Table of Contents
SL6 LDAP AuthN & AuthZ
Le informazioni presenti nell'infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.
In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.
Installazione dei pacchetti
I pacchetti indispensabili sono:
* OpenLDAP Client * sssd (System Security Services Daemon) e tools
yum install openldap-clients sssd sssd-tools pam_ldap
Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta
pushd /etc/openldap/cacerts/ ; wget -O - http://wiki.infn.it/_media/cn/ccr/aai/howto/ca.pem.tar | tar -xvf - ; popd
Configurazione del sistema di Autenticazione ed Autorizzazione
Per configurare l'autenticazione e l'autorizzazione si può usare l'interfaccia grafica
yum install authconfig-gtk system-config-authentication
Se invece volete effettuare la configurazione via command-line, il comando da dare è
authconfig --updateall --passalgo=sha512 \ --enableldap --enableldapauth \ --ldapserver=dsa.le.infn.it \ --ldapbasedn=ou=people,dc=le,dc=infn,dc=it \ --enableldapstarttls --enablesssd --enablesssdauth
Questo scrive la relativa configurazione nel file /etc/sssd/sssd.conf. A questo punto, siccome l'accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:
(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell") (version 3.0; acl "POSIX read from Lecce Networks"; allow (read,search,compare) (dns = "*.le.infn.it");)
basta far partire il daemon del servizio sss.
chkconfig sssd on service sssd status service sssd start
Autenticazione Kerberos
Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'Autenticazione. Il file /etc/sssd/sssd.conf deve diventare:
[domain/default] id_provider = ldap chpass_provider = krb5 auth_provider = krb5 krb5_realm = LE.INFN.IT krb5_server = kdc.le.infn.it:88 krb5_kpasswd = kdc.le.infn.it krb5_auth_timeout = 15 #auth_provider = ldap #chpass_provider = ldap ldap_uri = ldap://dsa.le.infn.it/ ldap_search_base = dc=le,dc=infn,dc=it ldap-tls_reqcert = demand ldap_tls_cacertdir = /etc/openldap/cacerts #ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt ldap_schema = rfc2307 ldap_id_use_start_tls = True cache_credentials = True debug_level = 2 [sssd] services = nss, pam config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 domains = default debug_level = 2 [nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75 debug_level = 2 [pam] reconnection_retries = 3 offline_credentials_expiration = 2 offline_failed_login_attempts = 3 offline_failed_login_delay = 5 debug_level = 2 [sudo] [autofs] [ssh] debug_level = 2 [pac]