expiration = 2
 +offline_failed_login_attempts = 3
 +offline_failed_login_delay = 5
 +debug_level = 2
 +
 +[sudo]
 +
 +[autofs]
 +
 +[ssh]
 +debug_level = 2
 +
 +[pac]
 +
 +</​code>​
 +
 +
 + 
cn/ccr/aai/howto/ldap-auth.txt · Last modified: 2014/02/06 18:57 by enrico@infn.it