====== sssd gegen LDAP authentifizieren ======
===== Voraussetzungen =====
  * DNS [[dns|client-]] und [[bind|serverseitig]] korrekt
  * (open)[[ldap]] inkl. [[ldap-ssl|TLS]]
  * Benutzer in LDAP [[nss-ldap|angelegt]] (nicht nss_ldap!)
  * falls Gruppen in Gruppen verschachtelt (nested groups) werden sollen: [[ldap#schemata_hinzufuegen|RFC2307bis Schema hinzufügen]]

===== Pakete =====
  * Debian (ab 8): ''sssd-ldap sssd-tools libnss-sss libpam-sss'' (( 
  apt-get --no-install-recommends install sssd-ldap libnss-sss sssd-tools
))
  * CentOS (7): ''sssd-ldap sssd-tools''
  * openSuSE (12.3): ''sssd sssd-tools''
    * ''nscd'' entfernen

===== Konfiguration ======
Debian (ab 9):
  cp /usr/share/doc/sssd-common/examples/sssd-example.conf /etc/sssd/sssd.conf

<file txt /etc/sssd/sssd.conf>
[sssd]
config_file_version = 2
services = nss, pam
domains = LDAP

[nss]

[pam]

[domain/LDAP]
id_provider = ldap
auth_provider = ldap

ldap_schema = rfc2307
ldap_uri = ldap://vm1.z36.example.org
ldap_search_base = dc=example,dc=org

ldap_tls_cacert = /etc/ssl/certs/ca.example.org.cert.pem

ldap_default_bind_dn = cn=admin,dc=example,dc=org
ldap_default_authtok = villa
ldap_default_authtok_type = password

enumerate = true
cache_credentials = true

</file>

  chmod 600 /etc/sssd/sssd.conf
  sssctl config-check

===== PAM =====
Debian (ab 8):
  pam-auth-update
CentOS (7):
  authconfig --enablesssd --update
  authconfig --enablesssdauth --update
  authconfig --enablemkhomedir --update

===== Fehlersuche =====
  service sssd stop
  sssd -i -d 3

===== Doku =====
  * /usr/share/doc/sssd-common/examples/sssd-example.conf
  * man sssd-ldap