Benutzer-Werkzeuge
lpi2:sssd-ldap2
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung | |||
|
lpi2:sssd-ldap2 [2025/11/15 18:12] ingo_wichmann |
lpi2:sssd-ldap2 [2025/11/21 15:59] (aktuell) |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | moved to [[sssd-ldap]] | + | ====== sssd gegen LDAP authentifizieren ====== |
| + | ===== Voraussetzungen ===== | ||
| + | * DNS [[dns|client-]] und [[bind|serverseitig]] korrekt | ||
| + | * (open)[[ldap]] inkl. [[ldap-ssl|TLS]] | ||
| + | * [[ldap-user|OpenLDAP als Benutzerdatenbank für Linux]] | ||
| + | * falls Gruppen in Gruppen verschachtelt (nested groups) werden sollen: [[ldap#schemata_hinzufuegen|RFC2307bis Schema hinzufügen]] | ||
| + | |||
| + | ===== Pakete ===== | ||
| + | * Debian (ab 8): ''sssd-ldap sssd-tools libnss-sss libpam-sss'' (( | ||
| + | apt-get --no-install-recommends install sssd-ldap libnss-sss sssd-tools | ||
| + | )) | ||
| + | * CentOS (7): ''sssd-ldap sssd-tools'' | ||
| + | * openSuSE (12.3): ''sssd sssd-tools'' | ||
| + | * ''nscd'' entfernen | ||
| + | |||
| + | ===== Konfiguration ====== | ||
| + | Debian (ab 9): | ||
| + | cp /usr/share/doc/sssd-common/examples/sssd-example.conf /etc/sssd/sssd.conf | ||
| + | |||
| + | <file txt /etc/sssd/sssd.conf> | ||
| + | [sssd] | ||
| + | services = nss, pam | ||
| + | domains = LDAP | ||
| + | |||
| + | [nss] | ||
| + | |||
| + | [pam] | ||
| + | |||
| + | [domain/LDAP] | ||
| + | id_provider = ldap | ||
| + | auth_provider = ldap | ||
| + | |||
| + | ldap_schema = rfc2307 | ||
| + | ldap_uri = ldap://vm1.z36.example.org | ||
| + | ldap_search_base = dc=example,dc=org | ||
| + | |||
| + | ldap_tls_cacert = /etc/ssl/certs/ca.example.org.cert.pem | ||
| + | |||
| + | ldap_default_bind_dn = cn=admin,dc=example,dc=org | ||
| + | ldap_default_authtok = villa | ||
| + | ldap_default_authtok_type = password | ||
| + | |||
| + | enumerate = true | ||
| + | cache_credentials = true | ||
| + | |||
| + | </file> | ||
| + | |||
| + | chmod 600 /etc/sssd/sssd.conf | ||
| + | sssctl config-check | ||
| + | |||
| + | service sssd restart | ||
| + | sssctl domain-list | ||
| + | -> ''LDAP'' | ||
| + | sssctl domain-status LDAP -a | ||
| + | -> ''LDAP: vm1.z45.internal'' | ||
| + | sssctl user-checks nutzer45 | ||
| + | -> ''pam_acct_mgmt: Success'' | ||
| + | |||
| + | ===== nss ====== | ||
| + | grep -E '^(passwd|group|shadow)' /etc/nsswitch.conf | ||
| + | -> ''files sss'' | ||
| + | getent passwd {10000..10100} | ||
| + | -> LDAP-Benutzer werden angezeigt | ||
| + | |||
| + | ===== PAM ===== | ||
| + | Debian (ab 8): | ||
| + | pam-auth-update | ||
| + | CentOS (7): | ||
| + | authconfig --enablesssd --update | ||
| + | authconfig --enablesssdauth --update | ||
| + | authconfig --enablemkhomedir --update | ||
| + | |||
| + | ===== Fehlersuche ===== | ||
| + | service sssd stop | ||
| + | sssd -i -d 3 | ||
| + | |||
| + | ===== Doku ===== | ||
| + | * /usr/share/doc/sssd-common/examples/sssd-example.conf | ||
| + | * man sssd-ldap | ||
lpi2/sssd-ldap2.1763230374.txt.gz · Zuletzt geändert: 2025/11/15 18:12 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
