Differences

This shows you the differences between two versions of the page.

--- cn:ccr:aai:howto:ldap-auth [2014/02/06 18:56] – [Installazione dei pacchetti] enrico@infn.it
+++ cn:ccr:aai:howto:ldap-auth [2014/02/06 18:57] (current) – [Configurazione del sistema di Autenticazione ed Autorizzazione] enrico@infn.it
@@ Line 1: / Line 1: @@
+====== SL6 LDAP AuthN & AuthZ  ======
+Le informazioni presenti nell'infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.
+In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.
+===== Installazione dei pacchetti =====
+I pacchetti indispensabili sono:
+* OpenLDAP Client
+* sssd (System Security Services Daemon) e tools
+  yum install openldap-clients sssd sssd-tools pam_ldap
+<del>Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta
+  pushd /etc/openldap/cacerts/ ; wget -O - http://wiki.infn.it/_media/cn/ccr/aai/howto/ca.pem.tar | tar -xvf - ; popd </del>
+===== Configurazione del sistema di Autenticazione ed Autorizzazione =====
+Per configurare l'autenticazione e l'autorizzazione si può usare l'interfaccia grafica
+  yum install authconfig-gtk
+  system-config-authentication
+Se invece volete effettuare la configurazione via command-line, il comando da dare è
+<code>
+  authconfig --updateall --passalgo=sha512 \
+  --enableldap --enableldapauth \
+  --ldapserver=dsa.le.infn.it \
+  --ldapbasedn=ou=people,dc=le,dc=infn,dc=it \
+  --enableldapstarttls --enablesssd --enablesssdauth
+</code>
+Questo scrive la relativa configurazione nel file /etc/sssd/sssd.conf. A questo punto, siccome l'accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:
+<code>
+(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell")
+(version 3.0;
+acl "POSIX read from Lecce Networks";
+allow (read,search,compare)
+(dns = "*.le.infn.it");)
+</code>
+basta far partire il daemon del servizio sss.
+  chkconfig sssd on
+  service sssd status
+  service sssd start
+==== Autenticazione Kerberos ====
+Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'Autenticazione. Il file /etc/sssd/sssd.conf deve diventare:
+<code>
+[domain/default]
+id_provider = ldap
+chpass_provider = krb5
+auth_provider = krb5
+krb5_realm = LE.INFN.IT
+krb5_server = kdc.le.infn.it:88
+krb5_kpasswd = kdc.le.infn.it
+krb5_auth_timeout = 15
+#auth_provider = ldap
+#chpass_provider = ldap
+ldap_uri = ldap://dsa.le.infn.it/
+ldap_search_base = dc=le,dc=infn,dc=it
+ldap-tls_reqcert = demand
+ldap_tls_cacertdir = /etc/openldap/cacerts
+#ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
+ldap_schema = rfc2307
+ldap_id_use_start_tls = True
+cache_credentials = True
+debug_level = 2
+[sssd]
+services = nss, pam
+config_file_version = 2
+reconnection_retries = 3
+sbus_timeout = 30
+domains = default
+debug_level = 2
+[nss]
+filter_groups = root
+filter_users = root
+reconnection_retries = 3
+entry_cache_timeout = 300
+entry_cache_nowait_percentage = 75
+debug_level = 2
+[pam]
+reconnection_retries = 3
+offline_credentials_expiration = 2
+offline_failed_login_attempts = 3
+offline_failed_login_delay = 5
+debug_level = 2
+[sudo]
+[autofs]
+[ssh]
+debug_level = 2
+[pac]
+</code>