INFN wiki

User Tools

Site Tools

Trace:
cn:ccr:aai:howto:ldap-auth

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
cn:ccr:aai:howto:ldap-auth [2013/12/03 14:10] enrico@infn.itcn:ccr:aai:howto:ldap-auth [2014/02/06 18:57] (current) – [Configurazione del sistema di Autenticazione ed Autorizzazione] enrico@infn.it
Line 1: Line 1:
 +====== SL6 LDAP AuthN & AuthZ  ======
  
 +Le informazioni presenti nell'infrastruttura lDAP di INFN-AAI, possono essere utilizzate anche per effettuare le operazione di Autenticazione ed Autorizzazione da parte di sistemi UNIX.
 +
 +In questa guida sono illustrati i passi da seguire per configurare un sistema Linux basato su SL6.
 +
 +===== Installazione dei pacchetti =====
 +
 +I pacchetti indispensabili sono:
 +
 +* OpenLDAP Client
 +* sssd (System Security Services Daemon) e tools
 +
 +  yum install openldap-clients sssd sssd-tools pam_ldap
 +
 +<del>Scaricare i certificati root di TERENA e della INFN-CA e metterli nella directory giusta
 +
 +  pushd /etc/openldap/cacerts/ ; wget -O - http://wiki.infn.it/_media/cn/ccr/aai/howto/ca.pem.tar | tar -xvf - ; popd </del>
 +  
 +===== Configurazione del sistema di Autenticazione ed Autorizzazione =====
 +
 +
 +Per configurare l'autenticazione e l'autorizzazione si può usare l'interfaccia grafica
 +
 +  yum install authconfig-gtk
 +  system-config-authentication
 +
 +Se invece volete effettuare la configurazione via command-line, il comando da dare è
 +
 +<code>
 +  authconfig --updateall --passalgo=sha512 \
 +  --enableldap --enableldapauth \
 +  --ldapserver=dsa.le.infn.it \
 +  --ldapbasedn=ou=people,dc=le,dc=infn,dc=it \
 +  --enableldapstarttls --enablesssd --enablesssdauth
 +</code>
 +
 +Questo scrive la relativa configurazione nel file /etc/sssd/sssd.conf. A questo punto, siccome l'accesso agli attributi POSIX contenuti nel ramo di sede è garantito da una apposita ACI del tipo:
 +
 +<code>
 +(targetattr = "cn || uid || uidNumber || gidNumber || gecos || homeDirectory || loginShell"
 +(version 3.0;
 +acl "POSIX read from Lecce Networks";
 +allow (read,search,compare)
 +(dns = "*.le.infn.it");)
 +</code>
 +
 +basta far partire il daemon del servizio sss.
 +
 +  chkconfig sssd on
 +  service sssd status
 +  service sssd start
 + 
 +==== Autenticazione Kerberos ====
 +
 +Se l'host deve autenticare verso un REALM Kerberos, è necessario modificare solo la parte relativa all'Autenticazione. Il file /etc/sssd/sssd.conf deve diventare:
 +
 +<code>
 +[domain/default]
 +id_provider = ldap
 +chpass_provider = krb5
 +auth_provider = krb5
 +krb5_realm = LE.INFN.IT
 +krb5_server = kdc.le.infn.it:88
 +krb5_kpasswd = kdc.le.infn.it
 +krb5_auth_timeout = 15
 +#auth_provider = ldap
 +#chpass_provider = ldap
 +ldap_uri = ldap://dsa.le.infn.it/
 +ldap_search_base = dc=le,dc=infn,dc=it
 +ldap-tls_reqcert = demand
 +ldap_tls_cacertdir = /etc/openldap/cacerts
 +#ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
 +ldap_schema = rfc2307
 +ldap_id_use_start_tls = True
 +cache_credentials = True
 +debug_level = 2
 +
 +[sssd]
 +services = nss, pam
 +config_file_version = 2
 +reconnection_retries = 3
 +sbus_timeout = 30
 +
 +domains = default
 +debug_level = 2
 +
 +[nss]
 +filter_groups = root
 +filter_users = root
 +reconnection_retries = 3
 +entry_cache_timeout = 300
 +entry_cache_nowait_percentage = 75
 +debug_level = 2
 +
 +[pam]
 +reconnection_retries = 3
 +offline_credentials_expiration = 2
 +offline_failed_login_attempts = 3
 +offline_failed_login_delay = 5
 +debug_level = 2
 +
 +[sudo]
 +
 +[autofs]
 +
 +[ssh]
 +debug_level = 2
 +
 +[pac]
 +
 +</code>
 +
 +
 + 
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki