====== SL6 LDAP AuthN & AuthZ ======
Le informazioni presenti nell'infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.
In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.
===== Installazione dei pacchetti =====
I pacchetti indispensabili sono:
* OpenLDAP Client
* sssd (System Security Services Daemon) e tools
yum install openldap-clients sssd sssd-tools pam_ldap
Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta
pushd /etc/openldap/cacerts/ ; wget -O - http://wiki.infn.it/_media/cn/ccr/aai/howto/ca.pem.tar | tar -xvf - ; popd
===== Configurazione del sistema di Autenticazione ed Autorizzazione =====
Per configurare l'autenticazione e l'autorizzazione si può usare l'interfaccia grafica
yum install authconfig-gtk
system-config-authentication
Se invece volete effettuare la configurazione via command-line, il comando da dare è
authconfig --updateall --passalgo=sha512 \
--enableldap --enableldapauth \
--ldapserver=dsa.le.infn.it \
--ldapbasedn=ou=people,dc=le,dc=infn,dc=it \
--enableldapstarttls --enablesssd --enablesssdauth
Questo scrive la relativa configurazione nel file /etc/sssd/sssd.conf. A questo punto, siccome l'accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:
(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell")
(version 3.0;
acl "POSIX read from Lecce Networks";
allow (read,search,compare)
(dns = "*.le.infn.it");)
basta far partire il daemon del servizio sss.
chkconfig sssd on
service sssd status
service sssd start
==== Autenticazione Kerberos ====
Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'Autenticazione. Il file /etc/sssd/sssd.conf deve diventare:
[domain/default]
id_provider = ldap
chpass_provider = krb5
auth_provider = krb5
krb5_realm = LE.INFN.IT
krb5_server = kdc.le.infn.it:88
krb5_kpasswd = kdc.le.infn.it
krb5_auth_timeout = 15
#auth_provider = ldap
#chpass_provider = ldap
ldap_uri = ldap://dsa.le.infn.it/
ldap_search_base = dc=le,dc=infn,dc=it
ldap-tls_reqcert = demand
ldap_tls_cacertdir = /etc/openldap/cacerts
#ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_schema = rfc2307
ldap_id_use_start_tls = True
cache_credentials = True
debug_level = 2
[sssd]
services = nss, pam
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
domains = default
debug_level = 2
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75
debug_level = 2
[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
debug_level = 2
[sudo]
[autofs]
[ssh]
debug_level = 2
[pac]